什么是专有网络?
专有网络是自己独有的云上私有网络,可以理解为虚拟的局域网。我们可以完全掌控自己的专有网络,可以自己选择IP地址的范围、配置路由表和网关等,也可以在自己定义的专有网络中使用阿里云资源,如阿里云服务器ECS、阿里云数据库RDS和负载均衡SLB等。
可以将专有网络连接到其他专有网络或本地网络,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。
| 术语 | 说明 |
|---|---|
| 专有网络(VPC) | 专有网络是基于阿里云创建的自定义私有网络,不同的专有网络之间逻辑上彻底隔离。可以在自己创建的专有网络内创建和管理云资源,例如ECS、SLB和RDS等。 |
| 交换机(VSwitch) | 交换机是组成专有网络的基础网络设备。交换机可以连接不同的云资源。在专有网络内创建云资源时,必须指定云资源所连接的交换机。 |
| 路由器(VRouter) | 路由器是专有网络的枢纽。路由器可以连接专有网络的各个交换机,同时也是连接专有网络与其它网络的网关设备。路由器根据路由条目来转发网络流量。 |
| 路由表(RouteTable) | 路由表是指路由器上管理路由条目的列表。 |
私网网段
在创建专有网络和交换机时,需要以CIDR地址块的形式指定专有网络使用的私网网段。
可以使用下表中标准的私网网段及其子网作为VPC的私网网段。
| 网段 | 可用私网IP数量(不包括系统保留地址) |
|---|---|
| 192.168.0.0/16 | 65,532 |
| 172.16.0.0/12 | 1,048,572 |
| 10.0.0.0/8 | 16,777,212 |
路由器
路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。
交换机
交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。
网段和IP地址
专有网络支持IPv4和IPv6寻址协议。默认情况下,专有网络使用IPv4寻址协议。可以根据需要开通IPv6寻址协议。
专有网络可在双栈模式下运行。专有网络中的资源可通过IPv4和IPv6进行通信。IPv4和IPv6地址彼此独立,需要在专有网络中分别针对IPv4和IPv6配置路由和安全组。
| IPv4 VPC | IPv6 VPC |
|---|---|
| 格式为32位,4组,每组最多3个十进制数字。 | 格式为128位,8组,每组4个十六进制数字。 |
| 默认开启IPv4地址协议。 | 可以选择开通IPv6。 |
| 专有网络地址块大小可以从/8到/24。 | 专有网络地址块大小固定为/56。 |
| 交换机地址块大小可以从/16到/29。 | 交换机地址块大小固定为/64。 |
| 可以选择要使用的IPv4地址块。 | 无法选择要使用的IPv6地址块。系统会从IPv6地址池中为您的专有网络选择IPv6地址块。 |
| 所有实例类型都支持。 | 部分实例类型不支持。详细信息,请参见实例规格族汇总。 |
| 支持配置ClassicLink连接。 | 不支持配置ClassicLink连接。 |
| 支持弹性公网IPv4地址。 | 不支持弹性公网IPv6地址。 |
| 支持配置VPN网关和NAT网关。 | 不支持配置VPN网关和NAT网关。 |
路由
创建专有网络后,系统会自动创建一张系统路由表并为其添加系统路由来管理专有网络的流量。一个专有网络只有一张系统路由表。该系统路由表在创建专有网络的时候自动创建,不能手动创建也不能删除
可以在专有网络内创建自定义路由表,然后将其和交换机绑定来控制子网路由,更灵活地进行网络管理。每个交换机只能关联一张路由表。
路由表采用最长前缀匹配原则作为流量的路由选路规则。最长前缀匹配是指当路由表中有多条路由条目可以匹配目的IP时,采用掩码最长(最精确)的一条路由作为匹配项并确定下一跳。可以添加自定义路由条目将目标流量路由到指定的目的地。
跨可用区容灾
可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内不同交换机之间内网互通。您可以通过将资源部署在不同可用区的交换机中,实现跨可用区容灾。
业务系统隔离
不同的VPC之间逻辑隔离。如果有多个业务系统例如生产环境和测试环境要严格进行隔离,那么可以使用多个VPC进行业务隔离。当有互相通信的需求时,可以在两个VPC之间建立对等连接。
使用专有网络前的规划
应该使用几个VPC?
如果没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离,那么推荐使用一个VPC。
如果有如下任何一个需求,推荐使用多个VPC:
多地域部署系统
多业务系统隔离
应该使用几个交换机?
首先,即使只使用一个VPC,也尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾。
同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂加上系统处理时间、跨可用区调用等原因可能产生期望之外的网络延迟。建议进行系统优化和适配,在高可用和低延迟之间找到平衡。
其次,使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求,考虑到容灾可以将不同的前端系统部署在不同的交换机下,将后端系统部署在另外的交换机下。
应该选择什么网段?
在创建VPC和交换机时,必须以无类域间路由块(CIDR block)的形式为专有网络划分私网网段。
规划VPC网段
可以使用192.168.0.0/16、172.16.0.0/12、10.0.0.0/8这三个私网网段及其子网作为VPC的私网地址范围。
规划交换机网段
交换机的网段必须是其所属VPC网段的子集。例如VPC的网段是192.168.0.0/16,那么该VPC下的交换机的网段可以是192.168.0.0/17,一直到192.168.0.0/29。
VPC与VPC互通或VPC与本地数据中心互通有什么要求?
当有VPC与VPC互通或VPC与本地数据中心互通的需求时,确保VPC的网段和要互通的网络的网段都不冲突。
例如在华东1、华北2、华南1三个地域分别有VPC1、VPC2和VPC3三个VPC。VPC1和VPC2通过高速通道内网互通,VPC3目前没有和其他VPC通信的需求,将来可能需要和VPC2通信。另外,在上海还有一个自建数据中心,需要通过高速通道(专线功能)和华东1的VPC1私网互通。
此例中VPC1和VPC2使用了不同的网段,而VPC3暂时没有和其他VPC互通的需求,所以VPC3的网段和VPC2的网段相同。但考虑到将来VPC2和VPC3之间有私网互通的需求,所以两个VPC中的交换机的网段都不相同。VPC互通要求互通的交换机的网段不能相同,但VPC的网段可以相同。
创建专有网络
