跳转至

什么是虚拟私有云 (VPC)

虚拟私有云(Virtual Private Cloud,VPC),为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外,您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通,灵活整合资源,构建混合云网络。

VPC使用网络虚拟化技术,通过链路冗余,分布式网关集群,多AZ部署等多种技术,保障网络的安全、稳定、高可用。

img

vpc 的相关知识

VPC 的组成

  • 每个虚拟私有云VPC由一个私网网段、路由表和至少一个子网组成。

  • 私网网段:用户创建虚拟私有云VPC时,需指定虚拟私有云VPC使用的私网网段。虚拟私有云VPC支持的网段有 10.0.0.0/8~24172.16.0.0/12~24 192.168.0.0/16~24

  • 子网:云资源(例如云服务器、云数据库等)必须部署在子网内。所以,虚拟私有云VPC创建完成后,您需要为虚拟私有云VPC划分一个或多个子网,子网网段必须在私网网段内。

  • 路由表:在创建虚拟私有云VPC时,系统会自动生成默认路由表,默认路由表的作用是保证了同一个虚拟私有云VPC下的所有子网互通。当默认路由表中的路由策略无法满足应用(比如未绑定弹性公网IP的云服务器需要访问外网)时,您可以通过创建自定义路由表来解决。

VPC 的安全

安全组与网络 ACL(Access Control List)用于保障虚拟私有云 VPC 内部署的云资源的安全。安全组类似于虚拟防火墙,为同一个VPC内具有相同安全保护需求并相互信任的云资源提供访问策略,更多信息请参考安全组简介;您可以为具有相同网络流量控制的子网关联同一个网络 ACL ,通过设置出方向和入方向规则,对进出子网的流量进行精确控制。

VPC 的连接

华为云提供了多种VPC连接方案,以满足用户不同场景下的诉求。具体应用场景及连接方案请参见应用场景。

  • 通过 VPC 对等连接功能,实现同一区域内不同VPC下的私网IP互通。
  • 通过 EIP 或 NAT 网关,使得VPC内的云服务器可以与公网Internet互通。
  • 通过虚拟专用网络 VPN 、云连接、云专线及企业交换机将VPC和您的数据中心连通。

VPC 的规划

网络规划

img

注意

在创建VPC之前,需要根据具体的业务需求规划VPC的数量、子网的数量、IP网段划分和互连互通方式等。

如何规划 vpc 数量

注意

VPC具有区域属性,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通,同一个VPC下的不同可用区之间内网互通。

  • 一个VPC

当各业务之间没有网络隔离需求时,您可以只使用一个VPC即可。

  • 多个VPC

当您在当前区域下有多套业务部署,且希望不同业务之间进行网络隔离时,则可为每个业务在当前区域建立相应的VPC。两个VPC之间可以采用对等连接进行互连。

如何规划子网

子网是虚拟私有云内的IP地址块,可以将虚拟私有云的网段分成若干块,子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下,子网网段不可重复。

默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC的弹性云服务器不能进行通信。 不同VPC的云服务器可通过创建对等连接通信,具体参见对等连接简介。

子网创建成功后,不支持修改网段,请提前合理规划好子网网段。 创建VPC的时候会创建默认子网,如果您需要创建新的子网,请参见为虚拟私有云创建新的子网。

VPC支持的网段如下,子网的网段须在VPC网段范围内,且子网的掩码范围为:子网所在VPC掩码~29。

  • 10.0.0.0/8~24
  • 172.16.0.0/12~24
  • 192.168.0.0/16~24

规划子网

  • 建议在同一个VPC下的业务内可按照业务模块分别划分子网,例如子网1用于Web层,子网2用于逻辑层,子网3用于数据层,有利于结合网络ACL进行访问控制和过滤。
  • 如果只是VPC的子网规划,不涉及和本地IDC的网络通信,则可以选择上述任何一个网段进行新建子网。
  • 如果要通过VPN/云专线与线下IDC进行互通,本端网段(VPC网段)和对端网段(您的IDC网段)不能重叠,所以在新建VPC及子网的时候务必避开对端网段。
  • 在划分网段时还应考虑该网段的IP容量,即有多少可用的IP数。

如何规划路由策略

路由表由一系列路由规则组成,用于控制VPC内子网的出流量走向。用户创建VPC时,系统会自动为其生成一个默认路由表,该默认路由表含义为VPC内网互通。

  • 如果不需要对子网的流量走向进行特殊控制,默认VPC内网互通的情况下,则使用默认路由表即可,无需配置自定义路由策略;
  • 如果需要对VPC内的网络流量走向进行特殊控制,则可以对路由表进行自定义路由配置。

如何连接Internet?

少量弹性云服务器通过弹性公网IP连接Internet

  • 当您仅有少量弹性云服务器访问Internet时,您可将弹性公网IP(EIP)绑定到弹性云服务器上,弹性云服务器即可连接公网。您还可以通过动态解绑它,再绑定到NAT网关、弹性负载均衡上,使这些云产品连接公网,管理非常简单。不同弹性公网IP还可以共享带宽,减少您的带宽成本。

大量弹性云服务器通过NAT网关连接Internet

  • 当您有大量弹性云服务器需要访问Internet时,单纯使用弹性公网IP管理成本过高,公有云NAT网关来帮您,它提供SNAT和DNAT两种功能。SNAT可轻松实现同一VPC内的多个弹性云服务器共享一个或多个弹性公网IP主动访问公网,有效降低管理成本,减少了弹性云服务器的弹性公网IP直接暴露的风险。DNAT功能还可以实现端口级别的转发,将弹性公网IP的端口映射到不同弹性云服务器的端口上,使VPC内多个弹性云服务器共享同一弹性公网IP和带宽面向互联网提供服务。

虚拟私有云 VPC 的使用

创建虚拟私有云和子网

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域和项目。
  3. 在系统首页,选择 "网络 > 虚拟私有云 > 进入虚拟有云列表页面"
  4. 单击 "创建虚拟私有云进入 > 创建虚拟私有云 "页面。
  5. 在 "创建虚拟私有云" 页面,根据界面提示配置虚拟私有云参数。 创建虚拟私有云时会同时创建一个默认子网,您还可以单击"添加子网"创建多个子网。

img img

配置安全组

操作场景

通过创建安全组,您可以将VPC中的划分成不同的安全域,以提升访问的安全性。建议您将不同公网访问策略的划分到不同的安全组。 每台云服务器必须至少属于一个安全组。在您创建云服务器时,如果您还未创建过安全组,系统会为您提供一个默认安全组default

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域和项目。
  3. 在系统首页,选择“网络 > 虚拟私有云”。
  4. 在左侧导航树选择“访问控制 > 安全组”。
  5. 在“安全组”界面,单击“创建安全组”。

img

img

官方示例

https://support.huaweicloud.com/usermanual-vpc/zh-cn_topic_0030969470.html

云连接

云连接简介

云连接(Cloud Connect)为用户提供一种能够快速构建跨区域VPC之间以及云上多VPC与云下多数据中心之间的高速、优质、稳定的网络能力,帮助用户打造一张具有企业级规模和通信能力的全球云上网络。

img

配置

img

应用

网络拓扑图

img

虚拟私有云

img

子网

img

路由表

img

安全组

img

云连接

img