VPC

Virtual Private Cloud:构建在上,相互隔离,用户可以自主控制私有网络环境

概念 描述
网段 私有网络的内部 IP 区段,通常采用 CIDR 表达
子网 私有网络的下级网络结构,一个私有网络可以划分出多个子网,阿里云将子网称为交换机
路由表 定义私有网络内流量的路由规则,每个子网都必须有一张关联的路由表(自动创建默认路由表
网关 是对进出私有网络的流量进行把守分发的重要节点
安全组 私有网络内虚拟机进出流量的通行或拦截规则,相当于虚拟机外层网络防火墙

VPC 属于局域网,VPC 创建成功后,网段无法修改,至少要创建一个子网交换机)(网段也不能变更)

可以建立跨可用区的私有网络
高可用:让主力集群在一个可用区工作,备用集群在另一个可用区随时待命,按需切换

关键:提前规划 VPC 和各子网的网段
在没有 VPC 的情况下创建虚拟机,一般会自动生成 VPC – 生产慎用!

VM

VM 通过弹性网卡(Elastic network interface,ENI)来与 VPC 连接
ENI 一方面与 VM 绑定,另一方面则嵌入到某个 VPC 中的某个 vSwitch(拥有最少一个私有 IP

弹性网卡(ENI

  1. 一个 VM 可以绑定多块网卡,区分主网卡辅助网卡
  2. 一块网卡隶属于一个子网,可以配置同一子网内的多个私有 IP
  3. 辅助网卡可以动态解绑,并能绑定到另一台 VM

创建 VM 时选择 VPC 中的某个vSwitch:新 VM 自动生成的主网卡,接入了所选 VPC所选 vSwitch

公网 IP

生产环境,不要依赖自动生成的公网 IP,推荐使用弹性 IP(Elastic IP,EIP
自动生成的本质:从公有云的 IP 池临时租用,如果 VM 关闭或者重启,下次获得公网 IP 可能是不同的

image-20230524194102521

弹性 IP 一旦生成,它所对应的 IP固定的,适合需要稳定 IP 的生产环境
弹性的语义:可以非常自由解绑再次绑定任意目标(拥有了该 IP 的所有权

网关

弹性 IP 是双向

网关:用来统一协调管理私有网络与外部通信的组件

NAT

Network Address Translation:允许多台没有公网 IP 的虚拟机访问外网

SNAT

源地址转换(从内到外的单向连通):让私有网络的虚拟机共享某个公网 IP 接入互联网

VPN

VPN 能够基于互联网提供私有加密的通信,非常适合用来从任意其他私有设施安全地连接到 VPC

多 VPC

  1. VPC 和 VPC 的互联,推荐使用对等连接(VPC Peering
    • 能够在不添加额外设备的情况下,让两个 VPC 无缝互联,并且支持跨区域
  2. VPC Peering 的实施前提:两个 VPC 的网段没有交集
  3. VPC Peering 不具备传递性,如果需要多 VPC 间任意路径的互联互通,则需要更为复杂和强大的专用网络设施

混合云

公有云中的私有网络,可以与企业本地数据中心进行互联

  1. 先考虑使用轻量VPN 方式:通过公网线路为两边建立连接渠道
  2. 如果需要保证延迟带宽,一般需要专线进行连接
  3. 高可用:专线 + VPN - 组合