什么是VPC

描述

VPC是云上私有的网络环境,支持自定义IP地址、配置路由表和网关等。

云网系列之一:VPC前世今生

云网系列之二:VPC的实现机制

一、交换机和虚拟路由器

从用户的视角来看,VPC的组成体现为虚拟交换机和虚拟路由器。

虚拟交换机对应的是子网。

虚拟路由器对应的是VPC的路由器,用于连接VPC内的虚拟交换机、以及其他网络的网关设备。

VPC创建成功后,会自动创建虚拟路由器,路由器中默认创建一个主路由表(VPC粒度),包含VPC网段的本地路由和云服务的系统路由。用户可以在主路由表中自定义路由条目。

除主路由表外,VPC支持用户创建子网路由表(交换机粒度),子网路由表关联交换机后,路由优先级高于主路由表,用来指定目标网段的流量路由至指定的目的地(如NAT网关)。

以CADT简单拓扑为例:

vpc

查看VPC创建的主路由表信息:

vpc

vpc

说明:
系统自动添加了如下路由:
(1)系统路由条目:以路由表所属VPC内的交换机网段为目标网段的路由条目,用于交换机内的云产品通信。
(2)自定义路由条目:以100.64.0.0/10为目标网段的路由条目,用于VPC内的云产品通信。

用户可以新建子网路由表,页面路径为:路由表--创建路由表--绑定交换机,便可以实现子网路由表与交换机的绑定, 绑定后,主路由表自动与该交换机解绑

二、VPC网络规划

1.需要使用多少个VPC?

VPC是地域级别的,可以用于业务隔离。所以,如果需要多地域部署,或者生产环境和测试环境的隔离,则需要部署多个VPC。

2.需要使用多少个交换机?

最佳实践建议至少使用两个交换机,并且两台交换机分布在不同可用区,以实现跨可用区容灾。

3.使用什么地址段,每个地址段规划需要多大?

VPC可选择的网段:192.168.0.0/16、172.16.0.0/12、10.0.0.0/8,以及子网。

如:10.0.0.0/8的子网为10.1.0.0/16、10.2.0.0/16......10.255.0.0/16,共256个。

交换机可选择的网段:所属VPC网段的子集。

如:VPC的网段为192.168.0.0/16,则交换机可选的网段可以是192.168.0.0/17192.168.0.0/29,可提供的地址为:655368个地址。需要注意的是每个交换机的第一个和最后三个IP地址为系统保留地址。

三、VPC网络安全设计

1.网络ACL

如果需要对交换机(子网)中ECS实例的流量访问控制,如拒绝或接受一些公网IP地址的流量,则可以使用网络ACL。

官网给出如下说明:

网络访问控制列表(ACL)是 VPC 中的网络访问控制功能,可以将网络 ACL 与交换机进行关联,实现 对一个或多个子网流量的访问控制

网络ACL规则仅过滤绑定的交换机中ECS实例的流量(包括SLB实例转发给ECS实例的流量)

网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。

网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量。

2.安全组

安全组是一种虚拟防火墙,属于ECS粒度的访问控制策略。

四、云上网络分区

云上网络和IDC网络类似,也要进行分区,每个分区对应一个VPC。不同VPC之间的路由打通,可以通过云企业网CEN实现。同时可以按需进行路由表隔离、路由策略设置。

# 互联网出口区:类似DMZ区,用于放置NAT网关、EIP等资源;
# 外联区:放置第三方的堡垒机等入口资源;
# 内联(运维)区:放置堡垒机资源,用于企业内部人员连接云上资源;
# 东西向安全区:放置南北向防火墙、IDS、IPS防护设置;
# 开发与测试区:放置生产环境和测试环境的资源。
打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分