什么是VPC

VPC是云上私有的网络环境，支持自定义IP地址、配置路由表和网关等。

云网系列之一：VPC前世今生

云网系列之二：VPC的实现机制

一、交换机和虚拟路由器

从用户的视角来看，VPC的组成体现为虚拟交换机和虚拟路由器。

虚拟交换机对应的是子网。

虚拟路由器对应的是VPC的路由器，用于连接VPC内的虚拟交换机、以及其他网络的网关设备。

VPC创建成功后，会自动创建虚拟路由器，路由器中默认创建一个主路由表（VPC粒度），包含VPC网段的本地路由和云服务的系统路由。用户可以在主路由表中自定义路由条目。

除主路由表外，VPC支持用户创建子网路由表（交换机粒度），子网路由表关联交换机后，路由优先级高于主路由表，用来指定目标网段的流量路由至指定的目的地（如NAT网关）。

以CADT简单拓扑为例：

查看VPC创建的主路由表信息：

说明：
系统自动添加了如下路由：
（1）系统路由条目：以路由表所属VPC内的交换机网段为目标网段的路由条目，用于交换机内的云产品通信。
（2）自定义路由条目：以100.64.0.0/10为目标网段的路由条目，用于VPC内的云产品通信。

用户可以新建子网路由表，页面路径为：路由表--创建路由表--绑定交换机，便可以实现子网路由表与交换机的绑定， 绑定后，主路由表自动与该交换机解绑 。

二、VPC网络规划

1.需要使用多少个VPC？

VPC是地域级别的，可以用于业务隔离。所以，如果需要多地域部署，或者生产环境和测试环境的隔离，则需要部署多个VPC。

2.需要使用多少个交换机？

最佳实践建议至少使用两个交换机，并且两台交换机分布在不同可用区，以实现跨可用区容灾。

3.使用什么地址段，每个地址段规划需要多大？

VPC可选择的网段：192.168.0.0/16、172.16.0.0/12、10.0.0.0/8，以及子网。

如：10.0.0.0/8的子网为10.1.0.0/16、10.2.0.0/16......10.255.0.0/16，共256个。

交换机可选择的网段：所属VPC网段的子集。

如：VPC的网段为192.168.0.0/16，则交换机可选的网段可以是192.168.0.0/17192.168.0.0/29，可提供的地址为：655368个地址。需要注意的是每个交换机的第一个和最后三个IP地址为系统保留地址。

三、VPC网络安全设计

1.网络ACL

如果需要对交换机（子网）中ECS实例的流量访问控制，如拒绝或接受一些公网IP地址的流量，则可以使用网络ACL。

官网给出如下说明：

网络访问控制列表（ACL）是 VPC 中的网络访问控制功能，可以将网络 ACL 与交换机进行关联，实现 对一个或多个子网流量的访问控制 。

网络ACL规则仅过滤绑定的交换机中ECS实例的流量（包括SLB实例转发给ECS实例的流量）

网络ACL的规则是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。

网络ACL与交换机绑定，不过滤同一交换机内的ECS实例间的流量。

2.安全组

安全组是一种虚拟防火墙，属于ECS粒度的访问控制策略。

四、云上网络分区

云上网络和IDC网络类似，也要进行分区，每个分区对应一个VPC。不同VPC之间的路由打通，可以通过云企业网CEN实现。同时可以按需进行路由表隔离、路由策略设置。

# 互联网出口区：类似DMZ区，用于放置NAT网关、EIP等资源；
# 外联区：放置第三方的堡垒机等入口资源；
# 内联（运维）区：放置堡垒机资源，用于企业内部人员连接云上资源；
# 东西向安全区：放置南北向防火墙、IDS、IPS防护设置；
# 开发与测试区：放置生产环境和测试环境的资源。