VPC是云上私有的網(wǎng)絡(luò)環(huán)境，支持自定義IP地址、配置路由表和網(wǎng)關(guān)等。

云網(wǎng)系列之一：VPC前世今生

云網(wǎng)系列之二：VPC的實(shí)現(xiàn)機(jī)制

一、交換機(jī)和虛擬路由器

從用戶的視角來看，VPC的組成體現(xiàn)為虛擬交換機(jī)和虛擬路由器。

虛擬交換機(jī)對應(yīng)的是子網(wǎng)。

虛擬路由器對應(yīng)的是VPC的路由器，用于連接VPC內(nèi)的虛擬交換機(jī)、以及其他網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備。

VPC創(chuàng)建成功后，會自動創(chuàng)建虛擬路由器，路由器中默認(rèn)創(chuàng)建一個主路由表（VPC粒度），包含VPC網(wǎng)段的本地路由和云服務(wù)的系統(tǒng)路由。用戶可以在主路由表中自定義路由條目。

除主路由表外，VPC支持用戶創(chuàng)建子網(wǎng)路由表（交換機(jī)粒度），子網(wǎng)路由表關(guān)聯(lián)交換機(jī)后，路由優(yōu)先級高于主路由表，用來指定目標(biāo)網(wǎng)段的流量路由至指定的目的地（如NAT網(wǎng)關(guān)）。

以CADT簡單拓?fù)錇槔?/p>

查看VPC創(chuàng)建的主路由表信息：

說明：
系統(tǒng)自動添加了如下路由：
（1）系統(tǒng)路由條目：以路由表所屬VPC內(nèi)的交換機(jī)網(wǎng)段為目標(biāo)網(wǎng)段的路由條目，用于交換機(jī)內(nèi)的云產(chǎn)品通信。
（2）自定義路由條目：以100.64.0.0/10為目標(biāo)網(wǎng)段的路由條目，用于VPC內(nèi)的云產(chǎn)品通信。

用戶可以新建子網(wǎng)路由表，頁面路徑為：路由表--創(chuàng)建路由表--綁定交換機(jī)，便可以實(shí)現(xiàn)子網(wǎng)路由表與交換機(jī)的綁定， 綁定后，主路由表自動與該交換機(jī)解綁 。

二、VPC網(wǎng)絡(luò)規(guī)劃

1.需要使用多少個VPC？

VPC是地域級別的，可以用于業(yè)務(wù)隔離。所以，如果需要多地域部署，或者生產(chǎn)環(huán)境和測試環(huán)境的隔離，則需要部署多個VPC。

2.需要使用多少個交換機(jī)？

最佳實(shí)踐建議至少使用兩個交換機(jī)，并且兩臺交換機(jī)分布在不同可用區(qū)，以實(shí)現(xiàn)跨可用區(qū)容災(zāi)。

3.使用什么地址段，每個地址段規(guī)劃需要多大？

VPC可選擇的網(wǎng)段：192.168.0.0/16、172.16.0.0/12、10.0.0.0/8，以及子網(wǎng)。

如：10.0.0.0/8的子網(wǎng)為10.1.0.0/16、10.2.0.0/16......10.255.0.0/16，共256個。

交換機(jī)可選擇的網(wǎng)段：所屬VPC網(wǎng)段的子集。

如：VPC的網(wǎng)段為192.168.0.0/16，則交換機(jī)可選的網(wǎng)段可以是192.168.0.0/17192.168.0.0/29，可提供的地址為：655368個地址。需要注意的是每個交換機(jī)的第一個和最后三個IP地址為系統(tǒng)保留地址。

三、VPC網(wǎng)絡(luò)安全設(shè)計

1.網(wǎng)絡(luò)ACL

如果需要對交換機(jī)（子網(wǎng)）中ECS實(shí)例的流量訪問控制，如拒絕或接受一些公網(wǎng)IP地址的流量，則可以使用網(wǎng)絡(luò)ACL。

官網(wǎng)給出如下說明：

網(wǎng)絡(luò)訪問控制列表（ACL）是 VPC 中的網(wǎng)絡(luò)訪問控制功能，可以將網(wǎng)絡(luò) ACL 與交換機(jī)進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn) 對一個或多個子網(wǎng)流量的訪問控制 。

網(wǎng)絡(luò)ACL規(guī)則僅過濾綁定的交換機(jī)中ECS實(shí)例的流量（包括SLB實(shí)例轉(zhuǎn)發(fā)給ECS實(shí)例的流量）

網(wǎng)絡(luò)ACL的規(guī)則是無狀態(tài)的，即設(shè)置入方向規(guī)則的允許請求后，需要同時設(shè)置相應(yīng)的出方向規(guī)則，否則可能會導(dǎo)致請求無法響應(yīng)。

網(wǎng)絡(luò)ACL與交換機(jī)綁定，不過濾同一交換機(jī)內(nèi)的ECS實(shí)例間的流量。

2.安全組

安全組是一種虛擬防火墻，屬于ECS粒度的訪問控制策略。

四、云上網(wǎng)絡(luò)分區(qū)

云上網(wǎng)絡(luò)和IDC網(wǎng)絡(luò)類似，也要進(jìn)行分區(qū)，每個分區(qū)對應(yīng)一個VPC。不同VPC之間的路由打通，可以通過云企業(yè)網(wǎng)CEN實(shí)現(xiàn)。同時可以按需進(jìn)行路由表隔離、路由策略設(shè)置。

# 互聯(lián)網(wǎng)出口區(qū)：類似DMZ區(qū)，用于放置NAT網(wǎng)關(guān)、EIP等資源；
# 外聯(lián)區(qū)：放置第三方的堡壘機(jī)等入口資源；
# 內(nèi)聯(lián)（運(yùn)維）區(qū)：放置堡壘機(jī)資源，用于企業(yè)內(nèi)部人員連接云上資源；
# 東西向安全區(qū)：放置南北向防火墻、IDS、IPS防護(hù)設(shè)置；
# 開發(fā)與測試區(qū)：放置生產(chǎn)環(huán)境和測試環(huán)境的資源。