虛擬私有云簡(jiǎn)介

虛擬私有云（Virtual Private Cloud,VPC）為公有云用戶提供了一個(gè)安全、隔離的私有網(wǎng)絡(luò)環(huán)境，用戶可以在VPC中按需部署云服務(wù)器、云數(shù)據(jù)庫(kù)、云存儲(chǔ)等云資源。VPC提供豐富的網(wǎng)絡(luò)服務(wù)功能，例如子網(wǎng)、安全組、網(wǎng)絡(luò)ACL、路由表、DNS，同時(shí)提供外部網(wǎng)絡(luò)訪問(wèn)能力，例如基于VPC對(duì)等連接實(shí)現(xiàn)VPC互訪、基于公網(wǎng)IP實(shí)現(xiàn)訪問(wèn)公網(wǎng)、基于IPSec VPN、專線網(wǎng)關(guān)實(shí)現(xiàn)VPC和本地互訪。

圖片來(lái)源：華為云幫助中心，https://support.huaweicloud.com/productdesc-vpc/

核心組成

虛擬私有云VPC由一個(gè)私有網(wǎng)絡(luò)、路由表、和至少一個(gè)子網(wǎng)組成；

• 私有網(wǎng)絡(luò)：用戶在網(wǎng)絡(luò)控制臺(tái)創(chuàng)建虛擬私有云VPC時(shí)，需要指定虛擬私有云VPC使用的私有網(wǎng)段，各大云服務(wù)商均支持IANA組織劃分的標(biāo)準(zhǔn)私有網(wǎng)段（部分云服務(wù)商可能會(huì)占用私有網(wǎng)段的部分IP地址段，用戶無(wú)法配置使用已占用子網(wǎng)段），私有網(wǎng)絡(luò)IP段設(shè)置后無(wú)法修改，建議用戶在使用前做好IP地址規(guī)劃。

  私有IP地址的范圍分別是，10.0.0.0/8、172.16.0.0/12、192.168.0.0/16：

  A類地址范圍：10.0.0.0—10.255.255.255；

  B類地址范圍：172.16.0.0—172.31.255.555；

  C類地址范圍：192.168.0.0—192.168.255.255。

• 路由表：顧名思義，路由表是用來(lái)控制虛擬私有云的網(wǎng)絡(luò)流量策略，用戶在創(chuàng)建虛擬私有云VPC時(shí)，系統(tǒng)會(huì)自動(dòng)生成默認(rèn)路由表，實(shí)現(xiàn)同一個(gè)VPC下的所有子網(wǎng)互通。如果用戶需要自定義路由策略以滿足復(fù)雜的網(wǎng)絡(luò)訪問(wèn)策略，支持用戶可以創(chuàng)建自定義路由表并添加路由策略。

• 子網(wǎng)：子網(wǎng)是虛擬私有云VPC里的IP地址塊，同一個(gè)VPC內(nèi)子網(wǎng)網(wǎng)段不可重復(fù)，用戶可以通過(guò)子網(wǎng)劃分進(jìn)行合理規(guī)劃IP地址資源，VPC里的所有云資源（云服務(wù)器、云數(shù)據(jù)庫(kù)）必須部署在子網(wǎng)內(nèi)。

服務(wù)能力

經(jīng)過(guò)梳理和對(duì)比主流公有云服務(wù)商（AWS、阿里云、華為云），VPC承擔(dān)云上業(yè)務(wù)的基礎(chǔ)運(yùn)行環(huán)境，提供了豐富的服務(wù)能力，滿足用戶多場(chǎng)景需求，主要服務(wù)能力可分為私有網(wǎng)絡(luò)、安全訪問(wèn)控制、外部網(wǎng)絡(luò)訪問(wèn)、審計(jì)和監(jiān)控四大類。

私有網(wǎng)絡(luò)

• VPC實(shí)例：為用戶的云資源構(gòu)建隔離、自主配置和管理的虛擬網(wǎng)絡(luò)環(huán)境。用戶可根據(jù)業(yè)務(wù)規(guī)劃創(chuàng)建多個(gè)不同的VPC，修改VPC基本信息，，滿足用戶業(yè)務(wù)和維護(hù)管理需求。
• 私有網(wǎng)段：用戶在創(chuàng)建VPC時(shí)需要指定該VPC的私有網(wǎng)段，如當(dāng)前私有網(wǎng)段不滿足業(yè)務(wù)需求時(shí)支持添加拓展私有網(wǎng)段。
• 子網(wǎng)：子網(wǎng)是VPC內(nèi)的IP地址快，VPC內(nèi)的所有云資源都必須部署在子網(wǎng)內(nèi)，子網(wǎng)支持創(chuàng)建、修改和刪除操作。
• 路由表：路由表定了了VPC的路由規(guī)則，路由規(guī)則用于將目標(biāo)網(wǎng)段的流量路由至指定的目的地，支持添加、修改自定義路由規(guī)則。
• ipv4/ipv6雙棧：支持云資源同時(shí)擁有ipv4和ipv6地址，滿足ipv4和ipv6環(huán)境網(wǎng)絡(luò)訪問(wèn)需求。
• 虛擬IP：虛擬IP（Virtual IP Address,VIP）是一個(gè)浮動(dòng)的IP地址，不會(huì)固定在指定的彈性網(wǎng)卡上，VIP通過(guò)綁定多個(gè)云服務(wù)器彈性網(wǎng)卡，同時(shí)搭配高可用軟件（例如，keepalived）的ARP協(xié)議來(lái)宣告VIP和彈性網(wǎng)卡的綁定關(guān)系，實(shí)現(xiàn)高可用HA的目的，提高業(yè)務(wù)可用性。
• 彈性網(wǎng)卡：彈性網(wǎng)卡（Elastic Network Interface,ENI）即虛擬網(wǎng)卡，彈性網(wǎng)卡擁有全局唯一的MAC地址，用于綁定云服務(wù)器提供網(wǎng)絡(luò)服務(wù)能力，虛擬網(wǎng)卡支持自定義活和隨機(jī)指定IP地址。
• 輔助彈性網(wǎng)卡：輔助彈性網(wǎng)卡（Submission Elastic Network Intenfaces,SubENI）是彈性網(wǎng)卡的衍生資源，由于公有云平臺(tái)對(duì)云服務(wù)器可綁定的彈性網(wǎng)卡有數(shù)量限制，可以通過(guò)輔助彈性網(wǎng)卡來(lái)解決彈性網(wǎng)卡數(shù)量不足的問(wèn)題，使得單個(gè)云服務(wù)器可以掛載更多網(wǎng)卡，實(shí)現(xiàn)更加靈活的網(wǎng)絡(luò)方案配置。

安全訪問(wèn)控制

• 安全組：安全組是一種虛擬防火墻，云平臺(tái)一般是基于iptables實(shí)現(xiàn)，安全組具備狀態(tài)檢測(cè)和數(shù)據(jù)包過(guò)濾能力，用于控制安全組內(nèi)云資源的流量流出和流入，從而提升云資源的安全性，安全組規(guī)則支持三元組（協(xié)議、端口和對(duì)端地址）。

• 網(wǎng)絡(luò)ACL：網(wǎng)絡(luò)ACL（Network Access Control List）提供VPC中的網(wǎng)絡(luò)訪問(wèn)控制功能，控制VPC子網(wǎng)的數(shù)據(jù)流入和流出。網(wǎng)絡(luò)ACL默認(rèn)拒絕所有流量，用戶需要按需配置流入和流出規(guī)則，支持五元組（源地址、目的地址、源端口、目的端口、協(xié)議），網(wǎng)絡(luò)ACL是無(wú)狀態(tài)的，需要同時(shí)配置流入和流出規(guī)則。

  安全組和網(wǎng)絡(luò)ACL功能對(duì)比

  對(duì)比項(xiàng)	安全組	網(wǎng)絡(luò)ACL
  作用范圍	對(duì)云資源實(shí)例生效	對(duì)VPC子網(wǎng)生效
  策略對(duì)比	支持允許	支持允許和拒絕
  規(guī)則生效	會(huì)評(píng)估所有安全組規(guī)則	不評(píng)估所有規(guī)則，按照規(guī)則優(yōu)先級(jí)進(jìn)行匹配處理
  報(bào)文狀態(tài)	有狀態(tài)，會(huì)話建立后默認(rèn)放行相同會(huì)話數(shù)據(jù)包	無(wú)狀態(tài)，返回?cái)?shù)據(jù)流必須有明確規(guī)則允許

• IAM權(quán)限管理：用戶可以利用公有云的統(tǒng)一身份認(rèn)證管理服務(wù)（Identity and Access Management,簡(jiǎn)稱IAM），對(duì)VPC進(jìn)行精細(xì)化的權(quán)限管理，通過(guò)IAM權(quán)限管理，可以將VPC資源授權(quán)給其他用戶管理，包括所有權(quán)限、只讀權(quán)限、修改權(quán)限。

外部網(wǎng)絡(luò)訪問(wèn)

• 連接其他VPC：支持用戶訪問(wèn)其他VPC的云資源，用來(lái)滿足不同VPC業(yè)務(wù)網(wǎng)絡(luò)訪問(wèn)需求，主要有3種場(chǎng)景：
  1. VPC對(duì)等連接：支持通過(guò)VPC對(duì)等連接打通同賬號(hào)、跨賬號(hào)兩個(gè)VPC之間的網(wǎng)絡(luò)連接，實(shí)現(xiàn)2個(gè)VPC之間私網(wǎng)互通，構(gòu)建互聯(lián)網(wǎng)絡(luò)。
  2. VPN網(wǎng)關(guān)：支持通過(guò)VPN網(wǎng)關(guān)打通跨資源池兩個(gè)VPC之間的網(wǎng)絡(luò)連接，實(shí)現(xiàn)2個(gè)VPC之間私網(wǎng)互通，構(gòu)建互聯(lián)網(wǎng)絡(luò)。
  3. 云連接：支持通過(guò)云連接打通跨資源池兩個(gè)VPC之間的網(wǎng)絡(luò)連接，實(shí)現(xiàn)2個(gè)VPC之間私網(wǎng)互通，構(gòu)建互聯(lián)網(wǎng)絡(luò)。
• 連接公網(wǎng)：支持用戶云資源主動(dòng)訪問(wèn)公網(wǎng)，獲取公網(wǎng)資源、提供公網(wǎng)服務(wù)，可以通過(guò)彈性公網(wǎng)IP、NAT網(wǎng)關(guān)、彈性負(fù)載均衡等多種產(chǎn)品實(shí)現(xiàn)公網(wǎng)（互聯(lián)網(wǎng)）訪問(wèn)。
  1. 彈性公網(wǎng)IP：有固定的IP地址，同時(shí)也是云資源訪問(wèn)公網(wǎng)的出口IP，支持共享帶寬、共享流量包來(lái)降低用戶成本。
  2. NAT網(wǎng)關(guān)：支持VPC內(nèi)的多臺(tái)云服務(wù)器共用NAT網(wǎng)關(guān)訪問(wèn)公網(wǎng)，支持配置SNAT和DNAT規(guī)則。
  3. 彈性負(fù)載均衡：基于端口提供四層和七層負(fù)載均衡能力，支持用戶從公網(wǎng)通過(guò)彈性負(fù)載均衡訪問(wèn)云資源。
• 連接本地IDC：對(duì)于自建本地IDC的用戶，出于存量系統(tǒng)、安全等因素考慮，并非所有的業(yè)務(wù)都部署在云上，因此需要搭建混合云環(huán)境，實(shí)現(xiàn)云上VPC和云下IDC互聯(lián)；
  1. 專線連接：結(jié)合電信運(yùn)營(yíng)商的專線資源，使用物理專線將VPC和用戶本地IDC連接起來(lái)，專線具備低時(shí)延、高安全、鏈路專用等優(yōu)點(diǎn)，可以提供高質(zhì)量的網(wǎng)絡(luò)連接服務(wù)。
  2. VPN網(wǎng)關(guān)：基于Internet使用加密隧道將VPC和本地IDC連接起來(lái)，網(wǎng)絡(luò)質(zhì)量依賴Internet環(huán)境，網(wǎng)絡(luò)質(zhì)量和穩(wěn)定性低于專線連接，但是具備低成本、配置簡(jiǎn)單、即開(kāi)即用等優(yōu)點(diǎn)，對(duì)于預(yù)算不充足、業(yè)務(wù)要求不高的用戶來(lái)說(shuō)，是一個(gè)性價(jià)比較高的選擇。
  3. 云連接：將要互通的本地IDC關(guān)聯(lián)的云專線加載到云連接實(shí)例中，實(shí)現(xiàn)跨區(qū)域的VPC、IDC互聯(lián)，構(gòu)建云上、云下的互通企業(yè)網(wǎng)。

審計(jì)和監(jiān)控

云上私有網(wǎng)絡(luò)的運(yùn)維管理對(duì)用戶來(lái)說(shuō)至關(guān)重要，用戶需要知道云上私有網(wǎng)絡(luò)環(huán)境的穩(wěn)定性和安全性，第一時(shí)間知道私有網(wǎng)絡(luò)異常信息進(jìn)行故障處理、回溯。

• VPC流日志：可以記錄VPC網(wǎng)絡(luò)中彈性網(wǎng)卡ENI（Elastic Network Interface）流入和流出的網(wǎng)絡(luò)流量信息，幫助用戶監(jiān)控網(wǎng)絡(luò)流量、排查網(wǎng)絡(luò)故障、檢查訪問(wèn)控制規(guī)則等。捕獲的流日志信息包括賬號(hào)id、源地址、源端口、目的地址、目的端口、協(xié)議號(hào)等等多個(gè)參數(shù)

• VPC流量鏡像：VPC流量鏡像提供流量采集功能，可以復(fù)制經(jīng)過(guò)彈性網(wǎng)卡且符合篩選條件的網(wǎng)絡(luò)流量，復(fù)制后的鏡像流量轉(zhuǎn)發(fā)給指定的目的實(shí)例，用于流量檢查、網(wǎng)絡(luò)威脅監(jiān)控和問(wèn)題排查等場(chǎng)景，鏡像流量包括篩選條件、鏡像源、鏡像目的、鏡像會(huì)話。

• 云監(jiān)控：搭配公有云的云監(jiān)控服務(wù)，用戶可以通過(guò)云監(jiān)控控制臺(tái)方便的查看帶寬、公網(wǎng)IP的流量情況，支持用戶創(chuàng)建自定義的告警規(guī)則和通知策略，方便用戶及時(shí)了解私有云的狀況。

• 云審計(jì)：通過(guò)云審計(jì)，用戶可以記錄虛擬私有云相關(guān)的操作事件，便于日后的查詢、審計(jì)和回溯。

計(jì)費(fèi)模式

公有云提供彈性、按需付費(fèi)的云服務(wù)，對(duì)用戶來(lái)說(shuō)使用云產(chǎn)品必須要關(guān)心產(chǎn)品的計(jì)費(fèi)模式，是免費(fèi)資源還是付費(fèi)資源？

當(dāng)前公有云廠商都提供免費(fèi)的虛擬私有云服務(wù)，個(gè)別附加服務(wù)會(huì)進(jìn)行相應(yīng)的收費(fèi)，具體可以參考云服務(wù)商的幫助中心，詳細(xì)標(biāo)注了計(jì)費(fèi)模式。

免費(fèi)使用

• 基礎(chǔ)功能：私有網(wǎng)絡(luò)、子網(wǎng)、路由表

• 其他功能：彈性網(wǎng)卡、安全組、網(wǎng)絡(luò)ACL、HAVIP、DNS、DHCP

付費(fèi)使用

• 彈性公網(wǎng)IP及帶寬
• VPC流日志
• VPC流量鏡像
• 對(duì)等連接（部分云服務(wù)商免費(fèi)）
• NAT網(wǎng)關(guān)
• VPN網(wǎng)關(guān)

約束和限制

公有云服務(wù)商盡快提供了彈性、按需、可擴(kuò)展的云服務(wù)資源，在實(shí)際使用中，云服務(wù)商因平臺(tái)架構(gòu)、資源可用量及管控需要，用戶在使用云服務(wù)的過(guò)程中，會(huì)遇到這樣或那樣的約束和限制，主要有配額限制、性能限制、操作限制、資費(fèi)生效限制，在用云階段要重點(diǎn)關(guān)注。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-418930.html

參考鏈接

• AWS幫助中心：https://docs.aws.amazon.com/vpc/index.html
• 阿里云幫助中心：https://help.aliyun.com/product/27706.html
• 華為云幫助中心：https://support.huaweicloud.com/vpc/index.html

到了這里，關(guān)于圖解虛擬私有云 VPC的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！