推薦閱讀：《虛擬私有云 VPC》

1.什么是 VPC

VPC 是用戶在云上可自己掌控的 私有網(wǎng)絡(luò)環(huán)境，例如 選擇 IP 地址范圍、配置路由表和網(wǎng)關(guān)、構(gòu)建混合云 等。用戶還可以在自己定義的 VPC 中使用如 云服務(wù)器、云數(shù)據(jù)庫 和 負(fù)載均衡 等產(chǎn)品。

VPC 初期主要解決兩個核心問題：一是 多租戶網(wǎng)絡(luò)隔離問題，二是隨之帶來的 用戶從 VPC 內(nèi)訪問眾多云服務(wù)的問題。隨著越來越多的企業(yè)用戶上云，企業(yè)級網(wǎng)絡(luò)的需求越來越多，VPC 要解決的問題也包括 幫助企業(yè)更平滑地上云，讓企業(yè)在線下 IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）里的網(wǎng)絡(luò)架構(gòu)、運維管理體系能平滑地遷移到云上。

VPC 的核心是 為每個租戶都提供一個類似于線下 IDC 那樣的完全隔離的、可自定義的網(wǎng)絡(luò)環(huán)境。在 VPC 中，有和線下 IDC 對應(yīng)的 虛擬路由器、虛擬交換機 和 虛擬防火墻。這些虛擬路由器、虛擬交換機、虛擬防火墻對于大多數(shù)場景是免費的，用戶還可以自定義各種配置，如下圖所示。

2.VPC 的組成

云網(wǎng)絡(luò)顛覆了傳統(tǒng)數(shù)據(jù)中心的組網(wǎng)方式。VPC 讓用戶感知不到線下數(shù)據(jù)中心各種復(fù)雜的物理網(wǎng)絡(luò)設(shè)備和物理連線。用戶在 VPC 中看到的是 虛擬交換機 和 虛擬路由器。

2.1 虛擬交換機

在一個 VPC 內(nèi)部一般有多個不同的子網(wǎng)。一個虛擬交換機（vSwitch）對應(yīng)一個子網(wǎng)。每個子網(wǎng)都可以對應(yīng)不同的功能、業(yè)務(wù)，或業(yè)務(wù)部門，如下圖所示。

網(wǎng)絡(luò)是為上層應(yīng)用和業(yè)務(wù)服務(wù)的，對應(yīng)于不同的應(yīng)用和業(yè)務(wù)架構(gòu)有不同的子網(wǎng)。對于中大型企業(yè)，每個業(yè)務(wù)部門都有不同的業(yè)務(wù)和應(yīng)用，子網(wǎng)劃分會變得更加復(fù)雜，原則如下。

• 不同功能區(qū)劃分不同子網(wǎng)。最直觀的例子就是把網(wǎng)絡(luò)劃分為公有子網(wǎng)和私有子網(wǎng)。公有子網(wǎng)對應(yīng)線下 IDC 的 DMZ 區(qū)，和互聯(lián)網(wǎng)直接交互。私有子網(wǎng)對應(yīng)線下 IDC 的應(yīng)用服務(wù)器區(qū)，不直接和互聯(lián)網(wǎng)交互，而是和 DMZ 的前置機交互。
• 不同應(yīng)用劃分不同子網(wǎng)。如果企業(yè)內(nèi)部有多個不同的部門，或者有多個相對獨立的不同應(yīng)用，那么可以把不同部門或不同應(yīng)用劃分到對應(yīng)的子網(wǎng)，對不同子網(wǎng)內(nèi)的資源進行相對獨立的管理，還可以在子網(wǎng)邊界上通過網(wǎng)絡(luò) ACL 設(shè)置相應(yīng)的安全策略和訪問控制。

2.2 虛擬路由器

虛擬路由器（vRouter）是 VPC 的樞紐。作為 VPC 中重要的功能組件，它可以連接 VPC 內(nèi)的各個交換機，同時是連接 VPC 和其他網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備。每個 VPC 創(chuàng)建成功后，系統(tǒng)都會自動創(chuàng)建一個路由器，每個路由器都關(guān)聯(lián)一張路由表。在云網(wǎng)絡(luò)中，大部分路由都是默認(rèn)添加好了的，如果用戶沒有特殊需求，不需要額外配置，但用戶在自定義網(wǎng)關(guān)和代理、混合云、多 VPC 互聯(lián)等場景下需要在虛擬路由器上自定義路由的配置。

• 主路由表：每個 VPC 都只有一個主路由表。主路由表里有 VPC 網(wǎng)段的本地路由，還有云服務(wù)的系統(tǒng)路由。用戶在主路由表里可以配置自定義路由，自定義路由的下一跳為 ECS 實例、彈性網(wǎng)卡、VPC Peering、虛擬邊界路由器等。
• 子網(wǎng)路由表：主路由表是 VPC 粒度 的，子網(wǎng)路由是 子網(wǎng) / 交換機粒度 的。如果交換機關(guān)聯(lián)了子網(wǎng)路由，那么會優(yōu)先查子網(wǎng)路由表里的路由。通過子網(wǎng)路由，用戶的網(wǎng)絡(luò)將具備一些高級的功能，如在 VPC 中部署集中式防火墻，或者后端應(yīng)用子網(wǎng)只關(guān)聯(lián)私網(wǎng)路由表，前端 DMZ 子網(wǎng)關(guān)聯(lián)公網(wǎng)路由表。

3.VPC 網(wǎng)絡(luò)規(guī)劃

對一個網(wǎng)絡(luò)來講，網(wǎng)絡(luò)規(guī)劃是最基礎(chǔ)的，也是第一步。對于云上網(wǎng)絡(luò)規(guī)劃，我們要考慮的常見問題包括：

• 需要使用多少個 VPC；
• 需要使用多少個交換機；
• 選擇什么地址段；
• 每個地址段規(guī)劃多大；
• 未來業(yè)務(wù)會如何發(fā)展；
• 云上 VPC 和云下 IDC 構(gòu)建混合云，怎么規(guī)劃地址空間；
• 如何避免地址沖突。

在創(chuàng)建 VPC 和交換機前，需要結(jié)合業(yè)務(wù)的具體情況來規(guī)劃 VPC 和交換機的數(shù)量及網(wǎng)段等。

3.1 VPC 數(shù)量規(guī)劃

如果用戶沒有多地域部署系統(tǒng)的要求，各系統(tǒng)之間也不需要通過 VPC 隔離，那么可以考慮使用一個 VPC。反之，如果用戶有在多地域部署系統(tǒng)的需求，或者在一個地域的不同業(yè)務(wù)系統(tǒng)間需要隔離，則需要使用多個 VPC。例如，生產(chǎn)環(huán)境和測試環(huán)境的隔離，如下圖所示。

另外，集團企業(yè)不同于子公司的業(yè)務(wù)系統(tǒng)往往也要求進行業(yè)務(wù)隔離，此時，可以考慮為每個子公司配置一個 VPC，但對有通信需求的子公司 VPC，可以加入云企業(yè)網(wǎng)，通過路由等策略進行進一步的通信控制。

3.2 交換機數(shù)量規(guī)劃

即使只使用一個 VPC，也盡量使用至少兩個交換機，并且將兩個交換機布置在不同可用區(qū)，這樣可以實現(xiàn)跨可用區(qū)容災(zāi)。

同一地域不同可用區(qū)之間的網(wǎng)絡(luò)通信時延很小，但也需要經(jīng)過業(yè)務(wù)系統(tǒng)的適配和驗證。系統(tǒng)調(diào)用復(fù)雜、應(yīng)用層處理時間長、跨可用區(qū)多次調(diào)用等原因，可能產(chǎn)生期望之外的網(wǎng)絡(luò)時延，需要進行系統(tǒng)優(yōu)化和適配，在高可用和低時延之間找到平衡。

使用多少個交換機還和系統(tǒng)規(guī)模、系統(tǒng)規(guī)劃有關(guān)。如果前端系統(tǒng)可以被公網(wǎng)訪問并且有主動訪問公網(wǎng)的需求，考慮到容災(zāi)的需要，可以將不同的前端系統(tǒng)部署在不同的交換機下，將后端系統(tǒng)部署在另外的交換機下。

3.3 地址空間規(guī)劃

對于 VPC 網(wǎng)段的選擇，用戶可以使用 192.168.0.0/16、172.16.0.0/12、10.0.0.0/8 這三個私網(wǎng)網(wǎng)段及其子網(wǎng)作為 VPC 的私網(wǎng)地址范圍。在規(guī)劃 VPC 網(wǎng)段時，請注意：

• 如果云上只有一個 VPC 并且不需要和云下數(shù)據(jù)中心互通，那么可以選擇上述私網(wǎng)網(wǎng)段中的任何一個網(wǎng)段或其子網(wǎng)。
• 如果有多個 VPC，或者有 VPC 和云下數(shù)據(jù)中心構(gòu)建混合云的需求，那么建議使用上面這些標(biāo)準(zhǔn)網(wǎng)段的子網(wǎng)作為 VPC 的網(wǎng)段，掩碼建議不超過 16 位。

對于交換機網(wǎng)段的選擇，首先，交換機的網(wǎng)段必須是其所屬 VPC 網(wǎng)段的子集。例如，VPC 的網(wǎng)段是 192.168.0.0/16，那么該 VPC 下的交換機的網(wǎng)段可以是 192.168.0.0/17，一直到 192.168.0.0/29。其次，在規(guī)劃交換機網(wǎng)段時，請注意：

• 交換機的網(wǎng)段大小在 $16$ 位網(wǎng)絡(luò)掩碼與 $29$ 位網(wǎng)絡(luò)掩碼之間，可提供 $8?65536$ 個地址。$16$ 位掩碼能支持 $65532$ 個 ECS 實例，對于絕大多數(shù)用戶來說都是夠用的。而對于小于 $29$ 位掩碼的，容納的實例數(shù)量太少，沒有意義。
• 每個交換機的第一個和最后三個 IP 地址為系統(tǒng)保留地址。以 192.168.1.0/24 為例，192.168.1.0、192.168.1.253、192.168.1.254 和 192.168.1.255 是系統(tǒng)保留地址。

對于多 VPC 互通或者構(gòu)建混合云的場景，確保 VPC 的網(wǎng)段和要互通的網(wǎng)絡(luò)的網(wǎng)段都不沖突，建議遵循以下網(wǎng)段規(guī)劃原則：

• 盡可能做到不同 VPC 的網(wǎng)段不同，不同 VPC 可以使用標(biāo)準(zhǔn)網(wǎng)段的子網(wǎng)來增加 VPC 可用的網(wǎng)段數(shù)。
• 如果不能做到不同 VPC 的網(wǎng)段不同，則盡量保證不同 VPC 的交換機網(wǎng)段不同。
• 如果也不能做到交換機網(wǎng)段不同，則保證要通信的交換機網(wǎng)段不同。

有的云服務(wù)商提供了私網(wǎng) NAT 產(chǎn)品來解決地址沖突又需要通信的問題，我們建議在規(guī)劃時就避免這個問題。

地址空間規(guī)劃中一個需要重點考慮的問題是 VPC 或者交換機能容納的實例數(shù)量，也就是業(yè)務(wù)規(guī)模。對于大部分用戶來說，這可能不是問題，但對于部分企業(yè)級大用戶，尤其是采用云原生技術(shù)架構(gòu)的用戶來說，單 VPC 可能需要容納幾萬，甚至更多的實例。

3.4 不同規(guī)模企業(yè)地址空間規(guī)劃實踐

擁有 50 臺左右服務(wù)器的中小企業(yè)，沒有多地域部署和混合云需求，在大部分情況下，一個 VPC 就夠用了，選擇系統(tǒng)默認(rèn)的 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 三個網(wǎng)絡(luò)地址段之一即可。它們都是 RFC1918 定義的私網(wǎng)地址段，網(wǎng)絡(luò)地址掩碼不同，每個網(wǎng)段容納的主機數(shù)量也不同。但不管哪個地址段，對于中小企業(yè)來說都是夠用的。所以，根據(jù)歷史習(xí)慣，選擇對應(yīng)的網(wǎng)段即可。

對于交換機，默認(rèn)建議至少使用兩臺交換機，并且這兩臺交換機分布在不同可用區(qū)。當(dāng)然，分布在不同可用區(qū)，時延可能會稍微增加，用戶可以根據(jù)自己的業(yè)務(wù)系統(tǒng)對時延的要求做出選擇。

中大型企業(yè)，出于高可用和提升用戶體驗的目的，往往在不同地域部署業(yè)務(wù)系統(tǒng)，這些業(yè)務(wù)系統(tǒng)有內(nèi)網(wǎng)通信需求。為了做到跨可用區(qū)容災(zāi)，每個地域還需要把業(yè)務(wù)系統(tǒng)部署在多個可用區(qū)。此外，還涉及和線下 IDC 互通、生產(chǎn)和測試系統(tǒng)嚴(yán)格隔離等需求。此時，VPC 的地址空間規(guī)劃就會稍微復(fù)雜一些。整體原則是保持可擴展性，避免地址沖突。

多地域部署業(yè)務(wù)系統(tǒng)，必然需要使用多個 VPC，而默認(rèn)的 VPC 地址段有三個，為了避免地址沖突，除上述提到的用不同網(wǎng)段的地址空間外，還可以把一個類型的網(wǎng)段的網(wǎng)絡(luò)掩碼變長一些。比如 10.0.0.0/8 的地址空間可以被拆成 10.1.0.0/16、10.2.0.0/16 …… 10.255.0.0/16，共 256 個子地址空間。我們可以把 VPC 的地址空間規(guī)劃成 /16 掩碼的，這樣每個 VPC 的地址空間都是獨立和互不沖突的。同時，需要保證線下 IDC 的地址空間不發(fā)生沖突。對于生產(chǎn)環(huán)境和測試環(huán)境的嚴(yán)格隔離，只需要把生產(chǎn)系統(tǒng)和測試系統(tǒng)分別部署到不同 VPC 即可，但考慮到未來可能的通信需求，也建議在規(guī)劃時考慮地址沖突問題。因為需要跨可用區(qū)容災(zāi)，所以在每個 VPC 內(nèi)至少要使用兩臺交換機。

為了滿足多地域和混合云內(nèi)網(wǎng)通信需求，必然要使用 云企業(yè)網(wǎng)。和 VPC 是地域級別的網(wǎng)絡(luò)不同，云企業(yè)網(wǎng)是一個 全球網(wǎng)絡(luò)，絕大多數(shù)用戶使用一個云企業(yè)網(wǎng)即可。云企業(yè)網(wǎng)提供了強大的路由控制能力以實現(xiàn)云企業(yè)網(wǎng)內(nèi)不同的實例之間精細(xì)的訪問控制。

4.VPC 網(wǎng)絡(luò)高可靠設(shè)計

網(wǎng)絡(luò)設(shè)計中十分關(guān)鍵的一環(huán)就是高可靠設(shè)計。網(wǎng)絡(luò)可靠性涉及網(wǎng)絡(luò)部署、網(wǎng)絡(luò)鏈路等層面。從 VPC 角度看，主要是業(yè)務(wù)部署的可靠性。多可用區(qū)、多地域 的網(wǎng)絡(luò)部署可以讓網(wǎng)絡(luò)的可靠性級別呈數(shù)量級的提升。業(yè)務(wù)部署主要從 單地域單可用區(qū)、單地域多可用區(qū)、多地域多可用區(qū) 這三層次來考慮可靠性。

4.1 單地域單可用區(qū)部署

單地域單可用區(qū)部署指只在某一個地域的某一個可用區(qū)部署業(yè)務(wù)系統(tǒng)，這樣的業(yè)務(wù)部署可以獲得最低的網(wǎng)絡(luò)時延，但如果業(yè)務(wù)部署所在的可用區(qū)出現(xiàn)故障（概率低），或者某個可用區(qū)的業(yè)務(wù)系統(tǒng)本身出現(xiàn)故障，那么整個業(yè)務(wù)系統(tǒng)將不可用。從可靠性角度來說，這是不推薦的業(yè)務(wù)部署方式。

4.2 單地域多可用區(qū)部署

單地域多可用區(qū)部署指在某一個地域的多個可用區(qū)部署業(yè)務(wù)系統(tǒng)。即使用一個 VPC，且 VPC 內(nèi)至少使用兩臺分布在不同可用區(qū)的交換機，如下圖所示。在業(yè)務(wù)系統(tǒng)支持的情況下，單地域多可用區(qū)部署業(yè)務(wù)系統(tǒng)可以避免單個可用區(qū)故障導(dǎo)致的系統(tǒng)不可用。單地域部署不能避免的是整個地域不可用導(dǎo)致的系統(tǒng)不可用，當(dāng)然發(fā)生這種情況的概率極低。將子網(wǎng)分布在不同可用區(qū)，在不同可用區(qū)同時部署業(yè)務(wù)，可以支持 同城雙活 和 同城多可用區(qū) 高可靠解決方案的構(gòu)建，云網(wǎng)絡(luò)是天然支持這種部署方式的。

需要注意的是，阿里云的子網(wǎng)只能歸屬到一個可用區(qū)。構(gòu)建同城雙活、同城多可用區(qū)高可靠方案，需創(chuàng)建多個對應(yīng)的子網(wǎng)。

4.3 多地域多可用區(qū)部署

多地域多可用區(qū)部署指在多個地域，且在每個地域的多個可用區(qū)部署業(yè)務(wù)系統(tǒng)。這是最可靠的業(yè)務(wù)部署方式。對于一些大企業(yè)用戶，單地域多可用區(qū)的高可靠方案，仍然無法滿足其高可靠需求，此時需要使用多地域多可用區(qū)的高可靠方案，如銀行的 兩地三中心 方案。這種多地域業(yè)務(wù)部署的網(wǎng)絡(luò)互聯(lián)方案可以通過云網(wǎng)絡(luò)產(chǎn)品構(gòu)建。云企業(yè)網(wǎng)可以把多個地域的不同 VPC 連接起來，讓用戶方便地部署多地域多可用區(qū)的網(wǎng)絡(luò)架構(gòu)，如下圖所示。

5.VPC 網(wǎng)絡(luò)安全設(shè)計

網(wǎng)絡(luò)安全是關(guān)鍵一環(huán)，涉及面非常廣，包括租戶安全隔離、通信安全、安全防護等。這里僅從 VPC 角度出發(fā)介紹相關(guān)的網(wǎng)絡(luò)安全設(shè)計，包括網(wǎng)絡(luò)層面的訪問控制、網(wǎng)絡(luò)流量的加解密，以及為了實現(xiàn)更高級別的應(yīng)用層安全所需要的流量鏡像等。

5.1 網(wǎng)絡(luò) ACL

網(wǎng)絡(luò) ACL（Network Access Control List）是 VPC 中的網(wǎng)絡(luò)訪問控制功能。用戶可以自定義設(shè)置網(wǎng)絡(luò) ACL 規(guī)則，并將網(wǎng)絡(luò) ACL 與交換機綁定，實現(xiàn)對交換機中云服務(wù)器 ECS 實例的流量訪問控制。

子網(wǎng)間網(wǎng)絡(luò)訪問控制策略：網(wǎng)絡(luò)安全設(shè)計中很重要的一點是劃分網(wǎng)絡(luò)安全邊界。在把不同業(yè)務(wù)或不同部門劃分到 VPC 的不同子網(wǎng)后，可以通過網(wǎng)絡(luò) ACL，在不同的子網(wǎng)邊界部署安全訪問控制策略，以實現(xiàn)網(wǎng)絡(luò)的安全訪問控制。

網(wǎng)絡(luò) ACL 的規(guī)則是無狀態(tài)的，在設(shè)置入方向規(guī)則的允許請求后，需要同時設(shè)置相應(yīng)的出方向規(guī)則，否則可能導(dǎo)致請求無法響應(yīng)。

VPC 邊界的網(wǎng)絡(luò)訪問控制策略：VPC 存在和外部網(wǎng)絡(luò)互聯(lián)的邊界，將網(wǎng)絡(luò) ACL 應(yīng)用到對應(yīng)的子網(wǎng) / 交換機可以實現(xiàn)對互聯(lián)網(wǎng)流量的網(wǎng)絡(luò)訪問控制，如下圖所示。

比較典型的應(yīng)用場景包括：

• 黑白名單：明確拒絕或接受一些公網(wǎng) IP 地址的流量。
• 主動安全防護：僅放行一些特定協(xié)議和端口的流量到后端。

5.2 安全組

網(wǎng)絡(luò) ACL 是對應(yīng) 子網(wǎng)粒度 的訪問控制策略，而對應(yīng) 主機粒度 的訪問控制策略，是 安全組。

安全組是一種虛擬防火墻，具備狀態(tài)檢測和數(shù)據(jù)包過濾的功能，用于在云端劃分安全域。通過配置安全組規(guī)則，可以控制安全組內(nèi) ECS 實例的入流量和出流量。

安全組是有狀態(tài)的。例如，在會話期內(nèi)，如果連接的數(shù)據(jù)包在入方向是被允許的，則在出方向也是被允許的。

5.3 流量加密

VPN 產(chǎn)品訪問云上的數(shù)據(jù)通過 IPSec 和 SSL VPN 方式進行加密，負(fù)載均衡產(chǎn)品訪問云上的數(shù)據(jù)通過 HTTPS 方式進行加密。一些對安全性要求較高的行業(yè)，對于 VPC 內(nèi)私網(wǎng)數(shù)據(jù)也有加密的需求。

5.4 流量鏡像

在一些場景下，用戶需要對流量做深層次的分析，例如詳細(xì)的流量內(nèi)容審計或者深入的安全趨勢分析就用到了流量鏡像。

流量鏡像將用戶想要分析的流量鏡像發(fā)送到一個目的地址，此時發(fā)送的流量包含報文頭和流量負(fù)載內(nèi)容，如下圖所示。

6.VPC 的運維管理

企業(yè)級云網(wǎng)絡(luò)對運維和管理的要求較高，包括分權(quán)分域維護、流日志管理等。

6.1 共享 VPC

中大型企業(yè)用戶的 IT 架構(gòu)一般比較復(fù)雜，對網(wǎng)絡(luò)的運維能力要求也比較高，很多大企業(yè)的網(wǎng)絡(luò)運維團隊和業(yè)務(wù)運維團隊是分開的，對資源的分權(quán)分域要求也比較高，因此，阿里云推出了共享 VPC（Shared VPC）功能，如下圖所示。

共享 VPC 的核心是支持網(wǎng)絡(luò)架構(gòu)由網(wǎng)絡(luò)管理員統(tǒng)一構(gòu)建、設(shè)計和管理，可以做到業(yè)務(wù)運維團隊感知不到底層的網(wǎng)絡(luò)架構(gòu)，專注于服務(wù)器、數(shù)據(jù)庫等應(yīng)用資源的管理和維護。網(wǎng)絡(luò)管理員在部署完成整個云網(wǎng)絡(luò)架構(gòu)后，可以通過共享 VPC 把不同的子網(wǎng) / 交換機共享（分配）給不同的業(yè)務(wù)團隊使用，業(yè)務(wù)團隊只需要在子網(wǎng)中部署應(yīng)用系統(tǒng)，無須關(guān)注 VPC 間的互聯(lián)方案、防火墻、安全、公網(wǎng)等較復(fù)雜的網(wǎng)絡(luò)配置。

6.2 流日志

VPC 提供流日志（Flowlog）功能， 可以記錄 VPC 中彈性網(wǎng)卡（Elastic Network Interface，ENI）傳入和傳出的流量信息，幫助用戶檢查訪問控制規(guī)則、監(jiān)控網(wǎng)絡(luò)流量和排查網(wǎng)絡(luò)故障。

用戶可以捕獲指定彈性網(wǎng)卡、指定 VPC 或交換機的流量。如果選擇為 VPC 或交換機創(chuàng)建流日志，則會捕獲 VPC 和交換機中所有彈性網(wǎng)卡的流量，包括在開啟流日志功能后新建的彈性網(wǎng)卡。

流日志功能的流量信息會以流日志記錄的方式寫入日志服務(wù)中。每條流日志記錄會捕獲特定捕獲窗口中的特定五元組網(wǎng)絡(luò)流。捕獲窗口大約為 10 分鐘，流日志服務(wù)在這段時間內(nèi)會先聚合數(shù)據(jù)，再發(fā)布流日志記錄。文章來源地址http://www.zghlxwxcb.cn/news/detail-846511.html

到了這里，關(guān)于【云計算】云數(shù)據(jù)中心網(wǎng)絡(luò)（一）：VPC的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！