什么是VPC
VPC全称是Virtual Private Cloud,中文一般叫做专有网络,作用主要是做网络隔离。如下图所示192.168.0.0/16网络就是一个VPC,VPC内共有2个子网,分别位于可用区A和可用区B。
image.png
、
VPC内数据传输
一个VPC内的ECS实例之间的传输数据包都会加上隧道封装,带有唯一的隧道号标识,然后通过物理网络上进行传输。不同VPC内的ECS实例由于所在的隧道号不同,本身处于两个不同的路由平面,因此不同VPC内的ECS实例无法进行通信,天然地进行了隔离。
- 不同VPC之间ECS无法直接通信。
- 创建VPC后,可以通过创建交换机为VPC划分一个或多个子网。
- 相同子网内的ECS,通过交换机相互通信;不同子网下的ECS,通过路由器相互连接。
- 每个VPC有且只有一个路由器,每个路由器可维护多张路由表。
- 同一个地域,同一个账号,可以创建相同的VPC(相同的网段),因为网络最终落实的载体是ECS、路由器和交换机,只要给ECS分配的IP是VPC内的IP,则机器就在VPC下。
VPC之间互连
- 通过公网IP/NAT IP连接。
- 通过云企业网(CEN, Cloud Enterprise Network)相互连接。一般用于跨地域互通。
- 通过VPC对等连接。
VPC对等连接:
发起端和接收端
- 在建立VPC对等连接时,要连接的两端VPC,一个是发起端,另一个是接收端。主动发起VPC对等连接请求的一方被称为发起端,被动等待连接请求的一方被称为接收端。发起端和接收端仅用于控制连接建立的过程,在实际进行网络通信时,通信链路是双向的,发起端和接收端没有任何差别,相当于在同一个网络中。
- 对于同账号的VPC对等连接,发起端发起VPC对等连接请求后,系统会自动接收连接请求并建立连接,无需接收端接收连接请求。
- 对于跨账号的VPC对等连接,接收方可以接收或者拒绝连接请求,只有接收了连接请求,VPC对等连接才会激活。
- 发起端和接收端的VPC可以是同地域的,也可以是跨地域的。
域名解析
一个VPC内部,都有一个PrivateZone作为DNS服务器,对该VPC内的域名进行域名解析。
网络安全
- 安全组: 可以通过将ECS加入安全组来进行访问控制(入方向:策略,协议,端口范围,源地址;出方向:策略,协议,端口范围,目的地址)。
- ACL:可以将VPC(子网)加入ACL来进行访问控制(入方向:优先级,策略(允许/拒绝),协议,源地址,目的端口;出方向:优先级,策略(允许/拒绝),协议,目的地址,目的端口)。
ACL和安全组区别
- 范围: ACL防护的是子网(交换机)内所有的ECS,安全组防护的是加入安全组的ECS,一个ECS可以加入多个安全组。
- 优先级: ACL有优先级,从高到低匹配,安全组无优先级,任意一条满足即可。
- 返回数据流状态: ACL无状态,返回数据流必须明确允许,安全组有状态,返回的数据流自动允许。
其他
附加网段
阿里云的VPC可以添加附加网段。
您可以选择使用主IPv4网段或附加网段来创建交换机,但每个交换机的网段只能属于VPC的1个网段。同主IPv4网段一样,使用附加网段创建交换机时,系统也会在VPC的路由表中自动添加一条目标网段为交换机使用网段的路由。交换机使用的网段不能与所属VPC的路由表中其他路由的目标网段范围相同或大于该范围。
附加网段和主网段可以互通,只要主网段内的ECS实例与附加网段内的ECS实例加入同一安全组且被VPC的网络ACL规则允许通行;主网段和附加网段可以通过网络ACL或者安全组实现禁止互通。
添加附加网段后,云企业网是否会自动添加附加网段路由?
如果您的VPC已经加载到云企业网,为该VPC添加附加网段后,当在附加网段中创建交换机时,云企业网会自动添加以交换机网段为目标网段的路由到云企业网的路由表中。
