1.什么是VPC
VPC英文全称是Virtual Private Cloud ,即虚拟专用网,是云平台上的一个逻辑隔离的私密区域。租户可在其定义的虚拟网络中使用云服务器、云容器、云数据库等云计算资源,拥有完全控制虚拟网络的权限。可使用安全组限制传入流量。简单地说,它可以帮助租户保护您的环境,并提供传入流量的完全权限。
VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外,您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通,灵活整合资源,构建混合云网络。
VPC使用网络虚拟化技术,通过链路冗余,分布式网关集群,多AZ部署等多种技术,保障网络的安全、稳定、高可用。
2. VPC使用场景
虚拟私有云(Virtual Private Cloud,以下简称VPC),为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户中资源的安全性,简化用户的网络部署。与传统网络相比,VPC为用户提供了更多的自主操作能力。在VPC内可以创建子网,并用创建好的子网创建弹性云服务器应用。创建弹性云服务器时,可以选择安全组,为其在VPC内提供安全的隔离环境。
用户如何规划VPC?主要包括两个方面:第一是规划几个VPC,第二是在VPC内部创建什么样的子网。每个VPC为一个隔离的网络环境,如果没有隔离需要,您只需要创建一个VPC;如果有隔离需求,隔离的业务可以部署在不同的VPC,不同VPC默认隔离。每个VPC可以创建多个子网,子网之间的访问控制通过安全组实现。通过安全组可以配置在同一个VPC内不同子网的通信需求。另外,华为云Stack 6.5.1 中的default安全组允许在相同安全组内的子网互通,所以如果弹性云服务器在一个VPC内,并选择default安全组,弹性云服务器可以互通。VPC内的子网用户可以自定义,推荐使用如下几个网段:192.168.0.0/16、172.16.0.0/12、10.0.0.0/8。
VPC内创建的子网都是VXLAN类型。用户不用关心底层网络如何配置,VPC内子网创建都是自动化完成。
3.华为VPC产品架构
虚拟私有云VPC产品架构可以分为:VPC的组成、安全、VPC连接。
3.1 VPC组成部分
每个虚拟私有云VPC由一个私网网段、路由表和至少一个子网组成。
- 私网网段:用户在创建虚拟私有云VPC时,需要指定虚拟私有云VPC使用的私网网段。当前虚拟私有云VPC支持的网段有10.0.0.0/8~24、172.16.0.0/12~24和
- 192.168.0.0/16~24。
- 子网:云资源(例如云服务器、云数据库等)必须部署在子网内。所以,虚拟私有云VPC创建完成后,您需要为虚拟私有云VPC划分一个或多个子网,子网网段必须在私网网段内。更多信息请参考子网。
- 路由表:在创建虚拟私有云VPC时,系统会自动生成默认路由表,默认路由表的作用是保证了同一个虚拟私有云VPC下的所有子网互通。当默认路由表中的路由策略无法满足应用(比如未绑定弹性公网IP的云服务器需要访问外网)时,您可以通过创建自定义路由表来解决。
3.2安全
安全组与网络ACL(Access Control List)用于保障虚拟私有云VPC内部署的云资源的安全。安全组类似于虚拟防火墙,为同一个VPC内具有相同安全保护需求并相互信任的云资源提供访问策略,更多信息请参考安全组简介;您可以为具有相同网络流量控制的子网关联同一个网络ACL,通过设置出方向和入方向规则,对进出子网的流量进行精确控制,更多信息请参考网络ACL简介。
3.3VPC连接
华为云提供了多种VPC连接方案,以满足用户不同场景下的诉求。具体应用场景及连接方案请参见应用场景。
- 通过VPC对等连接功能,实现同一区域内不同VPC下的私网IP互通。
- 通过EIP或NAT网关,使得VPC内的云服务器可以与公网Internet互通。
- 通过虚拟专用网络VPN、云连接、云专线及企业交换机将VPC和您的数据中心连通。
4.VPC优势
相比传统IDC来讲,VPC具有明显优势:
部署周期:传统IDC用户需要自行搭建网络并进行测试,整个周期很长,而且需要专业技术支持。而VPC用户无需工程规划,布线等复杂工程部署的工作,且用户基于业务需求在华为云上自主规划私有网络、子网和路由。
总成本方面:传统IDC用户需要机房、供电、施工、硬件物料等固定重资产投入,也需要专业的运维团队来保障网络安全。随着业务变化,资产管理成本也会随之上升。VPC有多种灵活的计费方式,加上客户无需前期投入和后期网络运维,整体上降低了TCO。
灵活性方面:传统IDC业务部署需要严格遵守前期网络规划,当业务需求发生变化时,无法便捷的动态调整网络。而VPC方面云供应商提供多种网络服务,用户可以根据具体需求搭配服务。当业务发展需要更多的网络资源(如带宽资源)时,可以方便快捷的进行动态扩展。
安全性方面:网络很难得到专业维护,安全性较差,需要配置专业的网络安全人员来看护。VPC逻辑隔离,结合网络控制ACL、安全组功能和DDoS等安全服务,保障了云上资源的安全使用。
参考资料
[1].Overview to the Amazon Virtual Private Cloud[EB/OL]. https://www.geeksforgeeks.org/overview-to-the-amazon-virtual-private-cloud/
[2]. 华为. 虚拟私有云产品介绍[EB]. 2023.文章来源:https://www.toymoban.com/news/detail-692911.html
[3]. 华为. 华为云Stack6.5.1网络配置最佳实践(Region Type I)[EB]. 2021.文章来源地址https://www.toymoban.com/news/detail-692911.html
到了这里,关于云计算之VPC的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
