您的位置: 首页  >  文章  >  阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

分类: 文章 2024-09-30 15:55:52

文章目录

什么是专有网络VPC?

VPC(Virtual Private Cloud)专用网络是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。用户可以在自己创建的专有网络内创建和管理云资源,例如ECS、SLB和RDS等。专有网络VPC是地域性服务,它不可以跨地域,但地域内可用区之间是可见的。

VPC主要提供了两个能力:

  • 用户可以自定义网络拓扑,包括选择自有IP地址范围、划分网段、配置路由表和网关等;
  • 通过专线或v*n与原有数据中心连接,云上和云下的资源使用同一个网络地址规划,实现应用的平滑迁移上云。

专有网络VPC基本概念

每个VPC都由一个路由器、至少一个私网网段和至少一个交换机组成。
阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

  • 路由器 vRouter
    路由器是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
  • 路由表 Route Table
    创建专有网络后,系统会自动为您创建一张默认路由表并为其添加系统路由来管理专有网络的流量。您不能创建系统路由,也不能删除系统路由,但您可以创建自定义路由,将指定目标网段的流量路由至指定的目的地。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
  • 私网网段 Subnet
    在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。您可以使用下表中标准的私网网段及其子网作为VPC的私网网段。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
  • 交换机 vSwitch
    交换机是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
  • 安全组 Sceurity Group
    安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,可以控制安全组内一台或多台ECS实例的入流量和出流量。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

专用网络VPC使用限制

阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

专有网络VPC产品计费

专有网络VPC本身不收取任何费用,但如果您在专有网络VPC上创建了相关资源,您需要为您使用的这些资源付费。

  • 如果您创建了专有网络类型的ECS实例,您需要支付ECS实例的费用。
  • 如果您创建了专有网络类型的RDS实例,您需要支付RDS实例的费用。
  • 如果您为专有网络VPC创建了NAT网关,您需要支付NAT网关的费用。
  • 如果您为专有网络VPC创建了负载均衡SLB实例,您需要支付SLB实例的费用。
  • 如果您为专有网络VPC创建了v*n网关,您需要支付v*n网关的费用。
  • 如果您为专有网络VPC创建了企业版或企业增强版IPv6网关,您需要支付IPv6网关的费用。
  • 如果您使用云企业网CEN实现专有网络VPC间互通,您需要支付CEN费用。

专有网络VPC部分资源提供共享带宽和共享流量包产品,帮助您节省公网成本。

专有网络VPC网络规划

1. 应该使用几个VPC?

  • 单个VPC简单部署
    如果您没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离,那么推荐使用一个VPC。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
  • 多个VPC
    • 多地域部署系统
      VPC是地域级别的资源,是不能跨地域部署的。当您有多地域部署系统的需求时,就必须使用多个VPC。您可以通过使用高速通道、v*n网关、云企业网等产品实现VPC互通。
      阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
    • 多业务系统隔离
      如果在一个地域的多个业务系统需要通过VPC进行严格隔离,例如生产环境和测试环境,那么也需要使用多个VPC,如下图所示。
      阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

2. 应该使用几个交换机?

首先,即使只使用一个VPC,也尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾。

同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂加上系统处理时间、跨可用区调用等原因可能产生期望之外的网络延迟。建议您进行系统优化和适配,在高可用和低延迟之间找到平衡。

其次,使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求,考虑到容灾可以将不同的前端系统部署在不同的交换机下,将后端系统部署在另外的交换机下。
阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

3. 应该选择什么网段?

阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

4. VPC与VPC互通或VPC与本地数据中心互通有什么要求?

阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

专用网络VPC与外部网络连接概述

阿里云解决方案

阿里云提供了丰富的解决方案以满足VPC内的云产品实例与公网(Internet)、其他VPC、或本地数据中心(IDC)互连的需求。
阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

VPC与公网互联产品介绍

专有网络是您自定义的云上私有网络。专有网络中的云资源默认无法访问公网,也无法被公网访问。用户可以通过配置ECS实例固定公网IP、弹性公网IP、NAT网关、负载均衡的方式连接公网。

  • ECS实例固定公网IP
    创建专有网络类型的ECS实例时,您可以选择分配公网IPv4地址,系统会为您自动分配一个支持访问公网和被公网访问的IP地址。此固定公网IP将会在ECS实例停机时被释放,启动时重新获取新固定公网IP。

  • 弹性公网IP(Elastic IP Address)
    弹性公网IP(Elastic IP Address,简称EIP),是可以独立购买和持有的公网IP地址资源。弹性公网IP是一种NAT IP。它实际位于阿里云的公网网关上,通过NAT方式映射到了被绑定的资源上。和云资源绑定后,云资源可以通过EIP与公网通信。弹性公网IP在运用时,它是不收费的,但闲置将会收取资源占用费。
    弹性公网IP的优势如下:

    • 独立购买与持有
      您可以单独持有一个弹性公网IP,作为您账户下一个独立的资源存在,无需与其它计算资源或存储资源绑定购买。
    • 弹性绑定
      您可以在需要时将弹性公网IP绑定到需要的资源上;在不需要时,将之解绑并释放,避免不必要的计费。
    • 可配置的网络能力
      您可以根据需要随时调整弹性公网IP的带宽值,带宽的修改即时生效。
      阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

  • NAT网关(NAT Gateway)
    NAT网关(NAT Gateway)是一款企业级的VPC公网网关,提供NAT代理(SNAT和DNAT)、高达10Gbps级别转发能力以及跨可用区的容灾能力。NAT网关支持多台专有网络ECS实例通过一个公网IP访问公网。
    NAT网关的优势如下:

    • 灵活易用的转发能力
      作为一款企业级VPC公网网关,NAT网关提供SNAT和DNAT功能。无需自己搭建NAT网关,可直接配置SNAT和DNAT规则。

    • 高可用
      NAT网关是基于阿里云自研分布式网关,使用SDN技术虚拟化推出的一款虚拟网络硬件。NAT网关支持10Gbps级别的转发能力,为大规模公网应用提供支撑。

    • 按需购买
      NAT网关的规格、EIP的规格和个数,均可以随时升降,轻松应对业务变化。
      阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

  • 负载均衡SLB(Server Load Balancer)
    负载均衡(Server Load Balancer,简称SLB)是对多台云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,也可以通过消除单点故障提升应用系统的可用性。负载均衡基于端口提供四层和七层负载均衡功能,支持用户从公网通过负载均衡访问ECS。
    负载均衡的优势如下:

    • SLB系统的高可用
      负载均衡实例采用集群部署,可实现会话同步,以消除服务器单点故障,提升冗余,保证服务的稳定性。

    • 单SLB实例的高可用
      负载均衡已在大部分地域部署了多可用区以实现同地域下的跨机房容灾。当主可用区出现故障或不可用时,负载均衡有能力在非常短的时间内(约30秒)切换到备可用区并恢复服务;当主可用区恢复时,负载均衡同样会自动切换到主可用区提供服务。

    • 多SLB实例的高可用
      您可以在一个地域内的多个可用区或多个地域内部署负载均衡实例和后端ECS实例,然后使用云解析DNS对访问进行调度。

    • 后端ECS实例的高可用
      负载均衡通过健康检查来判断后端ECS实例的可用性。健康检查机制提高了前端业务整体可用性,避免了后端ECS异常对总体服务的影响。
      阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

VPC与VPC互联产品介绍

  • 云企业网
    云企业网(Cloud Enterprise Network,简称CEN)帮助您在VPC间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通。您可以通过云企业网实现同账号VPC互通和跨账号VPC互通。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
    云企业网的优势如下。

    • 一网通天下
      云企业网打造的是一张能够实现阿里云全球网络资源互联、并能够与接入阿里云的网络资源互联的企业级网络。全网通过IP地址唯一性管理,避免地址冲突问题。用户不需要额外配置,网络通过控制器实现多节点、多级路由的自动转发与学习,实现全网的路由快速收敛。

    • 低时延高速率
      云企业网提供低延迟、高速率的网络传输能力。本地互通最大速率可达到设备端口转发速率。在全球互通的时延中,整体时延较公网互通时延有很大提升。

    • 就近接入与最短链路互通
      云企业网在全球超过60个地域部署了接入及转发节点,方便全球用户就近接入阿里云,避免绕行公网带来的时延及业务受损。

    • 链路冗余及容灾
      云企业网具有高可用及网络冗余性,全网任意两点之间至少存在4组独立冗余的链路。即使部分链路中断,云企业网也可以保证客户的业务正常运行,不会发生抖动及中断。

    • 系统化管理
      云企业网具有系统化的网络监控能力,自动检测由于系统变更而导致的路由冲突,保证网络运行的稳定性。

  • v*n网关
    v*n网关是一款基于Internet的网络连接服务,支持基于路由的IPsec-v*n功能。您可以使用IPsec-v*n将不同的VPC进行安全可靠的连接。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
    v*n网关的优势如下。

    • 安全
      使用IKE和IPsec协议对传输数据进行加密,保证数据安全可靠。

    • 高可用
      采用双机热备架构,故障时秒级切换,保证会话不中断,业务无感知。

    • 成本低
      基于Internet建立加密通道,比建立专线的成本更低。

    • 配置简单
      开通即用,配置实时生效,快速完成部署。

VPC与线下互联产品介绍

  • 高速通道 <官方参考>
    您可以通过租用一条运营商的专线将本地数据中心连接到阿里云接入点,建立专线连接。高速通道提供自主接入和一站式接入服务。
    物理专线接入网络质量好,带宽高。如果您对网络质量有很高的要求,建议您选择高速通道专线接入。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
  • v*n网关 <官方参考>
    通过v*n网关的IPsec-v*n将本地数据中心和VPC连接起来。v*n网关默认包含了两个不同的网关实例形成主备双机热备,主节点故障时自动切换到备节点。
    v*n网关基于Internet通信,网络延迟和可用性取决于Internet。如果您对网络延迟没有特别高的需求,建议您选择v*n网关。
    阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)
  • 云企业网

VPC重要组成说明之路由表RouteTable

VPC路由表概述

创建专有网络后,系统会自动为您创建一张默认路由表并为其添加系统路由来管理专有网络的流量。您不能创建系统路由,也不能删除系统路由,但您可以创建自定义路由,将指定目标网段的流量路由至指定的目的地。

路由表中的每一项是一条路由条目。路由条目指定了网络流量的导向目的地,由目标网段、下一跳类型、下一跳三部分组成。路由条目包括系统路由和自定义路由。

在管理路由表时,注意:

  • 每个专有网络最多可以有10张路由表,包括系统路由表。
  • 每个交换机只能绑定一张路由表。交换机(子网)的路由策略由其关联的路由表管理。
  • 交换机创建后,该交换机默认与系统路由表绑定。
  • 如果您需要将交换机绑定的自定义路由表更换成系统路由表,直接将自定义路由表与交换机解绑即可。如果您需要绑定其他路由表,需要先将交换机与当前路由表解绑,再绑定指定的自定义路由表。
  • 目前,除华北2(北京)、华南1(深圳)和华东1(杭州)外所有地域都已支持自定义路由表。(※ 2020-04更新信息)
  • 自定义路由表不支持主备路由和负载路由。

VPC路由表 - 系统路由

创建专有网络后,系统会在路由表中自动添加如下系统路由:

  • 以100.64.0.0/10为目标网段的路由条目,用于VPC内的云产品通信。
  • 以交换机网段为目标网段的路由条目,用于交换机内的云产品通信。

例如您创建了一个网段为192.168.0.0/16的专有网络,并在该专有网络下创建了两个网段为192.168.1.0/24和192.168.0.0/24的交换机,则该专有网络的路由表中会有如下三条系统路由:
阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

VPC路由表 - 自定义路由

可以添加自定义路由来替换系统路由或将目标流量路由到指定的目的地。在添加自定义路由时,您可以指定以下下一跳类型:

  • ECS实例:将指向目标网段的流量转发到专有网络内的一台ECS实例。
    当需要通过该ECS实例部署的应用访问互联网或其他应用时,配置此类型的路由。

  • v*n网关:将指向目标网段的流量转发到一个v*n网关。
    当需要通过v*n网关连接本地网络或者其他专有网络时,配置此类型的路由。

  • NAT网关:将指向目标网段的流量转发到一个NAT网关。
    当需要通过NAT网关连接互联网时,配置此类型的路由。

  • 路由器接口(专有网络方向):将指向目标网段的流量转发到一个专有网络内。
    当需要使用高速通道连接两个专有网络时,配置此类型的路由。

  • 路由器接口(边界路由器方向):将指向目标网段的流量转发到一个边界路由器。
    当需要使用高速通道连接本地网络(物理专线接入)时,配置此类型的路由。

  • 辅助弹性网卡:将指向目标网段的流量转发到指定的辅助弹性网卡。

  • IPv6网关:将指向目标网段的流量转发到一个IPv6网关。
    当需要通过IPv6网关进行IPv6通信时,配置此类型的路由。

选路规则

路由表采用最长前缀匹配原则作为流量的路由选路规则。最长前缀匹配是指当路由表中有多条路由条目可以匹配目的IP时,采用掩码最长(最精确)的一条路由作为匹配项并确定下一跳。
阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

如果访问目标地址10.10.10.10,那么系统路由不会选择10.0.0.0/8路由,而是选择掩码最长的24位,10.10.10.0/24路由来访问目标地址。如果访问目标地址10.20.20.20,那么只有10.0.0.0/8路由可以匹配。

在与线下互联时,阿里云路由表只是其中一部分,还有边界路由器、线下路由器配合才可以最终构成这条路联通。
阿里云ACP认证之专用网络VPC知识整理(考题占比 9%)

VPC重要组成说明之安全组Security Group

专有网络目前没有独立的访问控制策略。当前在专有网络中进行访问控制,依赖各个云产品的访问控制能力。例如云服务器(ECS)通过设置安全组来进行访问控制,负载均衡(SLB)和云数据库RDS通过白名单来进行访问控制。

  • ECS安全组
    安全组是一种虚拟防火墙,具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。
    当您创建专有网络类型的ECS实例时,可以使用系统提供的默认安全组规则。您可以更改默认安全组的规则,但无法删除默认安全组。
  • RDS白名单
    基于云数据库RDS版的白名单功能,您可定义允许访问RDS的IP地址,指定之外的IP地址将被拒绝访问。在专有网络中使用RDS产品时,需要将云服务器的IP地址加入到需要访问的RDS的白名单后,云服务器才能访问RDS实例。
  • SLB白名单
    负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。您可以为负载均衡监听设置仅允许哪些IP访问,适用于应用只允许特定IP访问的场景。

相关推荐