导图社区阿里云专有网络 VPC

阿里云专有网络 VPC

专有网络（Virtual Private Cloud，简称VPC），帮助您基于阿里云构建一个逻辑隔离的云上数据中心。专有网络由逻辑网络设备（如虚拟路由器，虚拟交换机）组成，可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。

编辑于2024-01-01 16:12:45

阿里云
VPC
专有网络

宇尘

他的近期作品查看更多>>

DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图，主要内容包括：DPIA模版，DPIA概述和范围，如何执行DPIA，可接受的DPIA标准，DPIA解决什么问题，DPIA执行标准。
GDPR全文和解析
本文翻译了GDPR并且添加了解析，深入剖析GDPR的各个方面，可以更好地理解这一法规的重要性，并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
信息安全技术、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术、数据安全能力成熟度模型Informatio的思维导图，主要内容包括：附录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法，附录 B (资料性附录) 能力成熟度等级评估参考方法，DSMM架构，附录 A(资料性附录) 能力成熟度等级描述与 GP，DSMM-数据安全过程维度，DSMM-安全能力维度。

阿里云专有网络 VPC

社区模板帮助中心，点此进入>>

宇尘

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 33.9k
- 909
- 2.4k
- 390
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 14.6k
- 3
- 184
- 10
Kacyun
域控上线
- 1.6k
- 162
- 11
- 4
jackrao
python思维导图
- 5.4k
- 525
- 242
- 7
(*^▽^*)
css
- 1.2k
- 1
- 43
- 3
A张舫
CSS
- 3.3k
- 262
- 188
- 33
journey
计算机操作系统思维导图
- 4.2k
- 336
- 204
- 18
journey
计算机组成原理
- 1.5k
- 98
- 70
- 8
journey
IMX6UL(A7)
- 512
- 40
- 5
- 0
Handler XU
考试学情分析系统
- 682
- 50
- 10
- 1
蒋龙

专有网络 VPC

什么是专有网络

专有网络是您专有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用阿里云资源，如云服务器ECS（Elastic Compute Service）、云数据库RDS（Relational Database Service）和负载均衡SLB等。

组成部分

每个专有网络都由至少一个私网网段、一个虚拟路由器和至少一个交换机组成。

私网网段

在创建专有网络和交换机时，您需要以CIDR地址块的形式指定专有网络使用的私网网段。

网段说明 192.168.0.0/16 可用私网IP数量（不包括系统保留地址）：65,532 172.16.0.0/12 可用私网IP数量（不包括系统保留地址）：1,048,572 10.0.0.0/8 可用私网IP数量（不包括系统保留地址）：16,777,212 自定义地址段除100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子网外的自定义地址段。

虚拟路由器

虚拟路由器（vRouter）是专有网络的枢纽。作为专有网络中重要的功能组件，它可以连接专有网络内的各个交换机，同时也是连接专有网络和其他网络的网关设备。每个专有网络创建成功后，系统会自动创建一个虚拟路由器。每个虚拟路由器至少关联一张路由表。

交换机

交换机（vSwitch）是组成专有网络的基础网络设备，用来连接不同的云资源。创建专有网络后，您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内，提高应用的可用性。

访问专有网络

专有网络管理控制台

：具有交互式操作的Web服务页面。您可登录控制台完成专有网络实例的创建、使用或删除

阿里云SDK

：提供Java、Go、PHP、Python、C#、C++等多种编程语言的SDK。

OpenAPI开发者门户

：提供快速检索接口、在线调用API和动态生成SDK示例代码等服务。

阿里云App：移动端类型的管理工具。

Terraform

：能够通过配置文件在阿里云以及其他支持Terraform的云商平台调用计算资源，并对其进行版本控制的开源工具。

产品架构

基于目前主流的隧道技术，专有网络VPC（Virtual Private Cloud）隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应一个虚拟化网络。

专有网络原理描述

基于目前主流的隧道技术，专有网络隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。

一个VPC内的ECS（Elastic Compute Service）实例之间的传输数据包都会加上隧道封装，带有唯一的隧道号标识，然后通过物理网络进行传输。

不同VPC内的ECS实例由于所在的隧道号不同，本身处于两个不同的路由平面，因此不同VPC内的ECS实例无法进行通信，天然地进行了隔离。

基于隧道技术和软件定义网络SDN（Software Defined Network）技术，阿里云在硬件网关和自研交换机设备的基础上推出了VPC产品。

专有网络逻辑架构

如下图所示，VPC包含交换机、网关和控制器三个重要的组件。交换机和网关组成了数据通路的关键路径，控制器使用自研协议下发转发表到网关和交换机，完成了配置通路的关键路径。配置通路和数据通路互相分离。VPC中的交换机是分布式的节点，网关和控制器都是集群部署且多机房互备，所有链路上都具备冗余容灾，提升了VPC的整体可用性。

产品优势

安全可靠

每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。VPC之间通过隧道号进行隔离：

由于VPC内部存在交换机和路由器，因此可以像传统网络环境一样划分子网。每一个子网内部的不同云服务器使用同一个交换机互联，不同子网间使用路由器互联。

不同VPC之间内部网络完全隔离，可以通过对外映射的IP（弹性公网IP和NAT IP）互连。

由于使用隧道封装技术对云服务器的IP报文进行封装，所以云服务器的数据链路层（二层MAC地址）信息不会进入物理网络，实现了不同云服务器间二层网络隔离，因此也实现了不同VPC间二层网络隔离。

VPC内的云服务器使用安全组防火墙进行三层网络访问控制。

灵活可控

您可以通过安全组规则、访问控制白名单等方式灵活地控制访问VPC内云资源的出入流量。

简单易用

您可以通过VPC控制台快速创建、管理VPC。VPC创建后，系统会自动为其创建一个路由器和路由表。

可扩展性强

您可以在一个VPC内创建不同的子网，部署不同的业务。此外，您可以将一个VPC和本地数据中心或其他VPC相连，扩展网络架构。

应用场景

安全部署应用程序

您可以将对外提供服务的应用程序部署在VPC中，并且可以通过创建安全组规则、访问控制白名单等方式控制互联网访问。您也可以在应用程序服务器和数据库之间进行访问控制隔离，将Web服务器部署在能够进行公网访问的子网中，将应用程序的数据库部署在没有配置公网访问的子网中。

部署主动访问公网的应用程序

您可以将需要主动访问公网的应用程序部署在VPC中的一个子网内，通过公网NAT网关路由其流量。通过配置SNAT规则，子网中的实例无需暴露其私网IP地址即可访问互联网，并可随时替换公网IP，避免被外界攻击。

跨可用区容灾

您可以通过创建交换机为VPC划分一个或多个子网。同一VPC内不同交换机之间内网互通。您可以通过将资源部署在不同可用区的交换机中，实现跨可用区容灾。

业务系统隔离

不同的VPC之间逻辑隔离。如果您有多个业务系统例如生产环境和测试环境要严格进行隔离，那么可以使用多个VPC进行业务隔离。当有互相通信的需求时，可以将两个VPC加入云企业网CEN（Cloud Enterprise Network）实现互通

构建混合云

VPC提供专用网络连接，可以将本地数据中心和VPC连接起来，扩展本地网络架构。通过该方式，您可以将本地应用程序无缝地迁移至云上，并且不必更改应用程序的访问方式。

基本概念

本文汇总使用专有网络VPC（Virtual Private Cloud）过程中涉及的基本概念

术语说明专有网络（VPC）专有网络VPC是您基于阿里云创建的自定义私有网络，不同的专有网络之间逻辑上彻底隔离。您可以在自己创建的专有网络内创建和管理云资源，例如云服务器ECS（Elastic Compute Service）、负载均衡SLB（Server Load Balancer）和阿里云关系型数据库RDS（Relational Database Service）等。交换机（vSwitch）交换机（vSwitch）是组成专有网络的基础网络设备。交换机可以连接不同的云资源。在专有网络内创建云资源时，必须指定云资源所连接的交换机。共享VPC 专有网络VPC的所有者账号（资源所有者）可以将VPC内的非默认交换机共享给其他阿里云账号（主账号），其他阿里云账号（主账号）可以在共享的交换机内创建云资源。当前支持共享给同一企业组织内的阿里云账号（主账号），也支持共享给任意阿里云账号（主账号）。路由路由器路由器是专有网络的枢纽。路由器可以连接专有网络的各个交换机，同时也是连接专有网络与其它网络的网关设备。路由器根据路由条目来转发网络流量。路由表：路由表是指路由器上管理路由条目的列表。系统路由表创建VPC后，系统会默认创建一张系统路由表来控制VPC的路由，VPC内所有交换机默认使用系统路由表。您不能创建也不能删除系统路由表，但可以在系统路由表中创建自定义路由条目。自定义路由表您可以在VPC内创建自定义路由表，将自定义路由表和交换机绑定，更灵活地进行网络管理。网关路由表您可以在VPC内创建自定义路由表，将自定义路由表和IPv4网关绑定，该路由表被称为网关路由表。路由条目路由表中的每一项是一条路由条目。路由条目定义了通向指定目标网段的网络流量的下一跳地址。路由条目包括系统路由和自定义路由两种类型。前缀列表前缀列表将若干CIDR地址块组成一个逻辑操作对象。您可以为一些常用的IP地址创建前缀列表，并将其作为路由表的目标地址配置路由，而不需要为每个IP地址配置路由。如果您需要扩展访问范围并要访问另外一个地址段（CIDR），则可以直接更新相关的前缀列表，引用该前缀列表的所有路由表都会自动更新。 NAT网关 NAT网关（NAT Gateway）是一种网络地址转换服务，提供NAT代理（SNAT和DNAT）能力。阿里云NAT网关分为公网NAT网关和VPC NAT网关，公网NAT网关提供公网地址转换服务，而VPC NAT网关提供私网地址转换服务，您可以根据业务需求灵活选择。 VPC对等连接专有网络VPC对等连接是两个VPC之间的网络连接，您可以通过VPC对等连接，实现两个VPC之间私网互通。您可以在您的VPC之间创建VPC对等连接，或者在您的VPC与其他阿里云账号的VPC之间创建VPC对等连接。建立VPC对等连接的VPC可以在同一个地域，也可以在不同地域。 DHCP选项集动态主机配置协议DHCP（Dynamic Host Configuration Protocol）是一种局域网的网络协议，提供了将配置信息传递到TCP/IP网络服务器的标准。通过DHCP选项集功能，您可以为专有网络VPC中的云服务器ECS实例配置域名和DNS服务器IP地址。 IPv4网关 IPv4网关是连接专有网络VPC和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。 ClassicLink 专有网络VPC提供ClassicLink功能，使经典网络的云服务器ECS实例可以和专有网络中的云资源通过内网互通。网络ACL 网络ACL（Network Access Control List）是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对交换机中云服务器ECS实例流量的访问控制。安全组安全组是一种虚拟防火墙，用于控制安全组内ECS实例的入流量和出流量，从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力，您可以基于安全组的特性和安全组规则的配置在云端划分安全域。高可用虚拟IP 高可用虚拟IP（High-Availability Virtual IP Address，简称HaVip）是一种可以独立创建和释放的私网IP资源。HaVip可以与高可用软件（例如，Keepalived）配合使用，搭建高可用主备服务，提高业务的可用性。流日志专有网络VPC提供流日志功能，可以捕获VPC网络中弹性网卡ENI（Elastic Network Interface）的传入和传出流量信息，帮助您检查访问控制规则、监控网络流量和排查网络故障。流量镜像专有网络VPC流量镜像功能可以镜像经过ENI且符合筛选条件的报文。通过流量镜像功能，您可以复制VPC中ECS实例的网络流量，然后将复制后的网络流量转发给指定的ENI或私网传统型负载均衡实例CLB（Classic Load Balancer）实例，用于内容检查、威胁监控和问题排查等场景。闲置实例闲置实例向您展示超过闲置周期未投入使用的实例，保持关注闲置实例，有助于您更好的管理成本。标签专有网络VPC支持标签功能。您可以通过标签对专有网络、路由表和交换机进行标记和分类，便于资源的搜索和聚合。配额服务配额是指一个阿里云账号（主账号）可以使用的云资源的最大值或操作次数的最大值。阿里云服务配额可分为通用配额、API速率配额和权益配额。 RAM鉴权阿里云账号（主账号）通过创建授权策略对RAM用户进行授权，从而对专有网络VPC进行权限管理，以满足RAM用户操作VPC的多种需求。

VPC高级功能

网络ACL

网络ACL（Network Access Control List）是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对交换机中云服务器ECS实例流量的访问控制。

功能特性

网络ACL规则仅过滤绑定的交换机中ECS实例的流量（包括SLB实例转发给ECS实例的流量）。

网络ACL的规则是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。

网络ACL无任何规则时，会拒绝所有出入方向的访问。

网络ACL与交换机绑定，不过滤同一交换机内的ECS实例间的流量。

规则说明

您可以在网络ACL中添加或删除规则，更改规则后会自动应用到与其绑定的交换机。新创建的网络ACL，默认会在出方向和入方向分别生成一条规则，表示允许所有出、入方向流量。您可以删除默认规则。出方向和入方向默认规则如下表所示。

入方向规则

生效顺序协议类型源地址目的端口范围策略类型 1 ALL 0.0.0.0/0 -1/-1 允许自定义

出方向规则

生效顺序协议类型目的地址目的端口范围策略类型 1 ALL 0.0.0.0/0 -1/-1 允许自定义

网络ACL中的元素说明如下：

生效顺序

：值越小，规则的优先级越高。系统从生效顺序为1的规则开始判断，只要有一条规则与流量匹配，即应用该规则，并忽略其他规则。

例如，ECS实例请求访问目的地址为172.16.0.1的数据包，在经过如下表所示的ACL规则配置后，172.16.0.1匹配生效顺序2和生效顺序3规则中的目的地址，由于生效顺序2的优先级高于生效顺序3，所以会根据生效顺序2规则拒绝该请求。

生效顺序协议类型目的地址目的端口范围策略类型 1 ALL 10.0.0.0/8 -1/-1 允许自定义 2 ALL 172.16.0.0/12 -1/-1 拒绝自定义 3 ALL 172.16.0.0/12 -1/-1 允许自定义

策略

：针对特定流量选择允许或拒绝。

协议类型

ALL

：所有协议。当选择所有协议类型时，端口范围无法设置，为 -1/-1 ，表示不限制端口。

ICMP

：网络控制报文协议。当选择该协议类型时，端口范围无法设置，为 -1/-1 ，表示不限制端口。

GRE

：通用路由封装协议。当选择该协议类型时，端口范围无法设置，为 -1/-1 ，表示不限制端口。

TCP

：传输控制协议。当选择该协议类型时，端口范围为1~65535，设置格式为1/200或80/80，且不能设置为-1/-1

UDP

：传输控制协议。当选择该协议类型时，端口范围为1~65535，设置格式为1/200或80/80，且不能设置为-1/-1

源地址

（限入方向规则）：数据流的源地址。

目的地址

（限出方向规则）：数据流的目的地址。

目的端口范围

（限入方向规则）：入方向规则作用的端口范围。

（限出方向规则）：出方向规则作用的端口范围。

网络ACL与安全组

与交换机绑定的网络ACL规则控制流入和流出交换机的数据流，与ECS实例相关的安全组规则控制流入和流出ECS实例的数据流。网络ACL和安全组的基本差异如下表所示。

对比项网络ACL 安全组运行范围在交换机级别运行。在ECS实例级别运行。返回数据流状态无状态：返回数据流必须被规则明确允许。有状态：返回数据流会被自动允许，不受任何规则的影响。是否评估规则不评估所有规则，按照规则的生效顺序处理所有规则。执行规则前，会评估所有规则。与ECS实例的关联关系 ECS实例所属的交换机仅允许绑定一个网络ACL。一个ECS实例可加入多个安全组。

网络ACL和安全组提供的安全层如下图所示。

自定义路由表

路由表由路由条目组成，每条路由条目指定了网络流量的目的地。除系统路由表外，您还可以创建自定义路由表来管理网络流量。

操作

查看与交换机绑定的路由表

创建自定义路由表

编辑路由表的基本信息

添加和删除路由表中的路由条目

绑定交换机和路由表

解绑交换机和路由表

删除自定义路由表

DHCP选项集

动态主机配置协议DHCP（Dynamic Host Configuration Protocol）是一种局域网的网络协议，提供了将配置信息传递到TCP/IP网络服务器的标准。通过DHCP选项集功能，您可以为专有网络VPC（Virtual Private Cloud）中的云服务器ECS（Elastic Compute Service）实例配置域名和DNS服务器IP地址。

创建ECS实例时，默认使用的是阿里云提供的DNS服务器IP，该DNS服务器IP不能解析您私网内的服务。您可以为ECS实例手动指定您自定义的DNS服务器IP地址，但修改的配置会在ECS实例重启后失效。

VPC支持DHCP选项集功能。您可以为DHCP选项集配置指定域名和DNS服务器IP地址，然后根据需要将DHCP选项集与其所在地域的一个或多个VPC关联。关联后，VPC中新建的ECS实例会使用该VPC关联的DHCP选项集中的配置，而存量ECS实例在更新DHCP后也会使用该VPC关联的DHCP选项集中的配置。

IPv4网关

IPv4网关是连接专有网络VPC（Virtual Private Cloud）和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。

公网访问集中控制

云服务器ECS（Elastic Compute Service）拥有了公网IP（例如固定公网IP或者EIP），可以直接访问公网，不受VPC路由表控制。为了降低ECS直接访问公网可能带来的安全管控风险，您可以使用IPv4网关及子网路由能力，对VPC中访问公网的行为进行约束，根据需求使得子网具备访问公网的能力或者不具备访问公网的能力。

在VPC中创建IPv4网关。

在交换机1中创建公网NAT网关，并为交换机1创建自定义路由表（子网路由表-1），该路由表的默认路由条目（0.0.0.0/0）指向IPv4网关。

为交换机2和交换机3创建自定义路由表（子网路由表-2），该路由表的默认路由条目（0.0.0.0/0）指向公网NAT网关。

激活IPv4网关，使IPv4网关生效。

激活IPv4网关后，VPC路由表中未配置指向IPv4网关的路由条目，则与该路由表关联的子网不具备访问公网能力，被称为私网子网；VPC路由表中配置指向IPv4网关的路由条目，与该路由表关联子网具备访问公网的能力，被称为公网子网。

入方向路由策略控制

1. IPv4网关结合子网路由能力，可以将访问公网的流量引流至虚拟防火墙（例如云防火墙）做安全防护。

3. 在指定VPC中创建IPv4网关。

4. 为虚拟防火墙规划独立的交换机并独立绑定一张自定义路由表，该路由表的默认路由条目（0.0.0.0/0）指向IPv4网关，使得虚拟防火墙所在交换机具备访问公网的能力。

5. 为应用服务规划独立的交换机并独立绑定一张自定义路由表，该路由表的默认路由条目（0.0.0.0/0）指向虚拟防火墙的弹性网卡。

6. 在VPC中新建一张自定义路由表并绑定IPv4网关，用来对公网入方向的流量进行路由控制，此路由表被称为网关路由表。将网关路由表中指向应用服务所在交换机网段的路由条目的下一跳修改为虚拟防火墙的弹性网卡。