四、專有網路VPC:10%
專有網路VPC(Virtual Private Cloud),幫助使用者基於阿里雲構建出一個隔離的網路環境。您可以完全掌控自己的虛擬網路,包括選擇自有IP地址範圍、劃分網段、配置路由表和閘道器等。此外您也可以透過專線/VPN等連線方式將VPC與傳統資料中心組成一個按需定製的網路環境,實現應用的平滑遷移上雲。支援二層邏輯隔離。
使用隧道技術,達到與傳統VLAN方式相同的隔離效果。
1、 核心概念:
專有網路管理:首先以CIDRBlock的形式指定專有網路內使用的私網網段;其次建立交換機(VSwitch);其三建立雲產品;最後刪除指定的專有網路,必須首先刪除專有網路內所有的雲產品例項。
路由器:不支援直接建立和刪除路由器(自動生成);是VPC網路的樞紐,它可以連線VPC內的各個交換機,同時也是連線VPC與其他網路的閘道器裝置。每個VPC有且只有一個路由器。路由器不支援BGP和OSPF等動態路由協議。
交換機:是組成VPC網路的基礎網路裝置,是一個3層交換機,不支援2層廣播和組播。建立交換機時,需要指定一個CIDRBlock(不可重複)。刪除交換機之前,必須先刪除目標交換機所連線的雲產品例項。
路由表:是指路由器上管理路由條目的列表。不支援直接建立和刪除路由表。每個路由器有且只有1個路由表。
路由條目:定義了通向指定目標網段的網路流量的下一跳地址,路由條目包括系統路由(無法建立和刪除)和自定義路由(可以建立和刪除)兩種型別。建立交換機,系統自動建立1條對應的系統路由。
邏輯架構:VPC架構裡面包含交換機、閘道器和控制器三個重要的元件,交換機和閘道器組成了資料通路的關鍵路徑,控制器使用SDN協議下發轉發表到閘道器和交換機,完成配置通路,資料和配置兩個通路相互分離。預設情況下,VPC內的ECS只能和本VPC內其他ECS通訊,或者和VPC內的其他雲服務之間進行通訊。使用者可以使用阿里雲提供的VPC相關的EIP功能、高速通道功能,使得VPC可以和Internet、其他VPC、使用者自有的網路(如使用者辦公網路、使用者資料中心)之間進行通訊。
EIP功能:彈性公網IP,是可以獨立購買和持有的公網IP地址資源,能動態繫結到不同的ECS例項上(在網路卡上並不能看到這個IP地址。在需要時將該彈性公網IP繫結到ECS例項上,使該ECS例項具備使用該IP地址進行公網通訊的能力。在不需要時,可以將之解綁),繫結和解綁時無需停機。
NAT閘道器產品:相比較於EIP,適用於企業大客戶,支援單IP服務於多臺ECS,是一款企業級的VPC公網閘道器,提供NAT代理(SNAT—用於ECS能訪問外網,對應SNAT表“由[SourceVSwitchId, SnatIp]]組成”、DNAT—用於ECS能提供外網服務,對應埠轉發表“由[ExternalIp, ExternalPort, InternalIp, InternalPort, IpProtocal]五個元素組成”)、10Gbps級別的轉發能力、Region級別的高可用性(跨可用區的容災能力)。NAT閘道器與共享頻寬包(定義頻寬)需要配合使用,組合成為高效能、配置靈活的企業級閘道器。不允許同一個公網IP即被用於SNAT也被用於DNAT。
注意:EIP和NAT目前都只支援ECS產品,不支援RDS等其他雲產品。
共享頻寬包:NAT閘道器上的公網IP和公網頻寬,被抽象為共享頻寬包。一個NAT閘道器上最多可以配置四個共享頻寬包。一個共享頻寬包,由一份公網頻寬和一組公網IP組成。
場景1:無公網IP的ECS需要訪問公網--高可用的SNAT閘道器需求,無需暴露ECS。
場景2:多個網際網路應用流量變化較大--共享公網頻寬,多IP共享頻寬的功能節約成本,錯峰使用,槓槓的。
高速通道:客戶的阿里雲上VPC,需要與自有機房進行私網通訊。使用高速通道的專線接入功能,可以實現兩側的私網通訊,既可以避免繞行公網帶來的網路質量不穩定問題,也可以免去資料在傳輸過程中被竊取的風險。同一域內VPC之間的互聯;可以使用高速通道使得處於兩個不同地域的VPC之間進行通訊;跨賬號VPC之間的互聯
2、 使用場景
場景一:在阿里雲上管理使用者專屬的網路
場景二:VPC中跨可用區部署資源
使用者可以透過將資源部署在處於不同可用區的交換機中,從而實現利用阿里雲可用區進行容災。
場景三:物理專線接入,實現使用者網路與阿里雲專有網路之間的內網互通
透過物理專線將自有資料中心和阿里雲VPC連線起來,實現使用者網路與阿里雲專有網路之間的內網互通,支援2條線路透過鏈路匯聚方式實現主備或雙活。使用高速通道技術。
場景四:VPN接入,在VPC內使用ECS自建VPN閘道器。
場景五:透過安全組對專有網路型別的ECS(已繫結EIP)進行公網訪問控制。
場景六:專有網路的ECS使用公網負載均衡
經典網路型別的SLB例項具有公網IP地址,可以加專有網路型別的ECS例項。
不能使用經典網路型別私網IP的SLB加專有網路型別的ECS。
場景六:專有網路下內網隔離設定(建立在同一個路由器下面的多個交換機,預設是可以互相訪問的)
3、 異常處理
VPC網路環境連線OSS地址失敗的解決方法?
OSS針對VPC有一套自己的內網地址,vpc100開頭。
VPC中的ECS訪問經典網路中的RDS失敗?
一是給ECS訪問外網能力,然後透過外網地址方位RDS;二是把RDS移到ECS所在的VPC,這樣內部網路就通了。
繫結彈性公網IP介面提示沒有找到ECS例項?
彈性公網IP只能繫結到專有網路VPC的ECS伺服器上。