VPC是云上私有的網絡環(huán)境，支持自定義IP地址、配置路由表和網關等。

云網系列之一：VPC前世今生

云網系列之二：VPC的實現機制

一、交換機和虛擬路由器

從用戶的視角來看，VPC的組成體現為虛擬交換機和虛擬路由器。

虛擬交換機對應的是子網。

虛擬路由器對應的是VPC的路由器，用于連接VPC內的虛擬交換機、以及其他網絡的網關設備。

VPC創(chuàng)建成功后，會自動創(chuàng)建虛擬路由器，路由器中默認創(chuàng)建一個主路由表（VPC粒度），包含VPC網段的本地路由和云服務的系統(tǒng)路由。用戶可以在主路由表中自定義路由條目。

除主路由表外，VPC支持用戶創(chuàng)建子網路由表（交換機粒度），子網路由表關聯交換機后，路由優(yōu)先級高于主路由表，用來指定目標網段的流量路由至指定的目的地（如NAT網關）。

以CADT簡單拓撲為例：

查看VPC創(chuàng)建的主路由表信息：

說明：
系統(tǒng)自動添加了如下路由：
（1）系統(tǒng)路由條目：以路由表所屬VPC內的交換機網段為目標網段的路由條目，用于交換機內的云產品通信。
（2）自定義路由條目：以100.64.0.0/10為目標網段的路由條目，用于VPC內的云產品通信。

用戶可以新建子網路由表，頁面路徑為：路由表--創(chuàng)建路由表--綁定交換機，便可以實現子網路由表與交換機的綁定， 綁定后，主路由表自動與該交換機解綁 。

二、VPC網絡規(guī)劃

1.需要使用多少個VPC？

VPC是地域級別的，可以用于業(yè)務隔離。所以，如果需要多地域部署，或者生產環(huán)境和測試環(huán)境的隔離，則需要部署多個VPC。

2.需要使用多少個交換機？

最佳實踐建議至少使用兩個交換機，并且兩臺交換機分布在不同可用區(qū)，以實現跨可用區(qū)容災。

3.使用什么地址段，每個地址段規(guī)劃需要多大？

VPC可選擇的網段：192.168.0.0/16、172.16.0.0/12、10.0.0.0/8，以及子網。

如：10.0.0.0/8的子網為10.1.0.0/16、10.2.0.0/16......10.255.0.0/16，共256個。

交換機可選擇的網段：所屬VPC網段的子集。

如：VPC的網段為192.168.0.0/16，則交換機可選的網段可以是192.168.0.0/17192.168.0.0/29，可提供的地址為：655368個地址。需要注意的是每個交換機的第一個和最后三個IP地址為系統(tǒng)保留地址。

三、VPC網絡安全設計

1.網絡ACL

如果需要對交換機（子網）中ECS實例的流量訪問控制，如拒絕或接受一些公網IP地址的流量，則可以使用網絡ACL。

官網給出如下說明：

網絡訪問控制列表（ACL）是 VPC 中的網絡訪問控制功能，可以將網絡 ACL 與交換機進行關聯，實現 對一個或多個子網流量的訪問控制 。

網絡ACL規(guī)則僅過濾綁定的交換機中ECS實例的流量（包括SLB實例轉發(fā)給ECS實例的流量）

網絡ACL的規(guī)則是無狀態(tài)的，即設置入方向規(guī)則的允許請求后，需要同時設置相應的出方向規(guī)則，否則可能會導致請求無法響應。

網絡ACL與交換機綁定，不過濾同一交換機內的ECS實例間的流量。

2.安全組

安全組是一種虛擬防火墻，屬于ECS粒度的訪問控制策略。

四、云上網絡分區(qū)

云上網絡和IDC網絡類似，也要進行分區(qū)，每個分區(qū)對應一個VPC。不同VPC之間的路由打通，可以通過云企業(yè)網CEN實現。同時可以按需進行路由表隔離、路由策略設置。

# 互聯網出口區(qū)：類似DMZ區(qū)，用于放置NAT網關、EIP等資源；
# 外聯區(qū)：放置第三方的堡壘機等入口資源；
# 內聯（運維）區(qū)：放置堡壘機資源，用于企業(yè)內部人員連接云上資源；
# 東西向安全區(qū)：放置南北向防火墻、IDS、IPS防護設置；
# 開發(fā)與測試區(qū)：放置生產環(huán)境和測試環(huán)境的資源。