安全防護：VPC & Security Group 設定教學

從地端 On-Premise 的傳統資訊部署，再到雲端 Cloud 的新形態部署模式，在這個轉型過程初期，首先會困惑的是究竟在地端的部署模式，該如何搬遷上雲？其中最重為需要注意的是網路在雲端服務上的實現，如何在雲上打造一個局域網路(LAN)，來符合企業內的各式 IT 需求，以及在這個企業內網中，又是如何做到網段分配及連線控管規劃，而接下來我們接著看在阿里雲上的網路規劃會是什麼樣貌。

專有網路 (Virtual Private Cloud，VPC)

專有網路是雲端中的私有網路區域，其概念可以把他想成類似於地端的局域網 (Local Area Network，LAN) 的概念，在 VPC 當中可以自定義私有網段位址，並且根據企業內的需求來切分不同的子網段 (Subnet)。

04_1_11

圖：VPC 示意圖

阿里雲的 VPC 中有幾個非常重要元件組成：

私有網段：整段VPC的網段配置，通常會配置如 192.168.0.0/16，往下才能夠分割足夠的子網段（Subnet）。
交換機 (VSwitch)：用來連接雲端上的各式資源，如 ECS（VMs、Instances）；同時也是子網段（Subnet）的分割基礎，使用者可以透過建立 VSwitch，來分割更小的網段，以符合企業複雜的資訊需求。
路由器 (VRouter)：VRouter 可以想像為 VPC 中的轉運站，連接各個 VSwitch，在同一 Region 內連接起位於不同 Available Zone，建立 VPC 同時，系統會建立預設路由表，使用者也可以自行建立自定義路由表，達成更精細的網路調整。
VPC 之間連接：建立 VPC 後，考量到企業分部的 LAN 需要能進行互相連線，在過去通常都要與電信商合作，進行實體專線部署，而在雲端上，只需要通過阿里雲的骨幹網路來進行串接，就能夠快速實現局域網的互連。

VPC 與 Internet 的連接

方案名稱	說明
Public IP	1. 在 VP C當中的 ECS Instances，可以讓系統隨機分配公網 IP 。 2. 通過 EIP (Elastic IP-彈性IP)，隨需求 Attach / Detach 在不同的雲產品上。
NAT Gateway	1. 通過 NAT 網關來傳送 VPC 內部機器的封包到網際網路 (SNAT)，或者接收封包 (DNAT) 2. 不提供流量偵測服務。
Load Balance	1. 提供 Layer4 跟 Layer7 的負載均衡服務，提供使用者端通過負載均衡實例來連線至VPC內的機器。 2. 不提供 VPC 內的主機主動連線至外網 (SNAT)

VPC 互連、雲地連接

方案名稱	說明
雲企業網 CEN	1. VPC 互連：可以讓多個位於不同 Region 的 VPC 互相連接，建構多地域內網。 2. 雲地互連：與 IDC 機房的邊界路由器 (VBR) 互相關聯，連接到創建後的 CEN 實例，便可以實現雲地內網的互聯，另外需注意網段的配置。
VPN Gateway	1. VPC互連：在兩個 VPC 中，通過 IPSec 打通公網上的加密 VPN 通道。 2. 雲地互連：可以通過 IPSec - VPN / SSL - VPN 兩種方式來打通地端與雲端的 VPC 連線。
高速通道 (雲地Only)	1. 通過實體專線從地端接入 VPC，達成互通。
智能接入網 (雲地Only)	1. 屬於硬體設備，直接在 IDC、門市、企業分部機房隨插即用，即可快速打造雲地混合架構。

安全組 (Security Group)：針對子網段的細緻網路連線控管

Security Group 安全組，在阿里雲專門用於運算實例 (VM Instances) 網路傳輸控制的工具，屬於邏輯分組的一種，使用者可以自行設定 IP 位址、網段的連線許可，或者設定不同通訊埠的連線，Security Group 屬於有狀態 (Stateful) 的服務，當流入的流量經過許可後，那麼從伺服器回傳的流量也能夠通過 Security Group。

04_1_6
圖：Security Group 示意圖