Virtual Private Cloud：新手指引

使用情境

具體功能

功能說明

地址規劃管理

IP地址管理（IPAM）

您可以使用IPAM功能，當您的VPC從IPAM分配地址時，IPAM可以自動化分配和跟蹤IP地址，並檢測可能的IP地址衝突，從而減少網路系統管理員的工作量。

跨VPC互聯

VPC對等串連

您可以通過VPC對等串連，實現兩個同帳號或跨帳號VPC間同地區或跨地區的私網互連。

多帳號管理

共用VPC

您可使用共用VPC在不同的雲端服務賬戶間共用雲產品資源，無需每個賬戶單獨建立和維護VPC，簡化網路設定和管理。

公網訪問流量控制

IPv4網關/IPv6網關

您可以使用IPv4網關/IPv6網關實現對VPC內執行個體訪問公網的集中控制，增強VPC內的安全防護，嚴格管控公網訪問。

流量控制

自訂路由表

您可建立自訂路由表並添加自訂路由條目，更靈活地進行網路管理。

首碼列表

您可使用首碼列表簡化路由表和安全性群組的配置和管理。

存取控制

網路ACL

您可以自訂設定網路ACL規則，並將網路ACL與交換器綁定，實現對交換器中Elastic Compute Service執行個體流量的存取控制。

營運監控

流日誌

流日誌功能可記錄VPC網路中彈性網卡ENI傳入和傳出的流量資訊，協助您檢查存取控制規則、監控網路流量和排查網路故障。

流量鏡像

流量鏡像功能可以鏡像經過彈性網卡ENI且符合篩選條件的報文，可用於內容檢查、威脅監控和問題排查等情境。

高可用架構

高可用虛擬IP（HaVip）

藉助VPC提供的HaVip功能，您可在雲上基於ARP協議，通過Keepalived或Heartbeat軟體來搭建服務高可用架構，以確保主備切換過程中服務IP不變。

規劃項

規劃建議

地區和可用性區域規劃

您需要基於業務情境考慮時延與高可用容災的要求，結合所需部署的雲資源類型與數量，根據預算選擇合適的地區與可用性區域。

帳號規劃

當您的業務規模擴大，出現使用者權限分配、業務環境強安全隔離需求時，您需要綜合考慮業務隔離、安全合規、日誌管理與營運、成本管理等多方面需求，進行統一帳號架構設計。

專用網路數量規劃

您可以根據業務規模，結合強安全隔離訴求或異地容災需求，對VPC的數量進行規劃。

交換器數量規劃

建議您按照業務模組建立多個交換器以劃分不同子網，保障業務安全。例如，您可建立多個交換器將Web層、邏輯層和資料層服務部署在不同子網以實現標準Web應用架構的託管。

建議您根據云服務是否需要直接存取公網將其部署到不同交換器，實現公私網分離，保障雲端服務的安全訪問。

網段規劃

網段規劃不當將會導致極高的重建成本，您需要避免網路衝突並保障網路的可擴充性。

您可以使用阿里雲的IP地址管理（IPAM）功能，提升網段規劃效率。

業務情境

情境描述

網路連接方案

公網訪問情境

互連網訪問雲上部署的應用，或者應用主動訪問公網。

• 使用彈性公網 IP為應用伺服器配置公網IP地址

• 使用負載平衡統一公網流量入口

• 通過公網NAT Gateway的SNAT功能統一公網流量出口

• 使用IPv4網關、IPv6網關進行集中存取控制

跨VPC互聯情境

在不同VPC中的資源之間建立安全且高效的私網通訊。

• 兩個VPC之間簡單互聯：

  • 使用VPC對等串連，網路延遲低且成本低，同地區不收費；但不支援路由傳遞且配置複雜度高。

  • 使用VPN網關通過建立加密隧道的方式建立安全連線，但相較於私網訪問有較高網路延遲。

• 多VPC之間聯通和管理：使用雲企業網通過轉寄路由器TR串連網路執行個體，轉寄同地區或跨地區網路執行個體間的流量。支援路由傳播且配置複雜度低。

• 同地區私網VPC安全訪問：使用私網串連將終端節點所在VPC與終端節點服務所在VPC通過終端節點串連，但不支援跨地區。

混合雲情境

將本機資料中心等網路連接至雲上專用網路，快速構建混合雲。

• 高速穩定高可用混合雲組網：使用Express Connect在本地IDC與VPC間建立可靠、安全和高速的串連。

• 簡單快速混合雲組網：使用VPN網關通過建立加密隧道的方式實現混合雲部署。

• 企業級混合雲組網：使用雲企業網接入多個網路執行個體（VPC、VBR、IPsec串連等），構建企業級互連網絡。