阿里雲為您提供安全隔離、彈性擴充的雲上網路環境,以及高速穩定、安全可靠的雲上雲下串連服務,能夠滿足VPC內執行個體訪問公網、跨VPC互聯、雲上VPC串連雲下資料中心的需求。您可根據業務情境靈活搭配VPC和對應的產品服務進行網路連接。
公網訪問情境
選擇公網IP地址類型
從互連網訪問雲上部署的應用,或者應用主動訪問公網時,需要為應用伺服器配置公網IP地址。公網IP地址類型分為固定公網IP與Elastic IP Address。
固定公網IP:建立ECS/CLB執行個體時,您可以選擇分配公網IPv4地址,系統會為您自動分配一個支援訪問公網和被公網訪問的IP地址。 但建立後無法更換,只能隨著執行個體刪除,無法滿足靈活解除綁定與管理的需求。
Elastic IP Address:Elastic IP Address是獨立的公網IP資源,能夠動態和執行個體綁定和解除綁定,滿足靈活管理的要求。推薦您使用Elastic IP Address為應用伺服器配置公網IP地址。
統一公網流量入口
單台後端伺服器直接使用公網IP對外提供服務時,如果伺服器出現問題容易導致業務單點故障,影響系統可用性。
實際業務情境中,推薦您使用負載平衡產品統一公網流量入口,並在多可用性區域掛載多台後端伺服器,通過將流量分發到不同的後端服務來擴充應用系統的服務吞吐能力,消除系統中的單點故障,提升應用系統的可用性。
Server Load Balancer包括應用型負載平衡ALB、網路型負載平衡NLB、傳統型負載平衡CLB,您可根據您的實際需求選擇合適的負載平衡產品。
統一公網流量出口
單台伺服器可以通過公網IP地址主動訪問公網。但當需要主動訪問公網的伺服器較多時,需要佔用較多的公網IP資源,此時您可以通過公網NAT Gateway的SNAT功能,實現VPC內的多個ECS執行個體共用EIP上網,節省公網IP資源。
公網存取控制
當部署在雲上的業務對互連網提供服務時,進行合適的存取控制,能夠協助阻止不必要或潛在的危險訪問。
以VPC內1台ECS伺服器為例,您可選擇以下方式進行集中存取控制:
IPv4網關是Virtual Private Cloud的互連網IPv4流量網關。當您未使用該功能時,ECS綁定公網IP後即可訪問公網,但當IPv4網關建立並啟用後,該VPC訪問公網的行為將會受IPv4網關控制。您可以使用IPv4網關結合子網路由的能力實現公網IPv4訪問集中控制。
IPv6網關是Virtual Private Cloud的互連網IPv6流量網關。VPC內執行個體預設申請的IPv6地址只具備IPv6私網通訊能力,您可以通過在IPv6網關中為IPv6地址開通IPv6公網頻寬,使其具備公網通訊能力。此外,可以支援設定僅主動出規則,使IPv6地址僅可主動訪問公網。
您可以結合以上使用情境,根據實際業務需求選擇對應的雲產品資源或功能,其功能與優勢總結如下:
適合情境 | 雲產品 | 功能說明 | 優勢與限制 |
為應用伺服器配置公網IP | 固定公網IP | 建立ECS執行個體時,您可以選擇分配公網地址,系統會為您自動分配一個支援訪問公網和被公網訪問的IP地址。 | 固定公網IP不能動態與VPC ECS執行個體解除綁定,您可以將固定公網IP轉換為EIP。 |
能夠動態與ECS執行個體綁定和解除綁定,支援ECS執行個體訪問公網(SNAT)和被公網訪問(DNAT)。 | EIP可以隨時和ECS執行個體綁定和解除綁定。 使用共用頻寬和共用流量包,降低公網成本。 | ||
統一公網流量入口 | 基於連接埠提供四層和七層負載平衡功能,支援使用者從公網通過SLB訪問ECS。 | SLB通過對多台ECS進行流量分發,可以擴充應用系統對外的服務能力,並通過消除單點故障提升應用系統的可用性。 SLB不支援ECS通過SLB主動訪問公網。 | |
統一公網流量出口 | 支援多台ECS執行個體訪問公網和被公網訪問。 | 公網NAT Gateway可用於多台ECS執行個體和公網通訊,而EIP只能用於一台ECS執行個體和公網通訊。 和SLB相比,公網NAT Gateway本身沒有均衡流量的功能。 | |
公網存取控制 | 作為公網流量網關,集中控制VPC內執行個體公網訪問流量,增強VPC內的安全防護,嚴格管控公網訪問。 | 通過路由管控公網訪問能力,降低直接使用公網IP訪問公網帶來的安全風險。 入方向路由策略控制,可結合虛擬防火牆進行安全防護。 |
跨VPC互聯情境
兩個VPC之間簡單互聯
當您需要實現兩個VPC之間簡單快速的網路互連,您可以選擇以下方案實現VPC間高速安全的網路連接:
VPC對等串連:VPC對等串連提供連通兩個VPC的網路連接以實現私網通訊。您可以與當前帳號的同地區或者跨地區其他VPC之間建立對等串連,也可以與其他帳號的同地區或者跨地區VPC之間建立對等串連。建立VPC對等串連後,您可以通過配置發起端和接收端的路由條目實現發起端VPC和接收端VPC之間的互連。
VPN網關:VPN網關通過建立加密隧道的方式在兩個VPC之間建立安全連線,實現兩個VPC內的資源互訪。
多VPC之間聯通和管理
在大規模的雲端運算環境中,企業往往需要管理眾多的VPC,這些VPC可能分布在全球不同的地區,承載著各種關鍵業務。此時,您可以使用雲企業網將這些分散的VPC串連成一個統一的網路架構,建立穩定、安全、高速的網路連接,實現資源的高效共用和靈活調度,滿足跨地區跨帳號的資料同步、應用遷移與多雲環境下的協同工作需求,極大地簡化網路管理的複雜度,提升營運效率。
雲企業網通過轉寄路由器TR串連網路執行個體,轉寄同地區或跨地區網路執行個體間的流量。只需要VPC以網路連接的方式加入轉寄路由器,轉寄路由器便會自動同步路由。1個地區內只能有1個轉寄路由器,跨地區需要不同轉寄路由器互聯。您可以使用雲企業網和企業版轉寄路由器實現跨地區跨帳號VPC間互連。
雲企業網管理主控台支援可視化的監控營運介面,可以協助您迅速掌握全網運行狀態,提高網路營運效率。
同地區私網VPC安全訪問
如果您需要將部署在VPC內的雲端服務提供給其他VPC使用時,您可以使用私網串連,無需建立NAT Gateway、EIP等公網出口。互動資料不會經過互連網,有更高的安全性和更好的網路品質。私網串連能夠將終端節點所在VPC與終端節點服務所在VPC通過終端節點串連,建立安全穩定的私人串連,簡化網路架構,實現私網訪問服務,避免通過公網訪問服務帶來的潛在安全風險。
您可以結合業務訴求,根據使用情境選擇適合的跨VPC互聯方案。更多內容,請參見跨VPC互聯概述。
適合情境 | 選項 | 功能說明 | 優勢與限制 |
兩個VPC之間簡單互聯 | 通過VPC對等串連,可以實現兩個VPC之間私網互連。VPC對等串連支援跨地區跨帳號VPC互聯。 | 網路延遲低。 成本低,同地區不收費。 不支援路由傳遞。 配置複雜度高,大規模管理難度大。 | |
您可以通過在兩個VPC之間建立IPsec串連,建立加密通訊通道。 | 安全穩定高可用,低成本。 需要經過公網轉寄,與私網訪問相比有較高延遲。 | ||
多VPC之間聯通和管理 | 支援跨地區跨帳號VPC間互連,提供穩定、安全、高速的網路連接。 | 支援路由傳播。 支援快速串連多地區網路。 支援系統化管理,網路營運效率高。 提供低延遲、高速率的網路傳輸能力。 鏈路冗餘及容災。 就近接入與最短鏈路互連。 | |
同地區私網VPC安全訪問 | 將終端節點所在的VPC與終端節點服務所在VPC通過終端節點串連,將部署在VPC內的雲端服務提供給其他VPC使用。 | 網路延遲低。 服務提供者和服務使用方雙方網路獨立,提高網路可靠性。 安全可控,通過添加安全性群組規則和設定終端節點策略進行源端鑒權。 管理簡單,支援靈活的跨帳號和跨VPC服務訪問方式,避免複雜的路由和安全配置。 支援流日誌功能,即時監控分析終端節點網卡傳入和傳出的流量資訊,確保網路通訊透明可控。 不支援跨地區串連,只支援同地區互聯。 |
混合雲情境
您可以根據業務需求,充分考慮網路效能、資料安全、成本效益和未來擴充性等因素,選擇合適的方案將本機資料中心等網路連接至VPC,快速構建混合雲。
高速穩定高可用混合雲組網
在如下使用情境中,建議您使用Express Connect在本機資料中心與VPC間建立可靠、安全和高速的串連:
當您在本機資料中心與VPC間進行大量的資料移轉或頻繁的資料同步時,Express Connect為您提供穩定且高速的網路連接,減少資料轉送的時間成本。
當本機資料中心的關鍵業務對可用性要求極高時,您可以在多個存取點建立專線串連,實現應用的彈性擴充和災備方案,同時保持與本機資料中心的緊密整合。
簡單快速混合雲組網
VPN網關基於互連網通訊,網路延遲和可用性取決於互連網。如果您的使用情境下對網路延遲沒有較高限制,結合成本和建設周期,您可以使用VPN網關通過建立加密隧道的方式,實現企業本機資料中心、企業辦公網路、互連網用戶端與阿里雲之間安全可靠的網路連接。
VPN網關提供IPsec-VPN和SSL-VPN兩種網路連接方式,不同的網路連接方式適用於不同的網路連接情境:
企業級混合雲組網
如果您的網路架構較為龐大、複雜且多樣化,您可以使用雲企業網實現對分布在全球各地的網路資源進行統一管理和監控,提升網路營運工作效率。雲企業網支援多雲連通與雲上雲下網路互連,協助您形成靈活的混合雲架構,滿足多樣化的業務需求。
您可以結合業務訴求,根據使用情境選擇適合的混合雲部署方案,其功能與優勢總結如下:
適合情境 | 雲產品 | 功能說明 | 優勢與限制 |
高速穩定高可用混合雲組網 | 通過物理專線接入連通本地IDC網路和VPC。 | 基於電訊廠商骨幹網路,延遲低。 通訊品質高,專線串連安全可靠。 建設周期較長,建設成本高。 | |
簡單快速混合雲組網 | 建立IPsec-VPN,連通本地IDC網路和VPC。 建立SSL-VPN,連通本地用戶端和VPC。 | 安全穩定高可用,低成本。 需要經過公網轉寄,與私網訪問相比有較高延遲。 | |
企業級混合雲組網 | 與本地IDC互連:支援將要互連的本地IDC關聯的邊界路由器(VBR)載入到已建立的雲企業網執行個體,構建互連網絡。 多VPC與IDC互連:支援將要互連的多個網路執行個體(VPC和VBR)載入到已建立的雲企業網執行個體,構建企業級互連網絡。 | 支援路由傳播。 支援快速串連多地區網路。 支援系統化管理,網路營運效率高。 提供低延遲、高速率的網路傳輸能力。 鏈路冗餘及容災。 就近接入與最短鏈路互連。 |