全部產品
Search

搜尋本產品

    Virtual Private Cloud:網路規劃

    文件中心

    Virtual Private Cloud:網路規劃

    更新時間:Aug 24, 2024

    當您需要使用專用網路VPC來部署您的業務,您可以結合現有業務的規模和未來的擴充預期來對VPC進行網路規劃,滿足當前業務需求並保障業務持續穩定的同時能夠平穩高效地實現業務拓展訴求。

    合理的網路規劃需要考慮安全隔離、高可用容災、營運成本等多方面因素,保障業務穩定性與網路的可擴充性。缺乏前瞻性視角的網路設計可能為未來業務拓展埋下隱患,引入難以預見的風險。當現有的網路架構無法滿足業務增長與擴充需求時,進行網路重構不僅將面臨高昂的成本,更可能導致商務程序受到嚴重影響。因此,從多層次和多維度制定合理的網路規劃至關重要。為了保障網路的穩定性和可擴充性,您可以參照以下步驟規劃您的VPC。

    地區和可用性區域規劃

    在同一地區內,各可用性區域之間內網互連。各可用性區域之間可以實現故障隔離,即一個可用性區域出現故障時,不會影響其他可用性區域的正常運行。同一可用性區域內執行個體之間的網路延時更小,其使用者訪問速度更快。您可以綜合考慮以下因素來進行地區和可用性區域規劃。

    考慮因素

    選擇說明

    業務情境對時延的要求

    業務最終服務的使用者和資源部署地區的距離越近,網路時延越低,訪問速度越快。

    服務支援的地區和可用性區域

    不同的阿里雲雲端服務在每個地區/可用性區域服務支援的情況不同,庫存售賣存在差異,建議您在選擇地區/可用性區域時,確保雲端服務可用。

    成本

    不同地區的雲端服務價格可能會有所不同,建議您根據預算選擇合適的地區。

    高可用容災

    如果您的應用需要較高的容災能力,您可選擇在同一地區的不同可用性區域內進行部署以實現同城容災。您也可選擇在多地區部署以實現跨城容災,滿足更高的容災能力需求。

    合規性

    您需要根據所在國家或地區的資料本地化要求與經營性備案政策選擇符合合規要求的地區。

    VPC是地區層級的資源,不支援跨地區部署。當您有多地區部署需求時,必須使用多個VPC。您可以使用VPC對等串連、雲企業網等產品實現跨地區VPC間互連。VPC中的交換器是可用性區域層級的資源,有以下事項您需要注意:

    • 當您因為雲端服務庫存因素選擇多個可用性區域時,您需要提前預留足夠的位址區段,並考慮到可用性區域繞行可能造成延時增加;

    • 部分地區僅提供1個可用性區域,例如華東5(南京-本地地區),若您有同城容災需求,建議您謹慎考慮選擇該地區。

    帳號和VPC規劃

    完成地區與可用性區域規劃後,您可以著手建立VPC資源。這一過程需要您充分考量業務規模與安全隔離需求進行帳號規劃、VPC與交換器數量規劃,從而最大限度地最佳化資源利用效率與成本控制。

    帳號規劃

    如果您的業務規模較小,通過單帳號或主子帳號即可實現資源統一管理,您可以選擇跳過本部分內容。當您的業務規模擴大,需要分配使用者權限、業務環境強安全隔離,您需要綜合考慮以下因素進行統一帳號架構設計。

    考慮因素

    選擇說明

    業務許可權隔離

    建議您為不同的業務部門建立獨立的帳號,以實現對資源、成本和許可權的隔離,便於管理。若您的業務情境中存在具有特定資源和許可權需求的大型專案或應用程式,建議您為其建立獨立帳號。

    業務系統隔離

    當業務系統存在強安全隔離需求時,例如生產環境和測試環境,建議您建立獨立帳號進行隔離,降低其相互影響的風險。

    安全合規性

    為滿足特定的安全合規要求,建議您將敏感性資料或工作負載隔離在獨立帳號中。

    成本管理

    通過多帳號劃分進行資源隔離,可以降低成本跟蹤和計費管理複雜度。

    日誌管理與營運

    您可以選擇建立獨立帳號集中儲存和分析所有帳號的日誌資訊,便於進行安全審計。

    當您根據業務需求進行多帳號劃分後,VPC數量將隨帳號數量上升從而導致網路複雜度的上升。您可以結合共用VPC這一功能,實現安全隔離、穩定性與網路營運複雜度之間的平衡。

    VPC數量規劃

    VPC為您提供安全靈活的網路環境,不同VPC之間完全隔離,同一VPC內私網互連。您可以按需規劃您的VPC數量。

    適合情境

    規劃一個VPC

    • 業務規模較小,僅部署在一個地區且不同業務之間沒有網路隔離需求;

    • 初次使用VPC,推薦使用單個VPC用於快速上手以瞭解產品功能;

    • 關注成本,不希望管理跨VPC通訊的複雜配置與潛在費用。

    規劃多個VPC

    • 業務規模較大,需要部署在不同地區;

    • 單地區的多個業務系統存在網路隔離需求;

    • 業務架構複雜,涉及的眾多服務與團隊需要獨立VPC管理各自資源。

    規劃多個VPC的適用情境

    在如下使用情境中,建議您規劃多個VPC:

    • 多地區部署系統

      VPC是地區層級的資源,不支援跨地區部署。當您有多地區部署系統的需求時,必須使用多個VPC。您可以通過使用VPC對等串連、VPN網關、雲企業網等產品實現跨地區VPC間互連。

    • 多業務系統隔離

      如果在一個地區的多個業務系統需要通過VPC進行嚴格隔離,例如生產環境和測試環境具備不同的安全和業務部署訴求,部署到不同VPC可以提供更好的邏輯隔離與安全保障。您同樣可以通過使用VPC對等串連、VPN網關、雲企業網等產品實現同地區VPC間互連。

    • 大規模業務系統構建

      如果您的業務架構複雜,涉及的眾多服務與團隊需要獨立VPC管理各自資源,以提高靈活性和可管理性,建議您規劃多個VPC。

    說明

    每個使用者在單個地區內可建立的VPC數量預設為10個。您可以前往配額管理頁面配額中心提升配額。

    交換器數量規劃

    交換器是可用性區域層級的資源,VPC中的所有雲端服務都部署在交換器中。交換器劃分有助您合理規劃IP地址資源,同一VPC內的交換器預設私網互連。

    考慮因素

    選擇說明

    基於業務情境對時延的要求

    同一地區不同可用性區域之間的網路通訊延遲很小,但系統調用複雜、跨可用性區域調用等原因可能會增加系統的網路延遲。

    高可用和容災

    使用一個VPC時,建議您盡量使用至少兩個交換器,並且將兩個交換器部署在不同可用性區域以實現跨可用性區域容災。使用多個可用性區域部署不同業務,統一配置並管理安全管控規則,能夠顯著提升系統的高可用性和容災能力。

    業務規模與業務劃分

    通常情況下,您可以根據業務模組進行交換器規劃,將不同業務模組部署在不同交換器。例如,您可建立多個交換器將Web層、邏輯層和資料層服務部署在不同交換器以實現標準Web應用架構的託管。

    您可以根據以下原則規劃交換器:

    • 使用一個VPC時,也請盡量使用至少兩個交換器,並且將兩個交換器分布在不同可用性區域,這樣當其中一個可用性區域的交換器發生故障時,可以切換到另一個可用性區域的交換器,從而實現跨可用性區域容災。

      同一地區內不同可用性區域之間的網路通訊延遲很小,但也需要經過業務系統的適配和驗證。由於系統調用複雜、跨可用性區域調用等原因可能會增加系統的網路延遲。建議您對系統進行最佳化及適配,以滿足您對高可用和低延遲的實際需求。

    • 具體使用多少個交換器還和系統規模、系統規劃有關。通常情況下,您可以根據業務屬性在VPC內進行交換器規劃。例如,對於直接存取公網的業務部署在一個公有交換器中,其他業務可以根據業務類型進行劃分。使用多個可用性區域部署不同業務有利於安全管控規則的配置與統一管理。

    說明

    單個VPC支援建立的交換器的數量預設為150個,您可以前往配額管理頁面配額中心提升配額。

    網段規劃

    建立VPC和交換器時,您需要指定VPC和交換器的網段。網段的大小決定了可部署雲資源的多少,合理的網段規劃需要避免網路衝突並保障網路的可擴充性,規劃不當將會導致極高的重建成本。

    說明

    • 交換器網段建立後不支援修改。

    • 若規劃不合理導致地址空間不足,您可以使用附加網段進行擴容,但附加網段不支援修改。

    關於VPC和交換器的網段規劃,有如下建議:

    • 推薦在VPC中使用RFC 1918定義的私人IPv4地址空間,VPC的IPv4地址空間推薦使用/16掩碼,若VPC網段需要擴充,您可以使用VPC附加網段進行擴充。

    • 如果您使用單VPC部署業務,考慮到未來擴充,建議您選擇較大的網路遮罩,以便為未來新增的交換器、執行個體或新服務預留足夠的地址空間。

    • 當您根據業務規劃和網路互聯等訴求,規劃多個VPC時,建議您在規劃VPC網段時,避免VPC間的CIDR地址出現重疊。

    • 當您根據安全容災等訴求,規劃多個可用性區域時,建議您在規劃交換器網段時,避免地址重疊。

    隨著組網規模不斷提升,網段規劃的複雜度較高且難度較大。您可以使用阿里雲的IPAM地址管理與規劃功能,自動分配或跟蹤IP地址並檢測可能的IP地址衝突,提升網段規劃效率。更多資料,請參閱IP地址管理(IPAM)

    關於IPAM地址管理與規劃,有如下建議:

    • 根據業務形態合理分配和劃分IPAM位址集區,例如根據不同環境(如開發、生產)、地區或部門設計不同的位址集區。

    • 使用IPAM位址集區分配VPC私網網段,確保不同VPC使用獨立且不重疊的IP位址範圍,避免IP地址衝突。

    • 在IPAM中查看VPC網段資訊及地址利用率等資訊。

    VPC網段規劃

    您可以使用10.0.0.0/8172.16.0.0/12192.168.0.0/16三個RFC標準私網網段及其子網作為VPC的私網位址範圍,也可以使用自訂位址區段作為VPC的私網位址範圍。

    VPC網段

    IP位址範圍

    掩碼範圍

    VPC網段樣本

    10.0.0.0/8-24

    10.0.0.0~10.255.255.255

    8~24

    10.0.0.0/16

    172.16.0.0/12-24

    172.16.0.0~172.31.255.255

    12~24

    172.30.0.0/16

    192.168.0.0/16-24

    192.168.0.0~192.168.255.255

    16~24

    192.168.0.0/24

    在規劃VPC網段時,請注意:

    • 如果雲上只有一個VPC並且不需要和本機資料中心互連時,可以選擇上述私網網段中的任何一個網段或其子網。

    • 如果有多個VPC,或者有VPC和本機資料中心構建混合雲的需求,建議使用上面三個標準網段的子網作為VPC的網段,掩碼建議不超過16位,且多個VPC間、VPC和本機資料中心的網段不能衝突。

    • 自訂位址區段不支援使用100.64.0.0/10224.0.0.0/4127.0.0.0/8169.254.0.0/16及其子網作為VPC的網段。

    • VPC網段的選擇還需要考慮是否使用了傳統網路。如果您使用了傳統網路,並且計劃將傳統網路的ECS執行個體和VPC網路連通,那麼建議您不要選擇10.0.0.0/8作為VPC的網段,因為傳統網路的網段也是10.0.0.0/8

    • 您可以使用IPAM規劃位址集區,使用位址集區指定掩碼預設分配。使用IPAM您還可以查看當前VPC的地址利用率等資訊。

    交換器網段規劃

    交換器的網段必須是其所屬VPC網段的子集。例如,VPC的網段設定為192.168.0.0/24時,該VPC下的交換器掩碼可在25~29的範圍內進行選擇。

    規劃交換器網段時,請注意:

    • 交換器IPv4網段的大小需在16位到29位網路遮罩之間,可提供8~65536個地址。

    • 請避免交換器網段與VPC網段一致。

    • 交換器網段規劃需要考慮該交換器下容納ECS執行個體和其他雲產品資源的數量,建議您選擇一個足夠大的CIDR塊,以確保可用IP地址數量滿足當前業務需求和未來擴充需求。但網段分配不可過大,避免後續無法進行擴充。如果您建立CIDR塊為10.0.0.0/16的 VPC,則它支援65536個IP地址。考慮到交換器內需要部署ECS、RDS等雲端服務資源,您可以規劃交換器的掩碼為/24,每個交換器支援256個IP地址。CIDR塊為10.0.0.0/16的 VPC最多可以被劃分為256個掩碼為/24的交換器。您可以根據實際業務需求,結合以上建議進行適當調整。

    • 每個交換器的第1個和最後3個IPv4地址為系統保留地址,第1個和最後9個IPv6地址為系統保留地址。以下表為例:

      交換器網段

      系統保留地址

      IPv4網段

      192.168.1.0/24

      192.168.1.0

      192.168.1.253

      192.168.1.254

      192.168.1.255

      IPv6網段

      2001:XXXX:XXXX:1a00/64

      2001:XXXX:XXXX:1a00::

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff7

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff8

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff9

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffa

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffb

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffc

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffd

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffe

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff

    • 規劃多個VPC的情境下,如果交換器所屬私人子網與其他私人子網或本地IDC有網路互連需求,請避免交換器網段與對端網段重疊,否則無法實現網路互連。

    • ClassicLink功能允許傳統網路的ECS和10.0.0.0/8172.16.0.0/12192.168.0.0/16三個VPC網段的ECS通訊。如果要和傳統網路通訊的VPC網段是10.0.0.0/8,則該VPC下的交換器網段必須是10.111.0.0/16。更多資訊,請參見ClassicLink概述

    路由表數量規劃

    路由表中的每一項是一條路由條目,由目標網段、下一跳類型、下一跳三部分組成,將指定目標網段的流量路由至指定的目的地。每個VPC最多可以擁有包括系統路由表在內的10張路由表,您可以參考以下建議規劃路由表數量。

    規劃一個路由表

    當VPC內不同交換器的流量路由沒有明顯差異,您可選擇規劃一個路由表即可滿足需求。建立VPC後,系統會自動為您建立一張系統路由表並為其添加系統路由來管理VPC的流量。系統路由表不能建立和刪除,但您可以在系統路由表中建立自訂路由條目,將指定目標網段的流量路由至指定的目的地。

    規劃多個路由表

    當VPC內不同交換器的流量路由存在明顯差異,例如需要約束某些雲端服務訪問公網的行為時,系統路由表無法滿足業務需求。您可根據業務類型劃分公有交換器與私人交換器,根據云服務是否需要直接存取公網將其部署到不同交換器中,私人交換器部署的資源可以通過公網NAT Gateway訪問公網,實現公網訪問的集中控制,滿足安全隔離需求。

    說明

    單個VPC支援建立的自訂路由表的數量為9個,您可以前往配額管理頁面配額中心提升配額。

    網路連接規劃

    阿里雲為您提供安全隔離、彈性擴充的雲上網路環境,以及高速穩定、安全可靠的雲上雲下串連服務,能夠滿足VPC內執行個體訪問公網、跨VPC互聯、雲上VPC串連雲下資料中心的需求。您可根據業務情境靈活搭配VPC和對應的產品服務進行網路連接。

    公網訪問

    從互連網訪問雲上部署的應用或者應用主動訪問公網時,有如下建議:

    • 從互連網訪問雲上部署的應用,或者應用主動訪問公網時,需要為應用伺服器配置公網IP地址。公網IP地址類型分為固定公網IP與Elastic IP Address。推薦您使用Elastic IP Address為應用伺服器配置公網IP地址。

    • 單台後端伺服器直接使用公網IP對外提供服務時,如果伺服器出現問題容易導致業務單點故障,影響系統可用性。實際業務情境中,推薦您使用負載平衡統一公網流量入口,並在多可用性區域掛載多台後端伺服器,消除系統中的單點故障,提升應用系統的可用性。

    • 當您需要主動訪問公網的伺服器較多時,需要佔用較多的公網IP資源,此時您可以通過公網NAT Gateway的SNAT功能,實現VPC內的多個ECS執行個體共用EIP上網,節省公網IP資源。

    • 當部署在雲上的業務對互連網提供服務時,進行合適的存取控制,能夠協助阻止不必要或潛在的危險訪問。您可以使用IPv4網關IPv6網關實現對VPC內執行個體訪問公網的集中控制,增強VPC內的安全防護,嚴格管控公網訪問。

    跨VPC互聯

    您可以選擇以下產品服務實現不同VPC之間的網路連通:

    • 當您規劃的VPC數量較少時(一般不超過5個),您可以在兩個VPC之間建立VPC對等串連實現跨VPC互聯。

    • 如果您的業務規模較大且網路架構複雜,根據業務需求規划了較多VPC時,您可以使用雲企業網集中且高效地管理分散的網路資源,降低營運難度,並確保資料的安全傳輸。

    • 通過公網訪問阿里雲服務(例如Object Storage Service)可能導致敏感資訊泄露,威脅資料安全,您可以使用私網串連將終端節點所在VPC(服務使用方)與終端節點服務所在VPC(服務提供者)通過終端節點建立串連,避免通過公網訪問服務帶來的潛在安全風險。

    • VPN網關通過建立加密隧道的方式在兩個VPC之間建立安全連線,但網路延遲高。

    混合雲部署

    您可以選擇以下產品服務將本機資料中心等網路連接至雲上VPC,快速構建混合雲。

    • 如果您具備較高的安全與時延需求,您可以使用Express Connect通過物理專線將本機資料中心串連到阿里雲的存取點。

    • 如果您更關注成本,可以選擇VPN網關通過建立加密隧道的方式,實現本機資料中心等網路與雲上VPC之間穩定的網路連接。

    跨VPC互聯和混合雲部署情境下有什麼要求?

    當您有VPC與VPC互連或VPC與本機資料中心互連的需求時,請確保VPC的網段與需要互連網路的網段沒有衝突。建議遵循以下網段規劃原則:

    • VPC可以使用標準網段的子網來增加VPC可用的網段數,建議不同VPC的網段保持獨立不衝突。

    • 如果不能做到不同VPC的網段不同,建議不同VPC的交換器網段保持獨立不衝突。

    • 如果不能做到不同VPC的交換器網段不同,建議需要通訊的交換器網段保持獨立不衝突。

    如下圖所示,您在華東1(杭州)、華北2(北京)和華南1(深圳)地區分別有VPC1、VPC2和VPC3。VPC1與VPC2通過VPC對等串連實現互連,VPC3目前沒有與其他VPC通訊的需求,而將來可能需要和VPC2通訊。此外,您在華東1(杭州)還有一個自建資料中心,需要通過Express Connect(物理專線)和同地區的VPC1互連。此例中,雖然VPC3暫時沒有與其他VPC互連的需求,但考慮後續業務擴充需求,建議不同VPC的網段保持獨立不衝突。

    您可以在IPAM位址集區中建立3個地區位址集區,確保每個地區有適當的IP地址分配;並建立自訂分配CIDR,明確標識10.0.2.0/24的CIDR為本機資料中心專用,並在IPAM位址集區中標記,確保這些IP地址不會被VPC中的資源誤用,從而避免IP地址重疊和衝突。

    安全能力規劃

    安全隔離可分為業務隔離、資源隔離、網路隔離多層概念。在地區和可用性區域規劃、帳號規劃、網段規劃中均需考慮安全隔離需求,帳號拆分可實現資源隔離,通過劃分VPC可實現網路隔離,而資源隔離和網路隔離均為實現業務隔離的具體方式。您可以結合網路連接情境與安全分層進行安全能力規劃。

    安全分層

    規劃建議

    VPC內

    如果您在同一VPC內部署多個業務,建議您通過交換器劃分,結合安全性群組網路ACL實現安全隔離。

    VPC邊界

    • 建議您根據業務類型劃分公有交換器與私網交換器:將需要直接存取公網的雲端服務部署到公有交換器,無需直接存取公網的雲端服務部署到私人交換器;將公網流量出/入口部署到不同交換器中;

    • 建議您使用IPv4網關/IPv6網關進行集中存取控制,結合子網路由/網關路由,在商務程序中串聯防火牆用於安全防護;

    • 建議您在公網流量出口考慮設定僅出規則,禁止來自公網的主動訪問。

    同時,VPC具備可觀測能力。您可以結合流日誌流量鏡像進行流量觀測和問題排查,應用其豐富的安全防護特性,協助您即時地監控網路流量,提前採取措施避免故障發生,或在發生安全風險後快速排查網路故障,提高系統的穩定性和可靠性。

    可觀測能力

    使用說明

    流日誌

    流日誌將收集和儲存流量日誌資料,您可以通過分段查看並分析流量日誌,全面瞭解網路流量行為,便於最佳化網路頻寬分配,改善網路瓶頸。

    流量鏡像

    VPC流量鏡像功能可以鏡像經過彈性網卡ENI且符合篩選條件的報文,用於內容檢查、威脅監控和問題排查等情境。

    容災能力規劃

    您需要根據業務架構進行容災能力規劃,以保障資料的安全性和業務的持久性。

    • 如果您的業務具有較高的容災能力需求,您可以在不同地區部署VPC,並規劃不同可用性區域的交換器,從而實現跨地區和跨可用性區域的備份和容災。

    • 如果您的業務環境需要快速響應、高並發訪問和資料安全性保障,您可以使用負載平衡進行多層次容災架構設計,通過叢集容災、會話保持、可用性區域多活等機制保障執行個體的可用性。

    • 如果您需要在不同地理位置的資料中心與雲上VPC之間建立高速、穩定的網路連接,以實現資料同步、災備切換等功能,您可以建立高可靠模式物理專線,以保障您多線接入阿里雲後業務的穩定性,滿足多線路容災需求,避免因為單線而導致的業務受損。

    • 如果您的業務對於服務可用性有較高要求,您可以藉助VPC提供的高可用虛擬IP HaVip功能,通過Keepalived或Heartbeat軟體來搭建服務高可用架構,以確保主備切換過程中服務IP不變,提高業務可用性。

    • 您可關注云服務本身具備的容災能力。例如,RDS高可用系列採用一主一備的經典高可用架構,主備節點可以部署在同一地區的相同或不同可用性區域,部署在不同可用性區域可以實現執行個體的跨可用性區域容災,提升執行個體的可用性。

    以雲上搭建Web服務為例,您可以按照下圖將單可用性區域部署升級到同城雙中心的高可用容災架構,提升服務的安全性與可靠性。

    當您綜合考慮當前業務規模與未來擴充需求,充分權衡安全隔離、高可用容災、成本等多方面因素,確定好您所需的專用網路和交換器數量、分配給專用網路和交換器的網段後,即可建立您的VPC。具體操作,請參閱建立和管理專用網路