Virtual Private Cloud：基礎設施安全

網路隔離

Virtual Private Cloud是阿里雲上使用者自己的雲上私人網路，是一個隔離的網路環境，專用網路之間邏輯上徹底隔離。

在Virtual Private Cloud中，交換器（vSwitch）是組成專用網路的基礎網路裝置，用來串連不同的雲資源執行個體。您可以建立多個交換器來劃分VPC的網路空間，並可以將不同的ECS執行個體部署在不同的交換器中，不同交換器之間可以進行網路隔離。每個交換器都有自己的IP位址區段和路由表，可以通過路由表進行存取控制。

控制網路流量

您可以使用以下方法來控制VPC中資源的網路流量：

• 當您建立VPC類型的ECS執行個體時，可以使用系統提供的預設安全性群組規則，也可以選擇VPC中已有的其他安全性群組來控制ECS執行個體的出站和入站流量。安全性群組是一種虛擬防火牆，可以對ECS執行個體進行細粒度的存取控制，從而實現精細化的安全管理。此外，您還可以自訂設定網路ACL規則，並將網路ACL與交換器綁定，實現對交換器中ECS執行個體的流量的存取控制。網路ACL可以對交換器中的所有ECS執行個體的流量進行控制，對於需要限制流量的大規模應用非常有用。通過使用安全性群組和網路ACL，可以有效地保護VPC內的資源安全，提高系統的安全性和可靠性。詳細資料，請參見安全性群組概述和網路ACL概述。

• IPv4網關是串連VPC和公網的網路組件。VPC訪問IPv4公網的流量經過IPv4網關，由IPv4網關實現路由轉寄以及私網地址到公網地址的轉換，最終實現對公網的訪問。詳細資料，請參見IPv4網關概述。

• IPv6網關是Virtual Private Cloud的一個IPv6流量網關。您可以通過配置IPv6公網頻寬和僅主動出規則，靈活定義IPv6的出流量和入流量。詳細資料，請參見什麼是IPv6網關。

• 您可以在VPC內建立自訂路由表，並在自訂路由表中添加自訂路由條目，然後將自訂路由表綁定至交換器來控制該交換器的流量，方便您更靈活地進行網路管理。詳細資料，請參見子網路由。

• VPN網關是一種安全的網路連接方式，可以在公網環境下實現VPC和本機資料中心之間的安全連線。通過VPN網關，可以使用IPsec VPN和SSL VPN協議，實現網站到網站的安全連線和遠端使用者的安全接入。詳細資料，請參見VPN網關產品簡介。

• Express Connect是一種高速、低延遲、高可靠性的網路連接方式，可以實現VPC和本機資料中心之間的高速互聯。通過Express Connect，可以通過一個物理專線串連多個VPC和本機資料中心，實現私人網路的互聯。詳細資料，請參見什麼是Express Connect。

• VPC對等串連是一種VPC之間的網路連接方式，可以實現VPC之間的資料轉送和資源共用。通過VPC對等串連，可以在不同的VPC之間建立點對點的網路連接，實現不同VPC之間的互聯和資源共用。詳細資料，請參見VPC對等串連概述。

• 雲企業網是一種多VPC互連的解決方案，可以實現企業內部多個VPC之間的網路互連。通過雲企業網，可以將企業內部所有VPC互相串連起來，為您打造一張靈活、可靠、大規模的企業級雲上網路。詳細資料，請參見什麼是雲企業網。

• 網關終端節點是一個虛擬網關裝置，在VPC中建立雲端服務的網關終端節點並指定關聯的路由表，系統自動將該雲端服務的下一跳路由指向網關終端節點，實現對雲端服務的私網訪問。詳細資料，請參加網關終端節點。

• 使用VPC的流日誌功能捕獲VPC網路中彈性網卡ENI（Elastic Network Interface）的傳入和傳出流量資訊，協助您檢查存取控制規則、監控網路流量和排查網路故障。詳細資料，請參見流日誌概述。

網路ACL與安全性群組

與交換器綁定的網路ACL規則控制流程入和流出交換器的資料流，與ECS執行個體相關的安全性群組規則控制流程入和流出ECS執行個體的資料流。網路ACL和安全性群組的基本差異如下表所示。