服务介绍

什么是虚拟专有云

虚拟专有云（Virtual Private Cloud，VPC）是为弹性云主机/裸金属构建的私密、隔离的、可自主配置和管理的虚拟网络环境，能够提高云业务的安全性，简化网络部署。构建VPC时可自定义该网络的IP地址范围，通过创建多个子网、配置网关等功能实现灵活配置和管理VPC网络，也可以结合安全组及防火墙加强对VPC内弹性云主机的访问控制和保护；此外，通过云专线/VPN网关的方式，用户可以将云上VPC与本地数据中心互联，拓展云上资源；不同的VPC可以通过对等连接实现VPC之间互访。

VPC由一个私网网段、路由表和至少一个子网组成。

• 私网网段

在创建VPC时，您需要指定VPC所使用的私网网段。本系统VPC为您提供以下三个标准私网网段，您可在此范围内基于业务需求和使用习惯自定义VPC网段。

10.0.0.0/8~24，最多可用IP数量为16777212。

172.16.0.0/12~24，最多可用IP数量为1048572。

192.168.0.0/16~24，最多可用IP数量为65532。

• 子网

在创建VPC后，需要为VPC划分一个或多个子网，弹性云主机、裸金属、云数据库等必须部署于子网内。子网网段是基于子网掩码划分的，且必须位于VPC所使用的私网网段范围内，如VPC的私网网段为192.168.0.0/16，则基于该网段可进一步划分出子网192.168.1.0/24和子网192.168.2.0/24，以及更多子网。默认情况下，同一VPC内的不同子网之间互通。

• 路由表

路由表是决定网络流量流向的规则集合。在创建虚拟专有云时，系统会自动生成默认路由表，默认路由表的作用是保证了同一个VPC下的所有子网互通。

相关概念

• 地域和可用区

地域和可用区用来描述数据中心的位置，您可以在特定的地域、可用区创建资源。

• 地域（Region）：是指地理位置和网络时延维度划分的物理数据中心，同一个地域内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等服务。不同地域间默认内网不互通。

• 可用区（Availability Zone，AZ）：是指在同一地域内，一个或多个物理数据中心的集合。同一地域内可用区与可用区之间内网互通，同一可用区内实例之间的网络延时更小；不同可用区之间电力和网络互相独立，物理隔离，帮助实现故障隔离。是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。

• 如果您的应用需要较高的容灾能力，建议您将资源部署在同一地域的不同可用区内。

• 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。

图-1 地域和可用区

 

• 高可用虚拟IP

高可用虚拟IP（High Availability Virtual IP，HAVIP）是计算资源高可用（HA）场景下分配的虚拟IP地址（VIP），是私有IP地址的一种，同可以分配给指定云服务实例的私有IP地址一样具有网络接入能力。弹性云主机可以同时拥有私有IP和HAVIP，用户通过私有IP或HAVIP地址都可以访问该弹性云主机。

HAVIP不会固定在指定的弹性云主机或弹性网卡上，基于这种特点，HAVIP主要用于弹性云主机的主备切换，达到高可用性目的。一个HAVIP可以绑定多台主备部署的弹性云主机；若HAVIP绑定主备服务器后，又绑定了弹性公网IP，就可以实现外网访问该HAVIP绑定的多个主备部署的弹性云主机，增强容灾性能。

• DHCP

DHCP（Dynamic Host Configuration Protocol），即动态主机设置协议，是一种用于集中管理和自动分配IP地址的通信协议，使网络环境中的主机动态地获得IP地址、网关地址、DNS服务器地址等信息，提高IP地址分配和管理效率。VPC子网默认配置DHCP协议，使用该VPC中子网网卡的弹性云主机启动后，会通过DHCP协议自动获取IP地址。

• DNS服务器

DNS（Domain Name System，域名系统）可以把域名（如text.example.com）转换为计算机IP地址（如10.1.1.1），让用户可以直接在浏览器中输入域名，访问网站或Web应用程序。

创建VPC子网时，可以配置DNS服务器，使得该VPC内的弹性云主机可以解析私网域名，实现云主机在VPC内直接通过私网域名互相访问。可以在以下场景中应用：

• 网站建设：将网站域名指向网站服务器地址，实现业务用户通过域名访问网站。

• 服务器切换：当网站服务器IP地址发生变化时，服务器管理者通过修改解析记录即可切换服务器，业务用户可无感知地通过原域名访问网站。

图-2 私网域名解析过程

 

• VPC边界防火墙

VPC边界防火墙是系统中提供VPC网络安全防护的云服务，为VPC提供出入口流量（南北向）监控和访问控制。用户可以通过VPC边界防火墙创建访问控制策略，对于匹配策略规则的流量将按照指定动作允许或拒绝通过。系统中的VPC边界防火墙服务需要依托于SDN控制器（如VCFC），支持从互联网到VPC内部部署业务的访问流量和业务到互联网的主动外联访问（包括VPC与VPC之间通过弹性公网IP互访）双向的精确流量控制。VPC边界防火墙可同时结合安全组服务，为VPC内部署的业务提供灵活的、多层级的安全防护。

 

功能价值

全方位安全防护

基于网络侧和主机侧安全防护，可以进行核心数据和业务服务器的安全管理，实现灵活地流量监控和访问控制。

• 业务系统隔离

VPC具有天然的网络隔离功能，默认情况下，同一VPC内的弹性云主机是互通的，VPC与外部网络不互通，可实现100%租户隔离；不同VPC之间默认不互通，用户可以将需要隔离的多个业务放在不同的VPC中，即可实现业务间的安全隔离。

 

• 安全组

安全组提供主机级别的防护，可以将同一VPC中不同或相同子网内的弹性云主机划分成不同的安全域，进一步提升云主机的安全性。安全组创建后，用户可以在安全组中自定义多种访问规则，包括报文协议和端口，对于不匹配规则的流量将被拒绝，实现对出入口双向流量的严格访问控制。当弹性云主机加入安全组后，即受到这些访问规则的保护。详情介绍请参见安全组。

• 防火墙

防火墙可以提供网络级别的防护，在内网和外网之间、专用网和公共网之间的界面上构造保护屏障，从而保护内部网络免受非法用户的入侵。防火墙可以与VPC绑定，配合安全组功能，为弹性云主机提供高层级的安全防护，包括对弹性云主机之间或弹性云主机和外网之间的互访保护。本系统提供了VPC边界防火墙、云防火墙、Web应用防火墙等功能，满足不同安全防护需求。

自主搭建网络

用户可以自定义VPC私网IP地址范围、子网数量及网段、网关等网络特性，并按需创建弹性云主机等云资源，实现用户统一、灵活地搭建和管理VPC网络；VPC对等连接可以帮助用户更方便地控制两个VPC之间的通信。

• 子网划分：可以按需在VPC的私网IP地址范围内划分一个或多个子网。

• 自定义资源：可以在VPC的子网内创建弹性云主机、裸金属、数据库等云资源，自定义搭建业务系统。

• VPC对等连接：可以实现同一个地域内两个VPC之间的通信。

灵活对外提供服务

• 本系统提供多种VPC与不同网络的连接方案，实现VPC内部弹性云主机部署的服务被此VPC外部的网络访问，用户可以根据具体场景灵活地选择相应的连接方式。

• 通过VPC对等连接功能，实现同一地域下不同VPC之间的互通。

• 通过弹性公网IP和NAT网关，实现VPC内部弹性云主机与Internet互访。

• 通过VPN连接、云专线等，实现VPC与本地数据中心之间互通。

• 若VPC内的弹性云主机绑定弹性公网IP（可结合使用NAT网关）与公网互通，由于提供公网出口带宽服务的弹性IP支持动态绑定与解绑弹性云主机（或NAT网关），这样就实现了弹性灵活地控制VPC内部弹性云主机与Internet互访。

• 在VPC内可以灵活结合多种服务满足业务需求，比如，利用负载均衡向多个弹性云主机进行大流量分发，提供高性能服务；使用高可用虚拟IP实现主备设备切换，达到高可用目的。

应用场景

云上专属网络

通过VPC可在云上构建安全、隔离的虚拟网络环境，部署安全可控的云上业务。用户可以灵活定义VPC私网网段、子网IP地址范围及个数、配置网关等，实现对VPC网络环境的自主配置和管理。

本地业务拓展至云上

通过云专线/VPN等连接方式，实现云上VPC与本地数据中心互联。用户可以方便地将应用部署到云上，打通本地数据中心和云上的数据，实现资源整合；满足根据业务量扩展云上资源、数据异地云容灾备份、高效管理多个数据中心等诸多场景需求，同时降低了企业IT运维成本。

• 云专线：用户可以通过运营商在原有IDC和VPC之间建立一条高效、安全、稳定的专属网络通道。

• VPN连接：VPN连接是一种通过安全加密的通信隧道连接VPC和多个本地数据中心的接入方式。

云端WEB服务

将WEB服务器部署在VPC中，通过配置弹性公网IP和NAT网关对外提供服务；在VPC内部，通过防火墙和安全组控制出入流量，保证WEB应用的安全；在VPC中用户可以使用负载均衡器将访问流量调度分发给多台弹性云主机，并结合动态资源扩展技术，动态扩展/回收云主机，提高业务的可靠性。

与其他云服务之间的关系

VPC与其他云服务依赖关系如表所述。

云服务名称	描述
弹性云主机	VPC用于为弹性云主机提供安全、隔离的私有网络环境。
负载均衡	负载均衡用于将网络流量分发到VPC内多台弹性云主机上，实现访问流量的分发。
弹性公网IP	弹性云主机绑定弹性公网IP（EIP），实现Internet与VPC内的弹性云主机互访。
NAT网关	NAT网关提供网络地址转换功能（SNAT和DNAT两种功能），实现VPC内的多个弹性云主机共享同一弹性公网IP访问公网。
共享带宽	提供多个IP地址共享一个带宽资源的能力。
安全组	安全组是一个逻辑上的分组，用户可以在安全组中自定义多种访问规则。当VPC内的弹性云主机加入安全组后，即受到这些访问规则的保护。
防火墙	防火墙可以提供网络级别的防护，通过制定访问规则控制VPC的出入流量，从而保护内部网络安全。
VPN	虚拟专用网络。可以使用VPN服务连接VPC与传统数据中心，实现云上资源与数据中心资源的互通。
云专线	可以使用云专线实现云上VPC与传统数据中心之间互联。
VPC对等连接	通过VPC对等连接，同一地域内两个VPC之间可以进行通信。