网络里面交换机网段必须为其vpc子集吗?

来源:蜘蛛抓取(WebSpider) 时间:2022-06-22 00:40 标签: 同一交换机不同网段怎么互通

私有网络是针对公有云的基础网络(经典网络)来定义的一种概念。

VPC(Virtual Private Cloud)是公有云上自定义的逻辑隔离网络空间,是一块可自定义的网络空间,与在数据中心运行的传统网络相似,托管在VPC内的是在私有云上的服务资源,如云主机、负载均衡、云数据库等。可以自定义网段划分、IP地址和路由策略等,并通过安全组和网络ACL等实现多层安全防护。同时也可以通过VPN或专线连通VPC与的数据中心,灵活部署混合云。

VPC主要是一个网络层面的功能,其目的是让可以在云平台上构建出一个隔离的、自己能够管理配置和策略的虚拟网络环境,从而进一步提升在AWS环境中的资源的安全性。可以在VPC环境中管理自己的子网结构,IP地址范围和分配方式,网络的路由策略等。由于可以掌控并隔离VPC中的资源,因此对而言这就像是一个自己私有的云计算环境。

可以通过VPC及其他相关的云服务来把企业自己的数据中心与其在云上的环境进行集成,构成一个混合云的架构。 

1) 灵活部署:自定义网络划分、路由规则,配置实施立即生效 
2) 安全隔离:100%逻辑隔离的网络空间,我的地盘听我的 
3) 丰富接入:支持公网VPN接入和专线接入 
4) 访问控制:精确到端口的网络控制,满足金融政企的安全要求

通过 VPC 网络构建起具有严格安全访问控制的网络,同时兼顾核心数据的安全隔离和来自公网访问的有效接入。用户可以将处理核心数据和业务的核心服务器或数据库系统部署在公网无法访问的子网中,而将面向公网访问的web服务器部署于另一个子网环境中,并将该子网设置与公网连接。在 VPC 网络中,用户可以通过子网间的访问控制来实现对核心数据和业务服务器的访问控制,在确保核心数据安全可控的同时满足公网的访问需求。

通过 VPC 网络提供的隧道或 VPN 服务,建立一套安全高效的网络连接。在 VPC 中部署 Web 应用,通过分布式防火墙获得额外的隐私保护和安全性。用户可以创建防火墙规则,使 Web 应用响应 HTTP/HTTPS 等请求的同时拒绝访问 Internet,以此巩固网站的安全保护,从而实现部署于公有云上的应用与部署在自有数据中心的业务之间的互联互通,构建混合云的架构。

通过 VPC 网络提供的目的地址 NAT 功能,实现无 EIP 的安全访问互联网。

通过 VPC 网络提供的隧道/VPN/专线服务,方便将企业应用部署到云中。

通过 VPC 网络提供的隧道/VPN/专线服务,方便构建灾备环境。

经典网络:公有云上所有用户共享公共网络资源池,用户之间未做逻辑隔离。用户的内网IP由系统统一分配,相同的内网IP无法分配给不同用户。

VPC:是在公有云上为用户建立一块逻辑隔离的虚拟网络空间。在VPC内,用户可以自由定义网段划分、IP地址和路由策略,安全可提供网络ACL及安全组的访问控制,因此,VPC有更高的灵活性和安全性。 
经典网络和VPC的架构对比图: 
对比可以看到,VPC优势明显,通过VPC,用户可以自由定义网段划分、IP地址和路由策略;安全方面,VPC可提供网络ACL及安全组的访问控制,VPC灵活性和安全性更高。可适用于对安全隔离性要求较高的业务、托管多层web应用、弹性混合云部署等使用场景中,符合金融、政企等行业的强监管、数据安全要求。 
基础网络与私有网络是云上的两种网络模式,用户未标注为VPC网络的云资源均部署在基础网络中。 

路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。更多信息,参见。

交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云产品实例。创建专有网络之后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。 

在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。关于CIDR的相关信息,参见维基百科上的条目说明。也可参考文末。

您可以使用下表中标准的私网网段及其子网作为VPC的私网地址。专有网络创建成功之后,无法修改网段。建议使用比较大的网段,尽量避免后续扩容。

可用私网IP数量 (不包括系统保留)

交换机的网段不能和所属的专有网络的网段重叠,可以是其子集或者相同,网段大小在16位网络掩码与29位网络掩码之间。

对于已经在经典网络内有较多云主机的客户如何实现经典网络和VPC之间的平滑迁移呢? 
AWS(classiclink)和腾讯云(基础网络互通)都提供了平滑过渡方案,可以将经典网络内的云服务器关联至指定VPC,使经典网络中的云服务器可以与VPC内的云服务器、数据库等云服务通信。

问题一 应该使用几个VPC

如果您没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离,那么推荐使用一个VPC。目前,单个VPC内运行的云产品实例可达15000个,这样的容量基本上可以满足您的需求。 
说明:可用区是指在同一地域内,电力和网络互相独立的物理区域,在同一地域内可用区与可用区之间内网互通

如果您有如下任何一个需求,推荐您使用多个VPC。

VPC是地域级别的资源,是不能跨地域部署的。当您有多地域部署系统的需求时,就必然需要使用多个VPC。基于阿里巴巴骨干网构建的高速通道产品能轻松实现跨地域,跨国VPC间的互通。详情参考高速通道VPC互通。 

如果在一个地域的多个业务系统需要通过VPC进行严格隔离,比如生产环境和测试环境,那么也需要使用多个VPC,如下图所示。 

问题二 应该使用几个交换机

首先,即使只使用一个VPC,也尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾。

同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂加上系统处理时间、跨可用区调用等原因可能产生期望之外的网络延迟。建议您进行系统优化和适配,在高可用和低延迟之间找到平衡。

其次,使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求,考虑到容灾可以将不同的前端系统部署在不同的交换机下,将后端系统部署在另外的交换机下。

问题三 应该选择什么网段

在创建VPC和交换机时,您必须以无类域间路由块 (CIDR block) 的形式为您的专有网络划分私网网段。

您可以根据以下建议规划VPC网段。

可用私网IP数量 (不包括系统保留)

注意:VPC创建成功后,网段无法再修改。 
您可以使用下表中标准的私网网段及其子网作为VPC的私网地址范围。

如果有多个VPC,或者有VPC和线下IDC构建混合云的需求,建议使用上面这些标准网段的子网作为VPC的网段,掩码建议不超过16位。

如果云上只有一个VPC并且不需要和本地IDC互通时,可以选择上表中的任何一个网段或其子网。

VPC网段的选择还需要考虑到是否使用了经典网络。如果您使用了经典网络,并且计划将经典网络的ECS实例和VPC网络连通,那么,建议您选择非10.0.0.0/8作为VPC的网段,因为经典网络的网段也是10.0.0.0/8。

您可以根据以下建议规划交换机网段。同样,交换机创建成功后,网段无法再修改。

交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8-65536个地址。16位掩码能支持65532个ECS实例,而小于29位掩码又太小,没有意义。

交换机网段的确定还需要考虑该交换机下容纳ECS的数量。

问题四 VPC与VPC互通或者与本地数据中心互通时,如何规划网段

如下图所示,比如您在华东1、华北2、华南1三个地域分别有VPC1、VPC2和VPC3三个VPC。VPC1和VPC2通过高速通道内网互通,VPC3目前没有和其他VPC通信的需求,将来可能需要和VPC2通信。另外,您在上海还有一个自建IDC,需要通过高速通道(专线功能)和华东1的VPC1私网互通。 

此例中VPC1和VPC2使用了不同的网段,而VPC3暂时没有和其他VPC互通的需求,所以VPC3的网段和VPC2的网段相同。但考虑到将来VPC2和VPC3之间有私网互通的需求,所以两个VPC中的交换机的网段都不相同。VPC互通要求互通的交换机的网段不能一样,但VPC的网段可以一样。

在多VPC的情况下,建议遵循如下网段规划原则:

尽可能做到不同VPC的网段不同,不同VPC可以使用标准网段的子网来增加VPC可用的网段数。

如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同。

如果也不能做到交换机网段不同,则保证要通信的交换机网段不同。

目前,VPC也是各大云厂商正在力推的网络方案。AWS、阿里云、腾讯云等官网对VPC都有详细的介绍: 

总的来说,AWS和腾讯云的评分最高,能支持弹性网卡、VPN服务、网络ACL等多项服务,很大程度上降低了用户使用VPC时的技术门槛,让复杂的VPC配置变得更加简便、安全、灵活。

同时,从腾讯云的官网说明看,腾讯云还支持外网IP直通、子网广播和组播、专线NAT功能,这些是目前公有云市场的独家服务。

Routing,在平常,大家多称之为无分类编址,它也是构成超网的一种技术实现。CIDR在一定程度上解决了路由表项目过多过大的问题。CIDR之所以称为无分类编址,就是因为CIDR完全放弃了之前的分类IP地址表示法,它真正消除了传统的A类、B类、C类地址以及划分子网的概念,它使用如下的IP地址表示法:

CIDR仅将IP地址划分为网络前缀和主机号两个部分,可以说又回到了二级IP地址的表示,不过大家要注意,最后面用“/”斜线分隔,在其后写上了网络前缀所占的位数,这样就不需要告知路由器地址掩码,仅需要通过网络前缀所占的位数就可以得到地址掩码,为了统一,CIDR中的地址掩码依然称为子网掩码。

CIDR表示法给出任何一个IP地址,就相当于给出了一个CIDR地址块,这是由连续的IP地址组成的,所以CIDR表示法构成了超网,实现了路由聚合,即从一个IP地址就可以得知一个CIDR地址块。例如:已知一个IP地址是:128.14.35.7/20,那么这个已知条件告诉大家的并不仅仅是一个IP地址这么简单,我们来分析一下。

即前20位是网络前缀,后12位是主机号,那么我们通过令主机号分别为全0和全1就可以得到一个CIDR地址块的最小地址和最大地址,即

因此就可以看出来,这个CIDR地址块可以指派(47-32+1)*256=4096个地址,这里没有把全0和全1除外。

在CIDR表示法中也可以进行进一步的子网划分,和前面的子网划分类似,我们只需要从主机号中借走一定的位数即可,这里与前面的基本子网划分不同,借走2位时可以划分成4个子网,不用减2,其他位数类似。下面通过一个例子来讲解CIDR中的子网划分。

例:某个机构拥有一个大的CIDR地址块,即206.0.64.0/18,现在某个高校需要申请一个较大的CIDR地址块以供学校使用,学校内部又分为4个系,由于每个系的人数不一样,所以要给人数较多的系分配较多的IP地址,人数较少的系分配较少的IP地址,现在采用以下的分配方案:

机构分配给该高校一个CIDR地址块:206.0.68.0/22,然后该高校内部的分配方案如下:

请分析以上方案划分的具体细节。

答:这是一个CIDR子网划分中比较复杂的例子,如果大家能分析透彻这个例子,那么对于CIDR的子网划分的计算就基本不在话下了。

然后,我们来看一下这个机构给该高校分配的CIDR地址块,即206.0.68.0/22,由此可以看出来网络前缀由18增加到了22,所以该机构相当于将其CIDR地址块划分成了16个子块即子网,然后给该高校了第二个子网,即206.0.0100 ,黑色加粗的部分是原来的网络前缀,后面红色部分类似于前面介绍的子网号,由于是4位,所以可以从,共16个子网,0001自然就是第二个子网。

第二,既然高校拥有了机构的第二个子网的CIDR地址块206.0.68.0/22 = 206.0./22,其网络前缀是22位,所以其

然后该高校内部又对这个CIDR地址块进行了划分,进一步得到了高校内部的子网,紧接着我们来看看一系的CIDR地址块是怎么得到的。

第三,一系的CIDR地址块是206.0.68.0/23,可以看出来其网络前缀相对于高校的CIDR地址块来说增加了1位,说明高校首先将其CIDR地址块划分成了2个子网,其中一个给了一系。那么这两个子网分别是:一系的:206.0.68.0/23 = 206.0./23和剩余的(记为余1):206.0.70.0/23 =206.0.0100 ,注意其中的红色部分就是新增的这一位,用来标志两个子网。

现在,一系的CIDR地址块已经很明确,然后一系内部又进行了划分,即又分为206.0.68.0/25、206.0.68.128/25、206.0.69.0/25和206.0.69.128/25四个子网,网络前缀从23位变成了25位,相当于占用了主机号两位,所以可以划分为4个子网,分别对应00、01、10、11这四个子网,这四个子网的最小地址、最大地址以及子网掩码和拥有的地址数按照上述的方法就可以得到,这个比较简单,建议大家可以自己手动计算一下,正好看看自己掌握了多少,这里就不再给出这四个子网的细节。

第四,一系明确以后,就要考虑其他系的划分,可以看到二系分配到的CIDR地址块是206.0.70.0/24,可以看出来其网络前缀相对于余1的CIDR地址块来说增加了1位,说明余1的CIDR地址块被划分成了2个子网,其中一个给了二系。那么这两个子网分别是:二系的:206.0.70.0/24 = 206.0./24和剩余的(记为余2):206.0.71.0/24 =206.0./24,注意其中的红色部分就是新增的这一位,用来标志两个子网。

现在,二系的CIDR地址块已经很明确,然后二系内部又进行了划分,即又分为206.0.70.0/26、206.0.70.64/26、206.0.70.128/26和206.0.70.192/26四个子网,网络前缀从24位变成了26位,相当于占用了主机号两位,所以可以划分为4个子网,分别对应00、01、10、11这四个子网,这四个子网的最小地址、最大地址以及子网掩码和拥有的地址数按照上述的方法就可以得到,这个比较简单,建议大家可以自己手动计算一下,正好看看自己掌握了多少,这里就不再给出这四个子网的细节。

第五,二系明确以后,就要考虑其他系的划分,可以看到三系分配到的CIDR地址块是206.0.71.0/25,而四系分配到的CIDR地址块是206.0.71.128/25,可以看出来其网络前缀相对于余2的CIDR地址块来说增加了1位,说明余2的CIDR地址块被划分成了2个子网,其中一个给了三系,另外一个给了四系。那么这两个子网分别是:三系的:206.0.71.0/25 =

现在,三系和四系的CIDR地址块已经很明确,到目前为止,该高校已经将所有的CIDR地址块分配给了四个系,一系有512个地址,二系有256个地址,三系和四系各有128个地址。然后三系内部又进行了划分,即又分为206.0.71.0/26和206.0.71.64/26两个子网,网络前缀从25位变成了26位,相当于占用了主机号一位,所以可以划分为2个子网,分别对应0、1这两个子网,同时,四系内部也又进行了划分,即又分为206.0.71.128/26和206.0.71.192/26两个子网,网络前缀从25位变成了26位,相当于占用了主机号一位,所以可以划分为2个子网,分别对应0、1这两个子网,三系和四系各自的两个子网的最小地址、最大地址以及子网掩码和拥有的地址数按照上述的方法就可以得到,这个比较简单,建议大家可以自己手动计算一下,正好看看自己掌握了多少,这里就不再给出这些子网的细节。

最后,我用一副图来展示下这个划分过程。 
总之,目前已经广泛使用CIDR表示法,之前的分类方法和子网划分已经很少使用,所以大家要重点掌握CIDR表示法及其子网划分,了解以前的基本分类和划分方法即可。

选择带有公网和私网的vpc

输入名称 选择相关可用区就可以

申请弹性ip绑定到nat网关

在创建专有网络VPC(Virtual Private Cloud)时,您可以同时配置IPv4和IPv6网段。开通IPv6网段后,系统将为开通了IPv6网段的VPC自动创建一个免费版的IPv6网关。您可以使用IPv6网关管理IPv6公网带宽和IPv6公网仅主动出规则。

由于IPv4网络地址资源有限。在IPv4网络地址的场景下,网络工程师需要花费时间和精力去解决各种地址冲突的问题。但开通了IPv6网段后,IPv6的地址数量不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。开通IPv6网段有以下两种方式:

IPv6网关支持的地域

目前IPv6网关支持的地域有:华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华东1(杭州)、华东2(上海)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国(香港)、菲律宾(马尼拉)、新加坡、美国(弗吉尼亚)、德国(法兰克福)

在VPC中使用云资源,您需要先做好网络规划。更多信息,请参见。

  1. 在顶部菜单栏,选择VPC的地域。
  2. 专有网络页面,单击创建专有网络
  3. 创建专有网络页面,根据以下信息配置VPC和交换机,然后单击确定
    选择是否为VPC分配IPv6网段。本文选择分配(默认)

    选择分配IPv6网段后,系统将为您的VPC自动创建一个免费版的IPv6网关,并分配掩码为/56的IPv6网段,例如2001:db8::/56。默认IPv6地址只具备私网通信能力。如果您需要通过该IPv6地址访问互联网或被互联网中的IPv6客户端访问,您需要开通IPv6公网带宽。具体操作,请参见。

    注意 VPC创建后,不能再修改IPv6网段。

    输入VPC的描述信息。

    描述可以为空或输入2~256个中英文字符,开头不能为http://https://
    选择VPC所属的资源组。

    名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    交换机的可用区。同一VPC内不同可用区的交换机内网互通。
    显示可用区下可创建的云资源实例。

    不同时段各可用区下支持创建的云资源不同,具体实例规格的库存状况以售卖页为准。目前暂只支持查询云服务器 ECS(Elastic Compute Service)、阿里云关系型数据库RDS(Relational Database Service)、传统型负载均衡CLB(Classic Load Balancer)三种云资源的状态。

    交换机的IPv4网段。交换机的网段限制如下:
    • 交换机的网段必须是其VPC网段的子集。
    • 交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8~65536个地址。
    • 每个交换机的第一个和最后三个IP地址为系统保留地址。
    • 如果交换机有和其他VPC的交换机或本地数据中心通信的需求,请确保交换机的网段和要通信的网段不冲突。
    • 交换机网段不能与所属VPC路由表中路由的目标网段范围相同或大于该范围。

    注意 交换机创建后,不能再修改网段。

    显示可以使用的IP地址的数量。
    选择是否为交换机开启IPv6网段并配置交换机的IPv6网段。本文选中开启复选框。

    交换机的IPv6网段的掩码默认为/64,您可以输入十进制数字0~255,来自定义交换机IPv6网段的最后8比特位。

    输入交换机的描述信息。

    描述可以为空或输入2~256个中英文字符,开头不能为http://https://

  1. 在顶部菜单栏,选择VPC的地域。
  2. 专有网络页面,找到目标VPC,在IPv6网段列单击开通IPv6
  3. 开通IPv6对话框中,勾选自动开启VPC内所有交换机IPv6功能,然后单击确定

    如果您不勾选自动开启VPC内所有交换机IPv6功能,您需要为每个交换机单独开通IPv6网段。具体操作,请参见。

  • :修改指定专有网络的名称和描述信息。

当前互联网行业,内部 IT 基础资源云端化是主要趋势。云平台将资源管理抽象出来,比如云主机、云 DB 等,以服务的方式提供给用户,按需使用,从而带来更大的灵活性与经济性。

随着主机、DB、缓存、存储等独立服务抽象出来,那么必然有一个大的容器,将这些个体服务整合成一个整体。这个容器就是 VDC,即虚拟数据中心。在传统 IT 环境里,主机、DB、缓存、存储服务器,都位于物理 DC(数据中心)里。在云端化进一步发展后,物理 DC 也将抽象出来,形成 VDC,在更高的层次上为用户提供基础服务能力。

VDC 不是很新的概念,Amazon AWS 很早就提出了 VPC(虚拟私有网络)。VDC 跟 VPC 没有本质的不同,VDC 是建立在 VPC 之上。也就是说,只有 VPC 得以实现,VDC 才能产生。在 VDC 里,网络由用户自己定义,包括二层网络、三层网络(子网)、路由、安全策略、负载均衡等,都是用户控制。比如张三在他的 VDC 里,自己声明了一个 192.168.1.0/24 地址段,所有主机都使用这个段的 IP。李四也在他的 VDC 里,声明一个相同的、或不同的地址段,并分配 IP 地址给主机。

使用 VDC 的好处至少包括:

  • 安全。每个 VDC 彼此隔离,一个 VDC 里的安全问题,不会影响到其他 VDC。比如某个主机被黑,黑客难以渗透到这个主机所在 VDC 之外的其他 VDC。
  • 灵活。VDC 里每个资源,甚至包括 VDC 自身,都以服务的方式提供。用户可以通过控制面板,或者 API 的方式来使用这些资源。相比物理 DC 来说,存在极大的灵活性。
  • 经济。VDC 里的资源按需使用,对成本管控无疑有利。YY 游戏的云平台成本节省比率大概在 40% 左右。
  • 易管理。对大而杂的物理 DC 而言,最大的问题是容量管理。每个物理 DC 里混合了多个业务,在统计它们的容量时很头痛。而 VDC 与项目挂钩,每个项目使用一个独立的 VDC,在容量管理方面就容易很多。可以统计出历史容量报表,并根据业务发展趋势(PCU、DAU 等),自动做好容量规划。容量管理对象包括 CPU、内存、磁盘、带宽等。

VDC 内部资源包括各个抽象化的具体服务,如云主机、云 DB 等,如下示意图:

这些抽象化的个体服务,位于虚拟私有网络里。用户接入 VDC 后,访问它们就如同在物理 DC 里一样方便。第三方的管理服务,比如部署系统、研发管理系统、监控系统、QA 系统,都实例化运行,在每个 VDC 里发挥作用。升龙部署系统有点类似于 AWS 的 OpsWorks,是一套综合部署与运维平台。

VDC 发展趋势必然是跨物理 DC。在分布于各地的物理 DC 基础上,抽象出面向用户的 VDC 服务。而用户甚至无需关注物理 DC 的分布,只需要按正常方式使用 VDC 资源,由 VDC 自身来保证服务的架构、性能、扩展性。如下图所示:

用户的项目,或者项目组,接入专属的 VDC。VDC 之间彼此隔离,并不能直接通信,如果需要通信可以走 VPN 隧道连接。位于办公室的用户,也通过 VPN 的方式接入生产网 VDC。在 YY 游戏云平台上,每款游戏都是接入一个独立的 VDC。

随着技术的发展,物理 DC 的硬件条件,包括空调、电力、安防、监控等,也可以逐步抽象成服务,为用户的 VDC 提供更完善的基础服务。我想在不久的将来,互联网公司的 VDC 发展将全面取代物理 DC,实现更灵活高效的 IT 基础服务。

1 什么是私有网络(VPC)

私有网络是一块可用户自定义的网络空间,您可以在私有网络内部署云主机、负载均衡、数据库、Nosql快存储等云服务资源。您可自由划分网段、制定路由策略。私有网络可以配置公网网关来访问Internet,同时也支持配置公网或专线接入搭建混合云,私有网络之间网络逻辑隔离。

基础网络与私有网络是腾讯云上的两种网络模式,用户未标注为VPC网络的云资源均部署在基础网络中。

3 使用私有网络的好处

1) 灵活部署:自定义网络划分、路由规则,配置实施立即生效
2) 安全隔离:100%逻辑隔离的网络空间,我的地盘听我的
3) 丰富接入:支持公网VPN接入和专线接入
4) 访问控制:精确到端口的网络控制,满足金融政企的安全要求

说起来VPN,大家应该都不陌生,新闻媒体上会经常出现,但VPC就比较少听过,那么VPC是什么,与VPN有何关系?

我们在新闻中经常听到某某人因为私自搭建VPN服务或者销售VPN软件而被抓,为什么云服务商也提供VPN就没事呢?技术当然是无罪的,关键是用技术来做什么,首先我们了解一下什么是VPN。

虚拟专用网(VPN:Virtual Private Network)是指在公用网络上建立起一个临时的、安全的连接。建立VPN主要采用的技术包括:隧道技术、加解密技术、密钥管理技术和身份认证技术,可通过服务器、硬件、软件等多种方式实现。

VPN主要是用于大型企业中,比如异地办公或出差的员工可以通过VPN网络访问公司内部网,从而实现整个企业的异地协同工作,且有足够的安全性。VPN可以保障通信的私密性,因此也可以利用VPN技术突破网络封锁访问受限制站点。

对于利用VPN访问互联网,国家法律已有规定:未经电信主管部门批准, 不得自行建立或租用专线(含虚拟专用网络 VPN)等其他信道开展跨境经营活动。如果有人利用VPN技术提供互联网跨境访问的,就触犯了法律。像阿里云、腾讯云之类的云服务商虽然也提供VPN服务,但并不提供Internet访问。

这些云服务商的VPN服务主要是为企业提供加密通道,将企业数据中心(IDC)、内部办公网络与云端租用的虚拟私有云VPC安全得连接起来,这样企业就可以实现基于混合云的企业信息基础设施架构。

随着网络规模的不断扩大,ARP欺骗、广播风暴、主机扫描等网络安全问题越来越严重,为了解决这些问题,出现了各种网络隔离技术,比如虚拟局域网(VLAN)、VPC等。虽然VLAN技术可以将网络的用户进行隔离,但是VLAN的数量最大只能支持到4096个,无法支撑公有云的巨大用户量。

虚拟私有云(VPC:Virtual Private Cloud)与VPN类似,实现VPC也需要利用隧道技术,以及SDN(软件定义网络)。利用VPC技术可以将公有云的网络隔离,每个VPC网络都有一个隧道号,相互之间逻辑上彻底隔离。对于SDN技术,可以参考之前发表的文章《》。

另外,VPC不存在VLAN技术的数量限制,非常适合于公有云中用于网络隔离。目前VPC服务已经是主流云计算服务商提供的一项基础服务,使用者可以利用VPC服务在公有云上隔离出一个自己的专有网络。

以阿里云VPC服务为例,使用者可完全掌控自己的VPC,比如选择自己的IP地址范围、划分网段、配置路由表和网关等,从而实现更加安全的网络环境。

阿里云的VPC架构图如上图所示,主要包括三个核心部件:网关、交换机和控制器。交换机和网关组成了数据通路的关键路径,控制器是实现配置通路的关键路径。

对信息安全有较高要求的企业,VPC以及基于VPC的混合云架构将成为首选,但对使用者有较高的技术要求,需要有一定数据通信网络的配置经验

私有网络是针对公有云的基础网络(经典网络)来定义的一种概念。

VPC(Virtual Private Cloud)是公有云上自定义的逻辑隔离网络空间,是一块可自定义的网络空间,与在数据中心运行的传统网络相似,托管在VPC内的是在私有云上的服务资源,如云主机、负载均衡、云数据库等。可以自定义网段划分、IP地址和路由策略等,并通过安全组和网络ACL等实现多层安全防护。同时也可以通过VPN或专线连通VPC与的数据中心,灵活部署混合云。

VPC主要是一个网络层面的功能,其目的是让可以在云平台上构建出一个隔离的、自己能够管理配置和策略的虚拟网络环境,从而进一步提升在AWS环境中的资源的安全性。可以在VPC环境中管理自己的子网结构,IP地址范围和分配方式,网络的路由策略等。由于可以掌控并隔离VPC中的资源,因此对而言这就像是一个自己私有的云计算环境。

可以通过VPC及其他相关的云服务来把企业自己的数据中心与其在云上的环境进行集成,构成一个混合云的架构。 

1) 灵活部署:自定义网络划分、路由规则,配置实施立即生效 
2) 安全隔离:100%逻辑隔离的网络空间,我的地盘听我的 
3) 丰富接入:支持公网VPN接入和专线接入 
4) 访问控制:精确到端口的网络控制,满足金融政企的安全要求

通过 VPC 网络构建起具有严格安全访问控制的网络,同时兼顾核心数据的安全隔离和来自公网访问的有效接入。用户可以将处理核心数据和业务的核心服务器或数据库系统部署在公网无法访问的子网中,而将面向公网访问的web服务器部署于另一个子网环境中,并将该子网设置与公网连接。在 VPC 网络中,用户可以通过子网间的访问控制来实现对核心数据和业务服务器的访问控制,在确保核心数据安全可控的同时满足公网的访问需求。

通过 VPC 网络提供的隧道或 VPN 服务,建立一套安全高效的网络连接。在 VPC 中部署 Web 应用,通过分布式防火墙获得额外的隐私保护和安全性。用户可以创建防火墙规则,使 Web 应用响应 HTTP/HTTPS 等请求的同时拒绝访问 Internet,以此巩固网站的安全保护,从而实现部署于公有云上的应用与部署在自有数据中心的业务之间的互联互通,构建混合云的架构。

通过 VPC 网络提供的目的地址 NAT 功能,实现无 EIP 的安全访问互联网。

通过 VPC 网络提供的隧道/VPN/专线服务,方便将企业应用部署到云中。

通过 VPC 网络提供的隧道/VPN/专线服务,方便构建灾备环境。

经典网络:公有云上所有用户共享公共网络资源池,用户之间未做逻辑隔离。用户的内网IP由系统统一分配,相同的内网IP无法分配给不同用户。

VPC:是在公有云上为用户建立一块逻辑隔离的虚拟网络空间。在VPC内,用户可以自由定义网段划分、IP地址和路由策略,安全可提供网络ACL及安全组的访问控制,因此,VPC有更高的灵活性和安全性。 
经典网络和VPC的架构对比图: 
对比可以看到,VPC优势明显,通过VPC,用户可以自由定义网段划分、IP地址和路由策略;安全方面,VPC可提供网络ACL及安全组的访问控制,VPC灵活性和安全性更高。可适用于对安全隔离性要求较高的业务、托管多层web应用、弹性混合云部署等使用场景中,符合金融、政企等行业的强监管、数据安全要求。 
基础网络与私有网络是云上的两种网络模式,用户未标注为VPC网络的云资源均部署在基础网络中。 

路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。更多信息,参见。

交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云产品实例。创建专有网络之后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。 

在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。关于CIDR的相关信息,参见维基百科上的条目说明。也可参考文末。

您可以使用下表中标准的私网网段及其子网作为VPC的私网地址。专有网络创建成功之后,无法修改网段。建议使用比较大的网段,尽量避免后续扩容。

可用私网IP数量 (不包括系统保留)

交换机的网段不能和所属的专有网络的网段重叠,可以是其子集或者相同,网段大小在16位网络掩码与29位网络掩码之间。

对于已经在经典网络内有较多云主机的客户如何实现经典网络和VPC之间的平滑迁移呢? 
AWS(classiclink)和腾讯云(基础网络互通)都提供了平滑过渡方案,可以将经典网络内的云服务器关联至指定VPC,使经典网络中的云服务器可以与VPC内的云服务器、数据库等云服务通信。

问题一 应该使用几个VPC

如果您没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离,那么推荐使用一个VPC。目前,单个VPC内运行的云产品实例可达15000个,这样的容量基本上可以满足您的需求。 
说明:可用区是指在同一地域内,电力和网络互相独立的物理区域,在同一地域内可用区与可用区之间内网互通

如果您有如下任何一个需求,推荐您使用多个VPC。

VPC是地域级别的资源,是不能跨地域部署的。当您有多地域部署系统的需求时,就必然需要使用多个VPC。基于阿里巴巴骨干网构建的高速通道产品能轻松实现跨地域,跨国VPC间的互通。详情参考高速通道VPC互通。 

如果在一个地域的多个业务系统需要通过VPC进行严格隔离,比如生产环境和测试环境,那么也需要使用多个VPC,如下图所示。 

问题二 应该使用几个交换机

首先,即使只使用一个VPC,也尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾。

同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂加上系统处理时间、跨可用区调用等原因可能产生期望之外的网络延迟。建议您进行系统优化和适配,在高可用和低延迟之间找到平衡。

其次,使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求,考虑到容灾可以将不同的前端系统部署在不同的交换机下,将后端系统部署在另外的交换机下。

问题三 应该选择什么网段

在创建VPC和交换机时,您必须以无类域间路由块 (CIDR block) 的形式为您的专有网络划分私网网段。

您可以根据以下建议规划VPC网段。

可用私网IP数量 (不包括系统保留)

注意:VPC创建成功后,网段无法再修改。 
您可以使用下表中标准的私网网段及其子网作为VPC的私网地址范围。

如果有多个VPC,或者有VPC和线下IDC构建混合云的需求,建议使用上面这些标准网段的子网作为VPC的网段,掩码建议不超过16位。

如果云上只有一个VPC并且不需要和本地IDC互通时,可以选择上表中的任何一个网段或其子网。

VPC网段的选择还需要考虑到是否使用了经典网络。如果您使用了经典网络,并且计划将经典网络的ECS实例和VPC网络连通,那么,建议您选择非10.0.0.0/8作为VPC的网段,因为经典网络的网段也是10.0.0.0/8。

您可以根据以下建议规划交换机网段。同样,交换机创建成功后,网段无法再修改。

交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8-65536个地址。16位掩码能支持65532个ECS实例,而小于29位掩码又太小,没有意义。

交换机网段的确定还需要考虑该交换机下容纳ECS的数量。

问题四 VPC与VPC互通或者与本地数据中心互通时,如何规划网段

如下图所示,比如您在华东1、华北2、华南1三个地域分别有VPC1、VPC2和VPC3三个VPC。VPC1和VPC2通过高速通道内网互通,VPC3目前没有和其他VPC通信的需求,将来可能需要和VPC2通信。另外,您在上海还有一个自建IDC,需要通过高速通道(专线功能)和华东1的VPC1私网互通。 

此例中VPC1和VPC2使用了不同的网段,而VPC3暂时没有和其他VPC互通的需求,所以VPC3的网段和VPC2的网段相同。但考虑到将来VPC2和VPC3之间有私网互通的需求,所以两个VPC中的交换机的网段都不相同。VPC互通要求互通的交换机的网段不能一样,但VPC的网段可以一样。

在多VPC的情况下,建议遵循如下网段规划原则:

尽可能做到不同VPC的网段不同,不同VPC可以使用标准网段的子网来增加VPC可用的网段数。

如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同。

如果也不能做到交换机网段不同,则保证要通信的交换机网段不同。

目前,VPC也是各大云厂商正在力推的网络方案。AWS、阿里云、腾讯云等官网对VPC都有详细的介绍: 

总的来说,AWS和腾讯云的评分最高,能支持弹性网卡、VPN服务、网络ACL等多项服务,很大程度上降低了用户使用VPC时的技术门槛,让复杂的VPC配置变得更加简便、安全、灵活。

同时,从腾讯云的官网说明看,腾讯云还支持外网IP直通、子网广播和组播、专线NAT功能,这些是目前公有云市场的独家服务。

我要回帖

更多关于 同一交换机不同网段怎么互通 的文章

 

随机推荐