专有网络(VPC:Virtual Private Cloud)介绍

概念

VPC不属于公有云(Public Cloud),私有云(Private Cloud),混合云(Hybrid Cloud)这三种云中任一种。这是一种运行在公有云上,将一部分公有云资源为某个用户隔离出来,给这个用户私有使用的资源的集合。

服务角度

VPC是这么一种云,它由公有云管理,运行在公共资源上,但是保证每个用户之间的资源是隔离,用户在使用的时候不受其他用户的影响,感觉像是在使用自己的私有云一样

从这种意义上看,VPC不是网络,我们可以对比VPC和它一个字面上相近的概念:VPN(Virtual Private Network)。VPN在公共的网络资源上虚拟隔离出一个个用户网络,例如IPsec VPN可以是在互联网上构建连接用户私有网络的隧道,MPLS VPN更是直接在运营商的PE设备上划分隔离的VRF给不同的用户。从提供服务的角度来,说如果VPC指的只是网络的话,那它跟VPN的概念是重复的。所以,从公有云所提供的服务来说,VPC应该理解成,向用户提供的隔离资源的集合

VPC最早是由AWS在2009年提出[1],不过VPC的一些组成元素在其提出之前就已经存在。VPC只是将这些元素以私有云的视角重新包装了一下。在VPC之后,云主机只能使用VPC内部的对应的元素。从这个角度看,VPC更像是公有云服务商以打包的形式提供服务。

用户可以在公有云上创建一个或者多个VPC,每个部门一个VPC。对于需要连通的部门创建VPC连接。

技术角度

VPC是用户专属的一个二层网络。

VPC的网络链接组件

IPv4

IPv4网关是连接专有网络VPC(Virtual Private Cloud)和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。

功能

  • 作为VPC路由表中的路由下一跳,控制VPC访问公网的目的地址范围。
  • 为VPC中分配了IPv4公网地址的网络资源(例如弹性网卡、ECS等),提供网络地址转换功能。

    使用场景

    对公网访问进行集中控制

使用限制

  • IPv4网关是地域级别的资源,只能在同一个地域中使用。
  • 一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。
  • 一个IPv4网关仅能绑定一张网关路由表。
  • IPv4网关不能绑定系统路由表。
  • 已绑定交换机的路由表不能与IPv4网关绑定。

HaVip(High-Availability Virtual IP Address)高可用虚拟IP

HaVip是一种可以独立创建和释放的私网IP资源,具备与ECS实例主私网IP地址一样的网络接入能力,可以与高可用软件,例如Keepalived配合使用,搭建高可用主备服务,提高业务的可用性。
HaVip支持绑定一个弹性公网IP(EIP)、多个ECS实例或多个ECS实例的主网卡或辅助网卡,以实现同可用区、多服务器高可用架构下的IP漂移,确保对外提供服务的私网IP始终不变。

HaVip资源限制

资源 默认限制
支持创建高可用虚拟IP(HaVip)的网络类型 VPC类型
单个ECS实例支持同时绑定的HaVip数量 5个
单个HaVip支持同时绑定的EIP数量 1个
单个HaVip支持同时绑定的ECS实例或弹性网卡的数量 10个HaVip只能绑定ECS实例和弹性网卡中的一种,不能跨类别绑定;HaVip具有子网属性,只能绑定同一交换机下的实例或弹性网卡
HaVip是否支持广播和组播通信 不支持

网络ACL

网络ACL是VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制。

ECS安全组

安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。通过配置安全组规则,您可以控制安全组内一台或多台ECS实例的入流量和出流量。安全组和交换机不是绑定的。

经典网络

ACP考试相关外延知识点

  • VPC中使用的弹性公网IP是收费服务。

参考资料

[https://zhuanlan.zhihu.com/p/33658624]

-------------本文结束感谢您的阅读-------------