在建立VPC和交換器前,您需要結合具體的業務規劃VPC和交換器的數量及網段等。

Virtual Private Cloud(Virtual Private Cloud)是阿里雲推薦使用的網路類型,專有網路之間邏輯上徹底隔離。越來越多的使用者選擇使用VPC,可以說VPC是現在使用者上雲第一個考慮的產品,主要是因為:

  • 隔離的網路環境

    VPC基於隧道技術,實現資料連結層的隔離,為每個租戶提供一張獨立、隔離的安全網路。不同專有網路之間內部網路完全隔離,只能通過對外映射的IP(Elastic IP Address和NAT IP)互連。

  • 可控的網路設定

    您可以完全掌控自己的虛擬網路,例如選擇自己的IP位址範圍、配置路由表和網關等,從而實現安全而輕鬆地資源訪問和應用程式訪問。此外,您也可以通過專線或VPN等串連方式將您的專有網路與傳統資料中心相連,形成一個按需定製的網路環境,實現應用的平滑遷移上雲和對資料中心的擴充。

    訪問Virtual Private Cloud獲取更多資訊。

在考慮使用VPC的時候,首先遇到的一個問題就是如何進行VPC網路規劃。您可以從以下幾個問題入手規劃和設計您的專有網路架構。

問題一 應該使用幾個VPC?

  • 一個VPC

    如果您沒有多地域部署系統的要求且各系統之間也不需要通過VPC進行隔離,那麼推薦使用一個VPC。目前,單個VPC內啟動並執行雲產品執行個體可達15000個,這樣的容量基本上可以滿足您的需求。



  • 多個VPC

    如果您有如下任何一個需求,推薦您使用多個VPC。

    多地域部署系統

    VPC是地域等級的資源,是不能跨地域部署的。當您有多地域部署系統的需求時,就必然需要使用多個VPC。您可以通過使用Express Connect、VPN網關、雲企業網等產品實現VPC互通。



  • 多業務系統隔離

    如果在一個地域的多個業務系統需要通過VPC進行嚴格隔離,比如生產環境和測試環境,那麼也需要使用多個VPC,如下圖所示。



問題二 應該使用幾個交換器?

首先,即使只使用一個VPC,也盡量使用至少兩個交換器,並且將兩個交換器分布在不同可用性區域,這樣可以實現跨可用性區域容災。

同一地域不同可用性區域之間的網路通訊延遲很小,但也需要經過業務系統的適配和驗證。由於系統調用複雜加上系統處理時間、跨可用性區域調用等原因可能產生期望之外的網路延遲。建議您進行系統優化和適配,在高可用和低延遲之間找到平衡。

其次,使用多少個交換器還和系統規模、系統規劃有關。如果前端系統可以被公網訪問並且有主動訪問公網的需求,考慮到容災可以將不同的前端系統部署在不同的交換器下,將後端系統部署在另外的交換器下。

問題三 應該選擇什麼網段?

在建立VPC和交換器時,您必須以無類域間路由塊 (CIDR block) 的形式為您的專有網路劃分私網網段。
  • 規劃VPC網段

    您可以使用192.168.0.0/16、172.16.0.0/12、10.0.0.0/8這三個私網網段及其子網作為VPC的私網位址範圍。在規劃VPC網段時,請注意:

    • 如果雲上只有一個VPC並且不需要和本地IDC互通時,可以選擇上述私網網段中的任何一個網段或其子網。

    • 如果有多個VPC,或者有VPC和線下IDC構建混合雲的需求,建議使用上面這些標準網段的子網作為VPC的網段,掩碼建議不超過16位。

    • VPC網段的選擇還需要考慮到是否使用了經典網路。如果您使用了經典網路,並且計劃將經典網路的ECS執行個體和VPC網路連通,那麼,建議您選擇非10.0.0.0/8作為VPC的網段,因為經典網路的網段也是10.0.0.0/8。

  • 規劃交換器網段

    交換器的網段可以和其所屬的VPC網段相同,或者是其VPC網段的子網。比如VPC的網段是192.168.0.0/16,那麼該VPC下的虛擬交換器的網段可以是192.168.0.0/16,也可以是192.168.0.0/17一直到192.168.0.0/29。

    規劃交換器網段時,請注意:

    • 交換器的網段的大小在16位網路遮罩與29位網路遮罩之間,可提供8-65536個地址。16位元遮罩能支援65532個ECS執行個體,而小於29位元遮罩又太小,沒有意義。

    • 每個交換器的第一個和最後三個IP地址為系統保留地址。以192.168.1.0/24為例,192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255這些地址是系統保留地址。

    • ClassicLink功能允許經典網路的ECS和192.168.0.0/16,10.0.0.0/8,172.16.0.0/12這三個VPC網段的ECS通訊。例如,如果要和經典網路通訊的VPC網段是10.0.0.0/8,則要和經典網路ECS通訊的交換器的網段必須是10.111.0.0/16。詳情參見ClassicLink概述

    • 交換器網段的確定還需要考慮該交換器下容納ECS的數量。

問題四 VPC與VPC互通或者與本機資料中心互通

當您有VPC互通或和本地IDC互通的需求時,確保VPC的網段和要互通的網路的網段都不衝突。

如下圖所示,比如您在華東1、華北2、華南1三個地域分別有VPC1、VPC2和VPC3三個VPC。VPC1和VPC2通過Express Connect內網互通,VPC3目前沒有和其他VPC通訊的需求,將來可能需要和VPC2通訊。另外,您在上海還有一個自建IDC,需要通過Express Connect(專線功能)和華東1的VPC1私網互通。

此例中VPC1和VPC2使用了不同的網段,而VPC3暫時沒有和其他VPC互通的需求,所以VPC3的網段和VPC2的網段相同。但考慮到將來VPC2和VPC3之間有私網互通的需求,所以兩個VPC中的交換器的網段都不相同。VPC互通要求互通的交換器的網段不能一樣,但VPC的網段可以一樣。

在多VPC的情況下,建議遵循如下網段規劃原則:

  • 儘可能做到不同VPC的網段不同,不同VPC可以使用標準網段的子網來增加VPC可用的網段數。

  • 如果不能做到不同VPC的網段不同,則盡量保證不同VPC的交換器網段不同。

  • 如果也不能做到交換器網段不同,則保證要通訊的交換器網段不同。