Virtual Private Cloud 是雲上構建的邏輯隔離的私人網路環境。基於軟體定義程式網路(SDN)和 VXLAN 隧道技術,分離資料平面與控制平面,並為每個 VPC 分配唯一的 VXLAN 網路標識符(VNI),實現虛擬網路間的隔離。
產品架構
資料平面:資料包的轉寄路徑
資料平面負責處理和轉寄網路流量,主要由分布式的虛擬交換器和網關叢集組成。
網路隔離:VPC 利用 VXLAN (Virtual eXtensible LAN) 隧道技術實現網路隔離。傳統 VLAN 技術最多支援 4096 個虛擬網路,無法滿足大規模雲端運算資料中心的需求。VXLAN 通過將二層乙太網路報文封裝在三層 UDP 包中傳輸,突破了物理網路限制,可支援上百萬個虛擬網路。
通訊流程:
VPC 內通訊:同一 VPC 內的雲端服務器執行個體間通訊時,其發出的資料包會被封裝,並標記上該 VPC 專屬的 VNI。資料包在物理網路中傳輸,但只有同一 VPC 內的執行個體才能解析和接收。
VPC 間隔離:不同 VPC 的執行個體因其 VNI 不同,分屬於不同的邏輯路由平面,資料包無法互連,實現了網路隔離。
控制平面:網路的集中管理
控制平面是 VPC 的管理核心,由 SDN 控制器叢集構成,負責網路的集中管理和策略下發。
功能分離:SDN 技術將控制平面與資料平面解耦。通過控制台或 API 進行的網路設定(如定義路由、設定安全規則),由 SDN 控制器處理。管理員無需關心底層硬體細節,即可通過控制器動態調整網路行為。
配置下發:控制器計算出轉寄表等配置資訊,並通過自研協議下發至資料平面的交換器和網關,以指導流量轉寄。該分離架構使網路設定的變更無需操作底層物理硬體,提升了網路的靈活性和自動化水平。
高可用設計
VPC 架構設計中融入高可用與冗餘機制,保障服務穩定性。
分布式節點:使用分布式虛擬交換器,避免單點故障。
叢集化部署:網關和控制器均採用叢集部署,並實現多機房(可用性區域)互備。
鏈路冗餘:所有物理鏈路均具備冗餘容災能力。
功能架構
VPC 提供豐富功能,支援構建滿足特定業務需求的網路架構,同時具備精細化存取控制與監控營運能力。
交換器:在 VPC 內劃分地址空間以部署雲資源。交換器是可用性區域層級的資源。
路由表:控制 VPC 內的流量走向。交換器與路由表綁定,由路由條目決定流經該交換器的資料包的下一跳。
IP地址管理(IPAM):作為 IP 位址管理工具,自動化分配與管理 IP 位址,簡化網路管理流程並避免地址衝突。
VPC對等串連:支援同帳號/跨帳號、同地區/跨地區 VPC 互連。
網路ACL:與交換器綁定,通過配置網路ACL規則,控制出入交換器的流量。
流日誌:採集並記錄彈性網卡的進出流量資訊,可以監控網路效能、排查網路故障或最佳化流量成本。
流量鏡像:作為旁路監控方案,在不影響業務流量的前提下,將符合篩選條件的流量複製並轉寄到安全分析裝置,實現即時檢測。