产品概述
最近更新时间: 2024-06-12 15:06:00
私有网络(Virtual Private Cloud,VPC)是一块您在云上自定义的逻辑隔离网络空间,与您在数据中心运行的传统网络相似,托管在私有网络内的是您在云上的服务资源,包括云服务器、负载均衡、云数据库等。
本文将为您介绍私有网络的核心组成成分、私有网络的多种连接方式及安全性
核心组成成分
私有网络有三个核心组成成分:私有网络网段、子网、路由表。
私有网络网段
用户在创建私有网络时,需要用 CIDR(无类别域间路由)作为私有网络指定 IP 地址组。
私有网络 IPv4 CIDR 支持使用如下私有网段中的任意一个:
10.0.0.0 - 10.255.255.255(掩码范围需在16 - 28之间)
172.16.0.0 - 172.31.255.255(掩码范围需在16 - 28之间)
192.168.0.0 - 192.168.255.255 (掩码范围需在16 - 28之间)
非标准IPv4私有网段(掩码范围需在16 - 28之间)
说明:
自2020-09-16日起,私有网络开始支持非标准IPv4 私有网段(非标准IPv4私有网段是指没有在RFC 1918定义的三大私有网段),如需使用,请 提交工单 申请。
子网
一个私有网络由至少一个子网组成,子网的 CIDR 必须在私有网络的 CIDR 内。 子网用于管理弹性云服务器网络平面的一个网络,可以提供 IP 地址管理、DNS 等服务。私有网络中的所有云资源(如云服务器、云数据库等)都必须部署在子网内。
私有网络具有地域(Region)属性(如广州),而子网具有可用区(Zone) 属性(如广州一区),一个私有网络下的子网可以属于该地域下不同可用区,同一私有网络下各个子网内资源无论是否在同一可用区内,均默认内网互通。
不同私有网络的弹性云服务器可通过创建对等连接通信。
路由表
路由表由多条路由策略组成,用于控制私有网络内子网的出流量走向。每个子网仅且只能关联一个路由表,一个路由表可以关联多个子网。您可以为不同流量走向的子网创建多个路由表。
路由表通过路由策略来实现流量走向控制,路由策略由目的端、下一跳类型和下一跳组成:
目的端:目的端即为您要转发到的目标网段。目的网段描述仅支持网段格式,如果您希望目的端为单个 IP,可设置掩码为
32(如172.16.1.1/32)。另外,目的端不能为路由表所在私有网络内的 IP 段,原因是 Local 路由已表示此私有网络内默认内网互通。下一跳类型:私有网络的数据包的出口。私有网络下一跳类型支持 “NAT 网关”、“对等连接”、“VPN网关”、“专线网关”、“云服务器”等类型。
下一跳:指定具体跳转到的下一跳实例(使用下一跳 ID 标识),如私有网络内的某个具体 NAT 网关。
私有网络连接
云平台为您提供丰富的VPC连接方案,以满足不同的场景需求:
通过弹性公网 IP 和 NAT 网关等,实现 VPC 内的云服务器、云数据库等资源连接公网。
通过对等连接,实现不同 VPC 间的通信。
通过 VPN 连接、专线接入,实现 VPC 与本地数据中心的互联。
通过私有连接(Private link)提供VPC通过内网跨账号访问其他VPC的能力。
私有网络安全
私有网络为云上逻辑隔离的网络空间,不同私有网络间相互隔离,保障您的业务安全:
安全组:安全组是一种有状态的包过滤虚拟防火墙,用于控制实例级别的出入流量,是重要的网络安全隔离手段。
网络 ACL:网络 ACL 是一个子网级别的、无状态的包过滤虚拟防火墙,用于控制进出子网的数据流,可以精确到协议和端口粒度。
访问管理(CAM):访问管理提供用户安全管理云账户下所有资源的访问权限。通过访问管理,您可以对私有网络的访问进行权限管理,例如,通过身份管理和策略管理控制用户访问私有网络的权限。