公有云基础架构与运维--了解虚拟网络

1.什么是云主机的私有网络

引用腾讯云官网的概念：腾讯云-私有网络：私有网络（Virtual Private Cloud，VPC）是基于腾讯云构建的专属云上网络空间，为您在腾讯云上的资源提供网络服务，不同私有网络间完全逻辑隔离。作为您在云上的专属网络空间，您可以通过软件定义网络的方式管理您的私有网络 VPC，实现 IP 地址、子网、路由表、网络 ACL 、流日志等功能的配置管理。私有网络还支持多种方式连接 Internet，如弹性 IP 、NAT 网关等。同时，您也可以通过 VPN 连接或专线接入连通腾讯云与您本地的数据中心，灵活构建混合云。

理解：逻辑上的网络隔离空间
需求：网络自定义配置需要

云主机的公有网络

基础网络是云计算服务商上所有用户的公共网络资源池。所有云主机的内网 IP 地址由云主机租用商统一分配，配置简单，使用方便，适合对操作易用性要求比较高、需要快速使用云主机的场景。

云主机或云服务器的公网ip是指，除了保留ip地址以外的ip地址，可以与Internet上的其他计算机随意互相访问。

公网IP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式，可以满足各种业务场景的需要。

私有和公有网的区别

1、从用户关联上讲：公有网络是IP唯一、不可变化、不可预测。而私有网络是IP VPC内唯一、可变化、可自定义。

2、从功能上来区分：公有网络多用户公用，私有网络用户私有;

（可以假设为一个大房子 有十个或者更多卧室，内部有内部的卧室号码，你们这个大房子有大房子的门牌号，这就是公有和私有网络。）

私有网络允许用户自定义自己的网络空间，并控制用户的网络流量方向，用户也可以利用私有网络的网络ACL、安全防火墙为云主机租用提供细致的访问控制。

3、网络划分：云主机公有网络不可划分，私有网络用户自定义;

4、IP规则：公有网络内唯一，私有网络VPC内唯一，VPC间可重复;

5、IP分配：公有网络随机分配，不可修改，私有网络VPC内随机分配，可自定义;

6、互通规则：公有网络账号内互通，私有网络VPC内互通，VPC间隔离。

私有网络允许用户自定义自己的网络空间，并控制用户的网络流量方向，用户也可以利用私有网络的网络ACL、安全防火墙为云主机租用提供细致的访问控制。

私有网络的主要功能

（1）自定义网络、划分子网
用户可以通过控制台自定义私有网络网段、子网网段和路由策略，还可以进一步将网络继续划分为多个子网，并在子网内部署应用程序和服务。通过合理设置路由策略，用户可以灵活管理VPC、公网和混合云等资源的网络流量转发。

（2）Internet访问
VPC能为用户提供灵活、高性能的Internet连接方式，包括弹性IP、NAT网关和公网网关。

（3）访问控制
私有网络提供基于IP与端口的出入访问控制规则，网络访问控制列表是一个子网级别的无状态可选安全层，可作为防火墙，控制进出子网的数据流，可精确到协议和端口维度。用户可以通过配置策略实现网段以及流量间的隔离，确保敏感业务的安全性。

（4）VPN/专线接入
提供基于VPN或者专线的私有网络接入入口，用户可以通过此入口将VPC的资源与云上其他资源或者Internet进行互联互通，构建完整的混合云。

私有网络产品架构

三个核心：私有网络网段，子网，路由表
1、私有网络网段
用户在创建私有网络时，需要用 CIDR（无类别域间路由） 作为私有网络指定 IP 地址组。
一般的公有云服务提供商所创建的私有网络 CIDR 支持使用如下私有网段中的任意一个：
（1）10.0.0.0 - 10.255.255.255（掩码范围需在12 - 28之间）
（2）172.16.0.0 - 172.31.255.255（掩码范围需在12 - 28之间）
（3）192.168.0.0 - 192.168.255.255 （掩码范围需在16 - 28之间）

2、子网
一个私有网络由至少一个子网组成，私有网络中的所有云资源都必须部署在子网内，子网的 CIDR 必须在私有网络的 CIDR 内。私有网络具有 地域属性，如广州，而子网具有 可用区属性，如广州一区，您可以为私有网络划分一个或多个子网，同一私有网络下不同子网默认内网互通，不同私有网络间（无论是否在同一地域）默认内网隔离。

3、路由表
用户创建私有网络时，系统会自动为其生成一个默认路由表，以保证同一个私有网络下的所有子网互通，当默认路由表中的路由策略无法满足应用时，您可以创建自定义路由表。

以阿里云为例

这是我创建的vpc列表。
查看基本信息


此处附上阿里云的vpc说明文档阿里云-专有网络vpc-文档

基于目前主流的隧道技术，专有网络VPC隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应一个虚拟化网络。
（1）一个VPC内的云主机实例之间的传输数据包都会加上隧道封装，带有唯一的隧道号标识，然后通过物理网络上进行传输。
（2）不同VPC内的云主机实例由于所在的隧道号不同，本身处于两个不同的路由平面，因此不同VPC内的云主机无法进行通信，天然地进行了隔离。

私有网络的逻辑架构

ECS：弹性计算服务。
CLB：云端负载均衡
RDS：关系型数据库服务

私有网络的产品优势

1 安全可靠
VPC之间通过隧道技术进行100%逻辑隔离，不同VPC之间默认不能通信。网络ACL对子网进行防护，安全组对弹性云服务器进行防护，多重防护您的网络更安全。

2、灵活可控
可自定义虚拟私有网络，按需划分子网，配置IP地址段、DHCP、路由表等服务。支持跨可用区部署弹性云服务器。

3、弹性可扩展
使用私有网络，您可以根据业务需要进行弹性部署，通过在一个或多个私有网络内创建不同的子网来部署不同的业务部分。还可以通过将私有网络与您的本地数据中心、与其它 VPC、基础网络相连，按需扩展网络架构。

4、简单易用
可以通过控制台、API 等方式，快速创建、管理私有网络，产品化的网络功能、丰富的排障功能，可以大幅降低您的运维成本。

2.弹性公网IP

IP地址分类方式有多种：在日常使用中，常将IP地址分为私网地址和公网地址，由于公网地址资源的匮乏，因此常通过NAT的方式访问公网地址。此外，按协议族可分为IPv4地址和IPv6地址。

NAT方式：Network Address Translation网络地址转换。 将私有地址转换成公有地址的技术。

弹性公网IP，简称EIP。它是可以独立购买和持有的公网IP地址资源。

目前，弹性公网IP支持绑定到专有网络类型的云服务器ECS实例、专有网络类型的私网传统型负载均衡CLB实例、私网类型的应用型负载均衡ALB、专有网络类型的辅助弹性网卡、NAT网关和高可用虚拟IP上。

简而言之，弹性公网IP是可以独立购买和持有的公网IP地址资源。

它是专为动态云计算设计的静态 IP 地址，是某地域下一个固定不变的公网 IP 地址

弹性公网 IP 未进行释放前，用户可以把它保留在你的账号中。相较于公网 IP 仅可跟随云服务器一起申请释放，弹性公网 IP 可以与云服务器的生命周期解耦，作为云资源单独进行操作。例如，若需要保留某个与业务强相关的公网 IP，便可以将其转为弹性公网 IP 保留在你的账号中。

弹性公网IP是一种NAT IP，它实际位于公有云的公网网关上，通过NAT方式映射到被绑定的云资源上。当弹性公网IP和云资源绑定后，云资源可以通过公网IP与公网通信。其中，NAT是弹性公网IP的主要应用技术，即网络地址转换技术，可以说是实现弹性IP的基础。

功能1：绑定到云服务器上

功能2：绑定到NAT网关

3.绑定虚拟ip

弹性公有云Ip的优势

1、弹性灵活
弹性公网IP支持与云服务器、NAT网关、负载均衡、虚拟IP灵活的绑定与解绑，带宽支持灵活调整，应对各种业务变化。

2、经济实惠
多种计费策略，支持按需、按带宽、按流量计费。使用共享带宽可以降低带宽成本。包年包月更优惠。

3、简单易用
绑定解绑、带宽调整实时生效。

私有网络和公有网络的架构对比

上图是经典网络与私有网络VPC的架构对比。从对比可以看到，私有网络优势明显，通过私有网络，用户可以自由定义网段划分、IP地址和路由策略;安全方面，私有网络可提供网络ACL及安全组的访问控制，私有网络灵活性和安全性更高。可适用于对安全隔离性要求较高的业务、托管多层web应用、弹性混合云部署等使用场景中，符合金融、政企等行业的强监管、数据安全要求。

经典网络可以迁移到 私有网络

各个公有云平台都提供了自己的方案

目前，阿里云提供以下两种将经典网络迁移到VPC的方案。这些方案可以独立使用，也可以组合使用，以满足不同的迁移场景：

混访混挂方案

如果您的服务依赖RDS、CLB等云产品，建议您选择混访混挂的迁移方案。该方案可以平滑地将系统迁移至VPC环境中，保证服务的稳定性。

搭配使用ClassicLink功能，以满足未迁移的经典网络ECS实例访问VPC中云资源的需求。更多信息，请参见ClassicLink概述。

单ECS迁移方案

如果您的应用部署在ECS实例上，且ECS实例重启对系统没有影响，可以选择单ECS迁移方案。

混挂和混访方案

混挂和混访方案是一种系统平滑迁移方案，即用户通过在VPC中新建ECS等云产品实例，然后将系统平滑迁移到VPC。当所有系统都迁移到VPC后，再将经典网络内的资源释放，从而完成经典网络到VPC的迁移。更多信息，请参见混访混挂迁移示例。

混挂

混挂指一个CLB实例可以同时添加经典网络和VPC网络的ECS作为后端服务器接收监听转发的请求，且支持虚拟服务器组形式的混挂。

公网CLB实例和私网CLB实例都可开通混挂。

说明
VPC私网CLB实例同时挂载经典网络和专有网络ECS时，如果使用四层（TCP和UDP协议）监听，目前无法在经典网络ECS上获取客户端的真实IP，但在专有网络ECS上还可以正常获取客户端的真实IP。对七层监听（HTTP和HTTPS协议）没有影响，可以正常获取客户端的真实IP。

自2021年3月23日后创建的CLB实例将不再支持挂载经典网络ECS，存量实例不受影响。

混访

云数据库RDS和对象存储OSS等云产品支持混访，即支持同时被经典网络和专有网络中的ECS访问。通常该类产品都提供两个访问域名，一个是经典网络访问域名，另外一个是专有网络访问域名。

在使用本方案时，请注意：

本方案可以满足绝大部分系统的迁移要求。但如果系统中的专有网络ECS和经典网络ECS有内网通信的需求，可通过ClassicLink功能实现。

本方案仅用于经典网络迁移到VPC。

单ECS迁移方案

单ECS迁移方案，即无需通过创建镜像、重新购买等步骤就能把经典网络的ECS实例迁移到VPC。

在控制台上完成迁移预约后，阿里云会根据您设置的迁移时间进行迁移，迁移完成后，您将收到迁移成功的短信消息提醒。

在使用单ECS迁移方案时，注意：

迁移过程中ECS需要进行重启，请关注对系统的影响。

迁移后，不需要进行任何特殊配置，ECS实例的公网IP都不变。

虽然公网IP没有变化，但无法在ECS的操作系统中查看到这个公网IP（称之为VPC类型的ECS的固定公网IP）。您可以将按流量计费的ECS实例的固定公网IP转换为EIP，方便管理。具体操作，请参见专有网络ECS实例的固定公网IP转换为EIP。

如果您的个别应用对ECS操作系统上可见的公网IP有依赖，迁移后会有影响，请谨慎评估。

迁移后，所有地域的ECS实例的私网IP都会变化。

迁移到的目标VPC的交换机的可用区必须和待迁移的ECS的可用区相同。

迁移过程中实例ID及登录信息不变。

包年包月购买方式的实例迁移过程中不需要额外付费。从新的计费周期开始，按照同规格专有网络的价格计算。

迁移前如有续费变配未生效订单或未支付订单，迁移后该订单将被取消且不能恢复，您需要重新下单。

迁移到VPC后，若ECS有使用其它云服务，需将访问方式调整到VPC访问方式（云产品混访方案）。

阿里云参考阿里云-经典网络迁移到私有网络