前言
面对日益增长的网上业务需求,企业网络面临系统上线时间长,运维成本高,安全风险大等诸多问题。虚拟私有云(VPC)是华为云网络的基础,基于安全的隧道网络技术,提供安全、隔离的网络环境。一、虚拟私有云(VPC)
- 虚拟私有云(Virtual Private Cloud)是用户在华为云上申请的隔离的、私密的虚拟网络环境。为云服务器、云容器和云数据库等资源构建隔离的用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性、简化用户的网络部署。用户可以自由配置VPC内的IP地址段、VPN、子网、安全组和带宽等子服务,也可以申请弹性宽带和弹性IP搭建业务系统。通过VPC进行管理和配置自己的网络环境,也可以自定义安全组内与安全组件弹性云服务器的访问规则,加强弹性云服务器的安全保护。
- VPC由公有云管理、运行在公共资源上,但是保证每个用户之间的资源是隔离的,用户在使用的时候不会受到其他用户的影响。
- VPC使用网络虚拟化技术,通过链路冗余、分布式网关集群和多AZ部署等多种技术,保障网络的安全、稳定和高可用。
1.1 VPC与经典网络
传统的经典网络,公有云上所有用户共享公共网络资源池,用户之间未做逻辑隔离。用户的内网IP由系统统一分配,相同的内网IP无法分配给不同用户。因此,传统网络面临的最大的问题便是安全问题,只有加了特定的防火墙规则去拦截。二层网络内的所有设备默认是可以通信的,容易产生云主机被同网络的其他用户恶意攻击的问题。
VPC是在公有云上为用户建立一块逻辑隔离的虚拟网络空间。在VPC内,用户可以自由定义网段划分、IP地址和路由策略,安全可提供网络ACL及安全组的访问控制。即使受到网络攻击,一般也需要经过网关或VPN设备,在这些集中的设备上网络流量会更加的可控。因此,VPC有更高的灵活性和安全性。
对比可以看到,VPC优势明显,通过VPC,用户可以自由定义网段划分、IP地址和路由策略;安全方面,VPC可提供网络ACL及安全组的访问控制,VPC灵活性和安全性更高。可适用于对安全隔离性要求较高的业务、托管多层web应用、弹性混合云部署等使用场景中,符合金融、政企等行业的强监管,数据安全要求。
1.2 VPC产品架构
虚拟私有云VPC产品架构可以分为VPC的组成、安全、VPC连接。
- VPC组成部分,一个VPC由一个私网网段、路由表和至少一个子网组成。私网网段是用户在创建VPC时需要指定VPC使用的私网网段;云资源都必须部署在子网内,VPC创建完成后需要为VPC划分一个或多个子网,子网网段必须在私网网段内;路由表是创建VPC时,系统会自动生成默认路由表,路由表保证了同一个VPC下所有的子网互通,当路由表中的路由策略无法满足应用(未绑定弹性公网IP的云服务器需要访问外网)时,可以通过创建自定义路由表来解决。
- 安全,安全组和网络ACL用于保障VPC内部署的云资源的安全。安全组类似于虚拟防火墙,为同一个VPC内具有相同安全保护并相互信任的云资源提供访问策略。可以为具有相同网络流量控制的子网关联同一个网络ACL,通过设置出方向和入方向规则,对进出子网的流量进行精确的控制。
- VPC连接,华为云提供了多种VPC连接方案来满足用户不同场景下的诉求。通过VPC对等连接功能,可以实现同一区域内不同VPC下私网互通。通过EIP或NAT网关,可以使VPC内的云服务器与公网Internet互通。通过虚拟专用网络VPN、云连接、云专线及VPC二层连接网关功能,可以将VPC和数据中心互通。
- VPC之间通过隧道技术进行逻辑隔离,不同VPC之间默认不能通信,网络ACL对子网进行防护。
- VPC使用全动态BGP协议接入多个运营商。
- VPC使用网络ACL功能,对子网进行防护,控制进出子网的流量。
- VPC使用安全组功能,将VPC中的弹性云服务器划分成不同的安全域,并为每个安全域定义不同的访问控制规则。
1.3 VPC的相关概念
1.3.1 私有云网络
每个虚拟私有云VPC代表一个私有网络,与其他VPC逻辑隔离。如果有多个业务系统部署在同一个Region,生产环境和测试环境要严格进行隔离,则可以使用多个VPC进行业务隔离。当需要相互通信时,可以在两个VPC之间建立对等连接。
1.3.2 子网
子网是VPC下管理云资源的网络平面,所有的云资源都必须部署在子网内。可以提供IP地址管理、DNS服务。子网内的ECS服务器的IP地址都属于该子网,默认情况下同一个VPC的所有子网内的ECS都可以进行通信。
VPC具有管理子网的功能,例如创建新的子网、修改子网网络信息和删除子网的功能。在使用子网时会有如下约束:
- 同一VPC内相同子网内的云服务器可进行二层互通,不同子网三层互通。
最低0.47元/天 解锁文章
扫一扫
3655
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
