路由器与交换机
路由器(VRouter)可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。 每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。 交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云产品实例。
弹性公网IP
弹性公网IP(Elastic IP Address,简称EIP),独立的公网IP资源,可以绑定到阿里云专有网络VPC类型的ECS、NAT网关、私网负载均衡SLB上,并可以动态解绑,实现公网IP和ECS、NAT网关、SLB的解耦,满足灵活管理的要求。
连接方式和应用场景
不同 VPC 网络默认是互相无法通信的,想要不同的VPC之间通信需要打通两边的路由。 VPC连接VPC
VPC连接VPC 云企业网:支持将多个不同地域、不同账号的VPC连接起来,构建互联网络。 VPN网关:通过在两个VPC之间创建IPsec连接,建立加密通信通道。 VPC对等连接:实现两个VPC之间私网互通。
VPC连接本地IDC
高速通道 :通过物理专线接入使VPC与本地IDC网络互通。 VPN网关: 通过建立IPsec-VPN,将本地IDC网络和云上VPC连接起来。 通过建立SSL-VPN,将本地客户端远程接入VPC。 云企业网: 与本地IDC互通:支持将要互通的本地IDC关联的边界路由器(VBR)加载到已创建的云企业网实例,构建互联网络。 多VPC与IDC互通:支持将要互通的多个网络实例(VPC和VBR)加载到已创建的云企业网实例,构建企业级互联网络。 智能接入网关: 可实现线下机构(IDC/分支机构/门店等)接入阿里云数据中心,轻松构建混合云。 可实现线下机构之间互通。
VPC的访问控制
专有网络已经有独立的访问控制策略,在网络ACL页面。 可以自定义网络ACL规则,并将网络ACL与交换机绑定,从而实现对交换机中ECS的流量访问控制。
网络ACL
过滤已绑定的交换机中的ECS流量 出方向/入方向 生效顺序 协议类型 源地址范围 源端口范围 策略(允许/拒绝) 类型
RDS白名单
基于RDS的白名单功能,可定义允许访问RDS的IP地址,指定之外的IP地址将被拒绝访问。 在专有网络中使用RDS产品时,需要将云服务器的IP地址加入到需要访问的RDS的白名单后,云服务器才能访问RDS实例。
SLB白名单
可以为负载均衡监听设置仅允许哪些IP访问,适用于应用只允许特定IP访问的场景
VPC的路由表和路由条目
VPC内网路由
VPC互连--高速通道连接两个VPC
VPC互连-- VPN网关连接两个VPC
高速通道物理专线连接专有网络和本地网络
VPN网关连接专有网络和本地网络
经典网络与专有网络
经典网络类型的云产品,统一部署在阿里云公共基础设施内,规划和管理由阿里云负责,更适合对网络易用性要求比较高的用户,采用三层隔离;
专有网络 (VPC)基于阿里云构建的一个隔离的网络环境,专有网络之间的逻辑上的彻底隔离。可自定义网络拓扑和IP地址,对于网络安全性要求较高和一定网络管理能力用户。采用二层隔离,对经典网络而言,专有网络更具有安全性和灵活性。
ACL是专有网络中二层网络访问控制的方式
灵活可控:可以通过安全组规则、访问控制白名单方式灵活控制VPC内云资源的出入流量。
可扩展性强:通过VPC控制台创建不同的子网,部署不同的业务。另外可以将一个VPC和本地数据中心或其他的VPC相连,扩展网络架构。
简单易用:通过VPC控制台快速创建、管理VPC。VPC创建后,自动为创建一个路由器和路由表。
VPC的组成
每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成。
VPC 专有网络
专有网络是地域级别的资源,不可以跨地域,但包含所属地域的所有可用区。可以在每个可用区创建一个或者多个交换机来划分子网。
地域(Region)
物理数据中心,如:华北 2(北京),表示北京阿里云机房
可用区(简称 AZ)
统一地域内电力和网络互相独立的物理区域。一个地域包含多个可用区。(PS:同地域可用区一般相距数十公里范围)
注意:可用区内部云主机内网互通, 同一地域下的可用区内网互通,不同地域内网不互通。
跨可用区:具有较高的容灾能力;
同一可用区:网络延时低(网络时延ms级别)