虚拟私有云和子网规划建议-凯发k8国际娱乐官网入口
在创建vpc之前,您需要根据具体的业务需求规划vpc、子网的数量及ip网段,并选择网络连通方式等。
如何规划vpc?
vpc具有区域属性,默认情况下,不同vpc之间网络不通,同一个vpc内的不同子网之间网络互通。
- 一个vpc
当各业务之间没有网络隔离需求时,您可以只使用一个vpc。
- 多个vpc
当您在当前区域下部署多套业务,且希望不同业务之间网络隔离,则您可以在当前区域内,为每个业务建立对应的vpc。
- 相同区域内:可以通过实现。
- 不同区域内:可以通过云连接来实现。
一个用户在单个区域可创建的虚拟私有云数量默认为5个,如果您需要提升配额,请参见
- ip地址数量:要为业务预留足够的ip地址,防止业务扩展给网络带来冲击。
- ip地址网段:当前vpc与其他vpc、云下数据中心连通时,要避免ip地址冲突。
vpc网段 |
ip地址范围 |
最大ip地址数 |
---|---|---|
10.0.0.0/8~24 |
10.0.0.0-10.255.255.255 |
2^24-2=16777214 |
172.16.0.0/12~24 |
172.16.0.0-172.31.255.255 |
2^20-2=1048574 |
192.168.0.0/16~24 |
192.168.0.0-192.168.255.255 |
2^16-2=65534 |
如何规划子网?
- 默认情况下,同一个vpc中,不同子网内的所有实例网络互通。同一个vpc内的子网可以位于不同可用区,不影响通信。比如vpc-a内有子网a01(可用区a)和子网a02(可用区b),子网a01和子网a02的网络默认互通。
- 子网创建成功后,不支持修改网段,请提前合理规划好子网网段。同一个虚拟私有云内的子网网段不可重复。
创建vpc的时候会创建默认子网,vpc创建完成后,如果您需要创建新的子网,请参见。
子网的网段必须在vpc网段范围内,子网网段的掩码长度范围是:所在vpc掩码~29,比如vpc网段为10.0.0.0/16,vpc的掩码为16,则子网的掩码可在16~29范围内选择。
比如vpc-a的网段为10.0.0.0/16,则您可以规划子网a01的网段为10.0.0.0/24,子网a02的网段为10.0.1.0/24,子网a03的网段为10.0.3.0/24。
一个用户在单个区域可创建的虚拟私有云子网数量默认为100个,如果您需要提升配额,请参见
当您规划vpc子网时,可以参考以下原则:
- 同一个vpc内的业务,您可以根据业务模块划分子网,比如在vpc-a内,子网a01用于web层,子网a02用于管理层,子网a03用于数据层。根据业务划分子网模块,有利于结合网络acl进行网络防护。
- 如果您要通过vpn/云专线连通云上vpc和线下idc的网络,则vpc子网网段和idc内的网段不能重叠,您在新建vpc及子网的时候务必避开idc内的网段。
如何规划路由策略?
用户创建vpc时,系统会自动为其生成一个默认路由表,创建子网后,子网会自动关联默认路由表。路由表由一系列路由规则组成,用于控制vpc内子网的出流量走向。默认路由表可以确保vpc内子网之间网络互通。
您可以直接使用默认路由表,也可以为具有相同路由规则的子网创建一个自定义路由表,并关联至子网。自定义路由表仅影响子网的出流量走向,入流量仍然匹配默认路由表。
您可以在默认路由表和自定义路由表中添加路由,目的地址、下一跳类型、下一跳地址等信息,来决定网络流量的走向。路由分为系统路由和自定义路由。
- 系统路由:系统自动添加且无法修改或删除的路由,表示vpc内实例互通。
- 自定义路由:可以修改和删除的路由。自定义路由的目地地址不能与系统路由的目地地址重叠。
您无法在vpc路由表中添加目的地址相同的两条路由,即使路由的下一跳类型不同也不行。因此不论路由的下一跳是何种类型,路由的优先级均取决于目的地址,遵循最长匹配原则,即优先选择匹配度更高的目的地址进行路由转发。
如何连接本地idc?
当您有vpc与本地idc互通的需求时,需要确保vpc的网段和要互通的idc内网段都不冲突。
如图1所示,比如您在a区域有一个vpc1,b区域有两个vpc,分别为vpc2和vpc3。vpc1需要连接用户a区域idc,通过vpn走internet互连。vpc2需要连接用户b区域idc,通过云专线连接。同时在b区域的vpc3与vpc2通过对等连接建立连接。
此例中,各vpc网段划分需要注意以下几点:
- vpc1的网段(cidr)不能与区域a idc的网段有重叠。
- vpc2的网段(cidr)不能与区域b idc的网段有重叠。
- vpc3和vpc2的网段也不能有重叠。
如何连接internet?
少量弹性云服务器通过弹性公网ip连接internet
当您仅有少量弹性云服务器访问internet时,您可将弹性公网ip(eip)绑定到弹性云服务器上,弹性云服务器即可连接公网。您还可以通过动态解绑它,再绑定到nat网关、弹性负载均衡上,使这些云产品连接公网,管理非常简单。不同弹性公网ip还可以共享带宽,减少您的带宽成本。
更多弹性公网ip(eip)信息,请参见。
大量弹性云服务器通过nat网关连接internet
当您有大量弹性云服务器需要访问internet时,单纯使用弹性公网ip管理成本过高,公有云nat网关来帮您,它提供snat和dnat两种功能。snat可轻松实现同一vpc内的多个弹性云服务器共享一个或多个弹性公网ip主动访问公网,有效降低管理成本,减少了弹性云服务器的弹性公网ip直接暴露的风险。dnat功能还可以实现端口级别的转发,将弹性公网ip的端口映射到不同弹性云服务器的端口上,使vpc内多个弹性云服务器共享同一弹性公网ip和带宽面向互联网提供服务。
更多nat网关信息,请参见《nat网关用户指南》。
海量高并发场景通过弹性负载均衡连接internet
对于电商等高并发访问的场景,您可以通过弹性负载均衡(elb)将访问流量均衡分发到多台弹性云服务器上,支撑海量用户访问。弹性负载均衡采用集群化部署,支持多可用区的同城双活容灾。同时,无缝集成了弹性伸缩,能够根据业务流量自动扩容,保证业务稳定可靠。
更多弹性负载均衡信息,请参见《弹性负载均衡用户指南》。
相关操作
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨