凯发k8国际娱乐官网入口-k8凯发> 虚拟私有云 vpc> > > 虚拟私有云和子网规划建议
更新时间:2023-12-21 gmt 08:00

虚拟私有云和子网规划建议-凯发k8国际娱乐官网入口

在创建vpc之前,您需要根据具体的业务需求规划vpc、子网的数量及ip网段,并选择网络连通方式等。

如何规划vpc?

vpc具有区域属性,默认情况下,不同vpc之间网络不通,同一个vpc内的不同子网之间网络互通。

  • 一个vpc

    当各业务之间没有网络隔离需求时,您可以只使用一个vpc。

  • 多个vpc

当您在当前区域下部署多套业务,且希望不同业务之间网络隔离,则您可以在当前区域内,为每个业务建立对应的vpc。

如果需要连通相同帐户内或者不同帐户内,不同vpc之间的网络,您可以根据vpc的区域,选择以下方式:
  • 相同区域内:可以通过实现。
  • 不同区域内:可以通过云连接来实现。

一个用户在单个区域可创建的虚拟私有云数量默认为5个,如果您需要提升配额,请参见

您可以在特定的私有ip网段范围内,选择vpc的网段。vpc网段的选择需要考虑以下两点:
  • ip地址数量:要为业务预留足够的ip地址,防止业务扩展给网络带来冲击。
  • ip地址网段:当前vpc与其他vpc、云下数据中心连通时,要避免ip地址冲突。
vpc支持的网段范围如表1所示。
表1 vpc网段

vpc网段

ip地址范围

最大ip地址数

10.0.0.0/8~24

10.0.0.0-10.255.255.255

2^24-2=16777214

172.16.0.0/12~24

172.16.0.0-172.31.255.255

2^20-2=1048574

192.168.0.0/16~24

192.168.0.0-192.168.255.255

2^16-2=65534

如何规划子网?

子网是虚拟私有云内的ip地址集,可以将虚拟私有云的网段分成若干块,子网划分可以帮助您合理规划ip地址资源。虚拟私有云中的所有云资源都必须部署在子网内。
  • 默认情况下,同一个vpc中,不同子网内的所有实例网络互通。同一个vpc内的子网可以位于不同可用区,不影响通信。比如vpc-a内有子网a01(可用区a)和子网a02(可用区b),子网a01和子网a02的网络默认互通。
  • 子网创建成功后,不支持修改网段,请提前合理规划好子网网段。同一个虚拟私有云内的子网网段不可重复。

    创建vpc的时候会创建默认子网,vpc创建完成后,如果您需要创建新的子网,请参见。

    子网的网段必须在vpc网段范围内,子网网段的掩码长度范围是:所在vpc掩码~29,比如vpc网段为10.0.0.0/16,vpc的掩码为16,则子网的掩码可在16~29范围内选择。

    比如vpc-a的网段为10.0.0.0/16,则您可以规划子网a01的网段为10.0.0.0/24,子网a02的网段为10.0.1.0/24,子网a03的网段为10.0.3.0/24。

    一个用户在单个区域可创建的虚拟私有云子网数量默认为100个,如果您需要提升配额,请参见

当您规划vpc子网时,可以参考以下原则:

  • 同一个vpc内的业务,您可以根据业务模块划分子网,比如在vpc-a内,子网a01用于web层,子网a02用于管理层,子网a03用于数据层。根据业务划分子网模块,有利于结合网络acl进行网络防护。
  • 如果您要通过vpn/云专线连通云上vpc和线下idc的网络,则vpc子网网段和idc内的网段不能重叠,您在新建vpc及子网的时候务必避开idc内的网段。

如何规划路由策略?

用户创建vpc时,系统会自动为其生成一个默认路由表,创建子网后,子网会自动关联默认路由表。路由表由一系列路由规则组成,用于控制vpc内子网的出流量走向。默认路由表可以确保vpc内子网之间网络互通。

您可以直接使用默认路由表,也可以为具有相同路由规则的子网创建一个自定义路由表,并关联至子网。自定义路由表仅影响子网的出流量走向,入流量仍然匹配默认路由表。

您可以在默认路由表和自定义路由表中添加路由,目的地址、下一跳类型、下一跳地址等信息,来决定网络流量的走向。路由分为系统路由和自定义路由。

  • 系统路由:系统自动添加且无法修改或删除的路由,表示vpc内实例互通。
  • 自定义路由:可以修改和删除的路由。自定义路由的目地地址不能与系统路由的目地地址重叠。

    您无法在vpc路由表中添加目的地址相同的两条路由,即使路由的下一跳类型不同也不行。因此不论路由的下一跳是何种类型,路由的优先级均取决于目的地址,遵循最长匹配原则,即优先选择匹配度更高的目的地址进行路由转发。

如何连接本地idc?

当您有vpc与本地idc互通的需求时,需要确保vpc的网段和要互通的idc内网段都不冲突。

图1所示,比如您在a区域有一个vpc1,b区域有两个vpc,分别为vpc2和vpc3。vpc1需要连接用户a区域idc,通过vpn走internet互连。vpc2需要连接用户b区域idc,通过云专线连接。同时在b区域的vpc3与vpc2通过对等连接建立连接。

图1 idc连接

此例中,各vpc网段划分需要注意以下几点:

  • vpc1的网段(cidr)不能与区域a idc的网段有重叠。
  • vpc2的网段(cidr)不能与区域b idc的网段有重叠。
  • vpc3和vpc2的网段也不能有重叠。

如何连接internet?

少量弹性云服务器通过弹性公网ip连接internet

当您仅有少量弹性云服务器访问internet时,您可将弹性公网ip(eip)绑定到弹性云服务器上,弹性云服务器即可连接公网。您还可以通过动态解绑它,再绑定到nat网关、弹性负载均衡上,使这些云产品连接公网,管理非常简单。不同弹性公网ip还可以共享带宽,减少您的带宽成本。

更多弹性公网ip(eip)信息,请参见。

大量弹性云服务器通过nat网关连接internet

当您有大量弹性云服务器需要访问internet时,单纯使用弹性公网ip管理成本过高,公有云nat网关来帮您,它提供snat和dnat两种功能。snat可轻松实现同一vpc内的多个弹性云服务器共享一个或多个弹性公网ip主动访问公网,有效降低管理成本,减少了弹性云服务器的弹性公网ip直接暴露的风险。dnat功能还可以实现端口级别的转发,将弹性公网ip的端口映射到不同弹性云服务器的端口上,使vpc内多个弹性云服务器共享同一弹性公网ip和带宽面向互联网提供服务。

更多nat网关信息,请参见《nat网关用户指南》

海量高并发场景通过弹性负载均衡连接internet

对于电商等高并发访问的场景,您可以通过弹性负载均衡(elb)将访问流量均衡分发到多台弹性云服务器上,支撑海量用户访问。弹性负载均衡采用集群化部署,支持多可用区的同城双活容灾。同时,无缝集成了弹性伸缩,能够根据业务流量自动扩容,保证业务稳定可靠。

更多弹性负载均衡信息,请参见《弹性负载均衡用户指南》

相关操作

父主题:
分享:
网站地图