专有网络VPC.2
VPC的网络规划
在创建VPC和交换机之前,需要结合具体的业务规划VPC和交换机的数量及网段等。规划VPC包括思考以下问题:
- 应该使用几个VPC?
- 应该使用几个交换机?
- 应该选择什么网段?
- VPC与VPC之间如何互通或者VPC与本地数据中心如何互通?
1.规划VPC(应该使用几个VPC?)
规划VPC的依据:多地域和资源隔离。是否有多地域部署系统的要求?各个系统之间是否有通过VPC隔离的需要?
单个VPC
- 如果没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离,那么推荐使用一个VPC
- 优点:通信效率高
多个VPC:不同应用或同应用不同环境的隔离部署,需要多个VPC:比如公司的不同部门之间需要通过VPC做资源隔离访问
- 有多地部署系统的需求:VPC是地域级别的资源,是不能跨地域部署的,当有多地部署系统的需求时,就必须使用多个VPC(业务场景:公司要构建北京上海两地的容灾系统)
- 多业务系统隔离:比如生成环境和测试环境。如果在一个地域的多个业务系统需要通过VPC进行严格隔离(业务场景:prd 环境和test环境需要隔离:多部门之间需要资源隔离访问)
VPC之间的互联:
- 高速通道/物理专线(不建议,用的很少)
- 云企业网(效率更高,配置更简单,建议使用)
- VPN网关
2.规划交换机(应该使用几个交换机?)
VPC是地域级别的,也就是说VPC不能跨地域,一个地域必须有一个VPC;VPC里面的交换机是可用区级别的,也就是说交换机不能跨可用区,一个可用区必须有一个交换机。
规划交换机的依据:
- 为了实现跨可用区的容灾,尽量使用至少两个交换机,并且两个交换机分布在不同可用区。
- 应用的不同部分,如前端服务和数据库服务使用不同的交换机。
3.规划网段(应该选择什么网段?)
规划VPC网段
- 在云上只有一个VPC且不需要和本地IDC互通时,可以选择允许私网网段中的任何一个网段或其子网
- 如果有多个VPC,或者有VPC和线下IDC构建混合云需求时,建议使用标准网段的子网作为VPC的网段,掩码建议不超过16位。
规划交换机网段
- 交换机的网段必须是其所属VPC网段的子集
- 在交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8~65536个地址
- 每个交换机的第一个和最后三个IP地址为系统保留地址
- 交换机网段的确定还需要考虑该交换机下容纳ECS的数量
- 多VPC部署的时候,尽量避免多VPC的网段重合。如果多VPC的网段重复重叠,当VPC之间互联的时候,会导致路由表的冲突,无法通信
- 如果必须得重复,重复的就不要相连到同一个云企业网下,否则会导致云企业网紊乱,影响正常通信
4.规划连接(VPC与VPC之间如何互通或者VPC与本地数据中心如何互通)
多VPC部署的时候,尽量避免多VPC的网段重合。如果多VPC的网段重复重叠,当VPC之间互联的时候,会导致路由表的冲突,无法通信。如果必须得重复,重复的就不要相连到同一个云企业网下,否则会导致云企业网紊乱,影响正常通信
当用户有VPC之间互通和VPC与本地IDC互通的需求时,确保VPC的网段和要互通的网络的网段都不冲突。在多VPC的情况下,建议遵循如下网段规划原则:
- 尽量做到不同VPC的网段不同,不同VPC可以使用标准网段的子网来增加VPC可用的网段数
- 如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同
- 如果也不能做到交换机网段不同,则保证要通信的交换机网段不同
VPC的使用限制
1.每个专有网络可以有多个路由器?
答:每个专有网络VPC有且只有一个路由器,每个路由器维护一个路由表
2.如何选择交换机的网段?
答:交换机的网段必须从属于专有网络VPC的网段。如果交换机网段和所属的VPC的网段相同(子网掩码一样),VPC内就只能创建一个交换机。所以建议交换机的网段比VPC的网段更小的网络。
阿里云VPC提供了192.168.0.0/16,172.16.0.0/12,10.0.0.0/8以及它们的子网供用户选择使用
VPC的管理
1.VPC的访问控制-安全组
VPC可以实现网络隔离,但是有时候又有连通的需求,比如需要实现VPC之间的互联,那这时候就需要一些VPC之间的控制来实现VPC之间的安全互联。安全组是在同一个VPC内,同一个地域内!
安全组是一种虚拟防火墙,具备状态检测包过滤功能,可以在安全的网络和不安全的网络之间做一个过滤。安全组用于设置单台或者多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。
安全组是一个逻辑上的分组,这个分组是由同一个地域Region内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一个安全组内的实例之间网络互通;不同安全组的实例之间默认内网不互通,可以授权两个安全组之间互访。
- 同一个安全组内的实例之间网络互通
- 不同安全组的实例之间默认内网不互通,可以授权两个安全组之间互访
最小原则:安全组应该是白名单性质的,所以需要尽量开放和暴露最少的端口,同时尽可能少地分配公网IP(公网IP越多,做访问控制使要管理的公网IP越多)。
创建安全组:
- 一个VPC类型的ECS实例只能加入本VPC的安全组
- 用于可以随时授权和取消安全组规则
- 用户的变更安全组规则会自动应用于安全组相关联的ECS实例上
安全组规则:
- 入方向:授权/拒绝某个IP或CIDR通过某个协议类型访问安全组内部实例指定的端口范围
- 出方向:授权/拒绝安全组内部实例通过某个协议访问某个IP或CIDR的指定的端口范围
- 当访问控制规则冲突时,优先级高的规则生效(1优先级最高),优先级相同时,“拒绝”的规则生效
2.系统路由
系统路由表
- 一个VPC只能有一张系统路由表。
- 创建专有网络VPC后,系统会自动为用户创建一张默认路由表并为其添加系统路由来管理专有网络的流量。
- 该系统路由表在创建VPC时自动为用户创建,用户不能手动创建也不能删除默认系统路由表
- 系统路由表可以改规则吗?是可以的。
创建专有网络后,系统会在自动为用户创建一张默认路由表并为其添加系统路由,添加的系统路由包括:
- 以100.64.0.0/10为目标网段的路由条目,用于VPC内的云产品通信
- 以交换机网段为目标网段的路由条目,用于交换机内的云产品通信
查看路由表
- 登录专有网络VPC管理控制台
- 在左侧导航栏,单击路由表
- 选择地域,然后单击管理或路由表的ID连接,查看路由表的详细信息
添加自定义路由:
如果系统路由用起来不方便,也可以添加自定义路由规则。可以在系统路由中添加路由规则,也可以自定义路由表然后添加路由规则。自定义路由表是可以删除的,但是系统路由表不能删除。添加自定义路由的步骤:
- 登录专有网络VPC管理控制台
- 在左侧导航栏,单击路由表
- 选择地域,然后单击管理路由或路由表的ID连接
- 单击添加路由条目
- 在弹出的对话框中,配置路由条目,然后单击确定
3.VPC的互联
VPC是用来隔离网络的,不同VPC之间默认不能互联,但是有些情况下,需要两个不同VPC之间的互通,那可以使用VPN网关
VPN网关(路由表和路由条目--VPC互联)
两个VPC分别购买两个VPN网关,创建IPsec-VPN,添加自定义路由条目。但是不建立用VPN网关来实现VPC之间的互联,VPN网关一般用在公司通过IPsec-VPN拨号连接入云,或者出差时通过SSL-VPN直接连接入云。
VPN网关(路由表和路由条目--连接本地网络)
VPN网关一般用在公司通过IPsec-VPN网关拨号连接入云,或者出差时通过SSL-VPN直接连接入云。
- 在阿里云购买VPN网关,在阿里云VPN网关中指定路由,路由的目的地是公司内网
- 然后在企业内部利用本地网关设备(自行购买并支持IPsec-VPN,完成路由配置),通过IPsec-VPN拨号连接到阿里云VPN网关
云企业网(路由表和路由条目--VPC互联)
云企业网(Cloud Enterprise Netword)在VPC之间,VPC与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通。
创建云企业网,不需要管理路由表,直接把需要互联的VPC添加到云企业网即可。
总结
小结ACP
- VPC网络规划
- VPC的使用限制
- 创建和管理交换机,路由器,子网
- VPC的安全管理
- VPC间的互联
思考题ACP
- 规划VPC网络的时候应该至少使用几个交换机,为什么?2个交换机并且放在两个可用区下,可以实现跨可用区的容灾,并且提供SLB的性能
- VPC间的安全如何规划?类似于白名单功能,实现防火墙,利用安全组的方式来实现访问限制。安全组内部可以互通,安全组之间访问需要通过授权管理