来聊VPC之前,我们首先来认识一下ECS的网络类型。
ECS中有两种网络类型,分为经典网络和专有网络(VPC)。
经典网络采用三层隔离,是一个共享的基础网络。网络里的ECS实例都在一个共同的生态环境里,如果将经典网络比喻为城市,那网络里的实例就相当于一条街道上的房子,房子配套的围墙和门锁用来提供安全防护。其中围墙相当于安全组,门锁相当于安全组规则。
时常关注安全组状况来预防网络安全问题,
       1. 避免漏设置安全组规则
       2. 避免权限过大(像0.0.0.0/0,这相当于对外不设防,风险非常大)
经典网络的防护高度依赖安全组的权限控制
专用网络(VPC)采用二层隔离,是安全增强型网络,是阿里云首推的云上私有网络。网络里的实例都高度隔绝。相对于经典网络而言,VPC具有更高的安全性和灵活性。每组VPC都类似于不同维度里的平行空间,空间之间既不会相交也不会重合,即使单个空间出现了问题也无法影响到其他空间。即使不小心忘记了“锁门”(设置安全组),外人也无法今日该VPC的网络领域。
要实现“空间通信”,两组VPC之间需要建高速通道才能通信。
使用VPC可以建立精细的网络管理能力。通过建立虚拟交换机划分子网,灵活的配置网络隔离机制。
防火墙策略是网络安全最重要的第一道大门,而安全组等价于云上的防火墙,不同网络类型的云服务器需要做好对应的安全组策略配置,才能更好的保证云上业务的安全性。
不论是经典网络还是VPC,都需要配置安全组来管理云服务器的网络权限。
阿里云提供了稳定的经典网络迁移VPC辅助机制,帮助用户零影响实现在线网络热迁移。
显而易见的VPC具有经典网络所不具备的安全机制,更加安全、灵活。那么接下来让我们来熟悉一下VPC的基本组成。
VPC的基本架构
-
私网网段
通过CreateVpc接口创建VPC,可以使用标准网段的子网。且VPC创建后无法修改网段
| 网段 | 可用私网IP数量 (不包括系统保留地址) |
|---|---|
| 192.168.0.0/16 | 65,532 |
| 172.16.0.0/12 | 1,048,572 |
| 10.0.0.0/8 | 16,777,212 |
-
路由器
路由器是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。
-
-
交换机
交换机是组成专有网络的基础网络设备,用来连接不同的云产品实例。创建专有网络之后,可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。可以将应用部署在不同可用区的交换机内,提高应用的可用性。
