3、VPC 专有网络

作者: Brinnatt 分类: alibabacloud 授课(国际班) 发布时间: 2023-02-03 15:42

3.1、基本概念

本章节介绍专有网络 VPC（Virtual Private Cloud）涉及的基本概念，以便于您更好地理解专有网络。

VPC_concept

专有网络是您专有的云上私有网络。您可以完全掌控自己的专有网络，例如选择 IP 地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用阿里云资源，如云服务器、云数据库 RDS 和负载均衡等。

您可以通过高速通道将专有网络连接到本地网络，形成一个按需定制的网络环境，实现应用的平滑迁移上云和对数据中心的扩展。

VPC_express_net

3.2、组成部分

每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成。

VPC_portions

私网网段

在创建专有网络和交换机时，您需要以 CIDR 地址块的形式指定专有网络使用的私网网段。

您可以使用下表中标准的私网网段及其子网作为 VPC 的私网网段，也可以使用自定义地址段作为 VPC 的私网网段。更多信息，请参见网络规划。
路由器

路由器（vRouter）是专有网络的枢纽。作为专有网络中重要的功能组件，它可以连接专有网络内的各个交换机，同时也是连接专有网络和其他网络的网关设备。每个专有网络创建成功后，系统会自动创建一个路由器。每个路由器关联一张路由表。

更多信息，请参见路由表概述。
交换机

交换机（vSwitch）是组成专有网络的基础网络设备，用来连接不同的云资源。创建专有网络后，您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内，提高应用的可用性。

更多信息，请参见交换机。

3.3、产品架构

基于目前主流的隧道技术，专有网络 VPC（Virtual Private Cloud）隔离了虚拟网络。每个 VPC 都有一个独立的隧道号，一个隧道号对应一个虚拟化网络。

3.3.1、虚拟化网络背景信息

随着云计算的不断发展，人们对虚拟化网络的要求越来越高，例如弹性（scalability）、安全性（security）、可靠性（reliability）和私密性（privacy），并且还有较高的互联性能（performance）等需求，因此催生了多种多样的网络虚拟化技术。

比较早的解决方案，是将虚拟机的网络和物理网络融合在一起，形成一个扁平的网络架构，例如大二层网络。随着虚拟化网络规模的扩大，这种方案中的 ARP 欺骗、广播风暴、主机扫描等问题会越来越严重。

为了解决这些问题，出现了各种网络隔离技术，把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用 VLAN 进行隔离，但是 VLAN 的数量最大只能支持 4096 个，无法支撑巨大的用户量。

3.3.2、专有网络原理描述

基于目前主流的隧道技术，专有网络隔离了虚拟网络。每个 VPC 都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。

一个 VPC 内的 ECS（Elastic Compute Service）实例之间的传输数据包都会加上隧道封装，带有唯一的隧道号标识，然后通过物理网络上进行传输。
不同 VPC 内的 ECS 实例由于所在的隧道号不同，本身处于两个不同的路由平面，因此不同 VPC 内的 ECS 实例无法进行通信，天然地进行了隔离。

基于隧道技术和软件定义网络 SDN（Software Defined Network）技术，阿里云在硬件网关和自研交换机设备的基础上推出了 VPC 产品。

3.3.3、专有网络逻辑架构

如下图所示，VPC 包含交换机、网关和控制器三个重要的组件。交换机和网关组成了数据通路的关键路径，控制器使用自研协议下发转发表到网关和交换机，完成了配置通路的关键路径。配置通路和数据通路互相分离。VPC 中的交换机是分布式的节点，网关和控制器都是集群部署且多机房互备，所有链路上都具备冗余容灾，提升了 VPC 的整体可用性。

VPC_theory