思考:既然云上网络的成本、扩展性、安全性比传统企业网络更有优势,那小云应该了解云上网络的哪些概念呢?
阿里云提供了非常丰富的网络产品供小云选择,小云可以根据自身规划所需进行网络创建,小云可以完全掌控自己的云上网络架构,目前阿里云上提供两个网络,分别是经典网络和专有网络:
- 经典网络是由阿里云为所有租户在云上构建的一张大网,包含小云在内的所有租户都从这张大网中获得地址,经典网络的安全性和私密性上需要小云做好各种措施,例如做好安全组规则和网络ACL规则等,安全手段单一,网络分配不能自定义。
- 专有网络VPC是阿里云为所有租户提供的一种高度自定义、安全隔离、独享合规的网络,小云可以使用VPC在云上实现网络的网段、路由等自定义,并将不同业务放入不同的VPC中,提供高度隔离的网络环境,配合安全组、网络ACL等其他安全手段,实现更为安全,更为灵活的网络管理方式,相比经典网络而言,专有网络VPC也是更推荐的云网络方案。
目前在阿里云上,专有网络VPC是主要的网络使用方式,经典网络已经不支持新用户购买,用户旧有的经典网络也正在逐步迁移至专有网络,原因如下:
- 专有网络VPC具有更高的安全性和灵活性。专有网络VPC采用二层隔离,小云可以自定义网络拓扑和IP地址,还支持通过专线连接本地机房。而经典网络采用的是三层隔离,所有经典网络类型的实例都建立在一个共用的基础网络上,小云不能自定义IP信息,IP使用不灵活。提示:这里的二层和三层分别指的是OSI七层模型中的第二层和第三层,越底层的隔离性越好。
- 专有网络VPC支持更多的云资源和功能。小云可以在自己创建的专有网络内创建和管理云资源,例如云服务器ECS(Elastic Compute Service)、负载均衡SLB(Server Load Balancer)和阿里云关系型数据库RDS(Relational Database Service)等。小云还可以使用NAT网关、VPC对等连接、高可用虚拟IP、流日志、流量镜像等功能来实现更多的网络场景,而大多数云资源和功能基本都不支持经典网络。
- 专有网络和经典网络的安全保障不同,经典网络只能使用安全组来控制ECS实例的入流量和出流量,专有网络可以使用安全组和网络ACL来控制交换机中ECS实例流量的访问。
专有网络的基本构成如下:
- 每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成
- VPC的地域级别的网络,一个地域中可以包含多个VPC,但VPC不能横跨多个地域
- 交换机是可用区级别的子网,一个VPC中,可以包含一个或多个交换机,每个可用区想要投入使用,都必须至少创建一个交换机,当然,小云也可以在一个可用区创建多个交换机
- 多个可用区之间需要路由器做数据转发才能互联互通,小云可以修改路由器中的路由表影响数据转发方式
云上大部分的产品都需要放入到VPC中才能工作,例如ECS 云服务器、RDS 云数据库、CLB负载均衡等,都需要从VPC 中获得所需的IP地址,将云资源放入不同的VPC,将会获得不同网段的IP地址,并由于VPC的隔离特性,资源放入到不同的VPC之后,将无法互联互通,小云在使用云上产品时,一定要做好规划网络规划。
提示:不同的VPC之间可以通过专门的云服务进行打通,本课程后面的章节将会进行讲解。
练习实验:企业级云上网络构建
https://developer.aliyun.com/adc/scenario/exp/65e54c7876324bbe9e1fb18665719179
