VPC最佳实践(一):网络规划篇

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
应用型负载均衡 ALB,每月750个小时 15LCU
公网NAT网关,每月750个小时 15CU
简介:

专有网络VPC(Virtual Private Cloud)是阿里云推荐的网络类型,越来越多的用户选择使用VPC,可以说VPC是现在用户上云第一个考虑的产品。使用VPC主要有两方面的核心优势。一是安全,即用户需要更安全的网络隔离,VPC基于隧道技术,实现数据链路层的隔离,为每个租户提供一张独立、隔离的安全网络。二是VPC让用户有了网络管理能力,比如IP规划,路由管理等等。在VPC出现之前,云上用户是缺乏网络管理能力的。

 

关于VPC详细信息可以访问:VPC产品

 

 

 

用户在考虑使用VPC的时候,首先遇到的一个问题就是,如何进行VPC网络规划?本文拆分成下面几个小问题进行分析。

 

问题一,应该使用几个VPC?

问题二,应该使用几个虚拟交换机?

问题三,应该选择什么网段?

问题四,考虑一个比较复杂的业务系统,云上存在多个VPC且需要和云下IDC互通,如何规划网段?

 


问题一,我应该使用几个VPC?


这个问题,从下面两点考虑,如果


1)没有多地域部署系统的要求

2)各系统之间也不需要通过VPC进行隔离

 

那么推荐使用一个VPC。如图1.1所示。

 

9237920f427b596e7b3d1761eb5518a0af5a5040

1.1 VPC示意图

 


使用一个VPC,容量和性能是不是够呢?阿里云有用户在单VPC内运行了近5000个实例,实际上还可以支撑更多的实例。这样的容量基本上可以绝大多数用户需求。

 

 

如果有多地域部署系统的要求,就必然需要使用多个VPC,因为VPC是地域级别的资源,是不能跨地域的。如图1.2所示


70ae0d56a2c311b9f64d7fdddfb9bd9f7f759b27

1.2 多地域部署VPC 示意图

 


大家可能会问,使用多个VPC,怎么能内网互通呢?基于阿里巴巴骨干网构建的高速通道产品能轻松实现跨地域,跨国VPC间的互通。后面的文章会再详细介绍,先回到网络规划问题上。

 

上文提到在多地域部署系统是需要多个VPC的,但如果在一个地域的多个业务系统需要通过VPC进行严格隔离,比如生产环境和测试环境要严格进行隔离,那么,也需要使用多个VPC。如图1.3所示。

 


5838eee726918b67ea57c04e82b785728565d424

1.3 一个地域使用多个VPC隔离生产和测试环境

 

 

问题二,应该使用几个虚拟交换机?

 

 

首先,即使只使用一个VPC,也尽量使用至少两个虚拟交换机,并且两个虚拟交换机分布在不同可用区,做到跨可用区容灾。

 

注:

可用区是指在同一地域内,电力和网络互相独立的物理区域,在同一地域内可用区与可用区之间内网互通。

 

同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证,系统调用复杂加上系统处理时间,跨可用区调用也可能产生期望之外的延迟。建议进行系统优化和适配,能够容忍这种延迟,在高可用和低延迟之间找到平衡。

 

其次,使用多少个虚拟交换机还和系统规模和系统规划有关。如前端系统都可以被公网访问并且都有主动访问公网的需求。考虑到容灾,可以考虑将不同的前端系统,部署在不同的虚拟交换机下。而后端系统部署在另外的虚拟交换机下。


 

问题三,应该选择什么网段?

 

网段选择涉及到两处,一是创建VPC的时候,二是创建虚拟交换机的时候。

 

对于VPC使用的网段,目前阿里云公有云默认提供下面三个标准私网网段给用户选择。

 

网段

可以主机数

备注

192.168.0.0/16

65532

去除系统占用地址

172.16.0.0/12

1048572

去除系统占用地址

10.0.0.0/8

16777212

去除系统占用地址

 

用户可以使用这些网段及其子网作为VPC的网段。

 

如果可能有多个VPC或者VPC和线下IDC有构建混合云的需求,建议使用上面这些标准网段的子网作为VPC的网段,掩码建议不超过/16。

 

注:如有除此之外的特殊网段要求,也可以提工单或者通过客户经理申请开通。

 

如果云上只有一个VPC并且不需要和线下IDC互通,那么选择以上任何一个网段或其子网均可,用户可自由选择,但需要注意的是,一旦选择后不可修改。

 

最后,VPC网段的选择还需要考虑到是否使用了经典网络。大家知道,经典网络的网段是10.0.0.0/8,如果用户在云上使用了经典网络,并且计划将经典网络的主机和VPC网络打通(阿里云正计划提供ClassicLink功能),以实现将经典网络迁移到VPC,那么,建议用户选择非10.0.0.0/8作为VPC的网段。

 

ClassicLink功能可以允许经典网络ECS和192.168.0.0/16,10.0.0.0/8,172.16.0.0/12 三个VCP网段的主机通信,但只能和10.0.0.0/8中的特定虚拟交换机的网段通信,即,如果用户经典网络的ECS要和使用了10.0.0.0/8作为VPC网段的主机通信,那么该主机必须是某个特定的10.0.0.0/8下的子网,具体子网还未确定。因此,有ClassicLink功能需求的用户,建议选择非10.0.0.0/8作为VPC的网段。



对于虚拟交换机的网段。首先掩码必须在16到29之间。做这个限制的原因是/16掩码也能支持65532个主机,规模足够大了,没必要更大。而小于/29有太小,没有意义。

 

其次,虚拟交换机的网段要求和其VPC网段一样或者是其VPC网段的子网。比如VPC的网段是192.168.0.0/16,那么该VPC下的虚拟交换机的网段可以是192.168.0.0/16,也可以是192.168.0.0/17,一直到192.168.0.0/29。

 

最后,虚拟交换机网段的确定还需要考虑该交换机下容纳主机的数量。

 

问题四,云上存在多个VPC且和云下IDC需要互通,如何规划网段?


考虑如下图1.4,云上多VPC和云下IDC互通网段规划示意图,用户在华东1,华北2,华南1三个地域分别有VPC,并且华东1和华北2两个地域的VPC需要通过高速通道-VPC互联功能实现私网互通,华南1地域的VPC暂时没有和其它地域通信需求,但未来也可能和华北2的VPC私网通信。另外,用户在上海还有一个自建IDC,需要通过高速通道-专线功能和华东1的VPC私网互通。

 

b35bae756a2c9cbe55d735df7b842b9e458d3b8b

1.4 云上多VPC和云下IDC互通网段规划示意图

 

由于VPC之间,VPC和线下IDC之间需要互通的IP段不能相同,因此,上图中用户上海IDC,华东1 VPC1,华北2 VPC2 使用不同的网段。而华南1暂时没有和其它VPC之间互通的需求,因此,可以使用和华北2相同的网段,但考虑到将来华南1有和华北2可能有私网互通的需求,华南1 VPC3中的两个虚拟交换机的网段和华北2 VPC2 中虚拟交换机的网段规划使用不同的网段,也就是说VPC网段一样,但虚拟交换机的网段不一样。

 

总结一下,阿里云VPC互通要求要求地址不能冲突,指的是虚拟交换机的网段不能一样,但VPC的网段可以一样。当然,如前文说述,尽量规划不同VPC的网段不一样。

因此,在多VPC需要互通并且和线下IDC需要互通的情况下,可以总结如下的网段规划原则:

1)尽可能做到不同VPC的网段不同。不同VPC可以使用标准网段的子网来增加VPC可用的网段数。

2)如上面1)做不到,则尽量保证不同VPC的虚拟交换机网段不同。

3)如上面2)也做不到,则保证要通信的虚拟交换机网段不同。

 

可能还会有极端情况,如果线下IDC网段已经确定无法修改,云上VPC的网段也已经确定无法修改,但现在要通信怎么办呢?阿里云正在规划专线网关功能,可以解决这一问题。

 

另外,阿里云也会提供虚拟交换机网段可修改的功能,尽量帮助用户解决地址冲突和网络规划修改的问题。

相关实践学习
使用ROS创建VPC和VSwitch
本场景主要介绍如何利用阿里云资源编排服务,定义资源编排模板,实现自动化创建阿里云专有网络和交换机。
阿里云专有网络VPC使用教程
专有网络VPC可以帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。 产品详情:https://www.aliyun.com/product/vpc
目录
相关文章
|
2月前
|
数据采集 存储 监控
网络爬虫的最佳实践:结合 set_time_limit() 与 setTrafficLimit() 抓取云盘数据
本文探讨了如何利用 PHP 的 `set_time_limit()` 与爬虫工具的 `setTrafficLimit()` 方法,结合多线程和代理 IP 技术,高效稳定地抓取百度云盘的公开资源。通过设置脚本执行时间和流量限制,使用多线程提高抓取效率,并通过代理 IP 防止 IP 封禁,确保长时间稳定运行。文章还提供了示例代码,展示了如何具体实现这一过程,并加入了数据分类统计功能以监控抓取效果。
65 16
网络爬虫的最佳实践:结合 set_time_limit() 与 setTrafficLimit() 抓取云盘数据
|
1月前
|
存储 安全 网络安全
浅谈网络安全的认识与学习规划
浅谈网络安全的认识与学习规划
31 6
|
1月前
|
安全 物联网 物联网安全
探索未来网络:物联网安全的最佳实践
随着物联网设备的普及,我们的世界变得越来越互联。然而,这也带来了新的安全挑战。本文将探讨在设计、实施和维护物联网系统时,如何遵循一些最佳实践来确保其安全性。通过深入分析各种案例和策略,我们将揭示如何保护物联网设备免受潜在威胁,同时保持其高效运行。
49 5
|
2月前
|
机器学习/深度学习 安全 物联网安全
探索未来网络:物联网安全的最佳实践与创新策略
本文旨在深入探讨物联网(IoT)的安全性问题,分析其面临的主要威胁与挑战,并提出一系列创新性的解决策略。通过技术解析、案例研究与前瞻展望,本文不仅揭示了物联网安全的复杂性,还展示了如何通过综合手段提升设备、数据及网络的安全性。我们强调了跨学科合作的重要性,以及在快速发展的技术环境中保持敏捷与适应性的必要性,为业界和研究者提供了宝贵的参考与启示。
|
1月前
|
算法 决策智能
基于prim算法求出网络最小生成树实现网络社团划分和规划
该程序使用MATLAB 2022a版实现路线规划,通过排序节点权值并运用Prim算法生成最小生成树完成网络规划。程序基于TSP问题,采用遗传算法与粒子群优化算法进行路径优化。遗传算法通过编码、选择、交叉及变异操作迭代寻优;粒子群优化算法则通过模拟鸟群觅食行为,更新粒子速度和位置以寻找最优解。
|
2月前
|
域名解析 弹性计算 云计算
【深度好文】中小企业上云,为什么做好网络架构规划很重要!
本文通过一位小微软件公司技术负责人的实际体验为始,引发了对大量小微企业上云架构实践的研究。 发现中小企业上云时,往往聚焦于业务测试和服务尽快上线,很难有精力投入在云上技术架构的规划和设计中。所以,大家云上的架构五花八门,很多架构缺乏长远规划,极可能给业务未来发展埋下隐患。 基于此,我们沉淀了一套《应用上云经典托管架构》,强调了上云架构规划对于业务的重要性,并带领大家理解了方案中的网络规划和架构设计全过程。 作为从事企业上云IT部门,或者初创事业的个人开发者们,都可以参考和了解。
|
2月前
|
存储 安全 物联网
探索未来网络:物联网安全的最佳实践与挑战
在数字化浪潮中,物联网作为连接万物的关键技术,已深刻改变我们的工作与生活方式。然而,随着其应用的广泛化,安全问题日益凸显,成为制约物联网发展的重要瓶颈。本文旨在深入探讨物联网的安全架构、风险点及应对策略,通过分析当前技术趋势和实际案例,提出一套切实可行的安全防护方案,以促进物联网技术的健康发展。
|
3月前
|
开发者 图形学 API
从零起步,深度揭秘:运用Unity引擎及网络编程技术,一步步搭建属于你的实时多人在线对战游戏平台——详尽指南与实战代码解析,带你轻松掌握网络化游戏开发的核心要领与最佳实践路径
【8月更文挑战第31天】构建实时多人对战平台是技术与创意的结合。本文使用成熟的Unity游戏开发引擎,从零开始指导读者搭建简单的实时对战平台。内容涵盖网络架构设计、Unity网络API应用及客户端与服务器通信。首先,创建新项目并选择适合多人游戏的模板,使用推荐的网络传输层。接着,定义基本玩法,如2D多人射击游戏,创建角色预制件并添加Rigidbody2D组件。然后,引入网络身份组件以同步对象状态。通过示例代码展示玩家控制逻辑,包括移动和发射子弹功能。最后,设置服务器端逻辑,处理客户端连接和断开。本文帮助读者掌握构建Unity多人对战平台的核心知识,为进一步开发打下基础。
118 0
|
3月前
|
安全 开发者 数据安全/隐私保护
Xamarin 的安全性考虑与最佳实践:从数据加密到网络防护,全面解析构建安全移动应用的六大核心技术要点与实战代码示例
【8月更文挑战第31天】Xamarin 的安全性考虑与最佳实践对于构建安全可靠的跨平台移动应用至关重要。本文探讨了 Xamarin 开发中的关键安全因素,如数据加密、网络通信安全、权限管理等,并提供了 AES 加密算法的代码示例。
58 0
|
3天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和方法来保护自己的信息安全。
13 2

相关产品

  • 专有网络VPC