虚拟私有云(Virtual Private Cloud,VPC)
虚拟私有云(Virtual Private Cloud,以下简称VPC),为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。
您可以在VPC中定义安全组、***、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络,进行安全、快捷的网络变更。同时,用户可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。
图1 VPC组成
优势
- 灵活配置
自定义虚拟私有网络,按需划分子网,配置IP地址段、路由表等服务。支持跨AZ部署弹性云服务器。
- 安全可靠
VPC之间通过隧道技术进行100%逻辑隔离,不同VPC之间默认不能通信。网络ACL对子网进行防护,安全组对弹性云服务器进行防护,多重防护您的网络更安全。
- 互联互通
默认情况下,VPC与公网是不能通信访问的,我们提供了弹性公网IP、弹性负载均衡、NAT网关、虚拟专用网络、云专线等多种方式连接公网。
默认情况下,两个VPC之间也是不能通信访问的,我们提供对等连接的方式,使用私有IP地址在两个VPC之间进行通信。
提供多种连接选择,满足企业云上多业务需求,让您轻松部署企业应用,降低企业IT运维成本。
- 高速访问
使用全动态BGP协议接入多个运营商,支持多达21条线路。可以根据设定的寻路协议实时自动故障切换,保证网络稳定,网络时延低,云上业务访问更流畅。
应用场景
- 通用性Web应用。
在VPC中托管Web应用或网站,可以像使用普通网络一样使用VPC。通过弹性公网IP连接弹性云服务器与Internet,运行弹性云服务器上部署的Web应用程序。系统通过***网关与云端业务系统建立***通道,保证网站业务系统高速互通。
- 高安全行服务。
将多层Web应用划分到不同的安全域中,按需在各个安全域中设置访问控制策略,可以通过创建一个VPC,将Web服务器和数据库服务器划分到不同的安全组中。Web服务器所在的子网实现互联网访问,而数据库服务器只能通过内网访问,保护数据库服务器的安全,满足高安全场景。
- 将公司网络扩展到云中。
将VPC连接到企业内部的私有云中。通过***在传统数据中心与VPC之间建立通信隧道,可方便地使用弹性云服务器、块存储等资源;应用程序转移到云中、启动额外的Web服务器、增加网络的计算容量,从而实现企业的混合云架构,既降低了企业IT运维成本,又不用担心企业核心数据的扩散。VPC能够跨AZ部署,提升了电商平台的高可用性。
VPC连接
连接Internet
VPC内的云资源连接公网(Internet),可以通过如下云产品实现。
云产品 |
应用场景 |
描述 |
相关操作 |
|---|---|---|---|
弹性公网IP |
单个ECS连接公网 |
申请一个弹性公网IP(EIP)并将其绑定到ECS上,ECS即可连接公网,实现主动访问公网或面向公网提供服务。 支持动态绑定和解绑ECS。 可以使用共享带宽和共享流量包,降低公网成本。 |
使用EIP连接公网 |
NAT网关 |
多个ECS共享弹性公网IP连接公网 |
NAT网关提供SNAT和DNAT两种功能:SNAT可实现同一VPC内的多个ECS共享一个或多个EIP主动访问公网,有效降低管理成本,同时减少了ECS的EIP直接暴露的风险。DNAT功能还可以实现端口级别的转发,将EIP的端口映射到不同ECS的端口上,使VPC内多个ECS共享同一EIP和带宽面向公网提供服务,但没有均衡流量的功能。 |
使用SNAT连接公网 使用DNAT面向公网提供服务 |
弹性负载均衡 |
通过将访问流量均衡分发到多个ECS的方式对外提供服务,比如电商等高并发访问场景 |
弹性负载均衡(ELB)可以将访问流量均衡分发(支持4层和7层两种方式)到多个后端ECS上,通过绑定EIP支撑海量用户从公网访问ECS。 通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 |
弹性负载均衡介绍 |
连接VPC
VPC与VPC之间要建立连接,可以通过如下云产品实现。
云产品 |
应用场景 |
描述 |
相关操作 |
|---|---|---|---|
对等连接 |
同区域的VPC互连 |
对于同一区域的VPC,可以通过对等连接进行互连,同一帐号与不同帐号的连接方式略有差异。对等连接免费。 |
创建同一帐户下的对等连接 创建不同帐户下的对等连接 |
云连接 |
跨区域的VPC互连 |
对于不同区域的VPC,不区分是否同一帐号,都可以互连,跨区域连接实现全球云上网络。 |
跨区域VPC互连 |
虚拟专用网络*** |
使用公网低成本连接跨区域VPC |
基于Internet使用加密隧道将不同区域的VPC连接起来。具备成本低、配置简单、即开即用等优点。但它的网络质量依赖Internet。 |
通过***连接VPC |
连接IDC
对于自建本地数据中心(IDC)的用户,由于利旧和平滑演进的原因,并非所有的业务都能放置在云上,这个时候就可以通过如下产品构建混合云,实现云上VPC与云下IDC之间的互连。
云产品 |
应用场景 |
描述 |
相关操作 |
|---|---|---|---|
虚拟专用网络*** |
使用公网低成本连接VPC与本地IDC |
基于Internet使用加密隧道将VPC与本地数据中心连接起来。具备成本低、配置简单、即开即用等优点。但它的网络质量依赖Internet。 |
通过***连接VPC |
云专线 |
铺设物理专线高质量连接VPC与本地IDC |
使用物理专线将VPC与本地数据中心连接起来。具备低时延、高安全、专用等优点。适用对网络传输质量和安全等级要求较高的场景 。 |
使用一条云专线访问多个VPC |
云连接 |
跨区域的VPC、IDC互连 |
将要互通的本地IDC关联的云专线加载到已创建的云连接实例中,实现跨区域的VPC、IDC互连。 |
跨区域IDC互连 多数据中心与多区域VPC互通 |