阿里云系列（三） vpc 及相关实验

@commandersu 2021-06-30 13:37 字数 5928 阅读 213

阿里云系列（三） vpc 及相关实验

阿里云项目实战工程师

Mr.su执教笔记（QQ:491537692）
--私人课件，不出版，不公开，禁止传播

想做好运维工作，人先要学会勤快；
居安思危，勤记而补拙，方可不断提高；
别人的资料用的再爽也是别人的；
自己总结的东西是你自身特有的一种思想与理念的展现；
精髓不是看出来的，精髓是记出来的；
请同学们在学习的过程中养成好的学习习惯；
勤于实践，抛弃教案，勤于动手，整理文档

什么是专有网络

专有网络是自己独有的云上私有网络。基于目前主流的隧道技术，专有网络（Virtual Private Cloud，简称VPC）隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应一个虚拟化网络。可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，可以在自己定义的专有网络中使用阿里云资源如云服务器、云数据库RDS版和负载均衡等。可以将专有网络连接到其他专有网络或本地网络，形成一个按需定制的网络环境，实现应用的平滑迁移上云和对数据中心的扩展。

image_1e89rnpq71o5hi5jr5q1rip94l9.png-33.8kB

组成部分

每个VPC都由一个路由器、至少一个私网网段和至少一个交换机组成。

image_1e89rpa301kdr1f9bh1d1jb01m3em.png-27.5kB

私网网段

在创建专有网络和交换机时，需要以CIDR地址块的形式指定专有网络使用的私网网段。可以使用下表中标准的私网网段及其子网作为VPC的私网网段。

网段	可用私网IP数量（不包括系统保留地址）
192.168.0.0/16	65,532
172.16.0.0/12	1,048,572
10.0.0.0/8	16,777,212

路由器

路由器（VRouter）是专有网络的枢纽。作为专有网络中重要的功能组件，它可以连接VPC内的各个交换机，同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后，系统会自动创建一个路由器。每个路由器关联一张路由表

交换机

交换机（VSwitch）是组成专有网络的基础网络设备，用来连接不同的云资源。创建专有网络后，您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内，提高应用的可用性

VPC连接

连接公网

产品	功能	优势
ECS固定公网IP	创建专有网络类型的ECS实例时，您可以选择分配公网IPv4地址，系统会为您自动分配一个支持访问公网和被公网访问的IP地址。目前，ECS实例固定公网IP不能动态与VPC ECS实例解绑，但可以将固定公网IP转换为EIP。	支持使用共享流量包，将公网IP转换为EIP后也可以使用共享带宽。
弹性公网IP（EIP）	能够动态和VPC ECS实例绑定和解绑，支持VPC ECS实例访问公网（SNAT）和被公网访问（DNAT）。	EIP可以随时和ECS实例绑定和解绑。可以使用共享带宽和共享流量包，降低公网成本。
NAT网关	支持多台VPC ECS实例访问公网（SNAT）和被公网访问（DNAT）。	NAT网关和EIP的核心区别是NAT网关可用于多台VPC ECS实例和公网通信，而EIP只能用于一台VPC ECS实例和公网通信。
负载均衡	基于端口提供四层和七层负载均衡功能，支持用户从公网通过负载均衡（SLB）访问ECS。	在DNAT方面，负载均衡是基于端口的负载均衡，即一个负载均衡的一个端口可以对应多台ECS。负载均衡通过对多台ECS进行流量分发，可以扩展应用系统对外的服务能力，并通过消除单点故障提升应用系统的可用性。绑定EIP后，支持使用共享带宽和共享流量包，降低公网成本。

VPC与vpc链接

产品	功能	优势
云企业网	支持将多个不同地域、不同账号的VPC连接起来，构建互联网络。	低时延高速率。就近接入与最短链路互通。链路冗余及容灾系统化管理。
VPN网关	可以通过在两个VPC之间创建IPsec连接，建立加密通信通道。	安全。高可用。低成本。配置简单。

连接本地IDC

产品	功能	优势
高速通道	通过物理专线接入使VPC与本地IDC网络互通。	基于骨干网络，延迟低专线连接更加安全、可靠。
VPN网关	可以通过建立IPsec-VPN，将本地IDC网络和云上VPC连接起来。可以通过建立SSL-VPN，将本地客户端远程接入VPC。	安全。高可用。低成本。配置简单。
云企业网	与本地IDC互通支持将要互通的本地IDC关联的边界路由器（VBR）加载到已创建的云企业网实例，构建互联网络多VPC与IDC互通支持将要互通的多个网络实例（VPC和VBR）加载到已创建的云企业网实例，构建企业级互联网络。	低时延高速率。就近接入与最短链路互通。链路冗余及容灾。系统化管理。
智能接入网关	可实现线下机构（IDC/分支机构/门店等）接入阿里云数据中心，轻松构建混合云。可实现线下机构之间互通	配置高度自动化，即插即用，网络拓扑变化自适应快速收敛。城域内Internet就近接入，可通过设备及链路级主备方式实现线下多机构可靠上云。混合云私网加密互连，Internet传输过程中加密认证。

基础架构

原理描述

基于目前主流的隧道技术，专有网络隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。一个VPC内的ECS（Elastic Compute Service）实例之间的传输数据包都会加上隧道封装，带有唯一的隧道ID标识，然后送到物理网络上进行传输。不同VPC内的ECS实例因为所在的隧道ID不同，本身处于两个不同的路由平面，所以不同VPC内的ECS实例无法进行通信，天然地进行了隔离。基于隧道技术和软件定义网络（Software Defined Network，简称SDN）技术，阿里云的研发在硬件网关和自研交换机设备的基础上实现了VPC产品。

逻辑架构

image_1e8ejkpm45cbv9t1ikg1km11kol9.png-38.3kB

VPC包含交换机、网关和控制器三个重要的组件。交换机和网关组成了数据通路的关键路径，控制器使用自研的协议下发转发表到网关和交换机，完成了配置通路的关键路径。整体架构里面，配置通路和数据通路互相分离。交换机是分布式的结点，网关和控制器都是集群部署并且是多机房互备的，并且所有链路上都有冗余容灾，提升了VPC产品的整体可用性。

应用场景

托管应用程序

可以将对外提供服务的应用程序托管在VPC中，并且可以通过创建安全组规则、访问控制白名单等方式控制Internet访问。也可以在应用程序服务器和数据库之间进行访问控制隔离，将Web服务器部署在能够进行公网访问的子网中，将应用程序的数据库部署在没有配置公网访问的子网中。
image_1e8ekutmh1imd1aih134prkp10jbm.png-19.9kB

托管主动访问公网的应用程序

可以将需要主动访问公网的应用程序托管在VPC中的一个子网内，通过网络地址转换（NAT）网关路由其流量。通过配置SNAT规则，子网中的实例无需暴露其私网IP地址即可访问Internet，并可随时替换公网IP，避免被外界攻击。
image_1e8el0a9f1a6qq5jouc1hjl19h813.png-26kB

跨可用区容灾

可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内不同交换机之间内网互通。您可以通过将资源部署在不同可用区的交换机中，实现跨可用区容灾。
image_1e8el5u6ujeh168r11rf1v1u1gik1g.png-60.6kB

业务系统隔离

不同的VPC之间逻辑隔离。如果有多个业务系统例如生产环境和测试环境要严格进行隔离，那么可以使用多个VPC进行业务隔离。当有互相通信的需求时，可以在两个VPC之间建立对等连接。
image_1e8el9jhgdku8kq29j1rrffhp1t.png-111.1kB

构建混合云

VPC提供专用网络连接，可以将本地数据中心和VPC连接起来，扩展本地网络架构。通过该方式，可以将本地应用程序无缝地迁移至云上，并且不必更改应用程序的访问方式。
image_1e8elbsdn37ufto1d52gch1002a.png-32kB

多个应用流量波动大

如果应用带宽波动很大，可以通过NAT网关配置DNAT转发规则，然后将EIP添加到共享带宽中，实现多IP共享带宽，减轻波峰波谷效应，从而减少成本。
image_1e8elfrr5hch1c91utv15md1v102n.png-28.8kB

使用限制

资源	默认限制	提升配额
单个地域可创建的专有网络的数量	10个	提交工单
专有网络可选的网段范围	192.168.0.0/16，172.16.0.0/12，10.0.0.0/8及其子网	提交工单
单个专有网络可创建的附加IPv4网段的数量	1个	提交工单
单个专有网络可创建的路由器的数量	1个	无法调整
单个专有网络可创建的交换机的数量	24个	提交工单
单个专有网络可创建的路由表的数量	10个	提交工单
单个路由表可创建的自定义路由条目的数量	48条	提交工单
单个专有网络可创建的用户网段的数量	3个	无法调整
单个专有网络支持云资源使用的私网网络地址数量	60,000个 (如果ECS实例仅有一个私网IP时，则该ECS实例仅使用一个网络地址如果ECS实例绑定了多个网卡或网卡配置了多个IP时，则该ECS实例使用的网络地址数为与ECS实例绑定的网卡上分配的IP地址数量之和)	无法调整

收费方式

专有网络VPC本身不收取任何费用，但如果在专有网络VPC上创建了相关资源，需要为使用的这些资源付费。

创建了专有网络类型的ECS实例，需要支付ECS实例的费用。
创建了专有网络类型的RDS实例，需要支付RDS实例的费用
为专有网络VPC创建了NAT网关，需要支付NAT网关的费用
为专有网络VPC创建了负载均衡SLB实例，需要支付SLB实例的费用。
为专有网络VPC创建了VPN网关，需要支付VPN网关的费用。
为专有网络VPC创建了企业版或企业增强版IPv6网关，需要支付IPv6网关的费用。
使用云企业网CEN实现专有网络VPC间互通，需要支付CEN费用。

网络规划

单个vpc

没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离，那么推荐使用一个VPC。
image_1e8esu92514hb1tmktdsglg1q0334.png-61.3kB

多个vpc

多地域部署系统
VPC是地域级别的资源，是不能跨地域部署的。当有多地域部署系统的需求时，就必须使用多个VPC。可以通过使用高速通道、VPN网关、云企业网等产品实现VPC互通。

image_1e8etc65vcj05gemv01g2g1ogj3h.png-109.9kB

多业务系统隔离
在一个地域的多个业务系统需要通过VPC进行严格隔离，例如生产环境和测试环境，那么也需要使用多个VPC

该如何选择交换机的数量

首先，即使只使用一个VPC，也尽量使用至少两个交换机，并且将两个交换机分布在不同可用区，这样可以实现跨可用区容灾。同一地域不同可用区之间的网络通信延迟很小，但也需要经过业务系统的适配和验证。由于系统调用复杂加上系统处理时间、跨可用区调用等原因可能产生期望之外的网络延迟。建议进行系统优化和适配，在高可用和低延迟之间找到平衡。
其次，使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求，考虑到容灾可以将不同的前端系统部署在不同的交换机下，将后端系统部署在另外的交换机下。

该如何选择网段

在创建VPC和交换机时，必须以无类域间路由块（CIDR block）的形式为专有网络划分私网网段。
- 规划VPC网段
可以使用192.168.0.0/16、172.16.0.0/12、10.0.0.0/8这三个私网网段及其子网作为VPC的私网地址范围。

注意事项
如果云上只有一个VPC并且不需要和本地IDC互通时，可以选择上述私网网段中的任何一个网段或其子网。
如果有多个VPC，或者有VPC和线下IDC构建混合云的需求，建议使用上面这些标准网段的子网作为VPC的网段，掩码建议不超过16位。
VPC网段的选择还需要考虑是否使用了经典网络。如果使用了经典网络，并且计划将经典网络的ECS实例和VPC网络连通，那么建议选择非10.0.0.0/8作为VPC的网段，因为经典网络的网段也是10.0.0.0/8。
规划交换机网段
交换机的网段必须是其所属VPC网段的子集。例如VPC的网段是192.168.0.0/16，那么该VPC下的交换机的网段可以是192.168.0.0/17，一直到192.168.0.0/29。
注意事项
交换机的网段的大小在16位网络掩码与29位网络掩码之间，可提供8-65536个地址。16位掩码能支持65532个ECS实例，而小于29位掩码又太小，没有意义。
每个交换机的第一个和最后三个IP地址为系统保留地址。以192.168.1.0/24为例，192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。
ClassicLink功能允许经典网络的ECS和192.168.0.0/16，10.0.0.0/8，172.16.0.0/12这三个VPC网段的ECS通信。例如，如果要和经典网络通信的VPC网段是10.0.0.0/8，则要和经典网络ECS通信的交换机的网段必须是10.111.0.0/16。
交换机网段的确定还需要考虑该交换机下容纳ECS的数量

VPC与VPC互通或VPC与本地数据中心互通要求

当有VPC与VPC互通或VPC与本地IDC互通的需求时，确保VPC的网段和要互通的网络的网段都不冲突。

例如在华东1、华北2、华南1三个地域分别有VPC1、VPC2和VPC3三个VPC。VPC1和VPC2通过高速通道内网互通，VPC3目前没有和其他VPC通信的需求，将来可能需要和VPC2通信。另外，在上海还有一个自建IDC，需要通过高速通道（专线功能）和华东1的VPC1私网互通。

image_1e8euuj05f1gnsd1ssi1tbib3c4b.png-161.7kB

VPC1和VPC2使用了不同的网段，而VPC3暂时没有和其他VPC互通的需求，所以VPC3的网段和VPC2的网段相同。但考虑到将来VPC2和VPC3之间有私网互通的需求，所以两个VPC中的交换机的网段都不相同。VPC互通要求互通的交换机的网段不能相同，但VPC的网段可以相同。

在多VPC的情况下，遵守的原则
尽可能做到不同VPC的网段不同，不同VPC可以使用标准网段的子网来增加VPC可用的网段数。
如果不能做到不同VPC的网段不同，则尽量保证不同VPC的交换机网段不同。
如果也不能做到交换机网段不同，则保证要通信的交换机网段不同。

实例

ipv4 vpc实例

image_1e9pun44q1nmt1dkb1tbnuu88ro9.png-121kB
image_1e9pv00er9dt1t3psmc19aoer5m.png-128.2kB
image_1e9q00g6815dn1ig110gco5q1lh047.png-169.7kB
image_1e9q0347p1k4p1r37fgi7pk1cbb4k.png-162kB
image_1e9q03rk81267jg41gqpmtj1l8l51.png-157.3kB
image_1e9q0gjgi1j2tl0g1dop16etu35e.png-189.7kB
image_1e9q0kqc04ut4al1dfspbqa3t5r.png-176.3kB
image_1e9q0q4ng19ou37q7b612b51tf96o.png-181.8kB
image_1e9q0r9vc87euuu1tjiubs19c375.png-151.9kB
image_1e9q11vcucdo1n8v1kbc1tbhon7i.png-179.2kB
image_1e9q15qlccek15af5glp0q99u7v.png-152.8kB
image_1e9q182i5nc61pte107bb9419qt8c.png-148.4kB
image_1e9q1925nir11vmg1e4ajb6m4o8p.png-135.7kB
image_1e9q1d57lg5m1hms1sm21m3uqr9m.png-159.1kB
image_1e9q1e8jr12ge110t7mvohb1u7na3.png-153.6kB
image_1e9q1ffg1ah61e8n8v844s1l78ag.png-176kB
image_1e9q1gf8m1ib32fsqdg132vpv4at.png-175.1kB

创建EIP并且绑定ECS实例

什么是EIP

弹性公网IP EIP（Elastic IP Address），是可以独立购买和持有的公网IP地址资源
独立购买与持有 :可以单独持有一个ip，这个ip就是你买的
弹性绑定：你可以把这个ip想绑定到那个服务器上或者SLB上都可以
可配置的网络能力：可以随时的调整你的峰值带宽等，及时修改，及时生效
BGP多线就是当你给出一个ip的时候，最佳访问路由是由网络上的骨干路由器根据路由跳数与其它技术指标来确定的，不会占用服务器的任何系统资源。服务器的上行路由与下行路由都能选择最优的路径，所以能真正实现高速的单IP高速访问。（如果不知道什么是BGP协议，请自行百度）

image_1e9q24vqe1cdulvb102e13djfl4dh.png-128.2kB
image_1e9q25vgkfgd1gifrrhh3hr9ndu.png-255.1kB

绑定ECS

image_1e9q27hmjc4gr1p8uq8bi156oeb.png-157.9kB
image_1e9q29osi16d71n7711fk1igbfg2eo.png-159.7kB
image_1e9q2ajpm1mautc71r1tk4b1nlnf5.png-153.7kB
image_1e9q2d7bps5c1flv15bvaoc1s28fi.png-178kB
image_1e9q3g747jkp1igbbm71eoo9efv.png-143.3kB
image_1e9q3l9rf1mjc1c827b1lj11au2gc.png-129.3kB
image_1e9q3lnb4kmj1knn13aoj2817ejgp.png-124.4kB
image_1e9q3m6on1avhd3rnh8st01257h6.png-146.3kB
image_1e9q3pfbh1qdu16oqbqa8oe5ohj.png-85.7kB

在同一个vpc创建不同网段的交换机进行联通实验（不是同一个网段不同交换机）

vpc到vpc直接的通信

我们先把200网段的实例都释放掉（以防花不必要的钱）

image_1e9q778o91hvjusv1jqkc0q1m9.png-190.8kB
image_1e9q77rjgd5pnvlhu7mv8bfm.png-177.2kB
image_1e9q78v141iodk2qmk9sno15f613.png-179.3kB

创建一个新的vpc

image_1e9qani271f3n13he1nssakj1elf1g.png-145.3kB
image_1e9qau5n14mhmmn1lse1kje7v1t.png-156.5kB
image_1e9qaups1pqbf5vs3s153craq2a.png-151.9kB
image_1e9qavcc4173q1hpj1ur314u418ef2n.png-151.8kB
image_1e9qb012j9v317ur178j1n1416le34.png-152.8kB

在新建的交换机上购买ECS

image_1e9qbaqujopk1h1mv7tv4kh3h.png-200.1kB
image_1e9qbc2rm1fcc228somudr14023u.png-134.6kB
image_1e9qbh9v2va6n8814ike0tu964b.png-166kB
image_1e9qbi63jb1o133p1h4m18oo86j4o.png-152.1kB
image_1e9qbk9isjve14899281da41it155.png-169.9kB
image_1e9qbluc21icnt9lm591daa104t5i.png-147.5kB
image_1e9qbmlnp10nvc23cmk1n2v1e6d5v.png-150.7kB
image_1e9qbnieustl19h21jjg1i21k976c.png-155.3kB
image_1e9qboi2c18qnjbe11hk1tt41auh6p.png-168.1kB
image_1e9qc2398hdhnctel215qs120m76.png-101.1kB

创建云企业网络

image_1e9qdjssn1u29a51bfk1fcu91d80.png-144.7kB
image_1e9qdlfda1ui7g2c1bc2sfq11988d.png-158.8kB
image_1e9qdlsjo10lu11uku8g12htuvi8q.png-157.1kB
image_1e9qdmr181oqo7ua8qoi4fk9a97.png-174.1kB
image_1e9qdnjm9973b8tmks18rgebq9k.png-136.1kB
image_1e9qdo0778fp1ejg1hbn1n6p1dvva1.png-152.5kB
image_1e9qdp0451ehgv3fiqp1m3pt96ae.png-151.8kB
image_1e9qdpjlkldq1dfm1kdmm5h1etvar.png-164.8kB
image_1e9qdr05anh518mf1a6n1icq1qkub8.png-144.3kB

跨地域的vpc和vpc相连接

由于价格昂贵就不为大家演示，给大家说下流程
image_1e9qe35phbmb1b0uv1h1sj71empc2.png-146.9kB
image_1e9qdv4fd1ee01h5r1nbk5fndofbl.png-156.4kB
image_1e9qe497u1a5c14uf14e7dhbto3cf.png-147.4kB
image_1e9qe5e7o1ua71qoahaen1egmldc.png-143.3kB

释放所有实例

记得不只释放ECS实例，还要释放EIP实例