當您需要使用專有網絡VPC來部署您的業務,您可以結合現有業務的規模和未來的擴展預期來對VPC進行網絡規劃,滿足當前業務需求并保障業務持續穩定的同時能夠平穩高效地實現業務拓展訴求。
合理的網絡規劃需要考慮安全隔離、高可用容災、運營成本等多方面因素,保障業務穩定性與網絡的可擴展性。缺乏前瞻性視角的網絡設計可能為未來業務拓展埋下隱患,引入難以預見的風險。當現有的網絡架構無法滿足業務增長與擴展需求時,進行網絡重構不僅將面臨高昂的成本,更可能導致業務流程受到嚴重影響。因此,從多層次和多維度制定合理的網絡規劃至關重要。為了保障網絡的穩定性和可擴展性,您可以參照以下步驟規劃您的VPC。
地域和可用區規劃
在同一地域內,各可用區之間內網互通。各可用區之間可以實現故障隔離,即一個可用區出現故障時,不會影響其他可用區的正常運行。同一可用區內實例之間的網絡延時更小,其用戶訪問速度更快。您可以綜合考慮以下因素來進行地域和可用區規劃。
考慮因素 | 選擇說明 |
業務場景對時延的要求 | 業務最終服務的用戶和資源部署地域的距離越近,網絡時延越低,訪問速度越快。 |
服務支持的地域和可用區 | 不同的阿里云云服務在每個地域/可用區服務支持的情況不同,庫存售賣存在差異,建議您在選擇地域/可用區時,確保云服務可用。 |
成本 | 不同地域的云服務價格可能會有所不同,建議您根據預算選擇合適的地域。 |
高可用容災 | 如果您的應用需要較高的容災能力,您可選擇在同一地域的不同可用區內進行部署以實現同城容災。您也可選擇在多地域部署以實現跨城容災,滿足更高的容災能力需求。 |
合規性 | 您需要根據所在國家或地區的數據本地化要求與經營性備案政策選擇符合合規要求的地域。 |
VPC是地域級別的資源,不支持跨地域部署。當您有多地域部署需求時,必須使用多個VPC。您可以使用VPC對等連接、云企業網等產品實現跨地域VPC間互通。VPC中的交換機是可用區級別的資源,有以下事項您需要注意:
當您因為云服務庫存因素選擇多個可用區時,您需要提前預留足夠的地址段,并考慮到可用區繞行可能造成延時增加;
部分地域僅提供1個可用區,例如華東5(南京-本地地域),若您有同城容災需求,建議您謹慎考慮選擇該地域。
賬號和VPC規劃
完成地域與可用區規劃后,您可以著手創建VPC資源。這一過程需要您充分考量業務規模與安全隔離需求進行賬號規劃、VPC與交換機數量規劃,從而最大限度地優化資源利用效率與成本控制。
賬號規劃
如果您的業務規模較小,通過單賬號或主子賬號即可實現資源統一管理,您可以選擇跳過本部分內容。當您的業務規模擴大,需要分配用戶權限、業務環境強安全隔離,您需要綜合考慮以下因素進行統一賬號架構設計。
考慮因素 | 選擇說明 |
業務權限隔離 | 建議您為不同的業務部門創建獨立的賬號,以實現對資源、成本和權限的隔離,便于管理。若您的業務場景中存在具有特定資源和權限需求的大型項目或應用程序,建議您為其創建獨立賬號。 |
業務系統隔離 | 當業務系統存在強安全隔離需求時,例如生產環境和測試環境,建議您創建獨立賬號進行隔離,降低其相互影響的風險。 |
安全合規性 | 為滿足特定的安全合規要求,建議您將敏感數據或工作負載隔離在獨立賬號中。 |
成本管理 | 通過多賬號劃分進行資源隔離,可以降低成本跟蹤和計費管理復雜度。 |
日志管理與運維 | 您可以選擇創建獨立賬號集中存儲和分析所有賬號的日志信息,便于進行安全審計。 |
當您根據業務需求進行多賬號劃分后,VPC數量將隨賬號數量上升從而導致網絡復雜度的上升。您可以結合共享VPC這一功能,實現安全隔離、穩定性與網絡運維復雜度之間的平衡。
VPC數量規劃
VPC為您提供安全靈活的網絡環境,不同VPC之間完全隔離,同一VPC內私網互通。您可以按需規劃您的VPC數量。
適合場景 | |
規劃一個VPC |
 |
規劃多個VPC |
在如下使用場景中,建議您規劃多個VPC:
|
交換機數量規劃
交換機是可用區級別的資源,VPC中的所有云服務都部署在交換機中。交換機劃分有助您合理規劃IP地址資源,同一VPC內的交換機默認私網互通。
考慮因素 | 選擇說明 |
基于業務場景對時延的要求 | 同一地域不同可用區之間的網絡通信延遲很小,但系統調用復雜、跨可用區調用等原因可能會增加系統的網絡延遲。 |
高可用和容災 | 使用一個VPC時,建議您盡量使用至少兩個交換機,并且將兩個交換機部署在不同可用區以實現跨可用區容災。使用多個可用區部署不同業務,統一配置并管理安全管控規則,能夠顯著提升系統的高可用性和容災能力。 |
業務規模與業務劃分 | 通常情況下,您可以根據業務模塊進行交換機規劃,將不同業務模塊部署在不同交換機。例如,您可創建多個交換機將Web層、邏輯層和數據層服務部署在不同交換機以實現標準Web應用架構的托管。 |
您可以根據以下原則規劃交換機:
使用一個VPC時,也請盡量使用至少兩個交換機,并且將兩個交換機分布在不同可用區,這樣當其中一個可用區的交換機發生故障時,可以切換到另一個可用區的交換機,從而實現跨可用區容災。
同一地域內不同可用區之間的網絡通信延遲很小,但也需要經過業務系統的適配和驗證。由于系統調用復雜、跨可用區調用等原因可能會增加系統的網絡延遲。建議您對系統進行優化及適配,以滿足您對高可用和低延遲的實際需求。
具體使用多少個交換機還和系統規模、系統規劃有關。通常情況下,您可以根據業務屬性在VPC內進行交換機規劃。例如,對于直接訪問公網的業務部署在一個公有交換機中,其他業務可以根據業務類型進行劃分。使用多個可用區部署不同業務有利于安全管控規則的配置與統一管理。
網段規劃
創建VPC和交換機時,您需要指定VPC和交換機的網段。網段的大小決定了可部署云資源的多少,合理的網段規劃需要避免網絡沖突并保障網絡的可擴展性,規劃不當將會導致極高的重建成本。
交換機網段創建后不支持修改。
若規劃不合理導致地址空間不足,您可以使用附加網段進行擴容,但附加網段不支持修改。
關于VPC和交換機的網段規劃,有如下建議:
推薦在VPC中使用RFC 1918定義的私有IPv4地址空間,VPC的IPv4地址空間推薦使用/16掩碼,若VPC網段需要擴展,您可以使用VPC附加網段進行擴充。
如果您使用單VPC部署業務,考慮到未來擴展,建議您選擇較大的網絡掩碼,以便為未來新增的交換機、實例或新服務預留足夠的地址空間。
當您根據業務規劃和網絡互聯等訴求,規劃多個VPC時,建議您在規劃VPC網段時,避免VPC間的CIDR地址出現重疊。
當您根據安全容災等訴求,規劃多個可用區時,建議您在規劃交換機網段時,避免地址重疊。
隨著組網規模不斷提升,網段規劃的復雜度較高且難度較大。您可以使用阿里云的IPAM地址管理與規劃功能,自動分配或跟蹤IP地址并檢測可能的IP地址沖突,提升網段規劃效率。更多資料,請參閱IP地址管理(IPAM)。
關于IPAM地址管理與規劃,有如下建議:
根據業務形態合理分配和劃分IPAM地址池,例如根據不同環境(如開發、生產)、地域或部門設計不同的地址池。
使用IPAM地址池分配VPC私網網段,確保不同VPC使用獨立且不重疊的IP地址范圍,避免IP地址沖突。
在IPAM中查看VPC網段信息及地址利用率等信息。
VPC網段規劃
您可以使用10.0.0.0/8、172.16.0.0/12或192.168.0.0/16三個RFC標準私網網段及其子網作為VPC的私網地址范圍,也可以使用自定義地址段作為VPC的私網地址范圍。
VPC網段 | IP地址范圍 | 掩碼范圍 | VPC網段示例 |
|
| 8~24 |
|
|
| 12~24 |
|
|
| 16~24 |
|
在規劃VPC網段時,請注意:
如果云上只有一個VPC并且不需要和本地數據中心互通時,可以選擇上述私網網段中的任何一個網段或其子網。
如果有多個VPC,或者有VPC和本地數據中心構建混合云的需求,建議使用上面三個標準網段的子網作為VPC的網段,掩碼建議不超過16位,且多個VPC間、VPC和本地數據中心的網段不能沖突。
自定義地址段不支持使用
100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子網作為VPC的網段。VPC網段的選擇還需要考慮是否使用了經典網絡。如果您使用了經典網絡,并且計劃將經典網絡的ECS實例和VPC網絡連通,那么建議您不要選擇
10.0.0.0/8作為VPC的網段,因為經典網絡的網段也是10.0.0.0/8。您可以使用IPAM規劃地址池,使用地址池指定掩碼默認分配。使用IPAM您還可以查看當前VPC的地址利用率等信息。
交換機網段規劃
交換機的網段必須是其所屬VPC網段的子集。例如,VPC的網段設置為192.168.0.0/24時,該VPC下的交換機掩碼可在25~29的范圍內進行選擇。
規劃交換機網段時,請注意:
交換機IPv4網段的大小需在16位到29位網絡掩碼之間,可提供8~65536個地址。
請避免交換機網段與VPC網段一致。
交換機網段規劃需要考慮該交換機下容納ECS實例和其他云產品資源的數量,建議您選擇一個足夠大的CIDR塊,以確保可用IP地址數量滿足當前業務需求和未來擴展需求。但網段分配不可過大,避免后續無法進行擴展。如果您創建CIDR塊為
10.0.0.0/16的 VPC,則它支持65536個IP地址。考慮到交換機內需要部署ECS、RDS等云服務資源,您可以規劃交換機的掩碼為/24,每個交換機支持256個IP地址。CIDR塊為10.0.0.0/16的 VPC最多可以被劃分為256個掩碼為/24的交換機。您可以根據實際業務需求,結合以上建議進行適當調整。每個交換機的第1個和最后3個IPv4地址為系統保留地址,第1個和最后9個IPv6地址為系統保留地址。以下表為例:
交換機網段
系統保留地址
IPv4網段
192.168.1.0/24192.168.1.0192.168.1.253192.168.1.254192.168.1.255IPv6網段
2001:XXXX:XXXX:1a00/642001:XXXX:XXXX:1a00::2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff72001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff82001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff92001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffa2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffb2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffc2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffd2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffe2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff規劃多個VPC的場景下,如果交換機所屬私有子網與其他私有子網或本地IDC有網絡互通需求,請避免交換機網段與對端網段重疊,否則無法實現網絡互通。
ClassicLink功能允許經典網絡的ECS和
10.0.0.0/8、172.16.0.0/12或192.168.0.0/16三個VPC網段的ECS通信。如果要和經典網絡通信的VPC網段是10.0.0.0/8,則該VPC下的交換機網段必須是10.111.0.0/16。更多信息,請參見ClassicLink概述。
路由表數量規劃
路由表中的每一項是一條路由條目,由目標網段、下一跳類型、下一跳三部分組成,將指定目標網段的流量路由至指定的目的地。每個VPC最多可以擁有包括系統路由表在內的10張路由表,您可以參考以下建議規劃路由表數量。
規劃一個路由表
當VPC內不同交換機的流量路由沒有明顯差異,您可選擇規劃一個路由表即可滿足需求。創建VPC后,系統會自動為您創建一張系統路由表并為其添加系統路由來管理VPC的流量。系統路由表不能創建和刪除,但您可以在系統路由表中創建自定義路由條目,將指定目標網段的流量路由至指定的目的地。
規劃多個路由表
當VPC內不同交換機的流量路由存在明顯差異,例如需要約束某些云服務訪問公網的行為時,系統路由表無法滿足業務需求。您可根據業務類型劃分公有交換機與私有交換機,根據云服務是否需要直接訪問公網將其部署到不同交換機中,私有交換機部署的資源可以通過公網NAT網關訪問公網,實現公網訪問的集中控制,滿足安全隔離需求。
網絡連接規劃
阿里云為您提供安全隔離、彈性擴展的云上網絡環境,以及高速穩定、安全可靠的云上云下連接服務,能夠滿足VPC內實例訪問公網、跨VPC互聯、云上VPC連接云下數據中心的需求。您可根據業務場景靈活搭配VPC和對應的產品服務進行網絡連接。
公網訪問
從互聯網訪問云上部署的應用或者應用主動訪問公網時,有如下建議:
從互聯網訪問云上部署的應用,或者應用主動訪問公網時,需要為應用服務器配置公網IP地址。公網IP地址類型分為固定公網IP與彈性公網IP。推薦您使用彈性公網IP為應用服務器配置公網IP地址。
單臺后端服務器直接使用公網IP對外提供服務時,如果服務器出現問題容易導致業務單點故障,影響系統可用性。實際業務場景中,推薦您使用負載均衡統一公網流量入口,并在多可用區掛載多臺后端服務器,消除系統中的單點故障,提升應用系統的可用性。
當您需要主動訪問公網的服務器較多時,需要占用較多的公網IP資源,此時您可以通過公網NAT網關的SNAT功能,實現VPC內的多個ECS實例共享EIP上網,節省公網IP資源。
當部署在云上的業務對互聯網提供服務時,進行合適的訪問控制,能夠幫助阻止不必要或潛在的危險訪問。您可以使用IPv4網關、IPv6網關實現對VPC內實例訪問公網的集中控制,增強VPC內的安全防護,嚴格管控公網訪問。
跨VPC互聯
您可以選擇以下產品服務實現不同VPC之間的網絡連通:
混合云部署
您可以選擇以下產品服務將本地數據中心等網絡連接至云上VPC,快速構建混合云。
跨VPC互聯和混合云部署場景下有什么要求?
當您有VPC與VPC互通或VPC與本地數據中心互通的需求時,請確保VPC的網段與需要互通網絡的網段沒有沖突。建議遵循以下網段規劃原則:
VPC可以使用標準網段的子網來增加VPC可用的網段數,建議不同VPC的網段保持獨立不沖突。
如果不能做到不同VPC的網段不同,建議不同VPC的交換機網段保持獨立不沖突。
如果不能做到不同VPC的交換機網段不同,建議需要通信的交換機網段保持獨立不沖突。
如下圖所示,您在華東1(杭州)、華北2(北京)和華南1(深圳)地域分別有VPC1、VPC2和VPC3。VPC1與VPC2通過VPC對等連接實現互通,VPC3目前沒有與其他VPC通信的需求,而將來可能需要和VPC2通信。此外,您在華東1(杭州)還有一個自建數據中心,需要通過高速通道(物理專線)和同地域的VPC1互通。此例中,雖然VPC3暫時沒有與其他VPC互通的需求,但考慮后續業務擴展需求,建議不同VPC的網段保持獨立不沖突。
您可以在IPAM地址池中創建3個地域地址池,確保每個地域有適當的IP地址分配;并創建自定義分配CIDR,明確標識10.0.2.0/24的CIDR為本地數據中心專用,并在IPAM地址池中標記,確保這些IP地址不會被VPC中的資源誤用,從而避免IP地址重疊和沖突。
安全能力規劃
安全隔離可分為業務隔離、資源隔離、網絡隔離多層概念。在地域和可用區規劃、賬號規劃、網段規劃中均需考慮安全隔離需求,賬號拆分可實現資源隔離,通過劃分VPC可實現網絡隔離,而資源隔離和網絡隔離均為實現業務隔離的具體方式。您可以結合網絡連接場景與安全分層進行安全能力規劃。
安全分層 | 規劃建議 |
VPC內 | |
VPC邊界 |
|
同時,VPC具備可觀測能力。您可以結合流日志和流量鏡像進行流量觀測和問題排查,應用其豐富的安全防護特性,幫助您實時地監控網絡流量,提前采取措施避免故障發生,或在發生安全風險后快速排查網絡故障,提高系統的穩定性和可靠性。
可觀測能力 | 使用說明 |
流日志 | 流日志將收集和存儲流量日志數據,您可以通過分段查看并分析流量日志,全面了解網絡流量行為,便于優化網絡帶寬分配,改善網絡瓶頸。 |
流量鏡像 | VPC流量鏡像功能可以鏡像經過彈性網卡ENI且符合篩選條件的報文,用于內容檢查、威脅監控和問題排查等場景。 |
容災能力規劃
您需要根據業務架構進行容災能力規劃,以保障數據的安全性和業務的持續性。
如果您的業務具有較高的容災能力需求,您可以在不同地域部署VPC,并規劃不同可用區的交換機,從而實現跨地域和跨可用區的備份和容災。
如果您的業務環境需要快速響應、高并發訪問和數據安全性保障,您可以使用負載均衡進行多層次容災架構設計,通過集群容災、會話保持、可用區多活等機制保障實例的可用性。
如果您需要在不同地理位置的數據中心與云上VPC之間建立高速、穩定的網絡連接,以實現數據同步、災備切換等功能,您可以創建高可靠模式物理專線,以保障您多線接入阿里云后業務的穩定性,滿足多線路容災需求,避免因為單線而導致的業務受損。
如果您的業務對于服務可用性有較高要求,您可以借助VPC提供的高可用虛擬IP HaVip功能,通過Keepalived或Heartbeat軟件來搭建服務高可用架構,以確保主備切換過程中服務IP不變,提高業務可用性。
您可關注云服務本身具備的容災能力。例如,RDS高可用系列采用一主一備的經典高可用架構,主備節點可以部署在同一地域的相同或不同可用區,部署在不同可用區可以實現實例的跨可用區容災,提升實例的可用性。
以云上搭建Web服務為例,您可以按照下圖將單可用區部署升級到同城雙中心的高可用容災架構,提升服務的安全性與可靠性。
當您綜合考慮當前業務規模與未來擴展需求,充分權衡安全隔離、高可用容災、成本等多方面因素,確定好您所需的專有網絡和交換機數量、分配給專有網絡和交換機的網段后,即可創建您的VPC。具體操作,請參閱創建和管理專有網絡。