云主机

  • 云主机 > 使用指南 > 网络 >专有网络 > 最佳实践

    最佳实践

    最近更新时间: 2018-08-29 16:57:05

    在创建VPC和交换机前,您需要结合具体的业务规划VPC和交换机的数量及网段等。


    专有网络VPC(Virtual Private Cloud)


    是实现了网络之间逻辑上彻底隔离网络结构。

    VPC主要好处包括:

    • 隔离的网络环境
      VPC基于隧道技术,实现数据链路层的隔离,为每个租户提供一张独立、隔离的安全网络。不同专有网络之间内部网络完全隔离,只能通过对外映射的IP(弹性公网IP和NAT IP)互连。

    • 可控的网络配置
      您可以完全掌控自己的虚拟网络,例如选择自己的IP地址范围、配置路由表和网关等,从而实现安全而轻松地资源访问和应用程序访问。此外,您也可以通过专线或VPN等连接方式将您的专有网络与传统数据中心相连,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。

    访问专有网络VPC获取更多信息。

    在考虑使用VPC的时候,首先遇到的一个问题就是如何进行VPC网络规划。您可以从以下几个问题入手规划和设计您的专有网络架构。

    • 问题一 应该使用几个VPC?

    • 问题二 应该使用几个交换机?

    • 问题三 应该选择什么网段?

    • 问题四 VPC与VPC互通或者与本地数据中心互通


    问题一 应该使用几个VPC?


    • 一个VPC
      如果您没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离,那么推荐使用一个VPC。目前,单个VPC内运行的云产品实例可达15000个,这样的容量基本上可以满足您的需求。


    • 多个VPC
      如果您有如下任何一个需求,推荐您使用多个VPC。
      多地域部署系统
      VPC是地域级别的资源,是不能跨地域部署的。当您有多地域部署系统的需求时,就必然需要使用多个VPC。您可以通过使用高速通道、VPN网关、云企业网等产品实现VPC互通。


    • 多业务系统隔离
      如果在一个地域的多个业务系统需要通过VPC进行严格隔离,比如生产环境和测试环境,那么也需要使用多个VPC,如下图所示。



    问题二 应该使用几个交换机?


    首先,即使只使用一个VPC,也尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾。

    同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂加上系统处理时间、跨可用区调用等原因可能产生期望之外的网络延迟。建议您进行系统优化和适配,在高可用和低延迟之间找到平衡。

    其次,使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求,考虑到容灾可以将不同的前端系统部署在不同的交换机下,将后端系统部署在另外的交换机下。


    问题三 应该选择什么网段?


    在创建VPC和交换机时,您必须以无类域间路由块 (CIDR block) 的形式为您的专有网络划分私网网段。

    • 规划VPC网段
      您可以使用192.168.0.0/16、172.16.0.0/12、10.0.0.0/8这三个私网网段及其子网作为VPC的私网地址范围。在规划VPC网段时,请注意:

      • 如果云上只有一个VPC并且不需要和本地IDC互通时,可以选择上述私网网段中的任何一个网段或其子网。
      • 如果有多个VPC,或者有VPC和线下IDC构建混合云的需求,建议使用上面这些标准网段的子网作为VPC的网段,掩码建议不超过16位。
    • 规划交换机网段
      交换机的网段可以和其所属的VPC网段相同,或者是其VPC网段的子网。比如VPC的网段是192.168.0.0/16,那么该VPC下的虚拟交换机的网段可以是192.168.0.0/16,也可以是192.168.0.0/17一直到192.168.0.0/29。
      规划交换机网段时,请注意:

      • 交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8-65536个地址。16位掩码能支持65532个云主机实例,而小于29位掩码又太小,没有意义。
      • 每个交换机的第一个和最后三个IP地址为系统保留地址。以192.168.1.0/24为例,192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。
      • 交换机网段的确定还需要考虑该交换机下容纳云主机的数量。


    问题四 VPC与VPC互通或者与本地数据中心互通


    当您有VPC互通或和本地IDC互通的需求时,确保VPC的网段和要互通的网络的网段都不冲突。

    如下图所示,比如您在华东1、华北2、华南1三个地域分别有VPC1、VPC2和VPC3三个VPC。VPC1和VPC2通过高速通道内网互通,VPC3目前没有和其他VPC通信的需求,将来可能需要和VPC2通信。
    另外,您在上海还有一个自建IDC,需要通过高速通道(专线功能)和华东1的VPC1私网互通。





    此例中VPC1和VPC2使用了不同的网段,而VPC3暂时没有和其他VPC互通的需求,所以VPC3的网段和VPC2的网段相同。但考虑到将来VPC2和VPC3之间有私网互通的需求,所以两个VPC中的交换机的网段都不相同。VPC互通要求互通的交换机的网段不能一样,但VPC的网段可以一样。

    在多VPC的情况下,建议遵循如下网段规划原则:

    • 尽可能做到不同VPC的网段不同,不同VPC可以使用标准网段的子网来增加VPC可用的网段数。
    • 如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同。
    • 如果也不能做到交换机网段不同,则保证要通信的交换机网段不同。
    以上内容是否对您有帮助?
  • Qvm free helper
    Close