VPC
专有网络VPC (Virtual Private Cloud,以下简称VPC),是基于VPC路由器和VPC网络共同组成的自定义私有云网络环境,帮助企业用户构建一个逻辑隔离的私有云。
VPC路由器和VPC网络
VPC由VPC路由器和VPC网络组成。
- VPC路由器:基于路由器规格直接创建的虚拟路由器,拥有公有网络和管理网络。
- VPC网络:作为VPC的私有网络,可挂载至VPC路由器。
VPC网络拓扑如Figure 1所示:Figure 1. VPC网络拓扑示意图
VPC网络服务
VPC网络作为VPC的私有网络,使用VPC路由器提供各种网络服务。
- DHCP:默认采用扁平网络服务模块提供分布式DHCP服务。
- DNS:VPC路由器作为DNS服务器提供DNS服务。在云主机中看到的DNS地址默认为VPC路由器的IP地址,用户设置的DNS地址由VPC路由器负责转发配置。
- SNAT:VPC路由器向云主机提供原网络地址转换,云主机使用SNAT可直接访问外部互联网。
- 路由表:通过路由表,用户可管理自定义路由。
- 安全组:由安全组网络服务模块提供安全组服务,使用iptables进行云主机防火墙的安全控制。
- 弹性IP:可绑定弹性IP到VPC网络,实现公有网络到云主机私有网络的互联互通。
- 端口转发:提供公网IP到云主机私有网络IP的端口到端口的相关网络协议的互通。
- 负载均衡:将公网地址的访问流量分发到一组后端的云主机上,自动检测并隔离不可用的云主机。
- IPsec隧道:使用IPsec隧道协议实现虚拟私有网络(VPN)的互联互通。
- 动态路由:VPC路由器支持OSPF动态路由协议,用于单一自治系统内决策路由。
- 组播路由:VPC路由器将组播源发送的组播消息转发给云主机,在发送端和接收端实现点对多点连接。
- VPC防火墙:通过对VPC路由器接口处南北向流量进行过滤,有效保护整个VPC通信安全及VPC路由器安全。
- Netflow:通过Netflow对VPC路由器网卡的进出流量进行分析监控,支持Netflow V5、V9两种数据流输出格式。
VPC特点
VPC具有以下特点:
- 灵活的网络配置,不同的VPC网络可灵活挂载到VPC路由器,每个VPC网络可自定义独立的网络段和独立的网关,VPC路由器支持加载/卸载网卡,并支持动态配置路由表和路由条目。
- 安全可靠的隔离,不同VPC下的VPC网络互相逻辑隔离,支持VLAN和VXLAN进行二层逻辑隔离,不同账户的VPC互不影响。
- 多子网互通:同一VPC下的多个VPC网络互联互通。
- 网络流量优化:支持分布式路由功能,优化东西向网络流量,并有效降低网络延迟。
- VPC路由器高可用:可在一个VPC路由器高可用组内部署一对互为主备的VPC路由器,当主VPC路由器状态异常,会秒级触发高可用切换,自动切换至备VPC路由器工作,从而保障业务持续稳定运行。
路由协议资源
相对于静态路由,动态路由支持自动拓扑变化,重新计算路由,无需人工干预,适用于大规模网络环境。VPC路由器支持OSPF动态路由协议。
OSPF协议:基于链路状态的内部网关协议,在数据中心网络、园区网络中有广泛应用。