因为本人接触以阿里云居多,本篇描述均以阿里云为例,本人能力尚欠若有描述不周还望指正,感谢!
什么是VPC
VPC(Virtual Private Cloud)虚拟私有云,也叫专有网络。VPC是基于目前主流的隧道技术,隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应一个虚拟化网络。我的理解VPC就等价于局域网。
基本概念
-
VPC与VPC非物理隔离是逻辑隔离,正常情况下VPC1和VPC2不可以相关访问,云上基本大部分资源都是基于VPC去规划的,可以这么理解只要具有私网IP(这个私网IP 来源于对应的交换机网段)的云产品,一定是在具体的某个VPC下的;
-
交换机(vSwitch)交换机是组成专有网络的基础网络设备。交换机可以连接不同的云资源。凡是在VPC下的云资源都对应一个交换机,一个VPC下可以规划多个交换机。
-
路由器(vRouter)路由器是专有网络的枢纽。路由器可以连接专有网络的各个交换机,同时也是连接专有网络与其它网络的网关设备。路由器根据路由条目来转发网络流量。
-
路由表(Route Table)路由表是指路由器上管理路由条目的列表。
-
路由条目(Route Entry)路由表中的每一项是一条路由条目。路由条目定义了通向指定目标网段的网络流量的下一跳地址。路由条目包括系统路由和自定义路由两种类型。
-
VPC是地域级别的资源,不支持跨地域部署。
VPC网段规划
因为VPC是逻辑隔离,如果没有VPC之间互相访问的需求那么网段可以规划相同也没关系;
一般来讲VPC规划跟环境匹配,比如一个项目系统有DEV、SIT、UAT、PROD这4套环境,期间可能考虑资源的复用节省成本,考虑DEV环境和SIT环境部分资源需要混用那么一般建议4套VPC的网段最好规划不同的,防止后续网络访问异常。
VPC网段可以使用10.0.0.0/8、172.16.0.0/12或192.168.0.0/16作为自定义网段,以下内容需要在规划的时候注意:
- 如果云上只有一个VPC并且不需要和本地数据中心互通时,可以选择上述私网网段中的任何一个网段或其子网。
- 如果有多个VPC,或者有VPC和本地数据中心构建混合云的需求,建议使用上面三个标准网段的子网作为VPC的网段,掩码建议不超过16位,且多个VPC间、VPC和本地数据中心的网段不能冲突。
- 自定义地址段不支持使用100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子网作为VPC的网段。
- VPC网段的选择还需要考虑是否使用了经典网络。如果您使用了经典网络,并且计划将经典网络的ECS实例和VPC网络连通,那么建议您不要选择10.0.0.0/8作为VPC的网段,因为经典网络的网段也是10.0.0.0/8。
上述内容讲了N多注意的事项、规则等概括下就是VPC网段在限定的3个自定义网段内,选择合适的网段进行规划即可;所谓的合适网段要保证如果跟其他的VPC或者私网交互的时候VPC网段尽量不重叠,如果VPC网段重叠了,交互的资源所在的交换机网段一定不能够相同;
VPC网段规划参考
在购买云资源的时候,大部分云资源都需要选择VPC和交换机,这就意味着要预先规划好对应的VPC和交换机才可以;如果网段规划存在问题,会导致后期部分资源需要释放后重新再购买,会带来不必要的费用损失;
上图按照4个环境划分了4个VPC,默认这4个VPC网络是隔离的。每个VPC下规划了3个交换机网段,每个交换机网段可以使用254个IP,这些交换机处于不同的可用区,对应的资源购买的时候,其资源的可用区是跟交换机是一致的;
当然根据实际使用情况规划,VPC网段也许不需要规划这么大,IP段使用范围可以参考在线小工具IP地址在线计算器去规划网段大小;
资源命名也很重要,起码见名知意,图中规划的命名可以做个简单的介绍
- XX 表示项目应用的缩写或者公司缩写,比如 BD-百度、ALI-阿里;
- SH 表示云资源的地域 SH 表示上海,其他地域比如BJ-北京、HZ-杭州等等;
- DEV/SIT/UAT/PROD 这个就是指具体的环境了DEV-开发、SIT-测试、UAT-预发或者仿真、PROD-生产
- E/B/G 表示该资源所在的可用区,E-可用区E、B-可用区B、G-可用区G;
- DataZone 表示该资源的用途 DMZ-隔离区 ECSForK8s-用于K8S节点的ECS;
- 01/02/03 表示相同的资源对应的个数序号,以此类推;
命名规范基本原则就是看到后知道他是啥、他是干啥的、他在哪里。命名通俗易懂即可,起码公司内部的同事一看要明白他是什么含义;
