首页 > 其他分享 >专有网络VPC实践之【网络规划】

专有网络VPC实践之【网络规划】

时间:2024-10-26 14:48:04浏览次数:9  
标签:网段 可用 ffff 网络 专有 交换机 VPC 规划

当您需要使用专有网络VPC来部署您的业务,您可以结合现有业务的规模和未来的扩展预期来对VPC进行网络规划,满足当前业务需求并保障业务持续稳定的同时能够平稳高效地实现业务拓展诉求。

合理的网络规划需要考虑安全隔离、高可用容灾、运营成本等多方面因素,保障业务稳定性与网络的可扩展性。缺乏前瞻性视角的网络设计可能为未来业务拓展埋下隐患,引入难以预见的风险。当现有的网络架构无法满足业务增长与扩展需求时,进行网络重构不仅将面临高昂的成本,更可能导致业务流程受到严重影响。因此,从多层次和多维度制定合理的网络规划至关重要。为了保障网络的稳定性和可扩展性,您可以参照以下步骤规划您的VPC。

 

地域和可用区规划

在同一地域内,各可用区之间内网互通。各可用区之间可以实现故障隔离,即一个可用区出现故障时,不会影响其他可用区的正常运行。同一可用区内实例之间的网络延时更小,其用户访问速度更快。您可以综合考虑以下因素来进行地域和可用区规划。

考虑因素

选择说明

业务场景对时延的要求

业务最终服务的用户和资源部署地域的距离越近,网络时延越低,访问速度越快。

服务支持的地域和可用区

不同的阿里云云服务在每个地域/可用区服务支持的情况不同,库存售卖存在差异,建议您在选择地域/可用区时,确保云服务可用。

成本

不同地域的云服务价格可能会有所不同,建议您根据预算选择合适的地域。

高可用容灾

如果您的应用需要较高的容灾能力,您可选择在同一地域的不同可用区内进行部署以实现同城容灾。您也可选择在多地域部署以实现跨城容灾,满足更高的容灾能力需求。

合规性

您需要根据所在国家或地区的数据本地化要求与经营性备案政策选择符合合规要求的地域。

VPC是地域级别的资源,不支持跨地域部署。当您有多地域部署需求时,必须使用多个VPC。您可以使用VPC对等连接、云企业网等产品实现跨地域VPC间互通。VPC中的交换机是可用区级别的资源,有以下事项您需要注意:

  • 当您因为云服务库存因素选择多个可用区时,您需要提前预留足够的地址段,并考虑到可用区绕行可能造成延时增加;

  • 部分地域仅提供1个可用区,例如华东5(南京-本地地域),若您有同城容灾需求,建议您谨慎考虑选择该地域。

账号和VPC规划

完成地域与可用区规划后,您可以着手创建VPC资源。这一过程需要您充分考量业务规模与安全隔离需求进行账号规划、VPC与交换机数量规划,从而最大限度地优化资源利用效率与成本控制。

账号规划

如果您的业务规模较小,通过单账号或主子账号即可实现资源统一管理,您可以选择跳过本部分内容。当您的业务规模扩大,需要分配用户权限、业务环境强安全隔离,您需要综合考虑以下因素进行统一账号架构设计。

考虑因素

选择说明

业务权限隔离

建议您为不同的业务部门创建独立的账号,以实现对资源、成本和权限的隔离,便于管理。若您的业务场景中存在具有特定资源和权限需求的大型项目或应用程序,建议您为其创建独立账号。

业务系统隔离

当业务系统存在强安全隔离需求时,例如生产环境和测试环境,建议您创建独立账号进行隔离,降低其相互影响的风险。

安全合规性

为满足特定的安全合规要求,建议您将敏感数据或工作负载隔离在独立账号中。

成本管理

通过多账号划分进行资源隔离,可以降低成本跟踪和计费管理复杂度。

日志管理与运维

您可以选择创建独立账号集中存储和分析所有账号的日志信息,便于进行安全审计。

当您根据业务需求进行多账号划分后,VPC数量将随账号数量上升从而导致网络复杂度的上升。您可以结合共享VPC这一功能,实现安全隔离、稳定性与网络运维复杂度之间的平衡。

VPC数量规划

VPC为您提供安全灵活的网络环境,不同VPC之间完全隔离,同一VPC内私网互通。您可以按需规划您的VPC数量。

适合场景

规划一个VPC

  • 业务规模较小,仅部署在一个地域且不同业务之间没有网络隔离需求;

  • 初次使用VPC,推荐使用单个VPC用于快速上手以了解产品功能;

  • 关注成本,不希望管理跨VPC通信的复杂配置与潜在费用。

规划多个VPC

  • 业务规模较大,需要部署在不同地域;

  • 单地域的多个业务系统存在网络隔离需求;

  • 业务架构复杂,涉及的众多服务与团队需要独立VPC管理各自资源。

规划多个VPC的适用场景

 

说明

每个用户在单个地域内可创建的VPC数量默认为10个。您可以前往配额管理页面配额中心提升配额。

交换机数量规划

交换机是可用区级别的资源,VPC中的所有云服务都部署在交换机中。交换机划分有助您合理规划IP地址资源,同一VPC内的交换机默认私网互通。

考虑因素

选择说明

基于业务场景对时延的要求

同一地域不同可用区之间的网络通信延迟很小,但系统调用复杂、跨可用区调用等原因可能会增加系统的网络延迟。

高可用和容灾

使用一个VPC时,建议您尽量使用至少两个交换机,并且将两个交换机部署在不同可用区以实现跨可用区容灾。使用多个可用区部署不同业务,统一配置并管理安全管控规则,能够显著提升系统的高可用性和容灾能力。

业务规模与业务划分

通常情况下,您可以根据业务模块进行交换机规划,将不同业务模块部署在不同交换机。例如,您可创建多个交换机将Web层、逻辑层和数据层服务部署在不同交换机以实现标准Web应用架构的托管。

您可以根据以下原则规划交换机:

  • 使用一个VPC时,也请尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样当其中一个可用区的交换机发生故障时,可以切换到另一个可用区的交换机,从而实现跨可用区容灾。

    同一地域内不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂、跨可用区调用等原因可能会增加系统的网络延迟。建议您对系统进行优化及适配,以满足您对高可用和低延迟的实际需求。

  • 具体使用多少个交换机还和系统规模、系统规划有关。通常情况下,您可以根据业务属性在VPC内进行交换机规划。例如,对于直接访问公网的业务部署在一个公有交换机中,其他业务可以根据业务类型进行划分。使用多个可用区部署不同业务有利于安全管控规则的配置与统一管理。

 

说明

单个VPC支持创建的交换机的数量默认为150个,您可以前往配额管理页面配额中心提升配额。

网段规划

创建VPC和交换机时,您需要指定VPC和交换机的网段。网段的大小决定了可部署云资源的多少,合理的网段规划需要避免网络冲突并保障网络的可扩展性,规划不当将会导致极高的重建成本。

说明

  • 交换机网段创建后不支持修改。

  • 若规划不合理导致地址空间不足,您可以使用附加网段进行扩容,但附加网段不支持修改。

关于VPC和交换机的网段规划,有如下建议:

  • 推荐在VPC中使用RFC 1918定义的私有IPv4地址空间,VPC的IPv4地址空间推荐使用/16掩码,若VPC网段需要扩展,您可以使用VPC附加网段进行扩充。

  • 如果您使用单VPC部署业务,考虑到未来扩展,建议您选择较大的网络掩码,以便为未来新增的交换机、实例或新服务预留足够的地址空间。

  • 当您根据业务规划和网络互联等诉求,规划多个VPC时,建议您在规划VPC网段时,避免VPC间的CIDR地址出现重叠。

  • 当您根据安全容灾等诉求,规划多个可用区时,建议您在规划交换机网段时,避免地址重叠。

随着组网规模不断提升,网段规划的复杂度较高且难度较大。您可以使用阿里云的IPAM地址管理与规划功能,自动分配或跟踪IP地址并检测可能的IP地址冲突,提升网段规划效率。更多资料,请参阅IP地址管理(IPAM)

关于IPAM地址管理与规划,有如下建议:

  • 根据业务形态合理分配和划分IPAM地址池,例如根据不同环境(如开发、生产)、地域或部门设计不同的地址池。

  • 使用IPAM地址池分配VPC私网网段,确保不同VPC使用独立且不重叠的IP地址范围,避免IP地址冲突。

  • 在IPAM中查看VPC网段信息及地址利用率等信息。

VPC网段规划

您可以使用10.0.0.0/8172.16.0.0/12192.168.0.0/16三个RFC标准私网网段及其子网作为VPC的私网地址范围,也可以使用自定义地址段作为VPC的私网地址范围。

VPC网段

IP地址范围

掩码范围

VPC网段示例

10.0.0.0/8-24

10.0.0.0~10.255.255.255

8~24

10.0.0.0/16

172.16.0.0/12-24

172.16.0.0~172.31.255.255

12~24

172.30.0.0/16

192.168.0.0/16-24

192.168.0.0~192.168.255.255

16~24

192.168.0.0/24

在规划VPC网段时,请注意:

  • 如果云上只有一个VPC并且不需要和本地数据中心互通时,可以选择上述私网网段中的任何一个网段或其子网。

  • 如果有多个VPC,或者有VPC和本地数据中心构建混合云的需求,建议使用上面三个标准网段的子网作为VPC的网段,掩码建议不超过16位,且多个VPC间、VPC和本地数据中心的网段不能冲突。

  • 自定义地址段不支持使用100.64.0.0/10224.0.0.0/4127.0.0.0/8169.254.0.0/16及其子网作为VPC的网段。

  • VPC网段的选择还需要考虑是否使用了经典网络。如果您使用了经典网络,并且计划将经典网络的ECS实例和VPC网络连通,那么建议您不要选择10.0.0.0/8作为VPC的网段,因为经典网络的网段也是10.0.0.0/8

  • 您可以使用IPAM规划地址池,使用地址池指定掩码默认分配。使用IPAM您还可以查看当前VPC的地址利用率等信息。

交换机网段规划

交换机的网段必须是其所属VPC网段的子集。例如,VPC的网段设置为192.168.0.0/24时,该VPC下的交换机掩码可在25~29的范围内进行选择。

规划交换机网段时,请注意:

  • 交换机IPv4网段的大小需在16位到29位网络掩码之间,可提供8~65536个地址。

  • 请避免交换机网段与VPC网段一致。

  • 交换机网段规划需要考虑该交换机下容纳ECS实例和其他云产品资源的数量,建议您选择一个足够大的CIDR块,以确保可用IP地址数量满足当前业务需求和未来扩展需求。但网段分配不可过大,避免后续无法进行扩展。如果您创建CIDR块为10.0.0.0/16的 VPC,则它支持65536个IP地址。考虑到交换机内需要部署ECS、RDS等云服务资源,您可以规划交换机的掩码为/24,每个交换机支持256个IP地址。CIDR块为10.0.0.0/16的 VPC最多可以被划分为256个掩码为/24的交换机。您可以根据实际业务需求,结合以上建议进行适当调整。

  • 每个交换机的第1个和最后3个IPv4地址为系统保留地址,第1个和最后9个IPv6地址为系统保留地址。以下表为例:

    交换机网段

    系统保留地址

    IPv4网段

    192.168.1.0/24

    192.168.1.0

    192.168.1.253

    192.168.1.254

    192.168.1.255

    IPv6网段

    2001:XXXX:XXXX:1a00/64

    2001:XXXX:XXXX:1a00::

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff7

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff8

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff9

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffa

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffb

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffc

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffd

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffe

    2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff

  • 规划多个VPC的场景下,如果交换机所属私有子网与其他私有子网或本地IDC有网络互通需求,请避免交换机网段与对端网段重叠,否则无法实现网络互通。

  • ClassicLink功能允许经典网络的ECS和10.0.0.0/8172.16.0.0/12192.168.0.0/16三个VPC网段的ECS通信。如果要和经典网络通信的VPC网段是10.0.0.0/8,则该VPC下的交换机网段必须是10.111.0.0/16。更多信息,请参见ClassicLink概述

路由表数量规划

路由表中的每一项是一条路由条目,由目标网段、下一跳类型、下一跳三部分组成,将指定目标网段的流量路由至指定的目的地。每个VPC最多可以拥有包括系统路由表在内的10张路由表,您可以参考以下建议规划路由表数量。

规划一个路由表

规划多个路由表

当VPC内不同交换机的流量路由没有明显差异,您可选择规划一个路由表即可满足需求。创建VPC后,系统会自动为您创建一张系统路由表并为其添加系统路由来管理VPC的流量。系统路由表不能创建和删除,但您可以在系统路由表中创建自定义路由条目,将指定目标网段的流量路由至指定的目的地。

说明

单个VPC支持创建的自定义路由表的数量为9个,您可以前往配额管理页面配额中心提升配额。

网络连接规划

阿里云为您提供安全隔离、弹性扩展的云上网络环境,以及高速稳定、安全可靠的云上云下连接服务,能够满足VPC内实例访问公网、跨VPC互联、云上VPC连接云下数据中心的需求。您可根据业务场景灵活搭配VPC和对应的产品服务进行网络连接。

公网访问

跨VPC互联

混合云部署

从互联网访问云上部署的应用或者应用主动访问公网时,有如下建议:

  • 从互联网访问云上部署的应用,或者应用主动访问公网时,需要为应用服务器配置公网IP地址。公网IP地址类型分为固定公网IP与弹性公网IP。推荐您使用弹性公网IP为应用服务器配置公网IP地址。

  • 单台后端服务器直接使用公网IP对外提供服务时,如果服务器出现问题容易导致业务单点故障,影响系统可用性。实际业务场景中,推荐您使用负载均衡统一公网流量入口,并在多可用区挂载多台后端服务器,消除系统中的单点故障,提升应用系统的可用性。

  • 当您需要主动访问公网的服务器较多时,需要占用较多的公网IP资源,此时您可以通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。

  • 当部署在云上的业务对互联网提供服务时,进行合适的访问控制,能够帮助阻止不必要或潜在的危险访问。您可以使用IPv4网关IPv6网关实现对VPC内实例访问公网的集中控制,增强VPC内的安全防护,严格管控公网访问。

跨VPC互联和混合云部署场景下有什么要求?

安全能力规划

安全隔离可分为业务隔离、资源隔离、网络隔离多层概念。在地域和可用区规划、账号规划、网段规划中均需考虑安全隔离需求,账号拆分可实现资源隔离,通过划分VPC可实现网络隔离,而资源隔离和网络隔离均为实现业务隔离的具体方式。您可以结合网络连接场景与安全分层进行安全能力规划。

安全分层

规划建议

VPC内

如果您在同一VPC内部署多个业务,建议您通过交换机划分,结合安全组网络ACL实现安全隔离。

VPC边界

  • 建议您根据业务类型划分公有交换机与私网交换机:将需要直接访问公网的云服务部署到公有交换机,无需直接访问公网的云服务部署到私有交换机;将公网流量出/入口部署到不同交换机中;

  • 建议您使用IPv4网关/IPv6网关进行集中访问控制,结合子网路由/网关路由,在业务流程中串联防火墙用于安全防护;

  • 建议您在公网流量出口考虑设定仅出规则,禁止来自公网的主动访问。

同时,VPC具备可观测能力。您可以结合流日志流量镜像进行流量观测和问题排查,应用其丰富的安全防护特性,帮助您实时地监控网络流量,提前采取措施避免故障发生,或在发生安全风险后快速排查网络故障,提高系统的稳定性和可靠性。

可观测能力

使用说明

流日志

流日志将收集和存储流量日志数据,您可以通过分段查看并分析流量日志,全面了解网络流量行为,便于优化网络带宽分配,改善网络瓶颈。

流量镜像

VPC流量镜像功能可以镜像经过弹性网卡ENI且符合筛选条件的报文,用于内容检查、威胁监控和问题排查等场景。

容灾能力规划

您需要根据业务架构进行容灾能力规划,以保障数据的安全性和业务的持续性。

  • 如果您的业务具有较高的容灾能力需求,您可以在不同地域部署VPC,并规划不同可用区的交换机,从而实现跨地域和跨可用区的备份和容灾。

  • 如果您的业务环境需要快速响应、高并发访问和数据安全性保障,您可以使用负载均衡进行多层次容灾架构设计,通过集群容灾、会话保持、可用区多活等机制保障实例的可用性。

  • 如果您需要在不同地理位置的数据中心与云上VPC之间建立高速、稳定的网络连接,以实现数据同步、灾备切换等功能,您可以创建高可靠模式物理专线,以保障您多线接入阿里云后业务的稳定性,满足多线路容灾需求,避免因为单线而导致的业务受损。

  • 如果您的业务对于服务可用性有较高要求,您可以借助VPC提供的高可用虚拟IP HaVip功能,通过Keepalived或Heartbeat软件来搭建服务高可用架构,以确保主备切换过程中服务IP不变,提高业务可用性。

  • 您可关注云服务本身具备的容灾能力。例如,RDS高可用系列采用一主一备的经典高可用架构,主备节点可以部署在同一地域的相同或不同可用区,部署在不同可用区可以实现实例的跨可用区容灾,提升实例的可用性。

以云上搭建Web服务为例,您可以按照下图将单可用区部署升级到同城双中心的高可用容灾架构,提升服务的安全性与可靠性。

当您综合考虑当前业务规模与未来扩展需求,充分权衡安全隔离、高可用容灾、成本等多方面因素,确定好您所需的专有网络和交换机数量、分配给专有网络和交换机的网段后,即可创建您的VPC。

标签:网段,可用,ffff,网络,专有,交换机,VPC,规划
From: https://blog.csdn.net/segwyang/article/details/143187413

相关文章

  • 计算机网络整体认识,尝试以最少的时间让你知道计网(只要问一下自己就可以知道什么是计网
    文章目录前言一、计算机网络是什么二、物理层三、数据链路层(使用MAC地址)四、网络层(使用IP地址)五、传输层(TCP/IP、UDP)六、应用层(HTTP、FTP、SMTP、DNS)下面是我对计网的浅识认知,单纯是个人经验,有不足的地方可以在评论区中指正,我看到后会进行修正。我的目的是以最少的篇......
  • 网络安全主要内容(非常详细)零基础入门到精通,收藏这篇就够了
    1.什么是网络安全?网络安全是指保护计算机网络及其相关系统、设备和数据免受未经授权的访问、使用、泄露、破坏或干扰的一种措施或实践。它包括保护网络中的硬件、软件和数据免受各种威胁和攻击,以确保网络的机密性、完整性和可用性。2.网络安全内容网络安全的内容包括了......
  • 2024网络安全现状,一个(黑客)真实的收入
    一个黑客年薪是多少呢?外界普遍认为黑客是高收入群体,那么你想过黑客是怎么赚钱的吗?黑客分为白帽黑客和黑帽黑客,处于黑白两道的黑客会的技术都有些相似,但是却是对立的,白帽做网络安全,修补漏洞。黑帽各种破坏,挖数据,攻击漏洞。===白帽收入稳定由于白帽黑客是正规稳定的职业,通......
  • Python网络爬虫入门指南
    Python网络爬虫入门指南网络爬虫(WebCrawler),又称为网络蜘蛛(WebSpider),是一种自动化程序,能够遍历互联网上的网页,收集并提取所需的数据。Python作为一种功能强大且易于学习的编程语言,非常适合用于编写网络爬虫。本文将带你了解Python网络爬虫的基本概念、主要库及其使用方法......
  • 网络安全——防火墙技术
    目录前言基本概念常见防火墙技术防火墙的主要功能防火墙的不足之处相关题目1.组织外部未授权用户访问内部网络2.DMZ区3.包过滤防火墙和代理服务防火墙前言这是在软件设计师备考时编写的资料文章,相关内容偏向软件设计师基本概念防火墙技术是网络安全领域中的一项关......
  • 配置WSL2实现与宿主机的网络互通
    前言 WSL1是基于代理的虚拟化技术,它通过将Linux系统调用转换为Windows系统调用来实现与Windows内核的交互。WSL2则使用了真正的虚拟机技术,它在Windows主机上运行一个轻量级的Linux内核。WSL2无法访问Windows的localhost网络是由WSL2的网络架构所致。WSL2......
  • day02|计算机网络重难点之HTTP请求报文和响应报文、HTTP的请求方式(方法字段)、GET请求
    day02|计算机网络重难点之HTTP请求报文和响应报文、HTTP的请求方式(方法字段)、GET请求和POST请求的区别3.HTTP请求报文和响应报文是怎样的,有哪些常见的字段?4.HTTP有哪些请求方式?(即方法字段的不同取值)5.GET请求和POST请求的区别3.HTTP请求报文和响应报文是怎样的,有哪......
  • FFmpeg开发笔记(六十)使用国产的ijkplayer播放器观看网络视频
    ​ijkplayer是Bilibili公司(简称B站)基于FFmpeg3.4研发并开源的国产播放器,它可运行于Android和iOS系统,既支持播放本地视频文件,也支持播放网络上的流媒体链接。之前的文章《Linux编译ijkplayer的Android平台so库》介绍了如何编译获得App工程所需ijkplayer的so文件,接下来还要把官方......
  • 计算机网络 | 第二章 物理层 | 26王道考研自用笔记
    物理层任务:实现相邻节点之间比特(0或1)的传输2.1通信基础基本概念2.1.1信源、信宿、信号、信道在通信系统中,信源负责生成信息,信宿接收和解释信息。信号是传输信息的载体,经过信道从信源到达信宿。信道的品质直接影响到信息传输的效果。2.1.2信道的极限容量香......
  • 一个整合性、功能丰富的.NET网络通信框架
    前言最近有不少同学问:.NET网络通信框架有什么好推荐的吗?今天大姚给大家分享一款基于ApacheLicense开源的一个整合性、功能丰富的.NET(包括C#、VB.Net、F#)网络通信框架:TouchSocket。特色功能一键解决TCP黏分包问题,提供协议模板,支持快速实现固定包头、固定长度、区间字符等数......