九游平台/ / / / 虚拟私有云和子网规划建议
更新时间:2024-08-01 gmt 08:00

虚拟私有云和子网规划建议-九游平台

当您需要使用虚拟私有云vpc和子网搭建您的云上网络时,请您参考以下规划建议,并结合实际业务情况,规划您的vpc和子网数量、vpc和子网ip网段。同时,如果需要连通不同vpc网络,或者连通vpc和云下数据中心网络时,需要额外注意通信的网段之间不能冲突。合理规划vpc和子网,可以避免网段临时扩容或者ip网段冲突可能导致的问题。详细规划建议,请您参见以下内容:

如何规划vpc的数量?

vpc具有区域属性,vpc内的云资源(比如ecs、cce、rds等)必须和vpc位于同一个区域内。默认情况下,不同vpc之间网络隔离,同一个vpc内的不同子网之间网络互通。

如果您的业务部署在一个区域,并且业务量不大,不同业务之间不需要网络隔离,那么推荐你规划一个vpc。

您可以在一个vpc中创建多个子网和路由表。子网可以将vpc网段划分成若干段,不同子网承载不同的业务。同时,您还可以将不同子网关联至不同的路由表,灵活控制子网的网络流量。如图1所示,在区域a内,业务部署在vpc-a内的不同子网。

图1 规划1个vpc

当您的业务有以下任意一个需求时,则一个vpc无法满足业务要求,推荐您规划多个vpc。

  • 业务需要部署在多个区域

    vpc是区域级别的服务,一个vpc无法实现跨区域部署业务。如果您的业务同时部署在多个区域,则在每个区域下,至少需要规划一个vpc。

    不同vpc之间网络隔离,您可以搭配网络连通服务连通不同vpc的网络。
    • 连通相同区域内的不同vpc:您可以使用或者来实现。
    • 连通不同区域内的vpc:您可以使用来实现。

    图2所示,一部分业务部署在区域a内的vpc-a中,一部分业务部署在区域b内的vpc-b中,通过云连接连通vpc-a和vpc-b的网络。

    图2 规划多个vpc(业务需要部署在多个区域)
  • 业务部署在一个区域且网络隔离
    如果您的业务部署在一个区域,并且不同业务之间网络隔离,则您需要在同一个区域下规划多个vpc,由于不同vpc之间网络隔离,则每个业务独立部署在一个vpc上即可满足要求。如图3所示,在区域a内,一部分业务部署在vpc-a中,一部分业务部署在vpc-b中,两个vpc之间网络隔离。
    图3 规划多个vpc(业务部署在一个区域且网络隔离)

一个用户在单个区域可创建的虚拟私有云数量默认为5个,如果您需要提升配额,请参见。

如何规划子网的数量?

子网是vpc内的ip地址集,可以将vpc的网段分成若干块,子网划分可以帮助您合理规划ip地址资源。vpc中的所有云资源都必须部署在子网内。

通常情况下,部署在同一个vpc内的业务,您可以根据业务模块来划分子网,比如在vpc-a内,子网a01用于web层,子网a02用于管理层,子网a03用于数据层。根据业务划分子网模块,有利于结合网络acl进行网络防护。

关于子网和云资源可用区的选择,您还需要了解以下原则:
  • 默认情况下,同一个vpc中,不同子网内的所有实例网络互通。同一个vpc内的子网可以位于不同可用区,不影响通信。比如vpc-a内有子网a01(可用区a)和子网a02(可用区b),子网a01和子网a02的网络默认互通。
  • 同时,使用子网的云资源,其可用区和子网的可用区不用保持一致。比如位于可用区1的云服务器,可以使用可用区3的子网。假如可用区3发生故障,此时可用区1的云服务器可以继续使用可用区3的子网,不会影响云服务器上部署的业务。

一个用户在单个区域可创建的子网数量默认为100个,如果您需要提升配额,请参见。

如何规划vpc和子网的ip网段?

vpc和子网创建完成后,则无法修改网段。因此创建vpc和子网之前,请您务必结合业务规模和通信需求,合理规划vpc和子网网段,以便于业务的平滑扩展和运维。

私有网络支持ipv4和ipv6网段地址。您可以自定义ipv4网段,不支持自定义ipv6网段,系统自动为每个子网分配一个掩码为64位的ipv6网段,比如2407:c080:802:1b32::/64。

创建vpc的时候,您需要为vpc指定ipv4网段。vpc网段的选择需要考虑以下原则:
  • ip地址数量:要为业务预留足够的ip地址,防止业务扩展给网络带来冲击。
  • ip地址网段:当您要创建多个vpc,并且vpc与其他vpc、或者vpc与云下数据中心需要通信时,要避免网络两端的网段冲突,否则无法正常通信。

创建vpc时,您配置的ipv4网段是vpc的主网段。当vpc创建完成后,主网段不支持修改,若主网段不够分配,您可以。

在创建vpc的时候,建议您使用中指定的私有ipv4地址范围,作为vpc的网段,具体如表1所示。
表1 vpc网段(rfc 1918)

vpc网段

ip地址范围

掩码范围

vpc网段示例

10.0.0.0/8-24

10.0.0.0~10.255.255.255

8~24

10.0.0.0/8

172.16.0.0/12-24

172.16.0.0~172.31.255.255

12~24

172.30.0.0/16

192.168.0.0/16-24

192.168.0.0~192.168.255.255

16~24

192.168.0.0/24
除了上述地址,您还可以使用任何可公共路由的ipv4地址(非rfc 1918指定的私有ipv4地址范围),但是必须排除表2中的系统预留地址和公网保留地址:
表2 系统预留地址和公网保留地址

系统预留地址

公网保留地址
  • 100.64.0.0/10
  • 214.0.0.0/7
  • 198.18.0.0/15
  • 169.254.0.0/16
  • 0.0.0.0/8
  • 127.0.0.0/8
  • 240.0.0.0/4
  • 255.255.255.255/32
  • 子网掩码规划:子网的网段必须在vpc网段范围内,同一个vpc内的子网网段不可重复。子网网段的掩码长度范围是:所在vpc掩码~29,比如vpc网段为10.0.0.0/16,vpc的掩码为16,则子网的掩码可在16~29范围内选择。

    比如vpc-a的网段为10.0.0.0/16,则您可以规划子网a01的网段为10.0.0.0/24,子网a02的网段为10.0.1.0/24,子网a03的网段为10.0.2.0/24。

  • 子网内可用ip数量:子网创建成功后,不支持修改网段,请您结合业务所需的ip地址数量,提前合理规划好子网网段。
    • 子网网段不能太小,需要确保子网内可用ip地址数量可以满足业务需求。子网网段中第一个地址和后三个地址为系统预留地址,不能供实际业务使用,比如子网(10.0.0.0/24)中,10.0.0.1为网关地址、10.0.0.253为系统接口、10.0.0.254为dhcp使用、10.0.0.255为广播地址。
    • 子网网段也不能太大,以免后续扩展新的业务时,vpc内可用网段不够再创建新的子网。
  • 子网网段避免冲突:如果子网所在的vpc与其他vpc、或者vpc与云下数据中心需要通信时,则vpc子网网段和网络对端网段不能相同,否则无法正常通信。

    如果网络两端的子网网段已经相同,您可以创建新的子网,请参见。

如何规划路由表的数量?

路由表由一系列路由规则组成,路由规则包括流量的目的地址和下一跳等信息,用于控制出入vpc内子网的流量走向。一个vpc内可以拥有多个路由表,请您参考以下建议规划路由表。

当vpc内不同子网的网络流量走向需求相同或者差异不大,则推荐您规划一个路由表。用户创建vpc时,系统会自动生成一个默认路由表,子网会自动关联默认路由表,您可以在默认路由表中添加不同的路由来控制流量走向。如图4所示,vpc-a中只有一个默认路由表,子网subnet-a01和subnet-a02均关联至默认路由表。
图4 规划一个路由表
当vpc内不同子网的网络流量走向差异较大,则一个默认路由表无法满足业务需求,此时推荐您创建自定义路由表,将不同的子网关联至不同的路由表,实现不同流量走向的控制。如图5所示,vpc-a中有三个路由表,子网subnet-a01关联至路由表1(默认路由表),子网subnet-a02关联至路由表2(自定义路由表),子网subnet-a03关联至路由表3(自定义路由表)。
图5 规划多个路由表

当vpc与其他vpc通信或者vpc与云下数据中心通信时如何规划网络?

如果您有vpc与其他vpc通信,或者vpc与云下数据中心通信的需求时,请确保vpc网段和需要通信的对端网段没有冲突。以下为您提供典型组网的网段规划示例。

  • 连通同区域的vpc:如图6所示,在区域a内,一共有三个vpc,分别为vpc-a、vpc-b和vpc-x。由于业务需求,需要连通vpc-a和vpc-b的网络,vpc-x不需要和其他vpc连通。
    • 由于vpc-a和vpc-b需要通信,则vpc-a和vpc-b的网段不能相同,通过对等连接连通vpc之间的内网网络。
    • 由于vpc-x和其他vpc之间不需要连通,因此vpc-x的网段可以和vpc-b相同,当前不会影响通信。但是基于业务的变化考虑,如果后续vpc-x和vpc-b需要通信,则在网段相同的基础上,建议vpc-b和vpc-x内的子网网段不能相同,则可以建立子网之间的对等连接。
    图6 连通同区域的vpc
  • 连通不同区域的vpc:如图7所示,业务需要部署在三个不同的区域内的vpc,分别为vpc-a、vpc-b、vpc-ca和vpc-cb。使用云连接可以快速连通不同区域的vpc,vpc基于云内骨干网络实现内网通信,需要通信的vpc网段不能相同。
    图7 连通不同区域的vpc
图8所示,在区域a内,vpc-a和vpc-b之间需要互通,并且vpc-a需要连通云下数据中心idc-a。在区域c内,vpc-c需要连通云下数据中心idc-c。
  • 在区域a内,vpc-a和vpc-b的网段不同,可以通过对等连接连通网络。vpc-a和idc-a通过云专线连通,vpc-a和idc-a的网段不能相同。
  • 在区域c内,vpc-c和idc-c使用vpn通过互联网连通,vpc-c和idc-c的网段不能相同。
图8 连通vpc和云下数据中心

相关文档

  • 您可以通过vpc快速搭建一个具有ipv4地址段的云上私有网络,同时,还可以通过eip实现云上网络和公网通信的需求,具体请参见通过vpc快速搭建ipv4网络
  • 您可以通过vpc快速搭建一个同时具有ipv4和ipv6地址段的云上私有网络。同时,还可以通过eip和共享带宽,实现ipv4和ipv6公网通信需求,具体请参见。
父主题:

相关文档

网站地图