華為云：虛擬私有云 VPC網(wǎng)絡(luò)規(guī)劃

在創(chuàng)建VPC之前，您需要根據(jù)具體的業(yè)務(wù)需求規(guī)劃VPC的數(shù)量、子網(wǎng)的數(shù)量、IP網(wǎng)段劃分和互連互通方式等。

如何規(guī)劃VPC數(shù)量？

VPC具有區(qū)域?qū)傩?，默認(rèn)情況下，不同區(qū)域的VPC之間內(nèi)網(wǎng)不互通，同區(qū)域的不同VPC內(nèi)網(wǎng)不互通，同一個(gè)VPC下的不同可用區(qū)之間內(nèi)網(wǎng)互通。

一個(gè)VPC

當(dāng)各業(yè)務(wù)之間沒(méi)有網(wǎng)絡(luò)隔離需求時(shí)，您可以只使用一個(gè)VPC即可。

多個(gè)VPC

當(dāng)您在當(dāng)前區(qū)域下有多套業(yè)務(wù)部署，且希望不同業(yè)務(wù)之間進(jìn)行網(wǎng)絡(luò)隔離時(shí)，則可為每個(gè)業(yè)務(wù)在當(dāng)前區(qū)域建立相應(yīng)的VPC。兩個(gè)VPC之間可以采用對(duì)等連接進(jìn)行互連。如圖1所示。

圖1對(duì)等連接

最多可以創(chuàng)建多少個(gè)VPC？

默認(rèn)情況下一個(gè)用戶支持創(chuàng)建5個(gè)VPC，如果配額不滿足實(shí)際需求，可以申請(qǐng)擴(kuò)容。具體操作請(qǐng)參見(jiàn)什么是配額？

如何規(guī)劃子網(wǎng)？

子網(wǎng)是VPC內(nèi)的IP地址塊，VPC中的所有云資源都必須部署在子網(wǎng)內(nèi)。同一個(gè)VPC下，子網(wǎng)網(wǎng)段不可重復(fù)。子網(wǎng)創(chuàng)建成功后，網(wǎng)段無(wú)法修改。

VPC支持的網(wǎng)段如下，子網(wǎng)的網(wǎng)段須在VPC網(wǎng)段范圍內(nèi)，且子網(wǎng)的掩碼范圍為：子網(wǎng)所在VPC掩碼~29。

·10.0.0.0/8~24

·172.16.0.0/12~24

·192.168.0.0/16~24

規(guī)劃子網(wǎng)

·建議在同一個(gè)VPC下的業(yè)務(wù)內(nèi)可按照業(yè)務(wù)模塊分別劃分子網(wǎng)，例如子網(wǎng)1用于Web層，子網(wǎng)2用于邏輯層，子網(wǎng)3用于數(shù)據(jù)層，有利于結(jié)合網(wǎng)絡(luò)ACL進(jìn)行訪問(wèn)控制和過(guò)濾。

·如果只是VPC的子網(wǎng)規(guī)劃，不涉及和本地IDC的網(wǎng)絡(luò)通信，則可以選擇上述任何一個(gè)網(wǎng)段進(jìn)行新建子網(wǎng)。

·如果要通過(guò)VPN/云專線與線下IDC進(jìn)行互通，本端網(wǎng)段（VPC網(wǎng)段）和對(duì)端網(wǎng)段（您的IDC網(wǎng)段）不能重疊，所以在新建VPC及子網(wǎng)的時(shí)候務(wù)必避開(kāi)對(duì)端網(wǎng)段。

·在劃分網(wǎng)段時(shí)還應(yīng)考慮該網(wǎng)段的IP容量，即有多少可用的IP數(shù)。

最多可以創(chuàng)建多少個(gè)子網(wǎng)？

一個(gè)用戶可以創(chuàng)建100個(gè)子網(wǎng)，如果無(wú)法滿足實(shí)際需求，可以提工單申請(qǐng)擴(kuò)容。具體操作請(qǐng)參見(jiàn)什么是配額？

如何規(guī)劃路由策略？

路由表由一系列路由規(guī)則組成，用于控制VPC內(nèi)子網(wǎng)的出流量走向。用戶創(chuàng)建VPC時(shí)，系統(tǒng)會(huì)自動(dòng)為其生成一個(gè)默認(rèn)路由表，該默認(rèn)路由表含義為VPC內(nèi)網(wǎng)互通。

·如果不需要對(duì)子網(wǎng)的流量走向進(jìn)行特殊控制，默認(rèn)VPC內(nèi)網(wǎng)互通的情況下，則使用默認(rèn)路由表即可，無(wú)需配置自定義路由策略；

·如果需要對(duì)VPC內(nèi)的網(wǎng)絡(luò)流量走向進(jìn)行特殊控制，則可以對(duì)路由表進(jìn)行自定義路由配置。

如何連接本地IDC？

當(dāng)您有VPC與本地IDC互通的需求時(shí)，確保VPC的網(wǎng)段和要互通的網(wǎng)絡(luò)的網(wǎng)段都不沖突。

如圖2所示，比如您在華北區(qū)域有VPC1一個(gè)VPC，華東有VPC2和VPC3兩個(gè)VPC。VPC1需要連接用戶北京IDC，通過(guò)VPN走Internet互連。VPC2需要連接用戶上海IDC，通過(guò)云專線連接。同時(shí)在華東區(qū)域的VPC3與VPC2通過(guò)對(duì)等連接建立連接。

圖2 IDC連接

此例中，各VPC網(wǎng)段劃分需要注意以下幾點(diǎn)：

·VPC1的網(wǎng)段（CIDR）不能與北京IDC的網(wǎng)段有重疊。

·VPC2的網(wǎng)段（CIDR）不能與上海IDC的網(wǎng)段有重疊。

·VPC3和VPC2的網(wǎng)段也不能有重疊。

如何連接Internet？

少量彈性云服務(wù)器通過(guò)彈性公網(wǎng)IP連接Internet

當(dāng)您僅有少量彈性云服務(wù)器訪問(wèn)Internet時(shí)，您可將彈性公網(wǎng)IP（EIP）綁定到彈性云服務(wù)器上，彈性云服務(wù)器即可連接公網(wǎng)。您還可以通過(guò)動(dòng)態(tài)解綁它，再綁定到NAT網(wǎng)關(guān)、彈性負(fù)載均衡上，使這些云產(chǎn)品連接公網(wǎng)，管理非常簡(jiǎn)單。不同彈性公網(wǎng)IP還可以共享帶寬，減少您的帶寬成本。

更多彈性公網(wǎng)IP（EIP）信息，請(qǐng)參見(jiàn)彈性公網(wǎng)IP簡(jiǎn)介。

大量彈性云服務(wù)器通過(guò)NAT網(wǎng)關(guān)連接Internet

當(dāng)您有大量彈性云服務(wù)器需要訪問(wèn)Internet時(shí)，單純使用彈性公網(wǎng)IP管理成本過(guò)高，公有云NAT網(wǎng)關(guān)來(lái)幫您，它提供SNAT和DNAT兩種功能。SNAT可輕松實(shí)現(xiàn)同一VPC內(nèi)的多個(gè)彈性云服務(wù)器共享一個(gè)或多個(gè)彈性公網(wǎng)IP主動(dòng)訪問(wèn)公網(wǎng)，有效降低管理成本，減少了彈性云服務(wù)器的彈性公網(wǎng)IP直接暴露的風(fēng)險(xiǎn)。DNAT功能還可以實(shí)現(xiàn)端口級(jí)別的轉(zhuǎn)發(fā)，將彈性公網(wǎng)IP的端口映射到不同彈性云服務(wù)器的端口上，使VPC內(nèi)多個(gè)彈性云服務(wù)器共享同一彈性公網(wǎng)IP和帶寬面向互聯(lián)網(wǎng)提供服務(wù)。

更多NAT網(wǎng)關(guān)信息，請(qǐng)參見(jiàn)《NAT網(wǎng)關(guān)用戶指南》。

海量高并發(fā)場(chǎng)景通過(guò)彈性負(fù)載均衡連接Internet

對(duì)于電商等高并發(fā)訪問(wèn)的場(chǎng)景，您可以通過(guò)彈性負(fù)載均衡（ELB）將訪問(wèn)流量均衡分發(fā)到多臺(tái)彈性云服務(wù)器上，支撐海量用戶訪問(wèn)。彈性負(fù)載均衡采用集群化部署，支持多可用區(qū)的同城雙活容災(zāi)。同時(shí)，無(wú)縫集成了彈性伸縮，能夠根據(jù)業(yè)務(wù)流量自動(dòng)擴(kuò)容，保證業(yè)務(wù)穩(wěn)定可靠。

更多彈性負(fù)載均衡信息，請(qǐng)參見(jiàn)《彈性負(fù)載均衡用戶指南》。