阿⾥云 专有云企业版 专有⽹络VPC 产品简介 产品版本：V3.10.0 ⽂档版本：20191122 专有⽹络VPC 法律声明 产品简介 / 法律声明 阿⾥云提醒您在阅读或使⽤本⽂档之前仔细阅读、充分理解本法律声明各条款的内容。如果您阅读 或使⽤本⽂档，您的阅读或使⽤⾏为将被视为对本声明全部内容的认可。 1. 您应当通过阿⾥云⽹站或阿⾥云提供的其他授权通道下载、获取本⽂档，且仅能⽤于⾃⾝的合法 合规的业务活动。本⽂档的内容视为阿⾥云的保密信息，您应当严格遵守保密义务；未经阿⾥云 事先书⾯同意，您不得向任何第三⽅披露本⼿册内容或提供给任何第三⽅使⽤。 2. 未经阿⾥云事先书⾯许可，任何单位、公司或个⼈不得擅⾃摘抄、翻译、复制本⽂档内容的部分 或全部，不得以任何⽅式或途径进⾏传播和宣传。 3. 由于产品版本升级、调整或其他原因，本⽂档内容有可能变更。阿⾥云保留在没有任何通知或者 提⽰下对本⽂档的内容进⾏修改的权利，并在阿⾥云授权通道中不时发布更新后的⽤⼾⽂档。您 应当实时关注⽤⼾⽂档的版本变更并通过阿⾥云授权渠道下载、获取最新版的⽤⼾⽂档。 4. 本⽂档仅作为⽤⼾使⽤阿⾥云产品及服务的参考性指引，阿⾥云以产品及服务的“现状”、“有 缺陷”和“当前功能”的状态提供本⽂档。阿⾥云在现有技术的基础上尽最⼤努⼒提供相应的介 绍及操作指引，但阿⾥云在此明确声明对本⽂档内容的准确性、完整性、适⽤性、可靠性等不作 任何明⽰或暗⽰的保证。任何单位、公司或个⼈因为下载、使⽤或信赖本⽂档而发⽣任何差错或 经济损失的，阿⾥云不承担任何法律责任。在任何情况下，阿⾥云均不对任何间接性、后果性、 惩戒性、偶然性、特殊性或刑罚性的损害，包括⽤⼾使⽤或信赖本⽂档而遭受的利润损失，承担 责任（即使阿⾥云已被告知该等损失的可能性）。 5. 阿⾥云⽂档中所有内容，包括但不限于图⽚、架构设计、⻚⾯布局、⽂字描述，均由阿⾥云 和/或其关联公司依法拥有其知识产权，包括但不限于商标权、专利权、著作权、商业秘密等。 ⾮经阿⾥云和/或其关联公司书⾯同意，任何⼈不得擅⾃使⽤、修改、复制、公开传播、改变、 散布、发⾏或公开发表阿⾥云⽹站、产品程序或内容。此外，未经阿⾥云事先书⾯同意，任何⼈ 不得为了任何营销、⼴告、促销或其他⽬的使⽤、公布或复制阿⾥云的名称（包括但不限于单独 为或以组合形式包含“阿⾥云”、“Aliyun”、“万⽹”等阿⾥云和/或其关联公司品牌，上述 品牌的附属标志及图案或任何类似公司名称、商号、商标、产品或服务名称、域名、图案标⽰、 标志、标识或通过特定描述使第三⽅能够识别阿⾥云和/或其关联公司）。 6. 如若发现本⽂档存在任何错误，请与阿⾥云取得直接联系。 ⽂档版本：20191122 I 产品简介 / 通⽤约定 专有⽹络VPC 通⽤约定 格式 说明 该类警⽰信息将导致系统重⼤变更甚 ⾄故障，或者导致⼈⾝伤害等结果。 该类警⽰信息可能会导致系统重⼤变 更甚⾄故障，或者导致⼈⾝伤害等结 果。 ⽤于警⽰信息、补充说明等，是⽤⼾ 必须了解的内容。 ⽤于补充说明、最佳实践、窍⻔ 等，不是⽤⼾必须了解的内容。 样例 禁⽌: 重置操作将丢失⽤⼾配置数据。 警告: 重启操作将导致业务中断，恢复业务 时间约⼗分钟。 注意: 权重设置为0，该服务器不会再接受 新请求。 说明: 您也可以通过按Ctrl + A选中全部⽂ 件。 > 多级菜单递进。 单击设置 > ⽹络 > 设置⽹络类型。 Courier字体 命令。 执⾏cd /d C:/window命令，进 表⽰参数、变量。 bae log list --instanceid 粗体 斜斜 表⽰按键、菜单、⻚⾯名称等UI元 素。 在结果确认⻚⾯，单击确定。 ⼊Windows系统⽂件夹。 Instance_ID []或者[a|b] {}或者{a|b} ⽂档版本：20191122 表⽰可选项，⾄多选择⼀个。 表⽰必选项，⾄多选择⼀个。 ipconfig [-all|-t] switch {active|stand} I 专有⽹络VPC 产品简介 / ⽬录 ⽬录 法律声明.................................................................................. I 通⽤约定.................................................................................. I 1 什么是专有⽹络VPC................................................................ 1 2 产品优势............................................................................... 3 3 产品架构............................................................................... 4 4 功能特性............................................................................... 6 5 应⽤场景............................................................................... 7 6 基本概念............................................................................... 8 7 使⽤限制............................................................................... 9 II ⽂档版本：20191122 专有⽹络VPC 产品简介 / 1 什么是专有⽹络VPC 1 什么是专有⽹络VPC 专有⽹络VPC（Virtual Private Cloud）是⼀个隔离的⽹络环境，专有⽹络之间逻辑上彻底隔 离。 您可以完全掌控⾃⼰的专有⽹络，例如选择IP地址范围、配置路由表和⽹关等，您可以在⾃⼰定义 的专有⽹络中使⽤阿⾥云资源如ECS、RDS、SLB等。您可以将专有⽹络连接到其他专有⽹络或本 地⽹络，形成⼀个按需定制的⽹络环境，实现应⽤的平滑迁移上云和对数据中⼼的扩展。 组成部分 每个VPC都由⼀个私⽹⽹段、⼀个路由器和⾄少⼀个交换机组成。 • 私⽹⽹段 ⽹段是专有⽹络的私⽹地址范围，所有部署在该VPC内的云资源的IP地址都在指定的私⽹⽹段 内。在创建专有⽹络和交换机时，您需要以CIDR地址块的形式指定专有⽹络使⽤的私⽹⽹段。 您可以使⽤下表中标准的私⽹⽹段及其⼦⽹作为VPC的私⽹地址。 ⽹段 可⽤私⽹IP数量 （不包括系统保留地址） 172.16.0.0/12 1,048,572 192.168.0.0/16 10.0.0.0/8 • 路由器 65,532 16,777,212 路由器（VRouter）是专有⽹络的枢纽。作为专有⽹络中重要的功能组件，它可以连接VPC内 的各个交换机，同时也是连接VPC和其他⽹络的⽹关设备。每个专有⽹络创建成功后，系统会⾃ 动创建⼀个路由器。每个路由器关联⼀张路由表。 ⽂档版本：20191122 1 专有⽹络VPC 产品简介 / 1 什么是专有⽹络VPC • 交换机 交换机（VSwitch）是组成专有⽹络的基础⽹络设备，⽤来连接不同的云产品实例。创建专有 ⽹络之后，您可以通过创建交换机为专有⽹络划分⼀个或多个⼦⽹。同⼀专有⽹络内的不同交换 机之间内⽹互通。您可以将应⽤部署在不同可⽤区的交换机内，提⾼应⽤的可⽤性。 图 1-1: 专有⽹络 2 ⽂档版本：20191122 专有⽹络VPC 产品简介 / 2 产品优势 2 产品优势 安全 易⽤ 专有⽹络安全性⾼、配置灵活、⽀持多种连接⽅式。 每个VPC都有⼀个独⽴的隧道号，⼀个隧道号对应着⼀个虚拟化⽹络，VPC之间完全隔离。另 外，您可以通过安全组、⽩名单等⽅式控制专有⽹络内的云资源访问。 您可以通过专有⽹络控制台快速创建、管理专有⽹络。专有⽹络创建后，系统会⾃动为其创建⼀个 路由器和路由表。 可扩展 您在⼀个专有⽹络内创建不同的⼦⽹，部署不同的业务。此外，您可以将⼀个VPC和本地数据中⼼ 或其他VPC相连，扩展⽹络架构。 ⽂档版本：20191122 3 专有⽹络VPC 产品简介 / 3 产品架构 3 产品架构 基于⽬前主流的隧道技术，专有⽹络（Virtual Private Cloud，简称VPC）隔离了虚拟⽹络。每 个VPC都有⼀个独⽴的隧道号，⼀个隧道号对应着⼀个虚拟化⽹络。 背景信息 随着云计算的不断发展，对虚拟化⽹络的要求越来越⾼，例如弹性（scalability）、安全 性（security）、可靠性（reliability）和私密性（privacy），并且还有极⾼的互联性能（ performance）需求，因此催⽣了多种多样的⽹络虚拟化技术。 ⽐较早的解决⽅案是将虚拟机的⽹络和物理⽹络融合在⼀起，形成⼀个扁平的⽹络架构，例如⼤⼆ 层⽹络。随着虚拟化⽹络规模的扩⼤，这种⽅案中的ARP欺骗、⼴播⻛暴、主机扫描等问题会越来 越严重。为了解决这些问题，出现了各种⽹络隔离技术，把物理⽹络和虚拟⽹络彻底隔开。其中⼀ 种技术是⽤⼾之间⽤VLAN进⾏隔离，但是VLAN的数量最⼤只能⽀持到4096个，⽆法⽀撑公共云 的巨⼤⽤⼾量。 原理描述 基于⽬前主流的隧道技术，专有⽹络（Virtual Private Cloud，简称VPC）隔离了虚拟⽹络。每 个VPC都有⼀个独⽴的隧道号，⼀个隧道号对应着⼀张虚拟化⽹络。⼀个VPC内的ECS之间的传输 数据包都会加上隧道封装，带有唯⼀的隧道ID标识，然后送到物理⽹络上进⾏传输。不同VPC内 的ECS因为所在的隧道ID不同，本⾝处于两个不同的路由平⾯，所以不同VPC内的ECS⽆法进⾏通 信，天然地进⾏了隔离。 基于隧道技术，阿⾥云的研发团队⾃研了交换机，软件⾃定义⽹络（Software Defined Network，简称SDN）技术和硬件⽹关，在此基础上实现了VPC产品。 逻辑架构 如下图所⽰，VPC包含交换机、⽹关和控制器三个重要的组件。交换机和⽹关组成了数据通路的关 键路径，控制器使⽤⾃研的协