VPC是云上私有的網絡環境，支持自定義IP地址、配置路由表和網關等。

云網系列之一：VPC前世今生

云網系列之二：VPC的實現機制

一、交換機和虛擬路由器

從用戶的視角來看，VPC的組成體現為虛擬交換機和虛擬路由器。

虛擬交換機對應的是子網。

虛擬路由器對應的是VPC的路由器，用于連接VPC內的虛擬交換機、以及其他網絡的網關設備。

VPC創建成功后，會自動創建虛擬路由器，路由器中默認創建一個主路由表（VPC粒度），包含VPC網段的本地路由和云服務的系統路由。用戶可以在主路由表中自定義路由條目。

除主路由表外，VPC支持用戶創建子網路由表（交換機粒度），子網路由表關聯交換機后，路由優先級高于主路由表，用來指定目標網段的流量路由至指定的目的地（如NAT網關）。

以CADT簡單拓撲為例：

查看VPC創建的主路由表信息：

說明：
系統自動添加了如下路由：
（1）系統路由條目：以路由表所屬VPC內的交換機網段為目標網段的路由條目，用于交換機內的云產品通信。
（2）自定義路由條目：以100.64.0.0/10為目標網段的路由條目，用于VPC內的云產品通信。

用戶可以新建子網路由表，頁面路徑為：路由表--創建路由表--綁定交換機，便可以實現子網路由表與交換機的綁定， 綁定后，主路由表自動與該交換機解綁 。

二、VPC網絡規劃

1.需要使用多少個VPC？

VPC是地域級別的，可以用于業務隔離。所以，如果需要多地域部署，或者生產環境和測試環境的隔離，則需要部署多個VPC。

2.需要使用多少個交換機？

最佳實踐建議至少使用兩個交換機，并且兩臺交換機分布在不同可用區，以實現跨可用區容災。

3.使用什么地址段，每個地址段規劃需要多大？

VPC可選擇的網段：192.168.0.0/16、172.16.0.0/12、10.0.0.0/8，以及子網。

如：10.0.0.0/8的子網為10.1.0.0/16、10.2.0.0/16......10.255.0.0/16，共256個。

交換機可選擇的網段：所屬VPC網段的子集。

如：VPC的網段為192.168.0.0/16，則交換機可選的網段可以是192.168.0.0/17192.168.0.0/29，可提供的地址為：655368個地址。需要注意的是每個交換機的第一個和最后三個IP地址為系統保留地址。

三、VPC網絡安全設計

1.網絡ACL

如果需要對交換機（子網）中ECS實例的流量訪問控制，如拒絕或接受一些公網IP地址的流量，則可以使用網絡ACL。

官網給出如下說明：

網絡訪問控制列表（ACL）是 VPC 中的網絡訪問控制功能，可以將網絡 ACL 與交換機進行關聯，實現 對一個或多個子網流量的訪問控制 。

網絡ACL規則僅過濾綁定的交換機中ECS實例的流量（包括SLB實例轉發給ECS實例的流量）

網絡ACL的規則是無狀態的，即設置入方向規則的允許請求后，需要同時設置相應的出方向規則，否則可能會導致請求無法響應。

網絡ACL與交換機綁定，不過濾同一交換機內的ECS實例間的流量。

2.安全組

安全組是一種虛擬防火墻，屬于ECS粒度的訪問控制策略。

四、云上網絡分區

云上網絡和IDC網絡類似，也要進行分區，每個分區對應一個VPC。不同VPC之間的路由打通，可以通過云企業網CEN實現。同時可以按需進行路由表隔離、路由策略設置。

# 互聯網出口區：類似DMZ區，用于放置NAT網關、EIP等資源；
# 外聯區：放置第三方的堡壘機等入口資源；
# 內聯（運維）區：放置堡壘機資源，用于企業內部人員連接云上資源；
# 東西向安全區：放置南北向防火墻、IDS、IPS防護設置；
# 開發與測試區：放置生產環境和測試環境的資源。