产品概述

虚拟私有网络（Virtual Private Cloud，简称VPC）能帮助您在金山云中构建完全逻辑隔离，可自主掌控的专有网络，让您在自定义的虚拟网络中部署金山云各种服务，包括云服务器、裸金属服务器、负载均衡、云数据库等云服务资源。此外，您也可以通过专线/IPsec VPN等连接方式将VPC和您的已有数据中心一起构建混合云解决方案，实现平滑迁移上云。

产品架构

产品组成

虚拟私有网络至少由1个私网网段、路由、子网组成；

• 私网网段：在创建虚拟私有网络和子网之前，需要指定虚拟私有网络使用的私网网段；推荐使用192.168.0.0/16、172.16.0.0/12、10.0.0.0/8等作为私网网段；

网段	说明
192.168.0.0/16~28	可用IP数量最多为65,532
10.0.0.0/8~28	可用IP数量最多为1,048,572
172.16.0.0/12~28	可用IP数量最多为16,777,212
自定义网段	除198.18.0.0/15, 100.64.0.0/10, 240.0.0.0/4, 11.255.0.0/16, 35.0.0.0/8, 33.0.0.0/8及其子网外的自定义网段

• 子网：一个虚拟私有网络由至少一个子网组成，虚拟私有网络内的云资源必须部署在子网内，子网的网段必须在虚拟私有网络的私有网段范围内。
  目前金山云子网有3种类型，不同类型的子网用于部署不同资源；

  • 云服务器子网：用于部署云服务器资源；
  • 裸金属服务器子网：用于部署裸金属服务器资源；
  • 终端子网：用户部署负载均衡、数据库、文件存储；

• 路由（路由表）：用户在创建虚拟私有网络时，会默认创建子网相关的路由，以保证同一个虚拟私有网络下的所有子网互通。

高性能互联网访问

金山云VPC为您提供灵活、高性能的互联网连接方式，包括弹性IP、公网NAT。

连接方式	详述
弹性IP(EIP)	弹性IP（Elastic IP，简称EIP）是与用户账户相关联的IP地址，可以绑定到用户的任何一台云服务器、物理机或负载均衡上；拥有多种灵活的计费方式，可以满足各种业务场景的需求。
公网NAT	NAT (Network Address Translation)网络地址转换是一种将虚拟私有网络中内网IP 地址和公网IP地址进行转换的网关，能够让虚拟私有网络内无公网IP的云服务器或云物理主机访问互联网。NAT支持最大满足15Gbps流量。通过多机热备实现高可用，单机出故障自动切换，业务无感知。

稳定、可靠的用户数据中心连接

如果您希望构建企业的混合云部署，那么可以使用公网VPN/专线接入连接您的云上计算资源及本地数据中心。

• VPN连接是一种通过公网加密通道连接您IDC和金山云私有网络的方式。您可以在控制台创建私有网络的VPN网关、对端网关和支持IPsec加密协议的VPN通道，快速实现私有网络和您本地数据中心的安全通信，助力您快速部署混合云。
• 专线接入是一种通过物理专线打通您的数据中心和虚拟私有网络，帮助您建立灵活、可靠的混合云网络连接。

云上资源灵活互通

您可以通过对等连接和基础网络互通实现私有网络内的资源与其它云资源的互通。

• 对等连接是一种用于跨VPC网络数据同步的互联服务，打通对等连接的两个VPC之间就像同一个VPC网络一样。您可以实现同地域或跨地域的相同/不同账号的VPC互联，通过在两端配置路由策略，可以实现不同VPC的流量互通。对等连接不依赖某个独立硬件，因而不存在单点故障或带宽瓶颈。
• 基础网络互通是指将基础网络内的云服务器关联至指定私有网络的服务，可以打通基础网络中的云服务器与私有网络之间的网络通信，实现内网资源平滑连接。

安全控制

您可以通过网络访问控制列表和安全组实现端口和实例维度的资源访问控制。帮助您提高云资源的安全性。

• 网络访问控制列表（Access Control List, ACL）是一个子网级别的无状态安全规则，是一个可选安全层，可作为防火墙，以控制进出子网的数据流，可以精确到协议和端口维度。您可以设置网络 ACL，使其规则与您的安全组相似，以便为您的 VPC 添加额外安全层。

• 安全组是一个实例级别的包过滤功能的虚拟防火墙，它用于设置单台或多台实例的网络访问控制。您可以将同一地域内具有相同网络安全隔离需求的云服务器实例加到同一个安全组内，通过网络策略对云服务器的出入流量进行安全过滤。