文档中心

虚拟私有网络和子网

虚拟私有网络

虚拟私有网络(Virtual Private Cloud)能帮助您在金山云构建出独立的网络空间,与您在数据中心运行的传统网络极其相似,但是托管在金山云私有网络内的是您在金山云上的服务资源,包括:云主机、负载均衡、云数据库等云服务资源。金山云私有网络为您提供以下功能:

  • 通过控制台和 API 自定义网段划分、IP地址、路由策略等
  • 通过弹性 IP 、NAT 网关灵活访问 Internet
  • 通过 VPN 和专线接入将私有网络与您的数据中心连通
  • 通过对等连接服务可实现两地三中心容灾
  • 通过安全组和网络 ACL 可以多维度、全方位的满足您的网络安全需求。

用户在创建 VPC 时,需要以无类域间路由(CIDR)块(例如 10.0.0.0/16)的形式为 VPC 指定 IP 地址组。私有网络有地域属性,金山云可以创建位于北京6区、上海2区或香港2区的虚拟私有网络。

子网

子网是 VPC 内的 IP 地址块,私有网络中的所有云资源都必须部署在子网内。子网具有可用区属性,在创建 VPC 后,您可以在私有网络所属地域下的每个可用区中添加子网。可用区设计目的是隔离其他可用区的故障,通过启动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响。

私有网络的IP地址

您可以通过指定CIDR(无类别域间路由)实现对私有网络和子网整体 IP 划分,金山云私有网络中使用的IP地址分为三类:

  • 内网IP地址: VPC 内的实例必须指配的IP地址,用于 VPC 中实例之间的通信,无法用于 Internet 通信。
  • 公网IP地址:用于 Internet 访问的 IP 地址,并可用于实例与 Internet 之间或与其他具有公共终端节点的金山云资源(如金山云数据库)之间的通信。
  • 弹性IP(EIP):可以独立申请的公网 IP 地址,支持与 KEC/SLB 实例的动态绑定和解绑。

CIDR

CIDR(无类别域间路由,Classless Inter-Domain Routing)是由用户指定的独立网络空间地址块,通过IP和掩码结合,实现对网络的整体划分。以 10.2.0.0/16 为例,斜杠左边为网络块的IP,斜杠右边为网络块的掩码。通过设定掩码的大小就可以调整网络块的大小。网络块包括的IP数 = 2^(32-掩码),因而 10.2.0.0/16 网络块最多包含65536个IP地址。

在规划CIDR时需要注意:

  • 私有网络在创建时候必须指定 CIDR,创建后不可修改。
  • 子网的 CIDR 必须是所在私有网络 CIDR 的一部分。
  • 目前,私有网络 CIDR 的掩码支持/21至/8之间,亦即私有网络空间最少包含2048个、最大包含16,777,216个 IP 地址。
  • 建立对等连接的私有网络之间的CIDR不能重叠。

使用约束

关于虚拟私有网络、子网您需要注意的是:

  • 虚拟私有网络有地域属性,支持在同地域内多个可用区之间部署。
  • 虚拟私有网络创建后无法更改大小,如果需要您可以删除当前 VPC 并重新创建一个私有网络。
  • 虚拟私有网络不支持支持多播或广播。
  • 虚拟私有网络可以包含多个子网,每个子网的网络块均为私有网络CIDR的子集,多个子网的CIDR网络块不可以重叠。
  • 子网有可用区属性,不支持跨可用区部署,且子网的可用区只能是其私有网络地域下的可用区,子网中的云主机需与子网在同一个可用区。
  • 新建虚拟私有网络和子网时候需指定 CIDR 且创建后无法更改,我们建议您创建时为虚拟私有网络和子网留出足够的IP资源以防业务扩容导致网络资源不足。
  • 用户需要先创建好虚拟私有网络并划分子网后才可以在虚拟私有网络部署云服务资源,比如云主机和数据库等。
  • 每个子网会保留4个IP :网络IP 、广播IP 、网关IP、保留IP,当前金山云VPC子网默认最大可允许使用的IP地址是1个C,如果子网大于1个C,那么DHCP范围以外的IP不可用
  • 私有网络中添加云主机时,系统会在指定子网内为该实例默认随机分配一个内网 IP,用户可以在子机创建后重新指定每台云主机的内网 IP。
  • 云服务器一旦选择了私有网络便不可变更,但支持在私有网络内更换子网。
  • 云服务器更改私有网络的内网 IP 地址会导致主机重启,耗时会有一定差异,一般在两分钟左右。
  • 虚拟私有网络内一台云服务器只能绑定一个内网 IP 和一个公网 IP
  • 每个子网必须关联一个路由表,通过设定路由表可以指定子网的网络路由。