跳转至

2.4 私有网络及最佳实践

课程简介

网络是云计算的“高速公路”,决定了业务的连通性、安全性和性能。本课程将带您深入腾讯云网络的核心——私有网络(VPC),并延伸至负载均衡(CLB)与内容分发网络(CDN),从基础概念到复杂的混合云架构规划,全方位解析云网络的设计方法与最佳实践。

学习目标

通过本课程的学习,您将能够:

  • 理解 VPC 核心概念:掌握 CIDR、子网、路由表、网络 ACL、安全组等基础组件的作用。
  • 掌握网络规划方法:学会如何科学地规划 VPC 网段、划分高可用子网及设计路由策略。
  • 构建混合云架构:熟练运用云联网(CCN)、专线(DC)、VPN、对等连接等技术实现跨地域、跨云及云地互联。
  • 设计高可用方案:掌握跨可用区容灾、两地三中心及全球业务加速的网络设计模式。

第一部分:私有网络 (VPC) 概述与架构

本部分导读
VPC 是您在云上的“自留地”。本部分将解构 VPC 的底层逻辑架构及其核心组成部分,为您构建安全隔离的云上网络奠定基础。

一、私有网络 VPC 基础

1.1 什么是私有网络 (VPC)

私有网络(Virtual Private Cloud,VPC)是用户在腾讯云上自定义的逻辑隔离网络空间。 - 隔离性:不同 VPC 之间默认完全隔离,确保租户数据安全。 - 可控性:用户完全掌控 IP 地址规划、子网划分、路由策略和安全规则。 - 扩展性:支持通过 VPN、专线等方式与本地数据中心(IDC)构建混合云。

1.2 VPC 逻辑架构 (SDN 技术)

腾讯云 VPC 基于软件定义网络(SDN)和 Overlay 技术构建:

graph TD
    Controller[SDN 网络控制器] -- 控制平面同步 --> Gateway[网络节点/网关]
    Controller -- 控制平面同步 --> vSwitch[分布式虚拟交换机]

    subgraph 宿主机
        vSwitch -- 数据平面转发 --> VM[云服务器 CVM]
    end

    Gateway -- 南北向流量 --> Internet[互联网/外网]
  • 网络控制器:大脑。通过自研协议同步路由、状态及监控信息。
  • 分布式虚拟交换机 (vSwitch):部署在宿主机上,处理东西向流量(内网互通),负责 Overlay 封装/解封装。
  • 网络网关:处理南北向流量(进出外网),提供 NAT、VPN 等服务。

1.3 VPC 核心组成部分

组件 说明 关键特性
私有网络 (VPC) 逻辑隔离的网络空间 创建时需指定 CIDR(如 10.0.0.0/16)。
子网 (Subnet) VPC 内的 IP 地址块 具有可用区属性。同一 VPC 下不同子网默认内网互通。
路由表 (Route Table) 网络流量的导向规则 包含系统路由(默认互通)和自定义路由。
安全组 (Security Group) 实例级别的虚拟防火墙 有状态,控制 CVM 出入站流量。
网络 ACL 子网级别的无状态防火墙 作为安全组之外的第二道防线。

二、VPC 的核心优势

  1. 灵活自定义:像管理传统物理网络一样管理云网络,可视化的网络拓扑。
  2. 弹性扩展:子网和路由策略可随时调整,支持与 IDC 无缝扩展。
  3. 高可靠性:支持多可用区部署,单可用区故障不影响整体网络连通性。
  4. 成本效益:VPC 本身免费,仅对公网带宽、VPN 网关等资源收费。

第二部分:网络连接与互通服务

本部分导读
孤岛没有价值。本部分将详细介绍如何打破 VPC 边界,实现 VPC 之间、VPC 与 IDC 之间的高效互联。

一、连接云上与云下

1.1 专线接入 (Direct Connect)

  • 定义:物理专线连接,提供独享、私密、高带宽的通道连接本地 IDC 与腾讯云。
  • 优势
    • 低延迟、高吞吐:适合大数据迁移、核心业务混合部署。
    • 高安全性:物理隔离,不经过公网。
    • 双线冗余:支持双链路主备或负载均衡,消除单点故障。

1.2 VPN 连接

  • IPsec VPN:站点到站点(Site-to-Site)。连接企业 IDC/办公区与 VPC,适合中小规模混合云,成本低。
  • SSL VPN:端到站点(Client-to-Site)。连接移动终端(员工电脑/手机)与 VPC,适合远程办公

1.3 云联网 (CCN) —— 旗舰级互联产品

云联网是腾讯云的“核心路由交换网”。它能将 VPC、专线网关、VPN 网关等网络实例“一键”连接起来,实现全网互通。 - 场景: - 跨地域互通:北京 VPC <--> 上海 VPC。 - 混合云互通:北京 IDC <--> 广州 VPC。 - 全球加速:利用腾讯骨干网加速跨国数据传输。

1.4 对等连接 (Peering Connection)

  • 定义:两个 VPC 之间的点对点直连。
  • 限制不具备传递性(A连B,B连C,A不能连C)。
  • 适用:小规模、简单的两两互通场景。

二、访问互联网 (Internet)

2.1 NAT 网关 (公网 NAT)

  • 功能
    • SNAT:让无公网 IP 的服务器主动访问互联网(如下载补丁)。
    • DNAT:将公网 IP 映射给内网服务器使用(如对外提供服务)。
  • 优势
    • 高可用:双机热备,自动切换(高达 99.99% 可用性)。
    • 高性能:支持千万级连接数(普通公网网关仅 50 万)。
    • 安全性:隐藏后端真实 IP。

2.2 5G 接入服务

  • 定义:允许 4G/5G 物联网终端不经过公网,直接通过运营商专网接入腾讯云 VPC。
  • 价值:更低延迟、更高安全性,适用于车联网、工业互联网。

2.3 共享流量包与带宽包

  • 共享流量包:预付费流量包,抵扣按流量计费产生的费用,降低成本。
  • 共享带宽包:多个公网 IP 共享一份带宽峰值,提高带宽复用率(如 10 台机器共享 1Gbps)。

第三部分:私有网络规划指南

本部分导读
“三分建设,七分规划”。良好的网络规划是业务稳定运行的基石,后期整改成本极高。

一、VPC 与子网规划原则

1.1 VPC 数量规划

  • 单 VPC:业务量小、单一地域、无需强隔离。
  • 多 VPC
    • 多地域业务:VPC 属于地域属性,不同地域必须创建不同 VPC。
    • 业务强隔离:生产环境与测试环境隔离,或不同部门间隔离。

1.2 网段 (CIDR) 规划

核心原则:避免冲突,预留空间。 - VPC CIDR:建议使用 10.0.0.0/16, 172.16.0.0/16, 192.168.0.0/16。 - 如果需要与 IDC 互通,必须确保 VPC 网段与 IDC 网段不重叠。 - 子网 CIDR: - 建议使用 /24 掩码(256 个 IP),便于管理。 - 不同子网网段不能重叠。

1.3 路由表规划

  • 默认路由表:适用于所有子网互通策略一致的简单场景。
  • 自定义路由表
    • 公网子网:关联路由表配置 0.0.0.0/0 指向互联网网关/NAT 网关。
    • 私有子网:关联路由表不配置公网路由,仅配置内网路由,增强安全性。

二、高可用与容灾规划

多可用区部署是 VPC 规划的金科玉律。 - 建议:每个 VPC 至少规划两个子网,分别位于不同的可用区(如广州三区、广州四区)。 - 目的:当一个可用区发生故障时,业务可快速切换到另一可用区的子网。

第四部分:VPC 最佳实践场景

场景一:混合云架构 (VPN + 专线)

需求:企业希望通过专线连通 IDC 与云上资源,同时需要一条备用链路,且希望员工能远程办公。

架构设计: 1. 主链路专线 (Direct Connect) 接入云联网,提供 10Gbps 高速通道。 2. 备链路IPsec VPN 接入云联网,当专线故障时自动切换路由。 3. 移动办公:部署 SSL VPN,员工通过客户端拨号接入 VPC 内网。

场景二:跨地域容灾 (两地三中心)

需求:金融级业务,要求同城双活,异地灾备。

架构设计

graph TD
    subgraph 地域A_北京_主中心
        AZ1[可用区1<br>业务主节点]
        AZ2[可用区2<br>业务备节点]
        AZ1 <--> AZ2
    end

    subgraph 地域B_上海_灾备中心
        AZ3[可用区1<br>异地冷备/热备]
    end

    地域A_北京_主中心 <-- 云联网CCN --> 地域B_上海_灾备中心
- 同城双活:在北京 VPC 内的可用区 1 和可用区 2 分别部署服务,负载均衡分发流量。 - 异地灾备:通过云联网打通北京与上海 VPC,实时或定时同步数据。

场景三:全球业务加速 (Anycast)

需求:游戏服务器部署在国内,但需要覆盖全球玩家。

架构设计: 1. 后端部署:游戏服部署在深圳 VPC。 2. 就近接入:在香港、美国等地的 VPC 部署负载均衡(CLB)。 3. 跨境加速:利用云联网的高速骨干网,将海外 CLB 接收的流量内网回传至深圳游戏服。 4. Anycast IP:使用任播 IP,全球玩家访问同一个 IP,自动路由到最近的接入点。

需求:SaaS 厂商(提供方)希望向多个客户 VPC(使用方)提供服务,但不想通过公网,也不想建立复杂的对等连接。

架构设计: - 服务提供方:在 VPC 内创建“终端节点服务”。 - 服务使用方:在自己的 VPC 内创建“终端节点”。 - 效果:使用方像访问本地 IP 一样访问提供方的服务,流量完全走腾讯云内网,安全且低延迟。

课程总结

知识点回顾

  1. VPC 本质:云上逻辑隔离的网络空间,由网段、子网、路由表、安全组构成。
  2. 互联神器
    • 云联网 (CCN):解决多 VPC、多地域、混合云的全网互通。
    • NAT 网关:解决高可用的公网出入访问。
  3. 规划核心:网段不冲突、子网跨可用区、路由策略精细化。

架构师实践清单 (Checklist)

在设计 VPC 架构时,请确认: - [ ] 网段规划:VPC 网段是否与线下 IDC 网段冲突? - [ ] 高可用:是否在至少两个可用区创建了子网? - [ ] 安全性:是否区分了公有子网(可访问外网)和私有子网(仅内网)? - [ ] 扩展性:子网的掩码是否预留了足够的 IP 空间(建议 /24)? - [ ] 成本:是否使用了共享带宽包或共享流量包来优化公网成本?

下一章,我们将深入讲解流量管理的艺术——2.5 负载均衡及最佳实践