专有网络VPC有什么优势？

专有网络VPC具有安全可靠、灵活可控、简单易用的特性和较强的可扩展性。

• 安全可靠

  每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。VPC之间通过隧道号进行隔离：

  • 由于VPC内部存在交换机和路由器，因此可以像传统网络环境一样划分子网。每一个子网内部的不同云服务器使用同一个交换机互联，不同子网间使用路由器互联。
  • 不同VPC之间内部网络完全隔离，可以通过对外映射的IP（弹性公网IP和NAT IP）互连。
  • 由于使用隧道封装技术对云服务器的IP报文进行封装，所以云服务器的数据链路层（二层MAC地址）信息不会进入物理网络，实现了不同云服务器间二层网络隔离，因此也实现了不同VPC间二层网络隔离。
  • VPC内的云服务器使用安全组防火墙进行三层网络访问控制。

• 灵活可控

  您可以通过安全组规则、访问控制白名单等方式灵活地控制访问VPC内云资源的出入流量。

• 简单易用

  您可以通过VPC控制台快速创建、管理VPC。VPC创建后，系统会自动为其创建一个路由器和路由表。

• 可扩展性强

  您可以在一个VPC内创建不同的子网，部署不同的业务。此外，您可以将一个VPC和本地数据中心或其他VPC相连，扩展网络架构。

专有网络VPC有哪些实际应用？

• 安全部署应用程序

  您可以将对外提供服务的应用程序部署在VPC中，并且可以通过创建安全组规则、访问控制白名单等方式控制互联网访问。您也可以在应用程序服务器和数据库之间进行访问控制隔离，将Web服务器部署在能够进行公网访问的子网中，将应用程序的数据库部署在没有配置公网访问的子网中。

• 部署主动访问公网的应用程序

  您可以将需要主动访问公网的应用程序部署在VPC中的一个子网内，通过公网NAT网关路由其流量。通过配置SNAT规则，子网中的实例无需暴露其私网IP地址即可访问互联网，并可随时替换公网IP，避免被外界攻击。

• 跨可用区容灾

  您可以通过创建交换机为VPC划分一个或多个子网。同一VPC内不同交换机之间内网互通。您可以通过将资源部署在不同可用区的交换机中，实现跨可用区容灾。

• 业务系统隔离

  不同的VPC之间逻辑隔离。如果您有多个业务系统例如生产环境和测试环境要严格进行隔离，那么可以使用多个VPC进行业务隔离。

• 构建混合云

  VPC提供专用网络连接，可以将本地数据中心和VPC连接起来，扩展本地网络架构。通过该方式，您可以将本地应用程序无缝地迁移至云上，并且不必更改应用程序的访问方式。

专有网络VPC的工作原理是什么？

基于目前主流的隧道技术，专有网络VPC隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应一个虚拟化网络。

虚拟化网络背景信息

随着云计算的不断发展，人们对虚拟化网络的要求越来越高，例如弹性（scalability）、安全性（security）、可靠性（reliability）和私密性（privacy），并且还有较高的互联性能（performance）等需求，因此催生了多种多样的网络虚拟化技术。

比较早的解决方案，是将虚拟机的网络和物理网络融合在一起，形成一个扁平的网络架构，例如大二层网络。随着虚拟化网络规模的扩大，这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题，出现了各种网络隔离技术，把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用VLAN进行隔离，但是VLAN的数量最大只能支持4096个，无法支撑巨大的用户量。

专有网络的组成部分

每个专有网络都由至少一个私网网段、一个虚拟路由器和至少一个交换机组成。

• 私网网段

  在创建专有网络和交换机时，您需要以CIDR地址块的形式指定专有网络使用的私网网段。

  您可以使用下表中标准的私网网段及其子网作为VPC的私网网段，也可以使用自定义地址段作为VPC的私网网段。

  网段	说明
  192.168.0.0/16	可用私网IP数量（不包括系统保留地址）：65,532
  172.16.0.0/12	可用私网IP数量（不包括系统保留地址）：1,048,572
  10.0.0.0/8	可用私网IP数量（不包括系统保留地址）：16,777,212
  自定义地址段	除100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子网外的自定义地址段。

• 虚拟路由器

  虚拟路由器（vRouter）是专有网络的枢纽。作为专有网络中重要的功能组件，它可以连接专有网络内的各个交换机，同时也是连接专有网络和其他网络的网关设备。每个专有网络创建成功后，系统会自动创建一个虚拟路由器。每个虚拟路由器至少关联一张路由表。

• 交换机

  交换机（vSwitch）是组成专有网络的基础网络设备，用来连接不同的云资源。创建专有网络后，您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内，提高应用的可用性。

专有网络原理描述

基于目前主流的隧道技术，专有网络隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。

• 一个VPC内的ECS（Elastic Compute Service）实例之间的传输数据包都会加上隧道封装，带有唯一的隧道号标识，然后通过物理网络进行传输。
• 不同VPC内的ECS实例由于所在的隧道号不同，本身处于两个不同的路由平面，因此不同VPC内的ECS实例无法进行通信，天然地进行了隔离。

基于隧道技术和软件定义网络SDN（Software Defined Network）技术，阿里云在硬件网关和自研交换机设备的基础上推出了VPC产品。

专有网络逻辑架构

如下图所示，VPC包含交换机、网关和控制器三个重要的组件。交换机和网关组成了数据通路的关键路径，控制器使用自研协议下发转发表到网关和交换机，完成了配置通路的关键路径。配置通路和数据通路互相分离。VPC中的交换机是分布式的节点，网关和控制器都是集群部署且多机房互备，所有链路上都具备冗余容灾，提升了VPC的整体可用性。