目前，不少企业都利用云计算和虚拟化技术提升 IT 系统灵活性、敏捷性和成本效益。然而，云环境的“多租户”特性也为业务安全带来了新的挑战，如何保障不同业务主体或租户之间的数据安全和网络隔离，成为企业关注的焦点。

作为 SmartX 软件定义的网络与安全产品，Everoute 3.0.0 版本中引入了虚拟专有云网络（VPC）功能，为企业云网络提供更细致的安全隔离能力，搭配原有的分布式防火墙、负载均衡、网络流量可视化、容器网络等功能特性，为用户提供与超融合一体化管理的网络和安全解决方案。

下载《Everoute 虚拟专有云网络技术白皮书》，深入了解 VPC 技术架构与功能特性。

为什么企业云化数据中心需要 VPC

不少企业都基于虚拟化/超融合架构构建云化数据中心，提升资源利用率和架构灵活性。在基于虚拟交换机网络中，用户可以通过 VLAN 实现二层网络隔离——VLAN 将二层网络在逻辑上划分为多个不同的虚拟局域网，不同的服务配置不同的 VLAN ID，从而减少业务间的互相影响、提升网络安全性。不过，基于 VLAN 的虚拟交换机本质上依旧属于底层网络（Underlay），在隔离性、灵活性和高可用支持等方面，依旧存在一些弊端：

• 难以实现业务主体间的完全隔离：虽然可以使用不同的 VLAN ID 进行二层网络的分隔，但三层网络可能还是互通的，难以实现业务主体间的完全分隔。而且，如果两个虚拟机配置了同一个 VLAN ID，虚拟机网络间就是二层互通的，难以实现隔离。
• 难以灵活实现网络配置和更改：虚拟交换机在本质上依旧无法实现与物理网络的完全解耦，再加上 VLAN 自身技术限制，为网络的运维管理带来一些挑战：◇ VLAN 的设置存在数量限制（上限为 4094），为了避免使用冲突，需要网络管理员进行严格规划和管理，难以灵活、高效地进行网络配置。◇ 基于虚拟交换机的网络拓扑和功能与硬件网络设备紧密关联，如果需要修改网络配置，可能需要替换硬件设备或升级功能许可，不能充分发挥虚拟化环境的敏捷优势。

• 对容灾场景的支持能力欠佳：由高可用机制或容灾机制在不同站点恢复的虚拟机，可能由于不同的硬件网络配置而无法正常工作，需要管理员变更虚拟机网络配置或物理网络配置，导致 RTO 被不确定地延长，损害了业务连续性。

为了解决这些问题，企业用户需要在 Underlay 网络之上构建覆盖网络（Overlay），实现与底层物理网络之间的解耦，并为虚拟机提供安全隔离的网络空间。

Everoute 虚拟专有云网络（VPC）

Everoute 虚拟专有云网络（VPC）是 SmartX 的虚拟化网络产品，基于 GENEVE 协议（增强版 VXLAN 协议）的覆盖虚拟化网络技术，实现了虚拟专有云网络与底层物理网络之间的解耦，可以为虚拟机提供安全隔离的网络空间，并通过虚拟化网络功能实现虚拟网络内部和外部的安全互联互通，使用户可以更加快速灵活地在多个数据中心部署统一的企业云网络。

功能特性

自定义的逻辑隔离空间

支持自定义构建多个逻辑隔离的 VPC。用户可以在其中创建专属 VPC 资源、管理自己的子网结构、按需分配 IP 地址、以及通过网关与安全服务等功能实现对流量的自主控制。

丰富的网关功能

支持配置多种网关功能，使 VPC 内的虚拟机能够灵活与外部进行安全互联，满足各类业务主体的网络通信需要。

开放的云网协作模式

通过开放的 API 与各种云平台无缝对接，为企业提供自动化和灵活的网络配置选项，以更好地支持敏态云应用。

产品优势

• 广泛硬件兼容：用户可以在各种标准服务器和网络硬件基础上构建跨集群、跨数据中心的虚拟化网络，不同集群可使用不同架构的 CPU。
• 快速网络就绪：无需从零规划硬件网络设备，快速创建多样的虚拟网络拓扑及网络服务，加快网络就绪速度，更加符合应用对敏捷性的要求。网络运维人员只需维护 Overlay 与 Underlay 间的通信能力，VPC 内的网络资源及配置变更均无需涉及硬件设备或物理网络的改动，极大地降低了网络运维复杂性。
• 跨站点高可用：虚拟机可以被复制、迁移到其他数据中心或站点运行，在灾备场景下实现更小的 RTO。跨集群的虚拟机迁移无需指定任何网络映射，能够在保持 IP 和路由等网络配置不变的情况下快速完成虚拟机位置的变更。
• 云网统一管理：将集群关联至虚拟专有云网络功能，即可令集群上的虚拟机使用 VPC 网卡，并享受到 VPC 内各类网关及安全功能的服务。用户可以在直观的图形化界面上完成虚拟机与云网络统一的管理、配置、监控和运维，充分体验云网一体带来的易用性和敏捷性。

应用场景

实现业务主体间的网络隔离，保障业务安全

用户需要在灵活、敏捷、高效、综合成本低的前提下，既保障业务访问流程的通畅，又能实现云/虚拟化环境中不同业务主体或（多租户）之间的隔离，从而减少潜在的安全威胁和数据泄露的风险。例如，公司有两个不同的软件项目开发组，A 组负责开发在线商城平台，B 组负责开发企业资源规划系统。这时可以为每个开发组创建独立的 VPC，用于部署各自项目所需的虚拟机、数据库等资源；两个 VPC 之间的网络完全隔离，A 组开发人员无法访问 B 组 VPC 内的任何资源，反之亦然。这就实现了以业务为中心的全栈资源隔离。

在网络运维方面，基于 Overlay 网络技术创建的 VPC 进行网络隔离，极大地简化了 VLAN 和 IP 地址段的规划工作。在传统网络中，我们需要为每个开发组单独划分 VLAN 和 IP 地址段，并进行复杂的配置。而使用 VPC 后，每个 VPC 就如同一个独立的网络，可以使用重叠的 IP 地址段，也不需要依赖管理员指定的 VLAN 进行隔离。每个 VPC 内部的网络配置和管理都由开发组自己负责，大大降低了网络管理的复杂度，提高了运维效率。同时，每个 VPC 内部的网络可以被划分为更小的子网，每个子网、每个/每组虚拟机都可以作为独立的安全区域，用户也可对每个区域实施精细的安全策略控制。

与硬件解耦，提升网络灵活性与部署效率

得益于 Everoute VPC 所采用的基于 Geneve 协议的 Overlay 虚拟化网络技术，VPC 与底层物理网络之间实现了隔离和解耦。所有网络功能都以虚拟化的形式呈现并以软件定义的方式进行统一管理。这意味着用户可以快速创建多样的虚拟网络拓扑和网络服务，例如虚拟交换机、虚拟路由器、分布式防火墙等，而无需等待复杂的硬件网络设备配置变更流程，从而极大地提升了网络敏捷性，缩短业务上线时间。

例如，某公司在不同数据中心采用了不同时期、不同厂商的网络设备，网络架构和配置存在较大差异，难以实现统一管理。采用 Everoute VPC，可以在不同物理网络基础上，为多个 SmartX 集群创建出具有相同逻辑拓扑和功能的虚拟专有云网络（VPC）。虚拟化网络的配置和管理完全不受限于底层物理网络的拓扑结构和功能限制，无需担心不同时期、不同厂商的网络硬件设备差异带来的兼容性问题。在这个例子中，用户能够快速灵活地创建和调整 VPC 网络配置，以适应不断变化的业务需求；而传统的物理网络配置变更流程复杂且耗时，无法满足企业业务迅速发展对网络敏捷化的要求。

高效支持跨站点高可用与负载均衡

随着业务的扩张和对服务连续性要求的提高，企业往往需要将业务应用部署到多个地理位置分散的数据中心，以实现负载均衡、容灾备份以及跨地域的服务覆盖。为了满足这些需求，Everoute VPC 提供了强大的跨数据中心网络虚拟化解决方案，帮助企业构建灵活弹性的业务部署架构。基于 Overlay 技术的逻辑网络，能够将业务应用无缝扩展到不同集群、机架、机房甚至数据中心，实现跨地理位置的网络虚拟化和统一管理。用户可以在一个 Everoute VPC 中同时关联主备站点的集群，将多个地理位置分散的资源整合到一个逻辑网络中，简化管理复杂度。

基于 Eveorute VPC 构建的跨数据中心虚拟化网络，能够满足企业的如下需求：

• 灵活的业务扩展: 客户可以根据业务需求，将应用灵活地部署到不同的数据中心，并能够实现跨数据中心的网络互联和资源调度，满足业务快速增长的需求。
• 高效的负载均衡: Everoute 结合跨数据中心的负载均衡，可以根据预设策略将业务流量分发到不同的数据中心，提高资源利用率，提升应用性能。
• 可靠的灾难恢复: 当其中一个数据中心发生故障时，SmartX 企业云的高可用机制可以将业务虚拟机快速迁移至其他正常运行的数据中心，并依赖 VPC 逻辑网络功能快速恢复业务（无需额外网络调整），最大程度地减少业务中断时间（RTO），保障业务连续性。

您还可下载《Everoute 虚拟专有云网络技术白皮书》，进一步了解虚拟专有云网络在 SMTX OS（ELF）和 SMTX ELF 下的实现架构和技术原理。