基本概念

VPC：专有网络，云上用户自定义的私有网络。
vSwitch：交换机，组成专有网络的基础网络设备，交换机可以连接不同的云资源，在专有网络内创建云资源时，必须指定云资源所在连接的交换机。
vRouter：路由器，作为专有网络的枢纽，可以连接vpc的各个交换机，同时也是连接专有网络与其他网络的网关设备。路由器根据路由条目转发网络流量。
RouterTable：路由表，路由器上管理路由条目的列表。
RouterEntry：路由条目，定义了通向指定目标网段的网络流量的下一跳地址。路由条目包括系统路由和自定义路由两种类型。

VPC配置流程

创建VPC-》创建子网-〉配置路由-》安全配置-〉连通性测试

创建VPC

1、创建专有网络：地域、名称、ipv4/6网段、资源组
2、创建交换机：名称、可用区、ipv4/6网段

配置路由表

1、系统路由表与自定义路由表
创建vpc后系统会自动创建一张系统路由表，并为其添加系统路由表来管理vpc流量，vpc内所有交换机默认使用系统路由表。
系统路由表不能创建和删除，用户可在系统路由表中创建自定义路由条目，将自定义路由表和交换机绑定，方便灵活网络管理。
1）一个vpc最多10张路由表（含系统路由表）
2）一个交换机只能绑定一张路由表
3）多个交换机可绑定同一张路由表
4）交换机默认与系统路由表绑定
2、网关路由表
用户在vpc内创建自定义路由表（即网关路由表），将自定义路由表和ipv4网关绑定，以控制进入vpc的公网流量的路由，可以将公网流量重定向到vpc中的安全设备做统一安全防护。
###配置路由条目
路由条目由目标网段、下一跳、下一跳类型组成。
1）目标网段：希望网络流量传输到的ip地址范围
2）下一跳：用于传输网络流量的云产品，如ecs、vpc网关、弹性网卡
3）下一跳类型：选择的具体传输网络流量的云产品实例

vpc安全配置

vpc网络规划

业务问题：
1）应该使用几个vpc？
vpc是region级别的资源，不支持跨地域部署
通过vpc对等连接、vpc网关、云企业网等实现跨region vpc互通
vpc对等连接：两个vpc之间私网互通

2）应该使用几个交换机？
即使只使用一个vpc，也尽量至少部署两个虚拟交换机，并且两个虚拟交换机部署在不同的可用区，做到跨可用区容灾。
使用多少个虚拟交换机，和系统规模和业务规划有关。

3）应该选择什么网段？
1、规划vpc网段

1）只有一个vpc，且不需要和本地idc互通时，可以选择商标中任意网段或其子网
2）如果有多个vpc，或有vpc和本地idc构建混合云的需求时，建议使用三个标准网段子网，掩码建议不超过16位，且彼此不冲突
3）vpc网段的选择还需要考虑是否使用了经典网络。（10.0.0.0/8）
4）自定义地址段不支持使用100.64.0.0./10，244.0.0.0/8，169.254.0.0/16及其子网。
2、规划交换自网段
交换机的网段必须是其所属vpc网段的子集。
例如vpc网段是192.168.0.0./16，那么该vpc下的交换机网段可以是192.168.0.0/17，一直到192.168.0.0./29

3、规划示例

4）vpc与vpc或vpc与数据中心互通有什么要求？

有vpc与vpc互通或vpc与本地数据中心互通需求时，确保vpc网段与需要联通的网络网段没有冲突。建议遵循一下规则：
1）vpc可以使用标准网段的子网增加vpc可用的网段数。尽量做到不同vpc的网段不同。
2）如果不能做到不同vpc网段不同，尽量保证不同vpc的交换机网段不同。
3）如果不能做到不同vpc交换机网段不同，则保证要通信的交换机网段不同。

私网vpc产品：云企业网、对等连接、vpn网关、智能接入网关、高速通道
公网vpc产品：固定公网IP、弹性公网IP（EIP）、NAT网关（支持多台vpc实例访问公网【snat】和被公网访问【dnat】）、负载均衡

专有网络应用实践：
1）部署主动访问公网的应用程序
a、可以将需要主动访问公网的应用部署在vpc中同一个子网中，通过公网NAT网关路由其流量
b、可以通过配置SNAT规则，子网中的实例无需暴露其私网IP即可访问互联网，并可以随时替换公网IP，避免被外界攻击。
2）业务系统隔离
a、不同vpc之间逻辑隔离，使用多个vpc进行业务隔离

b、有互通需求时，可以将两个vpc加入云企业网（cen）实现互通
3）构建混合云
a、vpc提供专有网络连接，可以将本地数据中心和vpc连接
b、可以将本地应用程序无缝迁移到云上