什么是虚拟化私有云

简介

虚拟私有云(Virtual Private Cloud,VPC),为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外,您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通,灵活整合资源,构建混合云网络。

VPC使用网络虚拟化技术,通过链路冗余,分布式网关集群,多AZ部署等多种技术,保障网络的安全、稳定、高可用。

产品架构

虚拟私有云VPC产品架构可以分为:VPC的组成、安全、VPC连接

VPC组成部分

每个虚拟私有云VPC由一个私网网段、路由表和至少一个子网组成。

  1. 私网网段:用户在创建虚拟私有云VPC时,需要指定虚拟私有云VPC使用的私网网段。当前虚拟私有云VPC支持的网段有10.0.0.0/8~24、172.16.0.0/12~24和192.168.0.0/16~24。
  2. 子网:云资源(例如云服务器、云数据库等)必须部署在子网内。所以,虚拟私有云VPC创建完成后,您需要为虚拟私有云VPC划分一个或多个子网,子网网段必须在私网网段内。更多信息请参考子网
  3. 路由表:在创建虚拟私有云VPC时,系统会自动生成默认路由表,默认路由表的作用是保证了同一个虚拟私有云VPC下的所有子网互通。当默认路由表中的路由策略无法满足应用(比如未绑定弹性公网IP的云服务器需要访问外网)时,您可以通过创建自定义路由表来解决。更多信息请参考路由表简介

安全

安全组与网络ACL(Access Control List)用于保障虚拟私有云VPC内部署的云资源的安全。安全组类似于虚拟防火墙,为同一个VPC内具有相同安全保护需求并相互信任的云资源提供访问策略,更多信息请参考安全组简介;您可以为具有相同网络流量控制的子网关联同一个网络ACL,通过设置出方向和入方向规则,对进出子网的流量进行精确控制,更多信息请参考网络ACL简介

VPC连接

华为云提供了多种VPC连接方案,以满足用户不同场景下的诉求。具体应用场景及连接方案请参见应用场景

  1. 通过VPC对等连接功能,实现同一区域内不同VPC下的私网IP互通。
  2. 通过EIP或NAT网关,使得VPC内的云服务器可以与公网Internet互通。
  3. 通过虚拟专用网络VPN、云连接、云专线及企业交换机将VPC和您的数据中心连通。

如何访问虚拟私有云

通过管理控制台、基于HTTPS请求的API(Application Programming Interface)两种方式访问虚拟私有云。

管理控制台方式

管理控制台是网页形式的,您可以使用直观的界面进行相应的操作。登录管理控制台,从主页选择“虚拟私有云”。

API方式

如果用户需要将云平台上的虚拟私有云集成到第三方系统,用于二次开发,请使用API方式访问虚拟私有云,具体操作请参见《虚拟私有云API参考》

虚拟化私有云产品优势

灵活配置

自定义虚拟私有网络,按需划分子网,配置IP地址段、DHCP、路由表等服务。支持跨可用区部署弹性云服务器。

安全可靠

VPC之间通过隧道技术进行100%逻辑隔离,不同VPC之间默认不能通信。网络ACL对子网进行防护,安全组对弹性云服务器进行防护,多重防护您的网络更安全。

互联互通

默认情况下,VPC与公网是不能通信访问的,我们提供了弹性公网IP、弹性负载均衡、NAT网关、虚拟专用网络、云专线等多种方式连接公网。

默认情况下,两个VPC之间也是不能通信访问的,我们提供对等连接的方式,使用私有IP地址在两个VPC之间进行通信。

对于云上和云下网络二层互通问题,企业交换机支持二层连接网关功能,允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。

提供多种连接选择,满足企业云上多业务需求,让您轻松部署企业应用,降低企业IT运维成本。

高速访问

使用全动态BGP协议接入多个运营商,可支持20多条线路。可以根据设定的寻路协议实时自动故障切换,保证网络稳定,网络时延低,云上业务访问更流畅。

优势对比

虚拟私有云相比传统IDC的优势如表所示

对比项
虚拟私有云
传统IDC

部署周期

用户无需工程规划,布线等复杂工程部署的工作。

用户基于业务需求在华为云上自主规划私有网络、子网和路由。

用户需要自行搭建网络并进行测试,整个周期很长,而且需要专业技术支持。

总成本

华为云网络服务提供了多种灵活的计费方式,加上客户无需前期投入和后期网络运维,整体上降低了TCO。

用户需要机房、供电、施工、硬件物料等固定重资产投入,也需要专业的运维团队来保障网络安全。随着业务变化,资产管理成本也会随之上升。

灵活性

华为云提供多种网络服务,用户可以根据具体需求搭配服务。当业务发展需要更多的网络资源(如带宽资源)时,可以方便快捷的进行动态扩展。

业务部署需要严格遵守前期网络规划,当业务需求发生变化时,无法便捷的动态调整网络。

安全性

VPC逻辑隔离,结合网络控制ACL、安全组功能和DDoS等安全服务,保障了云上资源的安全使用。

网络很难得到专业维护,安全性较差,需要配置专业的网络安全人员来看护。

网络VPC功能

  • 子网

    子网是VPC内的IP地址块,可以将VPC的网段分成若干块,子网划分可以帮助您合理规划IP地址资源。

    子网是VPC内的IP地址块,可以将VPC的网段分成若干块,子网划分可以帮助您合理规划IP地址资源。

  • 对等连接

    对等连接是指VPC之间的网络连接,通过对等连接,您可以实现同区域VPC互通。

    对等连接是指VPC之间的网络连接,通过对等连接,您可以实现同区域VPC互通。

  • 共享宽带

    共享宽带可以实现多个弹性公网IP共同使用一条宽带,可以节省企业的网络运营成本,同时方便运维统计。

    共享宽带可以实现多个弹性公网IP共同使用一条宽带,可以节省企业的网络运营成本,同时方便运维统计。

  • 虚拟专用网络

    用于在远端用户和VPC之间建立一条安全加密的通信隧道,使远端用户通过VPN直接使用VPC中的业务资源。

    用于在远端用户和VPC之间建立一条安全加密的通信隧道,使远端用户通过VPN直接使用VPC中的业务资源。

  • 安全组

    安全组是一个逻辑上的分组,为具有相同保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。

    安全组是一个逻辑上的分组,为具有相同保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。

  • 弹性公网IP

    弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑,实现资源访问公网的需求。

    弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑,实现资源访问公网的需求。

  • 自定义路由表

    路由表由一系列路由器规则组成,是VPC网络流量转发的依据。创建VPC时会创建一个默认路由表,子网自动关联至默认路由表。您还可以创建自定义路由表。

    路由表由一系列路由器规则组成,是VPC网络流量转发的依据。创建VPC时会创建一个默认路由表,子网自动关联至默认路由表。您还可以创建自定义路由表。

  • 网络ACL

    网络ACL时一个子网级别的可选安全层,通过与子网关联的出方向和入方向规则控制出入子网的数据流。

    网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以启用ACL。

    网络ACL时一个子网级别的可选安全层,通过与子网关联的出方向和入方向规则控制出入子网的数据流。

    网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以启用ACL。

  • 云专线

    用于搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道,充分利用华为云服务优势的同时,继续使用现有的IT设施,实现灵活一体,可伸缩的混合云计算环境。

    用于搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道,充分利用华为云服务优势的同时,继续使用现有的IT设施,实现灵活一体,可伸缩的混合云计算环境。

VPC网络相关文档

  • VPC网络-应用场景

    每个虚拟私有云VPC代表一个私有网络,与其他VPC逻辑隔离,您可以将业务系统部署在华为云上,构建云上私有网络环境。

    每个虚拟私有云VPC代表一个私有网络,与其他VPC逻辑隔离,您可以将业务系统部署在华为云上,构建云上私有网络环境。

  • VPC网络-约束与限制

    包括虚拟私有云、安全组、弹性网卡、路由表、对等连接、虚拟IP、弹性公网IP、宽带等的限制。

    包括虚拟私有云、安全组、弹性网卡、路由表、对等连接、虚拟IP、弹性公网IP、宽带等的限制。

  • VPC网络-与其他服务的关系

    虚拟私有云VPC服务与弹性公网IP、NAT网关、路由器、弹性负载均衡、云监控等服务的关系。

    虚拟私有云VPC服务与弹性公网IP、NAT网关、路由器、弹性负载均衡、云监控等服务的关系。

  • VPC网络-计费说明

    VPC本身不收取费用。但用户在使用带宽或VPN时需要按照收费标准购买。

    VPC本身不收取费用。但用户在使用带宽或VPN时需要按照收费标准购买。

  • VPC网络-权限管理

    默认情况下,帐号管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限。

    默认情况下,帐号管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限。

  • VPC网络-创建安全组

    通过创建安全组,您可以将VPC中的云服务器划分成不同的安全域,以提升云服务器访问的安全性。建议您将不同公网访问策略的云服务器划分到不同的安全组。

    通过创建安全组,您可以将VPC中的云服务器划分成不同的安全域,以提升云服务器访问的安全性。建议您将不同公网访问策略的云服务器划分到不同的安全组。

  • VPC网络-节约公网成本

    在您购买带宽产品之前一定要分析您业务系统的流量模型,以便选择适合的产品及计费模式。

    在您购买带宽产品之前一定要分析您业务系统的流量模型,以便选择适合的产品及计费模式。

  • VPC网络-查看审计日志

    在您开启了云审计服务后,系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。

    在您开启了云审计服务后,系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。

  • VPC网络-创建告警规则

    通过设置告警规则,用户可自定义监控目标与通知策略,及时了解虚拟私有云的状况,从而起到预警作用。

    通过设置告警规则,用户可自定义监控目标与通知策略,及时了解虚拟私有云的状况,从而起到预警作用。

虚拟化私有云相关文档下载

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;