阅读25 返回首页    go 阿里云 go 技术社区[云栖]

专有网络(VPC)使用最佳实践

专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络, 不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、负载均衡、RDS等。

本文,会先对 VPC 的使用限制和常见误区进行说明,然后介绍 VPC 的使用最佳实践。

VPC 和 VPC 相关组件的介绍

在开始使用 VPC 之前,建议您务必阅读如下文章,了解 VPC 和 VPC 相关组件的介绍:

VPC 和 VPC 相关组件的使用限制

在使用 VPC 网络进行业务部署之前,请您务必了解 VPC 和 VPC 相关组件的使用限制,以免对后续使用造成困扰或对业务造成影响。

产品与业务规格限制

VPC 和 VPC 相关组件的相关资源或功能存在限制,部分可以通过提交工单申请调整。部分则没有例外,无法调整。详细说明,可以参阅如下:

其他限制

VPC 在技术层面还在逐步增强和完善,截止本文发稿,还存在如下限制:

  • 高速通道路由器接口规格超过1G的情况下由于每个数据流的负载方式不同,对于每一个数据流都有一定的限速(130Mbit或250Mbit)。
  • VPC 下 ECS 只有一个网卡,所以在 Windows 系统下需要两个网卡的应用将无法部署,比如 VPN NAT 等。如果要部署类似应用可以选择使用 Linux 系统。
  • 在使用 NAT 网关或者自建 SNAT的环境,访问外部异常,该问题可能是由于用户本地 NAT 环境和目标 Linux 相关内核参数配置不匹配导致的。具体参数为 net.ipv4.tcp_tw_recycle=0 和 net.ipv4.tcp_timestamps=0
  • 金融云基于安全考虑,目前金融云 VPC 环境下的 ECS 绑定的弹性公网 IP 对 20000 以下的端口,很多端口做了屏蔽处理,如果需要通过弹性公网 IP 提供服务建议使用 20000 以上的端口。
  • VPC 下ECS目前由于底层原因,无法对外做路由跟踪。
  • NAT 网关限速的地方有两个。比如 NAT 网关购买了 5Mbps ,那么在 NAT 网关这边会限速 5Mbps,并且在使用该 NAT 网关的 ECS 所在的物理机也做 5Mbps的限速。如果这个时候再部署自建的 SNAT , 自建 SNAT 的 EIP 带宽为 50Mbps,这个时候会发现单台 ECS 最大带宽也只能跑到 5Mpbs。

VPC 和 VPC 相关组件常见误区

从历史案例看,用户在 VPC 的规划和使用过程中有很多常见误区。接下来逐一说明。

误区:VPC 网络 ECS 内网和经典网络互通

VPC 逻辑隔离的私有网络,所以无法直接和ECS内网进行互通。

建议:在网络选型的时候,考虑自身情况,如果对于便捷性要求高选择经典网络,对于网络灵活要求高选择 VPC 网络。

误区:VPC 网络和本地 IDC 网络只要通过一条物理机专线即可保证网络的可靠性

VPC 网络和本地 IDC 网络通过专线可以很大程度上保证网络的延时,丢包等可靠性,但是如果专线本身出现异常,那么直接导致网络的中断。

建议:如果对业务可靠性要求较高的话,建议专线户互联的时候,通过部署多条物理专线,实现 ECMP 。

误区:通过 ECS 搭建 SNAT 可以实现稳定的共享访问公网资源

由于自建 SNAT 的 ECS 存在单点风险,一旦搭建 SNAT 的 ECS 出现异常,所有通过该 ECS 访问公网都会中断。

建议:共享上网建议沟通 NAT 网关,NAT 网关产品是集群化部署,可以保证高可用性。

误区:EIP 和 NAT 网关入方向带宽没有限制

EIP 和 NAT 网关购买带宽小于 100Mbps,那么入带宽限制为 100Mbps,购买带宽超过 100Mbps ,那么入带宽限制和购买的带宽一致。

建议:在使用 EIP 和 NAT 网关时要充分考虑业务入方向的带宽。

误区:不同 VPC 之间通过高速通道可以实现同网段的二层互通

因为是三层网络路由转发的传输模式,所以必须保证需要互通网段的地址不冲突。

建议:在规划网络的时候要充分规划好各个网段。

误区:有三个 VPC ,分别为 VPC-1 VPC-2 和 VPC-3 ,VPC-1 没有与 VPC-3 建立高速通道,VPC-1 只与 VPC-2 建立高速通道,想要用 VPC-2 中转流量实现 3 个 VPC 互通 。

阿里云的SDN网络底层禁止中间节点中转网络流量。

建议:需要各个 VPC 之间单独使用高速通道实现互通。具体如下图:
485.JPG

VPC 和 VPC 相关组件使用最佳实践

接下来,从多个维度阐述使用 PC 和 VPC 相关组件的最佳实践。

设计业务架构

VPC 混合云总架构图.jpg
注:在搭建VPC 混合云的时候,要事先规划好 IDC 和各 VPC 的网段,以免网段冲突无法实现三层互联。

VPC 混合云典型业务架构如上图所示。具体说明说下:

  • IDC 和 VPC 内网互联

    • 如果是高质量的业务,建议使用多条物理专线实现连续的高可用性。
    • 如果是是一些非高质量的业务,能够忍受网络不稳定的情况,可以使用 VPN 网关实现 IDC 到 VPC 内网互联,以便节省成本。

  • VPC 和 VPC 之间内网互联

    • 建议直接使用高速通道产品。高速通道是 SDN 网络下的默认冗余专线。已经将流量负载到多条通道传输且有自动流量切换机制。 并且通过 SDN 网络的 VxLAN 技术保障的数据安全隔离。

  • VPC 内部对外提供服务

    • 如果是重要业务,建议是用户 SLB 加多台 ECS 的方式对外提供服务,保证业务的高可用性。
    • 如果是一些非重要业务,可以使用 EIP 或者 NAT 网关提供服务。

  • VPC 内部访问 Inetnet 资源

    • 可以使用 EIP 和 NAT 网关提供 ECS 主动访问 Internet 资源。 EIP 和 NAT 网关最大区别是 NAT 网关可以实现带宽的共享。

  • VPC 内部 ECS 访问其他服务资源

    • 访问 其他资资源,比如 OSS RDS OCS 等资源,首先需要确认了解该应用资源是直接支持在 VPC 网络下创建还是可以直接访问特定的连接地址。

常见问题的排查思路

VPC 在使用过程中的常见问题与排查思路可以参阅下列文档,本文不再详述:

最后更新:2017-08-20 21:02:31

  上一篇:go  阿里云独享云虚拟主机幸运券领取及使用
  下一篇:go  keepalived是如何实现MySQL高可用的?