25      阿裏雲  技術社區[雲棲]

專有網絡（VPC）使用最佳實踐

專有網絡VPC（Virtual Private Cloud）是用戶基於阿裏雲創建的自定義私有網絡, 不同的專有網絡之間二層邏輯隔離，用戶可以在自己創建的專有網絡內創建和管理雲產品實例，比如ECS、負載均衡、RDS等。

本文，會先對 VPC 的使用限製和常見誤區進行說明，然後介紹 VPC 的使用最佳實踐。

VPC 和 VPC 相關組件的介紹

在開始使用 VPC 之前，建議您務必閱讀如下文章，了解 VPC 和 VPC 相關組件的介紹：

• 專有網絡 VPC 的介紹
• 彈性公網 IP 概述
• NAT 網關產品概述
• 高速通道產品概述
• VPN 網關產品概述

VPC 和 VPC 相關組件的使用限製

在使用 VPC 網絡進行業務部署之前，請您務必了解 VPC 和 VPC 相關組件的使用限製，以免對後續使用造成困擾或對業務造成影響。

產品與業務規格限製

VPC 和 VPC 相關組件的相關資源或功能存在限製，部分可以通過提交工單申請調整。部分則沒有例外，無法調整。詳細說明，可以參閱如下：

• 專有網絡 VPC 的使用限製
• 彈性公網 IP 使用限製
• NAT 網關產品使用限製
• 高速通道產品使用限製
• VPN 網關產品使用限製

其他限製

VPC 在技術層麵還在逐步增強和完善，截止本文發稿，還存在如下限製：

• 高速通道路由器接口規格超過1G的情況下由於每個數據流的負載方式不同，對於每一個數據流都有一定的限速（130Mbit或250Mbit）。
• VPC 下 ECS 隻有一個網卡，所以在 Windows 係統下需要兩個網卡的應用將無法部署，比如 VPN NAT 等。如果要部署類似應用可以選擇使用 Linux 係統。
• 在使用 NAT 網關或者自建 SNAT的環境，訪問外部異常，該問題可能是由於用戶本地 NAT 環境和目標 Linux 相關內核參數配置不匹配導致的。具體參數為 net.ipv4.tcp_tw_recycle=0 和 net.ipv4.tcp_timestamps=0
• 金融雲基於安全考慮，目前金融雲 VPC 環境下的 ECS 綁定的彈性公網 IP 對 20000 以下的端口，很多端口做了屏蔽處理，如果需要通過彈性公網 IP 提供服務建議使用 20000 以上的端口。
• VPC 下ECS目前由於底層原因，無法對外做路由跟蹤。
• NAT 網關限速的地方有兩個。比如 NAT 網關購買了 5Mbps ，那麼在 NAT 網關這邊會限速 5Mbps，並且在使用該 NAT 網關的 ECS 所在的物理機也做 5Mbps的限速。如果這個時候再部署自建的 SNAT ， 自建 SNAT 的 EIP 帶寬為 50Mbps，這個時候會發現單台 ECS 最大帶寬也隻能跑到 5Mpbs。

VPC 和 VPC 相關組件常見誤區

從曆史案例看，用戶在 VPC 的規劃和使用過程中有很多常見誤區。接下來逐一說明。

誤區：VPC 網絡 ECS 內網和經典網絡互通

VPC 邏輯隔離的私有網絡，所以無法直接和ECS內網進行互通。

建議：在網絡選型的時候，考慮自身情況，如果對於便捷性要求高選擇經典網絡，對於網絡靈活要求高選擇 VPC 網絡。

誤區：VPC 網絡和本地 IDC 網絡隻要通過一條物理機專線即可保證網絡的可靠性

VPC 網絡和本地 IDC 網絡通過專線可以很大程度上保證網絡的延時，丟包等可靠性，但是如果專線本身出現異常，那麼直接導致網絡的中斷。

建議：如果對業務可靠性要求較高的話，建議專線戶互聯的時候，通過部署多條物理專線，實現 ECMP 。

誤區：通過 ECS 搭建 SNAT 可以實現穩定的共享訪問公網資源

由於自建 SNAT 的 ECS 存在單點風險，一旦搭建 SNAT 的 ECS 出現異常，所有通過該 ECS 訪問公網都會中斷。

建議：共享上網建議溝通 NAT 網關，NAT 網關產品是集群化部署，可以保證高可用性。

誤區：EIP 和 NAT 網關入方向帶寬沒有限製

EIP 和 NAT 網關購買帶寬小於 100Mbps，那麼入帶寬限製為 100Mbps，購買帶寬超過 100Mbps ，那麼入帶寬限製和購買的帶寬一致。

建議：在使用 EIP 和 NAT 網關時要充分考慮業務入方向的帶寬。

誤區：不同 VPC 之間通過高速通道可以實現同網段的二層互通

因為是三層網絡路由轉發的傳輸模式，所以必須保證需要互通網段的地址不衝突。

建議：在規劃網絡的時候要充分規劃好各個網段。

誤區：有三個 VPC ，分別為 VPC-1 VPC-2 和 VPC-3 ，VPC-1 沒有與 VPC-3 建立高速通道，VPC-1 隻與 VPC-2 建立高速通道，想要用 VPC-2 中轉流量實現 3 個 VPC 互通 。

阿裏雲的SDN網絡底層禁止中間節點中轉網絡流量。

建議：需要各個 VPC 之間單獨使用高速通道實現互通。具體如下圖：

VPC 和 VPC 相關組件使用最佳實踐

接下來，從多個維度闡述使用 PC 和 VPC 相關組件的最佳實踐。

設計業務架構

注：在搭建VPC 混合雲的時候，要事先規劃好 IDC 和各 VPC 的網段，以免網段衝突無法實現三層互聯。

VPC 混合雲典型業務架構如上圖所示。具體說明說下：

• IDC 和 VPC 內網互聯

  • 如果是高質量的業務，建議使用多條物理專線實現連續的高可用性。
  • 如果是是一些非高質量的業務，能夠忍受網絡不穩定的情況，可以使用 VPN 網關實現 IDC 到 VPC 內網互聯，以便節省成本。

• VPC 和 VPC 之間內網互聯

  • 建議直接使用高速通道產品。高速通道是 SDN 網絡下的默認冗餘專線。已經將流量負載到多條通道傳輸且有自動流量切換機製。 並且通過 SDN 網絡的 VxLAN 技術保障的數據安全隔離。

• VPC 內部對外提供服務

  • 如果是重要業務，建議是用戶 SLB 加多台 ECS 的方式對外提供服務，保證業務的高可用性。
  • 如果是一些非重要業務，可以使用 EIP 或者 NAT 網關提供服務。

• VPC 內部訪問 Inetnet 資源

  • 可以使用 EIP 和 NAT 網關提供 ECS 主動訪問 Internet 資源。 EIP 和 NAT 網關最大區別是 NAT 網關可以實現帶寬的共享。

• VPC 內部 ECS 訪問其他服務資源

  • 訪問 其他資資源，比如 OSS RDS OCS 等資源，首先需要確認了解該應用資源是直接支持在 VPC 網絡下創建還是可以直接訪問特定的連接地址。

常見問題的排查思路

VPC 在使用過程中的常見問題與排查思路可以參閱下列文檔，本文不再詳述：

• EIP常見問題
• VPC下高速通道物理專線不通排查思路
• VPC常見問題排查和說明
• VPC網絡環境連接OSS地址失敗的解決方法

最後更新：2017-08-20 21:02:31

  上一篇：  阿裏雲獨享雲虛擬主機幸運券領取及使用

  下一篇：  keepalived是如何實現MySQL高可用的？