腾讯云VPC网络最佳实践 - 网络规划

2019-01-08 14:25:21 浏览数 (1)

私有网络(Virtual Private Cloud,VPC)是基于腾讯云构建的专属云上网络空间,为腾讯云上的资源提供网络服务,不同私有网络间完全逻辑隔离。作为在云上的专属网络空间,可以通过软件定义网络的方式管理私有网络 VPC,实现 IP 地址、子网、路由表、网络 ACL 、流日志等功能的配置管理。

迁移上云前,做好网络规划对后续云上资源管理和网络运维管理都至关重要。本篇文章描述了常见的网络规划,以及一些最佳实践。

腾讯云上的私有网络具有地域(Region)属性(如广州、上海),在私有网络中,用户可以自定义子网,子网具有 可用区(Zone) 属性,意味着子网不能跨可用区。

  1. VPC是逻辑抽象, 一个资源(CVM/Credis/CDB) 落在VPC中指的是VPC中的子网;
  2. VPC是Region属性,(北京/上海/广州) 子网是AZ属性(上海一区,二区);
  3. 其他云环境或IDC 与腾讯云VPC打通, 网段不能有冲突 ;
  4. VPC个数的选择要根据实际业务需求选择;

网段

腾讯云私有网络目前支持定义三个私网网段内网IP,掩码范围遵循如下定义:最小为 /16 掩码,最大为 /28 掩码。

  • 10.0.0.0 - 10.255.255.255 (10/8 前缀,掩码在16位-28位之间)
  • 172.16.0.0 - 172.31.255.255 (172.16/12 前缀,掩码在16位-28位之间 )
  • 192.168.0.0 - 192.168.255.255 (192.168/16 前缀,掩码在16位-28位之间 )

腾讯云保留了各个子网的前面两个 IP 地址和最后一个 IP 地址,以作 IP 联网之用。 例如:子网 CIDR 为172.16.0.0/24,则腾讯云保留的 IP 地址为:172.16.0.0、172.16.0.1 和 172.16.0.255。

实际使用过程中使用哪个网段呢? 可以从如下几个方面考虑:

  1. 每个网段可用的主机数

每个网段可用的IP数:

可以根据系统的规模,选择合适的网段。 另外建议根据业务发展情况,预留充足的IP资源,因为VPC一旦创建后,不能更改网段。

  1. 现有IDC或云上已经使用过哪些网段?

如果有需求将现有IDC中的网络和云上VPC网络打通, 那么云上的网段和云下的网段要保持不能冲突。需要合理规划网段。

VPC

由于一个VPC就是一个隔离的网络, 那么在实际使用中,怎么样规划VPC网络呢?

首先看是否有多地部署的需求。

如果有多地域部署的需求,需要在每个地域分别创建VPC

其次看业务系统之间是否需要严格隔离。如果多个业务系统间没有调用关系,完全隔离,则建议规划多个VPC。

如果上述两个方面都没有强需求,那么只需要创建一个VPC

如果只使用一个VPC,是有有足够的容量呢? 请参考前文子网章节,每个网段最大的可用IP数。一个VPC的容量可以满足绝大多数用户的需求。

可用区

可用区是指在同一地域内,电力和网络互相独立的物理区域,在同一地域内可用区与可用区之间内网互通。

腾讯云在一个地域通常会有多个可用区,VPC可以跨可用区,建议将子网分布在不同可用区,充分利用腾讯云多可用区的特性做业务容灾部署。

同一地域不同可用区之间的网络通信延迟很小,通常在2ms以内。大部分业务系统能够容忍这个延迟,但是也需要经过业务系统的适配和验证。

多VPC之间打通

云联网可以提供VPC间、VPC 与本地数据中心间互联的服务。您可以将 VPC 和专线网关实例加入云联网,以实现单点接入、全网资源互通,轻松构建简单、灵活的混合云及全球互联网络。

云联网的使用方法参考官方文档:云联网

由于VPC之间,VPC和线下IDC之间需要互通的IP段不能相同,因此,上图中用户上海灾备VPC,北京弹性业务VPC,广州弹性业务VPC, VPC1,北京本地IDC需要使用不同的网段。

网络的总体规划举例

网络的规划大概如下:

建议根据业务情况分为如下几个子网:

  • 生产接入层子网。这个子网属于DMZ区,会有公网接入,将有公网访问需求的主机放到这个子网中;
  • 生产业务子网。 这个子网属于业务逻辑层,所有业务逻辑的服务器放到这个子网中;
  • 生产数据子网。 这个子网中包含所有的数据库,是核心的子网。务必设置好这个子网的网络权限;
  • 测试环境子网。 测试环境子网,将所有的测试环境部署在这个子网中。

0 人点赞