专栏首页腾讯云售中交付解决方案专栏腾讯云VPC网络最佳实践 - 网络规划
原创

腾讯云VPC网络最佳实践 - 网络规划

私有网络(Virtual Private Cloud,VPC)是基于腾讯云构建的专属云上网络空间,为腾讯云上的资源提供网络服务,不同私有网络间完全逻辑隔离。作为在云上的专属网络空间,可以通过软件定义网络的方式管理私有网络 VPC,实现 IP 地址、子网、路由表、网络 ACL 、流日志等功能的配置管理。

迁移上云前,做好网络规划对后续云上资源管理和网络运维管理都至关重要。本篇文章描述了常见的网络规划,以及一些最佳实践。

腾讯云上的私有网络具有地域(Region)属性(如广州、上海),在私有网络中,用户可以自定义子网,子网具有 可用区(Zone) 属性,意味着子网不能跨可用区。

  1. VPC是逻辑抽象, 一个资源(CVM/Credis/CDB) 落在VPC中指的是VPC中的子网;
  2. VPC是Region属性,(北京/上海/广州) 子网是AZ属性(上海一区,二区);
  3. 其他云环境或IDC 与腾讯云VPC打通, 网段不能有冲突 ;
  4. VPC个数的选择要根据实际业务需求选择;

网段

腾讯云私有网络目前支持定义三个私网网段内网IP,掩码范围遵循如下定义:最小为 /16 掩码,最大为 /28 掩码。

  • 10.0.0.0 - 10.255.255.255 (10/8 前缀,掩码在16位-28位之间)
  • 172.16.0.0 - 172.31.255.255 (172.16/12 前缀,掩码在16位-28位之间 )
  • 192.168.0.0 - 192.168.255.255 (192.168/16 前缀,掩码在16位-28位之间 )

腾讯云保留了各个子网的前面两个 IP 地址和最后一个 IP 地址,以作 IP 联网之用。 例如:子网 CIDR 为172.16.0.0/24,则腾讯云保留的 IP 地址为:172.16.0.0、172.16.0.1 和 172.16.0.255。

实际使用过程中使用哪个网段呢? 可以从如下几个方面考虑:

  1. 每个网段可用的主机数

每个网段可用的IP数:

可以根据系统的规模,选择合适的网段。 另外建议根据业务发展情况,预留充足的IP资源,因为VPC一旦创建后,不能更改网段。

  1. 现有IDC或云上已经使用过哪些网段?

如果有需求将现有IDC中的网络和云上VPC网络打通, 那么云上的网段和云下的网段要保持不能冲突。需要合理规划网段。

VPC

由于一个VPC就是一个隔离的网络, 那么在实际使用中,怎么样规划VPC网络呢?

首先看是否有多地部署的需求。

如果有多地域部署的需求,需要在每个地域分别创建VPC

其次看业务系统之间是否需要严格隔离。如果多个业务系统间没有调用关系,完全隔离,则建议规划多个VPC。

如果上述两个方面都没有强需求,那么只需要创建一个VPC

如果只使用一个VPC,是有有足够的容量呢? 请参考前文子网章节,每个网段最大的可用IP数。一个VPC的容量可以满足绝大多数用户的需求。

可用区

可用区是指在同一地域内,电力和网络互相独立的物理区域,在同一地域内可用区与可用区之间内网互通。

腾讯云在一个地域通常会有多个可用区,VPC可以跨可用区,建议将子网分布在不同可用区,充分利用腾讯云多可用区的特性做业务容灾部署。

同一地域不同可用区之间的网络通信延迟很小,通常在2ms以内。大部分业务系统能够容忍这个延迟,但是也需要经过业务系统的适配和验证。

多VPC之间打通

云联网可以提供VPC间、VPC 与本地数据中心间互联的服务。您可以将 VPC 和专线网关实例加入云联网,以实现单点接入、全网资源互通,轻松构建简单、灵活的混合云及全球互联网络。

云联网的使用方法参考官方文档:云联网

由于VPC之间,VPC和线下IDC之间需要互通的IP段不能相同,因此,上图中用户上海灾备VPC,北京弹性业务VPC,广州弹性业务VPC, VPC1,北京本地IDC需要使用不同的网段。

网络的总体规划举例

网络的规划大概如下:

建议根据业务情况分为如下几个子网:

  • 生产接入层子网。这个子网属于DMZ区,会有公网接入,将有公网访问需求的主机放到这个子网中;
  • 生产业务子网。 这个子网属于业务逻辑层,所有业务逻辑的服务器放到这个子网中;
  • 生产数据子网。 这个子网中包含所有的数据库,是核心的子网。务必设置好这个子网的网络权限;
  • 测试环境子网。 测试环境子网,将所有的测试环境部署在这个子网中。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 腾讯云安全组使用最佳实践

    安全组是一种有状态的包过滤功能虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。

    杨泽华
  • 腾讯云MySQL数据库迁移过程中使用pt-table-checksum做数据一致性校验

    腾讯云提供了数据库迁移工具DTS, 使用DTS做数据库迁移时,DTS工具在迁移任务结束后,会做数据校验。

    杨泽华
  • 使用腾讯云容器服务(TKE)实现应用跨可用区高可用部署之一

    本文描述如何使用腾讯云容器服务(TKE)实现跨可用区的应用高可用部署,包含如下内容:

    杨泽华
  • Java的代理,共有几种,分别是什么样的?

    代理模式是一种设计模式,提供了对目标对象额外的访问方式,即通过代理对象访问目标对象,这样可以在不修改原目标对象的前提下,提供额外的功能操作,扩展目标对象的功能。

    用户1263954
  • [javaSE] 反射-动态加载类

    陶士涵
  • vSphere 6.5中网络感知的DRS解析

    VMware的分布式资源调度(Distributed Resource Scheduler,DRS),可以动态地分配和平衡计算容量,将硬件资源聚集到逻辑资源池中...

    孙杰
  • Thread线程的深刻理解和代理方法参数[有图有真相]

    在这说的是Thread的基本用法,线程池ThreadPool在这就不说的,以前的blog有写,基本上两个用法都是相同的。基本用法和图,不需要的大鸟请绕行,谢谢!...

    Java中文社群_老王
  • webcron

    一个定时任务管理器,基于Go语言和beego框架开发。用于统一管理项目中的定时任务,提供可视化配置界面、执行日志记录、邮件通知等功能,无需依赖*unix下的cr...

    周小董
  • Spring AOP是什么?你都拿它做什么?

    为什么会有面向切面编程(AOP)?我们知道Java是一个面向对象(OOP)的语言,但它有一些弊端,比如当我们需要为多个不具有继承关系的对象引入一个公共行为,例如...

    哲洛不闹
  • WPF 获得当前输入法语言区域

    参见 C#: Get current keyboard layout\input language

    林德熙

扫码关注云+社区

领取腾讯云代金券