聊一聊网络规划

关于本文

专有网络VPC（Virtual Private Cloud）是指专有网络之间逻辑上彻底隔离，可以说是现在用户上云第一个考虑的产品。在考虑使用VPC的时候，首先遇到的一个问题就是如何进行VPC网络规划，今天小云就来和大家八一八网络规划那些事儿。

一般来说，选择VPC的主要是原因有两个：隔离的网络环境和可控的网络结构。

VPC基于隧道技术，实现数据链路层的隔离，为每个租户提供一张独立、隔离的安全网络。不同专有网络之间内部网络完全隔离，只能通过对外映射的IP（弹性公网IP和NAT IP）互联。在VPC内，用户可以自己选择IP地址范围、划分网段、配置路由表和网关等，从而实现安全而轻松的资源访问和应用程序访问。也可以通过专线或VPN等连接方式将自己的专有网络与传统数据中心相连，形成一个按需定制的网络环境，实现应用的平滑迁移上云和对数据中心的扩展。和经典网络相比，VPC拥有更高的安全性与灵活性，对于安全隔离性要求高的业务、托管多层Web应用、弹性混合云部署等使用场景，可以考虑选择VPC。

那么，如何进行VPC网络规划？小云认为可以从以下几个问题入手规划和设计专有网络架构。

• 问题一 应该使用几个VPC？

• 问题二 应该使用几个虚拟交换机？

• 问题三 应该选择什么网段？

• 问题四 VPC与VPC互通或者与线下IDC互通时，如何规划网段？

问题一 应该使用几个VPC？

单个VPC

如果没有多地域部署系统的要求且各系统之间也不需要通过VPC进行隔离，那么推荐使用一个VPC。目前，单个VPC内运行的云产品实例可达10000个，这样的容量基本上可以满足基本需求。

多个VPC

如果有如下任何一个需求，都推荐使用多个VPC。

1.有多地域部署系统的要求

VPC是地域级别的资源，是不能跨地域部署的。当您有多地域部署系统的需求时，就必然需要使用多个VPC，如下图所示。

2.多业务系统隔离

如果在一个地域的多个业务系统需要通过VPC进行严格隔离，比如生产环境和测试环境要严格进行隔离，那么也需要使用多个VPC，如下图所示。

问题二 应该使用几个虚拟交换机？

首先，即使只使用一个VPC，也尽量使用至少两个交换机，并且将两个交换机分布在不同可用区，这样可以实现跨可用区容灾。

同一地域不同可用区之间的网络通信延迟很小，但也需要经过业务系统的适配和验证，由于系统调用复杂加上系统处理时间，跨可用区调用等原因可能产生期望之外的网络延迟。建议进行系统优化和适配在高可用和低延迟之间找到平衡。

可用区是指在同一地域内，电力和网络互相独立的物理区域，在同一地域内可用区与可用区之间内网互通。

其次，使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且都有主动访问公网的需求，考虑到容灾可以考虑将不同的前端系统部署在不同的交换机下，将后端系统部署在另外的交换机下。

问题三 应该选择什么网段？

在创建VPC和交换机时，必须以无类域间路由块 (CIDR block) 的形式为专有网络划分私网网段。

VPC网段

根据以下建议规划VPC网段，注意VPC创建成功后，网段无法再修改。

1.您可以使用下表中标准的私网网段及其子网作为VPC的网段。

注意：如果有除此之外的特殊网段要求，也可以提工单或者通过客户经理申请开通。

2.如果有多个VPC，或者有VPC和线下IDC构建混合云的需求，建议使用上面这些标准网段的子网作为VPC的网段，掩码建议不超过/16。

3.如果云上只有一个VPC并且不需要和线下IDC互通时，可以选择上表中的任何一个网段或其子网。

4.VPC网段的选择还需要考虑到是否使用了经典网络。如果在云上使用了经典网络，并且计划将经典网络的ECS实例和VPC网络连通，那么，建议选择非10.0.0.0/8作为VPC的网段，因为经典网络的网段也是10.0.0.0/8。

ClassicLink功能可以允许经典网络的ECS和192.168.0.0/16，10.0.0.0/8，172.16.0.0/12这三个VCP网段的主机通信，但只能和10.0.0.0/8中的特定交换机的网段通信。即如果经典网络的ECS要和使用了10.0.0.0/8网段的VPC的主机通信，那么该VPC主机必须是某个特定的10.0.0.0/8网段下的子网，这个具体子网的网段还未确定。因此，如果有ClassicLink功能的需求，建议选择非10.0.0.0/8的网段作为VPC的网段，以免网段重叠不能互通。

交换机网段

根据以下建议规划交换机网段。同样的，交换机创建成功后，网段无法再修改。

1.交换机的网段的大小在16位网络掩码与29位网络掩码之间，可提供8~65536个地址。做这个限制的原因是/16掩码也能支持65532个主机，规模足够大了，没必要更大，而小于/29又太小，没有意义。

2.交换机的网段可以和其所属的VPC网段相同或者是其VPC网段的子网。比如VPC的网段是192.168.0.0/16，那么该VPC下的虚拟交换机的网段可以是192.168.0.0/16，也可以是192.168.0.0/17一直到192.168.0.0/29。

注意：如果交换机网段和所属VPC网段相同，只能在该VPC下创建一台交换机。

3.每个交换机的第一个和最后三个IP地址为系统保留地址。以192.168.1.0/24为例，192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。

4.交换机网段的确定还需要考虑该交换机下容纳主机的数量。

问题四 VPC与VPC互通或者与线下IDC互通时，如何规划网段？

举个例子，如下图所示，在华东1、华北2、华南1三个地域分别有VPC1、VPC2和VPC3三个VPC。VPC1和VPC2通过高速通道内网互通，VPC3目前没有和其他VPC通信的需求，将来可能需要和VPC2通信。另外，在上海还有一个自建IDC，需要通过高速通道（专线功能）和华东1的VPC1私网互通。

VPC互通要求VPC的网段不能冲突或者相同。因此，在这个例子中VPC1和VPC2使用了不同的网段，而VPC3暂时没有和其他VPC互通的需求，所以VPC3的网段可以和VPC2的网段相同。但考虑到将来VPC2和VPC3之间有私网互通的需求，所以两个VPC中的交换机的网段都不相同。VPC互通要求要求地址不能冲突，确切的说是交换机的网段不能一样，但VPC的网段可以一样。

在多VPC需要的情况下，建议遵循如下网段规划原则：

1.尽可能做到不同VPC的网段不同，不同VPC可以使用标准网段的子网来增加VPC可用的网段数。

2.如果不能做到不同VPC的网段不同，则尽量保证不同VPC的交换机网段不同。

3.如果也不能做到交换机网段不同，则保证要通信的交换机网段不同。