初识VPC网络的能力

本文分享自天翼云开发者社区《初识VPC网络的能力》，作者：布小匠

VPC网络的来源

在云计算早期是没有VPC的概念的，有的是虚拟网络和虚拟路由器的功能。虚拟网络的作用是为用户提供一个虚拟的网络环境，但是这个虚拟的网络环境是独立且隔离的三层网络，就好比一座孤岛，虽然美丽但是无法与外界通信终究是遗憾的。这个时候就轮到了虚拟路由器出场，虚拟路由器正好可以提供路由的功能，可以将虚拟网络之间通过路由的形式进行连通、配置和管理等。但是在当下不断优化的用户体验下，两个独立的产品无异于增加了用户操作上的诸多繁杂的点击操作，于是VPC顺应而出，对虚拟网络和虚拟路由器的功能进行了整合，成为了当下虚拟网络和虚拟路由器的集成实现产物。

VPC网络的功能

VPC网络的主要功能依旧是为用户提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。而VPC产品架构可以分为：VPC的基本组成、访问控制、VPC连接。

VPC的基本组成部分

如之前所说，VPC是虚拟网络和虚拟路由器的产物，所以它的基本组成部分是没有变化的。包含虚拟网络和虚拟路由器的基本组成：子网、网段、路由表。而内部的实现可以有多重不同的方案，今天我们作为初始就不展开描述。

子网：这里可以理解成一个网络或者局域网的概念，一个VPC下是可以有多个子网的。

网段：是隶属于子网的标识，可以是ipv4,亦可以是ipv6或者是二者皆包含的强大子网。

路由表：我认为这个才是VPC大部分能力实现，是虚拟路由器的表现，来连通各个子网以及控制子网与其他子网间的通信能力、安全能力。

VPC间的通信

这个就真的是多种多样的能力方案了，这里简单罗列几种常见的，也是目前天翼云具备的能力。

通过VPC对等连接功能，实现同一区域内不同VPC下的私网IP互通。

通过EIP或NAT网关，使得VPC内的云服务器可以与公网Internet互通。

通过虚拟专用网络VPN、云专线功能将VPC和您的数据中心连通。

VPC的安全

众所周知，路由器的能力很强大，有的不仅是连通网络，也有诸如防火墙拦截的安全能力。所以VPC自然而言也是具备这部分的能力的，在产品上的体现便是VPC可以和防火墙进行联合使用来保证VPC通信的网络安全，也可以和安全组进行联合使用来保证VPC通信的网络安全。至于防火墙和安全组的不同在于他们的实现以及作用安全的场景不同，但是殊途同归都是为VPC的安全而服务的。

VPC的负载均衡

既然VPC的本质是包含了路由器，自然它是可以在被流量访问时先通过负载均衡或者虚拟的负载均衡器来进行流量的负载，这里可以是四层或者七层的负载，所以它也成功的间接具有了负载的能力。而具体的负载能力则交由负载均衡这个产品，实现了能力的分离而治。

VPC的高级功能

云产品VPC还提供部分高级的能力，诸如网络ACL、自定义路由表、DHCP选项集和IPv4网关功能等等，其实都是发掘了路由表的能力虚拟化的扩展，相信在不久的将来会提供的更加的完善。