给一线讲产品·8期|VPC、子网、安全组，是什么关系？

欢迎添加华为云小助手微信（微信号：HWCloud002 或 HWCloud003），输入关键字“加群”，加入华为云线上技术讨论群；输入关键字“最新活动”，获取华为云最新特惠促销。华为云诸多技术大咖、特惠活动等你来撩

“弃我去者，昨日之日不可留； 

乱我心者，今日之日多烦忧。 

长风万里送秋雁，对此可以酣高楼。 

蓬莱文章建安骨，中间小谢又清发。 

俱怀逸兴壮思飞，欲上青天览明月。 

抽刀断水水更流，举杯消愁愁更愁。”

不好意思，引言和图都放错了……但我就是喜欢李白的诗词……没办法，人嘛，再怎么样也得有些追求，连诗词书画都不会了，只会写写PPT，那人生岂不是很无趣

VPC

上期介绍了用户怎么在云上快速搭建一个安全体系：

然后有同学留言说，安全里经常提到的VPC、子网、安全组是什么？什么关系？今天的小短文就说一下。

首先从VPC开始。在华为云上，VPC是这样定义的：

虚拟私有云（Virtual Private Cloud），是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性IP搭建业务系统。

看不太懂？其实VPC就是云上的一个大的局域网，相当于一个大房子，云主机、数据库等资源和服务类似一个个物品，都存在这个房子里。VPC的存在有2个意义：

1、每个VPC之间默认进行了网络隔离，相互之间没有授权是不可以访问的，这就避免了不同的云用户之间相互看到对方的资源和数据的可能，资源在里面相对就比较安全。

2、VPC和VPC外部的网络也隔离起来了，这样VPC里面的资源就得到了一层保护，不用直接暴露在公网上。

所以大家要上云，第一步就是要做好资源规格和网络规划，特别是VPC和子网规划。

子网

在华为云上，子网是这样定义的：

子网是VPC内的IP地址块，VPC中的所有云产品都必须部署在子网内。同一个VPC下，子网网段不可重复。子网创建成功后，网段无法修改。

什么意思？VPC将VPC里的所有资源和服务与外界隔离开来了，像个大房子，但是有时觉得这个房子太大了，需要进一步划分网络呢？那就是设置子网了。也就是说，子网就是把一个网段范围比较大的VPC，进一步划分成各种子网，子网位于VPC内部，就像大房子里是一个个小房间。

安全组

在华为云上，安全组是这样定义的：

安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。

有点绕？其实安全组就是一组创建在VPC上的安全规则，这组规则定义了谁可以从那个端口进出VPC，像不像一个保安？把守着房子里的门口，谁能进出，这些保安说了算。安全组有什么作用？

虽然VPC和子网把资源和服务与外界隔离起来了，但有的服务和资源需要对外提供服务，需要连接外网，就要把一些端口打开；而不要对外的端口，就要关闭起来，以免节外生枝产生安全问题。端口，就相当于VPC这个房子里的门口，不用每个门口都敞开着，不需要开的就关上，安全上也叫权限最小化原理。控制这些端口开还是关的，就是安全组。

好了，今天的知识就到此为止，下一期想听些什么？欢迎留言告诉我。

作者：给一线讲产品