Day 5:VPC专有网络与NAT网关
本文基于阿里云ACP云计算工程师认证课程内容整理,涵盖VPC专有网络核心架构、NAT网关原理与实践,以及企业级网络规划最佳实践。
一、VPC专有网络核心概念与逻辑架构
专有网络VPC(Virtual Private Cloud) 是阿里云基于飞天云平台构建的逻辑隔离私有网络,为用户提供完全可控的云上私有网络环境。与传统经典网络相比,VPC允许用户自主规划IP地址范围、配置路由表、部署网关设备,实现与传统数据中心一致的 网络体验,同时兼具云端的弹性与高可用优势。
VPC的三大核心组件
| 组件 | 作用 | 说明 |
|---|---|---|
| 私网网段 | 定义VPC地址空间 | 支持10.0.0.0/8、172.16.0.0/12、192.168.0.0/16及其子网 |
| 路由器(vRouter) | VPC网络枢纽 | 连接各交换机,同时作为VPC与外部网络的网关 |
| 交换机(vSwitch) | 基础连接设备 | 部署在特定可用区内,连接云资源实例 |
VPC的逻辑架构
VPC采用数据通路与配置通路分离的设计:
- 数据通路:交换机(分布式节点)+ 网关组成,所有链路冗余容灾
- 配置通路:控制器下发转发表到网关和交换机,基于自研协议实现
这种架构确保了控制面与数据面的解耦,使VPC具备电信级的高可用保障。系统路由自动创建,用户可创建自定义路由表与交换机绑定,实现精细化的流量管理。
VPC的显著特点
- 完全掌控:用户自主选择IP地址范围、配置路由表和网关
- 灵活互联:通过高速通道、VPN网关、云企业网CEN连接其他VPC或本地IDC
- 高可用:支持跨可用区部署,单可用区故障不影响整体网络
- 安全隔离:网络ACL、安全组多层次访问控制
考试要点:VPC是地域级别资源,不支持跨地域部署。一个VPC最多包含10张路由表(含系统路由表),一个交换机只能绑定一张路由表。
二、VPC路由器、交换机与路由表深度解析
交换机(vSwitch)
交换机是组成VPC的基础网络设备,用于连接不同的云资源实例。其关键特性:
- 可用区绑定:交换机属于特定可用区,不可跨可用区部署
- 网段约束:交换机网段必须是所属VPC网段的子集,掩码范围16~29位
- 容灾建议:生产环境至少创建2个跨可用区的交换机
路由表类型
系统路由表 - 创建VPC后自动生成 - 不可删除、不可手动创建 - 可添加自定义路由条目 自定义路由表 - 用户自行创建 - 与交换机绑定(一个交换机只能绑定一张) - 多个交换机可绑定同一张自定义路由表 网关路由表 - 与IPv4网关绑定,控制公网流量路由路由条目类型
| 类型 | 说明 | 可修改性 |
|---|---|---|
| 系统路由 | VPC内默认路由,管理基础流量 | 不可修改 |
| 自定义路由 | 用户添加的路由规则 | 可添加、删除 |
| 动态路由 | 通过CEN/VPN/BGP学习到的路由 | 自动更新 |
路由匹配采用最长前缀匹配原则(Longest Prefix Match),这与Internet路由协议标准一致。
VPC安全配置
VPC提供多层次的安全防护体系:
- 网络ACL:绑定交换机,控制子网级别入站/出站流量
- 安全组:虚拟防火墙,具备状态检测能力,控制ECS实例级别流量
- RDS白名单:仅允许指定IP访问数据库实例
- SLB白名单:限制允许转发请求的客户端IP
三、NAT网关原理、类型与配置实践
NAT网关概述
NAT网关(NAT Gateway) 是阿里云提供的网络地址转换服务,提供SNAT(源地址转换)和DNAT(目标地址转换)能力。阿里云NAT网关分为两种类型:
公网NAT网关 vs VPC NAT网关
| 特性 | 公网NAT网关 | VPC NAT网关 |
|---|---|---|
| 转换类型 | 公网地址转换 | 私网地址转换 |
| 场景 | VPC内ECS访问公网;公网访问VPC内服务 | VPC间私网互通;VPC访问本地IDC |
| 绑定 | 需要绑定EIP | 使用中转私网地址(NAT IP) |
公网NAT网关核心能力
- 100 Gbps 转发能力,跨可用区高可用部署
- SNAT功能:让VPC内无公网IP的ECS实例通过NAT网关访问公网,隐藏内部网络结构
- DNAT功能:通过端口映射或IP映射,将NAT网关的公网IP映射到VPC内特定ECS,提供公网服务
- 按量计费(CU容量,按小时计费),无需预估性能峰值
SNAT条目配置粒度
公网NAT网关的SNAT支持多种配置粒度:
- VPC粒度:整个VPC下的所有ECS共享同一个公网出口
- 交换机粒度:指定子网内的ECS通过配置的公网IP访问互联网
- ECS粒度:单个指定ECS实例访问公网
- 自定义网段粒度:任意网段下的ECS通过SNAT规则访问
NAT网关配置流程
创建NAT网关 → 绑定EIP(可选)→ 创建SNAT/DNAT条目 → 连通性测试VPC NAT网关典型应用
- VPC互访地址冲突解决:两个需要互通的VPC网段冲突时,各配置一个VPC NAT网关,使用不冲突的中转私网地址
- 混合云指定地址互访:使用固定私网地址访问其他网络
考试要点:公网NAT网关的SNAT功能可屏蔽VPC内ECS对外的端口,保护内部网络免受外部入侵攻击。VPC NAT网关支持SNAT和DNAT双向转换能力。
四、VPC与NAT网关最佳实践及认证关键点
VPC网络规划最佳实践
单VPC vs 多VPC策略
| 场景 | 推荐方案 |
|---|---|
| 无多地域部署需求,各系统无需严格隔离 | 单VPC |
| 多地域部署系统 | 多VPC + 云企业网CEN |
| 需严格隔离生产/测试环境 | 多VPC + VPC对等连接 |
网段规划原则
- 唯一VPC:可使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16或其子网
- 多VPC或混合云:使用标准网段子网,掩码不超过16位,彼此不冲突
- 交换机规划:建议至少2个跨可用区交换机,掩码16~29位
公网类产品选型对比
| 产品 | 适用场景 |
|---|---|
| ECS固定公网IP | 需要固定公网地址,不可动态解绑 |
| 弹性公网IP(EIP) | 需要动态绑定/解绑,支持SNAT和DNAT |
| NAT网关 | 多ECS共享访问公网,或提供公网服务 |
| 负载均衡SLB | 四层/七层负载均衡,公网访问入口 |
NAT网关应用实践
场景一:搭建SNAT网关(VPC内ECS主动访问公网)
VPC私网ECS → NAT网关 → 公网配置要点:创建公网NAT网关 → 绑定EIP → 创建SNAT条目(VPC粒度或交换机粒度)
场景二:搭建DNAT网关(公网访问VPC内服务)
公网用户 → NAT网关(公网IP:端口)→ VPC内ECS(私网IP:端口)配置要点:创建公网NAT网关 → 绑定EIP → 创建DNAT条目(端口映射或IP映射)
ACP认证核心知识点速查
- VPC组成:私网网段 + 路由器 + 交换机
- 路由器作用:连接交换机与外部网络,根据路由表转发流量
- NAT网关:提供SNAT(源地址转换)和DNAT(目标地址转换)
- VPC安全:网络ACL(子网级)+ 安全组(实例级)+ 白名单
- 多VPC互通:云企业网CEN、对等连接、VPN网关
- 公网访问:EIP(独立绑定)+ NAT网关(共享访问)
- 路由匹配原则:最长前缀匹配(Longest Prefix Match)
- 交换机规划:至少2个跨可用区,网段为VPC子集,掩码16~29位
典型实验流程(沙箱环境)
创建VPC → 创建交换机 → 创建自定义路由表 → 添加路由条目 → 绑定交换机与路由表 → 创建NAT网关 → 绑定EIP → 配置SNAT/DNAT → 连通性测试相关推荐: