腾讯云私有网络(Virtual Private Cloud,VPC)是用户在腾讯云上自定义的逻辑隔离网络空间,在私有网络内,用户可以自由定义网段划分、IP 地址和路由策略等,因此腾讯云建议用户选择私有网络。
为了使用户更好地使用腾讯云 VPC,腾讯云提供了以下关于网络规划的建议:
确定 VPC 数量
已知的特性:
私有网络之间默认不互通,如果不同私有网络间有互通需求,可以通过 对等连接 或 云联网 实现私有网络互通。 默认情况下,同个 VPC 下的不同可用区之间内网互通。
相关建议:
当您的业务有多地域部署系统的需求时,则必然需要使用多个 VPC;可选择在靠近客户的地域建立 VPC,以降低访问时延、提高访问速度。
当您在当前地域下有多套业务部署,且希望不同业务之间进行网络隔离时,则可为每个业务在当前地域建立相应的 VPC。
当您没有多地域部署需求且各业务之间也没有网络隔离需求时,则您可以只使用一个 VPC 即可。
确定子网划分
已知特性:
子网是 VPC 内的 IP 地址块,VPC 中的所有云资源都必须部署在子网内。
同个 VPC 下,子网网段不可重复。
初始内网 IP 地址由腾讯云自动在 VPC 网段中分配,腾讯云私有网络 CIDR 支持使用三大私有网段中的任意一个, IP 地址范围如下,掩码范围需在16-28之间,具体值由实例所在私有网络决定。
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
VPC 创建成功后,网段无法修改。
相关建议:
如果只是 VPC 的子网规划,不涉及和基础网络或者 IDC 的网络通信,则可以选择上述任何一个网段进行新建子网。
如果需要和基础网络进行通信,则请按照要求建立10.[0-47].0.0/16及其子集的网络。
如果需要建立 VPN,则本端网段(VPC 网段)和对端网段(您的 IDC 网段)不能重叠,所以在新建子网的时候务必避开对端网段。
在划分网段时还应考虑该网段的 IP 容量,即有多少可用的 IP 数。
建议在同个 VPC 下的业务内可按照业务模块分别划分子网,例如子网 A 用于 Web 层,子网 B 用于逻辑层,子网 C 用于 DB 层,有利于结合网络 ACL 进行访问控制和过滤。
确定路由策略
已知特性:
路由表由一系列路由规则组成,用于控制私有网络(VPC)内子网的出流量走向。
每个子网都必须关联一个路由表,且只能关联一个路由表。
每个路由表可以关联多个子网。
用户创建私有网络时,系统会自动为其生成一个默认路由表,该默认路由表含义为私有网络内网互通。
相关建议:
如果不需要对子网的流量走向进行特殊控制,默认 VPC 内网互通的情况下,则使用默认路由表即可,无需配置自定义路由策略;
如果需要对子网的流量走向进行特殊控制,则可以参考官网对 路由表 使用详细介绍。