私有网络 VPC(Virtual private Cloud) 是一个用户能够自定义的虚拟网络,灵活设置网络地址空间,实现私有网络隔离,多个虚拟网络之间(同城、跨城)稳定高速对等互通。您也可以通过专线/ VPN 等连接方式,将百度智能云与您的私有数据中心构建组成一个混合云,将原有的业务轻松迁移云端。
一、私有网络VPC核心概念
子网
子网是 VPC 内的用户可定义的IP地址范围,根据业务需求,通过CIDR(无类域间路由)可以指定不同的地址空间和IP段。未来用户可以将子网作为一个单位,用来定义Internet访问权限、路由规则和安全策略。
路由表
路由表是VPC中的流量控制器,通过全局一张路由表,实现对全局和子网级别的流量控制。您可以自定义路由规则,控制网络流量的导向目的地。
弹性网卡
弹性网卡(Elastic Network Interface Card,ENIC)是挂载云主机的一种弹性网络接口,可在多个云主机间自由迁移。通过在云主机上绑定多个弹性网卡,实现高可用网络方案;也可以在弹性网卡上绑定多个内网 IP,实现单主机多 IP 部署。
服务网卡
服务网卡(Service Network Interface Card,SNIC)将BOS等VPC外部服务映射到VPC内部,用户可以在VPC内或者混合云对端通过内网便捷、安全地访问这些服务。
安全组
安全组(SecurityGroup)是在VPC 网络内为BCC实例和DCC 专属实例中创建的安全防火墙,定义IP+端口的入站和出站访问策略。
创建 VPC 时同时默认创建一个默认安全组。
用户能够创建自定义VPC,将一个 BCC实例加入该 VPC 时,需要指定关联到所属的哪个安全组,若不指定则仅关联至该 VPC 下的默认安全组。
ACL
访问控制列表(Access Control List,ACL)作为应用在子网上的防火墙组件帮助用户实现子网级别的安全访问控制。
NAT网关
NAT(Network Address Translation,NAT)网关为私有网络提供访问Internet服务,支持SNAT和DNAT,可以使多台云服务器共享公网IP资源访问Internet,也可以使云服务器能够提供Internet服务。NAT网关可以绑定EIP实例及共享带宽,为云服务器实现从内网IP到公网IP的多对一或多对多的地址转换服务。
IPv6网关
IPv6网关(IPv6 Gateway)是私有网络通过IPv6访问公网的总出口。可以按需购买IPv6公网带宽,通过配置只出不进策略和IP限速,灵活配置IPv6互联网出向带宽和入向带宽。
VPN网关
通过虚拟专用网络(Virtual Private Network,VPN)服务,将百度智能云与客户的多个数据中心快速、灵活搭建VPN隧道,实现混合云。百度智能云VPN网关,基于主备模式的高可靠架构实现,支持VPN健康性自动检测、故障自动恢复等功能。
对等连接
对等连接(Peer Connection)为用户提供了VPC级别的网络互联服务,使用户实现在不同虚拟网络之间的流量互通,实现同区域/跨区域,同用户/不同用户之间稳定高速的虚拟网络互联。
专线网关
专线网关是VPC连接物理专线的接口。
流日志
流日志(Flow Log)用于记录VPC中云服务器实例发送和接受的网络流信息,可以为用户提供流量分析、可视化、故障诊断/定位以及网络架构调优的能力。
流量镜像
流量镜像(Traffic Monitor)提供流量采集服务,可将指定弹性公网IP上的流量按五元组等条件过滤,并复制转发至同VPC下的BCC集群上,适用于风险监测、故障排障、业务分析等场景。
网络探测
网络探测(Network Probe)是监控VPC网络连接质量的服务,支持云服务器、NAT网关、VPN网关、对等连接、专线网关、云智能网的Ping、TCP和UDP探测,监控网络连接的时延、丢包率等关键指标,可实时感知连接质量并对连接故障实时告警。
二、私有网络VPC特性
隔离资源
在百度智能云提供的网络资源上创建一个逻辑隔离区,让您在自定义的私有网络 VPC 内创建云资源。
自定义网络
您可以在百度智能云管理控制台自定义设置网络,将VPC 内的 IP 地址空间划分成一个或多个子网,不同类型的云服务资源按需部署在不同的子网内,方便管理和运行服务。
访问控制
百度智能云 VPC 提供了安全组功能,安全组是用户在 VPC 内为实例创建的安全防火墙,在实例级别定义IP+端口的入站和出站规则。
跨区域和可用区
在同一个 region 内,VPC 可以跨不同可用区(AZ)创建,目前 VPC 不支持跨区域(Region)。
高性能
两个VPC之间数据互通,支持高达10G的的带宽,单个NAT网关支持高达5G的吞吐性能。