阿里云弹性认证ACP集锦4

四、专有网络VPC：10%

专有网络VPC（Virtual Private Cloud），帮助用户基于阿里云构建出一个隔离的网络环境。您可以完全掌控自己的虚拟网络，包括选择自有IP地址范围、划分网段、配置路由表和网关等。此外您也可以通过专线/VPN等连接方式将VPC与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。支持二层逻辑隔离。

使用隧道技术,达到与传统VLAN方式相同的隔离效果。

1、 核心概念：

专有网络管理：首先以CIDRBlock的形式指定专有网络内使用的私网网段；其次创建交换机(VSwitch)；其三创建云产品；最后删除指定的专有网络，必须首先删除专有网络内所有的云产品实例。

路由器：不支持直接创建和删除路由器（自动生成）；是VPC网络的枢纽，它可以连接VPC内的各个交换机，同时也是连接VPC与其他网络的网关设备。每个VPC有且只有一个路由器。路由器不支持BGP和OSPF等动态路由协议。

交换机：是组成VPC网络的基础网络设备，是一个3层交换机，不支持2层广播和组播。创建交换机时，需要指定一个CIDRBlock（不可重复）。删除交换机之前，必须先删除目标交换机所连接的云产品实例。

路由表：是指路由器上管理路由条目的列表。不支持直接创建和删除路由表。每个路由器有且只有1个路由表。

路由条目：定义了通向指定目标网段的网络流量的下一跳地址，路由条目包括系统路由（无法创建和删除）和自定义路由（可以创建和删除）两种类型。创建交换机，系统自动创建1条对应的系统路由。

逻辑架构：VPC架构里面包含交换机、网关和控制器三个重要的组件，交换机和网关组成了数据通路的关键路径，控制器使用SDN协议下发转发表到网关和交换机，完成配置通路，数据和配置两个通路相互分离。缺省情况下，VPC内的ECS只能和本VPC内其他ECS通信，或者和VPC内的其他云服务之间进行通信。用户可以使用阿里云提供的VPC相关的EIP功能、高速通道功能，使得VPC可以和Internet、其他VPC、用户自有的网络（如用户办公网络、用户数据中心）之间进行通信。

EIP功能：弹性公网IP，是可以独立购买和持有的公网IP地址资源，能动态绑定到不同的ECS实例上（在网卡上并不能看到这个IP地址。在需要时将该弹性公网IP绑定到ECS实例上，使该ECS实例具备使用该IP地址进行公网通信的能力。在不需要时，可以将之解绑），绑定和解绑时无需停机。

NAT网关产品：相比较于EIP，适用于企业大客户，支持单IP服务于多台ECS，是一款企业级的VPC公网网关,提供NAT代理（SNAT—用于ECS能访问外网，对应SNAT表“由[SourceVSwitchId, SnatIp]]组成”、DNAT—用于ECS能提供外网服务，对应端口转发表“由[ExternalIp, ExternalPort, InternalIp, InternalPort, IpProtocal]五个元素组成”）、10Gbps级别的转发能力、Region级别的高可用性（跨可用区的容灾能力）。NAT网关与共享带宽包（定义带宽）需要配合使用，组合成为高性能、配置灵活的企业级网关。不允许同一个公网IP即被用于SNAT也被用于DNAT。

注意：EIP和NAT目前都只支持ECS产品，不支持RDS等其他云产品。

共享带宽包：NAT网关上的公网IP和公网带宽，被抽象为共享带宽包。一个NAT网关上最多可以配置四个共享带宽包。一个共享带宽包，由一份公网带宽和一组公网IP组成。

场景1：无公网IP的ECS需要访问公网--高可用的SNAT网关需求，无需暴露ECS。

场景2：多个互联网应用流量变化较大--共享公网带宽，多IP共享带宽的功能节约成本，错峰使用，杠杠的。

高速通道：客户的阿里云上VPC，需要与自有机房进行私网通信。使用高速通道的专线接入功能，可以实现两侧的私网通信，既可以避免绕行公网带来的网络质量不稳定问题，也可以免去数据在传输过程中被窃取的风险。同一域内VPC之间的互联；可以使用高速通道使得处于两个不同地域的VPC之间进行通信；跨账号VPC之间的互联

2、 使用场景

场景一：在阿里云上管理用户专属的网络

场景二：VPC中跨可用区部署资源

用户可以通过将资源部署在处于不同可用区的交换机中，从而实现利用阿里云可用区进行容灾。

场景三：物理专线接入，实现用户网络与阿里云专有网络之间的内网互通

通过物理专线将自有数据中心和阿里云VPC连接起来，实现用户网络与阿里云专有网络之间的内网互通，支持2条线路通过链路汇聚方式实现主备或双活。使用高速通道技术。

场景四：VPN接入，在VPC内使用ECS自建VPN网关。

场景五：通过安全组对专有网络类型的ECS（已绑定EIP）进行公网访问控制。

场景六：专有网络的ECS使用公网负载均衡

经典网络类型的SLB实例具有公网IP地址，可以加专有网络类型的ECS实例。

不能使用经典网络类型私网IP的SLB加专有网络类型的ECS。

场景六：专有网络下内网隔离设置（创建在同一个路由器下面的多个交换机，默认是可以互相访问的）

3、 异常处理

VPC网络环境连接OSS地址失败的解决方法？

OSS针对VPC有一套自己的内网地址，vpc100开头。

VPC中的ECS访问经典网络中的RDS失败？

一是给ECS访问外网能力，然后通过外网地址方位RDS；二是把RDS移到ECS所在的VPC，这样内部网路就通了。

绑定弹性公网IP界面提示没有找到ECS实例？

弹性公网IP只能绑定到专有网络VPC的ECS服务器上。