企业级云上网络构建：为何选择专有网络VPC？

为何选择云上网络？

云上网络相较于传统企业网络，在成本、扩展性和安全性方面拥有显著优势。对于希望深入了解云上网络的小云来说，掌握以下核心概念至关重要。

阿里云提供的网络类型

阿里云提供了两种主要的网络类型供用户选择：

• 经典网络：这是一种由阿里云统一构建的大规模共享网络。所有用户从中获取IP地址。为了确保安全性和私密性，用户需要自行配置安全组规则和网络ACL规则等。然而，这种模式下的安全措施相对单一，且网络分配不可自定义。
• 专有网络 (VPC)：这是一种高度自定义、安全隔离且符合法规要求的网络环境。用户可以自由定义网络的网段、路由等，并将不同的业务部署在不同的VPC中，从而实现高度隔离的网络环境。通过结合使用安全组、网络ACL等工具，用户能够实现更加安全和灵活的网络管理。因此，专有网络VPC是更推荐的选择。

专有网络VPC的优势

当前，阿里云主要推荐使用专有网络VPC，原因包括但不限于：

1. 更高的安全性和灵活性：专有网络VPC采用二层隔离技术，允许用户自定义网络拓扑和IP地址，并支持通过专线连接本地数据中心。相比之下，经典网络采用三层隔离，用户无法自定义IP信息，灵活性较低。
2. 支持更多的云资源和功能：用户可以在专有网络VPC中创建和管理多种云资源，如云服务器ECS、负载均衡SLB、关系型数据库RDS等。此外，还支持NAT网关、VPC对等连接、高可用虚拟IP、流日志、流量镜像等功能，以满足更多应用场景的需求。而这些资源和功能在经典网络中大多不被支持。
3. 安全保障差异：在经典网络中，仅能使用安全组来控制ECS实例的出入流量；而在专有网络VPC中，则可以同时使用安全组和网络ACL来增强安全性。

专有网络VPC的基本构成

• 每个专有网络VPC至少包含一个私网网段、一个路由器和一个交换机。
• VPC是地域级别的网络，一个地域可以包含多个VPC，但VPC不能跨越多个地域。
• 交换机位于可用区级别，一个VPC中可以包含一个或多个交换机，每个可用区至少需要一个交换机。
• 不同可用区之间的通信需要通过路由器进行数据转发，用户可以修改路由器中的路由表来调整数据转发方式。

使用建议

大多数阿里云产品需要部署在VPC中才能正常运行，例如ECS云服务器、RDS云数据库、CLB负载均衡等。将资源部署在不同的VPC中可以获得不同网段的IP地址，并且由于VPC的隔离特性，这些资源之间默认无法直接通信。因此，在使用云产品时，务必做好网络规划。需要注意的是，不同的VPC之间可以通过特定的云服务进行互联互通，相关内容将在后续章节中详细介绍。