ZStack Cloud 产品文档
全部版本
全部版本
ZStack Cloud 4.4.0>产品手册>ZStack运维手册>网络资源>VPC
下载PDF

VPC

专有网络VPC (Virtual Private Cloud,以下简称VPC),是基于VPC路由器和VPC网络共同组成的自定义私有云网络环境,帮助企业用户构建一个逻辑隔离的私有云。

VPC路由器和VPC网络

VPC由VPC路由器和VPC网络组成。
  1. VPC路由器:基于云路由规格直接创建的云路由器,拥有公有网络和管理网络。
    • VPC路由器是VPC的核心,可主动创建基于指定云路由规格的VPC路由器;
    • 须提前创建云路由规格所需的公有网络和管理网络、云路由镜像资源;
    • VPC路由器可灵活挂载或卸载VPC网络或其他公有网络;
    • 云路由规格定义的公有网络和管理网络,不可卸载;
    • 同一个云路由规格可以创建多个VPC路由器,这些VPC路由器共享使用同一个云路由规格里定义的公有网络段和管理网络段;
    • 公有网络作为默认网络,用于提供网络服务;
    • VPC路由器拥有高于云主机的资源优先级,当物理机负载率过高,出现资源竞争时,资源优先级顺序为(从低到高):优先级为正常的云主机 < 优先级为的云主机 < VPC路由器。例如:当物理机出现CPU资源竞争时, 较于普通云主机,VPC路由器具备更高的CPU资源抢夺能力。
  2. VPC网络:作为VPC的私有网络,可挂载至VPC路由器。
    • 须提前创建二层网络,用于创建三层的VPC网络;
    • 可在创建VPC网络时指定待挂载的路由器,也可创建VPC网络后再挂载路由器;
    • 如有云主机使用VPC网络,不支持从VPC路由器卸载;
    • 新建的网络段不可与VPC路由器内任一网络的网络段重叠。
VPC网络拓扑如图 1所示:
图 1. VPC网络拓扑示意图


VPC路由器高可用组

高可用组:可以部署一对互为主备的VPC路由器,当主VPC路由器状态异常,会自动切换至备VPC路由器,保证业务运行。
说明: 高可用组内的VPC路由器将只展示在高可用组详情页中,在路由器列表不单独展示。

VPC特点

VPC具有以下特点:
  • 灵活的网络配置,不同的VPC网络可灵活挂载到VPC路由器,每个VPC网络可自定义独立的网络段和独立的网关,VPC路由器支持加载/卸载网卡,并支持动态配置路由表和路由条目。
  • 安全可靠的隔离,不同VPC下的VPC网络互相逻辑隔离,支持VLAN和VXLAN进行二层逻辑隔离,不同账户的VPC互不影响。
  • 多子网互通:同一VPC下的多个VPC网络互联互通。
  • 网络流量优化:支持分布式路由功能,优化东西向网络流量,并有效降低网络延迟。
  • VPC路由器高可用:可在一个VPC路由器高可用组内部署一对互为主备的VPC路由器,当主VPC路由器状态异常,会秒级触发高可用切换,自动切换至备VPC路由器工作,从而保障业务持续稳定运行。

VPC网络服务

VPC网络作为VPC的私有网络,使用VPC路由器提供各种网络服务。
  • DHCP:默认采用扁平网络服务模块提供分布式DHCP服务。
  • DNS:VPC路由器作为DNS服务器提供DNS服务。在云主机中看到的DNS地址默认为VPC路由器的IP地址,用户设置的DNS地址由VPC路由器负责转发配置。
  • SNAT:VPC路由器向云主机提供原网络地址转换,云主机使用SNAT可直接访问外部互联网。
  • 路由表:通过路由表,用户可管理自定义路由。
  • 安全组:由安全组网络服务模块提供安全组服务,使用iptables进行云主机防火墙的安全控制。
  • 弹性IP:可绑定弹性IP到VPC网络,实现公有网络到云主机私有网络的互联互通。
  • 端口转发:提供公网IP到云主机私有网络IP的端口到端口的相关网络协议的互通。
  • 负载均衡:将公网地址的访问流量分发到一组后端的云主机上,自动检测并隔离不可用的云主机。
  • IPsec隧道:使用IPsec隧道协议实现虚拟私有网络(VPN)的互联互通。
  • 动态路由:VPC路由器支持OSPF动态路由协议,用于单一自治系统内决策路由。
  • 组播路由:VPC路由器将组播源发送的组播消息转发给云主机,在发送端和接收端实现点对多点连接。
  • VPC防火墙:通过对VPC路由器接口处南北向流量进行过滤,有效保护整个VPC通信安全及VPC路由器安全。
  • Netflow:通过Netflow对VPC路由器网卡的进出流量进行分析监控,支持Netflow V5、V9两种数据流输出格式。

VPC路由器

VPC路由器页面展示ZStack私有云的VPC路由器和高可用组。
  • VPC路由器:基于云路由规格直接创建的VPC路由器,拥有公有网络和管理网络。
    说明:
    • VPC路由器是VPC的核心,可主动创建基于指定云路由规格的VPC路由器;
    • 须提前创建云路由规格所需的公有网络和管理网络、云路由镜像资源;
    • VPC路由器可灵活挂载或卸载VPC网络或其他公有网络;
    • 云路由规格定义的公有网络和管理网络,不可卸载;
    • 同一个云路由规格可以创建多个VPC路由器,这些VPC路由器共享使用同一个云路由规格里定义的公有网络段和管理网络段;
    • 公有网络作为默认网络,用于提供网络服务;
    • VPC路由器拥有高于云主机的资源优先级,当物理机负载率过高,出现资源竞争时,资源优先级顺序为(从低到高):优先级为正常的云主机 < 优先级为的云主机 < VPC路由器。例如:当物理机出现CPU资源竞争时, 较于普通云主机,VPC路由器具备更高的CPU资源抢夺能力。
  • 高可用组:可以部署一对互为主备的VPC路由器,当主VPC路由器状态异常,会自动切换至备VPC路由器,保证业务运行。
    说明: 高可用组内的VPC路由器将只展示在高可用组详情页中,在路由器列表不单独展示。

VPC路由器 | 普通云路由器 对比

VPC路由器 | 普通云路由器 相同点 VPC路由器 | 普通云路由器 不同点
  • 实质相同,均采用vyos实现的Linux云主机作为路由设备;
  • 均需创建云路由规格定义的公有网络和管理网络、云路由镜像资源;
  • 均支持DHCP、DNS、SNAT、安全组、弹性IP、端口转发、负载均衡、IPsec隧道、Netflow等网络服务;
  • 均不可卸载云路由规格里定义的公有网络和管理网络;
  • 均支持路由表和路由条目的配置;
  • 均支持高可用,共享存储下,资源充足的条件下永不停机;
  • 均支持加载和卸载新的公有网络;
  • 普通的云路由网络可以看做VPC下的一个特例,即只有一个不可卸载的私有网络下的VPC。
  • VPC路由器,可由用户手动创建,普通云路由器目前仅支持随着使用此云路由的私网的云主机一同创建,不支持手动创建;
  • 手动创建的VPC路由器运行状态可以只有公有网络和管理网络,但普通的云路由器必须存在公有网络、管理网络和私有网络;
  • VPC路由器,支持加载和卸载VPC网络,普通的云路由器不支持加载和卸载私有网络。
  • VPC路由器支持关闭SNAT网络服务,普通的云路由器默认开启,不支持关闭。
  • VPC路由器支持静态路由和OSPF动态路由协议,普通的云路由器仅支持静态路由。

VPC路由器高可用组

高可用组:可以部署一对互为主备的VPC路由器,当主VPC路由器状态异常,会自动切换至备VPC路由器,保证业务运行。
说明:
  • 高可用组内的VPC路由器将只展示在高可用组详情页中,在路由器列表不单独展示
  • 将已有VPC路由器导入高可用组,导入的VPC路由器需处于停止状态
  • 导入操作将同步导入已有VPC路由器的全部配置,导入后将无法作为独立VPC路由器使用,请谨慎操作
  • 若已有VPC路由器使用同一条网络作为公有网络和系统网络,则无法导入高可用组。
  • 创建完成后需在高可用组详情页,待确定VPC路由器主备关系后设置DNS,以确保VPC路由器正常运行

注意事项

使用VPC路由器需注意:
  • 需先建立云路由规格里的二层公有网络、三层公有网络、二层管理网络和三层管理网络;
  • 不同VPC路由器下的VPC网络在二层默认互相隔离;
  • 同一个VPC路由器下不同VPC网络的IP地址段不可重叠,任意两个VPC网络的网关不可相同;
  • 普通账户创建VPC路由器前,需admin共享云路由规格,否则无法创建VPC;
  • VPC路由器需处于运行中和已连接的状态才可正常提供网络服务,如果处于其他状态,需检查相关资源是否异常。
  • 为了防止恶意攻击,VPC路由器默认禁止ssh密码登录。可在全局配置中打开。

VPC网络

VPC网络:作为VPC的私有网络,可挂载至VPC路由器。
  • 须提前创建二层网络,用于创建三层的VPC网络;
  • 可在创建VPC网络时指定待挂载的路由器,也可创建VPC网络后再挂载路由器;
  • 如有云主机使用VPC网络,不支持从VPC路由器卸载;
  • 新建的网络段不可与VPC路由器内任一网络的网络段重叠。

VPC网络 | 普通私有网络 对比

VPC网络 | 普通私有网络 相同点 VPC网络 | 普通私有网络 不同点
  • VPC路由器/云路由器均支持灵活挂载多公网,云路由规格定义的公有网络不可卸载。VPC路由器/云路由器的默认IP均为云路由规格定义的公有网络的IP,从该公有网络的网络段中选择IP地址,提供各种网络服务。
  • 在创建云路由规格时,管理网络可从系统网络和公有网络里面选择,如果公有网络和管理网络合一,需选择公有网络作为管理网络;如果存在独立的管理网络,则需在系统网络选择。
    说明:
    • 如果条件有限,管理网络可以与公有网络使用同一个网络;
    • 出于安全和稳定性考虑,建议部署独立的管理网络,并与公有网络隔离。
  • 云路由器中公有网络、管理网络、私有网络或其他网络的网络段之间,其CIDR不可重叠。

    例如,假定私有网络网络段为10.0.0.0/8,云路由器加载网络时,新的网络段就不可为10.20.0.0/16,后者作为前者的子集,存在IP地址冲突的风险。

    同样地,VPC路由器内任一网络的网络段不可重叠,且新建的VPC网络段不可与VPC路由器内任一网络的网络段重叠。
  • VPC网络作为VPC的私有网络,使用了VPC路由器提供的各种网络服务,普通私有网络支持扁平网络和云路由两种结构;
  • VPC路由器支持灵活挂载多个VPC网络。

    如果VPC路由器下挂载的某一VPC网络段地址是类似192.168.0.0/24,那么VPC路由器对应此VPC网络的私网IP默认为192.168.0.1,并以此作为使用此VPC网络的普通云主机的默认网关。

    普通云主机使用此网关,在VPC路由器里,进行路由转发以访问互联网。

  • 云路由器允许挂载的普通私有网络有且仅有一个。

    如果云路由器的私有网络段地址是类似192.168.0.0/24,那么云路由器的私网IP默认为192.168.0.1,并以此作为使用此云路由网络的普通云主机的默认网关。

    普通云主机使用此网关,在云路由器里,进行路由转发以访问互联网。

路由表和路由条目使用注意事项

VPC路由器支持加载多网卡,并支持路由表和路由条目,使用时需注意:
  • 加载多网卡一般用于多网互联的场景,例如混合云互通。
  • VPC路由器支持加载路由表,加载后,路由表内的路由条目会添加至VPC路由器,对使用VPC路由器的VPC网络进行相应的路由功能。
  • 添加路由条目时,需指定目标网段,并输入下一跳的地址,需确保下一跳可达。 路由类型一般设置静态路由。为防止环路,也可设置黑洞路由,表示丢弃匹配的数据包。路由优先级的数字越大,表示优先级越低。

VPC路由器创建失败检查事项

VPC路由器创建失败需检查:
  • 云路由规格定义的镜像:
    • 如果存放在ImageStore镜像服务器,则应存在挂载了本地存储、NFS、SharedMountPoint、或者Ceph主存储的集群;
    • 如果存放在Sftp镜像服务器,则应存在挂载了本地存储、NFS或者SharedMountPoint主存储的集群;
    • 如果存放在Ceph镜像服务器,则应存在挂载了此Ceph镜像服务器对应的Ceph主存储的集群;
  • 需存在可用集群同时加载了公有网络、管理网络和私有网络,此集群内有可用的物理主机满足云路由规格定义的CPU、内存大小。

路由协议资源

相对于静态路由,动态路由支持自动拓扑变化,重新计算路由,无需人工干预,适用于大规模网络环境。VPC路由器支持OSPF动态路由协议。

OSPF协议:基于链路状态的内部网关协议,在数据中心网络、园区网络中有广泛应用。

相比其他路由协议,OSPF协议具备以下优点:
  • 无路由跳数的限制;
  • 使用组播更新变化的路由和网络信息;
  • 路由收敛速度更快;
  • 以开销作为度量值;
  • 采用SPF算法可有效避免环路。

OSPF区域支持的操作

OSPF区域支持以下操作:
  • 创建:创建一个OSPF区域。
  • 删除:将已创建的OSPF区域删除。删除OSPF区域后,对应的路由器将删除OSPF配置和路由信息,这些路由器上的云主机将无法通过OSPF与外部互通,请谨慎操作。

注意事项

  • ZStack 3.5.0版本开始,VPC路由器使用OSPF协议通信,无需关闭SNAT服务。

学习路径

ZStack Cloud 产品学习路径

了解ZStack Cloud
ZStack Cloud 技术白皮书
ZStack Cloud 用户手册
新手快速入门
ZStack Cloud 快速安装使用教程(新手快速入门)
ZStack Cloud 升级教程
基础实践
ZStack Cloud CentOS7系统模板封装教程 ZStack Cloud Windows Server 2008 R2... ZStack Cloud CLI命令使用手册(基础命令) ZStack Cloud 存储部署教程 Shared Block-FC ZStack Cloud 存储部署教程 Shared Block-iSCSI ZStack Cloud 扁平网络使用教程
ZStack Cloud 专有网络VPC使用教程 ZStack Cloud 监控监控报警使用教程 ZStack Cloud 账户管理教程 ZStack Cloud 计费功能使用教程 ZStack Cloud 云主机高可用实践教程 ZStack Cloud 磁盘快照使用教程
进阶实验
ZStack Cloud 运维手册 ZStack Cloud CTL命令使用手册(高级命令) ZStack Cloud 多管理节点物理高可用教程 ZStack Cloud 企业管理使用教程 ZStack Cloud 网络QoS/磁盘QoS 使用教程 ZStack Cloud 亲和组使用教程 ZStack Cloud 弹性伸缩使用教程 ZStack Cloud vCenter环境管理指南
ZStack Cloud 迁移服务使用教程 ZStack Cloud 混合云使用教程 ZStack Cloud 灾备服务使用教程 ZStack Cloud 裸金属管理使用教程 ZStack Cloud 弹性裸金属管理使用教程 ZStack Cloud GPU设备透传使用教程 ZStack Cloud vGPU虚拟化使用教程 ZStack Cloud 资源编排使用教程
开发者资源
ZStack Cloud 开发手册
ZStack Cloud-CLI命令使用手册
常见问题
常见问题

ZStack Cloud 产品学习路径

快速梳理文档,点击相应文本链接,快速跳转到相应文档的页面,学习 ZStack Cloud 产品。

我知道了

升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
登录观看培训视频
仅对注册用户开放,请 登录 或 填写资料 观看培训视频
填写资料

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

产品

解决方案

支持

联系

咨询

ZStack-logo

版权所有©2022 上海云轴信息科技有限公司 (云轴科技沪ICP备15055560号

立即体验

联系我们

商务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Ceph分布式存储
ZStack Cloud 混合云版
ZStack Cube 超融合一体机
ZStack Cloud 基础版
ZStack Mini 边缘计算一体机
ZStack Cloud 标准版
ZStack CMP 多云管理平台
ZStack 信创云平台
ZStack Zaku 容器云平台
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。