科普一下什么是VPC？

以前是企业通过购买、配置物理硬件来构建独立的局域网，从而实现内部服务的互通与安全隔离。当业务迁移至云端，如何复刻这种安全、可控的网络环境？答案就是VPC。

来源：华为云官网

一、 VPC的核心定义

虚拟私有云是公有云提供商（如阿里云、AWS、腾讯云等）在其物理网络基础设施之上，通过虚拟化技术为每个用户构建的一个逻辑上完全隔离的网络空间。用户可以在这个自定义的虚拟网络中部署云服务资源，如云服务器、数据库、负载均衡等，并拥有对其IP地址范围、子网划分、路由策略以及安全组的完全控制权。

简单来说，VPC就是您在公有云上拥有的一个专属、私密、可软件定义的数据中心网络。它既利用了公有云的弹性与便利，又获得了类似于传统数据中心的安全性和可控性。

二、 VPC的价值

1. 逻辑网络隔离：这是VPC的基石。不同用户的VPC之间默认100%隔离，即使另一用户的资源与您的资源位于同一台物理服务器上，其网络流量也无法直接访问您的VPC。这种多租户环境下的强隔离性，是云上数据安全的第一道防线。

2. 自定义网络架构：用户可以根据业务需求，像规划实体网络一样精细地规划VPC。

• IP地址段：可以指定VPC的私有IP地址范围（例如，10.0.0.0/16），使其与公司内部网络保持一致，便于混合云架构的构建。

• 子网划分：在一个VPC内，可以创建多个子网，将资源按功能或可用性进行划分，实现更精细的管理和故障隔离。

3. 精细的访问控制：VPC提供了多层安全机制。

• 安全组：作用于弹性网卡级别，是一种状态化的虚拟防火墙，用于控制云服务器实例级别的入站和出站流量。规则通常基于协议、端口和源/目的IP。

• 网络ACL：作用于子网级别，是一种无状态的访问控制列表，为整个子网提供一层额外的、粗粒度的安全防护。

三、 VPC的关键组件与高级功能

一个功能完整的VPC通常由以下核心组件构成：

• 路由表：定义了子网内流量的转发规则。每个子网都必须关联一个路由表，通过自定义路由，可以指定流量是发往互联网、另一个VPC，还是本地数据中心。

• 网关：

互联网网关：作为VPC访问互联网的出入口，并为云资源分配公网IP。

NAT网关：位于公有子网，允许私有子网内的资源主动访问互联网以下载更新，同时阻止来自互联网的直接入站连接，提升了安全性。

专线网关：是实现混合云的关键，通过IPsec或物理专线，安全地将VPC与本地数据中心连接起来，形成一个统一的混合IT环境。

此外，VPC还支持VPC对等连接，实现同一区域或跨区域的不同VPC之间的私有网络通信，流量不经过公网，延迟低且安全性高。终端节点 服务则允许您使用私有IP地址访问其他云服务（如对象存储、数据库服务），而无需经过互联网网关，进一步提升了安全性和效率。