更安全！滴滴云专有网络 VPC 浅析

《更安全！滴滴云专有网络 VPC 浅析》转自滴滴云公众号

今年两会期间，由多位全国人大代表联署的《关于加快推进百万企业上云的建议》再次引发关注，代表们纷纷建议要大力推广企业上云。

对于企业用户而言，安全性一直是很受关注的话题。如何提高公有云中的网络安全呢？最基本的就是专有网络 VPC 带来的网络隔离，本文带大家了解一下滴滴云中的专有网络 VPC。

滴滴云专有网络 VPC 浅析

VPC 是什么

滴滴云专有网络（Virtual Private Cloud, VPC）是在滴滴云上，用户可自定义的逻辑隔离网络空间，用户拥有对这个网络空间任意自定义的能力，而且所有的自定义操作，都可以在滴滴云的控制台通过页面完成。

滴滴云 VPC 使用了隧道封装技术，保证了不同 VPC 间，网络流量完全不可见，而 VPC 内部网络流量则直接到达目的机器，从而确保了无论 VPC 内，还是 VPC 间，用户流量都能够得到安全性保障。

此外，VPC 也可以通过 EIP 或者 NAT 服务，让 VPC 内虚拟机连接公网，或者通过 VPC 对等链接连接两个 VPC，还可以通过 VPN 或者专线连接用户自建数据中心，构建混合云。

架构解析

滴滴云网络架构原生支持 VPC，几乎所有滴滴云的产品都运行于 VPC 内部。

在滴滴云中，每位用户都可以新建多个 VPC，而每个 VPC 内，也可以通过划分子网的方式，规划 VPC 内部网络资源，最后，在每个子网内，为各个产品新建 VPC 的内网 IP 地址，从而让各产品接入网络中。

01创建VPC

在使用滴滴云最初就会接触到 VPC，滴滴云会为每个用户创建一个默认 VPC，以便用户可以最快捷的使用滴滴云内的相关产品。除此之外，用户也可以手动新建独立的 VPC。

不同 VPC 会使用自己独有的隧道进行通信，所以对于不同的 VPC，互相之间流量完全不可见，从根本上保证 VPC 内部流量的安全。

每一个 VPC，都有一个初始网段，这个网段需要在下列三个网段中选择一个：

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
VPC 内所有网络资源都会使用这个网段。

除此之外，滴滴云使用了 100.64.0.0/10 网段下的子网段用于内部基础网络资源，如 100.64.8.0/24网段，其中包含 DNS 服务：100.64.8.1 和 100.64.8.2，Yum 源 100.64.8.3 和 100.64.8.4 等。

02子网

滴滴云 VPC 内，子网主要用于划分 VPC 内的 IP 地址段，对 VPC 内网络资源进行规划。

由于滴滴云使用的隧道封装技术，使得内网访问过程中，即使来源地址和目的地址是在两个不同的子网内，也可以让两个地址直接连通，而且不影响传统 TCP/IP 协议的使用。

需要注意的是，在滴滴云中，每一个子网都会在一个可用域内，子网不能够跨可用域，不同的可用域可以在一定程度上保障异地多活。

另外，当两个 VPC 之间需要连接通信，或者需要通过 VPN，专线等连接用户自建数据中心，也需要以子网为单位进行连接，并且要求：

互通两个子网之间没有地址互相覆盖

本 VPC 内没有对端子网所使用的网络地址段

所以在 VPC 中，也需要对网络资源进行规划，建议使用 24 位的子网掩码，以避免过大的子网涵盖大段网络地址，影响后期的通信，VPC 通信部分可以参见后期我们推出的 VPC 对等连接，或者 VPN 等产品说明。

此外，还需要说明的是，滴滴云 VPC 网络中，暂不支持广播和组播。

03 IP / EIP

在滴滴云中，能接触到两个 IP 地址，一个是在 DC2 中能够看到的内网 IP 地址，一个是在滴滴云控制台中看到的 EIP 地址。内网 IP 地址是 VPC 内的地址，而 EIP 则是为了能够让 VPC 的内网 IP 能够与公网通信而推出的网络产品，当一个 EIP 与内网 IP 绑定时，实际上是对这两个 IP 地址进行了 NAT，作用在 EIP 上的端口，协议都是一一映射到内网 IP 上。

在滴滴云中，所有使用到网络的产品都会在 VPC 内，所以也会有一个对应的内网 IP 地址，例如：

DC2 云主机
负载均衡实例
RDS 云数据库实例

04 安全

最后要说的是安全组，安全组是一组安全规则的集合，需要特别说明的是安全组会作用于同内网 IP 地址上，所以安全组也会对 VPC 内部生效，可以用于 VPC 内部的安全限制。通过把不同的内网 IP 地址绑定到不同的安全组上，可以把 VPC 内部的网络产品实例划分为不同安全区域，可以为不同的安全区域配置上对应的安全规则。

应用场景

01独立 VPC 部署

当用户业务相对简单时，一个独立的 VPC 就能够满足需求：

异地多活
为不同产品配置安全域
内部业务隔离公网

首先在 VPC 内新建两个子网，在新建子网时，把这两个子网分配到不同的可用域上，这样，在两个子网内新建的网络资源就会分布到不同的可用域上，从而保证了异地多活；新建对应安全组，对于不同的网络资源，如：

一个安全组开放只在内网 6379 端口，用于内部 Redis
一个安全组开放公网 80 和 443 端口，用于页面访问

再购买一个公网负载均衡，并绑定 80 和 443 端口用于公网访问。

02 混合云

当企业已有数据中心，希望部分服务上云，可以使用滴滴云+传统数据中心共同部署的混合云方式。

购买滴滴云，在 VPC 中部署部分业务，然后再购买专线连接 VPC 与传统数据中心，VPC 可以作为传统数据中心的一个备份存在，当云上业务能够为企业带来成本的下降，或者运维的方便，也可以选择将更多业务逐步迁移上云。

关于滴滴云的详细信息，以及更丰富的云计算行业动态、产品资讯、活动报名、技术干货及案例分析，请关注「滴滴云」微信号！