阿里云VPC的使用体会分享(一)

使用阿里的VPC网络已经大约有3年时间了,抽时间把相关的东西做个笔记,也算是分享吧,这里的VPC指的是阿里云的VPC服务。


首先,VPC也是分地域的,而且一个地域可以存在多个VPC专有网络,有以下的特性:


1.VPC里的ECS服务器默认不会像经典网络的ECS一样分配公网IP,它需要通过其他方式完成公网接入。


2.要求有一定的组网能力,可以通过新增交换机来划分网络区域,对使用者而言有较高的要求,并且小型用户并不是必须使用这个产品。


3.最重要的一个能力,就是安全性,因为资源池与所有其他的阿里云客户形成了逻辑硬隔离,并且结合交换机、安全组可以完成更高的安全性调配方案。


针对VPC的模式,分享几个过程性方案:


【公网暴露方案】


因为VPC默认没有公网,所以不具备接入公网的能力,无论是接收还是发送,都无法办到。那么我们在使用过程中,有几种方式可以让VPC-ECS具备访问外网的能力。


1.为某个VPC-ECS绑定一个EIP弹性公网IP,收取IP租用费+流量费,绑定后此ECS将直接暴露在公网中,具备接收与外发两种能力,与经典网络的ECS毫无二致。需要警惕黑客通过绑定了EIP的机器做跳板打穿你整个VPC网络!


2.创建一个公网SLB负载均衡,收取实例租用费+流量费,把某个(些)ECS作为此SLB的后端机器。设置好相应的监听规则,可以完成请求转发TCP/UDP都行。但是值得注意的是,通过这种方式,只能让VPC-ECS具备公网接收能力,而不具备公网外发能力,具体例子:


SLB的公网IP为:8.8.8.8,指向了VPC-ECS01这个机器,配置了端口监听8080 to 8080,那么你使用浏览器访问8.8.8.8:8080可以直接访问到VPC-ECS01的8080端口,但是VPC-ECS01本身不能向外网发送任何数据,因为SLB的特性是单向的,只是请求转发,而不像EIP那样是一个双向通道。


值得一提的是,相较于EIP的方式,通过SLB的方式完成公网暴露可以提高安全性,降低内网被攻击的可能性。局限在于VPC-ECS依旧不具备公网外发能力。


我会再写一篇讲一下VPC下一些典型的应用构建架构和更高级的公网暴露方案。