编辑: LinDa_学友 | 2015-12-22 |
【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有.本文档涉及的第三方主体 的商标,依法由权利人所有. 【服务声明】 本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整.您 所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则, 腾讯云对本文档内容不做任何明示或模式的承诺或保证. 黑石私有网络 版权所有:腾讯云计算(北京)有限责任公司 第3 共44页 文档目录 产品简介 产品概述 产品优势 应用场景 地域与可用区 路由表 访问 Internet NAT 网关 弹性公网 IP 资源互通 对等连接 IPsec VPN 连接 运维 SSL VPN 专线接入 云联网 安全 安全组 弹性公网 IP ACL 网络探测 镜像网关 配额限制 黑石私有网络 版权所有:腾讯云计算(北京)有限责任公司 第4 共44页 私有网络(Virtual Private Cloud)能帮助您在黑石构建出独立的网络空间,与您在数据中心运行的传统网络极其相 似,但是托管在黑石私有网络内的是您在黑石上的服务资源,包括:物理服务器、负载均衡、数据库等黑石服务资 源.黑石私有网络为您提供以下功能: 通过控制台和 API 自定义网段划分、IP 地址、路由策略等. 通过弹性公网 IP 、NAT 网关等灵活访问 Internet. 通过 VPN 和专线接入将私有网络与您的数据中心连通. 通过云联网服务可实现全球同服和两地三中心容灾. 通过安全组满足您的网络安全要求. 用户在创建 VPC 时,需要以无类域间路由(CIDR)块(例如 10.0.0.0/16)的形式为 VPC 指定 IP 地址组.黑石私 有网络有地域和可用区属性,当前仅支持北京物理机二区和四区,上海物理机二区、三区、四区和五区跨可用区创 建VPC,其它可用区创建的 VPC 不支持跨可用区. 子网 子网是 VPC 内的 IP 地址块,私有网络中的所有黑石资源都必须部署在子网内.子网具有可用区属性,如下图所 示,在创建 VPC 后,您可以在私有网络所属可用区中添加子网.可用区设计目的是隔离其他可用区的故障,通过启 动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响. 子网包括物理服务器子网、虚拟机子网、容器子网,分别对应于物理机、物理机上的虚拟机、物理机上的容器三种 业务场景.三者在 API 使用上略有差异,详情请参考 创建黑石私有网络的子网、创建黑石虚拟子网 和 创建黑石 Docker 子网. 产品简介 产品概述 最近更新时间:2019-04-22 15:56:45 黑石私有网络 版权所有:腾讯云计算(北京)有限责任公司 第5 共44页 私有网络的 IP 地址 您可以通过指定 CIDR(无类别域间路由)实现对私有网络和子网整体 IP 划分,黑石私有网络中使用的 IP 地址分为 三类: 内网 IP 地址: VPC 内的物理服务器必须指配的 IP 地址,用于 VPC 中物理服务器之间的通信,无法用于 Internet 通信. 公网 IP 地址:用于 Internet 访问的 IP 地址,并可用于物理服务器与 Internet 之间或与其他具有公共终端节点的 腾讯云资源(如TencentDB 等)之间的通信. 弹性 IP(EIP):可以独立申请的公网 IP 地址,支持与 物理服务器/NAT 网关实例的动态绑定和解绑. CIDR CIDR(无类别域间路由,Classless Inter-Domain Routing)是由用户指定的独立网络空间地址块,通过 IP 和掩码 结合,实现对网络的整体划分.以10.1.0.0/16 为例,斜杠左边为网络块的 IP,斜杠右边为网络块的掩码.通过设定 掩码的大小就可以调整网络块的大小.网络块包括的 IP 数=2^(32-掩码),因而 10.1.0.0/16 网络块最多包含65536 个IP 地址. 目前私有网络支持 IANA 定义的三个私网网段内网 IP,掩码范围遵循如下定义:最小为/16掩码,最大为/28掩码. 10.0.0.0/8(10.0.0.0-10.255.255.255) 172.16.0.0/12(172.16.0.0-172.31.255.255) 192.168.0.0/16(192.168.0.0-192.168.255.255) 在规划 CIDR 时需要注意: 私有网络在创建时候必须指定 CIDR,创建后不可修改. 子网的 CIDR 必须是所在私有网络 CIDR 的一部分. 子网的 CIDR 掩码范围小于 /22时,由于 Linux 操作系统的 ARP 表项默认阈值是1024,可能导致操作系统 ARP 表溢出,可通过调大 net/ipv4/neigh/default/gc_thresh 值解决. 建立对等连接的私有网络之间的 CIDR 不能重叠. VPN 连接中每条 SPD 策略对应一个本端网段(私有网络网段)和对端网段(您的 IDC 网段),本段网段和对端 网段不能重叠. 广播和组播 广播和组播是一对多的通信方式,通过单点到多点的高效数据传送,可以为企业节约网络带宽、降低网络负载. 黑石私有网络 版权所有:腾讯云计算(北京)有限责任公司 第6 共44页 使用约束 关于私有网络、子网您需要注意的是: 私有网络有地域和可用区属性,当前仅支持京物理机二区和四区,上海物理机二区、三区、四区和五区跨可用区 创建 VPC,其它可用区创建的 VPC 不支持跨可用区. 私有网络创建后无法更改大小,如果需要您可以删除当前 VPC 并重新创建一个私有网络. 黑石私有网络默认不支持组播和广播. 私有网络可以包含多个子网,每个子网的网络块均为私有网络 CIDR 的子集,多个子网的 CIDR 网络块不可以重 叠. 子网有可用区属性,不支持跨可用区部署,且子网的可用区只能是其私有网络地域下的可用区,子网中的服务器 需与子网在同一个可用区. 新建私有网络和子网时候需指定 CIDR 且创建后无法更改,我们建议您创建时为私有网络和子网留出足够的 IP 资 源以防业务扩容导致网络资源不足. 黑石保留了各个子网的前面两个 IP 地址和最后一个 IP 地址,以作 IP 联网之用. 例如:子网 CIDR 为172.16.0.0/24,则保留的 IP 地址为:172.16.0.