关于网络
IBM Cloud® Virtual Private Cloud (VPC)是一个与您的客户账户相连的虚拟网络。 VPC 通过提供对虚拟基础架构和网络流量分段的细颗粒度控制,为您提供了云安全性以及动态伸缩能力。
概述
每个 VPC 都部署到单个区域。 在该区域内,VPC 可以跨多个专区。
VPC 中的子网可以通过可选的公共网关连接到公用因特网。 可以将浮动 IP 地址分配给任何虚拟服务器实例,以支持从因特网对其进行访问,这与其子网是否连接到公共网关无关。
VPC 中的子网提供专用连接;子网之间可以利用专用链接通过隐式路由器相互对话。 不需要设置路径。 图 1 显示了可以如何使用子网细分 Virtual Private Cloud,并且每个子网都可以访问公用因特网。
术语
要使用 VPC,请查看适用于部署的 区域 和 区域 的基本概念。
区域
区域由一个或多个区域组成的独立地理区域。是部署VPC的地理区域的抽象概念。 每个区域包含多个 分区一个区域内的一个位置,作为一个独立的故障域,与该区域其他区域的延迟较低。。 一个 VPC 可在其指定区域内跨越多个区域。IBM Cloud 提供两级区域:多区域分布在多个区域物理位置的区域,以提高容错性。和 单校区多区域一个由多个区域组成的区域,位于同一栋建筑或园区内。 电源、冷却、网络和物理安全等依赖性可能会被共享,但旨在提供高度的故障独立性。 。
区域
每个专区都分配有一个缺省地址前缀,用于指定可以创建子网的地址范围。 如果缺省地址方案不符合您的需求,例如如果要使用自带公共 IPv4 地址范围,那么可以定制地址前缀。 逻辑区域名称与物理区域的映射是相对于账户而言的,因此不同账户的区域默认地址前缀范围可能不同。 有关详细信息,请参阅 资源部署的IBM Cloud位置。
VPC 中子网的特征
每个子网由指定的 IP 地址范围(CIDR 块)组成。 子网绑定到单个专区,无法跨多个专区或区域。 同一 VPC 中的子网相互连接在一起。
系统保留的地址
某些IP地址保留给 IBM 用于操作VPC。 以下地址为保留地址(这些IP地址假定子网的CIDR范围为 10.10.10.0/24
):
- CIDR 范围内的第一个地址(
10.10.10.0
):网络地址 - CIDR 范围内的第二个地址(
10.10.10.1
):网关地址 - CIDR地址空间中的第三个地址(
10.10.10.2
):由 IBM - CIDR地址范围的第四个地址(
10.10.10.3
):由 IBM 保留,供将来使用 - CIDR 范围内的最后一个地址(
10.10.10.255
):网络广播地址
外部连接
外部连接可以通过连接到子网的公共网关或通过连接到虚拟服务器实例的浮动 IP 地址来实现。 请将公共网关用于源网络地址转换 (SNAT),并将浮动 IP 用于目标网络地址转换 (DNAT)。
下表总结了各选项之间的区别:
公共网关 | 浮动 IP |
---|---|
实例可以启动与因特网的连接,但它们无法接收来自因特网的连接。 | 实例可以启动或接收与因特网的连接 |
为整个子网提供连接 | 为单个实例提供连接 |
要实现安全的外部连接,请使用 VPN 服务将 VPC 连接到另一个网络。 有关 VPN 的更多信息,请参阅 将 VPN 与 VPC 配合使用。
使用公共网关建立子网外部连接
公共网关支持子网及其所有连接的虚拟服务器实例连接到因特网。 缺省情况下,子网是专用的。 将子网连接到公共网关后,该子网中的所有实例都可以连接到因特网。 虽然每个专区只允许有一个公共网关,但该公共网关可以连接到多个子网。
公共网关使用 Many-to-1 NAT,这意味着成千上万个具有私有地址的实例使用一个公共IP地址与公共互联网进行通信。
下图概述了网关服务的当前作用域。
SNAT | DNAT | ACL | VPN |
---|---|---|---|
实例可以仅对外访问互联网。 | 允许从互联网到专用IP的入站连接。 | 从互联网到实例或子网的受限入站访问。 | 站点到站点VPN可满足任何规模、任何地点(单个或多个)的客户需求。 |
整个子网共享出站公共端点。 | 提供对单个私人服务器的有限访问权限。 | 根据服务、协议或端口限制互联网访问。 | 高吞吐量(最高可达10 Gbps)使客户能够安全、快速地传输大型数据文件。 |
保护实例;无法通过公共终端访问实例。 | DNAT服务可根据需求进行扩展或缩减。 | 无状态访问控制列表(ACL)能够对流量进行精细控制。 | 使用行业标准加密技术创建安全连接。 |
每个区域只能创建一个公共网关。 但是,该公共网关可以连接到专区中的多个子网。
使用浮动 IP 地址建立虚拟服务器实例外部连接
浮动 IP 地址是系统提供且可从公用因特网访问的 IP 地址。
可以保留 IBM 提供的可用地址池中的浮动 IP 地址,也可以将其与同一专区中的任何实例的网络接口相关联。 该接口也有一个私有的IP地址。 每个浮动 IP 地址只能与一个接口相关联。
注释
- 通过将浮动 IP 地址与实例相关联,可从公共网关的多对一 NAT 中除去该实例。
- 目前,浮动 IP 仅支持 IPv4 地址。