IBM Cloud Docs
VPC 后台操作

VPC 后台操作

以下信息显示了 VPC 网络中“幕后”正在发生的情况的详细概念图。 了解有关网络隔离,地址前缀,云服务端点源地址,数据包流,外部 IP 地址生命周期和经典基础架构访问的信息。 读者应该具备一些联网背景知识。

网络隔离

VPC 网络隔离在三个级别执行:

  • 系统管理器-虚拟服务器实例由系统管理器隔离。 如果虚拟服务器实例不在同一 VPC 中,那么该虚拟服务器实例无法直接访问由同一管理程序托管的其他虚拟服务器实例。

  • 网络-通过使用 虚拟网络标识 (VNI) 在网络级别进行隔离。 这些标识将分配给每个子网,并且作用域限定为单个专区。 VNI 将添加到所有进入 VPC 任何区域的数据包中: 从管理程序输入,由虚拟服务器实例发送,或从云中输入,由隐式路由功能发送。

    离开区域的包将 VNI 剥离。 当包通过隐式路由功能进入而到达其目标专区时,隐式路由器会始终为该专区添加正确的 VNI。

  • 路由器- 隐式路由器功能 通过在云主干中提供 虚拟路由功能 (VRF) 和具有 MPLS (多协议标签切换) 的 VPN,为每个 VPC 提供隔离。 每个 VPC 的 VRF 都具有唯一标识,此隔离允许每个 VPC 有权访问其自己的 IPv4 地址空间副本。 MPLS VPN 支持联合云的所有边缘:经典基础架构、Direct Link 和 VPC。

地址前缀

地址前缀是 VPC 的隐式路由功能用于查找 _目标虚拟服务器实例_的摘要信息,而不考虑目标虚拟服务器实例所在的可用性区域。 地址前缀的主要功能是优化 MPLS VPN 的路由,同时避免病态路由情况。 VPC 中的所有子网都必须包含在地址前缀中,以便可以从 VPC 中的所有其他虚拟服务器实例访问 VPC 中的所有虚拟服务器实例。

Cloud Service Endpoint 源地址

云服务端点源地址是标识 VPC 和 VPC 外部的区域组合的 IP 地址。 例如,当通过云服务端点调用 VPC 外部的服务时,将使用源地址。 虚拟服务器实例的 IP 地址将替换为 IPv4 地址,即源地址,用于向云服务端点标识 VPC。 请参阅下图以获取详细信息:

地址转换示例
地址转换示例

图中的云服务端点源地址标注为“VPC 地址”。 此地址的作用域在客户 VPC 之外,因此不会与客户 VSI 地址发生冲突。

数据包流和隐式路由器

VPC 中出现了六种不同类型的虚拟服务器实例数据包流。 下面是这 6 种流,按复杂性升序列出:

  • 子网内,主机内(同一系统管理程序)
  • 子网内,主机间
  • 子网间,专区内
  • 子网间,专区间
  • 额外 VPC 服务(对于 IaaS 或 CSE 访问)
  • 额外 VPC 因特网(对于因特网访问)

子网内,主机内 数据流-这些数据包最简单。 信息包在系统管理程序上的虚拟服务器实例之间流动,没有任何信息包离开系统管理程序。

子网内,主机间 数据流-这些流涉及离开系统管理程序的包。 每个包都使用正确的 VNI (虚拟化网络标识) 进行标记,以保持数据隔离。 然后,这些流将发送到主管目标虚拟服务器实例的目标系统管理程序。 目标系统管理程序会断开 VNI 并将数据包转发到目标虚拟服务器实例。

子网间,区域内 数据流-这些流涉及使用 VPC 的隐式路由器功能 (用于连接在 VPC 中创建的所有子网) 的包。 它会将数据包路由到正确的目标系统管理程序。 如果目标系统管理程序与源系统管理程序不同,那么会使用正确的 VNI 来标记数据包,并将其发送到目标系统管理程序。 在那里,VNI 被剥离,数据包被转发到目标虚拟服务器实例。 (这些最后的步骤与上一个类型数据流中所述的相同。)

子网间,区域间 数据流-对于这些流,隐式路由器功能将除去 VNI 并转发 VPC 的 MPLS VPN 中的包以在云主干之间传输。 在目标专区中,隐式路由器功能会使用相应的 VNI 标记数据包。 然后,将该包转发到目标系统管理程序,在此系统管理程序中,将再次剥离 VNI,以便可以将该数据包转发到目标虚拟服务器实例。

额外-vpc 服务 数据流-发往 IaaS 或 IBM Cloud 服务端点 (CSE) 服务的数据包使用 VPC 的隐式路由器功能。 它们还使用网络地址转换 (NAT) 功能。 转换函数将虚拟服务器实例地址替换为向请求的 IaaS 或 CSE 服务标识 VPC 的 IPv4 地址。

额外-vpc 因特网 数据流-以因特网为目标的数据包最为复杂。 除了使用 VPC 的隐式路由器功能外,其中每个流还依赖于隐式路由器的两个网络地址转换 (NAT) 功能之一。

  • 通过公共网关功能显式一对多 NAT,为连接到它的所有子网提供服务。
  • 分配给单个虚拟服务器实例的一对一 NAT。

NAT 转换后,隐式路由器使用云主干将这些以因特网为目的地的包转发到因特网。

与公共网关功能关联的外部 IP 地址的生命周期

由于外部 IP 地址和 PGW 都绑定到可用性区域。 公共网关功能只能具有单个外部 IP。 此外部 IP 具有以下生命周期:

  • 外部 IP 是在创建公共网关时分配的。
  • 删除公共网关时,将释放外部 IP。

经典访问

VPC 的 经典访问 功能通过复用 IBM Cloud® 经典基础架构帐户中的 VRF 标识作为 VPC 的 VRF 标识来完成。 此实现允许 VPC 的隐式路由器功能加入经典基础架构帐户使用的 MPLS VPN。 因此,VPC 可以访问经典资源以及使用现有 Direct-Link 连接可访问的任何其他资源。