腾讯云VPC网络最佳实践 - 网络规划

私有网络（Virtual Private Cloud，VPC）是基于腾讯云构建的专属云上网络空间，为腾讯云上的资源提供网络服务，不同私有网络间完全逻辑隔离。作为在云上的专属网络空间，可以通过软件定义网络的方式管理私有网络 VPC，实现 IP 地址、子网、路由表、网络 ACL 、流日志等功能的配置管理。

迁移上云前，做好网络规划对后续云上资源管理和网络运维管理都至关重要。本篇文章描述了常见的网络规划，以及一些最佳实践。

腾讯云上的私有网络具有地域（Region）属性（如广州、上海），在私有网络中，用户可以自定义子网，子网具有 可用区（Zone） 属性，意味着子网不能跨可用区。

1. VPC是逻辑抽象, 一个资源(CVM/Credis/CDB) 落在VPC中指的是VPC中的子网；
2. VPC是Region属性,(北京/上海/广州) 子网是AZ属性(上海一区,二区)；
3. 其他云环境或IDC 与腾讯云VPC打通, 网段不能有冲突 ；
4. VPC个数的选择要根据实际业务需求选择；

网段

腾讯云私有网络目前支持定义三个私网网段内网IP，掩码范围遵循如下定义：最小为 /16 掩码，最大为 /28 掩码。

• 10.0.0.0 - 10.255.255.255 (10/8 前缀，掩码在16位-28位之间)
• 172.16.0.0 - 172.31.255.255 (172.16/12 前缀，掩码在16位-28位之间 )
• 192.168.0.0 - 192.168.255.255 (192.168/16 前缀，掩码在16位-28位之间 )

腾讯云保留了各个子网的前面两个 IP 地址和最后一个 IP 地址，以作 IP 联网之用。 例如：子网 CIDR 为172.16.0.0/24，则腾讯云保留的 IP 地址为：172.16.0.0、172.16.0.1 和 172.16.0.255。

实际使用过程中使用哪个网段呢？ 可以从如下几个方面考虑：

1. 每个网段可用的主机数

每个网段可用的IP数：

可以根据系统的规模，选择合适的网段。 另外建议根据业务发展情况，预留充足的IP资源，因为VPC一旦创建后，不能更改网段。

1. 现有IDC或云上已经使用过哪些网段？

如果有需求将现有IDC中的网络和云上VPC网络打通， 那么云上的网段和云下的网段要保持不能冲突。需要合理规划网段。

VPC

由于一个VPC就是一个隔离的网络， 那么在实际使用中，怎么样规划VPC网络呢？

首先看是否有多地部署的需求。

如果有多地域部署的需求，需要在每个地域分别创建VPC

其次看业务系统之间是否需要严格隔离。如果多个业务系统间没有调用关系，完全隔离，则建议规划多个VPC。

如果上述两个方面都没有强需求，那么只需要创建一个VPC

如果只使用一个VPC，是有有足够的容量呢？ 请参考前文子网章节，每个网段最大的可用IP数。一个VPC的容量可以满足绝大多数用户的需求。

可用区

可用区是指在同一地域内，电力和网络互相独立的物理区域，在同一地域内可用区与可用区之间内网互通。

腾讯云在一个地域通常会有多个可用区，VPC可以跨可用区，建议将子网分布在不同可用区，充分利用腾讯云多可用区的特性做业务容灾部署。

同一地域不同可用区之间的网络通信延迟很小，通常在2ms以内。大部分业务系统能够容忍这个延迟，但是也需要经过业务系统的适配和验证。

多VPC之间打通

云联网可以提供VPC间、VPC 与本地数据中心间互联的服务。您可以将 VPC 和专线网关实例加入云联网，以实现单点接入、全网资源互通，轻松构建简单、灵活的混合云及全球互联网络。

云联网的使用方法参考官方文档：云联网

由于VPC之间，VPC和线下IDC之间需要互通的IP段不能相同，因此，上图中用户上海灾备VPC，北京弹性业务VPC，广州弹性业务VPC， VPC1，北京本地IDC需要使用不同的网段。

网络的总体规划举例

网络的规划大概如下：

建议根据业务情况分为如下几个子网：

• 生产接入层子网。这个子网属于DMZ区，会有公网接入，将有公网访问需求的主机放到这个子网中；
• 生产业务子网。 这个子网属于业务逻辑层，所有业务逻辑的服务器放到这个子网中；
• 生产数据子网。 这个子网中包含所有的数据库，是核心的子网。务必设置好这个子网的网络权限；
• 测试环境子网。 测试环境子网，将所有的测试环境部署在这个子网中。