网络规划

在创建私有网络（下文简称VPC）之前，需要根据实际业务需求规划相应的VPC、子网、网段、以及互联互通的方式。
提前做好网络规划，不仅能大大节约后续云上网络管理的时间，而且能降低云上网络的使用成本。

一、规划VPC数量

VPC用于实现独立、隔离的安全网络环境。同一VPC中的各子网默认私网互通，不同VPC间默认私网隔离。您可对照下述场景，合理创建VPC。

• 单个VPC
  当各业务间没有网络隔离需求，且无需进行多地域部署，此时仅使用一个VPC即可满足业务需求。
  
• 多个VPC
  多个VPC之间，可根据使用场景，按需使用云企业网、VPN连接、中转路由器、私网连接实现网络互通，具体操作请参见通过云企业网实现VPC间网络互通、通过VPN连接实现VPC间网络互通、实现不同VPC之间的私网互通与隔离（同地域同账号）、实现同账号VPC间的私网访问。
  • 当各业务之间需进行网络隔离时，如生产环境和测试环境之间就要进行网络隔离，一个VPC无法满足网络隔离需求，此时需使用2个及以上的多个VPC。
  • 当需要在多个地域部署业务时，由于VPC具有地域性，因此需要根据业务使用多个VPC。
    

二、规划子网数量

子网是VPC内独立的IP地址块，VPC内云资源实际上均部署在子网内。每个VPC均可创建多个子网，同一VPC内的多个子网，具有私网互通的特性。子网具有可用区属性，同一个VPC内的不同子网，可创建在不同的可用区下。

• 仅有一个VPC的场景，也推荐您至少创建2个子网，并且这2个子网分别创建在不同的可用区下，以便实现跨可用区容灾。可用区之间网络、电力相互隔离，当一个可用区停电，可将业务切换至另一个可用区，确保业务正常运行。

• 子网数量跟系统规模、系统规划有关，请根据实际业务需求，合理规划子网。

三、规划网段

1、规划VPC网段

• VPC支持的网段如下表，如果VPC不需要与本地数据中心网络通信，可以选择下表任何一个网段或其子网。

  网段范围	VPC的最大IP数量（除系统预留）
  10.0.0.0/8~24	16777213
  172.16.0.0/12~24	1048573
  192.168.0.0/16~24	65533

• 如果VPC需要与本地数据中心网络或其他VPC通信，建议使用上表中网段的子网，但掩码不建议超过16位，并且须确保VPC的网段与待通信本地数据中心网络网段或其他VPC网段无重叠。
• 规划VPC网段时，需考虑所选网段的可用IP数量，是否可以满足业务需求。

2、规划子网网段

• 子网网段必须在所选VPC网段范围之内，同一个VPC内建议根据业务模块划分子网网段。

• 子网网段的大小要在16～29位网络掩码之间，可提供8～65536个IP地址。

• 每个子网网段有3个系统保留地址，系统保留地址是子网网段中的第一个、第二个和最后一个IP地址，分别用作网络地址、网关地址和广播地址。如子网网段为192.168.2.0/24为例，系统保留地址为192.168.2.0、192.168.2.1、192.168.2.255。

• 规划子网网段时需考虑所选网段的IP数量，是否可以满足后续IP需求。

3、网段规划限制

如果您有VPC之间互通或VPC与本地数据中心连通的需求，规划VPC网段时需要统筹全局。当前需要连通或后续有计划进行连通的VPC与VPC、VPC与本地数据中心之间的网段，不可冲突。

规划网段时，可遵循如下原则：

1. 尽量确保不同VPC的网段互不相同。

2. 若无法确保VPC的网段互不相同，尽量确保不同VPC的子网网段互不相同。

3. 若无法确保VPC的网段互不相同且不同VPC的子网网段互不相同，尽量优先确保需要连接通信的子网网段不相同。

四、规划路由表

路由表由一系列路由规则组成，按照最长匹配原则匹配，用于控制VPC内子网出入方向的流量走向。VPC中每个子网都必须关联一个路由表。创建VPC后，系统会自动为其生成一个默认路由表，提供子网间私网互通能力。

• 若无需对子网流量进行管控，由于同一VPC的私网互通，仅使用系统生成的默认路由表即可。

• 若需要对子网的流量进行管控，可以创建自定义路由表，配置相关路由策略，实现灵活的网络管理。更多介绍请参见路由表概述。

五、规划安全组

安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器实例提供访问策略。

• 创建VPC时，系统会为当前VPC创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限。

• 安全组内的云服务器实例无需添加规则即可互相访问，您也可以根据需要创建自定义的安全组。更多介绍请参见安全组概述。