子網

子網是虛擬私有云內的IP地址集，可以將虛擬私有云的網段分成若干塊，子網劃分可以幫助您合理規劃IP地址資源。虛擬私有云中的所有云資源都必須部署在子網內。同一個虛擬私有云下，子網網段不可重復。

默認情況下，同一個VPC中，不同子網內的所有實例網絡互通。

路由表與路由

路由表

路由表由一系列路由規則組成，用于控制VPC內出入子網的流量走向。VPC中的每個子網都必須關聯一個路由表，一個子網只能關聯一個路由表，但一個路由表可以同時關聯至多個子網。

默認路由表：用戶創建VPC時，系統會自動為其生成一個默認路由表，創建子網后，子網會自動關聯默認路由表。默認路由表可以確保VPC內，不同子網的內網網絡互通。

• 您可以在默認路由表中添加、刪除和修改路由規則，但不能刪除默認路由表。
• 創建VPN、云專線服務時，默認路由表會自動下發路由，該路由不能刪除和修改。

自定義路由表：您可以直接使用默認路由表，也可以為具有相同路由規則的子網創建一個自定義路由表，并將自定義路由表與子網關聯。自定義路由表可以刪除。

子網關聯自定義路由表僅影響子網的出流量走向，入流量仍然匹配子網所在VPC的默認路由表。

路由

您可以在默認路由表和自定義路由表中添加路由，路由包括目的地址、下一跳類型、下一跳地址等信息，可以決定網絡流量的走向。路由分為系統路由和自定義路由。

系統路由：系統路由一般為VPC服務或者其他服務（比如VPN、DC等）自動在路由表添加的路由，無法刪除或修改。

創建路由表時，VPC服務會自動在路由表中添加下一跳為Local的路由，通常情況下，路由表中有以下Local的路由：

• 目的地址是100.64.0.0/10，該路由用于子網內實例訪問云上公共服務，比如訪問DNS服務器等。
• 目的地址是198.19.128.0/20，表示系統內部服務使用的網段地址，比如VPCEP等服務。
• 目的地址是127.0.0.0/8，表示本地回環地址。
• 目的地址是子網網段，該路由用于當前VPC內，不同子網的內網網絡互通。

您在創建子網時，開啟IPv6功能，系統將自動為當前子網分配IPv6網段，就可以在路由表中看到IPv6路由。子網網段目的地址示例如下：

• IPv4地址：192.168.2.0/24。
• IPv6地址：240e:c080:802:be7::/64

自定義路由：路由表創建完成后，您可以添加自定義路由來控制網絡流量的走向，需要指定路由的目的地址和下一跳等信息。除了手動添加自定義路由，當您使用其他云服務時（比如云容器引擎CCE或者NAT網關），其他服務會自動在VPC路由表中添加自定義路由。

路由表包括默認路由表和自定義路由表，不同路由表中支持添加自定義路由的下一跳類型有差異。

下表是默認路由表支持的下一跳類型。

下一跳類型	下一跳說明
云主機實例	將指向目的地址的流量轉發到虛擬私有云內的一臺ECS實例。
擴展網卡	將指向目的地址的流量轉發到虛擬私有云內的一臺ECS實例的擴展網卡。
輔助彈性網卡	將指向目的地址的流量轉發到虛擬私有云內的一臺ECS實例的輔助彈性網卡。
NAT網關	將指向目的地址的流量轉發到一個NAT網關。
對等連接	將指向目的地址的流量轉發到一個對等連接。
虛擬IP	將指向目的地址的流量轉發到一個虛擬IP地址，可以通過該虛擬IP地址將流量轉發到主備ECS。
VPC終端節點	將指向目的地址的流量轉發到一個VPC終端節點。
云容器引擎	將指向目的地址的流量轉發到一個云容器引擎的節點。

下表是自定義路由表支持下一跳類型。

下一跳類型	說明
云主機實例	將指向目的地址的流量轉發到虛擬私有云內的一臺ECS實例。
擴展網卡	將指向目的地址的流量轉發到虛擬私有云內的一臺ECS實例的擴展網卡。
物理機自定義網絡	將指向目的地址的流量轉發到一個物理機自定義網絡。
VPN網關	將指向目的地址的流量轉發到一個VPN網關。
云專線網關	將指向目的地址的流量轉發到一個云專線網關。
輔助彈性網卡	將指向目的地址的流量轉發到虛擬私有云內的一臺ECS實例的輔助彈性網卡。
NAT網關	將指向目的地址的流量轉發到一個NAT網關。
對等連接	將指向目的地址的流量轉發到一個對等連接。
虛擬IP	將指向目的地址的流量轉發到一個虛擬IP地址，可以通過該虛擬IP地址將流量轉發到主備ECS。
VPC終端節點	將指向目的地址的流量轉發到一個VPC終端節點。
云容器引擎	將指向目的地址的流量轉發到一個云容器引擎的節點。

說明
個別由系統下發的路由可供用戶修改和刪除，這取決于創建對端服務時是否已設置目的地址。
例如，創建NAT網關時，系統會自動下發一條自定義類型的路由，沒有明確指定目的地址（默認為0.0.0.0/0）,此時用戶可修改該目的地址。如果在路由表頁面更改路由將會導致與對端數據不一致，您可以前往對端服務頁面修改遠端子網來調整路由表中的路由規則。
不支持手動在VPC路由表中添加下一跳類型為“VPC終端節點”或者“云容器引擎”的路由，通常您在配置VPC終端節點或者云容器引擎服務時，由該服務自動添加在VPC路由表中。

安全組

安全組是一個邏輯上的分組，為具有相同安全保護需求并相互信任的云主機、云容器、云數據庫等實例提供訪問策略。安全組創建后，用戶可以在安全組中定義各種訪問規則，當實例加入該安全組后，即受到這些訪問規則的保護。

安全組中包括入方向規則和出方向規則，您可以針對每條入方向規則指定來源、端口和協議，針對出方向規則指定目的地、端口和協議，用來控制安全組內實例入方向和出方向的網絡流量。以下圖為例，在區域A內，某客戶有一個虛擬私有云VPC-A和子網Subnet-A，在子網Subnet-A中創建一個云主機ECS-A，并為ECS-A關聯一個安全組Sg-A來保護ECS-A的網絡安全。

• 安全組Sg-A的入方向存在一條放通ICMP端口的自定義規則，因此可以通過個人PC (計算機)ping通ECS-A。但是安全組內未包含允許SSH流量進入實例的規則，因此您無法通過個人PC遠程登錄ECS-A。
• 當ECS-A需要通過EIP訪問公網時，由于安全組Sg-A的出方向規則允許所有流量從實例流出，因此ECS-A可以訪問公網。

對等連接

對等連接是建立在兩個VPC之間的網絡連接，不同VPC之間網絡不通，通過對等連接可以實現不同VPC之間的云上內網通信。

對等連接用于連通同一個區域內的VPC，您可以在相同賬戶下或者不同賬戶下的VPC之間創建對等連接。

• 在區域A內，您的兩個VPC分別為VPC-A和VPC-B，VPC-A和VPC-B之間網絡不通。
• 您的業務服務器ECS-A01和ECS-A02位于VPC-A內，數據庫服務器RDS-B01和RDS-B02位于VPC-B內，此時業務服務器和數據庫服務器網絡不通。
• 您需要在VPC-A和VPC-B之間建立對等連接Peering-AB，連通VPC-A和VPC-B之間的網絡，業務服務器就可以訪問數據庫服務器。

網絡ACL

網絡ACL是一個子網級別的可選安全防護層，您可以在網絡ACL中設置入方向和出方向規則，并將網絡ACL綁定至子網，可以精準控制出入子網的流量。

網絡ACL與安全組的防護范圍不同，安全組對云主機、云容器、云數據庫等實例進行防護，網絡ACL對整個子網進行防護。安全組是必選的安全防護層，當您還想增加額外的安全防護層時，就可以啟用網絡ACL。兩者結合起來，可以實現更精細、更復雜的安全訪問控制。

網絡ACL中包括入方向規則和出方向規則，您可以針對每條規則指定協議、來源端口和地址、目的端口和地址。

以下圖為例，在區域A內，某虛擬私有云VPC-X有兩個子網，子網Subnet-X01關聯網絡ACL Fw-A，Subnet-X01內部署的實例面向互聯網提供Web服務。子網Subnet-X02關聯網絡ACL Fw-B，基于對等連接連通Subnet-X02和Subnet-Y01的網絡，通過Subnet-Y01內的實例遠程登錄Subnet-X02內的實例。

• Fw-A的規則說明：

入方向自定義規則，允許外部任意IP地址，通過TCP (HTTP)協議訪問Subnet-X01內實例的80端口。如果流量未匹配上自定義規則，則匹配默認規則，無法流入子網。

網絡ACL是有狀態的，允許入站請求的響應流量出站，不受規則限制，因此Subnet-X01內實例的響應流量可流出子網。非響應流量的其他流量則匹配默認規則，無法流出子網。

• Fw-B的規則說明：

入方向自定義規則，允許來自Subnet-Y01的流量，通過TCP (SSH)協議訪問子網Subnet-X02內實例的22端口。

出方向自定義規則，放通ICMP協議全部端口，當在Subnet-X02內實例ping測試網絡連通性時，允許去往Subnet-Y01的流量流出子網。

IP地址組

IP地址組是一個或者多個IP地址的集合，可關聯至安全組、網絡ACL，用于簡化網絡架構中IP地址的配置和管理。

對于需要統一管理的IP網段、單個IP地址，您可以將其添加到一個IP地址組內。

IP地址組無法獨立使用，需要將IP地址組關聯至對應的資源，可關聯IP地址組的資源說明如下表所示。

資源	說明	示例
安全組	添加安全組規則的時候，源地址和目的地址可以選擇IP地址組。	如下圖所示，安全組sg-A的的入方向規則的源地址使用IP地址組ipGroup-A。
網絡ACL	添加網絡ACL規則的時候，源地址和目的地址可以選擇IP地址組。	如下圖所示，網絡ACLfw-A的入方向規則的源地址使用IP地址組ipGroup-A。

虛擬IP

虛擬IP（Virtual IP Address）是從VPC子網網段中劃分的一個內網IP地址，是一種可以獨立申請和刪除的內網IP地址，適用于以下場景：

• 將一個或者多個虛擬IP同時綁定至一個云主機，可以通過任意一個IP地址（私有IP/虛擬IP）訪問云主機。通常當單個云主機內同時部署了多種業務，此時可以通過不同的虛擬IP訪問各個業務。
• 將一個虛擬IP同時綁定至多個云主機，虛擬IP需要搭配高可用軟件（比如Keepalived），用來搭建高可用的主備集群。為了提升服務的高可用性，避免單點故障，您可以用“一主一備”或“一主多備”的方法組合使用云主機，這些云主機對外呈現為一個虛擬IP。當主云主機故障時，備云主機可以轉為主云主機并繼續對外提供服務，以此達到高可用性HA（High Availability）的目的。

通常情況下，云主機使用私有IP地址進行內網通信，虛擬IP地址擁有私有IP地址同樣的網絡接入能力，包括VPC內二三層通信、VPC之間對等連接通信、EIP公網通信、接入VPN和云專線的能力。

• 私有IP地址：用于內網通信，不能訪問公網。
• 虛擬IP：搭配Keepalived構建高可用集群，多個ECS構建的集群對外呈現一個虛擬IP。
• EIP：用于公網通信。

彈性網卡

彈性網卡（Elastic Network Interfaces，以下簡稱ENI）即虛擬網卡，您可以通過創建并配置彈性網卡，并將其附加到您的云主機實例（包括彈性云主機和物理機）上，實現靈活、高可用的網絡方案配置。

彈性網卡類型

• 主彈性網卡：在創建實例時，隨實例默認創建的彈性網卡稱作主彈性網卡。無法解除主彈性網卡和實例的綁定關系。
• 擴展彈性網卡：您在彈性網卡控制臺創建的是擴展彈性網卡，可以將網卡綁定到實例上，也可以解除網卡和實例的綁定關系。

彈性網卡應用場景

• 靈活遷移

通過將彈性網卡從云主機實例解綁后再綁定到另外一臺云主機實例，保留已綁定私網IP、彈性公網IP和安全組策略，無需重新配置關聯關系，將故障實例上的業務流量快速遷移到備用實例，實現服務快速恢復。

• 業務分離管理

可以為云主機實例配置多個分屬于同一VPC內不同子網的彈性網卡，特定網卡分別承載云主機實例的內網、外網、管理網流量。針對子網可獨立設置訪問安全控制策略與路由策略，彈性網卡也可配置獨立安全組策略，從而實現網絡隔離與業務流量分離。

輔助彈性網卡

輔助彈性網卡是一種基于彈性網卡的衍生資源，用于解決單個云主機實例掛載的彈性網卡超出上限，不滿足用戶使用需要的問題。輔助彈性網卡通過VLAN子接口掛載在彈性網卡上，您可以通過創建輔助彈性網卡，使單個云主機實例掛載更多網卡，實現靈活、高可用的網絡方案配置。

單個云主機實例支持綁定的彈性網卡數量有限，當因業務需要綁定超過彈性網卡上限的網卡時，可以通過為彈性網卡掛載輔助彈性網卡實現。

• 為云主機實例配置多個分屬于同一VPC內不同子網的輔助彈性網卡，每個輔助彈性網卡擁有不同的私網IP、彈性公網IP，可以分別承載云主機實例的內網、外網和管理網流量。
• 輔助彈性網卡可配置獨立安全組策略，從而實現網絡隔離與業務流量分離。