专有网络VPC和子网规划

在创建VPC之前，您需要根据具体的业务需求规划VPC、子网的数量及IP网段，并选择网络连通方式等。

如何规划VPC？

VPC具有区域属性，支持跨可用区，默认情况下，不同VPC之间网络不通，同一个VPC内的子网之间网络互通。可参考以下原则，进行专有网络VPC的规划：

业务规模和复杂度：当各个业务之间没有网络隔离需求时，可以只使用一个VPC。如果希望不同业务之间网络隔离，则可以为每个业务建立对应的VPC。并通过对等连接、边界网关来实现VPC之间的互通。

安全和合规性：根据组织特定的安全或者合规性要求，需要隔离敏感数据或者资源。则可将敏感数据或者资源放在单独的VPC内，配置独立的访问策略控制和安全规则。

部门/项目隔离：当组织内存在多个部门或者多个项目组，且部门、项目都需要独立的虚拟网络环境和业务资源。则可为每个部门或者每个项目创建一个VPC，来实现网络隔离和资源隔离。

高可用性：为了保障业务的高可用性，需要将业务资源分布于多个区域，实现异地容灾。则可在多个区域创建多个VPC，将业务部署于多个VPC，来实现业务的异地高可用。

如何规划子网

子网是私有网络VPC内的IP地址段，子网具有可用区属性，子网不支持跨可用区。私有网络中的资源都必须部署在子网内，同一个VPC内的子网网段不允许重叠。可参考以下原则，进行子网的规划：

业务容量：根据业务的资源容量来确认子网的网段大小。

安全和合规性：根据组织特定的安全或者合规性要求，需要隔离敏感数据或者资源。则可建立公网子网和内网子网，两类子网配置不同的访问策略和安全规则，公网子网允许通过NAT网关、弹性公网IP等产品访问公网，内网子网不允许使用NAT网关、弹性公网IP等产品访问公网。

业务划分：业务系统内的存在多个不同功能模块，例如WEB Server层、业务处理层、数据层等，可通过创建不同的子网承载不同的功能模块资源，实现不同功能模块的独立的访问控制。

VPC连接

作为云上独立的虚拟网络环境，会存在多种网络互联的场景，可配合云上的多款网络产品来满足。

连接Internet

云上VPC互连

云上云下互联

访问控制

私有网络VPC内支持以下几种访问控制策略：

安全组：基于云服务器ECS实例粒度的访问控制

安全组是一个逻辑上的安全域，为ECS实例提供安全访问策略，支持允许、拒绝规则，支持出入方向，根据优先级进行匹配。

网络ACL：基于子网粒度的访问控制

网络ACL为子网提供安全访问策略，支持允许、拒绝规则，支持出入方向，根据优先级进行匹配。

场景一：只允许ECS访问公网

绑定了弹性公网IP的云服务器ECS实例仅允许访问公网，不允许被公网上的客户端访问，可通过安全组实现。

配置样例：

场景二：子网内资源只允许特定IP地址的访问

子网内的云服务器ECS只允许某些特定IP地址的访问，不允许其他IP地址的访问，可通过网络ACL实现。

配置样例：

云防火墙实现VPC互访流量清洗