云网络架构
VPC 设计原则
# CIDR 规划——避免与本地/其他 VPC 重叠
VPC CIDR: 10.0.0.0/16(共 65,536 个 IP)
# 3 个可用区的子网布局
公有子网(面向互联网的 LB、NAT 网关):
10.0.1.0/24 可用区a (251 个可用 IP)
10.0.2.0/24 可用区b
10.0.3.0/24 可用区c
私有子网(应用服务器、EKS 节点):
10.0.11.0/24 可用区a
10.0.12.0/24 可用区b
10.0.13.0/24 可用区c
数据库子网(无互联网路由):
10.0.21.0/24 可用区a
10.0.22.0/24 可用区b
10.0.23.0/24 可用区c
# 规则:
# • 公有子网:0.0.0.0/0 → Internet Gateway
# • 私有子网:0.0.0.0/0 → NAT Gateway(每个 AZ 一个)
# • DB 子网:无互联网路由,只允许私有子网安全组访问
# • EKS 需预留 /18 或更大(每个节点消耗大量 IP)
安全组 vs 网络 ACL
| 特性 | 安全组 | 网络 ACL |
|---|---|---|
| 级别 | 实例(ENI) | 子网 |
| 状态 | 有状态(返回流量自动放行) | 无状态(需双向规则) |
| 规则 | 仅允许(无拒绝) | 允许和拒绝 |
| 评估 | 所有规则一起评估 | 按编号顺序处理 |
| 推荐用途 | 主要访问控制 | 子网级黑名单,额外防御层 |
连接方式
| 方式 | 使用场景 | 延迟 | 费用 |
|---|---|---|---|
| VPC 对等连接 | 连接 2 个 VPC(跨账号可用) | 低 | 仅数据传输费 |
| Transit Gateway | 多 VPC 星型互连 | 低 | 按连接 + 数据计费 |
| Direct Connect | 本地数据中心到云的专线 | 极低(可预测) | 高(端口费 + 数据费) |
| Site-to-Site VPN | 互联网上的加密隧道 | 中 | 低 |
| VPC 终端节点 | 私网访问 S3/DynamoDB 等服务 | 低 | Gateway 免费;接口型按小时 |