Day4 VPC & Security Group

从地端 On-Premise的传统资讯部署，再到云端 Cloud的新形态部署模式，在这个转型过程初期，首先会困惑的是究竟在地端的部署模式，该如何搬迁上云？其中最重为需要注意的是网路在云端服务上的实现，如何在云上打造一个局域网路(LAN)，来符合企业内的各式IT需求，以及在这个企业内网中，又是如何做到网段分配及连线控管规划，而接下来我们接着看在Alibaba Cloud上的网路规划会是什麽样貌

专有网路(Virtual Private Cloud，VPC)

专有网路是云端中的私有网路区域，其概念可以把他想成类似於地端的局域网(Local Area Network，LAN)的概念，在VPC当中可以自定义私有网段位址，并且根据企业内的需求来切分不同的子网段(Subnet)

(图片来源：AlibabaCloud官网)

阿里云的VPC中有几个非常重要元件组成:

私有网段：
整段VPC的网段配置，通常会配置如 192.168.0.0/16，往下才能够分割足够的子网段（Subnet）

交换机 (VSwitch)：
用来连接云端上的各式资源，如ECS （VMs、Instances）；同时也是子网段（Subnet）的分割基础，使用者可以透过建立VSwitch，来分割更小的网段，以符合企业复杂的资讯需求

路由器 (VRouter)：
VRouter可以想像为VPC中的转运站，连接各个VSwitch，在同一Region内连接起位於不同Available Zone，建立VPC同时，系统会建立预设路由表，使用者也可以自行建立自定义路由表，达成更精细的网路调整

VPC之间连接
建立VPC後，考量到企业分部的LAN需要能进行互相连线，在过去通常都要与电信商合作，进行实体专线部署，而在云端上，只需要通过阿里云的骨干网路来进行串接，就能够快速实现局域网的互连

Alibaba Cloud VPC 与 Internet 的连接：

Alibaba Cloud VPC互连、云地连接：

安全组(Security Group) - 针对子网段的细致网路连线控管：
Security Group，安全组，在Alibaba Cloud专门用於运算实例(VM Instances)网路传输控制的工具，属於逻辑分组的一种，使用者可以自行设定IP位址、网段的连线许可，或者设定不同通讯埠的连线，Security Group属於有状态(Stateful)的服务，当流入的流量经过许可後，那麽从服务器回传的流量也能够通过Security Group

(图片来源：AlibabaCloud官网)