简介

虚拟私有云（VPC）是用户在云上自主构建的逻辑隔离网络空间，为用户提供高度可控、安全可靠的私有网络环境。用户可以在VPC内自定义IP地址范围、子网划分、路由策略及安全组规则，灵活部署云服务器、云数据库、负载均衡等资源，满足不同业务场景的网络需求。 VPC既保留了传统数据中心网络的安全性和可管理性，又兼具灵活性与扩展性。用户可以通过VPC完全掌控云上网络环境，确保数据安全隔离，同时高效连接本地IDC或其他云服务，构建稳定、高性能的云上网络。

产品架构

VPC由私有网段、子网和路由表等核心部分组成。安全组和ACL共同构建了VPC实例的双重防护体系。同时用户可以通过弹性公网、NAT网关和IPv6网关等产品实现公网访问；通过专线、VPN等产品实现本地数据中心的互联；通过对等连接、云智能网等产品实现与其他VPC的互联。

核心组成

VPC网段

在创建私有网络时，用户需要指定一个 CIDR（无类别域间路由，Classless Inter-Domain Routing）块作为网络地址范围。建议使用以下标准私有网段作为VPC CIDR：

• 10.0.0.0/8（IP地址范围：10.0.0.0 - 10.255.255.255）
• 172.16.0.0/12（IP地址范围：172.16.0.0 - 172.31.255.255）
• 192.168.0.0/16（IP地址范围：192.168.0.0 - 192.168.255.255）

用户可根据业务需求选择合适的网段，并按照规划的子网掩码进行划分，确保私有网络的 IP 地址分配合理且具备扩展性。

子网

子网是构建私有网络VPC的基础网络单元，用于在指定可用区内创建独立的IP地址空间。所有云服务实例（包括云服务器、容器和数据库等）都需要部署在子网内，并从子网CIDR中获取私有IP地址。子网的CIDR范围必须属于其所属VPC的CIDR，同时子网可用区属性以满足业务的高可用需求。

路由表

路由表是 VPC 的流量控制器，用于管理全局或子网级别的流量转发策略。创建 VPC 时，系统会默认生成一张系统路由表。您也可以根据业务需求创建自定义路由表，实现更灵活、精细的网络路径控制。

访问控制

安全组和ACL共同构建了VPC实例的双重防护体系，为云上资源提供多层次的安全保障。

• 安全组：通过对指定 IP 与端口的入站和出站流量进行策略控制，为 VPC 内的云服务器（BCC）、专属实例（DCC）、负载均衡、云数据库等资源提供安全防护。
• 访问控制列表（ACL）：在子网级别实施安全策略，可对一个或多个子网的流量进行灵活管理，满足不同网络部署场景下的安全隔离需求。

网络连接

连接公网

用户可通过配置以下产品来满足VPC内资源访问公网的需求：

• EIP：用户可以为实例绑定EIP，实现 VPC 内的实例连接公网。
• NAT网关：NAT网关可以为VPC内的多台云服务器提供统一公网出口。
• IPv6网关：IPv6公网网关是私有网络VPC通过IPv6连接公网的总出口。

VPC互联

用户可以通过以下产品实现多个 VPC 之间的私网互通：

• 对等连接：提供 VPC 级别的网络互联能力，使不同虚拟网络之间的流量可直接互通，支持同区域/跨区域、同账户/跨账户场景下的稳定高速互联。
• 云智能网：支持不同地域 VPC 之间、VPC 与本地数据中心之间，以及中心云与边缘云之间的高性能、低延迟互通，满足复杂网络架构下的互联需求。

链接本地数据中心

用户可通过以下产品实现 VPC 与线下数据中心的互联：

• 专线：通过专线服务，用户可以在 IDC 与 VPC 之间建立高速、稳定且安全的内网连接。
• VPN：VPN 网关（VPN Gateway）是一款提供网络连接服务的产品，通过建立加密隧道的方式在企业本地数据中心、企业办公网络、互联网客户端与百度云之间建立安全可靠的私网（内网）网络连接，实现云上与云下资源安全互访
• 云智能网：实现VPC与本地数据中心的网络互通，帮助用户构建具备企业级规模与通信能力的网络。