云主机网络是怎么设置的？

云主机的网络设置是一个多层次、可高度定制的体系，下面我将从核心架构、配置步骤、关键概念和最佳实践几个方面为你详细解析。

一、 核心架构与关键概念

云主机的网络构建在软件定义的网络（SDN）之上，主要围绕以下几个核心概念：

1、虚拟私有云 (VPC)

定义 您在云提供商网络中划出的一块逻辑隔离的专属虚拟网络空间，您可以在VPC内完全自主地控制IP地址范围、子网划分、路由策略和网关。

作用 是您所有云资源（云主机、数据库、负载均衡等）运行的网络基础容器，提供了与传统数据中心类似的网络环境。

2、子网 (Subnet)

定义 VPC内的一个IP地址范围段，一个VPC可以包含多个子网，通常根据可用区进行划分，以实现高可用性。

类型

公有子网 子网内的资源可以通过互联网网关或NAT网关访问互联网或从互联网被访问。

私有子网 子网内的资源不能直接与互联网通信，只能通过NAT网关或代理访问外网，外部也无法直接访问它们，安全性更高。

3、安全组 (Security Group)

定义 一种虚拟防火墙，作用于云主机实例级别（或弹性网卡级别）。

特点

状态化 如果允许了某个入站请求，其对应的出站响应会自动允许，反之亦然。

默认拒绝 所有入站流量默认拒绝，所有出站流量默认允许（可修改）。

白名单机制 您需要显式添加规则，允许特定的流量（如TCP 22端口用于SSH，TCP 80端口用于HTTP）。

配置 规则包括协议、端口范围、源/目标IP（可以是CIDR块，也可以是另一个安全组的ID）。

4、网络访问控制列表 (NACL)

定义 一种无状态的子网级别防火墙，为整个子网提供额外的安全层。

特点

无状态 入站和出站规则需要独立配置。

规则有序 规则按编号顺序执行，匹配即停止。

默认包含终止规则 通常最后一条规则是拒绝所有流量。

5、路由表 (Route Table)

定义 包含一系列路由规则的集合，决定了子网内流量的下一跳指向哪里。

关键路由

* 本地VPC内通信路由。

* 指向互联网网关的路由（0.0.0.0/0 -> igw-xxx），使子网成为公有子网。

* 指向NAT网关的路由（0.0.0.0/0 -> nat-xxx），使私有子网能访问外网但阻止入站。

* 指向对等连接或VPN网关的路连，用于连接其他VPC或本地数据中心。

6、弹性IP / 公网IP

弹性IP 可以独立申请并动态绑定/解绑到云主机上的静态公网IP地址。

公网IP 创建云主机时自动分配的公网IP，通常与实例生命周期绑定（关机/释放后可能变化）。

二、 典型网络设置流程（以创建一台可公网访问的Web服务器为例）

以下流程图概括了典型的设置步骤：

graph TD
    A[创建并规划VPC] --> B[在VPC内创建公有子网和私有子网]；
    B --> C[配置互联网网关并关联至VPC]；
    C --> D[配置NAT网关并放置在公有子网]；
    
    D --> E[配置路由表：<br>公有子网路由指向互联网网关]；
    E --> F[配置路由表：<br>私有子网路由指向NAT网关]；
    
    F --> G[配置安全组规则：<br>开放Web服务器所需端口]；
    G --> H[在公有子网内创建云主机]；
    H --> I[分配弹性IP并绑定到云主机]；
    
    subgraph “关键关联关系”
        C & D
        E & F
        G
    end

1、规划与创建网络基础

创建VPC 在云控制台选择创建VPC，指定一个私有的IP地址段（如10.0.0.0/16）。

创建子网 在该VPC下创建至少两个子网。

* 一个公有子网（如10.0.1.0/24），用于放置需要直接对外提供服务的资源（如Web服务器、负载均衡器、NAT网关）。

* 一个私有子网（如10.0.2.0/24），用于放置数据库、应用服务器等后端资源。

创建互联网网关 创建并挂载到您的VPC上。

创建NAT网关 创建NAT网关，并将其放置在公有子网中（因为NAT网关本身需要公网IP访问互联网）。

2、配置路由

公有子网路由表 编辑关联到公有子网的路由表，添加一条规则：目标0.0.0.0/0，目标选择刚创建的互联网网关，这使得公有子网内的实例可以直连互联网。

私有子网路由表 编辑关联到私有子网的路由表，添加一条规则：目标0.0.0.0/0，目标选择刚创建的NAT网关，这使得私有子网内的实例可以通过NAT网关访问互联网，但互联网无法主动连接它们。

3、配置防火墙（安全组）

为Web服务器创建安全组（如sg-webserver）

入站规则 允许TCP:80（HTTP）和TCP:443（HTTPS）来自0.0.0.0/0（或您公司的IP段），允许TCP:22（SSH）来自您的管理IP。

出站规则 通常默认允许所有出站流量即可。

为数据库服务器创建安全组（如sg-database）

入站规则 仅允许TCP:3306（MySQL）来自sg-webserver 的安全组ID，这样只有Web服务器能访问数据库，实现了安全组间的授权。

4、创建并配置云主机

启动新实例时，在网络设置部分

* 选择您创建的VPC。

* 选择公有子网（对于Web服务器）。

* 选择安全组（如sg-webserver）。

* 在“公网IP”设置中，选择“分配公网IP”或后续单独绑定弹性IP。

* 系统会自动为实例在所选子网内分配一个私有IP，并应用您选择的安全组规则。

5、分配公网地址（如果需要固定IP）

* 申请一个弹性IP。

* 将其绑定到您的Web服务器实例上。

* 您可以通过这个弹性IP从互联网访问您的Web服务器（前提是安全组已放行相应端口）。

三、 高级网络功能

对等连接 连接两个VPC，使其内网互通。

VPN/专线 建立从云上VPC到您本地数据中心的加密通道或高速专线，实现混合云架构。

负载均衡器 将公网或内网流量分发到多台后端云主机，提高可用性和扩展性，有面向公网的ALB/NLB和面向内网的ILB。

终端节点 使VPC内的资源无需经过公网即可安全访问云服务（如对象存储、数据库服务）。

四、 最佳实践与建议

1、精心规划CIDR： 为VPC预留足够的IP空间，避免未来扩展时冲突，使用10.0.0.0/16 而非192.168.0.0/24。

2、最小权限原则： 安全组规则应尽可能严格，只开放必要的端口和源IP。

3、分层架构： 严格使用公有子网和私有子网，将不同层级的服务（Web/App/DB）放入不同子网，并通过安全组隔离。

4、利用 NAT 网关： 将需要出网下载更新、但不需要对外服务的实例放在私有子网，通过NAT网关访问互联网，大大减少攻击面。

5、使用私有域名解析： 在VPC内使用云提供商的内网DNS服务，让实例通过内网域名互通，避免依赖易变的IP地址。

云主机网络设置的核心逻辑是：在软件定义的VPC内，通过子网划分逻辑边界，通过路由表控制流量导向，通过安全组和NACL实施访问控制，整个过程高度可视化，各大云平台（AWS, Azure, 阿里云，腾讯云，华为云等）的控制台操作和概念都大同小异。

首次设置时，建议先在测试环境按照上述流程操作一遍，理解每个组件的作用和关联关系。

文章摘自：https://idc.huochengrm.cn/zj/23256.html