vpc 虚拟网络设计之openstack私有云

haixin3036

SDN

　正确的子网布局是VPC运行良好的关键。子网决定路由 、可用区（AZ）的分布和网络访问控制列表（NACLs）。

一般来说，创建一个子网主要出于三个原因：

　　1. 不同的主机需要用不同的的路由方式（例如，内网主机与公网主机）

　　2.  出于容错的目的，需要在多个AZ之间分配负载。这项工作应该持续不断地进行。

　　3. 特定的地址空间由于安全的原因需要授权NACL（例如，驻留客户个人身份信息数据库的网段）

路由

　　VPC中的所有主机都可以通过路由与同一个VPC内的其他主机连接。唯一真正的问题在于：允许什么样的数据包可以在VPC中进出。

容错

　　AWS以可用区（Availability Zones（AZ））的形式提供了开箱即用的geographic distribution，每个region至少有两个AZ。

安全性

　　在VPC中，防御措施的第一层已经得到解决：严格控制packet的出入。在路由层之上有两个补充性质的控件：安全组和NACLs（网络访问控制表）。安全组是动态的，有横跨整个VPC的状态和能力；NACLs是无状态的（也就是说你需要定义出入端口），静态的和子网特有的。

布局一个VPC最简单的方法有下列几个步骤：

　　1.  在尽可能多的AZ中平均分配你的地址空间。

　　2.  确定你所需要的不同种类的路由，以及每种路由相关的host数量。

　　3.  在各个AZ中按照每个路由的需求来创建大小相同的子网，赋予其相同的路由表。

　　4. 为了预防任何遗漏，留下一点未分配的空间。(相信我一次。）

在云计算的基础架构领域，没有比从一开始就正确地布局VPC（虚拟私有云）IP地址更重要的事情了。VPC的设计对于系统的伸缩性，容错性以及安全性都有深刻的影响

实用VPC虚拟私有云设计原则

http://kb.cnblogs.com/page/579480/