阿里雲帳號購買服務 阿里雲專有網絡VPC架構

前言：VPC 不只是把雲端網路「包起來」

如果把雲資源比喻成一座城市，那專有網絡 VPC（Virtual Private Cloud）就是你在城市裡擁有的一個「自建區」。你可以在自己的區塊內規劃道路（路由）、蓋房子（子網路）、設門禁（安全群組/ACL）、決定要不要跟外面通行（閘道器與互連），甚至還能把你的車隊（ECS、RDS 等）安排得明明白白。

很多人第一次上手時會犯一種直覺錯誤：以為 VPC 就是「隔離」而已。是，它確實提供網路隔離；但真正讓架構好用、可擴展、可控的，是一整套組件如何配合：CIDR 怎麼切、子網路怎麼選、路由怎麼走、NAT 怎麼出、怎麼把流量安全地送到內網或外網、如何在出事時快速定位原因。下面我們就把這套機制用比較生活化的方式，完整拆開。

什麼是阿里雲專有網絡 VPC？

阿里雲 VPC 是一個邏輯上獨立的私有網路，允許你自訂網路拓撲與地址範圍，並在其內部部署雲上資源。簡單說，你可以在 VPC 內建立子網路（vSwitch）、配置路由與安全策略，讓不同資源以可預測的方式互通，並透過閘道器等能力與企業內網或公網互連。

你可以把它想成：VPC 提供「地盤與規則」，子網路提供「街區」，路由提供「走哪條路」，安全策略提供「誰能進哪扇門」。沒有這些規則的混亂，就像你租到一棟房子，結果門鎖、走道、消防出口都靠運氣。

核心架構總覽：VPC、vSwitch、Route、Gateway、Security

阿里雲專有網絡 VPC 架構的常見組件可以歸納成五類：地址與網路範圍（VPC CIDR）、子網路與網卡接入（vSwitch）、互通與流量選路（路由/路由表）、對外/跨網互連（閘道器、NAT、VPN/專線）、以及安全控制（安全群組、安全 ACL、策略路由/防火牆等）。

1）VPC（專有網絡）

VPC 是最上層的網路容器。你在建立 VPC 時會指定 VPC 的網路地址範圍（CIDR），例如 10.0.0.0/16。這個範圍在整個 VPC 內不可與其他 VPC 重疊（至少在規劃上要避免衝突），也會成為你后續切分子網路的基礎。

選 CIDR 看似是數學題，實際是未來的工程題。切太小不夠擴展；切太大又不好管理。最常見的痛點是：一開始切得太緊，後面業務擴張要新增子網路時發現「地址不夠」，只能重構，重構就等於把架構圖從腦內刪檔再重新畫。

2）vSwitch（子網路）

vSwitch 可理解為子網路的分區。它是一個邏輯上的二層網路，負責把同一網段內的資源連到一起。通常你會在不同可用區（可用區/地域內的隔離單元）建立不同的 vSwitch，以支撐高可用與容錯。

如果說 VPC 是整片區域，那 vSwitch 就是你分成不同街區的街道系統。ECS 建立時通常會指定它要進哪個 vSwitch，這就決定了它的內網 IP 在哪個網段、也基本決定它在二層層面如何互通。

3）路由（Route）與路由表

路由是 VPC 架構的「行車規則」。當資料包要從一台資源走到另一個目的地址，就需要知道：下一跳（Next Hop）是誰。

在 VPC 中，通常你會設計路由表，並把路由表關聯到指定的子網路（vSwitch）。路由表裡會有目的 CIDR 與下一跳類型的對應，例如：

• 目的地址在本 VPC 內：走內網路由（系統自帶或基於策略）。
• 目的地址是外網：下一跳可能是 NAT 網關或互聯閘道器。
• 阿里雲帳號購買服務 目的地址是企業內網：下一跳是 VPN/專線等互連設備。

很多「為什麼我連不上」其實就是路由沒指到正確的下一跳。比起防火牆，路由更像方向盤：你方向都沒打對，安全策略再完美也沒用。

4）閘道器/互連能力（Gateway & Interconnect）

VPC 要連外（公網）或連內（企業網）通常需要閘道器或互連服務，例如 Internet NAT Gateway、專用閘道器、VPN Gateway、專線網路（Direct Connect）之類。不同場景選擇不同組件。

一個常見情景是：你有內網 ECS，只允許它對外發起連線下載更新，但不希望直接對外提供服務。那你很可能會用 NAT（讓內網出得去、但外面不直接進得來）。

另一個常見情景是：你希望 VPC 與企業數據中心直連，低延遲、穩定帶寬，並且允許某些內網網段互通。此時就要用 VPN 或專線，並搭配路由宣告/動態路由等機制。

5）安全控制（Security）

安全是 VPC 的「門禁」。在阿里雲體系裡，常見的安全控制包括安全群組（SG）和網路 ACL（Access Control List）等。它們通常會從不同層次對入站/出站流量做允許或拒絕。

你可以把安全群組想成：針對特定資源（ECS 實例）綁定的門禁名單。網路 ACL 則像是整個子網路外圍的門口，規則更偏向網段與流量方向。

初學者常見誤區是「只設安全群組，ACL 不管」。有時候兩者疊加起來，會出現你在 SG 放行了但 ACL 仍拒絕、或者反過來。最好的方法是：明確分工——SG 管細節、ACL 管邊界；並在故障排障時同時檢查兩層。

地址規劃：CIDR、子網切分與可擴展性

談 VPC 架構，地址規劃是靈魂。沒有好的 CIDR 切分，你後面會一直被「不夠用」和「重構」追著跑。

1）VPC CIDR 的選擇策略

• 預估未來資源規模：例如未來可能擴到幾個環境（dev/test/prod）或幾個業務域。
• 考慮與企業內網的重疊風險：如果你要做 VPN/專線，企業網段與 VPC 網段若重疊，路由宣告會變得很麻煩。
• 盡量留出彈性：常見做法是選擇 /16 或更合適的範圍（視整體規模）。

提醒一句：不要把 CIDR 當作「隨便填」。它是你與未來所有互連的共同語言。填錯就像把地址填錯到快遞上，後面再努力也要付出代價。

2）子網路 vSwitch 切分：多可用區與分層設計

通常你會在同一 VPC 內按功能或按可用區切分子網路。例如：

• Public 子網路：放負載均衡、Web 閘道等需要對外服務或需要可達性的資源。
• Private 子網路：放應用伺服器與資料庫，限制對外直接暴露。
• Data 子網路：資料庫/快取等可能有不同安全與路由需求的資源。
• 不同可用區各一套子網：例如 zone-a / zone-b 對應不同 vSwitch。

這樣做的好處是：當你要擴容，通常只需要在同類型子網路中新增實例或新增子網；當你做安全與路由調整，也能集中在對應的路由表/安全策略上，不至於全網牽連。

路由設計：資料包如何「找到路」

路由是 VPC 架構最容易讓人一邊畫架構圖一邊皺眉的部分。因為它不像安全群組那麼直觀，它更像一個「隱形地圖」，而且會受路由表關聯、目的地址 CIDR、下一跳類型影響。

阿里雲帳號購買服務 常見路由模式 1：內網互通 + 外網出站

一個典型 Web 應用架構可能是：

• Web 與 App 在私有網段，但允許它們出網更新依賴。
• 不允許外網直接打到內網服務端口。

那你會把私有子網的路由表設置為：

• 對 VPC 內目的網段：走本地路由（系統自動或預設）。
• 對 0.0.0.0/0（外網）：下一跳指向 NAT 網關。

這樣做的效果是：內網伺服器可以「出去」，但外網不會因為路由存在就直接能「進來」。進來能否成功還取決於安全群組/ACL，以及是否有公網入口能力（如負載均衡與反向代理）。

常見路由模式 2：VPC 與企業內網互通

當你要把 VPC 接入企業內網，通常要考慮兩件事：目的網段宣告與下一跳路由。你需要確保：

• 企業側知道 VPC 的網段（路由宣告/靜態路由/動態路由）。
• VPC 側知道企業側的網段（路由表下一跳指向 VPN/專線）。
• 雙方網段不重疊，至少避免無法處理的重疊。

如果兩邊路由都沒指到對方，網路就像兩個人都想打電話但都沒有撥號碼。連不上不是設備壞，是「資訊沒有出現在對的位置」。

路由優先順序與排障小技巧

不同場景路由表的匹配方式可能涉及更長前綴更優先等規則。你可以把它理解成地址越精準越優先。例如：匹配 10.1.2.0/24 的路由會比匹配 10.0.0.0/8 的路由更「精確」。

排障時建議固定流程：

1. 確認源與目的的 CIDR（到底它要匹配哪條路由）。
2. 檢查源子網 vSwitch 綁定的路由表。
3. 確認路由表中是否有匹配目的地的項目，下一跳是否正確。
4. 再去看安全群組/ACL 是否允許該方向的流量。

你會發現，很多「明明都設了為什麼還是不通」其實是路由表綁錯子網、或路由 CIDR 寫得太寬/太窄，導致匹配不到或匹配到錯誤下一跳。

對外連線：NAT、Internet 入口與不對外暴露的藝術

很多企業的雲上架構其實追求一個平衡：必要的外網可達，但最大化降低被掃描或被直接攻擊的面積。VPC 架構中的對外連線能力設計，就是在這個平衡上做文章。

1）NAT：讓內網「有出去的嘴」

阿里雲帳號購買服務 NAT（Network Address Translation，網路位址轉換）通常用於讓私有子網的資源訪問公網。典型用法包括：

• 私有 ECS 需要對外下載（軟體包、更新、第三方 API）。
• 不希望給 ECS 貼公網 IP，避免直接暴露服務。

當流量從內網發起到外網，NAT 會把內網源地址轉換成可路由的地址，回包也會依表回來。你可以把 NAT 想成一個「中介」，幫忙你跟外面的世界對話，但你本人不必穿著公開身份站在門口。

2）Internet 出入口的另一種路線：負載均衡與公網入口

如果你真的要提供對外服務（例如 Web、API），一般會用負載均衡等入口能力，把公網流量導到私有實例。這時候，你的設計重點會轉為：

• 入口資源在 Public 子網。
• 後端服務在 Private 子網。
• 安全群組限制入口資源允許的來源。
• 路由與策略確保回程順暢。

這種架構的優點是：外網只看到入口層，而不是整片內網。

跨網互連：VPN/專線與路由協調

當你接入企業內網，VPC 架構就會從「雲內自洽」變成「雲與企業共同運作」。此時最重要的是協調兩邊網路的互通策略。

VPN 與專線的差別（用人話說）

• VPN：通常適用於需要相對快速建立、成本較低的場景；延遲與帶寬可能受公共網路狀況影響。
• 專線/專用通道：更偏向穩定、可預期的企業級連線，延遲更穩、帶寬更可控。

不管你用哪種，都要把路由協調做好：哪些網段要互通、路由宣告如何做、是否需要動態路由、如何處理重疊問題。

互通的常見坑：重疊網段與「看似連上其實不通」

最經典的坑是：企業網段和 VPC 網段重疊。這時候就會出現兩邊不知道要把包送到哪個方向，結果就是互通失敗或部分功能可用但某些目的地不通。

第二個坑是：你以為「建立了 VPN/專線」就代表互通了，但實際還需要在 VPC 路由表與企業側做對應配置。通道連起來只是第一步，路由才是資料包真正通往目的地的路。

安全策略落地：SG、ACL 與分層防護

安全不是在最後才加的裝飾品，而是架構的一部分。VPC 的安全設計建議遵循分層思路：邊界控制 + 資源級控制 + 服務端口最小化。

安全群組（SG）：資源層面的門禁

安全群組通常可以按「實例」或「網卡」綁定，規則包含入站/出站允許的端口、協議與來源。你在設計 SG 時要記住：

• 只開必要端口（例如 80/443、必要的資料庫端口）。
• 來源限制到「只允許特定子網或入口層」而不是 0.0.0.0/0。
• 出站也要考慮：有時候出站被放行太寬，反而留下風險。

一句話總結：SG 是用來精準控制「誰可以跟你說話」。

網路 ACL：子網邊界的過濾器

網路 ACL 往往更偏向在子網邊界提供額外的流量控制。它可以把規則設得更「通用」（按 CIDR 與方向），用來防止某些不該進出的流量。

要避免的情況是：SG 與 ACL 互相打架。建議做法是先確定放行邏輯，再分層測試，必要時用抓包或連線測試驗證端到端是否通。

常見最佳實務：分環境、分功能、少用大範圍放行

• 阿里雲帳號購買服務 dev/test/prod 分別使用不同 VPC 或不同子網與安全策略（視規模而定）。
• 資料庫不直接暴露給公網；只允許應用層來源。
• 管理端口（例如 SSH/RDP）限制來源 IP，最好搭配跳板機或堡壘主機。
• 把「0.0.0.0/0」當成最後手段而不是預設值，因為它太像把家門鎖拆下來說「我就是想透氣」。

高可用與容錯：多可用區、分區與故障域思維

VPC 架構要能用在生產環境，通常要考慮高可用。高可用不是口號，是把依賴點分散在不同故障域。

1）多 vSwitch 分配與跨可用區設計

在不同可用區建立子網路，並部署計算資源與負載均衡到這些子網。這樣當某個可用區出現異常，服務仍能由另一可用區承接。

2）路由與閘道器的冗餘思路

NAT、閘道器或互連服務的設計也要考慮冗餘。雖然實際能力與配置方式會因阿里雲產品形態而異，但總體原則是：不要把整個流量依賴在單點上。

如何讀懂 VPC 架構圖：把抽象變成可操作步驟

你可能見過很多 VPC 架構圖，畫得很漂亮，但落地時卻不知道怎麼在控制台一項項做。這裡提供一個「看圖→動手」的思路框架。

步驟 1：先找出網段分區

架構圖通常會標示 VPC CIDR、各子網的 CIDR。你要確定：

• 哪些是 Public 子網、哪些是 Private 子網。
• 不同可用區的子網是否成對出現。

步驟 2：找到路由表與下一跳

很多人只看線條，卻沒看線條背後的「下一跳」。你要問自己兩句：

• 這個子網到外網（0.0.0.0/0）下一跳是什麼？NAT 還是互聯閘道器？
• 這個子網到企業網段的下一跳是什麼？VPN 還是專線？

步驟 3：安全策略要對應到流量方向

阿里雲帳號購買服務 看圖時同時標出：入站與出站。服務能不能對外，取決於入口層與 SG/ACL 入站；服務的依賴（例如呼叫外部 API、連資料庫）取決於出站路由與出站策略。

步驟 4：最後才是「功能是否存在」

例如你要做資料庫私網連線，那你至少得有：子網路由可達 + 安全策略允許端口 + 資源在正確的子網內。功能「有」不是答案，通路「通」才是答案。

常見故障排障：為什麼連不上、為什麼能出不能進

下面列幾個很常見的問題，你可以把它當成 VPC 架構的「求生手冊」。

問題 1：部署完成但無法連到私有服務

• 先查：入口（負載均衡/跳板機/公網入口）是否在 Public 子網且已配置。
• 再查：路由表是否允許入口到私網目的網段的走向。
• 最後查：SG/ACL 是否允許該端口與來源。

如果以上都對，仍連不上，那通常是資源實際不在預期子網/網段，或安全策略比你想像的更嚴。

問題 2：私有 ECS 可以上網，但外網訪問不了

這其實是「設計效果」而不是 bug。NAT 通常讓私有資源能出站，但不代表你能被外網直接打進來。要對外提供服務，你需要公網入口能力（例如負載均衡、ECS 公網入口/映射等）與相應的安全策略。

問題 3：VPN/專線連上了，但內網網段不互通

• 確認企業與 VPC 兩側是否都宣告對方網段。
• 確認路由表下一跳是否指向正確互連。
• 檢查網段是否重疊或是否存在掩碼不一致。

阿里雲帳號購買服務 問題 4：明明開了端口，卻還是超時

這種情況通常是「方向對不上」。例如你只放行入站，卻忘了出站或回包路由不通。網路不像人聊天，不能只說一半就期待對方自己理解。

最佳實務清單：把 VPC 架構做得更省心

• 先做地址規劃再做資源部署：避免後期重構。
• 分環境分功能：dev/test/prod 不要混在同一套策略裡「圖方便」。
• 最小化對外暴露：能用私網就別直接公網。
• 路由與安全策略同步設計：路由通了不代表安全通，安全通了不代表路由也對。
• 保留可排障性：命名規範、標籤（tag）、文檔化路由與策略變更原因。
• 用小規模先驗證：新拓撲上線前先測一兩條關鍵通路（例如應用→資料庫、應用→外網、入口→後端）。

用一句話總結：VPC 架構的「通」靠三件事

如果你只記得三件事，那就把它們牢牢記住：網段對（CIDR/掩碼）、路由指到下一跳、安全策略允許端口與方向。只要這三件事對了，剩下的都是細節；只要有一件錯了，就會出現各種看似玄學的連線問題。

最後送你一句帶點幽默但很真實的提醒：在 VPC 架構裡，網路不是「你以為能連就能連」，而是「你寫的規則決定你能不能連」。規則寫得越清楚，你就越不需要靠祈禱和猜測來運行生產環境。