私有网络VPC提供了自主规划网络的能力，当前每个地域系统都会创建默认的VPC和子网，具体如何使用以及如何规划自己的网络，需要考虑业务场景、未来的业务变动以及业务扩容等多种因素。 不同VPC间的网络默认隔离，可通过“VPC联通”功能实现不同VPC间的网络互通。VPC联通时对VPC网段有诸多要求，也是规划VPC要考虑的问题。 下文将介绍VPC规划的要点以及VPC联通的限制，诣在指导用户如何合理规划自己的网络。

创建VPC和子网时，建议如下：

• 同地域不同项目下，默认VPC与默认子网网段均相同。若有此场景下的互通需求，则不宜使用默认VPC。

• 根据业务规模以及划分的粒度，合理选择VPC的私网网段。不同的VPC网段支持的最大IP个数不同。

• VPC网段不宜过大，创建完成后网段不可修改，但VPC可继续增加网段。

• 不同VPC的网段避免重叠，为可能的VPC联通做准备。详见VVPC联通规则。

该场景下没有复杂的业务隔离需求，没有跨域互通的场景。使用本地域系统创建的默认VPC、默认子网即可快速创建云主机，通过绑定EIP的方式，即可对外提供访问。为保证云主机的安全性，创建时可选择默认提供的“Web服务器推荐”的防火墙。

该场景下所有业务均在云平台单一地域部署。在VPC中通过划分不同的子网实现不同业务的划分。例如子网A为Web业务对外提供访问，子网B为核心数据库没有外网访问权限，子网C为预发布环境模拟线上业务发布。

子网数量根据具体的业务需要决定，子网的大小可根据每个子网中需要的主机个数确定。子网网段中的掩码决定了子网中能够启动多少云资源的实例，例如子网网段为192.168.1.0/24，掩码为24，去掉网关和广播地址，实际可支持的实例数量为256-2=254个。由于子网创建后网段不可修改，因此考虑子网掩码时要同时考虑未来的可扩展余量。

子网数量和子网大小确定后，即可确定VPC的网段大小。

VPC中不同子网间网络默认互通，若需为核心数据库业务设置访问权限，可配置网络ACL实现。具体可参考ACL规划建议

该场景下主业务部署在一个地域，另外选取一个地域作为跨地域备份节点。每天定时将数据传输至容灾节点。

一个VPC只能在一个地域内使用。每个地域都需要创建一个VPC，不同VPC之间网络默认隔离，若需要实现不同VPC间的网络互通，可在控制台上进行“VPC联通”。跨地域的VPC联通需要配合UDPN使用，首先购买两个地域间的UDPN，再进行网络连通。

由于主业务的VPC需要和备份节点的VPC互通，因此两个VPC在规划时，要选取不同的VPC网段，避免在网络联通时由于网段冲突而无法实现互通。

该场景下用户业务分布在云平台以及自己的IDC机房，能够实现IDC的平滑上云，利用云平台弹性的特性，及时应对业务的突发。

联通云上VPC及IDC机房有两种方式，专线接入或IPSec VPN。 专线接入是以专线方式连通本地IDC到云知芯数据中心，接入后，本地的IDC在云上会被虚拟化成一个VPC，只需与云上VPC联通，即可实现互通。 VPN网关是基于Internet，通过加密的数据传输隧道实现云上网络VPC与本地IDC互通。

两种方式都要求云上VPC与本地IDC的网段不能重叠，因此在云上部署业务时，VPC规划时要选取本地IDC未使用的网段。

同地域：

跨地域： 本端网段与对端所有网段均不可相同，且联通的多个对端网段不可相同。

• 默认VPC：由之前基础网络转化而来的VPC，或每个地域系统默认创建的VPC

• 自定义VPC：用户自主创建的VPC

• 默认网段：默认VPC的原始网段，仅存在默认VPC中

• 自定义网段：用户自主添加的网段，可能存在默认VPC中或者自定义VPC中的全部网段

• 路由规则：一个VPC对应于一组路由规则，用于路由该VPC的数据包走向。由目标网段，下一跳及路由类型组成，同一个相同目标网段的路由只能存在一条。

• Local类型路由规则：目标网段为一个默认网段，类型为“Local”。匹配到该条路由后，转发面会查询所有已打通的默认网段信息。因此一条Local路由可路由至已打通的多个默认VPC的、相同的默认网段。

• VNet类型路由规则：目标网段为一个自定义网段，下一跳为该自定义网段所属的VPC，路由类型为“VNet”。匹配到该条路由后，转发面会将数据包发送至下一跳中的VPC。

两个VPC联通时，系统会分别在两个VPC的路由表中添加联通的对端VPC网段的路由规则。

针对对端VPC中的默认网段，本端VPC添加的是Local类型路由。

针对对端VPC中的自定义网段，本端VPC添加的是VNet路由。

跨VPC间通信时，通过查询VPC路由表中的路由确认通信的对端VPC信息。

以下通过例子详细说明联通原理。

在无IP冲突的情况下，允许与包含本端默认网段的默认VPC打通，且允许与多个包含相同默认网段的默认VPC联通。

vpc_a与vpc_b为仅含默认网段的默认VPC，vpc_c为包含自定义网段的默认VPC。

vpc_a可与包含相同默认网段的vpc_b和vpc_c联通。

vpc_b可与包含相同默认网段的vpc_a和vpc_c联通。

对端网段与本端网段相同时，禁止打通；对端网段包含本端VPC已打通的自定义网段时，禁止打通。

vpc_a为仅含默认网段的默认VPC，vpc_b和vpc_c均为仅包含自定义网段的自定义VPC。

vpc_a可与vpc_b联通，两个vpc中不包含相同网段，且已有路由规则中不包含目标网段与对端网段相同的路由。

vpc_b禁止与vpc_c联通，因为包含相同的“自定义网段1”。假如允许联通，则会导致vpc_b内的主机访问“自定义网段1”时，转发面无法判断送至本VPC还是对端的vpc_c。

vpc_a已与vpc_b联通，则禁止与vpc_c联通，因为vpc_c包含与vpc_b相同的“自定义网段1”。vpc_a中已有目标网段为“自定义网段1”送往vpc_b的路由规则，无法再添加目标网段为“自定义网段1”送完vpc_c的路由规则。

本段网段与对端网段相同时，禁止打通；对端网段包含本端VPC已打通的自定义网段时，禁止打通。

vpc_a、vpc_b、vpc_c均为仅含自定义网段的自定义VPC。

vpc_a可与vpc_b联通，两个vpc中不包含相同网段，且已有路由规则中不包含目标网段与对端网段相同的路由。

vpc_b禁止与vpc_c联通，因为包含相同的“自定义网段3”。假如允许联通，则会导致vpc_b内的主机访问“自定义网段3”时，转发面无法判断送至本VPC还是对端的vp\c_c。

vpc_a已与vpc_b联通，则禁止与vpc_c联通，因为包含相同的“自定义网段1”，且vpc_a已于vpc_b中相同的“自定义网段3”联通。

本端网段与对端所有网段均不可相同，且联通的多个对端网段不可相同。

vpc_a为北京二、仅包含默认网段的默认VPC，vpc_b、vpc_c为上海二、仅包含默认网段的默认VPC。

vpc_a可与vpc_b联通，两个vpc中不包含相同网段，且已有路由规则中不包含相同目标网段的跨域路由。

vpc_b可与vpc_c联通，同地域无IP冲突的情况下，允许包含相同默认网段的VPC联通。

vpc_a禁止与vpc_c联通，两个vpc中虽然不包含相同网段，但vpc_a已与vpc_b联通，vpc_b与vpc_c包含相同的网段。