云计算网络基础：VPC、子网与安全组配置

云计算网络基础：VPC、子网与安全组配置

引言

在云计算面试中，网络基础是必考的核心领域。无论是架构师、运维工程师还是开发人员，深刻理解虚拟私有云（VPC）、子网和安全组的概念与配置，是构建安全、可靠云架构的基石。

本文将从面试题角度出发，解析这些核心组件，并提供实用的配置示例，帮助你在技术面试中游刃有余。

一、核心概念解析

1.1 虚拟私有云（VPC）

VPC 是云上专属的、逻辑隔离的虚拟网络环境。你可以完全掌控自己的虚拟网络，包括选择 IP 地址范围、创建子网、配置路由表和网关等。

面试常问：VPC 与经典网络的区别是什么？

关键点：经典网络是所有用户共享的扁平化网络，而 VPC 提供了隔离性、安全性和可自定义的网络拓扑，是现代云架构的首选。

1.2 子网（Subnet）

子网是 VPC 内的 IP 地址范围块，用于将 VPC 划分成更小、更易管理的网络单元。通常根据功能（如 Web 层、应用层、数据层）或可用区（AZ）来划分子网。

面试常问：公有子网和私有子网有何不同？

关键点：公有子网中的资源可以分配公网 IP，并通过互联网网关（IGW）直接访问互联网；私有子网中的资源则无法直接从互联网访问，通常通过 NAT 网关实现出向访问，安全性更高。

1.3 安全组（Security Group）与网络访问控制列表（NACL）

• 安全组：作用于弹性计算实例（如 ECS、EC2）级别的有状态虚拟防火墙，控制入站和出站流量。规则通常是允许（Allow）规则。
• NACL：作用于子网级别的无状态防火墙，提供额外的安全层，规则包含允许和拒绝（Deny）。

面试常问：安全组和 NACL 的主要区别是什么？

关键点：安全组是有状态的（对允许的入站流量，其出站响应自动放行），操作对象是实例；NACL 是无状态的（出入站需分别配置规则），操作对象是子网，且规则有优先级顺序。

二、配置实战与代码示例

以下以主流云服务商（如 AWS、阿里云）的通用概念为例，展示基础配置。

2.1 使用 Terraform 创建 VPC 和子网

Terraform 是基础设施即代码（IaC）的常用工具，以下是一个简化的示例。

# 配置提供商，例如 AWS
provider "aws" {
  region = "us-east-1"
}

# 创建一个 VPC
resource "aws_vpc" "main" {
  cidr_block = "10.0.0.0/16"
  enable_dns_support = true
  enable_dns_hostnames = true

  tags = {
    Name = "interview-vpc"
  }
}

# 创建一个公有子网
resource "aws_subnet" "public" {
  vpc_id     = aws_vpc.main.id
  cidr_block = "10.0.1.0/24"
  availability_zone = "us-east-1a"
  map_public_ip_on_launch = true # 关键：启用自动分配公网IP

  tags = {
    Name = "interview-public-subnet"
  }
}

# 创建一个私有子网
resource "aws_subnet" "private" {
  vpc_id     = aws_vpc.main.id
  cidr_block = "10.0.2.0/24"
  availability_zone = "us-east-1a"

  tags = {
    Name = "interview-private-subnet"
  }
}

2.2 配置安全组规则

假设我们需要为 Web 服务器配置安全组，允许 HTTP/HTTPS 入站，并允许所有出站流量。

resource "aws_security_group" "web_sg" {
  name        = "web-security-group"
  description = "Allow HTTP/HTTPS inbound and all outbound"
  vpc_id      = aws_vpc.main.id

  # 入站规则
  ingress {
    description = "HTTP from anywhere"
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    description = "HTTPS from anywhere"
    from_port   = 443
    to_port     = 443
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  # 出站规则 - 通常允许所有
  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1" # 代表所有协议
    cidr_blocks = ["0.0.0.0/0"]
  }

  tags = {
    Name = "web-sg"
  }
}

三、面试场景深度剖析

场景题：如何设计一个高可用的三层 Web 应用架构网络？

1. VPC设计：使用一个大的 CIDR 块（如 10.0.0.0/16）。
2. 子网规划：在至少两个不同的可用区（AZ）创建子网。
   • 公有子网：放置负载均衡器（ELB/ALB）、NAT 网关。
   • 私有子网：放置 Web 服务器、应用服务器、数据库。
3. 路由配置：
   • 公有子网路由表指向互联网网关（IGW）。
   • 私有子网路由表指向 NAT 网关（用于出向互联网访问）。
4. 安全策略：
   • Web 层安全组：仅对负载均衡器开放 80/443 端口。
   • 应用层安全组：仅允许来自 Web 层安全组的流量。
   • 数据层安全组：仅允许来自应用层安全组的流量（如数据库端口）。
   • 在规划和管理这些复杂的网络和数据库安全策略时，使用专业的工具能极大提升效率。例如，dblens SQL编辑器（https://www.dblens.com）不仅提供流畅的数据库查询和管理体验，其直观的界面也能帮助你快速验证和调整数据库实例所在子网的安全组规则，确保数据层的访问控制万无一失。

场景题：安全组规则配置后未生效，如何排查？

1. 检查安全组是否关联到了正确的实例上。
2. 确认规则协议（tcp/udp/icmp）、端口范围和源/目标 CIDR 是否正确。
3. 检查实例操作系统内部的防火墙（如 iptables、firewalld）是否阻断了流量。
4. 检查网络 ACL 是否有拒绝规则覆盖了安全组的允许规则。
5. 检查路由表，确保子网的路由指向正确（如互联网网关、NAT 网关、对等连接等）。

四、总结

掌握 VPC、子网和安全组的配置，是云计算工程师的必备技能。面试中，面试官不仅考察概念理解，更看重你如何运用这些知识解决实际问题，例如设计架构、排查故障。

• VPC 提供了网络隔离和自定义的基石。
• 子网 是实现高可用、分层架构的关键手段。
• 安全组与 NACL 是实施最小权限安全原则的核心工具，需理解其状态性和作用范围的区别。

最后，无论是准备面试还是日常运维，将架构设计和配置过程文档化至关重要。推荐使用 QueryNote（https://note.dblens.com）来记录你的网络架构图、Terraform 代码片段、安全组规则变更日志以及问题排查思路。它不仅能帮你梳理知识，形成个人技术库，其强大的笔记管理功能也能让你在紧张的面试准备或故障处理中快速找到所需信息，做到心中有数，应对自如。

希望本文能帮助你夯实云计算网络基础，在技术面试中脱颖而出！