網絡隔離

專有網絡VPC是阿里云上用戶自己的云上私有網絡，是一個隔離的網絡環境，專有網絡之間邏輯上徹底隔離。

在專有網絡VPC中，交換機（vSwitch）是組成專有網絡的基礎網絡設備，用來連接不同的云資源實例。您可以創建多個交換機來劃分VPC的網絡空間，并可以將不同的ECS實例部署在不同的交換機中，不同交換機之間可以進行網絡隔離。每個交換機都有自己的IP地址段和路由表，可以通過路由表進行訪問控制。

控制網絡流量

您可以使用以下方法來控制VPC中資源的網絡流量：

• 當您創建VPC類型的ECS實例時，可以使用系統提供的默認安全組規則，也可以選擇VPC中已有的其他安全組來控制ECS實例的出站和入站流量。安全組是一種虛擬防火墻，可以對ECS實例進行細粒度的訪問控制，從而實現精細化的安全管理。此外，您還可以自定義設置網絡ACL規則，并將網絡ACL與交換機綁定，實現對交換機中ECS實例的流量的訪問控制。網絡ACL可以對交換機中的所有ECS實例的流量進行控制，對于需要限制流量的大規模應用非常有用。通過使用安全組和網絡ACL，可以有效地保護VPC內的資源安全，提高系統的安全性和可靠性。詳細信息，請參見安全組概述和網絡ACL概述。

• IPv4網關是連接VPC和公網的網絡組件。VPC訪問IPv4公網的流量經過IPv4網關，由IPv4網關實現路由轉發以及私網地址到公網地址的轉換，最終實現對公網的訪問。詳細信息，請參見IPv4網關概述。

• IPv6網關是專有網絡VPC的一個IPv6流量網關。您可以通過配置IPv6公網帶寬和僅主動出規則，靈活定義IPv6的出流量和入流量。詳細信息，請參見什么是IPv6網關。

• 您可以在VPC內創建自定義路由表，并在自定義路由表中添加自定義路由條目，然后將自定義路由表綁定至交換機來控制該交換機的流量，方便您更靈活地進行網絡管理。詳細信息，請參見子網路由。

• VPN網關是一種安全的網絡連接方式，可以在公網環境下實現VPC和本地數據中心之間的安全連接。通過VPN網關，可以使用IPsec VPN和SSL VPN協議，實現站點到站點的安全連接和遠程用戶的安全接入。詳細信息，請參見什么是VPN網關。

• 高速通道是一種高速、低延遲、高可靠性的網絡連接方式，可以實現VPC和本地數據中心之間的高速互聯。通過高速通道，可以通過一個物理專線連接多個VPC和本地數據中心，實現私有網絡的互聯。詳細信息，請參見什么是高速通道。

• VPC對等連接是一種VPC之間的網絡連接方式，可以實現VPC之間的數據傳輸和資源共享。通過VPC對等連接，可以在不同的VPC之間建立點對點的網絡連接，實現不同VPC之間的互聯和資源共享。詳細信息，請參見VPC對等連接概述。

• 云企業網是一種多VPC互連的解決方案，可以實現企業內部多個VPC之間的網絡互通。通過云企業網，可以將企業內部所有VPC互相連接起來，為您打造一張靈活、可靠、大規模的企業級云上網絡。詳細信息，請參見什么是云企業網。

• 網關終端節點是一個虛擬網關設備，在VPC中創建云服務的網關終端節點并指定關聯的路由表，系統自動將該云服務的下一跳路由指向網關終端節點，實現對云服務的私網訪問。詳細信息，請參加網關終端節點。

• 使用VPC的流日志功能捕獲VPC網絡中彈性網卡ENI（Elastic Network Interface）的傳入和傳出流量信息，幫助您檢查訪問控制規則、監控網絡流量和排查網絡故障。詳細信息，請參見流日志概述。

網絡ACL與安全組

與交換機綁定的網絡ACL規則控制流入和流出交換機的數據流，與ECS實例相關的安全組規則控制流入和流出ECS實例的數據流。網絡ACL和安全組的基本差異如下表所示。