虛擬私有云（CT_VPC,Virtual Private Cloud）是您在天翼云上申請的隔離的、私密的網絡環境。您能夠在一個安全可控、隔離的網絡環境中實現云資源的高效管理和利用。虛擬私有云具備豐富的產品特性，使得您可以自定義網絡地址、路由表、安全組等。同時，虛擬私有云提供豐富的網絡連接，可以滿足云上虛擬私有云互訪、公網訪問、通過專線或者VPN與線下IDC互通等網絡場景。

產品架構

虛擬私有云VPC產品架構可以分為：VPC、子網、路由表、訪問控制、VPC接入方式等。

VPC

在創建虛擬私有云時，需要設置虛擬私有云的網段。建議使用標準網段10.0.0.0/8-28、172.16.0.0/12-28、192.168.0.0/16-28作為VPC網段（部分資源池VPC網段掩碼支持29、子網網段掩碼支持29，請以控制臺實際功能為準），多VPC互通場景或混合云場景需確保地址規劃不能沖突。虛擬私有云之間通過隧道技術實現邏輯隔離，不同虛擬私有云之間默認隔離。VPC網段創建后無法修改，請合理規劃網絡。您可以通過增加附加網段來滿足VPC下多個網段的場景。如果標準網段不能滿足您的網絡規劃需求，請提交工單申請其他網段。

子網

云資源（例如云服務器、物理機等）必須部署在子網內。您可以在虛擬私有云內創建一個或多個子網，但是子網的網段必須在虛擬私有云網段范圍內。同子網內網絡默認互通，同VPC下不同子網之間默認互通。子網網段創建后無法修改，請合理規劃網絡。

路由表

路由表用于控制虛擬私有云的流量走向，路由表分為默認路由表和自定義路由表兩種類型。默認路由表隨著VPC自動創建，所有新建子網與默認路由表關聯，不能創建也不能刪除默認路由表，但可以在默認路由表中創建自定義路由規則。您可以選擇創建自定義路由表，并將子網手動關聯到自定義路由表中。對于部分可用區資源池，在VPC內創建自定義路由表，通過綁定自定義路由表和子網，實現子網內的云主機或物理機通信，從而更靈活地進行流量管理。在VPC內創建網關類型的自定義路由表，將其與IPv4網關綁定，這種路由表被稱為網關路由表。網關路由表用來控制進入VPC的公網流量，可以將公網流量引流到VPC中的安全設備（例如虛擬防火墻）做統一安全防護。更多信息，請參考路由表概述。

訪問控制

在虛擬私有云中，訪問控制是保護云資源（云主機、物理機）免受未授權訪問和攻擊的關鍵配置之一。訪問控制主要包括以下幾個方面：

• 安全組是一種虛擬防火墻，用于控制云資源（云主機、物理機）的流量進出。在虛擬私有云中，您可以為每個安全組定義相應的規則，以允許或禁止特定IP地址或端口的流量進出。將適當的安全組規則應用于云資源（云主機、物理機）可以顯著提高其安全性。更多信息，請參考安全組概述。
• 網絡ACL是一種虛擬私有云中子網級別的流量防護策略，網絡ACL可以通過為子網關聯一個特定的ACL規則集來提供網絡資源的安全性。更多信息，請參考網絡ACL簡介。安全組和ACL的區別，請參考安全組和網絡ACL的區別。

VPC接入方式

天翼云提供了多種VPC連接方案，以滿足用戶不同場景下的訴求。

• 使用彈性IP或NAT網關，可以讓虛擬私有云內的云主機或物理機與公網Internet進行互通。
• 在同一個區域內，使用對等連接功能可以讓不同VPC之間的云主機或物理機互相訪問。
• 通過虛擬專用網絡VPN、云專線功能將VPC和您的本地數據中心連通。
  更多信息，請參考VPC和外部網絡連接。

如何訪問虛擬私有云

在天翼云中，提供了兩種方式訪問虛擬私有云。

• 管理控制臺方式：管理控制臺提供了一個Web界面，您可以使用直觀的界面進行相應的操作。登錄“”，選擇“網絡>虛擬私有云”。
• API方式（Application Programming Interface）：用戶可以使用云平臺提供的API接口，來對虛擬私有云進行操作。可將虛擬私有云集成到第三方系統，用于二次開發，具體操作請參見《虛擬私有云API參考》。