<p><span style="font-size:16px"><strong>地域</strong></span></p> <p>地域（Region）是指平安金融云的基础设施所在的地理位置，每一个地域独立对外提供服务。</p> <p>目前平安金融云已开放的地域有：华东和华南。建议您选择离自己的服务对象最近的地域创建VPC，以此来降低网络延迟。每个VPC只能归属于一个地域。</p> <p>&nbsp;</p> <p><span style="font-size:16px"><strong>可用区</strong></span></p> <p>为了增强可用性，每个地域一般由多个可用区（Available Zone, AZ）组成，每个可用区包含一个或多个机房。可用区拥有独立的电力和网络等，即使一个可用区出现问题，也不会影响其他的可用区。可用区之间物理隔离，但可通过内网互通，既保障了可用区的独立性，又提供了低时延的网络连接。</p> <p>&nbsp;</p> <p><span style="font-size:16px"><strong>网段</strong></span></p> <p>用户在创建VPC时，需要使用CIDR（无类别域间路由）作为VPC的指定网段。</p> <p>平安金融云VPC的CIDR支持使用以下标准私有网段或者其子网（子网最大可选掩码为26）：</p> <p>&bull;&nbsp;&nbsp;&nbsp;&nbsp; 10.0.0.0/8</p> <p>&bull;&nbsp;&nbsp;&nbsp;&nbsp; 172.16.0.0/12</p> <p>&bull;&nbsp;&nbsp;&nbsp;&nbsp; 192.168.0.0/16</p> <p>&nbsp;</p> <p><span style="font-size:16px"><strong>子网</strong></span></p> <p>在VPC内，用户可以根据自己的网络规划进一步划分多个子网。通过划分子网可以将VPC在逻辑上分成多个CIDR。子网内的云主机的IP地址都属于该子网。</p> <p>一个VPC内的子网可以属于该地域下不同的可用区，在创建子网的时候可以任选一个可用区，所以用户可以在不同的可用区创建子网，将应用部署在不同可用区的子网内，提高应用的可用性。</p> <p>&nbsp;</p> <p><span style="font-size:16px"><strong>安全组</strong></span></p> <p>安全组是一种虚拟的防火墙，具备控制入站和出站流量的能力。安全组可以将VPC内的云主机资源进行逻辑上的分组，为VPC内具有相同安全保护需求、并互相信任的云主机提供安全访问策略，是重要的网络安全隔离手段。</p> <p>创建好安全组后，用户可以在安全组中创建访问规则，针对每条规则定义出/入方向、授权策略、目的IP地址、端口、协议、优先级等属性。当云主机加入该安全组后，就会受到这些访问规则的保护，由安全组规则决定放行还是阻断相关流量。</p> <p>默认情况下，平安金融云的安全组访问策略如下：</p> <p>&bull;&nbsp;&nbsp;&nbsp;&nbsp; 相同安全组内的云主机默认互通，不同安全组的云主机默认不通</p> <p>&bull;&nbsp;&nbsp;&nbsp;&nbsp; 安全组出方向流量默认放通</p> <p>&bull;&nbsp;&nbsp;&nbsp;&nbsp; 安全组入方向icmp流量默认放通，其他流量默认阻断</p> <p>&nbsp;</p> <p><span style="font-size:16px"><strong>路由表</strong></span></p> <p>路由表是指路由器上管理路由条目的列表，每个VPC有一张独立的路由表。路由表由多条路由条目组成，用于控制VPC内子网的网络流量的流向。</p> <p>您可以在路由表中添加路由，自定义VPC内子网到VPN网关的路由。</p> <p>您还可以选择将VPC下的子网发布到云网通，实现多个VPC的子网通信。</p>