专有网络VPC（Virtual Private Cloud）用于在云平台上快速建立一个隔离的网络环境，并可以自定义IP地址范围，自定义创建传统数据中心所需要的网络基础设施，例如私有网络、负载均衡器、VPN网关、NAT网关等，真正实现软件定义网络(SDN)。

一、组成部分

每个VPC都有一个私网网段、一个虚拟路由器和至少一个子网组成。
私网网段：创建VPC时，需要以CIDR地址块的形式指定专有网络使用的私网网段。
VPC可用私网网段范围：
（1）192.168.0.0/16
（2）10.[0, 240].[0, 255].[0, 255]/[16, 28]
（3）172.[16, 31].[ 0, 255].[ 0, 255]/[ 16, 28]
虚拟路由器：是VPC的枢纽。可以连接VPC内的各个子网，同时也是连接VPC和其他网络的网关设备。每个VPC创建成功后，系统会自动创建一个虚拟路由器。每个虚拟路由器默认关联一张路由表，也支持自定义路由表来关联不同的子网。
子网：子网由虚拟交换机实现，虚拟交换机是组成VPC的基础网络设备，用来连接不同的云产品实例。创建VPC后，可以通过创建子网将VPC划分成一个或多个网段。同一个VPC内的不同子网通过虚拟路由器内网互通。您可以将应用部署在不同子网内，通过自定义SNAT规则来提高应用安全性。

二、核心概念

三、基础架构

基于目前主流的隧道技术，专有网络（Virtual Private Cloud，简称VPC）隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。
1.背景信息
随着云计算的不断发展，对虚拟化网络的弹性、安全性、可靠性、私密性和互联性能需求越来越高，因此催生了多种多样的网络虚拟化技术。
比较早的解决方案，是将虚拟机的网络和物理网络融合在一起，形成一个扁平的网络架构，例如大二层网络。随着虚拟化网络规模的扩大，这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题，出现了各种网络隔离技术，把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用VLAN进行隔离。
2.原理描述
基于目前主流的隧道技术，VPC隔离了虚拟网络。每个VPC都有一个独立的VLAN ID，一个VLAN ID对应着一个虚拟化网络。VPC内的服务器实例之间的传输数据包都会加上隧道封装，带有唯一的隧道ID表示，然后送到物理网络上传输。不同VPC内的服务器实例因为所在的隧道ID不同，本身处于两个不同的路由平面，所以不同VPC内的实例无法进行通信，天然地进行了隔离。
3.逻辑架构
如下图所示，VPC主要由虚拟路由器、子网组成。其他虚拟资源都创建在VPC内的子网上。