腾讯云 VPC（私有网络）

在腾讯云上，将服务（如SpringBoot应用所在的CVM、数据库等）部署到私有网络（VPC）是云资源隔离和安全防护的基础操作，所有云资源默认都需要归属到一个VPC中。以下是具体的部署步骤和配置逻辑：

一、什么是腾讯云VPC？

私有网络（VPC）是你在腾讯云上自定义的逻辑隔离网络空间，类似于传统数据中心的“局域网”，可以自主规划IP地址段、子网、路由表等，实现资源间的私有通信，且默认不暴露到公网，安全性更高。

二、部署服务到VPC的核心步骤（以SpringBoot应用为例）

1. 提前创建VPC和子网（若未创建）

登录腾讯云控制台，进入【私有网络VPC】服务，按以下步骤创建基础网络结构：

• 创建VPC：

• • 设定VPC名称（如springboot-vpc）；
  • 选择地域（需与后续CVM、数据库等资源的地域一致，如“上海”）；
  • 配置IPv4网段（自定义私有IP段，如10.0.0.0/16，避免与其他网络冲突）。

• 创建子网：
  在VPC下创建至少一个子网（子网是VPC的IP子集，用于细分网络），例如：

注：VPC和子网创建后，腾讯云会自动生成默认路由表和网络ACL（访问控制列表）。

• • 子网名称：app-subnet；
  • 可用区：选择VPC地域下的具体可用区（如“上海一区”）；
  • 子网网段：从VPC网段中划分（如10.0.1.0/24）。

2. 部署CVM到VPC（运行SpringBoot应用）

在创建CVM时，指定所属的VPC和子网，步骤如下：

• 进入【云服务器CVM】控制台，点击“新建实例”；
• 在“网络配置”环节：

• • 私有网络：选择已创建的VPC（如springboot-vpc）；
  • 子网：选择该VPC下的子网（如app-subnet）；
  • 公网IP：根据需求选择（若应用需通过公网访问，可勾选“分配公网IP”或后续绑定弹性公网IP；若仅内部访问，可不分配）；
  • 安全组：选择或创建一个安全组（如app-sg），按最小权限原则配置规则（如仅允许8080端口被VPC内其他资源或CLB访问）。

• 完成其他配置（镜像、实例规格等），创建CVM。此时，CVM已部署在指定VPC的子网中，默认只能与同VPC内的资源通过内网通信。

3. 部署依赖服务到同一VPC（如数据库、Redis）

SpringBoot应用依赖的数据库（MySQL）、缓存（Redis）等服务，也需部署在同一VPC中，确保内网互通：

• 自建服务：若在CVM上自建数据库，按步骤2的方式创建新CVM，选择同一VPC和子网；
• 云数据库：若使用腾讯云数据库（如TDSQL-C、Redis云数据库），在创建时：

同VPC内的资源可通过内网IP直接通信，无需经过公网，延迟更低且更安全。

• • 网络类型选择“私有网络”；
  • 选择与CVM相同的VPC和子网；
  • 配置数据库安全组，允许SpringBoot应用所在CVM的内网IP访问（如允许10.0.1.0/24网段访问3306端口）。

4. 配置公网访问（如需对外提供服务）

若SpringBoot应用需面向外部用户，需通过以下方式暴露服务，同时避免直接暴露CVM的公网IP：

• 方案1：通过负载均衡（CLB）转发：

1. 1. 创建CLB实例，网络类型选择“私有网络”，并关联到应用所在的VPC；
   2. 在CLB上配置监听器（如监听80/443端口，转发到CVM的8080端口）；
   3. 给CLB绑定弹性公网IP（EIP），作为用户访问的入口；
   4. 调整CVM安全组，仅允许CLB的内网IP段访问8080端口（避免直接访问CVM）。

• 方案2：通过NAT网关访问公网：
  若CVM需要主动访问公网（如拉取依赖包），但无需对外提供服务，可在VPC中创建NAT网关并绑定EIP，通过NAT网关实现CVM的公网访问（CVM本身无需分配公网IP）。

5. 配置网络隔离与访问控制（关键安全步骤）

• 安全组：

• • CVM安全组：仅开放应用端口（如8080），来源限制为CLB或VPC内指定IP；
  • 数据库安全组：仅允许应用CVM的内网IP访问数据库端口（如3306）。

• 网络ACL：作为子网级别的防护，可配置入站/出站规则（如拒绝来自公网的异常端口访问）。
• 路由表：默认路由表已满足基本通信，若有跨VPC通信需求（如多VPC部署），可配置对等连接或专线网关。

三、验证部署是否生效

1. 登录CVM，通过ifconfig（Linux）查看内网IP，确认属于VPC子网的网段（如10.0.1.x）；
2. 测试同VPC内资源的连通性：从应用CVM ping数据库的内网IP，确认能正常通信；
3. 检查公网访问路径：若通过CLB暴露服务，用公网IP访问CLB的80端口，确认能正常转发到SpringBoot应用；直接访问CVM的公网IP:8080应被安全组拦截（若未分配公网IP，则无法直接访问）。

总结

在腾讯云部署服务到VPC的核心是：创建专属的VPC和子网，将所有相关资源（CVM、数据库、CLB等）纳入同一VPC，并通过安全组、网络ACL控制访问。这样既实现了资源的逻辑隔离，又能通过内网通信提升安全性和性能，同时配合CLB、NAT网关等组件灵活控制公网访问策略，是生产环境的标准部署方式。