基于目前主流的隧道技术，专有网络（Virtual Private Cloud，简称VPC）隔离了虚拟网络。每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。

背景信息

随着云计算的不断发展，对虚拟化网络的弹性、安全性、可靠性、私密性和互联性能需求越来越高，因此催生了多种多样的网络虚拟化技术。

比较早的解决方案，是将虚拟机的网络和物理网络融合在一起，形成一个扁平的网络架构，例如大二层网络。随着虚拟化网络规模的扩大，这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题，出现了各种网络隔离技术，把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用VLAN进行隔离。

原理描述

基于目前主流的隧道技术，VPC隔离了虚拟网络。每个VPC都有一个独立的VLAN ID，一个VLAN ID对应着一个虚拟化网络。VPC内的服务器实例之间的传输数据包都会加上隧道封装，带有唯一的隧道ID表示，然后送到物理网络上传输。不同VPC内的服务器实例因为所在的隧道ID不同，本身处于两个不同的路由平面，所以不同VPC内的实例无法进行通信，天然地进行了隔离。

逻辑架构

如下图所示，VPC主要由虚拟路由器、子网组成。其他虚拟资源都创建在VPC内的子网上。