阿里云支持通过VPC，创建自定义的私有网络环境；根据需要，将开发、测试和生产分属不同的VPC。阿里云支持VPC下的虚拟路由器、虚拟交换机、安全组的，进一步构建安全且易于管理的金融云计算环境。

云上系统网络架构图：

架构说明

XX用户使用阿里金融云专有网络环境，创建独立的私有网络

专有网络VPC：XX用户通过使用金融云专有网络（VPC）环境，基于阿里云创建的自定义私有网络，不同的专有网络之间彻底逻辑隔离，用户可以在自己创建的专有网络内创建和管理云产品实例，比如ECS，Intranet SLB，RDS等。

XX用户通过VPC中的虚拟路由器进行路由管理

虚拟路由器：每个VPC都会自动创建一个路由器，用以连接VPC内的各个交换机，同时也是连接VPC与其他网络的网关设备。XX用户可以通过设置具体的路由条目的设置来转发网络流量。

通过虚拟交换机划分多个网段

虚拟交换机：在一个VPC内可以设定多个交换机，以连接不同的云产品实例。在VPC网络内创建云产品（如ECS、RDS等）实例的时候，必须指定云产品实例所在的交换机。

指定虚拟主机的IP网络地址

在虚拟交换机下创建的云资源，将自动分配，并允许修改IP网络地址。

通过安全组和白名单建立云主机的访问控制策略

安全组：可以为VPC内的ECS设定安全组，更好的提高用户网络控制的灵活度。安全组类似虚拟防火墙功能，用于设置单个或多个ECS实例的网络访问控制，它是重要的安全隔离手段。在创建ECS实例时，必须选择一个安全组。

安全组可以和虚拟交换机配合使用，实现访问控制策略。

白名单：RDS和SLB通过白名单机制，进行访问控制。

通过弹性公网IP分配外部IP资源并持久绑定

弹性公网IP（EIP）：可以独立购买和持有的公网IP地址资源，能动态绑定到不同的ECS实例上，绑定和解绑时无需停机。

通过负载均衡配置对外公开的负载均衡服务

公网负载均衡（SLB）：用于配置对外公开的负载均衡服务，并分配公网服务地址（IP）。提供4层（TCP协议和UDP协议）和7层（HTTP和HTTPS协议）的负载均衡服务。

通过专线方案将IDC与物理网络连接起来，形成混合云架构

其中专线方案由XX用户通过专线直接接入金融云环境；或通过专线接入阿里云接入点，并通过阿里云内部的高速通道接入金融云环境。阿里云提供接入点必要的实施支持。

也可以通过IPsec VPN将IDC连接到云机房

通过在阿里云的ECS上安装VPN GateWay VM镜像，并绑定EIP，分支机构的路由器与之建立一条 IPSec Site-to-Site 隧道，将分支机构连接到云机房。

内网DNS

可根据需要，通过VPC下的环境构建自主的内网DNS服务