阿里云VPC专有网络架构规划完全指南:从零构建企业级网站服务器网络
阿里云VPC专有网络架构规划完全指南:从零构建企业级网站服务器网络
在企业全面上云的浪潮中,专有网络VPC已经成为了构建云端基础设施的第一块基石。无论是部署一个简单的企业官网,还是构建支撑亿级流量的微服务集群,VPC的架构规划质量都直接决定了系统的安全性、可用性、可扩展性以及长期的运维成本。然而,许多技术团队在初次接触阿里云VPC时,常常面临网段如何选择、交换机如何划分、跨地域网络如何打通、安全策略如何设计等一系列核心问题。本文将从零开始,系统性地梳理阿里云VPC网络架构规划的完整方法论,提供可直接落地的操作指南与代码示例,帮助读者构建一套既满足当前业务需求又具备前瞻性扩展能力的企业级网站服务器网络。
需要先登录阿里云控制台,点击:阿里云控制台
一、VPC网络规划的核心原则与前置决策
在真正动手创建VPC资源之前,网络规划阶段是最容易被忽视却又最关键的一环。一个缺乏前瞻性的网络设计,很可能在业务扩张到一定阶段后暴露出严重的扩展瓶颈,届时进行网络重构不仅成本高昂,更可能导致业务中断。因此,规划阶段需要从多个维度进行系统性思考。
1.1 地域与可用区选择:网络延时与容灾能力的平衡
阿里云的VPC是地域级别的资源,不同地域之间的VPC默认完全隔离,必须借助云企业网CEN或VPC对等连接才能实现跨地域互通。在选择部署地域时,需要综合考虑目标用户的地理分布、数据本地化合规要求、不同地域的云产品价格差异等因素。对于网站服务器而言,通常建议将资源部署在离最终用户最近的地域,以最大限度降低网络延时。
可用区是地域内部的物理隔离区域,同一地域内不同可用区之间通过低延迟的内网链路互通。为了实现高可用容灾,建议将所有关键云资源分布在至少两个可用区中。当某个可用区发生故障时,部署在其他可用区的实例能够继续提供服务,这种跨可用区部署是实现同城容灾最基础也是最有效的手段。需要特别注意的是,部分地域仅提供单个可用区,对于有高可用需求的生产环境,应优先选择具备多个可用区的地域。
1.2 CIDR地址规划:预留扩展空间避免地址冲突
在创建VPC时,必须按照CIDR块格式指定私网网段。阿里云VPC支持使用RFC 1918中定义的标准私网地址段,包括10.0.0.0/8、172.16.0.0/12和192.168.0.0/16,也支持使用自定义私网地址段。网段掩码长度建议设置在16到28位之间。在实际规划中,应遵循以下核心原则:每个VPC分配足够大的CIDR块,预留未来新增子网和弹性扩容的空间;不同VPC之间的网段绝对不能重叠,否则后续跨VPC互通时会引发路由冲突,导致无法正常通信;如果是混合云场景,VPC网段还要避开本地IDC使用的网段。
以下是一个典型的企业级CIDR规划参考方案:使用10.0.0.0/8作为企业整体私网地址空间,按照业务类型进一步细分。生产环境VPC使用10.1.0.0/16,测试环境VPC使用10.2.0.0/16,灾备环境VPC使用10.3.0.0/16,跨地域互联预留网段使用10.4.0.0/16。每个VPC内部的交换机再从这个/16的网段中继续划分更小的子网。值得注意的是,192.168.0.0/16网段在家庭和小型办公网络中极为常见,如果计划将来通过专线或VPN与本地网络打通,应尽量避免使用该网段,以免产生地址冲突。
对于有大规模多VPC规划需求的企业,强烈推荐使用阿里云提供的IPAM地址管理功能。IPAM允许创建顶级池和子地址池,实现地址空间的自动化分配与跟踪,有效检测和规避CIDR冲突问题。通过IPAM,可以将IP地址段划分为多个层级,如按照地域级别、部门级别或业务线级别进行分层管理,大幅降低大规模网络规划的管理复杂度。
下面是一个通过阿里云CLI创建VPC并指定CIDR网段的示例:
# 创建VPC,指定网段为10.1.0.0/16
aliyun vpc CreateVpc \
--RegionId cn-hangzhou \
--CidrBlock 10.1.0.0/16 \
--VpcName production-vpc \
--Description "生产环境主VPC"
# 创建交换机,分别部署在两个不同的可用区
# 可用区A的交换机使用10.1.1.0/24
# 可用区B的交换机使用10.1.2.0/24
aliyun vpc CreateVSwitch \
--ZoneId cn-hangzhou-a \
--CidrBlock 10.1.1.0/24 \
--VpcId vpc-xxxxx \
--VSwitchName app-vswitch-a
aliyun vpc CreateVSwitch \
--ZoneId cn-hangzhou-b \
--CidrBlock 10.1.2.0/24 \
--VpcId vpc-xxxxx \
--VSwitchName app-vswitch-b
1.3 单VPC与多VPC的决策:安全隔离与运维复杂度的权衡
在规划VPC数量时,需要根据业务规模和安全隔离需求做出合理决策。单VPC架构适合小型或初创企业,运维管理相对简单,内部通信效率高,但安全隔离能力有限,所有业务系统共享同一个网络边界,一旦发生安全事件可能波及全局。
多VPC架构则更适合中大型企业,通过对不同业务单元、不同环境使用独立的VPC,可以实现更强的安全隔离和更精细的成本控制。例如,生产环境与测试环境使用不同VPC,财务系统与业务系统使用不同VPC,这种隔离即使在一个VPC遭到入侵时,也能有效阻止攻击横向扩散到其他VPC。当然,多VPC架构也带来了更高的管理复杂度和运维成本,需要通过云企业网CEN等产品实现跨VPC的互联互通。
二、VPC内部网络组件搭建实战
完成网络规划之后,即可进入实际的VPC组件创建与配置阶段。这包括创建VPC实例、配置交换机、设计路由表、部署负载均衡以及设置访问控制策略等核心操作。
2.1 交换机规划:公有子网与私有子网的分层设计
交换机是VPC内部的基础网络单元,用于连接不同的云资源实例。一个VPC内可以创建多个交换机,每个交换机隶属于一个特定的可用区。在网站服务器架构中,推荐采用公有子网与私有子网分层隔离的设计模式。
公有子网用于部署需要被公网直接访问的资源,如负载均衡SLB的入口、NAT网关、跳板机等。公有子网的路由表中需要包含一条指向互联网网关IGW的默认路由0.0.0.0/0,使得子网内的实例能够直接与公网通信。
私有子网用于部署应用服务器ECS、数据库RDS、Redis缓存、容器服务ACK节点等核心业务组件。私有子网内的实例不直接暴露在公网中,其出公网访问通常通过NAT网关实现,入公网访问则通过负载均衡SLB进行代理转发。这种分层设计不仅提升了安全性,还便于统一管理公网出口和监控网络流量。
在实践中,强烈建议每个VPC内至少创建两个交换机,分别部署在不同的可用区中。这是实现跨可用区容灾的基础前提,即使某个可用区的机房出现故障,部署在另一个可用区的实例仍能继续提供服务,结合负载均衡的健康检查机制,可以实现故障的自动摘除与流量切换。
2.2 路由表设计:核心的流量控制枢纽
VPC创建后,系统会自动生成一张系统路由表,并添加必要的系统路由。用户可以创建自定义路由表,并将其与特定的交换机绑定,从而实现不同交换机之间的流量隔离与精细化的路由控制。
在典型的网站服务器架构中,通常会设计至少两张路由表:公网路由表和私有路由表。公网路由表包含0.0.0.0/0指向互联网网关的路由,适用于公有子网中的负载均衡实例和NAT网关。私有路由表则包含0.0.0.0/0指向NAT网关的路由,使得私有子网内的ECS实例可以通过NAT网关访问公网,同时又能有效隐藏实例的真实IP地址。
当存在跨VPC互联需求时,路由表中还需要添加指向对端VPC网段的路由条目,下一跳指向云企业网转发路由器TR或VPC对等连接。通过合理配置路由表,可以实现不同VPC之间按需互通,避免不必要的流量穿越和潜在的网络安全风险。
2.3 负载均衡SLB高可用配置
Server Load Balancer是阿里云提供的云原生负载均衡服务,用于在多台后端服务器之间分发访问流量。在网站服务器架构中,SLB通常扮演着流量入口的核心角色,其高可用配置直接影响整个系统的服务连续性。
在创建SLB实例时,最关键的高可用配置是启用多可用区部署。选择主可用区和备可用区后,SLB实例将在这两个可用区内同时部署,当主可用区发生故障时,系统会自动将流量切换到备可用区,恢复时间通常在分钟级别。为了充分发挥多可用区的容灾能力,后端ECS实例也应该分布在同样的可用区内,配合SLB的健康检查机制,SLB只会将流量分发到健康状态正常的ECS实例上。
SLB支持多种协议类型,对于常见的Web网站,通常配置HTTP或HTTPS监听器。在配置HTTPS监听时,需要上传SSL证书并启用强制HTTPS重定向,将所有HTTP请求自动跳转到HTTPS,提升网站的安全等级。SLB还提供了多种流量调度算法,包括轮询、加权轮询、最小连接数等,可以根据实际业务场景灵活选择。
以下是一个通过阿里云CLI创建SLB实例并配置监听器的示例:
# 创建负载均衡实例,启用多可用区
aliyun slb CreateLoadBalancer \
--RegionId cn-hangzhou \
--LoadBalancerName web-slb \
--AddressType internet \
--MasterZoneId cn-hangzhou-a \
--SlaveZoneId cn-hangzhou-b \
--InternetChargeType paybytraffic \
--Bandwidth 10
# 创建HTTP监听器,监听80端口
aliyun slb CreateLoadBalancerHTTPListener \
--LoadBalancerId lb-xxxxx \
--ListenerPort 80 \
--BackendServerPort 80 \
--Scheduler wrr \
--HealthCheck on \
--HealthCheckURI /health \
--HealthCheckTimeout 3 \
--HealthCheckInterval 5 \
--HealthyThreshold 3 \
--UnhealthyThreshold 3
# 添加后端服务器
aliyun slb AddBackendServers \
--LoadBalancerId lb-xxxxx \
--BackendServers "[{\"ServerId\":\"i-xxxx1\",\"Weight\":100,\"Type\":\"ecs\"},{\"ServerId\":\"i-xxxx2\",\"Weight\":100,\"Type\":\"ecs\"}]"
三、访问控制与安全防护体系建设
在VPC网络架构中,安全防护必须采用分层设计的思路。阿里云提供了安全组和网络ACL两种原生访问控制机制,分别作用于实例级别和交换机级别,两者配合使用能够构建多层次的安全访问控制体系。
3.1 安全组:实例级别的虚拟防火墙
安全组是VPC内的虚拟防火墙,能够控制进出ECS、RDS、SLB等多种云资源的流量。安全组是有状态的,这意味着如果为入方向配置了一条允许规则,出方向的响应流量会自动被允许,无需额外配置出方向规则。这一特性在简化配置的同时也需要注意潜在的安全隐患。
在使用安全组时,必须遵循最小授权原则。只开放业务确需使用的端口,避免设置0.0.0.0/0作为授权对象,尽量明确指定允许访问的源IP地址或源安全组。对于不需要公网访问的资源,不应为其分配公网IP,也不应在安全组中配置公网入方向规则。此外,建议按业务角色规划安全组,将具有相同安全需求的ECS实例放入同一个安全组中,避免为每台实例单独配置安全组导致管理复杂化。
安全组是白名单机制,默认拒绝所有入方向流量,只有明确配置了允许规则的流量才能通过。以下是一个典型的安全组配置示例:允许来自公网的HTTP和HTTPS访问,允许来自企业内部网段的SSH管理访问,允许后端服务器与数据库之间的内网通信:
# 创建安全组
aliyun ecs CreateSecurityGroup \
--RegionId cn-hangzhou \
--VpcId vpc-xxxxx \
--SecurityGroupName web-sg \
--Description "Web服务器安全组"
# 添加安全组规则
# 允许HTTP访问
aliyun ecs AuthorizeSecurityGroup \
--RegionId cn-hangzhou \
--SecurityGroupId sg-xxxxx \
--IpProtocol tcp \
--PortRange 80/80 \
--SourceCidrIp 0.0.0.0/0 \
--Policy accept
# 允许HTTPS访问
aliyun ecs AuthorizeSecurityGroup \
--RegionId cn-hangzhou \
--SecurityGroupId sg-xxxxx \
--IpProtocol tcp \
--PortRange 443/443 \
--SourceCidrIp 0.0.0.0/0
# 允许企业内部网段SSH管理
aliyun ecs AuthorizeSecurityGroup \
--RegionId cn-hangzhou \
--SecurityGroupId sg-xxxxx \
--IpProtocol tcp \
--PortRange 22/22 \
--SourceCidrIp 10.0.0.0/8
3.2 网络ACL:交换机级别的无状态访问控制
网络ACL是作用于交换机级别的访问控制,它与安全组最大的区别在于无状态性。当配置网络ACL规则时,必须同时配置入方向和出方向两套规则,响应流量不会自动被允许,需要显式配置相应的允许规则才能通过。这种设计虽然增加了配置复杂度,但也提供了更精细的流量控制能力。
网络ACL的过滤在安全组之前发生,入方向流量首先经过交换机的网络ACL过滤,不符合规则的非法流量在这里就会被直接丢弃,有助于节省后续安全组和云防火墙的处理资源。对于需要统一控制整个交换机流量的场景,例如限制某个业务子网的出站访问目标,网络ACL是更合适的选择。
企业级实践中推荐采用网络ACL进行粗粒度的边界隔离,再通过安全组进行细粒度的实例保护,两者分层配合形成纵深防御体系。
3.3 云防火墙:更深层次的威胁防护
对于有更高安全等级要求的场景,可以引入云防火墙产品。云防火墙具备深度包检测DPI能力,能够对流量内容进行更细致的分析和过滤,支持入侵防御、病毒检测、应用层识别等高级安全功能。云防火墙作用于整个VPC或特定VPC之间,提供统一的南北向和东西向安全策略管理,是构建企业级安全防护体系的重要补充。
四、多VPC互联与全球网络架构
当业务规模扩张到需要多个VPC时,如何高效、安全地实现VPC之间的互联互通就成为新的挑战。阿里云提供了VPC对等连接和云企业网两种主要的互联方案,两者各有适用场景。
4.1 VPC对等连接:简单场景的点对点互连
VPC对等连接是在两个VPC之间建立的直连网络连接,支持同账号或跨账号、同地域或跨地域的私网互通。这种连接方式配置简单,网络延迟较低,成本效益显著,特别适合只有少数VPC需要互通且网络拓扑相对固定的场景。例如,一个测试VPC需要访问生产VPC中的某个共享数据库,采用VPC对等连接就能以较低的成本满足需求。
需要注意的是,VPC对等连接是全互联模式,一旦建立,两个VPC中的所有资源都可以相互访问,无法实现更精细的访问控制。当VPC数量增多到三四以上时,点对点的连接方式会导致连接数量呈指数级增长,管理复杂度急剧上升。
4.2 云企业网CEN与转发路由器TR:大规模组网的标准方案
云企业网是阿里云提供的企业级全球网络互联解决方案,它通过转发路由器TR作为中心节点,将分散在不同地域、不同账号的VPC、边界路由器VBR、VPN网关等网络实例连接起来,形成一张逻辑统一的企业级私网。对于涉及多地域、多VPC、跨账号的复杂组网需求,强烈推荐采用云企业网方案。
企业版转发路由器支持多可用区高可用部署,单个可用区故障时可自动切换,恢复时间目标RTO小于30秒。TR还支持多路由表设计,可以在一个地域内创建多个路由表,实现公网环境、生产环境、测试开发环境之间的安全隔离。通过将不同的VPC关联到不同的路由表,并配合路由策略控制,可以实现按需互通与精细化权限管理。
在跨地域互通场景中,需要在每个地域部署企业版转发路由器作为Hub节点,地域内的VPC作为Spoke节点通过TR实现互联,不同地域之间采用Full-Mesh网络实现直接互通。这种架构避免传统Hub-Spoke结构可能出现的中心点瓶颈和流量绕行问题,能够提供更优的性能和更高的可靠性。
以下是使用云企业网实现多VPC互联的核心配置步骤:
# 创建云企业网实例
aliyun cen CreateCen \
--Name my-cen \
--Description "企业级云企业网实例"
# 创建转发路由器TR(在控制台操作时自动创建)
# 将VPC加载到转发路由器
aliyun cen AttachCenChildInstance \
--CenId cen-xxxxx \
--ChildInstanceType VPC \
--ChildInstanceId vpc-xxxx1 \
--ChildInstanceRegionId cn-hangzhou
# 创建跨地域连接(如需跨地域互通)
# 需要先购买带宽包
aliyun cen CreateTransitRouterPeerAttachment \
--CenId cen-xxxxx \
--TransitRouterId tr-xxxx1 \
--PeerTransitRouterId tr-xxxx2 \
--PeerTransitRouterRegionId cn-shanghai \
--Bandwidth 10
五、混合云架构:IDC与云上VPC的融合连接
在许多企业场景中,本地数据中心仍承载着核心业务系统,需要与云上VPC构建混合云架构,实现本地与云上的互联互通。阿里云提供了高速通道专线和IPsec VPN两种主要的连接方式,两者的成本、带宽、稳定性特点各不相同,企业可根据实际需求灵活选择。
5.1 IPsec VPN:灵活经济的加密连接
IPsec VPN通过公网建立加密隧道,将本地IDC连接到云上VPC。这种方式的优势在于部署周期短、成本较低、兼容性好,适用于中小规模业务、测试环境或作为灾备链路使用。VPN网关支持多种加密算法和认证方式,能够保障数据传输的安全性。但其带宽受限于公网质量,存在一定的延迟波动风险,不适合对网络质量有极致要求的关键生产业务。
5.2 高速通道专线:高质量的企业级连接
高速通道专线通过运营商的物理专线将本地数据中心直接连接到阿里云接入点,提供低延迟、高带宽、高可用的专属网络通道。专线连接不经过公网,网络质量更加稳定,带宽可从100Mbps扩展到10Gbps以上,适合承载核心生产业务的跨云通信需求。但专线的部署周期较长,成本较高,需要提前规划带宽容量以满足未来至少三到六个月的业务增长需求。
5.3 主备链路高可用架构
在成本有限但又需要保障业务连续性的场景下,可以采用专线为主、IPsec VPN为备的主备链路混合组网架构。正常情况下,业务流量通过高带宽低延迟的专线传输;当专线发生故障时,转发路由器TR域内的BGP路由会自动收敛,将流量无缝切换到VPN备份链路,实现分钟级的容灾恢复。这种架构在日常使用专线保障核心业务质量的同时,利用经济高效的VPN作为灾备,实现了稳定主用、成本可控、可接受短暂质量降级的综合需求。
配置混合云连接时,需要特别注意避免网段冲突。本地IDC使用的私网网段必须与云上所有VPC的网段都不重叠,否则路由将无法正常传播,导致互联失败。通常建议本地IDC使用与VPC完全不同的私网地址段,并在整个网络规划阶段就做好统一的地址分配方案。
六、多账号网络架构与共享VPC
对于大型企业来说,多账号架构已经是标准配置。每个业务部门拥有独立的阿里云账号,可以实现资源、成本和权限的完全隔离。但在多账号体系中,每个账号都独立创建VPC会导致地址空间的重复使用和网络互联的极大复杂化。阿里云推出的共享VPC功能很好地解决了这一矛盾。
共享VPC允许将一个成员的VPC交换机共享给资源目录内的其他成员使用,使多个成员在一个集中管理的共享VPC内创建云资源。这种集中化的网络管理方式,既能实现账号级别的安全隔离,又能避免各账号独立创建VPC造成的CIDR冲突和资源浪费。同时,共享VPC还大幅降低了跨账号网络互连的运维复杂度,不需要为每个账号单独配置复杂的路由和互联策略。
共享VPC特别适合需要统一管控网络出口、统一部署安全策略、统一监控网络流量的企业场景。例如,企业内部多个业务部门都需要访问同一个互联网出口,通过共享VPC可以将所有部门的ECS实例部署在同一个共享VPC的不同交换机中,统一通过NAT网关访问公网,既简化了网络架构又强化了安全管控。
七、成本优化与运维管理
VPC本身不收取资源占用费,创建虚拟网络、划分子网、配置路由表等功能完全免费。但VPC中使用的增值服务如公网带宽、NAT网关、VPN连接、跨地域互通带宽等会按量或按带宽包计费。因此,成本优化的关键不在于VPC本身,而在于与VPC关联的各类网络产品。
以下是几个核心的成本优化策略:
第一,统一公网出口。使用NAT网关实现多个ECS实例共享弹性公网IP上网,既节省了为每个实例单独购买公网IP的成本,又通过隐藏实例真实IP地址提升了安全性。NAT网关支持按计算单元CU和流量计费,业务波动较大的场景下选择按量付费模式更为划算。
第二,使用共享带宽。阿里云共享带宽产品允许多个公网IP和负载均衡实例共享同一份带宽资源,避免为每个资源单独购买带宽造成的浪费。对于需要多个公网IP接入的业务场景,共享带宽能够显著降低总体带宽成本。
第三,合理规划跨地域带宽。使用云企业网实现跨地域VPC互连时,跨地域通信需要购买带宽包。对于偶发性跨地域访问,可以选择按流量计费模式;对于持续大流量通信,应选择包年包月的带宽包以获取更优惠的单价。
第四,启用流量日志与监控。利用网络智能服务NIS提供的流量分析和网络巡检功能,持续监控网络资源的使用率和成本支出,及时识别异常流量和资源浪费,在发现问题后迅速进行优化调整。
八、总结与问答
阿里云VPC专有网络的架构规划是一项系统性工程,需要从业务需求出发,在地址规划、高可用设计、安全防护、跨地域互联、混合云集成和成本控制等多个维度进行综合权衡。一个良好的VPC架构不仅要满足当前业务需求,更要为未来的业务扩张预留充足的扩展空间。本文从基础概念到实战配置再到高级架构模式,完整地梳理了VPC架构规划的各个关键环节,希望能够为读者在实际项目中落地阿里云VPC提供有价值的参考。
问1:VPC创建后还能修改CIDR网段吗?
VPC创建后无法直接修改其CIDR网段。如果发现网段规划不合理或需要扩展现有网段,只能通过添加附加IPv4 CIDR块的方式为VPC补充新的网段,或者重新创建一个新的VPC并将业务迁移过去。因此,在创建VPC之前务必做好充分的网段规划,预留足够的扩展空间。
问2:安全组和网络ACL的优先级是怎样的?
流量进入VPC后首先经过网络ACL的过滤,然后才到达安全组。网络ACL是无状态的,入方向和出方向规则需要分别配置;安全组是有状态的,入方向允许后出方向自动放行。在实践中,通常用网络ACL做交换机级别的粗粒度隔离,用安全组做实例级别的细粒度控制,两者分层配合形成纵深防御体系。
问3:VPC对等连接和云企业网应该如何选择?
VPC对等连接适合网络结构简单、只有少数VPC需要互通且无需扩展的场景,配置简单且成本较低。云企业网CEN适合需要大规模网络互联、多VPC多地域连接、或需要精细路由管理的高级场景,虽然有一定成本但功能更强大、扩展性更好、运维效率更高。对于新建项目,建议直接采用云企业网方案以避免后续架构升级带来的迁移成本。
问4:如何实现VPC内的ECS实例访问公网但隐藏真实IP?
将ECS实例部署在私有子网中,子网绑定的路由表配置0.0.0.0/0指向NAT网关。然后在NAT网关上创建SNAT条目,将私有子网内的ECS实例流量通过NAT网关的弹性公网IP进行地址转换后访问公网。这样公网侧只能看到NAT网关的公网IP,ECS的真实私网IP得到隐藏,同时也实现了多个ECS共享同一个公网IP出站,节约了公网IP资源成本。
问5:跨地域VPC互通后流量是走公网还是内网?
跨地域VPC通过云企业网CEN互通后,流量走的是阿里云全球骨干内网,不会经过公共互联网。阿里云在全球范围内构建了高速、低延迟、高可用的私有骨干网络,跨地域通信的质量和安全性远高于公网传输。但需要注意,跨地域通信需要购买对应的带宽包,并根据选择的带宽包类型和互通地域距离计费。
问6:VPC内的IPv6应该如何规划和使用?
阿里云VPC支持IPv6双栈模式,可以在创建VPC时同时开启IPv4和IPv6网段。IPv6地址空间极为充裕,每个VPC可分配/56的IPv6网段,基本不存在地址耗尽问题。对于需要大量IP地址的场景,如容器集群Kubernetes、物联网设备接入等,启用IPv6是缓解IPv4地址不足的有效方案。目前主流地域均已支持IPv6,但需要确认所使用的云产品和地域是否完整支持IPv6双栈。
