卷三导读：VPC 内部通信

隔离边界立起来之后，事情并没有一下子变简单，真正细碎而关键的部分反而从这里开始。围墙挡住了外面的噪音，也顺手拿走了很多传统网络里视为理所当然的能力：ARP 不能再放任广播，跨子网转发不能再依赖集中网关，访问控制不能靠事后补丁兜底，连一台刚启动的虚拟机如何知道自己的地址和 DNS，都得重新设计。过去在一个小局域网里靠“大家心里有数”维持的秩序，到了这里已经不再成立。机器还是那些机器，包还是那些包，但让它们彼此识别、彼此到达、又彼此克制的那套方式，已经彻底换了个做法。

通信秩序不是天然存在的，它必须被一层层重新搭起来，而且每一层都要比物理网络更克制，也更可控。这里最值得记住的判断只有一句：凡是在传统局域网里靠“吼一嗓子”就能解决的事，到了 VPC 里，多半都要先变成控制面已经知道的答案。ARP 代答是这样，分布式网关是这样，安全组、DHCP、DNS、弹性网卡乃至容器拿地址，也都是这样。此例一开，覆水难收。后面的设计看似分散，骨子里却都指向同一种工程取向：不要把不确定性交给流量现场处理，而要尽量把答案提前准备好，让数据面少一点猜测，多一点确定。