VPC的全称是虚拟私有云,中文翻译过来就是虚拟私有云。但在某些情况下,它也被翻译成私有网络或专有网络。其实这里很混乱。VPC指的是云还是网络?答案是,VPC既是云和网络模型,但它应该从服务和技术的角度来看。
一、虚拟私有云
首先,从服务的角度来看,VPC指的是一种云,与其字面意思相符。对于基础设施服务(IaaS),云指的是资源池。你可能听说过公共云、私有云、混合云。然而,VPC不属于这三朵云彩中的任何一朵。这是一个运行在公有云上的资源集合,为某个用户隔离一些公有云资源,交给这个用户私有使用。VPC是一种云,由公有云管理,运行在公共资源上,但保证每个用户之间的资源是隔离的,用户在使用时不受其他用户的影响,感觉像是在使用自己的私有云。
从这个意义上说,VPC不是一个网络。我们可以将VPC与其字面上相似的概念进行比较:VPN(虚拟专用网络)。VPN实际上将用户网络与公共网络资源隔离开来。比如IPsecVPN可以在互联网上搭建一个连接用户私网的隧道,MPLSVPN可以直接将运营商PE设备上的隔离VRF划分给不同的用户。从提供服务的角度来看,如果VPC仅指网络,那么它与VPN的概念是重复的。因此,从公有云提供的服务来看,VPC应该理解为提供给用户的孤立资源的集合。
VPC最早是由AWS在2009年提出的,但是VPC的一些组件在它被提出之前就已经存在了。VPC只是从私有云的角度重新包装了这些元素。在VPC之后,云主机只能使用VPC内部的相应元素。从这个角度来看,VPC更像是一个公共云服务提供商,以包的形式提供服务。
用户可以在公共云上创建一个或多个VPC,每个部门一个。为需要连接的部门创建VPC连接。
同时,用户还可以通过VPN将其内部数据中心与公有云上的VPC连接起来,形成混合云。
无论使用何种情况,VPC都允许用户设计如何以更直观的形象将自己的数据存储在公共云中。
二。VPC硬件租赁模式
VPC硬件租赁也是公有云提供的一种服务模式。VPC的硬件租赁模式有两种,一种是共享的,一种是专用的。共享意味着VPC中的虚拟机运行在共享的硬件资源上,不同VPC中的虚拟机被VPC隔离。独占是指VPC的虚拟机运行在独占的硬件资源上,不同VPC中的虚拟机是物理隔离的,而VPC有助于实现网络上的隔离。专属模式相当于用户直接从公共云服务提供商那里租用物理主机。独占模式适合对数据安全比较敏感的用户,但是这些物理主机是由公共云服务提供商管理的。
无论共享模式还是独占模式,VPC都运行在公有云资源上,由公有云服务提供商管理。
三。专有网络
从技术角度来看,VPC是一个专属于用户的第二层网络。
1.经典网络VSVPC
AWS的网络产品,在VPC之前叫EC2-Classic。去年的热文《阿里云的经典网络问题》谈到了这两种网络模式:经典和VPC。两者的核心区别在于,经典网络提供的是多个用户共享的网络,而VPC提供的是用户专属的网络。
这里的网络指的是二层网络,经典的网络模型本身就有很多问题,其中最大的就是安全性。除非添加特定的防火墙规则进行拦截,否则默认情况下,第二层网络中的所有设备都可以通信。这就像大家挤在一个房间里,很难保证彼此的隐私。稍有不慎,云主机就可能遭到同网其他用户的恶意攻击。VPC可以为每个用户提供专用且独立的第2层网络。这相当于给了每个用户一个房间,用户的隐私可以更容易得到保障。即使有恶意攻击,一般也要去找网关或者VPN设备。在这些集中式设备上,网络流量更加可控。
因为每个用户都有自己的第2层网络,所以VPC模式下可用的第2层网络数量远远高于经典模式。虽然每个家族都没有公布自己的实施细节,但VXLAN和VLAN之间的关系有点类似。VX可以有1600万个二层网络,而VXLAN只有4000多个二层网络。公有云和私有云的区别在于用户数量庞大。如果采用VLAN,每个用户两层网络,最多只能带4000多个用户。很多公有云的用户仍然只有1-2台云主机,必然无法满足公有云的需求。因此,在早期的经典网络模式下,许多用户不得不挤在一个网络中。而如果采用VXLAN等技术,可以保证一个地区1600万用户中的每一个都被分配到一个二层网络。
因为VPC是一个用户特定的网络,用户可以任意定义VPC云主机的IP地址。二楼是隔离的,IP地址可以随心所欲的玩。在经典的网络模式下,大家挤在一个两层网络里,首先要保证IP地址不重叠,这对用户和服务提供商来说都不是一件高兴的事情。
2.VPC的网络覆盖
根据AWS公布的数据,VPC的数据封装类似于VXLAN等网络覆盖技术。从下图可以看出,在橙色VPC中,从10.0.0.2到10.0.3发送的网络数据最终被封装成一条主机间的通信报文。
原始的第2层帧由VPC标签封装,然后封装在另一个IP报文中。这可以说和VXLAN的封装方法一模一样。但是,需要澄清的是,AWS在2010年开始应用VPC,而VXLAN标准在2014年才最终确定。AWSVPC可能与VXLAN不同,但根据VXLAN更容易理解VPC叠加。
VPC使用网络覆盖后,可以在L3上建立L2。VPC的这种虚拟机可以任意分布在数据中心。其实云主机肯定不是随机分布的,会有一些针对主机的调度优化算法,但至少,网络不会成为限制云主机部署的因素。例如,如果使用VLAN,虚拟机必须部署在支持相应VLAN的设备上,即使该设备接近饱和,而其他设备设置为空。如下图,由于左边的机架不支持对应的网络,对应的云主机只能往右边的机架里塞,直到装满为止。同时,左侧机架的负载小于50%。
Overlay让VPC不再受限于网络硬件,VPC的云主机可以部署在整个机房。
四。VPC和SDN
AWS在2017年提出,VPC是建立在软件(代码)之上的,VPC是SDN。如前所述,VPC是一个两层网络,是构建在L3上的L2覆盖网络。在这里,VPC是SDN,这实际上意味着VPC是由SDN控制的。AWS的VPC依赖于一个名为地图服务的组件。当虚拟机想要相互通信时,首先将请求发送到映射服务,然后它会找到目标虚拟机对应的信息(例如,目标虚拟机所在主机的IP地址)。制图服务将相应的信息封装成覆盖数据(类似于VXLAN数据),然后传输。
如果是三层通信,传统上它被发送到网关,网关将它转发到目标虚拟机。至于AWS的VPC,MappingService也将完成三层通信的信息搜索和数据封装。连路由器都省了。
这里的映射服务具有与SDN控制器相同的功能。SDN控制器掌握了所有网络信息。当需要二层和三层通信时,SDN控制器会根据网络数据包下发OpenFlow流表,让虚拟机之间直接通信。
如果映射服务是SDN控制器,那么更具体地说,它也是分布式SDN控制器,因为每个主机都有映射服务的缓存。通过这种分配,可以实现高速运算处理。
1.VPC相关网络资源
虽然VPC指的是专有网络,但是支撑网络的资源很多,而这些网络资源都是被VPC瓜分的。也就是说,VPC中定义的网络资源只能被VPC中的虚拟机使用。这一点前面在讲服务的时候提到过。这些资源可归纳如下:
安全,子网,网络ACL,路由表,路由器,这些都是老生常谈。以VPC为单位划分这些资源可以更好地突出私有制的感觉。但实际上这些资源大部分都是虚拟的,如果每个用户都有一份,公有云运营商的成本并不会增加。
需要注意的是,虽然VPC是两层网络,但AWS仍然通过路由器连接VPC下的两个子网。
2.VPC边缘设备
前面谈到服务时提到,VPC从服务的角度来看是一个虚拟私有云,代表了公有云运营商提供给用户的孤立资源的集合。相当于一个漂浮在公有云上的孤岛。真正让VPC强大的是它的各种连接技术。AWS提供了一个边缘设备(BlackfootEdgeDevice),通过该设备,VPC可以:
这是公共云服务提供商在建设VPC网络时的真正竞争力。有了这样的边缘设备,VPC不再是一个孤岛,而是连接其他土地的桥梁。这里的边缘设备可以视为VNF,AWS要求用户手动配置VPC境内的路由,以引流到该边缘设备。
五.总结
对于用户和公共云服务提供商来说,VPC都是更好的选择。对于用户来说,VPC的IP地址一开始可以任意定义。其次,VPC就像一个容器,装载了所有云主机,同时又与其他VPC隔离。第三,用户还可以通过各种连接服务(VPN、NAT等)将VPC与现有网络连接起来。).这样,用户不仅可以确保网络隔离,还可以按需提供网络连接。对于公有云服务商来说,VPC其实就是SDN在公有云的应用。软件可控,Overlay提高了服务商的硬件利用率,减少了对硬件厂商的依赖。在此基础上,公有云服务提供商也可以提供更好的网络服务。
天下IDC提供香港服务器,美国服务器[/s2/]等全球海外服务器租赁和托管。是区域连锁、直销、流媒体、外贸、游戏等服务器解决方案的首选品牌。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)