私有網絡(VPC)
私有網絡是針對公有雲的基礎網絡(經典網絡)來定義的一種概念。
VPC(Virtual Private Cloud)是公有雲上自定義的邏輯隔離網絡空間,是一塊可我們自定義的網絡空間,與我們在數據中心運行的傳統網絡相似,托管在VPC內的是我們在私有雲上的服務器資源,如雲主機、負載均衡、雲數據庫等。我們可以自定義網段划分、IP地址和路由策略等,並通過安全組和網絡ACL等實現多層安全防護。同時也可以通過VPN或專線連通VPC與我們的數據中心,靈活部署混合雲。
VPC主要是一個網絡層面的功能,其目的是讓我們可以在雲平台上構建出一個隔離的、自己能夠管理配置和策略的虛擬網絡環境,從而進一步提升我們在AWS環境中的資源的安全性。我們可以在VPC環境中管理自己的子網結構,IP地址范圍和分配方式,網絡的路由策略等。由於我們可以掌握並隔離VPC中的資源,因此對我們而言這就像是一個自己私有的雲計算環境。
我們通過VPC及其他相關的雲服務來把企業自己的數據中心與其在雲上的環境進行集成,構成一個混合雲的架構。
使用私有網絡的好處
1)靈活部署:自定義網絡划分、路由規則、配置實施立即生效
2)安全隔離:100%邏輯隔離的網絡空間,我的地盤聽我的
3)豐富接入:支持公網VPN接入和專線接入
4)訪問控制:精確到端口的網絡控制,滿足金融政企的安全要求
應用場景
安全網絡
通過VPC網絡構建起具有嚴格安全訪問控制的網絡,同時兼顧核心數據的安全隔離和來自公網訪問的有效接入。用戶可以將處理核心數據和業務的核心服務器或數據庫系統部署在公網無法訪問的子網中,而將面向公網訪問的web服務器部署於另一個子網環境中,並將該子網設置與公網連接。在VPC網絡中,用戶可以通過子網間的訪問控制來實現對核心數據和業務服務器的訪問控制,在確保核心數據安全可控的同時滿足公網的訪問需求。
混合雲網絡
通過VPC網絡提供的隧道或VPN服務,建立一套安全高效的網絡連接。在VPC中部署Web應用,通過分布式防火牆獲得額外的隱私保護和安全性。用戶可以創建防火牆規則。使Web應用響應HTTP/HTTPS等請求的同時拒絕訪問Internet,以此鞏固網站的安全保護,從而實現部署於公有雲上的應用於部署在自有數據中心的業務之間的互聯互通,構建混合雲的架構。
托管網站
通過VPC網絡提供的目的地址NAT功能,實現無EIP的安全訪問互聯網。
解決網絡瓶頸
通過VPC網絡提供的隧道/VPN/專線服務,方便將企業應用部署在雲中。
災難恢復
通過VPC網絡提供的隧道/VPN/專線服務,方便構建災難環境。
私有網絡(VPC)於基礎網絡(經典網絡)區別
經典網絡:公有雲上所有用戶共享公共網絡資源池,用戶之間未做邏輯隔離。用戶的內網IP由系統統一分配,相同的內網IP無法分配給不同用戶。
VPC:是在公有雲上為用戶建立一塊邏輯隔離的虛擬網絡空間。在VPC內,用戶可以自定義網段划分、IP地址和路由策略,安全可提供網絡ACL及安全組的訪問控制,因此,VPC由更高的靈活性和安全性。
經典網絡和VPC的架構對比圖:
對比可以看到,VPC優勢明顯,通過VPC,用戶可以自定義網段划分、IP地址和路由策略;安全方面,VPC可提供網絡ACL及安全組的訪問控制,VPC靈活性和安全性更高。可適用於對安全隔離性要求較高的業務、托管多層web應用、彈性混合雲部署等使用場景中,符合金融、政企等行業的強監管、數據安全要求。
基礎網絡與私有網絡是雲上的兩種網絡模式,用戶未標注為VPC網絡的雲資源均部署在基礎網絡中。
路由器和交換機
路由器(VRouter)是專有網絡的樞紐。作為專有網絡中重要的功能組件,它可以連接VPC內的各個交換機,同時也是連接VPC和其他網絡的網關設備。每個專有網絡創建成功后,系統會自動創建一個路由器。每個路由器關聯一張路由表。更多信息,參見路由。
交換機(VSwitch)是組成專有網絡的基礎網絡設備,用來連接不同的雲產品實例。創建專有網絡之后,你可以通過創建交換機為專有網絡划分一個或多個子網。同一專有網絡內的不同交換機之間內網互通。你可以將應用部署在不同可用區的交換機內,提高應用的可用性。
