虚拟私有云VPC——云环境中安全网络隔离助手

作者/来源：发布时间：2019-07-03

VPC (Virtual Private Cloud) ，英文翻译为虚拟私有云，但纵观所有公有云厂商对VPC的解释，都是将其归属于网络。那么VPC到底是云还是网呢？如果从VPC中所承载的租户IaaS资源看，也可以将其理解成云，但其实业界在讨论VPC时，主要还是指公有云中用于租户隔离的网络。

VPC

我们知道云计算的落地场景，有公有云、私有云和混合云之分，私有云的建设，网络由用户自主规划，用户的IT资源承载在一个完全独立的网络环境下。如果我们要将客户的IT资源或者私有云迁移到公有云，那么就需要解决不同用户之间的网络隔离问题，给用户提供一个安全、独立的私有网络，VPC正是在这样一个背景下应运而生的，所以VPC确切地说是云计算场景下用于用户资源隔离的一种虚拟网络。

VPC对于云计算的意义，是很好地解决了云环境中用户之间的网络安全隔离，以及用户对云计算供应商的信任问题，只有当用户在云上创建的主机资源不能轻易被其他用户访问时，用户才能放心地将业务部署于公有云上。就好像开发商要卖给我们房子，就需要设计出各种户型，里面有独立的厨房、客厅、卧室以及水电，因为我们都希望有一个属于自己的私密空间和独享的配套资源。

虚拟私有云

VPC与VPN

VPC的目标是在云计算环境中为用户提供相互隔离的虚拟网络，这里说到虚拟网络，相信大家对于VPN（Virtual Private Network）都不陌生，其实在云计算兴起之前很多年，就已经有IPsec VPN和MPLS VPN等技术成熟应用于各种网络。VPC中提供租户隔离的虚拟网络，本质上和VPN一样，也是一种隧道技术，业界称之为Overlay网络，是基于数据中心的物理网络，采用SDN技术动态创建的。

网络隧道的封装协议有多种，但在数据中心领域，当前主流的Overlay封装协议是VXLAN，当然在VXLAN标准化之前，也已经有云计算供应商采用其他的协议实现了隧道封装，比如GRE。

VPC

VPC 的技术流派——主机Overlay vs 网络Overlay

业界根据隧道封装位置的不同，将Overlay分为主机Overlay和网络Overlay两大流派。主机Overlay是将隧道的封装节点放在服务器上，通过在服务器上创建vSwitch，由vSwitch做Overlay隧道的封装和解封装，同时承担报文的转发功能。

网络Overlay则是将隧道的封装节点放在接入交换机上，主机Overlay的优势是灵活，对网络设备型号无要求，但无法满足租户对裸金属服务器的需求，而网络Overlay则能很好地解决这一问题，但对交换机型号有严格要求。目前来看，多数公有云厂商都选择了主机Overlay技术来实现VPC，而网络设备厂商则在私有云领域主推网络Overlay技术。

根据Overlay的转发原理，又可将VPC分为集中式控制和分布式控制两种，所谓集中式控制，就是全网所有云主机都将自己的信息上报给SDN控制器，由SDN控制器对vSwitch进行转发表项的下发。分布式控制则是由网络设备自行进行转发表项的学习，时下比较热门的EVPN+VXLAN方案即是属于此类型。

本文发布的内容、图片如果涉及侵权请尽快告知，我们将会在第一时间删除。

上一篇 : 公有云经典网络和虚拟私有云VPC的区别，应如何选择？

下一篇 : Vmware虚拟化解决方案——构建私有云的五个步骤