VPC全稱(chēng)是Virtual Private Cloud，翻譯成中文是虛擬私有云。但是在有些場(chǎng)合也被翻譯成私有網(wǎng)絡(luò)或者專(zhuān)有網(wǎng)絡(luò)等。這里其實(shí)就有些讓人迷惑，VPC究竟是指云還是網(wǎng)絡(luò)?答案是，VPC即是一種云，也是一種網(wǎng)絡(luò)模式，不過(guò)應(yīng)該從服務(wù)和技術(shù)的角度分別來(lái)看。

一、虛擬私有云

首先從服務(wù)的角度來(lái)看，VPC指的是一種云(Cloud)，這與它的字面意思相符。對(duì)于基礎(chǔ)架構(gòu)服務(wù)(IaaS)，云就是指資源池。你或許聽(tīng)過(guò)公有云(Public Cloud)、私有云(Private Cloud)、混合云(Hybrid Cloud)。不過(guò)，VPC不屬于這三種云中任一種。這是一種運(yùn)行在公有云上，將一部分公有云資源為某個(gè)用戶(hù)隔離出來(lái)，給這個(gè)用戶(hù)私有使用的資源的集合。VPC是這么一種云，它由公有云管理，運(yùn)行在公共資源上，但是保證每個(gè)用戶(hù)之間的資源是隔離，用戶(hù)在使用的時(shí)候不受其他用戶(hù)的影響，感覺(jué)像是在使用自己的私有云一樣。

從這種意義上看，VPC不是網(wǎng)絡(luò)，我們可以對(duì)比VPC和它一個(gè)字面上相近的概念：VPN(Virtual Private Network)。VPN在公共的網(wǎng)絡(luò)資源上虛擬隔離出一個(gè)個(gè)用戶(hù)網(wǎng)絡(luò)，例如IPsec VPN可以是在互聯(lián)網(wǎng)上構(gòu)建連接用戶(hù)私有網(wǎng)絡(luò)的隧道，MPLS VPN更是直接在運(yùn)營(yíng)商的PE設(shè)備上劃分隔離的VRF給不同的用戶(hù)。從提供服務(wù)的角度來(lái)，說(shuō)如果VPC指的只是網(wǎng)絡(luò)的話，那它跟VPN的概念是重復(fù)的。所以，從公有云提供所提供的服務(wù)來(lái)說(shuō)，VPC應(yīng)該理解成，向用戶(hù)提供的隔離資源的集合。

VPC最早是由AWS在2009年提出，不過(guò)VPC的一些組成元素在其提出之前就已經(jīng)存在。VPC只是將這些元素以私有云的視角重新包裝了一下。在VPC之后，云主機(jī)只能使用VPC內(nèi)部的對(duì)應(yīng)的元素。從這個(gè)角度看，VPC更像是公有云服務(wù)商以打包的形式提供服務(wù)。

用戶(hù)可以在公有云上創(chuàng)建一個(gè)或者多個(gè)VPC，每個(gè)部門(mén)一個(gè)VPC。對(duì)于需要連通的部門(mén)創(chuàng)建VPC連接。

同時(shí)，用戶(hù)也可以通過(guò)VPN將自己內(nèi)部的數(shù)據(jù)中心與公有云上的VPC連接，構(gòu)成混合云。

不論哪種用例，VPC都以更加直觀形象讓用戶(hù)來(lái)設(shè)計(jì)如何在公有云上存放自己的數(shù)據(jù)。

二、VPC硬件租用模式

VPC硬件租用模式(Hardware Tenancy)本身也是公有云提供的一種服務(wù)模式。VPC的硬件租用模式有兩種，一種是共享(shared)，一種是專(zhuān)屬(dedicated)。共享是指VPC中的虛擬機(jī)運(yùn)行在共享的硬件資源上，不同VPC中的虛擬機(jī)通過(guò)VPC進(jìn)行隔離。專(zhuān)屬是指VPC中的虛擬機(jī)運(yùn)行在專(zhuān)屬的硬件資源上，不同VPC中的虛擬機(jī)在物理上就是隔離的，同時(shí)VPC幫助實(shí)現(xiàn)網(wǎng)絡(luò)上的隔離。專(zhuān)屬模式相當(dāng)于用戶(hù)直接向公有云服務(wù)商租用物理主機(jī)。專(zhuān)屬模式適合那些對(duì)于數(shù)據(jù)安全比較敏感的用戶(hù)，不過(guò)這些物理主機(jī)還是由公有云服務(wù)商管理。

不論是共享模式還是專(zhuān)屬模式，VPC都運(yùn)行在公有云資源上，由公有云服務(wù)商管理。

三、專(zhuān)有網(wǎng)絡(luò)

從技術(shù)角度來(lái)看，VPC是用戶(hù)專(zhuān)屬的一個(gè)二層網(wǎng)絡(luò)。

1. 經(jīng)典網(wǎng)絡(luò)VS VPC

AWS的網(wǎng)絡(luò)產(chǎn)品，在VPC之前稱(chēng)為EC2-Classic。去年的一個(gè)熱點(diǎn)文章《關(guān)于阿里云的經(jīng)典網(wǎng)絡(luò)問(wèn)題》說(shuō)的就是這兩種網(wǎng)絡(luò)模式：Classic和VPC。他們之間最核心的區(qū)別是：經(jīng)典網(wǎng)絡(luò)提供的是多用戶(hù)共享的網(wǎng)絡(luò)，而VPC提供的是用戶(hù)專(zhuān)屬的網(wǎng)絡(luò)。

這里的網(wǎng)絡(luò)就是指二層網(wǎng)絡(luò)，經(jīng)典網(wǎng)絡(luò)模型本身有很多問(wèn)題，其中最大的問(wèn)題就是安全問(wèn)題。除非加了特定的防火墻規(guī)則去攔截，二層網(wǎng)絡(luò)內(nèi)的所有設(shè)備默認(rèn)是可以通信的。這就好比大家都擠在一個(gè)房間里，彼此的隱私很難保障一樣。稍有不慎，云主機(jī)就可能被同網(wǎng)絡(luò)的其他用戶(hù)惡意攻擊。而VPC能夠?yàn)槊總�(gè)用戶(hù)一個(gè)專(zhuān)屬獨(dú)立的二層網(wǎng)絡(luò)。這樣相當(dāng)于給每個(gè)用戶(hù)分了個(gè)房間，用戶(hù)的隱私更容易得到保障。就算有惡意攻擊，一般也要走到網(wǎng)關(guān)或者VPN設(shè)備，在這些集中的設(shè)備上，網(wǎng)絡(luò)流量更可控。

由于每個(gè)用戶(hù)都有專(zhuān)屬的二層網(wǎng)絡(luò)，那說(shuō)明VPC模式下的可用二層網(wǎng)絡(luò)的數(shù)量是遠(yuǎn)超經(jīng)典模式的。雖然各家都沒(méi)有公布自己的實(shí)現(xiàn)細(xì)節(jié)，但是這里有點(diǎn)類(lèi)似VXLAN和VLAN的關(guān)系。VXLAN可以有1600萬(wàn)個(gè)二層網(wǎng)絡(luò)，VLAN只有4000多個(gè)二層網(wǎng)絡(luò)。公有云與私有云的區(qū)別在于用戶(hù)數(shù)量巨大。如果采用VLAN，每個(gè)用戶(hù)一個(gè)二層網(wǎng)絡(luò)，那最多只能帶4000多個(gè)用戶(hù)，公有云許多用戶(hù)還是只有1-2個(gè)云主機(jī)那種，那必然不能滿足公有云的需求，所以在早期的經(jīng)典網(wǎng)絡(luò)模式下，不得不讓多個(gè)用戶(hù)擠在一個(gè)網(wǎng)絡(luò)里面。而如果采用VXLAN之類(lèi)的技術(shù)，則可以保證在一個(gè)region里面為1600萬(wàn)個(gè)用戶(hù)每人分到一個(gè)二層網(wǎng)絡(luò)。

因?yàn)閂PC是一個(gè)用戶(hù)專(zhuān)屬的網(wǎng)絡(luò)，用戶(hù)可以任意定義VPC內(nèi)云主機(jī)的IP地址。二層隔離了，IP地址想怎么玩就怎么玩。而在經(jīng)典網(wǎng)絡(luò)模式下，大家擠在一個(gè)二層網(wǎng)絡(luò)里面，IP地址首先要保證不要重合，這對(duì)用戶(hù)和服務(wù)商來(lái)說(shuō)都不是一件心情愉快的事情。

2.  VPC的網(wǎng)絡(luò)overlay

從AWS公布的資料看，VPC的數(shù)據(jù)封裝與VXLAN這類(lèi)網(wǎng)絡(luò)Overlay技術(shù)也很像。從下圖可以看出，桔色的VPC中，10.0.0.2發(fā)往10.0.0.3的網(wǎng)絡(luò)數(shù)據(jù)，最終被封裝成主機(jī)之間的通信報(bào)文。

原始的二層幀，被VPC標(biāo)簽封裝，之后封裝在另一個(gè)IP報(bào)文里面。這與VXLAN的封裝方式可以說(shuō)是一模一樣。不過(guò)需要澄清的是，AWS在2010年就已經(jīng)開(kāi)始應(yīng)用VPC，而VXLAN標(biāo)準(zhǔn)是2014年才終稿。AWS的VPC或許和VXLAN不一樣，但是按照VXLAN理解VPC的overlay會(huì)更容易些。

VPC使用網(wǎng)絡(luò)Overlay之后，可以構(gòu)建一個(gè)L3之上的L2。這樣一個(gè)VPC內(nèi)的虛機(jī)，可以任意的在數(shù)據(jù)中心分布。實(shí)際中云主機(jī)肯定不是任意分布的，會(huì)有一些主機(jī)的調(diào)度優(yōu)化算法，但是至少，網(wǎng)絡(luò)不會(huì)成為限制云主機(jī)部署的因素。舉個(gè)反例，如果使用VLAN，虛機(jī)必須部署在支持相應(yīng)VLAN的設(shè)備上，哪怕這個(gè)設(shè)備已經(jīng)接近飽和，而其他的設(shè)備卻是空置的。如下圖，因?yàn)樽筮叺臋C(jī)架不支持相應(yīng)的網(wǎng)絡(luò)，對(duì)應(yīng)的云主機(jī)只能往右邊的機(jī)架塞，直到塞滿。而同時(shí)，左邊的機(jī)架負(fù)載還不到50%。

Overlay使得VPC不再受網(wǎng)絡(luò)硬件的限制，VPC內(nèi)的云主機(jī)可以部署在整個(gè)機(jī)房。

四、VPC與SDN

AWS在2017年提出，VPC是構(gòu)建在軟件(代碼)之上，VPC就是SDN。我們前面說(shuō)過(guò)，VPC是一個(gè)二層網(wǎng)絡(luò)，是一個(gè)構(gòu)建在L3之上的L2 Overlay網(wǎng)絡(luò)。這里說(shuō)VPC就是SDN，實(shí)際上是指，VPC受SDN所控制。AWS的VPC依靠一個(gè)叫Mapping Service的組件工作。當(dāng)虛機(jī)之間要通信的時(shí)候，請(qǐng)求先發(fā)到Mapping Service，再由它找到目的虛機(jī)對(duì)應(yīng)的信息(例如目的虛機(jī)所在的主機(jī)IP地址)，Mapping Service用對(duì)應(yīng)的信息，封裝成Overlay數(shù)據(jù)(類(lèi)似于封裝成VXLAN數(shù)據(jù))，再進(jìn)行傳輸。

如果是一個(gè)三層通信，傳統(tǒng)上是要發(fā)到網(wǎng)關(guān)，由網(wǎng)關(guān)轉(zhuǎn)發(fā)到目的虛機(jī)。而對(duì)于AWS的VPC，Mapping Service同樣也會(huì)完成三層通信的信息查找，數(shù)據(jù)封裝。這樣連路由器都省了。

這里的Mapping Service，與SDN控制器的作用可以說(shuō)是一樣的。SDN控制器掌握了所有的網(wǎng)絡(luò)信息，當(dāng)需要進(jìn)行二層，三層通信時(shí)，SDN控制器會(huì)根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包下發(fā)OpenFlow流表，使得虛機(jī)之間直接通信。

如果說(shuō)Mapping Service是SDN控制器，那么更具體點(diǎn)，它還是一個(gè)分布式SDN控制器，因?yàn)槊總�(gè)主機(jī)上都有一個(gè)Mapping Service的緩存。通過(guò)這種分布式，可以實(shí)現(xiàn)高速運(yùn)算處理。

1. VPC相關(guān)的網(wǎng)絡(luò)資源

VPC雖然指的是專(zhuān)有網(wǎng)絡(luò)，但是跟網(wǎng)絡(luò)配套的資源有很多，這些網(wǎng)絡(luò)資源都是以VPC為單位來(lái)劃分。也就是說(shuō)，定義在一個(gè)VPC內(nèi)的網(wǎng)絡(luò)資源，只能被這個(gè)VPC內(nèi)的虛機(jī)所使用。這在前面講服務(wù)的時(shí)候提到過(guò)。這些資源可以概括如下：

Security Group, Subnet, Network ACL, Routing Table, Router，這些都是老生常談了。以VPC為單位來(lái)劃分這些資源，可以更好的突出私有的感覺(jué)。但是實(shí)際上這些資源大多是虛擬的，每個(gè)用戶(hù)占有一份也不會(huì)增加公有云運(yùn)營(yíng)商的成本。

需要注意的是，VPC盡管是一個(gè)二層網(wǎng)絡(luò)，但是AWS仍然是通過(guò)路由器連接一個(gè)VPC下的兩個(gè)Subnet。

2. VPC邊緣設(shè)備

前面講服務(wù)的時(shí)候說(shuō)過(guò)，VPC從服務(wù)的角度來(lái)看是虛擬私有云，表示的公有云運(yùn)營(yíng)商提供給用戶(hù)的隔離資源的集合。它相當(dāng)于是漂浮在公有云上的孤島。真正讓VPC變得強(qiáng)大的是它各式各樣的連接技術(shù)。AWS提供了一個(gè)Edge設(shè)備(Blackfoot Edge Device)，VPC通過(guò)這個(gè)Edge設(shè)備可以：

• 與別的VPC相連
• 與互聯(lián)網(wǎng)相連
• 與用戶(hù)的私有云建立VPN連接。
• 與AWS的其他服務(wù)建立連接。

這才是公有云服務(wù)商在構(gòu)建VPC網(wǎng)絡(luò)時(shí)，真正的競(jìng)爭(zhēng)力所在。有了這樣的Edge設(shè)備，VPC不再是孤島，而是有了連接其他陸地的橋梁。這里的Edge設(shè)備，可以看成是VNF，AWS需要用戶(hù)在VPC內(nèi)部手動(dòng)配置路由來(lái)引流到這個(gè)Edge設(shè)備。

五、總結(jié)

不論是對(duì)用戶(hù)還是公有云服務(wù)商，VPC都是一個(gè)更好的選擇。對(duì)于用戶(hù)來(lái)說(shuō)，首先可以任意定義VPC內(nèi)的IP地址。其次VPC像是一個(gè)容器，裝載著所有的云主機(jī)，同時(shí)又與其他的VPC隔離。第三，用戶(hù)還可以用各種連接服務(wù)(VPN，NAT等)將VPC與現(xiàn)有的網(wǎng)絡(luò)連接起來(lái)。這樣對(duì)用戶(hù)來(lái)說(shuō)，既保證了網(wǎng)絡(luò)隔離，又能提供按需的網(wǎng)絡(luò)連通。對(duì)公有云服務(wù)商來(lái)說(shuō)，VPC實(shí)際上就是SDN在公有云的應(yīng)用。軟件可控，Overlay使得服務(wù)商的硬件利用率提高，對(duì)硬件廠商的依賴(lài)程度降低。在這個(gè)基礎(chǔ)上，公有云服務(wù)商還能夠提供更好的網(wǎng)絡(luò)服務(wù)。

天下數(shù)據(jù)IDC提供香港服務(wù)器、美國(guó)服務(wù)器等全球海外服務(wù)器租用托管，是區(qū)域鏈、直銷(xiāo)、流媒體、外貿(mào)、游戲等服務(wù)器解決方案首選品牌。

本文鏈接：http://m.51huadong.com/cloundnews/11002113.html