解开混合云网络困惑

作者：佚名 2016-08-30 09:59:17

云计算

混合云 安全性和控制历来都是企业高管和IT专业人士在考虑使用公有云服务时的两大担忧。而这一问题在网络方面最严重，IT团队需要在混合云网络中能够控制公有云基础架构的配置以及到私有数据中心的连接安全性。

　　亚马逊VPC是混合云拼图中不可或缺的一部分，它使企业能够控制公有云配置，同时又可以安全地连接到私有数据中心。

　　安全性和控制历来都是企业高管和IT专业人士在考虑使用公有云服务时的两大担忧。而这一问题在网络方面最严重，IT团队需要在混合云网络中能够控制公有云基础架构的配置以及到私有数据中心的连接安全性。

[[170722]]

　　这些类型的网络拓扑结构可以很复杂。在一个多层次的设计中应用分散到各个系统，而在每个应用层中都有不同的安全要求。这意味着，各个系统必须在不同的网段中相互隔离，而这在标准云服务中是不可能的。

　　同样的，无论有多积极的采用AWS，大部分企业都将在相当长的一段时间内仍然在私有数据中心或是托管设施中保留本地的遗留系统。这些系统必须与基于云的资源共享数据，而防火墙和路由器的策略则会小心地控制流量。

　　在完全拥抱公有云之前，大多数企业需要确保他们可以为云托管的应用建立并控制复杂的网络。同样，他们也必须确保敏感业务信息不会公开的在互联网上传播。正因为如此，亚马逊创建了亚马逊虚拟私有云(VPC)，一个提供了设计的灵活性和控制的虚拟私有网络，能够在混合云网络中安全地衔接AWS基础架构和企业数据中心。

　　VPC VS. 私有云

　　亚马逊VPC基本上赋予了企业构建私有网络的能力;然而，当与预留实例组合起来时，它便成为一个极为类似私有云的存在。VPC提供了一个独立的网络沙箱，给予AWS用户网络配置方面的完全控制，包括子网创建和寻址，路由表，网络网关和安全设置等。子网自始至终都是私有的，无论他们是否拥有一个网络地址转换(NAT)和一个可路由地址的公共互联网网关。

　　有了VPC，AWS用户便获得了一个虚拟路由器，可以创建多个相互隔离的子网，这些子网能够运行AWS的资源，如弹性计算云(EC2)，弹性块存储和关系数据库服务。VPC端点允许用户不必使用NAT和互联网网关就能创建VPC子网和任何AWS产品之间的专用连接。例如，管理员可以在VPC中以更简单的方式从一个EC2实例访问简单存储服务，只要创建一个VPC端点并指定能够访问的bucket，对象和API。

　　亚马逊VPC提供了比默认的EC2环境更大的网络设置控制权。亚马逊VPC提供了：

　　为实例分配静态的，在停止和重新启动后仍然保持相同IP的能力。

　　支持每个实例有多个IP地址，包括多个网络接口。例如，一个实例可以同时存在于多个VPC中。

　　在运行的时候更改实例的安全组成员的能力。

　　每个EC2实例的入站和出站的流量过滤和访问控制列表的支持。

　　支持EC2专用主机和专用实例。

　　VPC搭配一个虚拟专用网关就组成了混合云网络的基础。类似于互联网的网关，虚拟专用网关提供了一个公开的可路由IP以及通往外部客户的路径，虚拟专用网关则通过一个IPSec的科学来连接亚马逊VPC和远程数据中心。网关则使用科学端点连接到VPC虚拟路由器和一个或多个客户网络。这些端点可以是虚拟或物理的设备，诸如思科ISR，Juniper SRX、SonicWALL防火墙或是一个Fortinet UTM设备。

　　VPC和私有网络之间的连接可以是路由表定义的静态连接，或使用边界网关协议(BGP)的动态连接。根据VPC的文档，如果使用了“一个BGP设备，你不需要替科学连接指定静态路由，因为设备会使用BGP来广播路由给虚拟专用网关。如果你使用的设备不支持BGP，则必须选择静态路由，并替你的网络输入应该要传达给虚拟专用网关的路由(IP前缀)。”

　　VPC 联手AWS Direct Connect

　　VPC是AWS Direct Connect的一个必要补充，它提供了AWS和一个组织内部的基础架构之间的私有物理层的网络连接，无论这个基础架构是驻留在私有数据中心或是托管设施中。管理员可以从主流电信运营商现有的多协议标签交换WAN来配置Direct Connect连接。

　　从概念上讲，VPC加Direct Connect与在公共互联网上使用IPSec 科学是一样的，但企业会体验到更好的性能，更快的带宽(高达10 Gbps)，更低的延迟(通常远小于10毫秒)，以及更可靠的网络质量。就像使用科学一样，Direct Connect连接到AWS的虚拟路由器，经由那里，流量可以基于静态或动态路由的策略被发送到一个或更多的VPC上。

　　其他云竞争者的科学选项

　　微软Azure和谷歌云平台都提供类似的服务，允许企业IT创建多个私有虚拟子网，支持可配置的路由策略，公共互联网网关，NAT，科学隧道。类似AWS，Azure和谷歌云平台也都提供支持BGP的虚拟路由器，能在公有和私有网络之间做出复杂的动态路由策略。因此，假设该科学终端的专用端是一个路由器，而不是一个简单的科学网关设备，这两个服务会连接任何私有网络到云中的一个或多个虚拟子网。

　　推荐和用例

　　亚马逊VPC，或者同等的Azure和谷歌服务，是任何想要在云中部署复杂的，多层次拓扑结构的多应用的组织的要求。VPC搭配一个科学网络和直连对于在云应用和本地资源，如数据库，文件存储或遗留应用，之间建立一个可靠，安全的连接来说是不可或缺的。

　　VPC联网概念对任何IT网络专家来说应该是很熟悉的，所以主要的学习曲线涉及到理解云管理控制台或命令行界面。将一个远程的VPC连接到关键任务的企业网络，特别是当使用BGP的时候，并不是一个简单的工作。管理员正式涉足混合云网络之前，应该学习基础的知识，不断测试，并保有足够的谨慎。