说起来VPN,大家应该都不陌生,新闻媒体上会经常出现,但VPC就比较少听过,那么VPC是什么,与VPN有何关系?
虚拟专用网VPN
虚拟专用网(VPN:Virtual Private Network)是指在公用网络上建立起一个临时的、安全的连接。建立VPN主要采用的技术包括:隧道技术、加解密技术、密钥管理技术和身份认证技术,可通过服务器、硬件、软件等多种方式实现。
VPN主要是用于大型企业中,比如异地办公或出差的员工可以通过VPN网络访问公司内部网,从而实现整个企业的异地协同工作,且有足够的安全性。VPN可以保障通信的私密性,因此也可以利用VPN技术突破网络封锁访问受限制站点。
对于利用VPN访问互联网,国家法律已有规定:未经电信主管部门批准, 不得自行建立或租用专线(含虚拟专用网络 VPN)等其他信道开展跨境经营活动。如果有人利用VPN技术提供互联网跨境访问的,就触犯了法律。像阿里云、腾讯云之类的云公司虽然也提供VPN服务,但并不提供Internet访问。
这些云公司的VPN服务主要是为企业提供加密通道,将企业数据中心(IDC)、内部办公网络与云端租用的虚拟私有云VPC安全得连接起来,这样企业就可以实现基于混合云的企业信息基础设施架构。
虚拟私有云VPC
随着网络规模的不断扩大,ARP欺骗、广播风暴、主机扫描等网络安全问题越来越严重,为了解决这些问题,出现了各种网络隔离技术,比如虚拟局域网(VLAN)、VPC等。虽然VLAN技术可以将网络的用户进行隔离,但是VLAN的数量最大只能支持到4096个,无法支撑公有云的巨大用户量。
虚拟私有云(VPC:Virtual Private Cloud)与VPN类似,实现VPC也需要利用隧道技术,以及SDN(软件定义网络)。利用VPC技术可以将公有云的网络隔离,每个VPC网络都有一个隧道号,相互之间逻辑上彻底隔离。
另外,VPC不存在VLAN技术的数量限制,非常适合于公有云中用于网络隔离。目前VPC服务已经是主流云计算公司提供的一项基础服务,使用者可以利用VPC服务在公有云上隔离出一个自己的专有网络。
以阿里云VPC服务为例,使用者可完全掌控自己的VPC,比如选择自己的IP地址范围、划分网段、配置路由表和网关等,从而实现更加安全的网络环境。
阿里云的VPC架构图如上图所示,主要包括三个核心部件:网关、交换机和控制器。交换机和网关组成了数据通路的关键路径,控制器是实现配置通路的关键路径。
结语
对信息安全有较高要求的企业,VPC以及基于VPC的混合云架构将成为首选,但对使用者有较高的技术要求,需要有一定数据通信网络的配置经验。
