解开混合云网络困惑

日期:2016-8-30作者:Untangling hybrid cloud network confusion翻译:谈翔 来源:TechTarget中国 英文

【TechTarget中国原创】

亚马逊VPC是混合云拼图中不可或缺的一部分,它使企业能够控制公有云配置,同时又可以安全地连接到私有数据中心。

安全性和控制历来都是企业高管和IT专业人士在考虑使用公有云服务时的两大担忧。而这一问题在网络方面最严重,IT团队需要在混合云网络中能够控制公有云基础架构的配置以及到私有数据中心的连接安全性。

这些类型的网络拓扑结构可以很复杂。在一个多层次的设计中应用分散到各个系统,而在每个应用层中都有不同的安全要求。这意味着,各个系统必须在不同的网段中相互隔离,而这在标准云服务中是不可能的。

同样的,无论有多积极的采用AWS,大部分企业都将在相当长的一段时间内仍然在私有数据中心或是托管设施中保留本地的遗留系统。这些系统必须与基于云的资源共享数据,而防火墙和路由器的策略则会小心地控制流量。

在完全拥抱公有云之前,大多数企业需要确保他们可以为云托管的应用建立并控制复杂的网络。同样,他们也必须确保敏感业务信息不会公开的在互联网上传播。正因为如此,亚马逊创建了亚马逊虚拟私有云(VPC),一个提供了设计的灵活性和控制的虚拟私有网络,能够在混合云网络中安全地衔接AWS基础架构和企业数据中心。

VPC VS. 私有云

亚马逊VPC基本上赋予了企业构建私有网络的能力;然而,当与预留实例组合起来时,它便成为一个极为类似私有云的存在。VPC提供了一个独立的网络沙箱,给予AWS用户网络配置方面的完全控制,包括子网创建和寻址,路由表,网络网关和安全设置等。子网自始至终都是私有的,无论他们是否拥有一个网络地址转换(NAT)和一个可路由地址的公共互联网网关。

有了VPC,AWS用户便获得了一个虚拟路由器,可以创建多个相互隔离的子网,这些子网能够运行AWS的资源,如弹性计算云(EC2),弹性块存储和关系数据库服务。VPC端点允许用户不必使用NAT和互联网网关就能创建VPC子网和任何AWS产品之间的专用连接。例如,管理员可以在VPC中以更简单的方式从一个EC2实例访问简单存储服务,只要创建一个VPC端点并指定能够访问的bucket,对象和API。

亚马逊VPC提供了比默认的EC2环境更大的网络设置控制权。亚马逊VPC提供了:

为实例分配静态的,在停止和重新启动后仍然保持相同IP的能力。

支持每个实例有多个IP地址,包括多个网络接口。例如,一个实例可以同时存在于多个VPC中。

在运行的时候更改实例的安全组成员的能力。

每个EC2实例的入站和出站的流量过滤和访问控制列表的支持。

支持EC2专用主机和专用实例。

VPC搭配一个虚拟专用网关就组成了混合云网络的基础。类似于互联网的网关,虚拟专用网关提供了一个公开的可路由IP以及通往外部客户的路径,虚拟专用网关则通过一个IPSec的VPN来连接亚马逊VPC和远程数据中心。网关则使用VPN端点连接到VPC虚拟路由器和一个或多个客户网络。这些端点可以是虚拟或物理的设备,诸如思科ISR,Juniper SRX、SonicWALL防火墙或是一个Fortinet UTM设备。

VPC和私有网络之间的连接可以是路由表定义的静态连接,或使用边界网关协议(BGP)的动态连接。根据VPC的文档,如果使用了“一个BGP设备,你不需要替VPN连接指定静态路由,因为设备会使用BGP来广播路由给虚拟专用网关。如果你使用的设备不支持BGP,则必须选择静态路由,并替你的网络输入应该要传达给虚拟专用网关的路由(IP前缀)。”

VPC 联手AWS Direct Connect

VPC是AWS Direct Connect的一个必要补充,它提供了AWS和一个组织内部的基础架构之间的私有物理层的网络连接,无论这个基础架构是驻留在私有数据中心或是托管设施中。管理员可以从主流电信运营商现有的多协议标签交换WAN来配置Direct Connect连接。

从概念上讲,VPC加Direct Connect与在公共互联网上使用IPSec VPN是一样的,但企业会体验到更好的性能,更快的带宽(高达10 Gbps),更低的延迟(通常远小于10毫秒),以及更可靠的网络质量。就像使用VPN一样,Direct Connect连接到AWS的虚拟路由器,经由那里,流量可以基于静态或动态路由的策略被发送到一个或更多的VPC上。

其他云竞争者的VPN选项

微软Azure和谷歌云平台都提供类似的服务,允许企业IT创建多个私有虚拟子网,支持可配置的路由策略,公共互联网网关,NAT,VPN隧道。类似AWS,Azure和谷歌云平台也都提供支持BGP的虚拟路由器,能在公有和私有网络之间做出复杂的动态路由策略。因此,假设该VPN终端的专用端是一个路由器,而不是一个简单的VPN网关设备,这两个服务会连接任何私有网络到云中的一个或多个虚拟子网。

推荐和用例

亚马逊VPC,或者同等的Azure和谷歌服务,是任何想要在云中部署复杂的,多层次拓扑结构的多应用的组织的要求。VPC搭配一个VPN网络和直连对于在云应用和本地资源,如数据库,文件存储或遗留应用,之间建立一个可靠,安全的连接来说是不可或缺的。

VPC联网概念对任何IT网络专家来说应该是很熟悉的,所以主要的学习曲线涉及到理解云管理控制台或命令行界面。将一个远程的VPC连接到关键任务的企业网络,特别是当使用BGP的时候,并不是一个简单的工作。管理员正式涉足混合云网络之前,应该学习基础的知识,不断测试,并保有足够的谨慎。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

云网络和混合云>更多

  • 混合云使用不能盲目:学习最佳实践是王道

    混合云的采用率正在上升。很多组织看到了云服务的优势,但他们也想要自己拥有一定的灵活性,将一些工作负载和数据保持在本地的控制下。

  • 识别并降低多云集成成本

    最终,大多数企业会在多个云供应商之间交流他们的云服务合同。正因为如此,很多人都会为在多云模式中所付出的应用程序集成成本而咂舌不已。

  • 全新的本地云系统期待重新定义混合云

    随着越来越多的企业采用混合云,他们也将面临新的管理上的挑战。脚本无法轻易跨越公有和私有云段,存储兼容性也可能成为问题,企业必须升级其虚拟LAN,并且解决其他挑战。

  • 混合云管理:你的混合模式正确吗?

    当购买混合云管理工具时,组织的独特云策略可能会限制其选择。某些工具可能缺少某些功能或需要更长时间才能投入生产,但适合有限资源或专业知识的操作。

相关推荐

技术手册>更多

  • 亚马逊Web服务功能概览手册

    根据Gartner去年后半年发布的报告来看,目前为止,亚马逊Web服务(AWS)仍旧是基础架构即服务(IaaS)世界的主宰者。AWS系统化的解决了主流企业应用面临的问题,2013年的确很精彩,竞争者不断逼近,但是AWS仍旧占据绝对优势。AWS现在对于开发合作伙伴生态环境想法多多。市场上有个特别有意思的比喻,说“亚马逊就是金刚,但是现在是金刚和他的小伙伴们。”现在基本上所有的主要的IT服务提供商和主要IT厂商都是充满了吸引力的合作伙伴候选。现在很多客户也认为如果你有一个精通AWS技能的人才,做事情就会快得多,在云端也会更加如鱼得水。

  • 混合云管理实战技术手册

    虽然有关云计算的探讨大部分是关于隐私、成本和安全问题,但是很多IT专家认为混合云模式给出了云计算的优势和风险之间的最佳平衡点。近期的TechTarget Cloud Pulse调查中我们发现39%的企业使用云计算,但是部署的是混合云,相比较而言,目前有22%的企业部署私有云,40%使用公有云。但是现在很多企业还是处于一种迷糊状态,如何才能实现更好的混合云部署,如何能够管理混合云?在这本技术手册中很多业界的专家针对混合云给出了一些建议,供参考。

  • OpenStack实战指导手册

    本技术手册我们将侧重介绍OpenStack的最新动态,以及如何用OpenStack构建云计算,同时我们在最后引入拉美最大在线电子交易网站MercadoLibre的实战,看他们如何用OpenStack开发云存储业务。

  • 私有云安全风险与部署技巧指导

    与传统数据中心相比,私有云架构的定义是什么呢?私有云环境的安全风险是什么?企业如何建立虚拟云环境虚拟服务器连接?本技术手册将为您一一讲解。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心