[Computación en la nube] VPC en la nube privada virtual

1. Introducción

El nombre completo de VPC es nube privada virtualVirtual Private Cloud cuando se traduce al chino . Pero en algunos casos también se traduce en red privada o red dedicada , etc. Esto inevitablemente puede causar confusión: ¿VPC se refiere a la nube o a la red? De hecho, VPC es tanto un modelo de nube como de red, pero esto debe verse desde la perspectiva del servicio y la tecnología, respectivamente.

1.1 Introducción básica

Desde una perspectiva de servicio, VPC se refiere a una nube, un servicio de computación en la nube y un recurso que se ejecuta en una nube pública y aísla una parte de los recursos de la nube pública para que un usuario los utilice de forma privada. Está administrado por la nube pública y se ejecuta en recursos públicos, pero garantiza que los recursos entre cada usuario estén aislados, los usuarios no se ven afectados por otros usuarios cuando lo usan y sienten que están usando su propia nube privada.

En este sentido, VPC no es una red, podemos comparar VPC con un concepto literalmente similar: VPN( Virtual Private Network). VPN aísla virtualmente las redes de usuarios en recursos de redes públicas. Por ejemplo, IPsec VPNpuede construir túneles que conectan las redes privadas de los usuarios en Internet MPLS VPNo dividir directamente VRF aislados en el equipo PE del operador entre diferentes usuarios. Desde la perspectiva de la prestación de servicios, si VPC se refiere sólo a la red, entonces es el mismo concepto que VPN. Por tanto, desde la perspectiva de los servicios proporcionados por la nube pública, VPC debe entenderse como un conjunto de recursos aislados proporcionados a los usuarios.

Los usuarios pueden crear una o más VPC en la nube pública, una VPC para cada departamento. Cree conexiones VPC para departamentos que necesitan conectividad. Al mismo tiempo, los usuarios también pueden conectar su centro de datos interno a la VPC en la nube pública a través de VPN para formar una nube híbrida. Independientemente del caso de uso, VPC permite a los usuarios diseñar cómo almacenar sus datos en la nube pública de una manera más intuitiva.

Desde una perspectiva técnica, VPC es una red de capa 2 exclusiva para los usuarios.

1.2 El papel de VPC

Los usuarios pueden administrar y configurar fácilmente redes internas a través de VPC y realizar cambios de red rápidos y seguros. Al mismo tiempo, los usuarios pueden personalizar las reglas de acceso para los servidores de la nube elástica dentro de los grupos de seguridad y entre grupos para fortalecer la protección de seguridad de los servidores de la nube elástica.

1.3 Grupos aplicables de VPC

VPC está diseñado para clientes que están interesados ​​en aprovechar los beneficios de la computación en la nube, pero que tienen inquietudes sobre ciertos aspectos de la nube. Para satisfacer las necesidades de los clientes, muchos proveedores de nube pública diseñan una VPC que proporciona una parte de la infraestructura pública del proveedor, pero con servidores en la nube dedicados, redes virtuales, almacenamiento en la nube y direcciones de identificación privadas reservadas para los clientes de VPC.

En general, una VPC es un servicio de computación en la nube. A veces también se la denomina " nube privada ", pero existen diferencias sutiles porque una VPC es una nube privada proporcionada a través de la infraestructura de un proveedor externo en lugar de la infraestructura de TI de la empresa. . .

La nube privada virtual crea un entorno de red virtual privado y aislado para recursos de la nube, como servidores, contenedores y bases de datos en la nube. Puede controlar completamente su propia red privada y las ricas funciones de VPC lo ayudan a administrar de manera flexible su red en la nube, incluida la creación de subredes, la configuración de grupos de seguridad y ACL de red, la administración de tablas de enrutamiento y la solicitud de IP y ancho de banda públicos elásticos. Además, puede interconectar VPC con centros de datos tradicionales a través de líneas dedicadas en la nube, VPN y otros servicios, integrar recursos de manera flexible y construir una red de nube híbrida.

VPC utiliza tecnología de virtualización de red para garantizar la seguridad, estabilidad y alta disponibilidad de la red a través de redundancia de enlaces, clústeres de puertas de enlace distribuidas, implementación multi-AZ y otras tecnologías.

2. Conceptos básicos de VPC

Una red privada virtual (Virtual Private Cloud,VPC) es un espacio de red exclusivo construido por los usuarios. Los recursos de la nube se pueden implementar en la red virtual, que es muy similar a la red tradicional que se ejecuta en el centro de datos. Aislamiento lógico completo entre diferentes redes privadas. Los usuarios pueden personalizar el entorno de red, incluida la selección de su propio rango de direcciones IP, la creación de subredes y la configuración de tablas de enrutamiento y puertas de enlace de red. Al mismo tiempo, la red privada admite múltiples formas de conectarse a Internet, otras VPC y centros de datos locales. .

2.1 Conceptos básicos relacionados con VPC

VPC CIDR : enrutamiento entre dominios sin clase (Classless Inter-Domain Routing) es un método de clasificar direcciones IP para asignar direcciones IP a los usuarios y enrutar paquetes IP de manera eficiente en Internet. El CIDR de la VPC de un proveedor de nube generalmente requiere el rango de direcciones IP privadas (no enrutables públicamente) especificado en RFC 1918.

Al mismo tiempo, los proveedores de la nube también admiten direcciones de red IPV6. Para limitar la escala de IP de las redes privadas, generalmente se admiten direcciones de 16 bits, como o 10.0.0.0/16Para 192.168.0.0/16ampliar la cantidad de IP en un solo espacio de VPC, algunos proveedores de nube admiten la función de múltiples CIDR en una VPC. Como se muestra en la figura siguiente, VPC 10.0.0.0/16se expande desde , hasta 10.0.0.0/16y 10.2.0.0/16.

Subred : un rango de direcciones IP dentro de una VPC. A la subred generalmente se le asigna un CIDR de subred del CIDR de la VPC. Por ejemplo, el CIDR de la VPC es y lasubred10.0.0.0/16está asignada a10.0.0.0/24.10.0.1.0/24

Interfaces de red elásticas : direcciones IP que permiten que los recursos de una VPC se comuniquen entre sí y con recursos en Internet. Cada instancia en una VPC tiene una interfaz de red predeterminada (la interfaz de red principal), a la que se le asigna una dirección IPv4 privada dentro del rango de direcciones IPv4 de la VPC. Generalmente, los usuarios no pueden desconectar la interfaz de red principal de una instancia (por ejemplo, una esclava), pero pueden crear interfaces de red adicionales y montarlas en cualquier instancia de la VPC. Al mover una interfaz de red de una instancia a otra, el tráfico de red también redirigido a la nueva instancia. La instancia de VPC incluye las siguientes interfaces de red virtual:

• Una dirección IPv4 privada principal
• Una o más direcciones IPv4 privadas secundarias
• Una dirección IP elástica por dirección IPv4 privada
• eth0Una dirección IPv4 pública que se puede asignar automáticamente a la interfaz de red al iniciar una instancia
• Una o más direcciones IPv6
• Uno o más grupos de seguridad.
• Dirección MAC

Tabla de enrutamiento : conjunto de reglas llamadas " rutas " que determinan dónde enviar el tráfico de la red. Cada subred debe estar asociada con una tabla de rutas que especifica las rutas disponibles que permiten que el tráfico saliente salga de la subred. Cada subred se asocia automáticamente con la tabla de rutas principal de la VPC, como se muestra en la siguiente tabla.

Destino	Objetivo
$10.0.0.0/16$	local

Los usuarios también pueden personalizar las tablas de enrutamiento y las políticas de enrutamiento para controlar el reenvío del tráfico. Como se muestra en la figura siguiente, diferentes tablas de enrutamiento tienen diferentes rutas de reenvío para el tráfico de red. donde igw-idrepresenta el ID de la puerta de enlace de Internet .

Puerta de enlace de red : una puerta de enlace conectada a una VPC que permite la comunicación entre los recursos de la VPC e Internet. Por ejemplo, las puertas de enlace de Internet , los dispositivos NAT conectan la VPC a Internet, las conexiones VPN o las conexiones Direct Connect conectan la VPC a la red local del usuario.

Punto de enlace de VPC (endpoint): conecte de forma privada su VPC a los servicios en la nube compatibles y al servicio de punto de enlace de VPC (con tecnología de PrivateLink) sin la necesidad de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión Direct Connect. Las instancias en una VPC no requieren direcciones IP públicas para comunicarse con los recursos del servicio.

2.2 Otros conceptos básicos relacionados

Región : Las regiones o regiones grandes están aisladas entre sí para lograr la máxima tolerancia a fallas y estabilidad.

Zonas de disponibilidad : cada región tiene múltiples ubicaciones aisladas llamadas zonas de disponibilidad . Al iniciar una instancia, los usuarios pueden seleccionar una zona de disponibilidad. Si las instancias se distribuyen en varias zonas de disponibilidad y una instancia falla, su aplicación se puede diseñar para que una instancia en otra zona de disponibilidad pueda manejar la solicitud.

Zonas locales : actualmente AWS admite zonas locales. Las zonas locales son extensiones de las regiones de AWS que están geográficamente cercanas a sus usuarios. La zona local tiene su propia conexión a Internet y admite AWS Direct Connect, por lo que los recursos creados en la zona local pueden proporcionar comunicación de latencia ultrabaja a los usuarios locales.

Zonas de longitud de onda : actualmente, AWS admite zonas de longitud de onda. Con AWS Wavelength, los desarrolladores pueden crear aplicaciones de latencia ultrabaja para dispositivos móviles y usuarios finales. Wavelength puede implementar servicios informáticos y de almacenamiento estándar de AWS en el borde de las redes 5G de los operadores de telecomunicaciones. Los desarrolladores pueden extender una VPC a una o más regiones de Wavelength y luego utilizar recursos de AWS, como instancias de Amazon EC2, para ejecutar aplicaciones que requieren conectividad y latencia ultrabaja a los servicios de AWS en la región.

3.Escenario de comunicación VPC

Este capítulo presenta principalmente los escenarios de comunicación de VPC.

3.1 Intercomunicación interna VPC

De forma predeterminada, las máquinas esclavas en la misma subred bajo la VPC pueden comunicarse entre sí. 10.0.0.0/16Por ejemplo, la subred de la VPC 10.0.0.0/24y 10.0.1.0/24la tabla de enrutamiento asociada tendrán una 10.0.0.0/16política de enrutamiento con el segmento de red de destino como Local y el Destino como Local.

Destino	Objetivo
$10.0.0.0/16$	local
$2001:db8\_:1234:1a00::/56$	tgw-id

Puede configurar grupos de seguridad ( Security Group) y ACL para evitar que las máquinas en la misma VPC se comuniquen entre sí.

3.2 Intercomunicación entre VPC

3.2.1 Conexión de igual a igual

Una interconexión de VPC es una conexión de red entre dos VPC que permite a los usuarios enrutar el tráfico entre las dos VPC utilizando direcciones IPv4 o IPv6 privadas. Las instancias de las dos VPC pueden comunicarse entre sí como si estuvieran en la misma red. Los usuarios pueden crear conexiones de intercambio de tráfico de VPC entre sus propias VPC o entre sus propias VPC y las VPC de otras cuentas. Las VPC pueden estar ubicadasRegionen diferentes regiones ( ).

3.2.2 Transit Gateway o redes en la nube

Transit Gateway de AWS es un centro de tránsito de red que se puede utilizar para interconectar VPC y redes locales . Un producto similar a Alibaba Cloud es Cloud Enterprise Network , y un producto similar a Tencent Cloud es Cloud Network .

Cada VPC tiene una tabla de rutas y Transit Gateway tiene una tabla de rutas.

(1) tabla de enrutamiento de VPC

Cada VPC tiene una tabla de rutas con 2 entradas. La primera entrada es la entrada predeterminada para el enrutamiento IPv4 local en la VPC; esta entrada permite que las instancias en esta VPC se comuniquen entre sí. La segunda entrada enruta todo el resto del tráfico de la subred IPv4 a Transit Gateway.

Destino	Objetivo
$10.1.0.0/16$	local
$0.0.0.0/0$	tgw-id

(2) Tabla de enrutamiento de Transit Gateway

Ruta predeterminada donde la propagación de rutas está habilitada.

Destino	Objetivo	Tipo de ruta
$10.1.0.0/16$	Adjunto para VPC A	propagated
$10.2.0.0/16$	Accesorio para VPC B	propagated
$10.3.0.0/16$	Accesorio para VPC C	propagated
$10.99.99.0/24$	Adjunto para conexión VPN	propagated

Interoperabilidad de la red empresarial de Alibaba Cloud

Interoperabilidad de Internet en la nube de Tencent

3.3 Acceder a Internet

3.3.1 Puerta de enlace de Internet

La configuración para este escenario consta de una VPC con una única subred pública y una puerta de enlace de Internet para permitir la comunicación por Internet.

3.3.2 Puerta de enlace NAT

Las instancias de la subred pública pueden enviar tráfico saliente directamente a Internet y las instancias de la subred privada pueden acceder a Internet mediante una puerta de enlace de traducción de direcciones de red ( NAT) ubicada en la subred pública . NATPor ejemplo, una subred pública ejecuta una aplicación web pública y el servidor de la base de datos está ubicado en una subred privada sin exponer los servicios de back-end. De esta manera, el servidor de la base de datos puede usar una puerta de enlace NAT para conectarse a Internet para el software. actualizaciones, pero no se puede establecer Internet con el servidor de la base de datos.

3.4 Acceder a la red local

3.4.1 Conexión VPN

Una conexión VPN de sitio a sitio consta de dos túneles VPN entre una puerta de enlace privada virtual o una puerta de enlace de tránsito en la nube y el dispositivo de puerta de enlace del cliente ubicado en el centro de datosUn dispositivo de puerta de enlace de cliente es un dispositivo físico o de software que se configura en el lado del usuario de una conexión VPN de sitio a sitio.

3.4.2 Acceso a línea dedicada

Direct Connect vincula la red interna del usuario a la ubicación de Direct Connect a través de cables de fibra óptica Ethernet estándar. Un extremo del cable está conectado al enrutador del usuario y el otro extremo está conectado al enrutador Direct Connect . Con esta conexión implementada, los usuarios pueden crear conexiones directas a servicios en la nube, sin pasar por los proveedores de servicios de Internet en la ruta de la red. En la actualidad, los proveedores de la nube generalmente admiten dos tipos de acceso: uno es que el usuario se conecta directamente al punto de acceso de línea dedicada del proveedor de la nube, el otro es que el usuario se conecta al socio del proveedor de la nube y luego el socio se conecta al proveedor de la nube. Punto de acceso a línea dedicada.

3.4.3 Servicio de acceso SD_WAN

El servicio de acceso SD-WAN (SD-WAN Access Service) ayuda a múltiples sucursales a realizar fácilmente cualquier interconexión con la nube y el centro de datos. Tiene las características de plug-and-play, cobertura global, gestión y control inteligentes, etc., y proporciona una forma más simple y más Una ventanilla única confiable y más inteligente para múltiples sucursales empresariales. Una experiencia única de migración a la nube.

SD-WAN de AWS implementa los servicios SD-WAN de los socios en máquinas VPC y proporciona interoperabilidad entre Transit Gateway y otras instancias de la red en la nube. Alibaba Cloud y Tencent Cloud venderán equipos SD-WAN por separado.

Entre ellos, los dispositivos Edge tienen la forma de dispositivos de hardware y, después de instalarlos en los IDC, sucursales y tiendas de los usuarios, pueden conectarse automáticamente a la red en la nube.

3.5 Extender las redes locales a la nube

Nota: Este capítulo utiliza principalmente los servicios en la nube de AWS como introducción.

3.5.1 Ampliar los recursos de VPC a la zona de expansión local

Al asignar la subred de VPC a una zona local, se pueden ejecutar varios servicios en la nube en una ubicación geográfica cercana a los usuarios finales. La zona local tiene acceso local a Internet para reducir la latencia. Las zonas locales también admiten Direct Connect, lo que brinda a los usuarios la oportunidad de enrutar el tráfico a través de una conexión de red privada.

3.5.2 Ampliar los recursos de VPC a puestos avanzados

AWS Outposts es un servicio totalmente administrado que ofrece la misma infraestructura de nube, servicios de nube, API y herramientas a prácticamente cualquier centro de datos, espacio de colocación o instalación local para una experiencia híbrida verdaderamente consistente.

Outposts proporciona un conjunto de hardware y servicios en la nube. Para la red privada VPC, las subredes se asignan a Outposts. Hay dos modelos de interoperabilidad, uno es acceso a línea dedicada y el otro es para proporcionar interoperabilidad a Internet.

(1) Modo de línea dedicada

(2) modo de Internet

3.5.3 Ampliar los recursos de VPC al área de Wavelength

Wavelength puede implementar servicios informáticos y de almacenamiento estándar de AWS en el borde de las redes 5G de los operadores de telecomunicaciones. Los desarrolladores pueden extender una Amazon VPC a una o más regiones de Wavelength y luego utilizar EC2recursos de AWS, como instancias de Amazon Elastic Compute Cloud ( ), para ejecutar aplicaciones que requieren conectividad y latencia ultrabaja a los servicios de AWS en la región.

3.6 PrivateLink y VPC Endponit

Los puntos de enlace de VPC permiten a los usuarios conectar de forma privada una VPC a servicios en la nube compatibles y servicios de punto de enlace de VPC (con tecnología de PrivateLink) sin la necesidad de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión Direct Connect. Las instancias en una VPC no requieren direcciones IP públicas para comunicarse con los recursos del servicio. La comunicación entre la VPC y otros servicios no sale de la red en la nube. Por ejemplo, el servicio DNS proporcionado por el proveedor de servicios en la nube no necesita acceder al servicio DNS de Internet, y el acceso al servicio DNS se puede completar en el entorno interno del proveedor de servicios en la nube.

3.6.1 Punto final de la VPC

Los puntos de enlace de VPC permiten conexiones privadas entre la VPC de un usuario y los servicios en la nube, así como los servicios de punto de enlace de VPC impulsados ​​por PrivateLink.

Puntos finales de interfaz : una interfaz de red elástica con una dirección IP privada de un rango de direcciones IP de subred que sirve como punto de entrada para las comunicaciones enviadas a los servicios compatibles.

Las instancias de la subred 1 pueden comunicarse con Amazon Kinesis Data Streams a través del espacio de direcciones IP públicas en la región de AWS utilizando sus nombres DNS predeterminados.

En la imagen de arriba, el DNS privado está habilitado para el punto final. Las instancias de cualquiera de las subredes pueden enviar solicitudes a Amazon Kinesis Data Streams a través del punto de enlace de la interfaz utilizando el nombre de host DNS predeterminado o un nombre de host DNS específico del punto final.

Puntos finales de Gateway Load Balancer : es una puerta de enlace que sirve como destino de la ruta especificada en la tabla de enrutamiento para el tráfico enviado a servicios en la nube compatibles, como Amazon S3 de AWS, DynamoDB, COS de Tencent Cloud, CDB y otros servicios.

Las instancias de la subred 2 pueden acceder a Amazon S3 a través del punto de enlace de la puerta de enlace.

3.6.2 Enlace privado

Los proveedores de servicios crean sus propias aplicaciones en la VPC y las configuran como servicios respaldados por PrivateLink (también llamados servicios de punto final). Otros usuarios pueden utilizar el punto final de la VPC de interfaz para crear conexiones entre su VPC y su servicio de punto final.

Los proveedores de servicios PrivateLink configuran instancias del servicio que se ejecutan en sus VPC, con Network Load Balancers como front-end, conectando el emparejamiento de VPC intrarregional (VPC en la misma región) y el emparejamiento de VPC entre regiones (VPC en diferentes regiones). junto con PrivateLink permite el acceso privado a los consumidores a través de conexiones de peering de VPC.

4. Comparación de VPC de proveedores de nube

Para VPC, los principales proveedores de nube tienen básicamente funciones e implementaciones similares. En términos de conexión VPC, las funciones básicas de los proveedores de la nube también son similares, con detalles sutiles del producto y capacidades de producto parcialmente diferentes.

4.1 Diferencias entre redes privadas

Google Cloud PlatformGCPLa red privada de ( ) es diferente a la de otros proveedores de nube. Características de GCP VPC:

• Las redes de VPC, incluidas sus reglas de firewall y enrutamiento asociadas, son recursos globales y no están vinculadas a ninguna región o región específica.
• Las subredes son recursos regionales. Cada subred define un rango de direcciones IP.

4.2 Diferencias en el acceso a línea dedicada

Los proveedores nacionales de nube Alibaba Cloud y Tencent Cloud admitirán el enrutamiento estático y el enrutamiento dinámico BGP para acceso a líneas dedicadas, mientras que AWS solo admite el enrutamiento dinámico BGP. También existen diferencias en cuanto a si el acceso a línea dedicada admite NAT.

4.3 Transit Gateway o redes en la nube

Actualmente, Transit Gateway es responsable de la conexión e interoperabilidad de las instancias de la red local. Se requiere Transit Gateway Peering para cruzar regiones. La red en la nube de Tencent Cloud y la red empresarial en la nube de Alibaba Cloud pueden admitir la conexión y la interoperabilidad de instancias de red en diferentes regiones. En términos de control de enrutamiento, AWS utiliza múltiples tablas de enrutamiento y la granularidad del control es más fina.

4.4 Servicio de acceso SD-WAN

SD-WAN de AWS implementa los servicios SD-WAN de los socios en máquinas VPC y proporciona interoperabilidad entre Transit Gateway y otras instancias de la red en la nube. Alibaba Cloud y Tencent Cloud venderán equipos SD-WAN por separado.

5. Resumen y perspectivas

Como una de las infraestructuras de capa IaaS, la VPC de red privada desempeña un papel similar en la economía nacional a las carreteras o los trenes de alta velocidad. Ha estado persiguiendo constantemente la visión de la nube de alta velocidad y la interconexión global, y el desarrollo de la VPC de red privada. en la nube es la infraestructura de la nube y un fiel reflejo de la continua expansión y mejora de los servicios. Se cree que la red privada VPC continuará expandiendo nuevos escenarios de aplicaciones y servicios en el futuro, facilitando la interconexión eficiente e inteligente de servicios dentro y fuera de la nube.