[Computação em nuvem] VPC de nuvem privada virtual

1. Introdução

O nome completo do VPC é nuvem privada virtualVirtual Private Cloud quando traduzido para o chinês . Mas em alguns casos também se traduz em rede privada ou rede dedicada , etc. Isso pode inevitavelmente causar confusão: VPC se refere à nuvem ou à rede? Na verdade, o VPC é um modelo de nuvem e de rede, mas isso deve ser visto sob as perspectivas de serviço e tecnologia, respectivamente.

1.1 Introdução básica

Do ponto de vista do serviço, VPC refere-se a uma nuvem, a um serviço de computação em nuvem e a um recurso que é executado em uma nuvem pública e isola uma parte dos recursos da nuvem pública para um usuário usar de forma privada. É gerenciado pela nuvem pública e funciona com recursos públicos, mas garante que os recursos entre cada usuário sejam isolados.Os usuários não são afetados por outros usuários ao usá-lo e sentem que estão usando sua própria nuvem privada.

Nesse sentido, VPC não é uma rede, podemos comparar VPC com um conceito literalmente semelhante: VPN( Virtual Private Network). A VPN isola virtualmente as redes dos usuários nos recursos da rede pública, por exemplo, IPsec VPNpode construir túneis conectando as redes privadas dos usuários na Internet MPLS VPNou dividir diretamente VRFs isolados no equipamento PE da operadora para diferentes usuários. Do ponto de vista da prestação de serviços, se VPC se refere apenas à rede, então é o mesmo conceito que VPN. Portanto, sob a perspectiva dos serviços prestados pela nuvem pública, VPC deve ser entendido como um conjunto de recursos isolados fornecidos aos usuários.

Os usuários podem criar uma ou mais VPCs na nuvem pública, uma VPC para cada departamento. Crie conexões VPC para departamentos que precisam de conectividade. Ao mesmo tempo, os usuários também podem conectar seu data center interno ao VPC na nuvem pública por meio de VPN para formar uma nuvem híbrida. Independentemente do caso de uso, o VPC permite que os usuários projetem como armazenar seus dados na nuvem pública de uma forma mais intuitiva.

Do ponto de vista técnico, o VPC é uma rede de camada 2 exclusiva para usuários.

1.2 O papel da VPC

Os usuários podem gerenciar e configurar facilmente redes internas por meio de VPC e fazer alterações de rede rápidas e seguras. Ao mesmo tempo, os usuários podem personalizar regras de acesso para servidores de nuvem elástica dentro de grupos de segurança e entre grupos para fortalecer a proteção de segurança de servidores de nuvem elástica.

1.3 Grupos aplicáveis ​​de VPC

O VPC foi projetado para clientes interessados ​​em aproveitar os benefícios da computação em nuvem, mas que têm preocupações sobre determinados aspectos da nuvem. Para atender às necessidades dos clientes, muitos provedores de nuvem pública projetam uma VPC que fornece uma parte da infraestrutura pública do provedor, mas com servidores de nuvem dedicados, redes virtuais, armazenamento em nuvem e endereços de ID privados reservados para clientes de VPC.

Em geral, um VPC é um serviço de computação em nuvem. Às vezes também é chamado de " nuvem privada ", mas há diferenças sutis porque um VPC é uma nuvem privada fornecida por meio de uma infraestrutura de um provedor terceirizado, e não pela infraestrutura de TI da empresa. .

A nuvem privada virtual cria um ambiente de rede virtual isolado e privado para recursos de nuvem, como servidores em nuvem, contêineres em nuvem e bancos de dados em nuvem. Você pode controlar totalmente sua própria rede privada, e as funções avançadas do VPC ajudam a gerenciar com flexibilidade sua rede na nuvem, incluindo a criação de sub-redes, a configuração de grupos de segurança e ACLs de rede, o gerenciamento de tabelas de roteamento e a solicitação de IP público elástico e largura de banda. Além disso, você pode interconectar VPC com data centers tradicionais por meio de linhas dedicadas em nuvem, VPN e outros serviços, integrar recursos de maneira flexível e construir uma rede de nuvem híbrida.

A VPC usa tecnologia de virtualização de rede para garantir segurança, estabilidade e alta disponibilidade de rede por meio de redundância de link, clusters de gateway distribuídos, implantação multi-AZ e outras tecnologias.

2. Conceitos básicos de VPC

Uma rede privada virtual (Virtual Private Cloud,VPC) é um espaço de rede exclusivo construído pelos usuários. Os recursos da nuvem podem ser implantados na rede virtual, que é muito semelhante à rede tradicional executada no data center. Isolamento lógico completo entre diferentes redes privadas. Os usuários podem personalizar o ambiente de rede, incluindo a seleção de seu próprio intervalo de endereços IP, a criação de sub-redes e a configuração de tabelas de roteamento e gateways de rede. Ao mesmo tempo, a rede privada oferece suporte a várias maneiras de se conectar à Internet, a outras VPCs e a centros de dados locais. .

2.1 Conceitos básicos relacionados ao VPC

VPC CIDR : Classless Inter-Domain Routing (Classless Inter-Domain Routing) é um método de classificação de endereços IP para atribuir endereços IP a usuários e rotear pacotes IP de forma eficiente na Internet. O CIDR da VPC de um fornecedor de nuvem geralmente requer o intervalo de endereços IP privados (não roteáveis ​​publicamente) especificado na RFC 1918.

Ao mesmo tempo, os fornecedores de nuvem também oferecem suporte a endereços de rede IPV6. Para limitar a escala de IP das redes privadas, geralmente são suportados endereços de 16 bits, como ou.Para 10.0.0.0/16expandir 192.168.0.0/16o número de IPs em um único espaço VPC, alguns fornecedores de nuvem suportam a função de vários CIDRs em um VPC. Conforme mostrado na figura abaixo, o VPC 10.0.0.0/16se expande de , para 10.0.0.0/16e 10.2.0.0/16.

Sub-rede : um intervalo de endereços IP dentro de uma VPC. A sub-rede geralmente recebe um CIDR de sub-rede do CIDR da VPC. Por exemplo, o CIDR da VPC é e a sub-redeé10.0.0.0/16atribuída a10.0.0.0/24.10.0.1.0/24

Interfaces de rede elásticas : endereços IP que permitem que recursos em uma VPC se comuniquem entre si e com recursos na Internet. Cada instância na VPC tem uma interface de rede padrão (a interface de rede primária), à qual é atribuído um endereço IPv4 privado dentro do intervalo de endereços IPv4 da VPC. Geralmente, os usuários não podem desconectar a interface de rede principal de uma instância (por exemplo, uma escrava), mas podem criar interfaces de rede adicionais e montá-las em qualquer instância da VPC. Ao mover uma interface de rede de uma instância para outra, o tráfego de rede é também redirecionado para a nova instância. A instância da VPC inclui as seguintes interfaces de rede virtual:

• Um endereço IPv4 privado primário
• Um ou mais endereços IPv4 privados secundários
• Um endereço IP elástico por endereço IPv4 privado
• eth0Um endereço IPv4 público que pode ser atribuído automaticamente à interface de rede ao iniciar uma instância
• Um ou mais endereços IPv6
• Um ou mais grupos de segurança
• Endereço MAC

Tabela de roteamento : um conjunto de regras chamadas “ rotas ” que determinam para onde enviar o tráfego de rede. Cada sub-rede deve estar associada a uma tabela de rotas que especifica as rotas disponíveis que permitem que o tráfego de saída saia da sub-rede. Cada sub-rede é automaticamente associada à tabela de rotas principal da VPC, conforme mostrado na tabela a seguir.

Destino	Alvo
$10.0.0.0/16$	local

Os usuários também podem personalizar tabelas de roteamento e políticas de roteamento para controlar o encaminhamento do tráfego.Conforme mostrado na figura abaixo, diferentes tabelas de roteamento têm diferentes caminhos de encaminhamento para o tráfego de rede. onde igw-idrepresenta o ID do gateway da Internet .

Gateway de rede : um gateway conectado a uma VPC que permite a comunicação entre recursos na VPC e na Internet. Por exemplo, gateways de Internet , dispositivos NAT conectam a VPC à Internet, conexões VPN ou conexões Direct Connect conectam a VPC à rede local do usuário.

VPC Endpoint (endpoint): conecte sua VPC de forma privada aos serviços de nuvem suportados e ao serviço VPC Endpoint (desenvolvido por PrivateLink) sem a necessidade de um gateway de Internet, dispositivo NAT, conexão VPN ou conexão Direct Connect. As instâncias em uma VPC não exigem endereços IP públicos para se comunicarem com recursos no serviço.

2.2 Outros conceitos básicos relacionados

Região : Regiões ou grandes regiões são isoladas umas das outras para alcançar máxima tolerância a falhas e estabilidade.

Zonas de Disponibilidade : Cada região possui vários locais isolados chamados Zonas de Disponibilidade . Ao iniciar uma instância, os usuários podem selecionar uma zona de disponibilidade. Se as instâncias estiverem espalhadas por várias zonas de disponibilidade e uma delas falhar, seu aplicativo poderá ser projetado para que uma instância em outra zona de disponibilidade possa lidar com a solicitação.

Zonas locais : atualmente a AWS oferece suporte a zonas locais. Zonas locais são extensões de regiões da AWS que estão geograficamente próximas dos seus usuários. A zona local tem sua própria conexão com a Internet e oferece suporte ao AWS Direct Connect, portanto, os recursos criados na zona local podem fornecer comunicação de latência ultrabaixa aos usuários locais.

Zonas de comprimento de onda : atualmente a AWS oferece suporte a zonas de comprimento de onda. Usando o AWS Wavelength, os desenvolvedores podem criar aplicativos de latência ultrabaixa para dispositivos móveis e usuários finais. A Wavelength pode implantar serviços de computação e armazenamento padrão da AWS na borda das redes 5G das operadoras de telecomunicações. Os desenvolvedores podem estender uma VPC para uma ou mais regiões do Wavelength e, em seguida, usar recursos da AWS, como instâncias do Amazon EC2, para executar aplicativos que exigem latência ultrabaixa e conectividade com serviços da AWS na região.

3. Cenário de comunicação VPC

Este capítulo apresenta principalmente os cenários de comunicação do VPC.

3.1 Intercomunicação interna VPC

Por padrão, as máquinas escravas na mesma sub-rede da VPC podem se comunicar entre si. Por exemplo, a 10.0.0.0/16sub-rede da VPC 10.0.0.0/24e 10.0.1.0/24a tabela de roteamento associada terão uma 10.0.0.0/16política de roteamento com o segmento de rede de destino como Local e o Destino como Local.

Destino	Alvo
$10.0.0.0/16$	local
$2001:db8\_:1234:1h00\_\_::/56$	tgw-id

Você pode configurar grupos de segurança ( Security Group) e ACLs para evitar que máquinas na mesma VPC se comuniquem entre si.

3.2 Intercomunicação entre VPCs

3.2.1 Conexão ponto a ponto

Uma conexão de peering de VPC é uma conexão de rede entre duas VPCs que permite aos usuários rotear o tráfego entre as duas VPCs usando endereços IPv4 privados ou endereços IPv6. As instâncias nas duas VPCs podem se comunicar entre si como se estivessem na mesma rede. Os usuários podem criar conexões de peering de VPC entre suas próprias VPCs ou entre suas próprias VPCs e VPCs em outras contas. As VPCs podem estar localizadasRegionem regiões diferentes ( ).

3.2.2 Transit Gateway ou rede em nuvem

O Transit Gateway da AWS é um centro de trânsito de rede que pode ser usado para interconectar VPCs e redes locais . Um produto semelhante ao Alibaba Cloud é o Cloud Enterprise Network , e um produto semelhante ao Tencent Cloud é o Cloud Network .

Cada VPC possui uma tabela de rotas e o Transit Gateway possui uma tabela de rotas.

(1) Tabela de roteamento VPC

Cada VPC possui uma tabela de rotas com 2 entradas. A primeira entrada é a entrada padrão para roteamento IPv4 local na VPC; essa entrada permite que instâncias nesta VPC se comuniquem entre si. A segunda entrada roteia todo o outro tráfego de sub-rede IPv4 para o Transit Gateway.

Destino	Alvo
$10.1.0.0/16$	local
$0.0.0.0/0$	tgw-id

(2) Tabela de roteamento do Transit Gateway

Rota padrão onde a propagação de rota está habilitada.

Destino	Alvo	Tipo de rota
$10.1.0.0/16$	Anexo para VPC A	propagated
$10.2.0.0/16$	Anexo para VPC B	propagated
$10.3.0.0/16$	Anexo para VPC C	propagated
$10.99.99.0/24$	Anexo para conexão VPN	propagated

Interoperabilidade de rede empresarial do Alibaba Cloud

Interoperabilidade da Internet na Nuvem Tencent

3.3 Acesse a Internet

3.3.1 Gateway de Internet

A configuração deste cenário consiste em uma VPC com uma única sub-rede pública e um gateway de Internet para permitir a comunicação pela Internet.

3.3.2 Gateway NAT

As instâncias na sub-rede pública podem enviar tráfego de saída diretamente para a Internet, e as instâncias na sub-rede privada podem acessar a Internet usando um gateway NAT ( Network Address Translation) localizado na sub-rede pública . NATPor exemplo, uma sub-rede pública executa uma aplicação web voltada para o público e o servidor de banco de dados está localizado em uma sub-rede privada sem expor serviços de back-end. Desta forma, o servidor de banco de dados pode usar um gateway NAT para se conectar à Internet para software atualizações, mas a Internet não pode ser estabelecida com o servidor de banco de dados.

3.4 Acesse a rede local

3.4.1 Conexão VPN

Uma conexão VPN site a site consiste em dois túneis VPN entre um gateway privado virtual ou gateway de trânsito na nuvem e o dispositivo de gateway do cliente localizado no data centerUm dispositivo de gateway do cliente é um dispositivo físico ou de software configurado no lado do usuário de uma conexão VPN site a site.

3.4.2 Acesso à linha dedicada

O Direct Connect conecta a rede interna do usuário ao local do Direct Connect por meio de cabos de fibra óptica Ethernet padrão. Uma extremidade do cabo está conectada ao roteador do usuário e a outra extremidade está conectada ao roteador Direct Connect . Com essa conexão instalada, os usuários podem criar conexões diretas com serviços em nuvem, ignorando os provedores de serviços de Internet no caminho da rede. Atualmente, os fornecedores de nuvem geralmente oferecem suporte a dois tipos de acesso: um é que o usuário se conecta diretamente ao ponto de acesso de linha dedicado do fornecedor de nuvem; o outro é que o usuário se conecta ao parceiro do fornecedor de nuvem e, em seguida, o parceiro se conecta ao fornecedor de nuvem ponto de acesso de linha dedicado.

3.4.3 Serviço de acesso SD_WAN

O serviço de acesso SD-WAN (SD-WAN Access Service) ajuda múltiplas filiais a realizar facilmente qualquer interconexão com a nuvem e o data center. Possui características de plug-and-play, cobertura global, gerenciamento e controle inteligentes, etc., e fornece um serviço mais simples e mais confiável e mais inteligente, centralizado para diversas filiais empresariais. Uma experiência única de migração para a nuvem.

O SD-WAN da AWS implanta serviços SD-WAN de parceiros em máquinas VPC e fornece interoperabilidade entre Transit Gateway e outras instâncias da rede em nuvem. Alibaba Cloud e Tencent Cloud venderão equipamentos SD-WAN separadamente.

Entre eles, os dispositivos Edge estão na forma de dispositivos de hardware, após a instalação dos dispositivos Edge nos IDCs, filiais e lojas dos usuários, eles podem se conectar automaticamente à rede em nuvem.

3.5 Estender redes locais para a nuvem

Nota: Este capítulo usa principalmente serviços em nuvem AWS para introdução.

3.5.1 Expandir recursos VPC para zona de expansão local

Ao atribuir a sub-rede VPC a uma zona local, vários serviços em nuvem podem ser executados em uma localização geográfica próxima aos usuários finais. A zona local possui acesso local à Internet para reduzir a latência. As zonas locais também oferecem suporte ao Direct Connect, dando aos usuários a oportunidade de rotear o tráfego por meio de uma conexão de rede privada.

3.5.2 Expandir recursos VPC para Outposts

O AWS Outposts é um serviço totalmente gerenciado que oferece a mesma infraestrutura de nuvem, serviços de nuvem, APIs e ferramentas para praticamente qualquer data center, espaço de colocation ou instalação local para uma experiência híbrida verdadeiramente consistente.

O Outposts fornece um conjunto de hardware e serviços em nuvem. Para redes VPC privadas, as sub-redes são alocadas aos Outposts. Existem dois modelos de interoperabilidade, um é o acesso de linha dedicada e o outro é fornecer interoperabilidade com a Internet.

(1) Modo de linha dedicada

(2) modo Internet

3.5.3 Estender recursos VPC para a área Wavelength

A Wavelength pode implantar serviços de computação e armazenamento padrão da AWS na borda das redes 5G das operadoras de telecomunicações. Os desenvolvedores podem estender uma Amazon VPC para uma ou mais regiões do Wavelength e, em seguida, usar EC2recursos da AWS, como instâncias do Amazon Elastic Compute Cloud ( ), para executar aplicativos que exigem latência ultrabaixa e conectividade com serviços da AWS na região.

3.6 PrivateLink e VPC Endponit

Os VPC endpoints permitem que os usuários conectem de forma privada um VPC a serviços de nuvem suportados e serviços de VPC endpoint (alimentados por PrivateLink) sem a necessidade de um gateway de Internet, dispositivo NAT, conexão VPN ou conexão Direct Connect. As instâncias em uma VPC não exigem endereços IP públicos para se comunicarem com recursos no serviço. A comunicação entre a VPC e outros serviços não sai da rede na nuvem. Por exemplo, o serviço DNS fornecido pelo provedor de serviços em nuvem não precisa acessar o serviço DNS da Internet. O acesso ao serviço DNS pode ser concluído no ambiente interno do provedor de serviços em nuvem.

3.6.1 Ponto final VPC

Os VPC endpoints permitem conexões privadas entre o VPC de um usuário e os serviços de nuvem, bem como serviços de VPC endpoint com tecnologia PrivateLink.

Terminais de interface : uma interface de rede elástica com um endereço IP privado de um intervalo de endereços IP de sub-rede que serve como ponto de entrada para comunicações enviadas para serviços suportados.

As instâncias na sub-rede 1 podem se comunicar com o Amazon Kinesis Data Streams por meio do espaço de endereço IP público na região da AWS usando seus nomes DNS padrão.

Na imagem acima, o DNS privado está habilitado para o endpoint. As instâncias em qualquer sub-rede podem enviar solicitações ao Amazon Kinesis Data Streams por meio do endpoint da interface usando o nome de host DNS padrão ou um nome de host DNS específico do endpoint.

Gateway Load Balancer Endpoints : É um gateway que serve como destino da rota especificada na tabela de roteamento para o tráfego enviado para serviços de nuvem suportados, como Amazon S3 da AWS, DynamoDB, COS da Tencent Cloud, CDB e outros serviços.

As instâncias na sub-rede 2 podem acessar o Amazon S3 por meio do endpoint do gateway.

3.6.2 Link Privado

Os provedores de serviços criam seus próprios aplicativos na VPC e os configuram como serviços apoiados pelo PrivateLink (também chamados de serviços de endpoint). Outros usuários podem usar o VPC endpoint de interface para criar conexões entre a VPC e o serviço do endpoint.

Os provedores de serviços PrivateLink configuram instâncias do serviço em execução em suas VPCs, com Network Load Balancers como front-ends, conectando peering de VPC intrarregional (VPCs na mesma região) e peering de VPC entre regiões (VPCs em regiões diferentes). em conjunto com o PrivateLink permite acesso privado aos consumidores em conexões de peering de VPC.

4. Comparação de VPCs de fornecedores de nuvem

Para VPC, os principais fornecedores de nuvem têm basicamente funções e implementações semelhantes. Em termos de conexão VPC, as funções básicas dos fornecedores de nuvem também são semelhantes, com detalhes sutis do produto e recursos de produto parcialmente diferentes.

4.1 Diferenças entre redes privadas

Google Cloud PlatformGCPA rede privada de ( ) é diferente de outros fornecedores de nuvem. Recursos do GCP VPC:

• As redes VPC, incluindo suas regras de roteamento e firewall associadas, são recursos globais e não estão vinculadas a nenhuma região ou região específica.
• Sub-redes são recursos regionais. Cada sub-rede define um intervalo de endereços IP.

4.2 Diferenças no acesso à linha dedicada

Os fornecedores domésticos de nuvem Alibaba Cloud e Tencent Cloud oferecerão suporte ao roteamento estático e roteamento dinâmico BGP para acesso de linha dedicada, enquanto a AWS oferece suporte apenas ao roteamento dinâmico BGP. Também existem diferenças sobre se o acesso à linha dedicada suporta NAT.

4.3 Transit Gateway ou rede em nuvem

Atualmente, o Transit Gateway é responsável pela conexão e interoperabilidade das instâncias de rede local. O peering do Transit Gateway é necessário para cruzar regiões. A Cloud Network da Tencent Cloud e a Cloud Enterprise Network da Alibaba Cloud podem oferecer suporte à conexão e interoperabilidade de instâncias de rede em diferentes regiões. Em termos de controle de roteamento, a AWS usa várias tabelas de roteamento e a granularidade do controle é mais refinada.

4.4 Serviço de acesso SD-WAN

O SD-WAN da AWS implanta serviços SD-WAN de parceiros em máquinas VPC e fornece interoperabilidade entre Transit Gateway e outras instâncias da rede em nuvem. Alibaba Cloud e Tencent Cloud venderão equipamentos SD-WAN separadamente.

5. Resumo e perspectivas

Como uma das infra-estruturas da camada IaaS, a rede privada VPC desempenha um papel semelhante na economia nacional como as auto-estradas ou comboios de alta velocidade.Tem perseguido constantemente a visão da nuvem de alta velocidade e da interconexão global, e o desenvolvimento da rede privada VPC na nuvem é a infraestrutura em nuvem e um verdadeiro reflexo da contínua expansão e melhoria dos serviços. Acredita-se que a rede privada VPC continuará a expandir novos cenários de aplicações e serviços no futuro, facilitando a interconexão eficiente e inteligente de serviços dentro e fora da nuvem.