解开混合云网络困惑

亚马逊VPC是混合云拼图中不可或缺的一部分,它使企业能够控制公有云配置,同时又可以安全地连接到私有数据中心。

安全性和控制历来都是企业高管和IT专业人士在考虑使用公有云服务时的两大担忧。而这一问题在网络方面最严重,IT团队需要在混合云网络中能够控制公有云基础架构的配置以及到私有数据中心的连接安全性。

这些类型的网络拓扑结构可以很复杂。在一个多层次的设计中应用分散到各个系统,而在每个应用层中都有不同的安全要求。这意味着,各个系统必须在不同的网段中相互隔离,而这在标准云服务中是不可能的。

同样的,无论有多积极的采用AWS,大部分企业都将在相当长的一段时间内仍然在私有数据中心或是托管设施中保留本地的遗留系统。这些系统必须与基于云的资源共享数据,而防火墙和路由器的策略则会小心地控制流量。

在完全拥抱公有云之前,大多数企业需要确保他们可以为云托管的应用建立并控制复杂的网络。同样,他们也必须确保敏感业务信息不会公开的在互联网上传播。正因为如此,亚马逊创建了亚马逊虚拟私有云(VPC),一个提供了设计的灵活性和控制的虚拟私有网络,能够在混合云网络中安全地衔接AWS基础架构和企业数据中心。

VPC VS. 私有云

亚马逊VPC基本上赋予了企业构建私有网络的能力;然而,当与预留实例组合起来时,它便成为一个极为类似私有云的存在。VPC提供了一个独立的网络沙箱,给予AWS用户网络配置方面的完全控制,包括子网创建和寻址,路由表,网络网关和安全设置等。子网自始至终都是私有的,无论他们是否拥有一个网络地址转换(NAT)和一个可路由地址的公共互联网网关。

有了VPC,AWS用户便获得了一个虚拟路由器,可以创建多个相互隔离的子网,这些子网能够运行AWS的资源,如弹性计算云(EC2),弹性块存储和关系数据库服务。VPC端点允许用户不必使用NAT和互联网网关就能创建VPC子网和任何AWS产品之间的专用连接。例如,管理员可以在VPC中以更简单的方式从一个EC2实例访问简单存储服务,只要创建一个VPC端点并指定能够访问的bucket,对象和API。

亚马逊VPC提供了比默认的EC2环境更大的网络设置控制权。亚马逊VPC提供了:

为实例分配静态的,在停止和重新启动后仍然保持相同IP的能力。

支持每个实例有多个IP地址,包括多个网络接口。例如,一个实例可以同时存在于多个VPC中。

在运行的时候更改实例的安全组成员的能力。

每个EC2实例的入站和出站的流量过滤和访问控制列表的支持。

支持EC2专用主机和专用实例。

VPC搭配一个虚拟专用网关就组成了混合云网络的基础。类似于互联网的网关,虚拟专用网关提供了一个公开的可路由IP以及通往外部客户的路径,虚拟专用网关则通过一个IPSec的VPN来连接亚马逊VPC和远程数据中心。网关则使用VPN端点连接到VPC虚拟路由器和一个或多个客户网络。这些端点可以是虚拟或物理的设备,诸如思科ISR,Juniper SRX、SonicWALL防火墙或是一个Fortinet UTM设备。

VPC和私有网络之间的连接可以是路由表定义的静态连接,或使用边界网关协议(BGP)的动态连接。根据VPC的文档,如果使用了“一个BGP设备,你不需要替VPN连接指定静态路由,因为设备会使用BGP来广播路由给虚拟专用网关。如果你使用的设备不支持BGP,则必须选择静态路由,并替你的网络输入应该要传达给虚拟专用网关的路由(IP前缀)。”

VPC 联手AWS Direct Connect

VPC是AWS Direct Connect的一个必要补充,它提供了AWS和一个组织内部的基础架构之间的私有物理层的网络连接,无论这个基础架构是驻留在私有数据中心或是托管设施中。管理员可以从主流电信运营商现有的多协议标签交换WAN来配置Direct Connect连接。

从概念上讲,VPC加Direct Connect与在公共互联网上使用IPSec VPN是一样的,但企业会体验到更好的性能,更快的带宽(高达10 Gbps),更低的延迟(通常远小于10毫秒),以及更可靠的网络质量。就像使用VPN一样,Direct Connect连接到AWS的虚拟路由器,经由那里,流量可以基于静态或动态路由的策略被发送到一个或更多的VPC上。

其他云竞争者的VPN选项

微软Azure和谷歌云平台都提供类似的服务,允许企业IT创建多个私有虚拟子网,支持可配置的路由策略,公共互联网网关,NAT,VPN隧道。类似AWS,Azure和谷歌云平台也都提供支持BGP的虚拟路由器,能在公有和私有网络之间做出复杂的动态路由策略。因此,假设该VPN终端的专用端是一个路由器,而不是一个简单的VPN网关设备,这两个服务会连接任何私有网络到云中的一个或多个虚拟子网。

推荐和用例

亚马逊VPC,或者同等的Azure和谷歌服务,是任何想要在云中部署复杂的,多层次拓扑结构的多应用的组织的要求。VPC搭配一个VPN网络和直连对于在云应用和本地资源,如数据库,文件存储或遗留应用,之间建立一个可靠,安全的连接来说是不可或缺的。

VPC联网概念对任何IT网络专家来说应该是很熟悉的,所以主要的学习曲线涉及到理解云管理控制台或命令行界面。将一个远程的VPC连接到关键任务的企业网络,特别是当使用BGP的时候,并不是一个简单的工作。管理员正式涉足混合云网络之前,应该学习基础的知识,不断测试,并保有足够的谨慎。

本文作者:佚名

来源:51CTO

时间: 2024-08-08 16:11:37

解开混合云网络困惑的相关文章

VMware出新招 混合云网络才是NSX的未来

VMware针对NSX的规划可能会改变公司的业务模式以及云计算的既有概念,但实施该愿景并让用户肯付费购买仍旧面临着挑战. 在VMware 2015年第四季度的电话会议中,VMware CEO Pat Gelsinger说VMware将引入全新的NSX产品,使顾客能够在公有云包括AWS.Azure以及本地数据中心之间创建安全.加密的overlay网络. Gelsinger 说NSX的新版本将在今年年底推出,承诺允许用户在AWS工作负载中增加NSX安全性以及网络抽象层.为进一步了解该技术的工作原理,

混合云网络面临挑战 SDN或成解决方案

虽然在云端运行IT服务的好处显而易见,但是在完全实现弹性云的承诺之前,仍旧有很多重要的挑战需要克服.这些挑战的性质不同,影响云网络.计算资源和存储,而且可能最关键的地方在于必须在混合云部署中解决问题. 在混合云设置中,服务的一部分运行在客户的设备中,还有一部分运行在服务提供商的云中.工作负载分割成具体的规格,企业通常基于性能.可用性.隐私性.成本和其他的考量因素,来确定服务元素在哪里运行.然而迄今为止,很多客户在混合云实施时感到犹豫,因为担心这个部署模型是否能够符合自己的需求. 为了突出这个亟待

阿里云推出VPN网关 混合云网络成本暴降85%

2017年5月23日,在云栖大会·成都峰会上,阿里云推出了适用于金融.游戏.医疗.制造等混合云热门领域的全新网络服务------VPN网关,为企业构建高效的混合云提供了新选择.在VPN网关的支持下,企业可以在几分钟内完成企业数据中心与VPC之间的网络搭建,就好像柏油路通到家门口一样便利,在保证数据传输安全可靠的同时大幅降低了企业的成本.相比专线方案,可节省85%的费用.     据悉,阿里云VPN网关采用了IKE(秘钥交换协议)和IPsec的金融级别加密,仅需10分钟即可完成自建数据中心与云上V

VPN网关最佳实践系列(三)如何配置与华三H3C防火墙连接,构建混合云网络

新华三公司拥有诸多系列的网络安全产品,其中的防火墙产品系列是目前广泛被企业采用的数据中心安全产品.经过测试,阿里云VPN网关完全兼容H3C的企业防火墙产品.通过配置这两款产品,企业能够快速打通从云下到云上的数据通信,安全构建混合云的网络基础架构.本文罗列了从头到尾的产品配置步骤,供大家参考. 顺便提一下,阿里云VPN网关9月到11月推出半价体验优惠活动,详情请见 https://promotion.aliyun.com/ntms/act/vpngateway.html 规划和准备 部署VPN网关

深度解读:ZStack混合云如何实现网络互联互通?

近年来,得益于SDN的快速发展,数据中心建设不再与用户业务绑定,而将网络互联的任务交给IaaS服务商来完成.ZStack做为IaaS云服务商中的一员,从ZStack 1.8版本开始,ZStack云路由就开始承担起日益复杂的网络建设任务.随着越来越多的用户将业务迁移云上,ZStack也开始支持越来越多复杂的网络功能.  部署混合云,网络打通是难点 从当前市场趋势以及Gartner.IDC等权威调研机构的研究显示,已经有越来越多的企业将目光从私有云转向混合云.然而,部署混合云意味着业务将面临更加复杂

阿里云网络技术在线高峰论坛回顾出炉:PDF+视频!

2017阿里云网络技术在线高峰论坛顺利结束,下面是本次活动回顾资料. 提示:目前回顾持续生成中,敬请保持关注. 阿里云ECS网络增强型实例设计原理--李星 / 阿里云高级技术专家 议题简介:为了满足直播.游戏.Hadoop.消息中间件等对网络转发能力有非常高要求的用户场景,主流的云计算厂商都推出了针对网络性能优化的虚拟机实例.如何实现高性能.低延迟.少抖动的虚拟机网络性能,一直都是非常有挑战的问题,业界的有多种实现的方法,但是都各有利弊. 本次分享会重点介绍阿里云的网络增强型的解决方案和思考,包

上云实践之使用VPN网关轻松构建混合云

在2017阿里云网络技术高峰论坛上,阿里云VPN网关产品经理奈玟分享主题<使用VPN网关轻松构建混合云>.奈玟,阿里云VPN网关产品经理,有七年的网络相关开发和设计经验,最开始是做传统网络路由器交换机的传统协议,2012年在传统交换机上实现了OpenFlow 1.0协议,由此开始转到云网络.本文介绍的内容包括混合云概念.混合云私网构建.VPN网关产品简介和应用场景以及VPN网关搭建混合云架构的实战演示. 混合云简介 十年前,几乎所有的IT企业都是选择自建IDC,但是自建IDC十分复杂且成本巨大

杨曦:老司机谈混合云的接入正确姿势

混合云的接入正确姿势 在今年的双11场景下,混合云产品很好的支撑集团大促业务,而在混合云的实践过程中,如何将传统的IDC机房接入公共云,并使两者非常好的配合起来工作,这是一个非常重要的话题,可以说,关系到混合云的成败. 不仅仅是双11,混合云未来会应用在各种各样的场景中,今天的老司机是阿里云的网络大牛杨曦,今年已经是杨曦参加的第五个双11,老司机将和大家谈谈混合云接入的正确姿势和那些年遇到过的坑. 谈谈混合云的两个关键: 第一个坑是安全,业务搬到公共云上第一个遇到挑战的就是安全问题,如果没有正确

基于SDN的云网协同是运营商混合云组网利器

中国电信股份有限公司北京研究院.中国电信云计算及SDx联合技术开放实验室王峰日前,未来"云网协同"成为运营商网络SDN引入的重要驱动力,基于SDN的云网协同是运营商混合云组网利器 . 王峰表示,业务驱动是运营商网络引入新技术的必要前提,为此中国电信积极实践,在数据中心内网络.数据中心间网络和混合云网络三方面发力,满足云业务对网络产生的新需求. 在数据中心内网络,云资源池支持租户网络隔离, 满足虚拟机迁移等网络需求, 支持用户业务创新:和计算&存储资源的交付联动,支持网络资源的灵