什么是虚拟私有云 (VPC)？

VPC 让企业能够定义和控制在逻辑上与所有其他公有云租户隔离的虚拟网络，从而在公有云上创建私有安全空间。

想象一下，云供应商的基础架构就像是一栋住宅公寓楼，里面居住着多户家庭。成为公有云租户就好比与几个室友合租一间公寓。相比之下，拥有 VPC 好比拥有自己的私人公寓，其他人没有钥匙，任何人未经您的许可都无法进入该空间。

VPC 使用虚拟网络功能和安全功能来实现逻辑隔离，使企业客户能够精细控制哪些 IP 地址或云应用程序可以存取特定资源。此功能类似于社交媒体账户上的“仅限好友”或“公开/私密”控制，用于限制哪些人可以看到您原本公开的帖子。

VPC 属于基础架构即服务 (IaaS) 类别，与平台即服务 (PaaS)、软件即服务 (SaaS) 和无服务器并列为四大最流行的云服务产品。所有顶级云服务提供商都提供 VPC 解决方案，包括 Amazon Web Services (AWS)、Microsoft Azure、Google Cloud、IBM® Cloud、Oracle Cloud Platform、VMware 等。

对安全、隐私和数据控制要求较高的行业（包括医疗保健、金融和政府）往往青睐 VPC。根据 Future Market Insights, Inc. 的报告，虚拟私有云 (VPC) 的市场份额预计将从 2022 年的 388 亿美元增长到 2032 年的 1296 亿美元。¹这种增长背后的驱动因素包括对简单安装方式和低成本灾难恢复 (DR) 解决方案的需求不断增长，以及中小型企业越来越多地采用虚拟私有云。²

观看此视频，由 IBM Cloud 的 Ryan Sumner 带您深入了解 VPC 及其架构和优势。

VPC 是一种“两全其美”的云计算方法，VPC 不仅为客户提供了私有云的诸多优势，还能利用公有云资源并节省成本。以下是 VPC 模型的一些主要特征：

VPC 的每项主要特征都可以轻松转化为优势，帮助企业实现敏捷性、促进创新并加快增长。

• 灵活的业务增长：由于可以动态部署云基础设施资源（包括虚拟服务器、云存储器和联网），因此 VPC 客户可以快速适应业务需求的变化。

• 满意的客户：在当今“永远在线”的数字业务环境中，客户期望正常运行时间比率接近 100%。VPC 环境的高可用性能提供可靠的在线体验，有助于建立客户忠诚度并增进客户对品牌的信任。

• 降低整个数据生命周期的风险：VPC 在实例和/或子网级别享有高度安全性，能让您高枕无忧，并进一步增进客户信任。

• 将更多资源投入业务创新：企业可以降低成本并减少对内部 IT 团队的需求，从而把重点放在实现关键业务目标和发挥核心竞争力上。

虚拟专用网 (VPN) 通过创建信息传输的加密隧道，使公共互联网连接与专用网络连接一样安全。您可以在 VPC 上部署 VPN 即服务 (VPNaaS)，以便在 VPC 与本地环境或其他位置之间建立安全的站点到站点通信通道。可以使用 VPN 来连接多个 VPC 中的子网，使其像在单一网络上一样运行。

私有云和虚拟私有云这两个词有时会被（错误地）互换使用。VPC 实际上是一种公有云 产品。私有云 是由企业拥有、运营和管理的单租户云环境。最常见的托管方式是在本地或是专用空间或设施内托管。相比之下，VPC 托管在多租户架构中，但在逻辑上，每个客户的数据和工作负载都与所有其他租户的数据和工作负载分开。云供应商负责确保这种逻辑隔离。

VPC 是一个单租户概念，让您能够在公有云架构中创建私有空间。与传统的多租户公有云产品相比，VPC 可提供更高的安全性，但客户仍可充分发挥公有云的高可用性、灵活性和成本效益。有时可能需要通过不同的方式来扩展 VPC 和公有云帐户。例如，要想为 VPC 提供额外的存储卷，可能只能使用一定大小的块储存器来实现。并非所有 VPC 产品都支持全部公有云功能。

在 VPC 中，您可以将云资源（称为逻辑实例）部署到自己的隔离虚拟网络中。这些云资源分为三类：

• 计算：虚拟服务器实例（VSI，也称为虚拟服务器）以虚拟 CPU (vCPU) 的形式呈现给用户，具备预定的计算能力、内存等。

• 存储：VPC 客户的每个帐户通常会被分配一定的块存储器配额，并且可以购买更多配额。这种定价模型类似于购买额外的硬盘空间。存储建议乃基于工作负载的性质。

• 联网：您可以将各种联网功能的虚拟版本部署到虚拟私有云帐户中，以启用或限制其资源的访问权限，包括：
  • 公共网关：部署公共网关是为了让 VPC 环境的所有或部分区域可在面向公众的互联网上使用。
  • 负载均衡器：负载均衡器可在 VSI 之间分配网络流量，以优化可用性和性能。
  • 路由器：路由器可引导流量并支持网段之间的通信。
  • 直接或专用链接：直接或专用网络连接可在本地企业 IT 环境或私有云与公有云上的 VPC 资源之间实现快速安全的通信。

• 区域：提供商会跨区域托管 VPC。区域是指可以部署应用程序、服务和其他资源的特定地理位置。区域由一个或多个可用区组成，这些可用区是实体数据中心，存放着计算、网络和存储资源，以及相关的冷却和电力设施，用于主机服务和应用程序。各个可用区彼此隔离，从而确保了区域内不会发生共有的单点故障。

• 可用性区域：可用性区域是 VPC 区域内存在逻辑隔离和物理隔离的位置，具有独立的电源、冷却设施和网络基础架构。

• 子网：子网是被划分为更小网段的 IP 网络的逻辑分区。VPC 中的这种基本机制可将 IP 地址分配给各个资源（如虚拟服务器实例），并通过网络访问控制列表 (ACL)、路由表和资源组实现对这些资源的各种控制。在 VPC 环境中，子网就像私有 IP 地址一样，无法通过互联网公开访问。

• 路由表：VPC 中的每个子网都必须与一个路由表相关联，路由表是控制子网或网关网络流量的规则或路由集合。

• 流日志：流日志可以收集、存储和呈现有关进出 VPC 内网络接口的 IP 流量的信息。

• 域名系统 (DNS) 服务：与 VPC 关联的 DNS 服务让用户能够创建自己的私有 DNS 可用区和 DNS 资源记录。私有 DNS 可以加密 DNS 查询并防止第三方监控在线活动，从而改善在线隐私保护和安全性。

当今的大多数软件应用程序均采用三层架构设计，由实现互连的以下各层组成。

在采用三层架构的应用程序中，所有通信都通过应用程序层进行。呈现层和数据层不能直接相互通信。应用程序层通过应用程序编程接口 (API) 调用与呈现层和数据层进行通信。

要在 VPC 中创建三层应用程序架构，就需要为每一层分配其子网，从而为各层提供其自己的 IP 地址范围。每一层会通过自动分配获得各自唯一的 ACL。

在虚拟私有云 (VPC) 模型中，VPC 提供商会确保每个客户的数据保持隔离和安全。他们通过云安全程序和技术来实现这一目标，这些程序和技术包括网络隔离（子网、虚拟专用网络 (VPN)、虚拟局域网 (VLAN) 等），有助于提高安全性和控制网络流量。

VPC 还会创建安全功能的虚拟化副本，用于控制传统数据中心的资源访问权限，由此实现高度安全性。借助这些安全功能，客户能够在公有云的逻辑隔离部分中定义虚拟网络，并控制哪些 IP 地址可以访问哪些资源。

VPC 安全层由下列两类网络访问控制构成：

• 访问控制列表 (ACL)：ACL 是限制谁可以访问 VPC 内特定子网的规则列表。如前所述，子网是 VPC 的一部分或分区；ACL 定义了一组授予访问权限的 IP 地址或应用程序。

• 安全组：您可以使用安全组来创建资源组（可以位于多个子网中），并为其分配统一的访问规则。例如，如果你在三个不同的子网中拥有三个应用程序，并且希望它们全部面向公共互联网，则可以将它们放在同一个安全组中。安全组就像虚拟防火墙一样，能够控制流向虚拟服务器的流量，无论这些虚拟服务器位于哪个子网。

不同的云供应商会在其 VPC 产品中提供不同的定价模式。单个 VPC 资源（例如负载均衡器、VSI 或存储器）通常单独定价。另外一种普遍的做法是根据流量收取数据传输费用，但是有些云供应商不会对通过专用网络传输的数据收费。

要确定能够满足业务需求的最佳 VPC 和定价模型，首先要考虑您计划部署的应用程序的要求。这些应用程序是否属于计算密集型？是否需要大量内存以及 CPU？或者，它们是否在 CPU、存储和内存要求方面更加均衡？回答这些问题可以帮助您预测使用需求，以便在比较各个方案时估算潜在的成本。

• 托管 Web 应用程序：安全托管 Web 应用程序，更好地控制网络流量如何从互联网到达您的 VPC 资源。

• 云迁移：VPC 提供了一种经济高效的方式，可将敏感的本地资产迁移到公有云环境中的隔离私有云，从而确保低延迟、最短停机时间和强大的云安全性。

• 混合云策略：VPC 支持当今的混合云策略。开发人员可以通过 VPN 将 VPC 连接到公有云或本地基础架构，从而整合本地、私有云和公有云资源，打造灵活、统一的单一 IT 基础架构。

• 多云部署：VPC 还允许跨云供应商在 VPC 之间建立私有连接，从而支持多云部署。多云解决方案包括开源云原生技术，比如 Kubernetes。它们通常还包含了使用中央控制台或一站式界面来跨多个云管理工作负载的功能。

• DevOps 实践：VPC 环境支持 DevOps 实践，可加速交付质量更高的应用程序和服务。DevOps 自动化使用云原生工具和技术来执行日常任务，从而加快工作流和整个软件开发生命周期。

• 高性能计算 (HPC)：VPC 环境提供了快速预配的计算容量、最高的网络速度和最安全的软件定义网络资源，能够支持金融、医疗保健等受到高度监管的行业的高性能计算 (HPC) 需求。

• 监管合规和数据治理：遵守严格的监管和数据治理要求至关重要，尤其是对于石油和天然气等全球性行业而言。如今的云 VPC 托管服务提供商会提供内置的安全与监管合规工具，以及用于机密计算的硬件和软件解决方案。标准功能包括加密选项和数据驻留控制。

• 行业专用云：VPC 是行业专用云平台的理想组件，也是金融和医疗保健等行业日益增长的趋势，这些行业在寻求既安全又能更快交付业务成果的行业专用功能

• 业务连续性灾难恢复 (BCDR)：和其他基于云的服务一样， VPC 的业务连续性灾难恢复 (BCDR) 涉及保护数据和恢复服务功能的机制。这些机制包括用于在发生中断后恢复系统、应用程序或数据中心的各种工具、策略和程序。通过在多个不同区域复制 VPC 中的关键基础架构，组织可以在发生灾难（例如设备故障、网络攻击、自然灾害）时确保 BCDR。

• 边缘计算和物联网 (IoT)：随着越来越多的行业（如制造业和零售业）使用 IoT和边缘设备连接到云，对安全且可扩展的云环境（如 VPC）的需求日益增长。