虚拟私有云 (VPC)
黑蓝背景
什么是虚拟私有云 (VPC)?

本指南探讨了虚拟私有云的工作原理,并讨论了可为公有云租户提供类似私有云体验的这一新兴产品的特性和优势。

VPC 是一种公有云产品,支持企业在共享的公有云基础架构上建立各自类似私有云的计算环境。 VPC 使企业能够定义和控制逻辑上与所有其他公有云租户隔离的虚拟网络,从而在公有云上创建安全的专用场所。

可以将云提供商的基础架构想象成一幢住宅公寓楼,有多个家庭居住在这幢楼里。 成为一个公共云租户就如同和几个室友共住一个公寓。 与此相反,拥有 VPC 就好像是拥有自己的私人公寓 - 其他人都没有钥匙,未经您的许可,没有人能够进入这一空间。

VPC 的逻辑隔离是使用虚拟网络功能和安全功能实现的,它们使企业客户能够精细地控制哪些 IP 地址或应用可以访问特定资源。 它类似于社交媒体帐户上用于限制谁能够或不能查看您的公开帖子的“仅限朋友”或“公开/私有”控件。

探索 IBM 如何帮助您完成 VPC 之旅。

特色产品

IBM Cloud Virtual Server for VPC


功能

VPC 是一种“两全其美”的云计算方法。 它们在利用公有云资源和节省成本的同时,为客户提供了私有云的许多优势。 以下是 VPC 模型的一些关键特性:

  • 敏捷性:控制虚拟网络的规模,并在您的业务需要时部署云资源。 您可以动态实时地扩展这些资源。
  • 可用性:冗余资源和高度容错的可用性专区架构意味着应用和工作负载高度可用。
  • 安全性:由于 VPC 是一个逻辑上隔离的网络,因此您的数据和应用不会与云提供商其他客户的数据和应用共享空间或混在一起。 您可以全盘控制资源和工作负载的访问方式以及谁可以进行访问。
  • 可购性:VPC 客户可以充分利用公有云的成本效益,例如,节省硬件成本、人工时间和其他资源。

优点

VPC 的每项主要功能都可以轻松转化为一种优势,帮助您的企业实现敏捷性、促进创新并加快增长速度。

  • 实现灵活的业务增长:因为可以动态部署云基础架构资源,包括虚拟服务器存储网络,所以 VPC 客户可以轻松适应业务需求的变化。
  • 满足了客户的要求:在当今永续的数字业务环境中,客户期望正常运行时间比率能够接近 100%。 VPC 环境的高可用性可帮助实现可靠的在线体验,提高客户忠诚度并增强客户对品牌的信任度。
  • 降低了整个数据生命周期的风险:VPC 可在实例和/或子网级别实现高度的安全性。 这不仅可以让您安枕无忧,也进一步增强了客户对您的信任。
  • 可借助更多资源激发业务创新:通过降低成本、减少对内部 IT 团队的需求,您可以集中精力实现关键业务目标,彰显出核心竞争力。

架构

在 VPC 中,您可以将云资源部署到您拥有的已隔离虚拟网络中。 这些云资源也称为逻辑实例,可分为三类。

  • 计算:虚拟服务器实例(VSI,也称为虚拟服务器)作为具有预定量计算能力、内存等的虚拟 CPU (vCPU) 呈现给用户。
  • 存储:通常会按照帐户为 VPC 客户分配一定的块存储限额,可以购买更多的存储空间。 这类似于购买额外的硬盘驱动器空间。 关于存储的建议基于您的工作负载的性质。
  • 网络:您可以将各种网络功能的虚拟版本部署到虚拟私有云帐户中,以启用或限制对其资源的访问。 这些包括公共网关,部署这些网关后,您的 VPC 环境的所有或部分区域就会在面向公众的互联网上可用;负载均衡器,用于在多个 VSI 之间分配流量,以优化可用性和性能; 以及路由器,用于引导流量并实现网段之间的通信。 直接或专用链接可在您的本地企业 IT 环境或私有云与公有云上的 VPC 资源之间实现快速而安全的通信。

VPC 中的三层架构

当今的大多数应用都采用三层架构设计,由以下互连层组成:

  • Web 或表示层,用于接受来自 Web 浏览器的请求,并将由其他层创建或存储在其他层中的信息呈现给最终用户。
  • 应用层,其中包含业务逻辑,大多数处理操作都在这一层发生。
  • 数据库层,它由数据库服务器组成,这些服务器中存储在应用层中处理的数据。

要在 VPC 上创建一个三层应用架构,应为每一层分配自己的子网,这将为其提供各自的 IP 地址范围。 每一层都自动分配了各自唯一的 ACL。

有关如何在 VPC 中创建此架构并向其部署应用的更详细说明,请参阅博客文章“虚拟私有云:技术和测试”。

 


安全

VPC 通过为用于控制传统数据中心内所托管资源访问权的安全功能创建虚拟化副本,实现了高度安全性。 这些安全功能使客户能够在逻辑上隔离的公有云部分中定义虚拟网络,并控制哪些 IP 地址有权访问哪些资源。

VPC 安全层包括两种类型的网络访问控制:

  • 访问控制列表 (ACL):ACL 是限制谁可以访问 VPC 中的特定子网的规则列表。 子网是 VPC 的一部分或子部分;ACL 定义了授予子网访问权限的 IP 地址或应用集合。
  • 安全组:通过使用安全组,您可以创建资源组(可能位于多个子网中)并为其分配统一访问规则。 例如,如果在三个不同的子网中有三个应用,并且您希望它们全都面向公共互联网,那么可以将它们放置在同一个安全组中。 安全组充当虚拟防火墙,控制流向虚拟服务器的流量,而不论它们位于哪个子网中。

VPC 与……

VPC 与虚拟专用网 (VPN) 
 

虚拟专用网 (VPN) 通过创建用于传输信息的加密隧道,使公共互联网连接与专用网络连接一样安全。 您可以在 VPC 上部署 VPN 即服务 (VPNaaS),以在 VPC 与本地环境或其他位置之间建立安全的站点到站点通信通道。 通过使用 VPN,您可以连接多个 VPC 中的子网,以便它们像在单个网络上一样运行。

VPC 与私有云
 

私有云和虚拟私有云有时会(错误地)互换使用。  事实上,虚拟私有云其实是一种公有云产品。     私有云是由企业拥有、运营和管理的单租户云环境,最常托管在本地或者专用空间或设施中。 相比之下,VPC 托管在多租户架构上,但每个客户的数据和工作负载在逻辑上与所有其他租户的数据和工作负载相互分开。 云提供商负责确保这种逻辑隔离。

VPC 与公有云
 

虚拟私有云是一个单租户概念,它让您有机会在公有云架构中创建私有空间。 与传统多租户公有云产品相比,VPC 可提供更高的安全性,但同时仍可以让客户充分利用公有云的高可用性、灵活性和成本效益。 在某些情况下,扩展 VPC 和公有云帐户的方式可能会有所不同。 例如,额外的存储卷可能仅在 VPC 的特定大小的块中可用。 并非所有 VPC 产品都支持所有公有云功能。


VPC 常见问题解答

有关虚拟私有云的一些最常见问题的答案,请参阅“VPC 常见问题解答”。


定价

各种云提供商可能会在其 VPC 产品中提供不同的定价模式。 单个 VPC 资源(例如负载均衡器、VSI 或存储)单独定价这种情况很常见。 根据流量收取数据传输费用的情况也很常见,但有些云提供商不会对通过专用网络的数据传输收费。

要找到定价模式最适合您的业务需求的 VPC 产品,就务必要考虑您计划部署的应用的需求。 它们是计算密集型应用吗? 它们是否需要大量内存 CPU? 还是要在 CPU、存储和内存需求方面进一步寻求平衡? 准确回答这些问题可帮助您预测使用需求,进而也能够在比较选项时估算潜在成本。


VPC 和 IBM Cloud

IBM Cloud® 虚拟私有云 (VPC)是最新的 IBM Cloud 基础架构产品。 IBM Cloud VPC 现在可跨若干多专区区域使用,它从一开始就为云原生工作负载而设计,IBM 在构建和管理云架构上积累的丰富经验为其奠定了扎实的基础。

IBM Cloud VPC 具有基于 REST 的全新 API,简化了与现有应用和工具集的集成,还具有多个连接选项(包括 IBM Cloud Direct Link),并完全整合了 IBM Cloud 平台的所有核心功能。

要了解有关 IBM Cloud VPC 的更多信息,请立即注册一个免费的 IBM Cloud 帐户,并马上开始配置您的第一个虚拟服务器实例。


相关解决方案

IBM Cloud

IBM Cloud 与 Red Hat 强强联合,提供市场领先的安全性、企业可扩展性和开放式创新,可释放云计算和 AI 的全部潜力。


IBM Cloud Direct Link

IBM Cloud Direct Link 是一种云服务,旨在保护和加速私有基础架构与 IBM Cloud 之间的数据传输。