什么是虚拟私有云 (VPC)?
本指南探讨了虚拟私有云的工作原理,并讨论了这一新兴产品的功能和优势,以及其如何为公共云租户提供类似私有云的体验。
订阅 IBM 时事通讯
黑色和蓝色背景
什么是虚拟私有云 (VPC)?

VPC 是一种公共云产品,可让企业在共享的公共云基础架构上自行建立类似私有云的计算环境。VPC 使企业能够定义和控制在逻辑上与所有其他公共云租户隔离的虚拟网络,从而在公共云上创建安全的专用空间。

想象一下,云供应商的基础架构就像是一栋住宅公寓楼,里面居住着多户家庭。成为公共云租户就像与几个室友合租一间公寓。相比之下,拥有 VPC 就像拥有自己的私人公寓一样,其他人没有钥匙,未经您的许可任何人都无法进入该空间。

VPC 使用虚拟网络功能和安全功能来实现逻辑隔离,使企业客户能够精细控制哪些 IP 地址或应用程序可以存取特定资源。这类似于社交帐户上的“仅限好友”或“公开/私密”控制机制,用于限制谁可以或不能看到您原本公开的帖子。

了解 IBM 如何帮助企业处理 VPC。

功能

VPC 是“两全其美”的云计算方法,不仅为客户提供了私有云的诸多优势,而且充分利用公共云资源并节省成本。以下是 VPC 模型的一些主要特征:

  • 灵活性:控制虚拟网络的规模,并在业务需要时部署云资源。可以实时动态地调整这些资源。

  • 可用性:冗余资源和高度容错的可用性区域体系结构,为企业的应用程序和工作负载提供了高度可用性。

  • 安全性:由于 VPC 是逻辑隔离的网络,因此企业的数据和应用程序不会与云供应商的其他客户共享空间或与其混合。企业可以完全控制资源和工作负载的存取方式以及存取者。

  • 可负担性:VPC 客户可以充分发挥公共云的成本效益,例如节省硬件成本、工时和其他资源。
优势

每项 VPC 的主要特征都可以轻松转化为优势,帮助企业实现灵活性、增强创新并加快增长。

  • 灵活的业务增长:由于可以动态部署云基础架构资源(包括虚拟服务器存储器联网),因此 VPC 客户可以轻松因应业务需求的变化。

  • 满意的客户:在当今“永远在线”的数字业务环境中,客户期望正常运行时间比率接近 100%。VPC 环境的高可用性能提供可靠的在线体验,有助于建立客户忠诚度并增加对品牌的信任。

  • 降低整个数据生命周期的风险:VPC 在实例和/或子网级别享有高度安全性。这使企业能够高枕无忧,并进一步增加客户的信任。

  • 将更多资源投入业务创新:企业可以通过降低成本和减少对内部 IT 团队的需求,将精力集中在实现关键业务目标和发挥核心竞争力上。
体系结构

可以在 VPC 中将云资源部署到自有的隔离虚拟网络中。这些云资源(也称为逻辑实例)分为三类。

  • 计算:虚拟服务器云主机(VSI,也称为虚拟服务器)以虚拟 CPU (vCPU) 的形式呈现给用户,具备预定的计算能力、内存等。

  • 存储器:VPC 客户的每个帐户通常会被分配获得一定的块存储器配额,并且可以购买更多配额。这类似于购买额外的硬盘空间。存储器建议乃基于工作负载的性质。

  • 联网:可以将各种联网功能的虚拟版本部署到虚拟私有云帐户中,以启用或限制其资源的存取权限。其中包括公共网关,部署这些网关是为了在面向公众的互联网上提供您的 VPC 环境的全部或部分领域;负载均衡器,用于在多个 VSI 之间分配流量,以优化可用性和性能;以及路由器,用于引导流量并实现网段之间的通信。使用直接或专用链接可在本地企业 IT 环境或私有云,以及在公共云上的 VPC 资源之间实现快速安全的通信。
VPC 中的三层体系结构

当今的大多数应用程序均采用三层体系结构设计,由以下互连层组成:

  • Web 或演示层,接受来自 Web 浏览器的请求,并向最终用户呈现由其他层创建或存储在其中的信息。

  • 应用程序层,其中包含业务逻辑,并且会进行大部分处理业务。

  • 数据库层,由数据库服务器组成,其中存储着在应用程序层中处理的数据。

若要在 VPC 中创建三层应用程序体系结构,需要为每一层分配其子网,这将为各层提供自有的 IP 地址范围。每一层会被自动分配获得各自唯一的 ACL。

有关如何在 VPC 中创建此体系结构,并向其部署应用程序的更详细说明,请参阅博客帖子 “虚拟私有云:技术与测试”。

 

安全性

VPC 会创建安全功能的虚拟化副本,用于控制传统数据中心的资源访问权限,由此实现高度安全性。借助这些安全功能,客户能在公共云的逻辑隔离部分中定义虚拟网络,并控制哪些 IP 地址可以存取哪些资源。

VPC 安全层由下列两类网络访问控制构成:

  • 访问控制表 (ACL):ACL 是限制谁可以存取 VPC 内特定子网的规则列表。子网是 VPC 的一部分或分区;ACL 定义了一组获授予访问权限的 IP 地址或应用程序。

  • 安全组:可以利用安全组创建资源组(可能位于多个子网中),并为其分配统一的访问规则。例如,若在三个不同的子网中拥有三个应用程序,并且希望它们全部面向公共互联网,则可以将其放在同一个安全组中。安全组就像虚拟防火墙一样,控制流向虚拟服务器的流量,无论它们位于哪个子网。
VPC 与……的对比

VPC 与虚拟专用网 (VPN) 的对比 
 

虚拟专用网 (VPN) 通过创建信息传输的加密隧道,使公共互联网连接与专用网络连接一样安全。可以在 VPC 上部署 VPN 即服务 (VPNaaS),以便在 VPC 与本地环境或其他位置之间建立安全的站点到站点通信通道。可以利用 VPN 连接多个 VPC 中的子网,使其像在单一网络上一样运行。

VPC 与私有云的对比
 

私有云和虚拟私有云这两个词有时会被(错误地)互换使用。事实上,虚拟私有云实际是一种公共云产品。私有云是一个由企业拥有、运营和管理的单租户云环境,通常托管在企业内部或专用空间或设施中。相比之下,VPC 托管在多租户体系结构中,但在逻辑上,每个客户的数据和工作负载都与所有其他租户的数据和工作负载分开。云供应商负责确保这种逻辑隔离。

VPC 与公共云的对比
 

虚拟私有云是一种单租户概念,使企业有机会在公共云体系结构内创建专用空间。与传统的多租户公共云产品相比,VPC 可提供更高的安全性,但客户仍可充分发挥公共云的高可用性、灵活性和成本效益。在某些情况下,可以运用不同的方式来扩展 VPC 和公共云帐户。例如,对于 VPC 来说,可能只能以一定大小的块储存器来提供额外的存储卷。并非所有的 VPC 产品都支持全部公共云功能。

VPC 常见问题解答

有关虚拟私有云一些最常见问题的解答,请参阅“VPC 常见问题解答”。

定价

不同的云供应商会在其 VPC 产品中提供不同的定价模式。单个 VPC 资源(例如负载均衡器、VSI 或存储器)通常单独定价。另外一种普遍的做法是根据流量收取数据传输费用,但是有些云供应商不会对通过专用网络传输的数据收费。

要找到定价模式最适合业务需求的 VPC 产品,考虑您计划部署的应用程序需求至关重要。这些应用程序是计算密集型的吗?是否需要大量的内存以及 CPU?抑或是在 CPU、存储器和内存需求方面更加均衡?准确回答这些问题有助于预测使用需求,反过来又使企业在比较各种选项时能够估算潜在的成本。

相关解决方案
IBM Cloud® Virtual Server for VPC

高度可伸缩的单租户和多租户计算容量,可以快速启动,最大程度实现网络隔离和控制。

深入了解 IBM Cloud® Virtual Server for VPC
IBM Cloud®

IBM Cloud® 与 Red Hat 携手提供市场领先的安全性、企业可扩展性和开放式创新,解锁云和 AI 的全部潜力。

深入了解 IBM Cloud®
IBM Cloud® Direct Link

IBM Cloud® Direct Link 是一项云服务,旨在保护和加速专用基础架构与 IBM Cloud® 之间的数据传输。

深入了解 IBM Cloud® Direct Link
资源 什么是云计算?

云计算使企业可以通过互联网“接入”基础架构并使用计算资源,而无需在本地加以安装和维护。

什么是联网?

了解电脑网络的工作原理、用于设计网络的体系结构,以及如何确保网络安全。

什么是虚拟化?

虚拟化是一种可以更有效地利用实体电脑硬件的流程,是云计算的基础。

采取下一步行动

IBM Cloud® Virtual Server for VPC 是最新的 IBM Cloud® 基础架构产品之一。IBM Cloud® VPC 专为云原生工作负载而设计,以 IBM 在构建和管理云体系结构方面的经验作为基础,现可供数个多区型区域使用。

了解更多有关 IBM Cloud® Virtual Server for VPC 的信息