Che cos'è un cloud privato virtuale?

Data di pubblicazione: 17 giugno 2024
Collaboratori: Stephanie Susnjara, Ian Smalley
Cos'è un VPC?

Un cloud privato virtuale (VPC) è un'offerta di cloud pubblico che consente a un'azienda di creare un proprio cloud privato, come un ambiente di elaborazione su un'infrastruttura di cloud pubblico condivisa.

Un VPC consente a un'azienda di definire e controllare una rete virtuale isolata logicamente da tutti gli altri tenant del cloud pubblico, creando uno spazio privato e sicuro sul cloud pubblico.

Immagina che l'infrastruttura di un provider di cloud sia un condominio residenziale con più famiglie che vivono all'interno. Essere un tenant di cloud pubblico è come condividere un appartamento con dei coinquilini. Al contrario, utilizzare un VPC è come avere un proprio condominio privato: nessun altro ha la chiave e nessuno può accedere ai tuoi spazi senza la tua autorizzazione.

L'isolamento logico di un VPC viene implementato utilizzando funzioni di rete virtuale e di sicurezza che consentono a un cliente aziendale di controllare in modo granulare quali indirizzi IP o applicazioni cloud possono accedere a determinate risorse. Questa funzione è analoga ai controlli "solo gli amici" o "pubblico/privato" sugli account dei social che limitano chi può e chi non può vedere i tuoi post altrimenti pubblici.

Il VPC rientra nella categoria Infrastructure as a service (IaaS), una delle quattro offerte di cloud service più diffuse, insieme a Platform as a service (PaaS), Software as a service (SaaS) e serverless. Tutti i principali provider di cloud service offrono soluzioni VPC, tra cui Amazon Web Services (AWS), Microsoft Azure, Google Cloud, IBM® Cloud, Oracle Cloud Platform, VMware e altro ancora.

I settori che richiedono elevati livelli di sicurezza, privacy e controllo sui propri dati, tra cui sanità, finanza e pubblica amministrazione, spesso preferiscono i VPC. Secondo un report Future Market Insights, Inc., la quota di mercato del cloud privato virtuale (VPC) dovrebbe crescere da 38,8 miliardi di dollari nel 2022 a 129,6 miliardi di dollari nel 2032.1 I fattori alla base di questa crescita includono l'aumento della domanda di installazioni semplici e soluzioni di disaster recovery (DR) a basso costo e la crescente adozione del cloud privato virtuale tra le piccole e medie imprese.2

Guarda questo video con Ryan Sumner di IBM Cloud per un approfondimento su VPC, la sua architettura e i suoi benefici.
Caratteristiche di un VPC

I VPC sono un approccio tipo "prendere due piccioni con una fava" al cloud computing. Offrono ai clienti numerosi vantaggi dei cloud privati, sfruttando al contempo le risorse e i risparmi dei cloud pubblici. Di seguito sono riportate alcune funzioni principali del modello VPC.
Agilità

Controlla le dimensioni della tua rete virtuale e implementa le risorse cloud ogni volta che la tua azienda ne ha bisogno. Puoi scalare queste risorse in modo dinamico e in tempo reale.
Disponibilità

Risorse ridondanti e architetture di zone di disponibilità con elevata tolleranza ai guasti garantiscono la massima disponibilità per le applicazioni e i workload.
Protezione

Poiché un VPC è una rete isolata logicamente, i dati e le applicazioni non condividono lo spazio e non vengono combinati con quelli degli altri clienti del provider di cloud. Hai il pieno controllo delle modalità di accesso alle risorse e ai workload e puoi decidere chi vi può accedere.
Convenienza

I clienti VPC possono utilizzare al meglio i costi contenuti del cloud pubblico, risparmiando su costi dell'hardware, sui tempi di manodopera e altre risorse.
Benefici di un VPC

Le funzioni principali di ogni VPC si traducono facilmente in benefici che aiutano l'azienda a raggiungere più rapidamente l'agilità, l'innovazione e una crescita:

  • Crescita aziendale flessibile: dal momento che le risorse dell'infrastruttura cloud, inclusi server virtuali, storage cloud e reti,possono essere implementati dinamicamente, i clienti VPC possono adattarsi in modo rapido ai cambiamenti delle esigenze aziendali.
  • Clienti soddisfatti: negli attuali ambienti aziendali digitali sempre operativi, i clienti si aspettano rapporti di tempi di attività di quasi il 100%. L'elevata disponibilità degli ambienti VPC consente esperienze online affidabili che aumentano la fedeltà dei clienti e la fiducia nel tuo marchio.

  • Rischio ridotto nell'intero ciclo di vita dei dati: i VPC godono di un elevato grado di sicurezza a livello di istanza o di sottorete (o di entrambe). Questa funzione ti garantisce la tranquillità e aumenta ulteriormente la fiducia dei tuoi clienti.
  • Più risorse da incanalare verso l'innovazione aziendale: con costi ridotti e meno richieste al tuo team IT interno, puoi concentrarti sul raggiungimento degli obiettivi aziendali principali e sullo sviluppo delle competenze chiave.
VPC vs...
VPC vs rete privata virtuale

Una rete privata virtuale (Virtual Private Network, o VPN) rende una connessione alla rete internet pubblica sicura come una connessione a una rete privata, creando un tunnel criptato attraverso il quale viaggiano le informazioni. Puoi implementare una VPN come servizio (VPNaaS) sul tuo VPC per stabilire un canale di comunicazione site-to-site sicuro tra il tuo VPC e l'ambiente on-premise o un altro luogo. Utilizzando una VPN, puoi collegare le sottoreti di più VPC in modo che funzionino come se si trovassero su una singola rete.

 VPC vs cloud privato

Il cloud privato e il cloud privato virtuale sono talvolta, erroneamente, utilizzati in modo intercambiabile. In realtà, un VPC è un'offerta di cloud pubblico. Un cloud privato è un ambiente cloud single tenant di proprietà, operato e gestito dall'azienda. È ospitato più comunemente on-premise oppure in una struttura o in uno spazio dedicato. Al contrario, un VPC è ospitato su un'architettura multi-tenant, ma i dati e i workload di ciascun cliente sono separati logicamente da quelli di tutti gli altri tenant. Questo isolamento logico è a carico del provider di cloud.

 VPC vs cloud pubblico

Un VPC è un concetto single tenant che consente di creare uno spazio privato all'interno dell'architettura di cloud pubblico. Un VPC offre una maggiore sicurezza rispetto alle tradizionali offerte di cloud pubblico multi-tenant, ma consente comunque ai clienti di utilizzare al meglio l'elevata disponibilità, la flessibilità e l'economicità del cloud pubblico. A volte, possono esserci vari modi per scalare un VPC e un account cloud pubblico. Ad esempio, i volumi aggiuntivi di storage potrebbero essere disponibili solo a blocchi di una dimensione specifica per i VPC. Inoltre, non tutte le offerte VPC supportano tutte le funzioni di cloud pubblico.
Architettura VPC

In un VPC, è possibile implementare le risorse cloud, chiamate istanze logiche, nella propria rete virtuale isolata. Queste risorse cloud rientrano in tre categorie:

  • Elaborazione: le istanze di server virtuale (Virtual Server Instance, o VSI, note anche come server virtuali), vengono presentate all'utente come CPU (vCPU) con una quantità prestabilita di potenza di elaborazione, memoria, ecc.
  • Storage: i clienti VPC sono generalmente allocati a una determinata quota di block storage per account, con la possibilità di acquistarne altro. Questo modello di prezzo è simile all'acquisto di spazio aggiuntivo su disco rigido. Le raccomandazioni sullo storage si basano sulla natura del workload.
  • Rete: puoi implementare versioni virtuali di varie funzioni di rete nel tuo account di cloud privato virtuale per abilitare o limitare l'accesso alle sue risorse, tra cui:
    • Gateway pubblici: i gateway pubblici vengono implementati in modo che tutte o alcune aree dell'ambiente VPC possano essere rese disponibili sull'Internet pubblico.
    • Bilanciatori di carico: i bilanciatori di carico distribuiscono il traffico di rete su più VSI per ottimizzare disponibilità e prestazioni.
    • Router: i routers indirizzano il traffico e consentono la comunicazione tra i segmenti di rete.
    • Collegamenti diretti o dedicati: le connessioni di rete dirette o dedicate consentono comunicazioni rapide e sicure tra il tuo ambiente IT aziendale on-premise o il tuo cloud privato e le tue risorse VPC sul cloud pubblico.
Altri componenti e termini VPC
  • Regioni: i provider che ospitano VPC in tutte le regioni. Una regione è una posizione geografica specifica in cui possono essere implementate app, servizi e altre risorse. Le regioni sono costituite da una o più zone, ovvero data center fisici che ospitano le risorse di elaborazione, di rete e di storage, con raffreddamento e alimentazione connessi, per i servizi e le applicazioni host. Le zone sono isolate l'una all'altra, garantendo che non si verifichi nessun singolo punto di errore condiviso all'interno di un'area.
  • Zone di disponibilità: una zona di disponibilità è una posizione logicamente e fisicamente isolata all'interno di una regione VPC con infrastrutture di rete, raffreddamento e alimentazione indipendenti.
  • Sottoreti: una sottorete è una partizione logica di una rete IP suddivisa in segmenti di rete più piccoli. Questi meccanismi fondamentali all'interno di un VPC allocano gli indirizzi IP alle singole risorse (come le istanze di server virtuali) e consentono vari controlli su queste risorse attraverso elenchi di controllo degli accessi alla rete (ACL), tabelle di routing e gruppi di risorse. In un ambiente VPC, le sottoreti si comportano come indirizzi IP privati a cui non è possibile accedere pubblicamente tramite Internet.
  • Tabelle di percorso: ciascuna sottorete in un VPC deve essere associata a una tabella di percorso, a una raccolta di regole o percorsi che controllano il traffico di rete per la sottorete o il gateway.
  • Log di flusso: i log di flusso consentono la raccolta, lo storage e la presentazione di informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete all'interno del proprio VPC.
  • Servizi DNS (Domain Name System): i servizi DNS associati ai VPC consentono agli utenti di creare le proprie zone DNS private e i record di risorse DNS. Il DNS privato può migliorare la privacy e la sicurezza online crittografando le query DNS e impedendo a terze parti di monitorare le attività online.
Architettura a tre livelli in un VPC

La maggior parte delle applicazioni software di oggi sono progettate con un'architettura a tre livelli composta dai seguenti livelli interconnessi.
Livello web/di presentazione

Il livello web o di presentazione riceve le richieste dai browser web e presenta agli utenti finali le informazioni create dagli altri livelli o memorizzate all'interno. Questo livello superiore può essere eseguito su un browser web (come applicazione desktop) o su un'interfaccia utente grafica (GUI).
Livello di applicazione

Il livello di applicazione, a volte chiamato livello intermedio, ospita la logica aziendale ed è il luogo in cui avviene la maggior parte dell'elaborazione.
Livello database

Il livello database comprende server cloud che memorizzano i dati elaborati nel livello applicativo.

In un'applicazione a tre livelli, tutte le comunicazioni passano attraverso il livello applicativo. I livelli di presentazione e dati non possono comunicare direttamente tra loro. Il livello applicativo comunica con i livelli di presentazione e dati attraverso chiamate API (Application Programming Interface)

Per creare un'architettura applicativa a tre livelli su un VPC, assegni a ogni livello la propria sottorete, che fornirà uno specifico intervallo di indirizzi IP. A ogni livello viene assegnato automaticamente il proprio ACL univoco.
Sicurezza VPC

In un modello di cloud privato virtuale (VPC), il fornitore VPC garantisce che i dati di ciascun cliente rimangano isolati e sicuri. Questo avviene attraverso procedure e tecnologie di sicurezza cloud, tra cui l'isolamento della rete, le sottoreti, le reti private virtuali (VPN), le reti locali virtuali (VLAN) e così via, che aiutano a migliorare la sicurezza e a controllare il traffico di rete.

Inoltre, i VPC ottengono elevati livelli di sicurezza, creando repliche virtualizzate delle funzioni di sicurezza utilizzate per controllare l'accesso alle risorse ospitate nei data center tradizionali. Queste funzioni di sicurezza consentono ai clienti di definire le reti virtuali in parti logicamente isolate del cloud pubblico e di controllare quali indirizzi IP possono accedere a quali risorse.

I livelli di sicurezza di un VPC comprendono due tipi di controlli di accesso alla rete:

  • Elenchi di controllo degli accessi (Access Control List, o ACL): un ACL è un elenco di regole che limitano l'accesso a una particolare sottorete nel proprio VPC. Come detto in precedenza, una sottorete è una porzione o una suddivisione del tuo VPC; l'ACL definisce l'insieme degli indirizzi IP o delle applicazioni a cui è consentito l'accesso.
  • Gruppo di sicurezza: con un gruppo di sicurezza, puoi creare gruppi di risorse (che possono essere situate in più di una sottorete) e assegnare loro regole di accesso uniformi. Ad esempio, se hai tre applicazioni in tre sottoreti diverse e desideri che siano tutte disponibili pubblicamente su Internet, puoi inserirle nello stesso gruppo di sicurezza. I gruppi di sicurezza agiscono come firewall virtuali, controllando il flusso di traffico verso i server virtuali, indipendentemente dalla sottorete in cui si trovano.
Prezzi VPC

I vari provider di cloud possono offrire diversi modelli di prezzo nelle loro offerte VPC. Spesso le singole risorse VPC, come i sistemi di bilanciamento del carico, le VSI o lo storage, hanno prezzi diversi. Anche i costi di trasferimento dei dati sono simili in base al volume, ma alcuni provider di cloud non addebitano alcun costo per i trasferimenti di dati su reti private.

La determinazione del VPC e del modello di prezzo migliori per soddisfare le tue esigenze aziendali inizia con la considerazione dei requisiti delle applicazioni che intendi implementare. Sono ad alta intensità di elaborazione? Richiedono grandi quantità di memoria e CPU? O sono più equilibrate in termini di requisiti di CPU, storage e memoria? Rispondere a queste domande aiuterà a prevedere le tue esigenze di utilizzo, consentendoti di stimare i costi potenziali confrontando le opzioni.
Casi d'uso VPC
  • Ospita applicazioni web: ospita applicazioni web in modo sicuro ed esercita un controllo migliore su come il traffico di rete può raggiungere le tue risorse VPC da Internet.
  • Migrazione su cloud: VPC offre un modo conveniente per spostare risorse asset sensibili on-premise su un cloud privato isolato all'interno di un ambiente cloud pubblico, garantendo così bassa latenza, tempi di inattività minimi e una robusta sicurezza del cloud.
  • Strategia di hybrid cloud: un VPC supporta l'attuale strategia di hybrid cloud. Gli sviluppatori possono collegare i VPC a un cloud pubblico o a un'infrastruttura on-premise utilizzando una VPN, integrando risorse cloud pubbliche, private e on-premise per creare un'unica infrastruttura IT flessibile e unificata.
  • Implementazione multi-cloud: i VPC supportano inoltre implementazioni multicloud consentendo connessioni private tra VPC sui provider di cloud. Le soluzioni multi-cloud includono tecnologie open-source, cloud-native come Kubernetes. In genere includono funzionalità per la gestione dei workload su più cloud con una console centrale o un singolo pannello di controllo.
  • Pratiche DevOps: gli ambienti VPC supportano le pratiche DevOps, accelerando la fornitura di applicazioni e servizi di qualità superiore. L'automazione DevOps utilizza strumenti e tecnologie cloud-native per eseguire attività di routine, accelerando così i workflow e l'intero ciclo di vita dello sviluppo software.
  • Elaborazione a elevate prestazioni (HPC): gli ambienti VPC offrono capacità di elaborazione a provisioning rapido con le velocità di rete più elevate e le risorse di rete software-defined più sicure per supportare le esigenze di elaborazione a elevate prestazioni (HPC) di settori altamente regolamentati come la finanza, la sanità e altri ancora.
  • Conformità normativa e governance dei dati: il rispetto dei severi requisiti normativi e di governance dei dati è fondamentale, specialmente per i settori globali come quello dei combustibili fossili. Gli attuali provider di servizi gestiti per i VPC cloud offrono strumenti integrati di sicurezza e conformità normativa e soluzioni hardware e software per il confidential computing. Le funzioni standard includono opzioni di crittografia e controlli di residenza dei dati.
  • Cloud specifici del settore: i VPC sono un componente ideale delle piattaforme cloud specifiche del settore, una tendenza in crescita in settori come la finanza e la sanità che sono sempre alla ricerca di funzionalità specifiche del settore che siano sicure e in grado di fornire risultati di business più rapidamente
  • Business continuity disaster recovery (BCDR): così come altri servizi basati sul cloud, il business continuity disaster recovery (BCDR) con VPC comporta meccanismi per proteggere i dati e ripristinare le funzioni di servizio. Questi includono vari strumenti, politiche e procedure per ripristinare un sistema, un'applicazione o un data center a seguito di un'interruzione. Replicando infrastrutture fondamentali in un VPC in diverse regioni, le organizzazioni possono garantire la BCDR in caso di disastro (ad esempio, guasti all'attrezzatura, attacchi informatici, disastri naturali).
  • Edge computing e Internet of Things (IoT): man mano che sempre più settori come la produzione e la vendita al dettaglio utilizzano l'IoT e i dispositivi edge si connettono al cloud, sono necessari ambienti cloud sicuri e scalabili come i VPC.
Note a piè di pagina

1 Virtual Private Cloud Market Outlook (2022 to 2032), Future Market Insights, Inc., Maggio 2022.

2 Virtual Private Cloud Market Outlook (2022 to 2032), Future Market Insights, Inc., Maggio 2022.