Віртуальна приватна хмара: що це таке та як вона працює?
Забезпечення безпеки в хмарному середовищі є критично важливим, особливо коли йдеться про запуск коду та зберігання конфіденційних даних. Одним із рішень, що набирає популярності, є віртуальна приватна хмара (VPC).
У цій статті ми розглянемо, що таке віртуальна приватна хмара, як вона функціонує, які її переваги та особливості, а також представимо десять провідних провайдерів VPC.
Що таке віртуальна приватна хмара (VPC)?
Віртуальна приватна хмара – це ізольоване середовище, створене в межах публічної хмарної інфраструктури. VPC дає змогу безпечно виконувати код, зберігати конфідційну інформацію та розміщувати веб-сайти. Фактично, це приватна хмара, що розміщується віддалено через постачальників публічних хмар.
Як працює VPC?
VPC створена для клієнтів, які прагнуть скористатися перевагами хмарних обчислень, але мають специфічні вимоги до безпеки, конфіденційності та контролю даних. Провайдери VPC пропонують інфраструктуру, яка задовольняє ці потреби, забезпечуючи:
- Зарезервоване хмарне сховище
- Віртуальні мережі
- Виділені хмарні сервери
- Приватні IP-адреси
Для забезпечення ізоляції та безпеки провайдери використовують спеціальні політики безпеки, зокрема тунелювання, шифрування та віртуальні мережі (VAN) для кожного клієнта. Крім того, вони впроваджують політики контролю доступу та підмережі.
Ізоляція є ключовою вимогою до VPC, тому важливо розуміти концепцію ізольованої мережі.
Ізольована мережа
Ізольована мережа – це локальна мережа, яка не має зв’язку з іншими мережами. Вона розроблена для запобігання несанкціонованому доступу та зловживанням, маючи чітко визначені фізичні характеристики для авторизованого доступу. Така мережа надає тільки довірений доступ і навіть обмежує встановлення ненадійного програмного забезпечення сторонніх розробників. Для зберігання даних система має підмережу кластера.
Перш ніж перейти до деталей конфігурації VPC, розглянемо коротко, що таке транзитний шлюз.
Транзитний шлюз
Транзитний шлюз забезпечує з’єднання між вашою VPC та фізичною мережею. З розширенням хмарних інфраструктур виникає потреба в підключенні транзитних шлюзів. Транзитні шлюзи використовують глобальну інфраструктуру, де дані автоматично шифруються, забезпечуючи їх безпеку в загальнодоступній мережі.
Тепер, коли ми маємо уявлення про ізольовану мережу та транзитний шлюз, розглянемо конфігурацію ізольованої VPC.
Конфігурація ізольованої віртуальної приватної хмари
Транзитний шлюз можна налаштувати за допомогою кількох ізольованих маршрутизаторів. Це рішення нагадує наявність кількох шлюзів, де кожен маршрутизатор має власну таблицю маршрутизації. Поширення залишається в межах таблиці кожного маршрутизатора. Такий підхід забезпечує гнучкість, оскільки дозволяє модифікації для кожного маршрутизатора та з’єднання. З’єднання не можуть отримувати трафік від сутності, підключеної до іншого маршрутизатора.
Ізоляція забезпечує підвищений контроль над даними, відокремлюючи хмару на мережевому рівні, що запобігає змішуванню даних з різних мереж.
Як ізолювати віртуальну приватну хмару в публічній хмарі?
Існують різні способи ізоляції ресурсів в публічній хмарі:
Підмережі
Підмережі дозволяють розділити мережі на публічні та приватні. Групи IP-адрес стають доступними лише для певних клієнтів, тоді як інші IP-адреси можуть бути загальнодоступними.
VPN
Для створення віртуальної приватної мережі необхідне шифрування. VPN використовує загальнодоступну мережу для передачі даних, але при цьому залишається прихованою від інших користувачів.
VLAN
VLAN, подібно до підмереж, ділить мережі на публічні та приватні сегменти, використовуючи другий та третій рівні моделі OSI.
Клієнти VPC мають ексклюзивний доступ до конкретних підмереж і VLAN, отримуючи виділені ресурси, недоступні для звичайних користувачів у публічній хмарі. Шифрування VPN забезпечує конфіденційність трафіку даних клієнтів VPC від інших користувачів публічної хмари.
Переваги віртуальної приватної хмари
Використання VPC замість приватної хмари має чотири ключові переваги:
- Краща масштабованість: VPC базується на публічній хмарі, тому додавання ресурсів за потреби є простим.
- Підвищена продуктивність: додатки, які працюють у загальнодоступній хмарі, часто демонструють вищу продуктивність.
- Краща безпека: публічні хмари мають значні ресурси для підтримки безпеки, що особливо важливо для малих і середніх компаній, які не можуть дозволити собі рішення безпеки корпоративного рівня.
- Просте розгортання гібридної хмари: VPC спрощує підключення та розгортання через загальнодоступну хмару порівняно з VPN.
Характеристики типової віртуальної приватної хмари
Три основні особливості віртуальних приватних хмар:
- Доступність: додатки та веб-сайти, розміщені на VPC, є більш доступними завдяки достатній кількості ресурсів та високому рівню відмовостійкості.
- Гнучкість: керування ресурсами в VPC є простішим, що дозволяє клієнтам легко додавати ресурси за потреби та спрощує управління масштабом.
- Доступність: VPC є більш економічно вигідним рішенням порівняно з приватною хмарою, оскільки клієнти не несуть значних витрат на обладнання, персонал та інші витрати.
Використання VPC має багато переваг порівняно з приватною хмарою. Розглянемо провідних постачальників VPC та їх ключові функції.
Amazon VPC
Віртуальна приватна хмара Amazon (Amazon VPC) забезпечує простий процес налаштування VPC. Налаштування, керування та перевірка мережі займають менше часу. Ви можете легко створити віртуальну мережу, вибравши діапазон IP-адрес, а також налаштувати підмережі та таблиці маршрутизації.
Amazon VPC забезпечує безпечне середовище з обмеженим доступом у віртуальній мережі, відстежуючи з’єднання та перевіряючи трафік. Клієнти можуть швидко розпочати налаштування VPC через консоль сервісу AWS, а також додавати цінні ресурси, такі як Amazon Relational Database та Amazon Elastic Compute Cloud.
Google VPC
Google пропонує єдину глобальну віртуальну мережу, яка охоплює всі філії та відділи компанії. Організації можуть швидко розширювати діапазон IP-адрес.
Google VPC пропонує такі функції:
- Створення мереж: Google VPC пропонує автоматичний та спеціальний режими для створення мережі VPC.
- Автоматичний режим: Google створює одну підмережу для кожного регіону хмари, додаючи нові підмережі за замовчуванням в області, використовуючи попередньо визначений набір діапазонів в IPv4. Цей режим не підтримує підмережі з діапазонами IPv6.
- Спеціальний режим: для створення або редагування підмережі в спеціальному режимі потрібні певні правила: назви проекту та мережі VPC мають відрізнятися; назва підмережі має бути унікальною в межах проекту (і не може бути відредагована після створення, лише видалена); підмережа має мати основний діапазон IPv4, а також може мати кілька вторинних діапазонів IPv4; підмережі не повинні конфліктувати в основному та додатковому діапазонах.
Google VPC дозволяє такі зміни мережі:
- Перетворення VPC автоматичного режиму на спеціальний режим.
- Зміна режиму динамічної маршрутизації.
- Видалення мережі.
Віртуальна мережа Azure
Віртуальні мережі Azure створюють безпечне, ізольоване середовище, де клієнти можуть безпечно запускати віртуальні машини та програми.
Azure також підтримує гібридну інфраструктуру, дозволяючи користувачам підключатися до своїх центрів обробки даних. Користувачі можуть переносити свої IP-адреси та DNS-сервери, отримуючи безпечне з’єднання через IPsec VPN.
Azure надає ресурси з низькою затримкою, де користувачі можуть безпечно підключатися до віртуальних мереж, надсилаючи трафік через мережі Microsoft без потреби у загальнодоступному Інтернеті, шлюзах або шифруванні. Мережа Azure також підтримує гібридний режим, де клієнти можуть використовувати машини на своїх локальних ресурсах.
Віртуальна мережа Azure зберігає конфіденційність віртуальних машин та обчислювальних ресурсів, але направляє трафік через загальнодоступні мережі. Масштабування відбувається автоматично для IP-адрес, потрібних для вихідного з’єднання. Azure також оптимізує роботу мережі за допомогою програмно-визначеної технології, зменшуючи необхідну пропускну здатність для обчислювальних ресурсів.
DigitalOcean VPC
DigitalOcean пропонує простий, безпечний та гнучкий VPC.
Клієнти можуть швидко створювати VPC, використовуючи зручну панель керування для розробників, а також CLI та API. DigitalOcean має автоматичну систему створення VPC для ресурсів клієнта, якщо він не зацікавлений в індивідуальній конфігурації мережі.
VPC є логічно ізольованою мережею для хмарних ресурсів, надаючи клієнтам більший контроль над передачею ресурсів. Компанія пропонує середовище, що імітує власну локальну інфраструктуру. Користувачі можуть вказати діапазон IP-адрес та налаштувати брандмауери для отримання більшого контролю над вхідним та вихідним трафіком.
Alibaba Cloud VPC
Alibaba пропонує VPC з легкістю створення ізольованого мережевого середовища, надаючи налаштування діапазону IP-адрес і сегментації мережі.
Клієнти можуть налаштувати таблиці маршрутизації та шлюзи.
Переваги
VPC має ізольоване мережеве середовище. Мережа гнучка, з конфігурацією IP-адреси та таблицями маршрутизації. Логічна ізоляція між різними екземплярами VPC доступна на рівні 2.
Alibaba надає безкоштовне, повністю ізольоване середовище VPC, пропонуючи масштабовану гібридну хмарну архітектуру з кількома продуктами. Легко керувати різними інтернет-порталами.
Особливості
Ізоляція рівня MAC: за допомогою технології накладання, служби Alibaba VPC створюють віртуальні мережі у фізичних мережах. Вони використовують Vxlan для ізоляції, забезпечуючи повну ізоляцію між різними VPC. Ізоляція доступна на рівні 2 (тобто рівні MAC).
Повні налаштування: клієнти можуть планувати та керувати мережею відповідно до своїх конкретних вимог, зокрема визначення діапазону IP-адрес, таблиці маршрутів, шлюзу та сегмента мережі.
Підмережі VPC: користувачі можуть розділити підмережі, використовуючи віртуальні комутатори для поділу приватної IP-адреси VPC на кілька підмереж, що допомагає розгортати додатки та служби за вимогою.
Віртуальні маршрутизатори та засоби експрес-підключення: можливе налаштування віртуальних маршрутизаторів для встановлення правил маршрутизації відповідно до потреб бізнесу. VPC має засіб експрес-підключення, що допомагає встановити з’єднання між різними регіональними VPC.
HUAWEI Cloud VPC
Віртуальна приватна хмара Huawei надає віртуальні приватні мережі для ізоляції онлайн-ресурсів, пропонуючи безпечний зв’язок хмарних ресурсів через Інтернет та інтранет.
Особливості
Основні характеристики мережі включають легке підключення, безпеку, надійність, високу швидкість пропускання та плавне масштабування. Коротко розглянемо:
Простота: легко додати служби еластичного контейнера в той самий VPC, тоді як ECS можуть існувати в різних зонах. Також спрощено контроль зв’язку між VPC.
Безпека та надійність: безпека забезпечена ізоляцією мережевих ресурсів. Трафік між екземплярами та підмережами є надійним.
Високошвидкісна пропускна здатність: надаються динамічні та статичні протоколи прикордонного шлюзу, дозволяючи клієнтам вибрати оптимальний варіант.
Безперебійне масштабування: передбачено гібридний режим, який клієнти можуть використовувати для підключення локальних машин та мереж.
Tencent Cloud
Хмара Tencent забезпечує стабільну, гнучку та безпечну приватну мережу, що має такі переваги:
- Висока доступність
- Високопродуктивний Інтернет
- Диверсифікований доступ
- Багатовимірна безпека
- Візуальний менеджмент
- Еластична масштабованість
- Оптимальні витрати
- Інтеграція сервісу
Особливості
Хмара Tencent має такі функції:
Програмно визначена мережа: клієнт може налаштувати діапазони IP-адрес і схеми маршрутизації через панель керування або API. Легко визначити декілька підмереж. Технічна команда забезпечує підтримку та оптимізацію ресурсів.
Еластичне підключення до Інтернету: хмарне підключення до Інтернету Tencent є гнучким і має високу продуктивність, включаючи еластичну IP-адресу та шлюз трансляції мережевих адрес (NAT). Еластична IP-адреса є загальнодоступною, що дозволяє незалежний доступ до Інтернету.
Розгортання гібридної хмари: організації можуть швидко розгорнути гібридну хмару за допомогою загальнодоступного IPsec, який є зашифрованим і, отже, безпечним. З’єднання ресурсів між VPC та локальними серверами є стабільним та надійним.
Взаємозв’язок із хмарними ресурсами: для з’єднання ресурсів між VPC та іншими хмарами доступні як класичні, так і однорангові з’єднання. Користувачі можуть легко підключати ресурси з різних хмар у VPC. Сервіс ПК доступний для міжоблікового та міжрегіонального з’єднання VPC.
З’єднання дозволяє хмарним віртуальним машинам і хмарним базам даних отримувати доступ одна до одної.
Контроль безпеки: клієнт може використовувати списки контролю доступу (ACL) та групи безпеки для контролю доступу на рівні ресурсу та порту. Таким чином, користувачі можуть надавати мінімальні дозволи для кращої безпеки мережі.
ACL – це віртуальний брандмауер для кращого контролю вхідного та вихідного трафіку, дозволяючи приймати лише необхідні пакети даних.
Серверний простір VPC
Server Space надає клієнтам можливість створити свій VPC, який є логічно ізольованим сегментом у загальнодоступній мережі, але залишається безпечним, економічним, ефективним та масштабованим рішенням.
Переваги
Переваги використання Server Space VPC:
Відповідність вимогам безпеки: клієнт може побудувати мережу відповідно до галузевих норм, таких як регулювання індустрії платіжних карток, а також засоби контролю системи та організації.
Повний контроль: клієнт має повний контроль над керуванням трафіком через підмережі, фільтруючи вхідний та вихідний доступ.
Зменшені витрати: Server Space пропонує багато безкоштовних послуг та інших послуг за економічною ціною.
Блискавична швидкість: компанія надає віртуальні машини, які працюють у високошвидкісній мережі зі швидкістю пропускної здатності близько одного гігабіта.
Гнучке масштабування: VPC може задовольнити потреби бізнесу, що зростає. Масштабованість не є проблемою; клієнти можуть додавати/видаляти екземпляри програми за потреби.
Глобальні локації: компанія широко доступна, дозволяючи клієнтам керувати надійними центрами обробки даних по всьому світу.
Особливості
Основні особливості Server Space VPC:
- масштабована інфраструктура
- аварійне відновлення
- захист від кібератак
- відповідність бізнес-цілям
- відповідність бізнес-стратегіям
Висновок
У цій статті ми обговорили віртуальні приватні хмари, їхні переваги та представили найкращих провайдерів VPC.
Хороший VPC забезпечує легку міграцію, економічні рішення, безпеку, підтримку інструментів, програмне визначення мережі, відповідність стандартам. Простота використання також важлива, включаючи створення, зміну та видалення підмереж.
Оскільки кожен бізнес має свої унікальні вимоги, складно назвати одне рішення VPC найкращим. Важливо перевірити доступні функції та переваги та порівняти їх зі своїм списком потреб. Найкраще рішення – це те, яке найбільше відповідає вашим індивідуальним потребам.