Amazon VPC是否瑕不掩瑜?

責(zé)任編輯:editor006

作者:滕曉龍編譯

2015-01-12 14:29:15

摘自:TechTarget中國

VPC讓企業(yè)能夠快速部署資源并將其整合到現(xiàn)有的IT基礎(chǔ)架構(gòu)中,前提是IT團(tuán)隊(duì)可以接受AWS的諸多限制。Amazon虛擬私有云(VPC)固有的靈活性使得它能滿足許多的需求,例如企業(yè)想在多個(gè)地點(diǎn)存儲(chǔ)重復(fù)數(shù)據(jù)的需求。

VPC讓企業(yè)能夠快速部署資源并將其整合到現(xiàn)有的IT基礎(chǔ)架構(gòu)中,前提是IT團(tuán)隊(duì)可以接受AWS的諸多限制。

虛擬私有網(wǎng)絡(luò)并不是新東西。大部分的IT團(tuán)隊(duì)對于拓展虛擬環(huán)境至服務(wù)器和網(wǎng)絡(luò)都很熟悉。但如果企業(yè)們通過使用虛擬私有云來將這個(gè)網(wǎng)絡(luò)虛擬化的概念應(yīng)用到云端會(huì)如何?Amazon虛擬私有云(VPC)正是這樣一個(gè)允許用戶在一個(gè)虛擬網(wǎng)絡(luò)之內(nèi)構(gòu)建并管理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的服務(wù)。

Amazon虛擬私有云(VPC)固有的靈活性使得它能滿足許多的需求,例如企業(yè)想在多個(gè)地點(diǎn)存儲(chǔ)重復(fù)數(shù)據(jù)的需求。企業(yè)只需要為他們所需的計(jì)算資源付費(fèi)。

有如傳統(tǒng)的網(wǎng)絡(luò)規(guī)劃,VPC的建構(gòu)也圍繞著IP地址的分配。它使用了無類型域間選路(CIDR)地址范圍來為服務(wù)器分配IP地址并將它們組織成多個(gè)子網(wǎng)。比如說,你可以創(chuàng)建一個(gè)VPC和一個(gè)2^16個(gè)地址的分配,然后將這個(gè)范圍分割成許多較小的2^x大小的子網(wǎng)。這也是傳統(tǒng)網(wǎng)絡(luò)規(guī)劃及Amazon VPC之間區(qū)別的開始。

VPC是為了能夠讓數(shù)據(jù)在時(shí)間和地點(diǎn)上并行而設(shè)計(jì)的。為了達(dá)到這樣的目的,AWS將子網(wǎng)部署在不同的可用區(qū)(AZ)中,而每個(gè)可用區(qū)則位于一個(gè)獨(dú)立且物理分隔的地點(diǎn)上。

這對于那些計(jì)劃要遷移到AWS的企業(yè)來說意味著什么?Amazon VPC的靈活性替組織創(chuàng)造出了許多可能性,包括高數(shù)據(jù)可用性的集群,災(zāi)難恢復(fù)(DR)和測試及模擬環(huán)境的建立。

高可用性的集群。高數(shù)據(jù)可用性的集群是一種在不同節(jié)點(diǎn)復(fù)制數(shù)據(jù)并當(dāng)現(xiàn)有服務(wù)節(jié)點(diǎn)下線時(shí)快速切換到可用節(jié)點(diǎn)的方法。在位于不同可用區(qū)中不同的子網(wǎng)內(nèi)部署集群會(huì)將它們從環(huán)境上分隔開。VPC子網(wǎng)之間的通信是低延遲的,這會(huì)降低維護(hù)跨集群數(shù)據(jù)之間一致性的開銷。恰當(dāng)?shù)呢?fù)載交換可以保證錯(cuò)誤對于終端用戶來說幾乎不可見。

災(zāi)難恢復(fù)。當(dāng)數(shù)據(jù)在集群里被復(fù)制時(shí),下一步就是為了災(zāi)難恢復(fù)而執(zhí)行的全系統(tǒng)的復(fù)制。在這個(gè)情形下,如果發(fā)生了無法恢復(fù)的錯(cuò)誤,數(shù)據(jù)和應(yīng)用服務(wù)器必須要被很快的啟動(dòng)。AWS將VPC與CloudFormation,Elastic Compute Cloud (EC2)相融合,達(dá)成了這個(gè)目標(biāo)。

CloudFormation可以依照網(wǎng)絡(luò)方案來啟動(dòng)一個(gè)EC2服務(wù)器實(shí)例。

EC2則啟動(dòng)特定的Amazon Machine Images (AMI) 來執(zhí)行網(wǎng)絡(luò)里某個(gè)特定的功能。

這代表了企業(yè)只需支付AWS在一次災(zāi)難中激活的EC2的使用時(shí)間,以及自定義AMI的小額存儲(chǔ)費(fèi)用。相比之下,許多組織使用雙機(jī)熱備用,這意味著他們付了兩次的部署及維護(hù)費(fèi)用。只支付EC2的使用時(shí)間是Amazon VPC讓企業(yè)省錢的方法之一。

測試和模擬環(huán)境。在組織里,同樣的技術(shù)可以從運(yùn)營團(tuán)隊(duì)拓展到測試開發(fā)團(tuán)隊(duì)。像Spring這樣的開發(fā)框架提供給IT專業(yè)人士一種靈活的,通過隱藏其他系統(tǒng)組件的方式來測試一個(gè)系統(tǒng)內(nèi)的單一組件。有一些時(shí)候,一個(gè)完整的系統(tǒng)需要被當(dāng)作整體來測試(容錯(cuò)測試,負(fù)載極限,接受測試等)。你可以使用測試數(shù)據(jù)集,Amazon VPC,CloudFormation和EC2來構(gòu)建一個(gè)盡可能和真實(shí)系統(tǒng)相似的測試環(huán)境。當(dāng)測試結(jié)束時(shí),你可以拆掉整個(gè)系統(tǒng)。這樣你就會(huì)獲得分段付費(fèi)模型的益處,就像你在DR環(huán)境中所作的一樣。

Amazon VPC的不足之處

開箱即用,Amazon VPC有一定的好處,但大型機(jī)構(gòu)可能會(huì)發(fā)現(xiàn)某些功能的缺失。例如,這些公司可能希望部署復(fù)雜的基于硬件的路由器和網(wǎng)絡(luò)設(shè)備。但AWS不支持使用你自己的硬件。

就網(wǎng)絡(luò)安全和訪問控制而言,VPC使用一個(gè)安全組和一個(gè)網(wǎng)絡(luò)訪問控制列表(ACL)。安全組針對于一個(gè)子網(wǎng)內(nèi)的控制,而網(wǎng)絡(luò)ACL用于對跨子網(wǎng)的控制管理。ACL和安全組都適用于基于IP范圍,協(xié)議類型和端口范圍的控制。對于某些組織,這種級(jí)別的過濾也許不夠細(xì)粒度。

ACL只允許18種應(yīng)用協(xié)議,對超出這個(gè)限制的擴(kuò)展需要用戶部署他們自己的軟件安全應(yīng)用到EC2上。但是,其他公司如Cisco,F(xiàn)5和Barracuda,會(huì)選擇類似Amazon Machine Instances這樣的安裝包。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)