如何理解虛擬私有云VPC？

申請免費試用、咨詢電話：400-8352-114

天空中的云變幻無窮，網(wǎng)絡(luò)世界的“云”也令人應(yīng)接不暇：計算，存儲，平臺，彈性的，公用的，私有的，… 今天，我用Google搜索關(guān)鍵字“Virtual Private Cloud”(帶引號搜索)，競?cè)坏玫搅?250個結(jié)果。出于IT人士對首字母縮寫的偏愛，我又嘗試搜索“VPC”。從620萬返回結(jié)果中查看了幾頁后，我放棄了尋找我所需要的東西的嘗試。這也使我認(rèn)識到現(xiàn)在對VPC這個新鮮事物進(jìn)行一番思考還不算太晚。

簡單的說，虛擬私有云計算(VPC)之于公共云計算有如虛擬私有網(wǎng)絡(luò)(Virtual Private Network, VPN)之于公共網(wǎng)絡(luò)。但是因為云計算引發(fā)的疑問(和困惑)似乎遠(yuǎn)多于網(wǎng)絡(luò)，上述類比稍嫌粗糙。我們可以認(rèn)為網(wǎng)絡(luò)扮演了一個“管道”的角色，加密后的數(shù)據(jù)仍然可以通過“管道”有效傳輸。因此我們可以用密碼學(xué)的方法在公共網(wǎng)絡(luò)中實現(xiàn)VPN(當(dāng)然還要結(jié)合身份認(rèn)證技術(shù))。然而對于云計算來說，僅僅依賴加密解密和身份認(rèn)證技術(shù)并不能在公共的“云”中虛擬一片私有的“云”或VPC。云服務(wù)中的處理器只能對以明文形式存在的代碼和數(shù)據(jù)進(jìn)行計算，加密的東西只能是在網(wǎng)絡(luò)上或磁盤中。在內(nèi)存中的內(nèi)容不能是密文。

真正的VPC需要對云服務(wù)提供者的內(nèi)存儲器和CPU的寄存器作一種非加密方式的保護，使得租客的代碼和數(shù)據(jù)在云服務(wù)提供者的內(nèi)存和CPU的寄存器中以明文形式被處理時仍然得到私密性及完整性的保護，避免被其它租客或服務(wù)提供者竊取?，F(xiàn)有很多努力針對這個問題，比如大家所熟知的基于虛擬機實現(xiàn)的不同虛擬機之間的隔離技術(shù)。然而VPC還存在其它更深層的問題。其中的首要問題就是這些技術(shù)是否能夠與現(xiàn)有的商用操作系統(tǒng)(所謂商用現(xiàn)貨技術(shù)，Commercial Off The Shelf, COTS)一起工作。

大家所熟知的不同虛擬機之間的隔離技術(shù)并不能和商用操作系統(tǒng)有效結(jié)合，原因是虛擬機中的商用客戶操作系統(tǒng)正是最大的安全隱患：大量的黑客技術(shù)正是通過商用操作系統(tǒng)來存在的漏洞來攻擊它所服務(wù)的應(yīng)用程序。所以我們需要更細(xì)粒度的隔離機制：將商用操作系統(tǒng)與應(yīng)用程序的代碼和數(shù)據(jù)隔離開來。從上述討論中，你也許感受到了我對服務(wù)提供者強烈的不信任。的確，這正是要討論的第二個問題。事實上，既然VPC虛擬私有云計算相比公共云計算提供更多的增值服務(wù)，那考慮服務(wù)提供商的安全隱患并加以防護就是題中應(yīng)有之意。處理這種場景的一個已知并且現(xiàn)實的技術(shù)就是可信計算。到此為止，我大概已經(jīng)從兩千英尺的高度對虛擬私有云計算或VPC做了一番描述。（IT專家網(wǎng)）