如何理解虛擬私有云VPC？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

天空中的云變幻無窮，網(wǎng)絡(luò)世界的“云”也令人應(yīng)接不暇：計(jì)算，存儲(chǔ)，平臺(tái)，彈性的，公用的，私有的，… 今天，我用Google搜索關(guān)鍵字“Virtual Private Cloud”(帶引號(hào)搜索)，競(jìng)?cè)坏玫搅?250個(gè)結(jié)果。出于IT人士對(duì)首字母縮寫的偏愛，我又嘗試搜索“VPC”。從620萬返回結(jié)果中查看了幾頁后，我放棄了尋找我所需要的東西的嘗試。這也使我認(rèn)識(shí)到現(xiàn)在對(duì)VPC這個(gè)新鮮事物進(jìn)行一番思考還不算太晚。

簡(jiǎn)單的說，虛擬私有云計(jì)算(VPC)之于公共云計(jì)算有如虛擬私有網(wǎng)絡(luò)(Virtual Private Network, VPN)之于公共網(wǎng)絡(luò)。但是因?yàn)樵朴?jì)算引發(fā)的疑問(和困惑)似乎遠(yuǎn)多于網(wǎng)絡(luò)，上述類比稍嫌粗糙。我們可以認(rèn)為網(wǎng)絡(luò)扮演了一個(gè)“管道”的角色，加密后的數(shù)據(jù)仍然可以通過“管道”有效傳輸。因此我們可以用密碼學(xué)的方法在公共網(wǎng)絡(luò)中實(shí)現(xiàn)VPN(當(dāng)然還要結(jié)合身份認(rèn)證技術(shù))。然而對(duì)于云計(jì)算來說，僅僅依賴加密解密和身份認(rèn)證技術(shù)并不能在公共的“云”中虛擬一片私有的“云”或VPC。云服務(wù)中的處理器只能對(duì)以明文形式存在的代碼和數(shù)據(jù)進(jìn)行計(jì)算，加密的東西只能是在網(wǎng)絡(luò)上或磁盤中。在內(nèi)存中的內(nèi)容不能是密文。

真正的VPC需要對(duì)云服務(wù)提供者的內(nèi)存儲(chǔ)器和CPU的寄存器作一種非加密方式的保護(hù)，使得租客的代碼和數(shù)據(jù)在云服務(wù)提供者的內(nèi)存和CPU的寄存器中以明文形式被處理時(shí)仍然得到私密性及完整性的保護(hù)，避免被其它租客或服務(wù)提供者竊取?，F(xiàn)有很多努力針對(duì)這個(gè)問題，比如大家所熟知的基于虛擬機(jī)實(shí)現(xiàn)的不同虛擬機(jī)之間的隔離技術(shù)。然而VPC還存在其它更深層的問題。其中的首要問題就是這些技術(shù)是否能夠與現(xiàn)有的商用操作系統(tǒng)(所謂商用現(xiàn)貨技術(shù)，Commercial Off The Shelf, COTS)一起工作。

大家所熟知的不同虛擬機(jī)之間的隔離技術(shù)并不能和商用操作系統(tǒng)有效結(jié)合，原因是虛擬機(jī)中的商用客戶操作系統(tǒng)正是最大的安全隱患：大量的黑客技術(shù)正是通過商用操作系統(tǒng)來存在的漏洞來攻擊它所服務(wù)的應(yīng)用程序。所以我們需要更細(xì)粒度的隔離機(jī)制：將商用操作系統(tǒng)與應(yīng)用程序的代碼和數(shù)據(jù)隔離開來。從上述討論中，你也許感受到了我對(duì)服務(wù)提供者強(qiáng)烈的不信任。的確，這正是要討論的第二個(gè)問題。事實(shí)上，既然VPC虛擬私有云計(jì)算相比公共云計(jì)算提供更多的增值服務(wù)，那考慮服務(wù)提供商的安全隱患并加以防護(hù)就是題中應(yīng)有之意。處理這種場(chǎng)景的一個(gè)已知并且現(xiàn)實(shí)的技術(shù)就是可信計(jì)算。到此為止，我大概已經(jīng)從兩千英尺的高度對(duì)虛擬私有云計(jì)算或VPC做了一番描述。（IT專家網(wǎng)）