如何理解虛擬私有云VPC？

申請免費試用、咨詢電話：400-8352-114

天空中的云變幻無窮，網(wǎng)絡世界的“云”也令人應接不暇：計算，存儲，平臺，彈性的，公用的，私有的，… 今天，我用Google搜索關鍵字“Virtual Private Cloud”(帶引號搜索)，競然得到了2250個結果。出于IT人士對首字母縮寫的偏愛，我又嘗試搜索“VPC”。從620萬返回結果中查看了幾頁后，我放棄了尋找我所需要的東西的嘗試。這也使我認識到現(xiàn)在對VPC這個新鮮事物進行一番思考還不算太晚。

簡單的說，虛擬私有云計算(VPC)之于公共云計算有如虛擬私有網(wǎng)絡(Virtual Private Network, VPN)之于公共網(wǎng)絡。但是因為云計算引發(fā)的疑問(和困惑)似乎遠多于網(wǎng)絡，上述類比稍嫌粗糙。我們可以認為網(wǎng)絡扮演了一個“管道”的角色，加密后的數(shù)據(jù)仍然可以通過“管道”有效傳輸。因此我們可以用密碼學的方法在公共網(wǎng)絡中實現(xiàn)VPN(當然還要結合身份認證技術)。然而對于云計算來說，僅僅依賴加密解密和身份認證技術并不能在公共的“云”中虛擬一片私有的“云”或VPC。云服務中的處理器只能對以明文形式存在的代碼和數(shù)據(jù)進行計算，加密的東西只能是在網(wǎng)絡上或磁盤中。在內存中的內容不能是密文。

真正的VPC需要對云服務提供者的內存儲器和CPU的寄存器作一種非加密方式的保護，使得租客的代碼和數(shù)據(jù)在云服務提供者的內存和CPU的寄存器中以明文形式被處理時仍然得到私密性及完整性的保護，避免被其它租客或服務提供者竊取?，F(xiàn)有很多努力針對這個問題，比如大家所熟知的基于虛擬機實現(xiàn)的不同虛擬機之間的隔離技術。然而VPC還存在其它更深層的問題。其中的首要問題就是這些技術是否能夠與現(xiàn)有的商用操作系統(tǒng)(所謂商用現(xiàn)貨技術，Commercial Off The Shelf, COTS)一起工作。

大家所熟知的不同虛擬機之間的隔離技術并不能和商用操作系統(tǒng)有效結合，原因是虛擬機中的商用客戶操作系統(tǒng)正是最大的安全隱患：大量的黑客技術正是通過商用操作系統(tǒng)來存在的漏洞來攻擊它所服務的應用程序。所以我們需要更細粒度的隔離機制：將商用操作系統(tǒng)與應用程序的代碼和數(shù)據(jù)隔離開來。從上述討論中，你也許感受到了我對服務提供者強烈的不信任。的確，這正是要討論的第二個問題。事實上，既然VPC虛擬私有云計算相比公共云計算提供更多的增值服務，那考慮服務提供商的安全隱患并加以防護就是題中應有之意。處理這種場景的一個已知并且現(xiàn)實的技術就是可信計算。到此為止，我大概已經(jīng)從兩千英尺的高度對虛擬私有云計算或VPC做了一番描述。（IT專家網(wǎng)）