VPC（Virtual Private Cloud）的前世今生

VPC (Virtual Private Cloud) ，英文翻译为虚拟私有云，但纵观所有公有云厂商对VPC的解释，都是将其归属于网络。那么VPC到底是云还是网呢？如果从VPC中所承载的租户IaaS资源看，也可以将其理解成云，但其实业界在讨论VPC时，主要还是指公有云中用于租户隔离的网络。

我们知道云计算的落地场景，有公有云、私有云和混合云之分， 私有云的建设，网络由用户自主规划，用户的IT资源承载在一个完全独立的网络环境下。如果我们要将客户的IT资源或者私有云迁移到公有云，那么就需要解决不同用户之间的网络隔离问题，给用户提供一个安全、独立的私有网络，VPC正是在这样一个背景下应运而生的，所以VPC确切地说是云计算场景下用于用户资源隔离的一种虚拟网络。

VPC对于云计算的意义，是很好地解决了云环境中用户之间的网络安全隔离，以及用户对云计算供应商的信任问题，只有当用户在云上创建的主机资源不能轻易被其他用户访问时，用户才能放心地将业务部署于公有云上。就好像开发商要卖给我们房子，就需要设计出各种户型，里面有独立的厨房、客厅、卧室以及水电，因为我们都希望有一个属于自己的私密空间和独享的配套资源。

VPC 的前世

从技术角度看，VPC是用户专属的网络，可以用户自定义IP，与之对应的，是VPC出现之前的经典网络。

经典网络是在云环境中让不同用户共享一个网络，由云服务商分配IP，这样最大的隐患是安全问题，我们都知道同一个网络的主机，在没有安全隔离措施下，默认是可以通信的，就好像我们住集体宿舍，彼此很难有隐私和独立空间，把云主机置放于这样的网络环境下，也同样会让用户缺乏安全感。

受限于VLAN数量，对于公有云而言，经典网络在每个可用区能够提供的网络数量也是比较有限的。

VPC 的今生

VPC的目标是在云计算环境中为用户提供相互隔离的虚拟网络，这里说到虚拟网络，相信大家对于VPN（Virtual Private Network）都不陌生， 其实在云计算兴起之前很多年，就已经有IPsec VPN和MPLS VPN等技术成熟应用于各种网络。VPC中提供租户隔离的虚拟网络，本质上和VPN一样，也是一种隧道技术，业界称之为Overlay网络，是基于数据中心的物理网络，采用SDN技术动态创建的。

网络隧道的封装协议有多种，但在数据中心领域，当前主流的Overlay封装协议是VXLAN，当然在VXLAN标准化之前，也已经有云计算供应商采用其他的协议实现了隧道封装，比如GRE。

VPC 的技术流派

业界根据隧道封装位置的不同，将Overlay分为主机Overlay和网络Overlay两大流派。主机Overlay是将隧道的封装节点放在服务器上，通过在服务器上创建vSwitch，由vSwitch做Overlay隧道的封装和解封装，同时承担报文的转发功能。

网络Overlay则是将隧道的封装节点放在接入交换机上，主机Overlay的优势是灵活，对网络设备型号无要求，但无法满足租户对裸金属服务器的需求，而网络Overlay则能很好地解决这一问题，但对交换机型号有严格要求。目前来看，多数公有云厂商都选择了主机Overlay技术来实现VPC，而网络设备厂商则在私有云领域主推网络Overlay技术。

根据Overlay的转发原理，又可将VPC分为集中式控制和分布式控制两种，所谓集中式控制，就是全网所有云主机都将自己的信息上报给SDN控制器，由SDN控制器对vSwitch进行转发表项的下发。分布式控制则是由网络设备自行进行转发表项的学习，时下比较热门的EVPN+VXLAN方案即是属于此类型。

转载自微信公众号 “平安云Fincloud”