什麼是 Transit 虛擬私人雲端 (VPC)?
目錄
中轉 VPC 是一種閘道架構,用來將地理位置分散的 VPC 或 VNets 互相連接,並連接至遠端網路。轉接 VPC 可簡化網路架構、降低作業開銷,並透過將服務設置在靠近 VPC 的位置,將雲端服務供應商 (CSP) 與企業資料中心之間的網路流量降至最低。
轉運 VPC 的必要性
組織正快速將企業應用程式和資料遷移至 Google Cloud、Amazon Web Services (AWS®)、Microsoft Azure® 及其他 CSP。很少有企業選擇取消現有的資料中心,而是形成由內部部署和 CSP 資源組成的混合雲端。這種混合方式可讓網路管理者靈活地動態平衡成本、安全性和容量需求。
混合雲端設計中的一個問題是決定互連 VPC 的方法。小型部署通常使用 full-mesh 架構,其中每個 VPC 都會以對等的方式連接所有其他 VPC。隨著 VPC 數量的增加,VPC 之間的對等連接數量也會呈指數級增加。舉例來說,五個 VPC 只需要 10 個互連,但將 VPC 數量增加一倍至 10 個,連接數就會增加四倍以上,達到 45 個。對於擁有數百甚至數千個 VPC 的大型企業來說,全網狀方式並不實際。
另一個潛在問題是,當組織完全依賴位於資料中心的服務,尤其是防火牆時,就會出現瓶頸。保護服務供應商雲端中的 VPC 需要在 CSP 與資料中心之間進行大量的回程流量,這種配置效率低且難以大規模擴充。網路架構師需要一種方法,將防火牆服務移近 VPC,同時保留從中央位置管理整個安全性結構的能力。
轉接 VPC 如何運作
轉接 VPC 使用軸輻式架構,其中每個辐式 VPC 透過 IPsec 通道連接至樞紐轉接 VPC。為了提供備援,中轉 VPC 包含兩個虛擬防火牆,交叉連接至每個 VPC(請參閱圖 1)。虛擬防火牆會根據本機政策檢查流量(例如,只有 IT 網域中的使用者才能啟動 FTP 傳輸或啟動遠端使用者會話)。網路管理員可從中央管理系統管理虛擬防火牆的政策,避免使用多個控制台。
這種閘道方式使用中轉閘道路由表在 VPC 之間路由流量,不需要對等互連。使用轉接 VPC 也可以減少或免除許多 CSP 對跨越區域邊界的 VPC 對等連接所收取的費用。
圖 1:轉接 VPC 架構
大規模擴充轉接 VPC
轉接 VPC 可避免與全網狀架構相關的大規模問題,在全網狀架構中,互連數目會隨著 VPC 的增加而呈指數級成長。在中轉 VPC 架構中,每個 VPC 只需要兩個連線,因此連線數呈線性增加。虛擬防火牆可能的連線數目有限,但可視需要增加額外的防火牆 (請參閱圖 2)。
圖 2:轉接 VPC 支援兩倍的 VPC 和虛擬防火牆數量
使用案例
傳輸 VPC 架構支援一系列重要的使用個案,包括
- 私人網路:組織可以建立跨越兩個或更多 CSP 區域的專用網路。
- 共用連線:多個 VPC 可以共用連線至資料中心、合作夥伴網路和其他雲端。
- 跨帳戶使用:VPC 及其中的資源可以駐留在多個 CSP 帳戶中。
優點
中轉 VPC 架構的優點包括
- 簡化連接:如前所述,對等連接的數量會隨著 VPC 的增加而呈指數級成長。軸輻式架構可將 VPC 之間和遠端網路所需的連線數量降至最低。
- 簡化管理:全球企業應用程式往往分佈在多個雲端地點、供應商和企業網路上。將它們整合到轉接 VPC 架構中,可將它們納入單一的同質網路管理架構。
- 簡化可視性與網路控制:全球企業通常會依賴位於不同 CSP 區域的 VPC。閘道模式支援集中管理,因此網路管理員可從單一控制台管理所有 VPC 和邊緣連線。
- 無縫擴充能力:中轉 VPC 只需在中轉 VPC 中增加更多虛擬防火牆,即可進行大規模擴充。頂級防火牆供應商提供的自動化工具甚至可以執行必要的組態和互連任務,無需人工干预。
請 造訪我們的網站 ,瞭解更多關於中轉 VPC 架構的資訊。
