Es gibt zwei primäre Möglichkeiten, über die Private Cloud zu sprechen. Die eine ist die physische Trennung von Ressourcen auf dedizierter Hardware, die andere die virtuelle Trennung durch isolierte Netzwerke.
Bei einer Private Cloud durch physische Trennung mieten wir in der Regel Hardware als Einzelmieter und unsere Ressourcen sind spürbar von denen aller anderen getrennt. Bei der Private Cloud durch virtuelle Trennung befinden sich unsere Ressourcen in einer mandantenfähigen Umgebung, die auf der Softwareebene von anderen Nutzern und dem öffentlichen Internet isoliert ist. Dies wird manchmal als interne Cloud, Intranet oder, häufiger, als Virtual Private Cloud (VPC) bezeichnet.
Das Hauptmerkmal einer privaten Cloud ist letztlich die Möglichkeit, unsere Infrastruktur zu isolieren und zu schützen. Dies erhöht die Sicherheit, indem es die Angriffsfläche unseres Netzwerks erheblich reduziert. Mit VPCs können wir dies auf Software-Ebene erreichen und gleichzeitig kosteneffizient bleiben.
Verstehen von VPCs, VLANs und VPNs
In einer VPC sind die Server von anderen Public-Cloud-Ressourcen abgeschottet und in der Regel auf eine eigene Sammlung oder einen Satz von Subnetzen beschränkt. Eine andere Möglichkeit, diese Eingrenzung zu erreichen, ist ein virtuelles lokales Netzwerk (VLAN).
Um zu verstehen, welche Rolle VLAN spielt, stellen Sie sich fünf Desktop-Computer in einem Raum vor, die über Ethernet-Kabel miteinander verbunden sind, um privat miteinander zu kommunizieren. Früher haben die Menschen dies tatsächlich getan, aber heute entfernen wir die Kabel und verlagern unsere Konnektivität von der physischen auf die Datenverbindungsschicht des OSI-Modells mit VLANs.
Im obigen Beispiel befinden sich unsere Benutzer im selben Raum, aber das ist heutzutage kein übliches Szenario. Damit die Benutzer von einem externen Standort aus auf unser isoliertes Netzwerk zugreifen können, müssen wir ein virtuelles privates Netzwerk (VPN) einrichten. Ein VPN ermöglicht es einem Benutzer, sich über einen verschlüsselten Tunnel über das öffentliche Internet sicher mit einem privaten Netzwerk zu verbinden.
Zusammenfassend lässt sich sagen, dass wir eine VPC oder VLAN verwenden können, um ein isoliertes Netzwerk zu schaffen, und ein VPN ist das, was wir verwenden, um sicher auf dieses isolierte Netzwerk zuzugreifen. Die Begriffe VPC und VLAN werden manchmal austauschbar verwendet, aber wir können sehen, dass sie sicherlich nicht dasselbe sind.
Kann eine VLAN als VPC verwendet werden?
Die kurze Antwort lautet: Ja, wir können eine VLAN als VPC verwenden. VLANs bieten eine Netzwerktrennung, die es uns ermöglicht, sensible Informationen in einem sicheren Bereich zu hosten, aber dies erfordert einige zusätzliche Planung und Überlegungen. Ein wesentlicher Unterschied zwischen VLANs und einer echten VPC besteht in der Betrachtung der Schichten 2 und 3 des OSI-Modells. Schauen wir uns das einmal genauer an.
Schicht 2, die Datenverbindungsschicht, umfasst die Vermittlung und die Ethernet-Verkabelung. Da VLAN im Wesentlichen ein virtualisierter Ersatz für physische Ethernet-Kabel ist, würde man es als Layer-2-Isolierung bezeichnen. Wenn wir eine VM an eine VLAN anschließen, sind wir effektiv mit unserem eigenen isolierten virtuellen Netzwerk-Switch verbunden.
Schicht 3, die Netzwerkschicht, umfasst IPv4 und IPv6. Firewalls beispielsweise befinden sich auf Schicht 3 (oder darüber) und überwachen und filtern den Datenverkehr nach IP-Adressen mit Hilfe von Erlaubnis- und Sperrlisten. Dazu gehören in der Regel Firewalls auf Netzwerk- und Betriebssystemebene. Ein echter VPC würde integrierte Lösungen für Schicht 2, Schicht 3 und darüber umfassen.
Um unsere Verbindungen zwischen Schicht 2 und darüber zu sichern, müssen wir einige zusätzliche Werkzeuge einsetzen. Firewalls auf Betriebssystemebene können mit iptables oder nftables implementiert werden. Möglicherweise müssen wir auch Schutzmaßnahmen für das Adressauflösungsprotokoll (ARP) und die Nachbarschaftserkennung (ND) vorsehen.
Wie wir sehen, reichen VLANs zwar aus, um unsere VMs zu isolieren, aber wir haben noch einiges zu tun, bevor wir sie als echte virtuelle private Cloud nutzen können. Um auf den Vergleich mit unserem Ethernet-Kabel zurückzukommen: Die Risiken und Sicherheitsüberlegungen unterscheiden sich nicht von denen einer Reihe physischer Maschinen, die an einen gemeinsamen Netzwerk-Switch angeschlossen sind.
Kann eine VLAN als VPC auf Linode verwendet werden?
Die kurze Antwort lautet wieder: Ja, wir können VLAN als VPC auf Linode verwenden. Linode bietet ein VLAN Produkt an, das direkt vom Cloud Manager aus eingesetzt werden kann und es uns ermöglicht, eine sichere Layer-2-Netzwerkisolierung zwischen unseren Linodes zu erreichen. Aber es ist wichtig, dass Sie Ihre Anforderungen berücksichtigen und sicherstellen, dass Sie einen Plan für die Konfiguration zusätzlicher Layer-3-Lösungen haben.
Machen Sie den Anfang und sehen Sie sich einige häufige Anwendungsfälle für Linodes VLAN Service an. Linode VLANs können Sie kostenlos mit Ihren Linodes nutzen und sind in mehreren Rechenzentren auf der ganzen Welt verfügbar. Zusätzlich zur sicheren Isolierung Ihrer Ressourcen ist die Übertragung von privaten Netzwerken kostenlos. Das bedeutet, dass die Kommunikation über VLAN nicht auf die monatliche Netzwerkübertragungsquote eines Linode angerechnet wird.
Kommentare