跳到主要内容
博客联网Go 使用VLANs和VPCs的隐私

Go 使用VLAN和VPC的私有化

Go-有VLANs和VPCs的私有制

有两种主要方式来谈论私有云。一种是资源在专用硬件上的物理分离,另一种是通过隔离网络的虚拟分离。

当我们通过物理分离的方式拥有私有云时,我们通常作为单一租户用户租用硬件,我们的资源与其他人的资源有明显区别。私有云通过 虚拟 分离,我们的资源在一个多租户环境中,在软件层面上与其他用户和公共互联网隔离。这有时被称为内部云,内部网,或更常见的,虚拟私有云(VPC)

归根结底,私有云的核心特征是能够隔离和保护我们的基础设施。这通过大大减少我们网络的攻击面来提高安全性。VPC使我们能够在软件层面上实现这一目标,同时保持成本效益。

了解VPCs、VLANs和VPNs

在VPC中,服务器与其他公共云资源隔绝,通常被限制在他们自己的子网集合或集合中。实现这种限制的另一种方法是使用虚拟局域网(VLAN)。 

为了理解VLAN所起的作用,想象一下在一个房间里的五台台式电脑用以太网电缆连接在一起,相互之间进行私下通信。从前,人们确实会这样做,但今天我们去掉了电缆,用VLAN将我们的连接从OSI模型的物理层转移到数据链路层。

在上面的例子中,我们的用户在同一个房间里,但这并不是今天常见的情况。为了让用户从外部位置访问我们的隔离网络,我们需要建立一个虚拟专用网络(VPN)。VPN是用户通过一个加密的隧道在公共互联网上安全地连接到一个私人网络的手段。

总之,我们可以使用VPC或VLAN来创建一个隔离的网络,而VPN就是用来安全地访问这个隔离的网络。VPC和VLAN这两个术语有时可以互换使用,但我们可以看到它们肯定是不一样的。

一个VLAN可以作为一个VPC使用吗?

简短的回答是:是的,我们可以使用VLAN作为VPC。VLAN提供了网络隔离,这使我们能够在一个安全的空间里托管敏感信息,但这需要一些额外的规划和考虑。通过查看OSI模型的第2层和第3层,可以发现VLAN和真正的VPC之间的一个主要区别。让我们深入了解一下。

第二层,数据链路层,包括交换和以太网电缆。由于VLAN本质上是物理以太网电缆的虚拟化替代物,它将被视为第二层隔离。当把一个虚拟机连接到一个VLAN上时,我们就有效地插入了我们自己的隔离的虚拟网络交换机。

第三层,即网络层,包括IPv4和IPv6。例如,防火墙处于第三层(或以上),使用允许和阻止列表按IP地址监测和过滤流量。这通常包括网络和操作系统级别的防火墙。一个真正的VPC将包括涵盖第2层、第3层和以上的内置解决方案。

*注意,应用层面的第7层防火墙允许更细化的控制,例如根据流量的内容而不是仅仅根据端口或IP地址阻止或允许流量。

为了确保我们在第2层以上的连接,我们需要做一些额外的工具。操作系统级别的防火墙可以用iptables或nftables实现。我们可能还需要提供地址解析协议(ARP)和邻居发现(ND)的保护。 

我们可以看到,虽然 VLAN 的功能足以隔离我们的虚拟机,但在将其用作真正的虚拟私有云之前,我们还有一些工作要做。回到我们的以太网电缆比较,其风险和安全考虑与将一组物理机器插入共享网络交换机并无不同。

一个VLAN可以作为Linode上的VPC吗?

简短的回答是,是的,我们可以使用VLAN作为Linode上的VPC。Linode提供的VLAN产品可以直接从云管理器中部署,使我们能够在Linode之间实现安全的第二层网络隔离。但是,关键是要考虑你的要求,并确保你有计划地配置额外的第三层解决方案

通过查看Linode的VLAN服务的一些常见使用案例来开始吧。Linode VLANs可以免费与您的Linode一起使用,并且在全球多个数据中心都可以使用。除了安全地隔离你的资源外,私人网络传输也是免费的。这意味着通过VLAN的通信不计入Linode的每月网络传输配额。


注释

留下回复

您的电子邮件地址将不会被公布。 必须填写的字段被标记为*