VPC是什么，VPC能做什么，VPC详解 _VPC

VPC全称是Virtual Private Cloud ，翻译成中文是虚拟私有云。但是在有些场合也被翻译成私有网络或者专有网络等。这里其实就有些让人迷惑， VPC究竟是指云还是网络？答案是， VPC即是一种云，也是一种网络模式，不过应该从服务和技术的角度分别来看。
虚拟私有云首先从服务的角度来看， VPC指的是一种云（Cloud），这与它的字面意思相符。对于基础架构服务（IaaS），云就是指资源池。你或许听过公有云（Public Cloud），私有云（Private Cloud），混合云（Hybrid Cloud）。不过， VPC不属于这三种云中任一种。这是一种运行在公有云上，将一部分公有云资源为某个用户隔离出来，给这个用户私有使用的资源的集合。VPC是这么一种云，它由公有云管理，运行在公共资源上，但是保证每个用户之间的资源是隔离，用户在使用的时候不受其他用户的影响，感觉像是在使用自己的私有云一样。
从这种意义上看， VPC不是网络，我们可以对比VPC和它一个字面上相近的概念：VPN（Virtual Private Network）。VPN在公共的网络资源上虚拟隔离出一个个用户网络，例如IPsec VPN可以是在互联网上构建连接用户私有网络的隧道， MPLS VPN更是直接在运营商的PE设备上划分隔离的VRF给不同的用户。从提供服务的角度来，说如果VPC指的只是网络的话，那它跟VPN的概念是重复的。所以，从公有云所提供的服务来说， VPC应该理解成，向用户提供的隔离资源的集合。
VPC最早是由AWS在2009年提出[1] ，不过VPC的一些组成元素在其提出之前就已经存在。VPC只是将这些元素以私有云的视角重新包装了一下。在VPC之后，云主机只能使用VPC内部的对应的元素。从这个角度看， VPC更像是公有云服务商以打包的形式提供服务。
用户可以在公有云上创建一个或者多个VPC ，每个部门一个VPC 。对于需要连通的部门创建VPC连接。

文章插图

同时，用户也可以通过VPN将自己内部的数据中心与公有云上的VPC连接，构成混合云。

文章插图

不论哪种用例， VPC都以更加直观形象让用户来设计如何在公有云上存放自己的数据。
VPC硬件租用模式
—
VPC硬件租用模式（Hardware Tenancy）本身也是公有云提供的一种服务模式。VPC的硬件租用模式有两种，一种是共享（shared），一种是专属（dedicated）。共享是指VPC中的虚拟机运行在共享的硬件资源上，不同VPC中的虚拟机通过VPC进行隔离。专属是指VPC中的虚拟机运行在专属的硬件资源上，不同VPC中的虚拟机在物理上就是隔离的，同时VPC帮助实现网络上的隔离。专属模式相当于用户直接向公有云服务商租用物理主机。专属模式适合那些对于数据安全比较敏感的用户，不过这些物理主机还是由公有云服务商管理。
不论是共享模式还是专属模式， VPC都运行在公有云资源上，由公有云服务商管理。
专有网络从技术角度来看， VPC是用户专属的一个二层网络。
经典网络 VS VPC
—
AWS的网络产品，在VPC之前称为EC2-Classic 。去年的一个热点文章《关于阿里云的经典网络问题》说的就是这两种网络模式：Classic和VPC 。他们之间最核心的区别是：经典网络提供的是多用户共享的网络，而VPC提供的是用户专属的网络。
这里的网络就是指二层网络，经典网络模型本身有很多问题，其中最大的问题就是安全问题。除非加了特定的防火墙规则去拦截，二层网络内的所有设备默认是可以通信的。这就好比大家都挤在一个房间里，彼此的隐私很难保障一样。稍有不慎，云主机就可能被同网络的其他用户恶意攻击。而VPC能够为每个用户一个专属独立的二层网络。这样相当于给每个用户分了个房间，用户的隐私更容易得到保障。就算有恶意攻击，一般也要走到网关或者VPN设备，在这些集中的设备上，网络流量更可控。