VPC の簡単な紹介

VPC の正式名称は Virtual Private Cloud で、中国語では仮想プライベートクラウドと翻訳されます。ただし、場合によっては、プライベート ネットワークまたは独自のネットワークとも翻訳されます。これは実は少し混乱を招きます。 VPC はクラウドを指しますか、それともネットワークを指しますか?答えは、VPC はクラウド モデルとネットワーク モデルの両方ですが、それぞれサービスとテクノロジーの観点から見る必要があるということです。

1. 仮想プライベートクラウド

まず、サービスの観点から見ると、VPC は一種のクラウドを指し、文字通りの意味と一致しています。 Infrastructure as a Service (IaaS) の場合、クラウドはリソースのプールを指します。パブリッククラウド、プライベートクラウド、ハイブリッドクラウドという言葉を聞いたことがあるかもしれません。ただし、VPC はこれら 3 種類のクラウドのいずれにも属しません。これは、パブリック クラウド上で実行され、パブリック クラウド リソースの一部を特定のユーザー用に分離し、このユーザーにプライベート使用を提供するリソースのコレクションです。 VPC は、パブリック クラウドによって管理され、パブリック リソース上で実行されるクラウドの一種ですが、各ユーザー間のリソースが分離されていることを保証します。ユーザーがリソースを使用するとき、他のユーザーの影響を受けず、自分のプライベート クラウドを使用しているように感じられます。

この意味では、VPC はネットワークではありません。 VPC は、意味が似ている概念である VPN (仮想プライベート ネットワーク) と比較できます。 VPN は、パブリック ネットワーク リソース上のユーザー ネットワークを仮想的に分離します。たとえば、IPsec VPN はインターネット上にトンネルを構築してユーザーのプライベート ネットワークに接続することができ、MPLS VPN はオペレーターの PE 機器上の分離された VRF を異なるユーザーに直接分割します。サービス提供の観点から、VPC がネットワークのみを指す場合、その概念は VPN と重複します。したがって、パブリック クラウドが提供するサービスの観点からは、VPC はユーザーに提供される分離されたリソースの集合として理解する必要があります。

VPCは2009年にAWSによって初めて提案されました[1]が、VPCのいくつかのコンポーネントは提案される前からすでに存在していました。 VPC は、これらの要素をプライベート クラウドの観点から単純に再パッケージ化します。 VPC 以降、クラウド ホストは VPC 内の対応する要素のみを使用できます。この観点から見ると、VPC はパブリック クラウド サービス プロバイダーによって提供されるパッケージ化されたサービスに似ています。

ユーザーは、パブリック クラウド上に 1 つ以上の VPC (部門ごとに 1 つの VPC) を作成できます。接続が必要な部門に VPC 接続を作成します。

同時に、ユーザーは VPN を介して社内データセンターをパブリック クラウド上の VPC に接続し、ハイブリッド クラウドを形成することもできます。

ユースケースに関係なく、VPC を使用すると、ユーザーはより直感的な方法でパブリック クラウドにデータを保存する方法を設計できます。

2. VPCハードウェアレンタルモデル

VPC ハードウェア テナンシー モデル自体も、パブリック クラウドによって提供されるサービス モデルです。 VPC には、共有と専用の 2 つのハードウェア レンタル モードがあります。共有とは、VPC 内の仮想マシンが共有ハードウェア リソース上で実行され、異なる VPC 内の仮想マシンは VPC によって分離されることを意味します。専用とは、VPC 内の仮想マシンが専用のハードウェア リソース上で実行されることを意味します。異なる VPC 内の仮想マシンは物理的に分離されています。同時に、VPC はネットワークの分離を実現するのに役立ちます。専用モードは、ユーザーがパブリック クラウド サービス プロバイダーから物理ホストを直接レンタルするのと同じです。専用モードはデータセキュリティに敏感なユーザーに適していますが、これらの物理ホストは引き続きパブリッククラウド サービス プロバイダーによって管理されます。

共有モードまたは専用モードのいずれの場合でも、VPC はパブリック クラウド リソース上で実行され、パブリック クラウド サービス プロバイダーによって管理されます。

3. プライベートネットワーク

技術的な観点から見ると、VPC はユーザー専用のレイヤー 2 ネットワークです。

1. クラシックネットワークとVPC

AWS のネットワーク製品。VPC 以前は EC2-Classic と呼ばれていました。昨年、「Alibaba Cloud のクラシック ネットワークの問題」という注目の記事では、クラシックと VPC という 2 つのネットワーク モードについて説明しました。両者の主な違いは、クラシック ネットワークは複数のユーザーが共有するネットワークを提供するのに対し、VPC はユーザー専用のネットワークを提供することです。

ここでのネットワークはレイヤー 2 ネットワークを指します。従来のネットワーク モデル自体には多くの問題があり、その最大の問題はセキュリティです。特定のファイアウォール ルールを追加してブロックしない限り、レイヤー 2 ネットワーク内のすべてのデバイスはデフォルトで通信できます。まるで全員が一つの部屋に詰め込まれているようで、お互いのプライバシーを守ることが難しいのです。注意しないと、クラウド ホストが同じネットワーク上の他のユーザーから悪意のある攻撃を受ける可能性があります。 VPC は、各ユーザーに専用の独立したレイヤー 2 ネットワークを提供できます。これは、各ユーザーに部屋を割り当てるのと同じであり、ユーザーのプライバシーを保護しやすくなります。たとえ悪意のある攻撃があったとしても、通常はゲートウェイまたは VPN デバイスに攻撃が及ぶことになります。これらの集中型デバイスでは、ネットワーク トラフィックをより制御しやすくなります。

各ユーザーには専用のレイヤー 2 ネットワークがあるため、VPC モードで利用可能なレイヤー 2 ネットワークの数は、クラシック モードのそれをはるかに上回ります。実装の詳細を発表している企業はありませんが、ここでの関係は VXLAN と VLAN の関係に多少似ています。 VXLAN は 1,600 万のレイヤー 2 ネットワークを持つことができますが、VLAN は 4,000 を超えるレイヤー 2 ネットワークしか持つことができません。パブリッククラウドとプライベートクラウドの違いは、ユーザー数の多さです。 VLAN が使用され、各ユーザーがレイヤー 2 ネットワークを持つ場合、最大で 4,000 人を超えるユーザーしかサポートできません。多くのパブリック クラウド ユーザーは、まだ 1 ～ 2 台のクラウド ホストしか所有しておらず、これではパブリック クラウドのニーズを満たすことは絶対にできません。そのため、初期の従来のネットワーク モデルでは、複数のユーザーを 1 つのネットワークに押し込む必要がありました。 VXLAN などのテクノロジーを使用すると、地域内の 1,600 万人のユーザーそれぞれにレイヤー 2 ネットワークが割り当てられることが保証されます。

VPC はユーザー専用のネットワークであるため、ユーザーは VPC 内のクラウド ホストの IP アドレスを任意に定義できます。 2 番目のレイヤーは分離されており、IP アドレスを使用して何でも実行できます。従来のネットワーク モードでは、すべてのユーザーがレイヤー 2 ネットワークに密集しており、まず IP アドレスが重複しないことを保証する必要がありますが、これはユーザーとサービス プロバイダーにとって好ましいことではありません。

2. VPC ネットワークオーバーレイ

AWS[2]が発表した情報によると、VPCデータのカプセル化はVXLANなどのネットワークオーバーレイ技術と非常によく似ています。下の図からわかるように、オレンジ色の VPC では、10.0.0.2 から 10.0.0.3 に送信されたネットワーク データは、最終的にホスト間の通信メッセージにカプセル化されます。

元のレイヤー 2 フレームは VPC ラベルによってカプセル化され、その後別の IP パケットにカプセル化されます。これは、VXLAN のカプセル化方法とまったく同じです。しかし、AWSがVPCの使用を開始したのは2010年であるのに対し、VXLAN標準は2014年まで確定していなかったことを明確にしておく必要があります[3]。 AWS の VPC は VXLAN とは異なるかもしれませんが、VXLAN の観点から見ると VPC のオーバーレイを理解しやすくなります。

VPC はネットワーク オーバーレイを使用した後、L3 の上に L2 を構築できます。このような VPC 内の仮想マシンは、データセンター内で任意に分散できます。実際には、クラウド ホストが恣意的に分散されることは絶対になく、ホスト スケジューリングの最適化アルゴリズムもいくつか存在しますが、少なくともネットワークはクラウド ホストの展開を制限する要因にはなりません。たとえば、VLAN を使用する場合、デバイスが飽和状態に近く、他のデバイスがアイドル状態であっても、仮想マシンは対応する VLAN をサポートするデバイスに展開する必要があります。下の図に示すように、左側のラックは対応するネットワークをサポートしていないため、対応するクラウド ホストは右側のラックがいっぱいになるまでしか詰め込むことができません。一方、左側のラックの積載量は 50% 未満です。

Overlay により、VPC はネットワーク ハードウェアによる制限を受けなくなり、VPC 内のクラウド ホストをコンピューター ルーム全体に展開できるようになります。

4. VPC と SDN

2017年にAWSはVPCがソフトウェア（コード）上に構築され、VPCがSDNであると提案しました[4]。前述したように、VPC はレイヤー 2 ネットワークであり、L3 上に構築された L2 オーバーレイ ネットワークです。 VPC が SDN であると言う場合、実際には VPC が SDN によって制御されることを意味します。 AWS の VPC は、マッピングサービスと呼ばれるコンポーネントに依存しています。仮想マシンが相互に通信する必要がある場合、まずマッピング サービスに要求が送信され、マッピング サービスが宛先仮想マシンの対応する情報 (宛先仮想マシンのホスト IP アドレスなど) を検索します。マッピング サービスは、対応する情報を使用してそれをオーバーレイ データにカプセル化し (VXLAN データにカプセル化するのと同様)、送信します。

3 層通信の場合、通常はゲートウェイに送信され、ゲートウェイから宛先の仮想マシンに転送されます。 AWS VPC の場合、マッピング サービスは第 3 層通信の情報検索とデータのカプセル化も完了します。これにより、ルーターも節約されます。

ここでのマッピング サービスは、SDN コントローラーと同じ機能を持ちます。 SDN コントローラーにはすべてのネットワーク情報が保存されています。レイヤー 2 およびレイヤー 3 通信が必要な場合、SDN コントローラはネットワーク データ パケットに従って OpenFlow フロー テーブルを送信し、仮想マシン間の直接通信を可能にします。

マッピング サービスが SDN コントローラーである場合、より具体的には、各ホストにマッピング サービス キャッシュがあるため、分散 SDN コントローラーでもあります。このディストリビューションにより、高速コンピューティングが可能になります。

1. VPC関連のネットワークリソース

VPC はプライベートネットワークを指しますが、ネットワークを支えるリソースは多数あり、これらのネットワークリソースは VPC 単位で分割されます。つまり、VPC で定義されたネットワーク リソースは、この VPC 内の仮想マシンでのみ使用できます。これは、先ほどサービスについて説明した際に言及しました。これらのリソース[5]は次のように要約できます。

セキュリティ グループ、サブネット、ネットワーク ACL、ルーティング テーブル、ルーター、これらはすべて古いニュースです。これらのリソースを VPC ユニットに分割すると、プライバシーの意識をより高めることができます。しかし実際には、これらのリソースのほとんどは仮想的なものであり、各ユーザーが共有してもパブリック クラウド オペレーターのコストは増加しません。

VPC はレイヤー 2 ネットワークですが、AWS はルーターを介して VPC 下の 2 つのサブネットを接続することに注意してください。

2. VPCエッジデバイス

先ほどサービスについて説明したように、VPC はサービスの観点から見ると仮想プライベート クラウドであり、パブリック クラウド オペレーターがユーザーに提供する分離されたリソースの集合を指します。それはパブリッククラウド上に浮かぶ島に相当します。 VPC を本当に強力にしているのは、さまざまな接続テクノロジーです。 AWS は、VPC が以下を実行できるエッジデバイス (Blackfoot Edge Device) を提供します。

• 別のVPCへの接続
• インターネットに接続
• ユーザーのプライベート クラウドとの VPN 接続を確立します。
• 他の AWS サービスとの接続を確立します。

これは、VPC ネットワークを構築する際のパブリック クラウド サービス プロバイダーの真の競争上の優位性です。このようなエッジデバイスにより、VPC は孤立した島ではなく、他の土地とつながる橋になります。ここでのエッジ デバイスは VNF と見なすことができます。 AWS では、このエッジ デバイスにトラフィックを誘導するために、ユーザーが VPC 内でルーティングを手動で構成する必要があります。

V. 結論

VPC は、ユーザーとパブリック クラウド サービス プロバイダーの両方にとってより良い選択肢です。まず、ユーザーは VPC 内で IP アドレスを任意に定義できます。次に、VPC はすべてのクラウド ホストを運び、他の VPC から分離されたコンテナのようなものです。 3 番目に、ユーザーはさまざまな接続サービス (VPN、NAT など) を使用して、VPC を既存のネットワークに接続することもできます。これにより、オンデマンドのネットワーク接続を提供しながら、ユーザーのネットワーク分離が保証されます。パブリック クラウド サービス プロバイダーにとって、VPC は実際にはパブリック クラウドにおける SDN のアプリケーションです。ソフトウェアで制御可能な Overlay により、サービス プロバイダーのハードウェア使用率が向上し、ハードウェア メーカーへの依存度が軽減されます。これに基づいて、パブリック クラウド サービス プロバイダーもより優れたネットワーク サービスを提供できるようになります。