当我们在云中构建应用程序,尤其是使用了第三方云服务商的服务并且我们无法完全掌控后端的每部分时,安全性可能是最需要关注的地方。但这是一项充满挑战的工作,因为保护应用程序的方法实在是太多了!为了改善安全性,开发者可能会使用大量工具和资源,以至于我们也许很难理解和选择所需的内容。这就像给购物狂人一张无限额的信用卡然后把Ta丢在高档购物中心里一样!说真的,确实会有点让人感觉不知所措。我们会面临各种选择:IAM、加密、网络……该从哪里着手呢?更烦的是,当我们以为自己已经可以掌控一切的时候,新的工具又出现了!
Akamai认为,此时我们需要专注于最重要、最基础的东西:私有IP、VLAN(虚拟局域网)和VPC(虚拟私有云)。这三个最根本的基础概念构成了现代网络隔离的基石,它们之间的细微差别非常重要。
本文我们就一起来看看,这三个概念到底是什么,又分别适合用在哪些场景中。
私有IP
很多人使用私有IP地址的场合可能都非常类似:设置家庭或办公室的本地内网时。此时我们需要配置路由器并为各种设备分配私有IP地址。建立这种安全的数字生态系统,让我们的设备可以在不借助公共互联网的情况下互相交流,这让我们感到充满了力量。私有IP地址就像是互联网中的秘密通道。它们是分配给私有网络中设备的唯一标识符,私有网络中的设备可以借此安全地相互通信。
然而,随着网络的不断扩展,我们可能会遇到私有IP地址的各种限制(家庭环境不太可能,但企业环境很容易遇到此类问题)。私有IP地址往往是标准的10.x.x.x、172.x.x.x和192.168.x.x这样的地址,在家庭和企业级网络设备中使用。除了无法直接从公共互联网访问外,这类地址并未提供任何额外的隐私保护。虽然非常适用于本地通信,但对于更大的网络而言,私有IP无法提供所需的隔离和分段能力。
VLAN
VLAN是将物理网络分割成多个相互隔离的虚拟网络的一种方法,这样,每个网络都可以有自己的设备和通信规则例如对于大学校园网,此时可能就需要对教职员工、学生和管理员所使用的网络进行分段,以避免争抢网络带宽和资源。通过使用VLN将物理网络分割成了适合每个群体(学生、教职员工和管理人员)的独立虚拟网络,即可重新规划网络基础设施,从而提高性能、安全性和可管理性。
设置VLAN感觉就像在地图上划定边界,借此定义每个群体可以自由活动,不相互干扰的领土。学生有自己的VLAN进行游戏马拉松和网课学习;教职员工享有一个隐蔽的空间进行研究合作和讲座直播;管理人员也有自己的VIP区域,用于处理敏感数据和管理任务。
但VLAN不仅仅是将网络分割成整齐的小片段。它们使我们能够精细控制访问权限和流量优先级。学生不能随意进入仅限教职员工的区域,管理数据仅对授权人员开放。此外,通过隔离流量,还有助于减少拥塞,提高所有人的网络性能。
最棒的是:这一切的实现不需要对网络的物理拓扑进行任何改动!无需昂贵的基础设施变更或停机,VLAN纯粹是在软件层面发挥力量的,借此动态地重新定义网络边界。(VLAN位于OSI模型的第二层)
VLAN有着改变网络架构的力量。这种技术不仅可用于划分网络,还能为企业赋能,帮助企业根据自己的独特需求定制网络。无论大学校园还是企业总部,VLAN都提供了可优化性能、增强安全性和简化网络管理的多功能解决方案。
VPC
DevOps过程中,很多人其实非常讨厌测试/暂存环境,因为这类环境可能会带来很多问题。某个功能在暂存环境中是否正常,这没人会在意,大家关心的是它们在生产环境中是否正常运行。要知道一个功能在生产环境中是否正常运行的唯一方法就是在生产环境中测试它。然而,许多公司在构建和部署应用程序时仍然使用多个环境。如果不想在生产环境中测试,或者还没有足够的自动化机制来进行测试,那么就应该考虑使用VPC来为开发、测试和生产创建隔离的环境。
通过为每个环境创建单独的VPC,即可在开发、测试和生产环境之间建立清晰的界限。这种隔离可以防止干扰,并将意外后果的风险降到最低。在开发环境中发生的事情将始终留在开发环境中,这减少了产生错误或影响关键生产系统的可能性。VPC分段还允许我们在环境之间进行精确的资源分配和管理。每个环境都可以拥有自己专用的资源,如计算实例、存储和网络资源。这确保了开发和测试活动不会为资源与生产工作负载竞争,优化了性能和稳定性。
总结
安全工具和技术不断发展,这一趋势还会继续。从简单的私有IP到复杂的,基于云的VPC,每一步都扩展了我们对网络设计和管理的理解。因此,无论是构建家庭网络、管理企业基础设施还是分离开发环境,了解私有IP、VLAN和VPC的细微差别都是必不可少的。这些技术构成了现代网络的基础,赋予我们创造安全、可扩展和高效数字生态系统的能力。
