當我們在雲中構建應用程式,尤其是使用了協力廠商雲服務商的服務並且我們無法完全掌控後端的每部分時,安全性可能是最需要關注的地方。但這是一項充滿挑戰的工作,因為保護應用程式的方法實在是太多了!為了改善安全性,開發者可能會使用大量工具和資源,以至於我們也許很難理解和選擇所需的內容。這就像給購物狂人一張無限額的信用卡然後把Ta丟在高檔購物中心裡一樣!說真的,確實會有點讓人感覺不知所措。我們會面臨各種選擇:IAM、加密、網路……該從哪裡著手呢?更煩的是,當我們以為自己已經可以掌控一切的時候,新的工具又出現了!
此時我們需要專注於最重要、最基礎的東西:私有IP、VLAN(虛擬區域網路)和VPC(虛擬私有雲)。這三個最根本的基礎概念構成了現代網路隔離的基石,它們之間的細微差別非常重要。
本文我們就一起來看看,這三個概念到底是什麼,又分別適合用在哪些場景中。
很多人使用私有IP位址的場合可能都非常類似:設置家庭或辦公室的本地內網時。此時我們需要配置路由器並為各種設備分配私有IP位址。建立這種安全的數位生態系統,讓我們的設備可以在不借助公共互聯網的情況下互相交流,這讓我們感到充滿了力量。私有IP地址就像是互聯網中的秘密通道。它們是分配給私有網路中設備的唯一識別碼,私有網路中的設備可以借此安全地相互通信。
然而,隨著網路的不斷擴展,我們可能會遇到私有IP位址的各種限制(家庭環境不太可能,但企業環境很容易遇到此類問題)。私有IP地址往往是標準的10.x.x.x、172.x.x.x和192.168.x.x這樣的位址,在家庭和企業級網路設備中使用。除了無法直接從公共互聯網訪問外,這類位址並未提供任何額外的隱私保護。雖然非常適用於本地通信,但對於更大的網路而言,私有IP無法提供所需的隔離和分段能力。
VLAN是將物理網路分割成多個相互隔離的虛擬網路的一種方法,這樣,每個網路都可以有自己的設備和通信規則例如對於大學校園網,此時可能就需要對教職員工、學生和管理員所使用的網路進行分段,以避免爭搶網路頻寬和資源。通過使用VLN將物理網路分割成了適合每個群體(學生、教職員工和管理人員)的獨立虛擬網路,即可重新規劃網路基礎設施,從而提高性能、安全性和可管理性。
設置VLAN感覺就像在地圖上劃定邊界,借此定義每個群體可以自由活動,不相互干擾的領土。學生有自己的VLAN進行遊戲馬拉松和網課學習;教職員工享有一個隱蔽的空間進行研究合作和講座直播;管理人員也有自己的VIP區域,用於處理敏感性資料和管理任務。
但VLAN不僅僅是將網路分割成整齊的小片段。它們使我們能夠精細控制存取權限和流量優先順序。學生不能隨意進入僅限教職員工的區域,管理資料僅對授權人員開放。此外,通過隔離流量,還有助於減少擁塞,提高所有人的網路性能。
最棒的是:這一切的實現不需要對網路的物理拓撲進行任何改動!無需昂貴的基礎設施變更或停機,VLAN純粹是在軟體層面發揮力量的,借此動態地重新定義網路邊界。(VLAN位於OSI模型的第二層)
VLAN有著改變網路架構的力量。這種技術不僅可用於劃分網路,還能為企業賦能,説明企業根據自己的獨特需求定制網路。無論大學校園還是企業總部,VLAN都提供了可優化性能、增強安全性和簡化網路管理的多功能解決方案。
DevOps過程中,很多人其實非常討厭測試/暫存環境,因為這類環境可能會帶來很多問題。某個功能在暫存環境中是否正常,這沒人會在意,大家關心的是它們在生產環境中是否正常運行。要知道一個功能在生產環境中是否正常運行的唯一方法就是在生產環境中測試它。然而,許多公司在構建和部署應用程式時仍然使用多個環境。如果不想在生產環境中測試,或者還沒有足夠的自動化機制來進行測試,那麼就應該考慮使用VPC來為開發、測試和生產創建隔離的環境。
通過為每個環境創建單獨的VPC,即可在開發、測試和生產環境之間建立清晰的界限。這種隔離可以防止干擾,並將意外後果的風險降到最低。在開發環境中發生的事情將始終留在開發環境中,這減少了產生錯誤或影響關鍵生產系統的可能性。VPC分段還允許我們在環境之間進行精確的資源配置和管理。每個環境都可以擁有自己專用的資源,如計算實例、存儲和網路資源。這確保了開發和測試活動不會為資源與生產工作負載競爭,優化了性能和穩定性。
安全工具和技術不斷發展,這一趨勢還會繼續。從簡單的私有IP到複雜的,基於雲的VPC,每一步都擴展了我們對網路設計和管理的理解。因此,無論是構建家用網路、管理企業基礎設施還是分離開發環境,瞭解私有IP、VLAN和VPC的細微差別都是必不可少的。這些技術構成了現代網路的基礎,賦予我們創造安全、可擴展和高效數位生態系統的能力。
感謝閱讀!歡迎關注Akamai,進一步瞭解與網路、管理、安全有關的方方面面。
Akamai
看影片追技術