虛擬私有云 Virtual Private Cloud (VPC)

天空中的云變幻無窮，網絡世界的“云”也令人應接不暇：計算，存儲，平臺，彈性的，公用的，私有的，… 今天，我用Google搜索關鍵字“Virtual Private Cloud”（帶引號搜索），競然得到了2250個結果。出于IT人士對首字母縮寫的偏愛，我又嘗試搜索“VPC”。從620萬返回結果中查看了幾頁后，我放棄了尋找我所需要的東西的嘗試。這也使我認識到現在對VPC這個新鮮事物進行一番思考還不算太晚。

簡單的說，虛擬私有云計算(VPC)之于公共云計算有如虛擬私有網絡(Virtual Private Network, VPN)之于公共網絡。但是因為云計算引發的疑問（和困惑）似乎遠多于網絡，上述類比稍嫌粗糙。我們可以認為網絡扮演了一個“管道”的角色，加密后的數據仍然可以通過“管道”有效傳輸。因此我們可以用密碼學的方法在公共網絡中實現VPN（當然還要結合身份認證技術）。然而對于云計算來說，僅僅依賴加密解密和身份認證技術并不能在公共的“云”中虛擬一片私有的“云”或VPC。云服務中的處理器只能對以明文形式存在的代碼和數據進行計算，加密的東西只能是在網絡上或磁盤中。在內存中的內容不能是密文。

真正的VPC需要對云服務提供者的內存儲器和CPU的寄存器作一種非加密方式的保護，使得租客的代碼和數據在云服務提供者的內存和CPU的寄存器中以明文形式被處理時仍然得到私密性及完整性的保護，避免被其它租客或服務提供者竊取?，F有很多努力針對這個問題，比如大家所熟知的基于虛擬機實現的不同虛擬機之間的隔離技術。然而VPC還存在其它更深層的問題。其中的首要問題就是這些技術是否能夠與現有的商用操作系統（所謂商用現貨技術，Commercial Off The Shelf, COTS）一起工作。大家所熟知的不同虛擬機之間的隔離技術并不能和商用操作系統有效結合，原因是虛擬機中的商用客戶操作系統正是最大的安全隱患：大量的黑客技術正是通過商用操作系統來存在的漏洞來攻擊它所服務的應用程序。所以我們需要更細粒度的隔離機制：將商用操作系統與應用程序的代碼和數據隔離開來。從上述討論中，你也許感受到了我對服務提供者強烈的不信任。的確，這正是要討論的第二個問題。事實上，既然VPC虛擬私有云計算相比公共云計算提供更多的增值服務，那考慮服務提供商的安全隱患并加以防護就是題中應有之意。處理這種場景的一個已知并且現實的技術就是可信計算。到此為止，我大概已經從兩千英尺的高度對虛擬私有云計算或VPC做了一番描述。

道里（www.daoliproject.org）是一個由EMC中國實驗室領導的多個中國大學協作的項目。該項目正是著眼于實現虛擬私有云計算VPC而嘗試提供解決方案。在上述鏈接中，你可以找到關于道里方法和背景的進一步描述。