OTC(Open Telekom Cloud)與AWS對比之VPC

VPC（Virtual Private Cloud）作為云計算最基礎的服務，在云計算使用中有著重要的作用。下面我們對OTC和AWS中的提供的VPC服務進行一下詳細的比較。

• 提供的服務種類

OTC：                        AWS：

從數量上來看AWS提供的服務種類更多，下面我們來詳細比較一下各個服務

1、VPC

OTC和AWS VPC服務基本相同。推薦的私有IPV4地址范圍CIDR塊

10.0.0.0/8–24

172.16.0.0/12–24

192.168.0.0/16–24

但AWS支持IPV6，OTC暫時還不支持

2、Subnet

OTC和AWS Subnet服務也基本相同，但OTC可以自定義網關地址。AWS使用默認網關地址。

AWS每個子網 CIDR 塊中的前四個 IP 地址和最后一個 IP 地址無法供您使用，而且無法分配到一個實例。例如，在具有 CIDR 塊 10.0.0.0/24的子網中，以下五個 IP 地址是保留的：

10.0.0.0：網絡地址。

10.0.0.1：由 AWS 保留，用于 VPC 路由器。

10.0.0.2：由 AWS 保留。DNS 服務器的 IP 地址始終為 VPC 網絡范圍的基址 + 2；但是，我們也保留了每個子網范圍基址 + 2 的 IP 地址。有關更多信息，請參閱 Amazon DNS 服務器。

10.0.0.3：由 AWS 保留，供將來使用。

10.0.0.255：網絡廣播地址。我們在 VPC 中不支持廣播，因此我們會保留此地址。

3、Route table

OTC的Route table 是VPC下的一個屬性和AWS的route table提供的服務完全不一樣

OTC Route table的主要作用是When ECSs in a VPC need to access the Internet, add a route toenable the ECSs to access the Internet through the ECS that has an EIP bound.

Route table 和 SNAT要一起使用來實現沒有彈性IP的ECS主機連接internet的功能

To use the route table function provided by the VPCservice, you need to deploy the SNAT function on an ECS to enables other ECSsthat do not have EIPs bound in a VPC to access the Internet through this ECS.

AWS route table 是定義子網路由規則的

示例

AWS route table 可以定義到各種特定網關和連接的路由，包括

Internet 網關的路由表

NAT 設備的路由表

虛擬專用網關的路由表

VPC 對等連接的路由表

VPC 端點的路由表

OTC route table 應該是指實現了 AWS NAT 設備的路由表這一個功能。當然這也可能是因為OTC還未提供其他類型的各種網關

4、Security Group

OTC和AWS安全組功能基本相同。安全組充當實例的虛擬防火墻以控制入站和出站流量。

5、Elastic IP

OTC和AWS彈性IP基本是一樣的。OTC提供的彈性IP可以限制帶寬。AWS是無帶寬限制的。OTC每個賬戶可以申請的彈性IP數量比較大50個，但AWS只有5個。可能是因為OTC沒有internet網關這個服務，ECS連接internet都需要EIP或者通過SNAT。

6、VPC peering

OTC與AWS基本是相同的。

要創建與其他 VPC 之間的 VPC 對等連接，您需要了解以下限制和規則：

您無法在具有匹配或重疊的 IPv4 或 IPv6 CIDR 塊的 VPC 之間創建 VPC 對等連接。Amazon 將始終為您的 VPC 分配唯一的 IPv6 CIDR 塊。如果您的 IPv6CIDR 塊唯一但 IPv4 塊不唯一，則無法創建對等連接。

您無法在位于不同區域中的 VPC 之間創建 VPC 對等連接。

VPC 對等不支持傳遞的對等關系；在 VPC 對等連接中，您的 VPC 無權訪問對等 VPC 可能與之對等的任何其他VPC。其中包括完全在您自己的 AWS 賬戶內建立的 VPC 對等連接。

您不能在相同兩個 VPC 之間同時建立多個 VPC 對等連接。

7、×××

OTC和AWS ×××在功能上是一樣的。都提供IPsec ×××。

AWS

一項 ××× 連接由以下部分組成。

虛擬專用網關

虛擬專用網關是 ××× 連接在 Amazon 一端的 ××× 集線器。

有關您可以在每個地區設置的虛擬專用網關數目，以及 VPC 的其他組成部分限制的信息，請參見Amazon VPC 限制。

客戶網關

客戶網關是指 ××× 連接在您這一端的實體設備或軟件應用程序。如果創建 ××× 連接，在 ××× 連接您這一端生成流量時，××× 隧道就會啟動。虛擬專用網關不是啟動程序；您的客戶網關必須啟動隧道。如果 ××× 連接經歷一段空閑時間 (通常為 10 秒，具體取決于配置)，隧道就會關閉。為防止發生這種情況，您可以使用網絡監控工具 (如使用 IP SLA) 來生成保持連接 Ping 信號。

AWS 支持硬件設備和軟件的實現

AWS支持設備，請參考

https://aws.amazon.com/vpc/faqs/#C9

OTC只有一個設置。

OTC在客戶端支持的設備

Due to the symmetryof the tunnel, the ××× parameters configured in the cloud must be the same asthose configured in your own data center. If they are different, the ×××connection cannot be established.

To set up a ×××connection, you also need to configure the IPsec ××× on the router or firewallin your own data center. The configuration method may vary depending on yournetwork device in use. For details, see the configuration guide of the networkdevice.

Which Remote ×××Devices Are Supported?

Table 4-1 lists theHuawei ××× devices supported by the remote end.

Table 4-1 Huawei ×××devices

Supported PeerDevice Description

Huawei USG6000series USG6320/6310/6510-SJJ

USG6306/6308/6330/6350/6360/6370/6380/6390/6507/6530/6550/6570:2048

USG6620/6630/6650/6660/6670/6680

Huawei USG9000 seriesUSG9520/USG9560/USG9580

Other devices thatmeet the requirements in the reference protocols described in section ×××Reference Standards and Protocols can also be deployed. However, some devicesmay fail ××× to add because of inconsistent protocol implementation methods ofthese devices. If the connection setup fails, rectify the fault by followingthe instructions provided in section 4.6 How Can I Handle the ××× ConnectionSetup Failure? Or contact customer service.

下面我們來看一下AWS有而OTC里面沒有的VPC服務

8、Network ACL

網絡訪問控制列表 (ACL) 是 VPC 的一個可選安全層，可用作防火墻來控制進出一個或多個子網的流量。您可以設置網絡 ACL，使其規則與您的安全組相似，以便為您的 VPC 添加額外安全層。

安全組與網絡 ACL 的比較

下表概述了安全組和網絡 ACL 之間的基本差異。

下圖展示了由安全組和網絡 ACL 提供的安全層。例如，來自Internet 網關的數據流會通過路由表中的路徑被路由到合適的子網。與子網相關的網絡 ACL 規則控制允許進入子網的數據流。與實例相關的安全組規則控制允許進入實例的數據流。

9、Internet Gateway

Internet 網關是一種橫向擴展、支持冗余且高度可用的 VPC 組件，可實現 VPC 中的實例與 Internet 之間的通信。因此它不會對網絡流量造成可用性風險或帶寬限制。

Internet 網關有兩個用途，一個是在 VPC 路由表中為Internet 可路由流量提供目標，另一個是為已經分配了公有 IPv4 地址的實例執行網絡地址轉換(NAT)。

Internet 網關支持 IPv4 和 IPv6 流量。

10、          NAT Gateway

您可以使用網絡地址轉換 (NAT) 網關允許私有子網中的實例連接到 Internet 或其他 AWS 服務，但是阻止 Internet 發起與這些實例的連接。

同時AWS也可以使用和OTCSNAT一樣的NAT 實例來實現這個功能

NAT 網關和 NAT 實例的區別如下表

11、          DHCP Options Sets

動態主機配置協議 (DHCP) 提供了將配置信息傳遞到TCP/IP 網絡中主機的標準。DHCP消息中的options字段包含配置參數。這些參數包括域名、域名服務器以及“netbios-node-type”。

DHCP 選項集與您的 AWS 賬戶相關聯，因此您可以在所有 Virtual Private Cloud (VPC) 內使用這些選項。

12、          Endpoints

VPC endpoint可讓您在您的 VPC 和其他 AWS 服務之間創建私有連接，而無需通過 Internet、NAT 設備、××× 連接或 AWSDirect Connect 進行訪問。終端節點是虛擬設備。這些是水平擴展、冗余且具備高可用性的 VPC 組件，使用這些組件可以在VPC 與 AWS 服務中的實例之間進行通信，而不會對網絡流量造成可用性風險或帶寬限制。

重要

目前，我們僅支持帶Amazon S3 的連接終端節點。終端節點只支持 IPv4 流量。

終端節點使 VPC 中的實例能夠使用其私有 IP 地址與其他服務中的資源進行通信。您的實例不需要公有 IPv4 地址，并且您的 VPC 中不需要有 Internet 網關、NAT 設備或虛擬私有網關。使用終端節點策略可控制對其他服務中的資源的訪問。您的 VPC 和 AWS 服務之間的流量不會脫離 Amazon 網絡。

• 一般場景下的組網差別

OTC和AWS一個比較大的差別就是沒有Internet Gateway。所以OTC是沒有公有子網和私有子網概念的，只能通過SNAT才能實現，無EIP實例接入internet。

場景：帶單個公有子網的VPC

此場景的配置包含一個有單一公有子網的 Virtual Private Cloud (VPC)，以及一個 Internet 網關以啟用Internet 通信。如果您要運行單一層級且面向公眾的 Web 應用程序，如博客或簡單的網站。

此情景的配置包括：

具有 /16 IPv4 CIDR 塊的 VirtualPrivate Cloud (VPC) (示例：10.0.0.0/16)。提供 65536 個私有 IPv4 地址。

具有 /24 IPv4 CIDR 塊的子網 (示例：10.0.0.0/24)。提供 256 個私有 IPv4 地址。

Internet 網關。它將 VPC 連接到 Internet 和其他 AWS 服務。

具有子網范圍內 (示例：10.0.0.6) 私有 IPv4 地址的實例，這使該實例可以與 VPC 中的其他實例通信；以及一個彈性 IPv4 地址 (示例：198.51.100.2)，這是使該實例能夠從Internet 訪問的公有 IPv4 地址。

與子網關聯的自定義路由表。路由表條目使得子網中的實例能夠使用 IPv4 與 VPC 中的其他實例通信以及在 Internet 上直接通信。與包含指向Internet 網關的路由的路由表關聯的子網稱作公有子網。

OTC的實現方式