企業及學術等各單位組織用在公共開放的網際網路上,
提供安全且專屬之通訊連結網路的主要技術。
之所以稱為「虛擬」是因為,相對於實際於兩點之間佈設實體線路,
此種連線方式屬於一種並非實體存在的暫時性連線,
所欲通訊的資料透過網際網路在兩點之間傳遞,
就像其間存在著一條專屬的「通道」(tunnel),
也因此又稱為「通道技術(tunneling)」。
A及B是身處不同公司(內聯網路intraet)的計算機(或相關機器),
透過一般郵寄方式(公用網路internet)寄信給對方,再由對方的秘書
(例如:支援虛擬私人網路的路由器或防火牆)以公司內部信件(內部網路)的方式寄至對方本人。
如ftp、telnet等應用。
此VPN服務採用PPTP(Point-to-Point Tunneling Protocol)技術,
使用者利用Windows環境內建的VPN用戶端軟體,經過適當設定後即可使用VPN連線。
增加自有出國線路的頻寬,目前全校之出國流量,
已可自動經由台大自有出國頻寬,無須特意透過網頁快取伺服器(web proxy)及VPN服務。
PPTP(Point-to-Point Tunneling Protocol)通道技術由於其容易設定的特性,
而且是微軟撥接網路(Dial-up Networking)第一個支援的VPN協定,因此被廣泛採用。
PPTP協定的規格定義在RFC2637(http://tools.ietf.org/html/rfc2637),但並未成為IETF的標準。
PPTP的運作方式是藉由將網路協定資料段封裝(encapsulated)在IP封包中,然後透過網際網路傳送。
經過包裝之後的封包,會被網路上任何路由器或機器視為一般IP封包般傳送,
直到抵達通道的另一端之後,才將傳送端封裝上去的IP表頭取下。
此種IP封裝的好處是可以讓許多不同協定的資料能夠經由僅支援IP的網路媒介(例如,網際網路)傳送。
如[圖一]所示,若使用者從網際網路上任何地方,
例如家中ADSL連線或國外等非台大校園網路,透過與台大PPTP VPN伺服器建立PPTP連線後,
使用者即可取得台大校園網路的IP位址,就像在台大校園內使用網路一般。
如此一來,使用者便可順利使用透過台大IP位址方可運用的資源,
例如圖書館電子期刊、台大自有出國頻寬連線、以及其他以IP位址作為存取控制的各項服務。
SSL VPN的運作是在網路的應用層上進行,是一種利用HTTPS通訊協定的VPN架構。
由於現今的電腦作業系統大多皆搭載支援HTTP及HTTPS(SSL-based HTTP)通訊協定的
網頁瀏覽器(web browser),因此對於使用者而言,SSL VPN是一種較為簡易且方便的VPN使用方式。SSL(Secure Socket Layer)安全協定是網頁伺服器和瀏覽器之間以加解密方式溝通的安全技術標準,
這個溝通過程,確保了所有在伺服器與瀏覽器之間通過之資料的私密性與完整性。
SSL 標準的規格可參考IETF的RFC 2246(http://www.ietf.org/rfc/rfc2246.txt)。
SSL VPN的運作方式是由遠端使用者連線到SSL VPN閘道,
進行相關之驗證與認證(Certificate、SecurID、LDAP、Radius、NTLM…等等)之後,
再經由SSL VPN閘道,作為遠端使用者與後端網路應用的轉運站,進行安全的連線,
提供遠端使用者成功存取組織內部的網路資源。
如[圖二]所示,若使用者從網際網路上任何地方,透過網頁瀏覽器(例如IE)
以HTTPS方式與台大SSL VPN伺服器建立SSL連線後,
使用者即可形同透過台大校園網路一般地存取校內或網際網路上的資源,並進行各項網路傳輸服務。
以PPTP VPN連線方式而言,使用者可利用Windows作業系統內的網路連線功能,
建立一個虛擬私人網路(VPN)連線,經過計中帳號密碼通過認證之後,
即可成功連上台大VPN服務(詳細設定步驟請參見http://ccnet.ntu.edu.tw/vpn/install.html
網頁的「PPTP VPN連線方式說明)。
採取SSL VPN連線方式時,使用者則可利用作業系統內建或另外安裝的網頁瀏覽器
(例如,微軟IE、FireFox、Opera等),以一般使用網頁URL的方式連往SSL VPN服務(https://sslvpn.ntu.edu.tw),並直接在網頁上輸入計中帳號密碼,
通過認證後即可成功連上VPN服務。
透過此種方式,使用者無論是使用自有電腦或他人電腦,皆可在無須另行設定的情況下,
直接利用網頁瀏覽器使用VPN服務。
對於使用者而言,這是一種相當便利且友善的運作方式
(詳細設定步驟請參見http://ccnet.ntu.edu.tw/vpn/install.html
網頁的「SSL VPN連線方式說明」)。
一旦連上PPTP或SSL VPN服務,使用者的電腦會取得台大校園IP位址,
同時所有網路流量皆改為經由校園網路通往目的地。
舉例來說,假設使用者人位於美國西岸某大學,一旦連上台大VPN服務後,
所有網路流量將先經過國際線路回到台大校園網路之後,再走台大網路通往目的地,
可能是台大校內、國內ISP、或甚至是美國國內ISP。
也就是說,並非隨時都適合使用台大VPN服務,
若使用者必須取得台大校內IP位址方可使用校內特定服務,這才是使用台大VPN的適當時機;
反之,若如前例所述,使用者位於美西且欲瀏覽美國境內ISP上的網頁,
那麼透過台大VPN服務的話,其連線將流經一大圈回到台大之後再繞回美國。
因此,只要慎選使用時機,VPN服務將可為校內教職員生提供使用校內服務的便利性,
也歡迎大家多多使用台大VPN服務。
---------------------
私有雲、公用雲或混和雲
公有雲
由若干企業和用戶共同使用的雲端運算環境,如前文中所舉的案例一、案例二和案例三都屬於公有雲的範疇。在公有雲中,使用者所需的服務由一個獨立的雲端供應商提供。該雲端供應商也同時為其他使用者服務,這些使用者共享該雲端供應商的資源。
私有雲
由某個企業獨立建構且使用的雲端運算環境,如前文所舉的案例四。在私有雲中,使用者是企業或組織的內部成員,共用該雲端運算環境所提供的所有資源,公司或組織以外的人無法運用這個雲端運算環境提供的服務。
混合雲
指公有雲與私有雲的混合。一般來說,對安全性、可靠性及 IT可監控性要求高的公司或組織,如金融機構、政府機關、大型企業等,是私有雲的潛在使用者。因為他們已經擁有了規模龐大的IT基礎建設,只需進行少量的投資將現有的系統升級,就可以享有雲端運算帶來的靈活度與高效能,同時有效避免使用公有雲可能帶來的負面影響。此外,他們也可以選擇混合雲,將一些安全性和可靠性需求相對較低的應用,如人力資源管理等,部署在公有雲上,減輕自身IT基礎建設的負擔。相關分析指出,一般中小型企業和創業公司多半傾向選擇公有雲,而金融機構、政府機關和大型企業則傾向選擇私有雲或混合雲。
基礎設施雲
基礎設施雲(infrastructurecloud)能為使用者提供底層的、接近於直接操作硬體資源的服務介面,例如前面提過的亞馬遜EC2。透過這些介面,使用者可以自由靈活地直接獲得運算和儲存能力,幾乎不受限制。然而,使用者需要自行設定任務,因為基礎設施雲只為使用者提供運算資源和儲存等基礎功能,而未提供任何應用服務。
平台雲
平台雲(platform cloud)為用戶提供一個託管平台,用戶可以將他們所開發和營運的應用託管到雲平台中。但是,這個應用的開發和部署必須遵守特定的規則和限制,例如程式語言、程式設計框架、數據儲存模型等。通常,能夠在該平台上運行的應用類型也會受到一定限制,比如Google 的GAE主要為Web 應用服務提供運行環境。一旦客戶的應用被開發和部署完成,所涉及的其他管理工作,例如動態資源調整等,都將由該平台層負責。
應用雲
應用雲(application cloud)直接為用戶提供所需的應用服務,用戶透過瀏覽器就能使用這些服務,例如前面提過的Salesforce.com。應用雲最容易被用戶使用,因為都是開發完成的軟體,只需要進行一些設定就可以上線運作。不過,它也是靈活性最低的,因為一種應用雲只能針對單一功能,無法提供其他功能的應用。
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment