چرا مهندسان شبکه باید شناخت دقیقی از VPC داشته باشند؟

ابر خصوصی مجازی چیست؟

یک ابر خصوصی مجازی مجموعه‌ای از زیرشبکه‌های حاوی یک بلوک مسیریاب میان دامنه‌ای بدون کلاس (CIDR) سرنام Classless Inter-Domain Routing  است که در یک ناحیه جغرافیایی واحد که منطقه (Region) نام دارد، اجرا می‌شود و با مراکز داده چندگانه از طریق ناحیه دسترس‌پذیری ارتباط برقرار می‌کند. VPC شبیه به یک مرکز داده مجازی است، با این تفاوت که از نظر فیزیکی در نواحی دسترسی (Availability Zone) مختلفی قرار دارد. ابرهای خصوصی مجازی در هر منطقه‌ای که ایجاد می‌شوند به یک مکانیزم ارتباطی دسترسی دارند تا بتوانند با سایر شبکه‌ها در ارتباط باشند. این مکانیزم ارتباطی می‌تواند اینترنت، شبکه خصوصی مجازی یا VPC peering باشد.

بر مبنای این تعریف باید بگوییم ابر خصوصی مجازی، یک ابر خصوصی ایمن و ایزوله است که در یک ابر عمومی میزبانی می‌شود. مشتریان ابر خصوصی مجازی می‌توانند برنامه‌های کاربردی خود را در این ابر اجرا کنند، داده‌هایی در آن ذخیره‌سازی کنند و وب‌سایت‌ها را میزبانی کنند، درست مثل آن‌که در حال استفاده از یک ابر خصوصی عادی هستند. مهم‌ترین تفاوتی که ابر خصوصی مجازی با ابر خصوصی سازمانی دارد در این است که ابر خصوصی مجازی توسط یک عرضه‌کننده خدمات ابر عمومی میزبانی می‌شود. ابر خصوصی مجازی به دلیل گسترش‌پذیری و سهولت در دسترسی به رایانش ابر عمومی و تفکیک داده‌های شبکه ابر خصوصی از ابر عمومی مورد توجه سازمان‌ها قرار دارد. برای آن‌که تصویر روشنی از این دو مفهوم داشته باشید، این‌گونه فرض کنید که ابر عمومی همانند یک رستوران شلوغ است، در حالی که یک ابر خصوصی مجازی یک میز رزرو شده در آن رستوران شلوغ است. حتا اگر رستوران پر از مردم باشد، میزی که علامت رزرو شده روی آن درج شده، خالی است و تنها در دسترس فردی قرار دارد که آن‌را رزرو کرده است. به‌طور مشابه، یک ابر عمومی مملو از مشتریان مختلف ابری است که به منابع محاسباتی دسترسی دارند، اما VPC برخی از این منابع را برای استفاده مشتری خاصی رزرو می‌کند.

ابر عمومی چیست، ابر خصوصی چیست؟

ابر عمومی زیرساخت ابری مشترکی است که اجازه می‌دهد مشتریان مختلفی به زیرساخت‌های ابری یک فروشنده دسترسی داشته باشند، در حالی که اطلاعات آن‌ها متمایز از یکدیگر است و هیچ‌گونه دسترسی به اطلاعات یکدیگر ندارند. درست مانند افرادی که در یک رستوران حضور دارند و سفارش غذاهای مختلف را می‌دهند. عرضه‌کنندگان خدمات عمومی ابر مثل مایکروسافت آژر، پلتفرم ابری گوگل و آمازون چنین خدماتی را عرضه می‌کنند. این معماری به‌نام چندمستاجری (Multitenancy) معروف است، اما ابر خصوصی مجازی تک مستاجری است. ابر خصوصی یک سرویس ابری است که منحصرا در اختیار یک سازمان قرار می‌گیرد. در این معماری، VPC، یک ابر خصوصی است که درون یک ابر عمومی قرار می‌گیرد. در معماری فوق ابر خصوصی مجازی یک مشتری هیچ‌گاه در اختیار مشتری دیگری قرار نمی‌گیرد.

 چگونه VPC در یک ابر عمومی ایزوله می‌شود؟ 

ابر خصوصی مجازی قادر به تفکیک منابع محاسباتی ابر عمومی است. با توجه به این‌که ابر خصوصی مجازی دارای یک زیرشبکه اختصاصی و شبکه محلی مجازی است، تنها در دسترس مشتری که آن‌را اجرا کرده قرار می‌گیرد. فناوری‌های کلیدی مختلفی برای تفکیک ابر خصوصی مجازی از ابر عمومی وجود دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد: 

• Subnets: یک زیرشبکه به طیف وسیعی از آدرس‌های آی‌پی درون یک شبکه اشاره دارد که به گونه‌ای رزرو شده‌اند که بخشی از شبکه را برای استفاده خصوصی ایزوله می‌کنند. در ابرهای خصوصی مجازی آدرس‌های آی‌پی اختصاصی هستند و برخلاف آدرس‌های آی‌پی معمولی که به‌طور عمومی قابل مشاهده هستند از طریق اینترنت در دسترس نیستند.
• VLAN: شبکه محلی مجازی یک شبکه محلی یا گروهی از دستگاه‌های محاسباتی است که همه بدون استفاده از اینترنت به یکدیگر متصل شده‌اند. شبیه به زیرشبکه، VLAN راهکاری برای تقسیم‌بندی شبکه است‌، اما تقسیم‌بندی در لایه‌ 2 مدل OSI به جای لایه 3 انجام می‌شود. 
• VPN: یک شبکه خصوصی مجازی از الگوی رمزگذاری برای ساخت یک شبکه خصوصی در بالای یک شبکه عمومی استفاده می‌کند. ترافیک VPN از طریق زیرساخت‌های رایج اینترنت مثل روترها، سوئیچ‌ها و غیره عبور می‌کند، با این تفاوت که ترافیک قابل مشاهده نیست و رمزنگاری شده است. 
• NAT: فناوری NAT آدرس‌های آی‌پی خصوصی را با آدرس‌های آی‌پی عمومی برای ارتباط با اینترنت عمومی تطابق می‌دهد. با NAT، یک وب‌سایت یا برنامه کاربردی عمومی می‌تواند در VPC اجرا شود.
• پیکربندی مسیر BGP: برخی از عرضه‌کنندگان خدمات به مشتریان اجازه می‌دهند جداول مسیریابی BGP را برای اتصال VPC خود با سایر زیرساخت‌های درون سازمانی پیکربندی کنند. 

شرکت‌های ارایه‌دهنده خدمات ابری چگونه VPC را در اختیار مصرف‌کنندگان قرار می‌دهند؟

 شرکت‌های فعال در زمینه محاسبات ابری که از مراکز داده قدرتمندی برای عرضه خدمات استفاده می‌کنند خدمات کاربردی وب‌محور خود را به منطقه رایانش ابری (Region) و ناحیه دسترس‌پذیری

(Availability Zone) هدایت می‌کنند (شکل 1). فرایند مذکور به دلایل مختلفی انجام می‌شود که بهبود آستانه تحمل خطا و حفظ عملکرد خدمات در زمان بروز حمله‌های سایبری از دلایل اصلی به‌کارگیری معماری فوق هستند. با این‌حال، شرکت‌ها بر مبنای یک معماری ماژولار مرکز داده قادر به ارایه چنین خدماتی هستند. در تعریف معماری ماژولار مرکز داده ماژول‌ها در قالب زیرسامانه‌هایی تعریف می‌شود که با یکدیگر مرتبط هستند. این رویکرد با هدف به حداقل رساندن پیچیدگی انجام می‌شود. در این معماری، ویژگی‌های سامانه استقرار یافته همچون ظرفیت، عملکرد، چگالی و وزن باید بدون تحلیل اضافی و به‌شکل از پیش تعریف شده مشخص شده باشند. علاوه بر این سطح جزییات و ابعاد ماژول‌ها باید به درستی مشخص شوند و به ویژگی دسترس‌پذیری، افزونگی و توان مصرفی به‌شکل درستی پرداخته شده باشد. 

شکل 1 - نمایی از عملکرد ناحیه دسترسی در تفکیک ماشین‌های و شبکه‌های مجازی

ناحیه دسترس‌پذیری

ناحیه دسترس‌پذیری (Availability Zone) در تعریف تخصصی و فنی آن به یک گزینه با قابلیت دسترس‌پذیری سطح بالا اشاره دارد که از برنامه‌ها و داده‌های کاربران در برابر خرابی‌های مرکز داده محافظت می‌کند. به بیان دقیق‌تر، نواحی دسترس‌پذیری به مکان‌های فیزیکی منحصر به فردی به‌نام منطقه (Region) اشاره دارند که از ترکیب یک یا چند مرکز داده به وجود می‌آیند که هر یک مکانیزم‌های خنک‌سازی، شبکه‌های مستقل و مکانیزم تامین برق خاص خود را دارند. نکته مهمی که قبل از واکاوی این مفهوم باید به آن اشاره داشته باشیم این است که ناحیه دسترس‌پذیری تنها یک مفهوم ساده نیست و متشکل از مولفه‌ها، معماری‌ها، پروتکل‌های ارتباطی و شبکه‌سازی‌های پیچیده‌ای است که هدفش عرضه مستمر خدمات به مشتریان تجاری است. به بیان دقیق‌تر، شرکت‌هایی که خدمات تجاری آن‌ها مبتنی بر معماری مذکور است، قابل اعتماد هستند و تیمی از متخصصان فنی مجرب در زمینه شبکه و امنیت برای آن‌ها کار می‌کنند. علاوه بر این هر ناحیه از مکانیزم‌های ارتباطی (اتصال اینترنتی) خاص خود برای عرضه خدمات استفاده می‌کند. عرضه‌کنندگان خدمات رایانشی برای اطمینان از انعطاف‌پذیری و خودترمیمی، حداقل سه ناحیه جداگانه در تمام مناطق فعال تعریف می‌کنند. تفکیک فیزیکی نواحی دسترس‌پذیری در یک منطقه این امکان را به وجود می‌آورد که از برنامه‌ها و داده‌ها در برابر خرابی‌های مرکز داده به بهترین شکل محافظت کرد. در الگوی فوق خدمات بر مبنای اصل افزونگی-ناحیه، برنامه‌ها و داده‌ها را در نواحی مختلف تکثیر می‌کنند تا امکان غلبه بر مشکل تک نقطه خرابی (SPFO) سرنام

Single-Points-Of-Failure فراهم شود و مشتریان بدون مشکل در هر زمانی به برنامه‌ها یا داده‌های موردنیاز خود دسترسی داشته باشند. بر مبنای معماری مذکور، عرضه‌کنندگان خدمات ابری به مزایای قابل توجهی دست پیدا می‌کند. به‌طور مثال، بهبود زمان در دسترس بودن و فعالیت یک ماشین مجازی به بالاترین حد ممکن می‌رسد و عرضه‌کنندگان خدمات به سازمان‌ها تضمین می‌دهند مطابق با مفاد مندرج در قرارداد سطح خدمات (SLA) به خدماتی که آن‌را اجاره می‌کنند دسترسی خواهند داشت. 

اصل ناحیه دسترس‌پذیری بر پراکندگی مناطقی استوار است که مراکز داده در آن‌ها مستقر می‌شوند. رویکرد فوق ارتباط مستقیمی با مفهوم آستانه تحمل خطا دارد که مبتنی بر افزونگی N+1 است. اگر معماری مذکور به شکل دقیق و حساب شده‌ای پیاده‌سازی شود، آستانه تحمل خطا را بهبود بخشیده و هر زمان مرکز داده به دلیل مشکلات فیزیکی یا حمله‌های سایبری با چالش جدی روبرو شدند، در مدت زمان تعمیر و نگه‌داری، سایر مراکز داده وظایف مرکز داده از مدار خارج شده را بر عهده بگیرند. به لحاظ فنی و منطقی ناحیه دسترس‌پذیری و معماری ماژولار مرکز داده شباهت‌های زیادی به یکدیگر دارند، به‌طوری که در هر دو حالت هدف این است که یک سامانه یا معماری بزرگ به زیرسامانه‌های کوچک‌تری تقسیم شوند. بر مبنای تعریف فوق مشاهده می‌کنیم که اصل ناحیه ‌دسترس‌پذیر به ترکیب چند مرکز داده اشاره دارد که به لحاظ فیزیکی به اندازه‌ای از یکدیگر دور هستند که در زمان بروز یک حادثه هر دو نمی‌توانند به شکل همزمان از دسترس خارج شوند، اما در عین حال به اندازه‌ای به یکدیگر نزدیک هستند که توانایی پاسخ‌گویی به نیازهای تجاری کسب‌وکارها را دارند و با مشکل زمان تاخیر روبرو نیستند. در این بین نباید نقش شبکه تحویل محتوا را نادیده گرفت. برای آن‌که شناخت دقیق‌تری نسبت به این مفهوم به‌دست آورید به شکل 2 دقت کنید. همان‌گونه که در شکل دو مشاهده می‌کنید، یک ناحیه دسترس‌پذیری مجموعه‌ای از ساختمان‌ها‌، لینک‌های اینترنتی و منابع تامین انرژی است. ناحیه دسترس‌پذیری را می‌توانید به عنوان یک مرکز داده تصور کنید، اما برخی از نواحی دسترس‌پذیری شامل یک یا چند مرکز داده فیزیکی هستند. نکته ظریفی که باید به آن دقت کنید این است که یک برنامه یا خدمات کاربردی که تنها در یک ناحیه دسترس‌پذیری منفرد مستقر می‌شوند، اصل دسترس‌پذیری بالا را ارائه نمی‌کنند.

منطقه (Region)

مفهوم مهمی که مرتبط با ناحیه دسترس‌پذیری است، منطقه (Region) است. منطقه شامل چند مرکز داده است که درون موقعیت‌های جغرافیایی یکسانی قرار دارند، اما در یک دامنه خرابی (Fault Domains) مشترک قرار ندارند.  به‌طور مثال، منطقه‌ای با دو ناحیه دسترس‌پذیری می‌تواند عملکرد مناسبی در زمینه بازیابی پس از فاجعه بر مبنای الگوی همسان‌سازی  همزمان (Synchronous Replication) ارائه کند. بر مبنای معماری مذکور، خدمات می‌توانند در چند ناحیه دسترس‌پذیری در یک منطقه یکسانی در دسترس باشند. 

شکل 2 - یک نمونه مفهومی از معماری شبکه خصوصی مجازی پیاده‌سازی شده در زیرساخت‌های شرکت آمازون که مبتنی بر اصل ناحیه دسترس‌پذیری است.

مزیت ناحیه دسترس‌پذیری چیست؟ 

•  ناحیه دسترس‌پذیری بر مبنای این اصل پیاده‌سازی می‌شود که سرورهایی که برنامه‌های کاربردی خاص را ارائه می‌کنند به کاربران نهایی نزدیک باشند تا زمان تاخیر به حداقل برسد. تاخیر یکی از چالش‌های بزرگ شبکه‌های ارتباطی است و بسیاری از عرضه‌کنندگان خدمات ابری برای غلبه بر این مشکل از مکانیزم توزیع سرورها و فضای ذخیره‌سازی و قرار دادن این منابع در نزدیکی کاربران نهایی استفاده می‌کنند. 
•  مشتریان می‌توانند برنامه‌های کاربردی خود را در نواحی دسترس‌پذیر مستقر کنند و محیط عملیاتی را به گونه‌ای طراحی کنند که اگر یک ناحیه دسترس‌پذیر خراب شد، نمونه‌های موجود در نواحی دیگر در دسترس فعال شده و بار عملیاتی سرورها در ناحیه دچار مشکل شده را تا زمان بازیابی بر عهده بگیرند. 
•  یکی دیگر از کاربردهای مهم ناحیه دسترس‌پذیری در ارتباط با ابر خصوصی مجازی است. همان‌گونه که اشاره شد، یک ابر خصوصی مجازی مجموعه‌ای از زیرشبکه‌های حاوی یک بلوک مسیریاب بین دامنه‌ای بدون کلاس است که در یک منطقه جغرافیایی واحد (منطقه) در چند مرکز داده پیاده‌سازی می‌شود. یک شبکه خصوصی مجازی شبیه به یک مرکز داده مجازی است، با این تفاوت که از نظر فیزیکی در نواحی دسترسی متفاوت قرار دارد. 

نمونه‌ای مفهومی از یک ابر خصوصی مجازی‌

پرسشی که مطرح می‌شود این است که ناحیه دسترسی چه نقشی در یک ابر خصوصی مجازی دارد؟ برای روشن شدن این موضوع به شکل 3 دقت کنید. مولفه‌های نشان داده شده در شکل 3 به شرح زیر هستند:

• زیرشبکه: زیرشبکه‌ها یک بخش متغیر از بلوک CIDR تخصیص داده شده به ابر خصوصی مجازی هستند که از قواعد زیرشبکه‌سازی و نشانه‌گذاری سنتی استفاده می‌کنند، بنابراین باید در زمان تعیین اندازه زیرشبکه‌ها دقت کنید و محدوده آدرس را به گونه‌ای طراحی کنید که با مراکز داده داخلی یا سایر ابرهای خصوصی مجازی همپوشانی نداشته باشند. در معماری فوق، یک زیر شبکه مختص یک ناحیه دسترسی در نظر گرفته می‌شود. علاوه بر این در هر ناحیه دسترسی می‌توان چند زیرشبکه تعریف کرد. هر زیرشبکه دارای یک جدول مسیر واحد است و هر زیرشبکه با یک فهرست کنترل دسترسی به شبکه مرتبط است. دقت کنید در معماری فوق، یک زیرشبکه خصوصی دسترسی خارجی ندارد و از طریق یک دروازه خصوصی مجازی (VGW) به یک مرکز داده داخلی متصل می‌شود یا از فناوری ترجمه آدرس شبکه (NAT) برای برقراری ارتباط با اینترنت استفاده می‌کند. زیرشبکه‌ها مولفه‌ای به‌‌نام اختصاص خودکار آی‌پی عمومی دارند که می‌تواند به صورت پیش‌فرض آدرس آی‌پی عمومی را با نمونه‌ها تطبیق دهد. 
• جدول مسیر: هر زیرشبکه دارای یک جدول‌ مسیر است. یک جدول مسیر واحد می‌تواند با چند زیرشبکه مرتبط باشد. جداول مسیر عملکردی شبیه به قاعده مسیریابی مبدا‌محور خط‌مشی‌محور PBR سرنام Source-based Policy-based Routing دارند. به عبارت دیگر، می‌توانید مسیرهایی را بر مبنای زیرشبکه‌ها برای بسته‌ها مشخص کنید. به‌طور مثال، زیرشبکه‌های خصوصی ممکن است دارای جداول مسیر با یک مسیر پیش‌فرض به یک دروازه NAT باشند و زیرشبکه‌های عمومی ممکن است دارای جداول مسیر با ورودی به اینترنت از طریق یک گیت‌وی اینترنت باشند. علاوه بر این، زیرشبکه‌های خصوصی می‌توانند با استفاده از یک دروازه خصوصی مجازی، مسیرهایی را برای بازگشت به مراکز داده داخلی ایجاد کنند. به بیان ساده‌تر، می‌توانیم جداول مسیر را شبیه جداول مسیریابی و انتقال مجازی (VRF) سرنام Virtual Routing and Forwarding  توصیف کنیم. با این حال‌، زیرشبکه‌ها در همان ابر خصوصی مجازی می‌توانند مستقیما با یکدیگر ارتباط برقرار کنند. از نظر فنی، همه تعاملات در ابر خصوصی مجازی از گروه‌های امنیتی گرفته تا فهرست‌های کنترل دسترسی شبکه در لایه 2 انجام می‌شوند. جداول مسیر شامل مسیرهایی هستند که یک بلوک CIDR را به عنوان نمونه (Instance)، دروازه اینترنت، دروازه خصوصی مجازی، دروازه NAT ، VPC peer یا نقطه پایانی VPC نشان می‌دهند. علاوه بر این، جداول مسیر می‌توانند مسیرهای پویای BGP را از یک دروازه خصوصی مجازی دریافت کنند.
• گروه امنیتی: یک گروه امنیتی مانند یک فهرست کنترل دسترسی (ACL) سرنام Access Control List است که معمولا روی روترها و دیوارهای آتش اعمال می‌شود، با این تفاوت که مستقیماً روی نمونه اعمال می‌شود. گروه‌های امنیتی از مولفه‌های مهم ابر خصوصی مجازی هستند که امنیت این زیرساخت ارتباطی را تامین می‌کنند. در این معماری گروه‌های امنیتی نقش کلیدی دارند و وضعیت اتصالTCP ، UDP و ICMP را پیگیری می‌کنند. گروه‌های امنیتی حاوی قواعد و خط‌مشی‌های امنیتی هستند که عملکردی شبیه به ورودی‌های فهرست کنترل دسترسی دارند، اما می‌توانند به گروه‌های امنیتی دیگری نیز اشاره کنند. قابلیت فوق این امکان را می‌دهد که بدون نیاز به استفاده از آدرس‌های آی‌پی، ترافیک گروه خاصی را مسدود کرد. به‌طور کلی، گروه‌های امنیتی مانند دیوارهای آتش توزیع شده در لایه 4 هستند.
• Network ACL: فهرست‌های کنترل دسترسی شبکه در هر زیر شبکه اعمال می‌شوند و نسبت به گروه‌های امنیتی اثرگذاری بیشتری دارند. فهرست‌های کنترل دسترسی شبیه به VLAN ACL یا Layer 2 ACL استفاده می‌شوند. فهرست‌های کنترل دسترسی شبکه از مجموعه دستورات PERMIT و DENY پشتیبانی می‌کنند. این مولفه‌ برخلاف گروه‌های امنیتی بدون حالت هستند. علاوه بر این، فهرست‌های کنترل دسترسی تنها در محدوده CIDR کار می‌کنند و نمی‌توانند به اشیاء دیگر شبیه به نمونه‌ها اشاره کنند. در حالت پیش‌فرض فهرست کنترل دسترسی شبکه، به تمام بسته‌ها اجازه ورود و خروج به شبکه را می‌دهد، مگر آن‌که به‌طور صریح خط‌مشی‌های جدیدی را اعمال کنید. به‌طور مثال، اگر می‌خواهید SSH را برای کل زیر شبکه مسدود کنید، می‌توانید یک ورودی DENY برای پورت TCP 22 در فهرست کنترل دسترسی زیر شبکه اضافه کنید. اگر تمایل به انجام این‌کار ندارید، باید SSH را در گروه امنیتی برای هر نمونه مسدود کنید.
• Elastic network interface: رابط شبکه ارتجاعی (ENI) مانند کارت رابط شبکه مجازی (NIC) است. می‌توانید چند ENI را در یک نمونه اعمال کنید و ENI را به نمونه دیگری در همان زیر شبکه انتقال کنید. یک ENI دارای یک آدرس خصوصی به‌شکل پویا در زیرشبکه اختصاص داده شده است و می‌تواند به‌شکل اختیاری دارای یک آدرس آی‌پی عمومی پویا نیز باشد. 
• آدرس آی‌پی عمومی: آدرس آی‌پی عمومی آدرس قابل مسیریابی عمومی است که از طریق اینترنت قابل دسترسی است. دو نوع آدرس آی‌پی عمومی در یک ابر خصوصی مجازی به‌نام‌های آدرس‌های اختصاصی پویا و آدرس‌های آی‌پی ارتجاعی وجود دارد. 
• Elastic IP address: آدرس آی‌پی ارتجاعی یک آدرس آی‌پی عمومی است که روی ENI اعمال می‌شود و پس از خاتمه یک نمونه می‌تواند به نمونه دیگری تخصیص داده شود. این‌کار به ویژه در ارتباط با قواعد فهرست کنترل دسترسی، ورودی‌های DNS و فهرست سفید کاربرد دارد. هر آدرس عمومی یک آدرس خصوصی متناظر دارد. 

شکل 3 - در شکل فوق یک ابر خصوصی مجازی ساده را مشاهده می‌کنید که شامل یک جدول مسیر، فهرست کنترل دسترسی شبکه و گروه امنیتی است. همان‌گونه که مشاهده می‌کنید ناحیه دسترسی قلپ تپنده یک ابر خصوصی مجازی است.

کدامیک از شرکت‌های عرضه‌کننده خدمات ابری روی معماری ناحیه دسترس‌پذیری سرمایه‌گذاری کرده‌اند؟

شرکت‌های فعال در زمینه عرضه خدمات ابری به روش‌های مختلف از معماری فوق استفاده می‌کنند که از مهم‌ترین آن‌ها باید به نام‌های بزرگی مثل مایکروسافت، گوگل و آمازون اشاره کرد که پیشگام در طراحی و پیاده‌سازی معماری‌های نوین ارتباطی هستند. همان‌گونه که اشاره شد، معماری فوق در زمان بروز حمله‌های سایبری کارآمد بودن خود را به اثبات رسانده و به میزان قابل توجهی زمان تاخیر شبکه را به حداقل رسانده است.

خوشبختانه عرضه‌کنندگان خدمات ابری در این زمینه گام‌های ارزشمندی برداشته‌اند و تقریبا تمامی آن‌ها بر مبنای ساخت یک منطقه بزرگ و نواحی دسترسی چندگانه که در شهرها یا حتا کشورهای مختلف مستقر می‌شوند گام بر می‌دارند.

در حالت کلی، الگویی که این شرکت‌ها از آن بهره می‌برند بر مبنای یک معماری نوین است که فرآیند جابه‌جایی در یک منطقه و ساخت خوشه‌های پایدار بر مبنای الگوی Multi Availability Zone را تسهیل کند. برای مقابله با تهدیدات امنیتی پیش‌رو، تضمین دسترسی پایدار به خدمات و کاهش زمان تاخیر این معماری مورد توجه جدی ارایه‌دهندگان خدمات ابری قرار دارد.