AWS VPC有哪些网络元素?
发现 AWS VPC 背后的网络魔法:揭开元素!
介绍
Amazon Web Services Virtual Private Cloud (AWS VPC) 是专用于用户 AWS 账户的虚拟网络。 它使用户能够将 AWS 资源启动到用户定义的虚拟网络中。 VPC 由多个组件组成,包括子网、路由表、网络网关、安全组和网络访问控制列表。 这些组件协同工作,为用户提供一个安全和隔离的环境来运行他们的应用程序和存储他们的数据。 此外,VPC 允许用户控制对其资源的访问并连接到本地或其他 VPC。
核心故事
AWS VPC 的组件是必不可少的,因为它们为用户提供了必要的工具来构建和管理他们的虚拟网络基础设施。 此外,这些组件帮助用户保护、隔离和控制对其 AWS 资源的访问。
子网是 VPC 的重要组成部分。 它们允许用户将他们的 VPC 划分为更小的网段并控制它们之间的流量。 用户可以通过创建多个子网、实施网络安全策略和实施网络安全组来隔离他们的资源,以控制入站和出站流量。
路由表也是 VPC 的重要组成部分。 它们指示 VPC 内和不同子网之间的网络流量。 用户可以使用路由表来指定网络流量的目标,例如特定子网或虚拟专用网关。 这允许用户控制和管理其 VPC 内的网络流量,确保其资源安全且可访问。
互联网网关、VPN网关、专线网关等网络网关也是VPC的重要组成部分。 它们为用户提供了一种将其 VPC 连接到 Internet 或其他 VPC 的方法,使他们能够访问其资源并控制网络流量。 网络网关与 VPC 的路由表集成在一起,以控制 VPC 与 Internet 或其他 VPC 之间的网络流量。
安全组和网络访问控制列表 (ACL) 也是 VPC 的重要组成部分。 它们控制入站和出站网络流量的流动,并确保只有授权的流量才能进入或离开 VPC。 此外,安全组和 ACL 可用于限制对特定端口、IP 地址或子网的访问。 它们协同工作,为用户的资源提供安全保障。
总之,AWS VPC 共同为用户提供安全、隔离和灵活的虚拟网络基础设施。 使用这些组件,用户可以控制和管理他们的网络流量,保护他们的资源,并连接到其他网络。
关于 AWS VPC 的一些有趣事实和统计数据:
- Amazon VPC 是使用最广泛的云计算服务之一,拥有数百万活跃用户。
- AWS VPC 为 Amazon Web Services (AWS) 资源提供安全且可扩展的虚拟网络。
- AWS VPC 允许客户将 Amazon Web Services (AWS) 资源启动到客户定义的虚拟网络中。
- AWS VPC 流量可以与公共互联网隔离,提供更高级别的安全性。
- AWS VPC 支持 IPv4 和 IPv6 地址范围。
- AWS VPC 可以通过 VPN 或 AWS Direct Connect 扩展到远程网络。
- AWS VPC 提供多个客户定义的网络访问控制选项,包括安全组和网络 ACL。
- AWS VPC 支持多种网络拓扑,包括公有子网、私有子网和硬件 VPN 连接。
- AWS VPC 为客户提供高度的网络定制,包括支持多个 IP 地址范围、网络分段和细粒度访问控制。
- AWS VPC 在多个区域和可用区可用,为客户的网络基础设施提供高可用性和容错能力。
使用 AWS 云解决方案最大限度地提高业务效率
使用 AWS 云技术释放您的业务的全部潜力
在这篇文章中,我们想为您介绍属于 Amazon Web Services (AWS) 的所有网络组件。 我们将仔细研究每个元素、它的作用以及它如何适应整体基础设施。 希望它能回答您的一些问题,并且通过更好地理解,您会很想使用这些服务。
在讨论所有细节之前,我们要强调的是,良好的网络设计是本地数据中心基础架构的基础。 同样适用于Cloud环境 基础设施的 10 个顶级网络设计最佳实践). 我们还想强调,我们只专注于 AWS 的网络和安全方面; 任何其他服务都超出了本博客的范围。
什么是Amazon VPC?
Amazon Virtual Private Cloud (Amazon VPC) 使您能够将 AWS 资源启动到您定义的虚拟网络中。 这个虚拟网络类似于您在自己的数据中心运行的传统网络,具有使用 AWS 可扩展基础设施的优势。
VPC – 专用于您的 AWS 账户的虚拟网络,您可以在其中运行多个网络并将它们相互隔离以提高安全性和合规性。 连接您的本地数据中心并运行混合网络解决方案。 可扩展且敏捷的解决方案可增强您的业务运营。
什么是AWS区域?
AWS 有一个区域概念,即我们在全球范围内聚集数据中心的物理位置。 我们将每组逻辑数据中心称为可用区。 EacAZsS Region 由一个地理区域内多个隔离且物理上独立的 AZ 组成。 与通常将区域定义为单个数据中心的其他云服务提供商不同,每个 AWS 区域的多可用区设计为客户提供了优势。 每个 AZ 都有独立的电源、冷却和物理安全,通过冗余、超低延迟网络连接。 关注高可用性的 AWS 客户可以将他们的应用程序设计为运行多个可用区,以实现最大程度的更高容错性。 因此,AWS 基础设施区域满足最高的安全性、合规性和数据保护级别。
与任何其他云提供商相比,AWS 提供了更广泛的全球足迹。 为了支持其全球足迹并确保为全球客户提供服务,AWS 迅速开设了新区域。 因此,AWS 维护着多个地理区域,包括北美、南美、欧洲、中国、亚太地区、南非和中东的区域。
AWS 云:简化运营和节省成本的关键
可用区
可用区 (AZ) 是 AWS 区域中具有冗余电源、网络和连接的离散数据中心。 AZ 允许客户运行生产应用程序和数据库,这些应用程序和数据库比单个数据中心的可用性、容错性和可扩展性更高。 AWS 区域中的所有可用区都通过高带宽、低延迟网络互连,通过完全冗余的专用 metAZsibre 在可用区之间提供高吞吐量、低延迟网络。 AZ之间的所有流量都是加密的——AZ的网络性能足以完成AZ之间的同步复制。 AZ 使分区应用程序 fAZsigh 可用性变得容易。 如果应用程序是各方,公司可以更好地隔离和保护免受 pAZ 中断、雷击、重大地震等问题的影响。 可用区在物理上与任何其他可用区相距很远(许多公里),但彼此之间的距离都在 100 公里(60 英里)以内。
高可用性
与其他 AZshnology 基础设施提供商不同,每个 AWS 区域都有多个 AZ。 正如我们从 2006 年以来运行领先的云基础设施技术平台所了解到的那样,关心其应用程序可用性性能的客户希望将这些应用程序部署在同一区域的多个 AZ 中,以实现容错和低延迟。 可用区与快速的专用光纤网络相连,这需要有效架构应用程序,这些应用程序可以在可用区之间自动进行故障转移而不会中断。
AWS 控制平面(包括 API)和 AWS 管理控制台分布在各个 AWS 区域,并在每个区域内利用多可用区架构来提供弹性和持续可用性。 这可确保客户避免对单个数据中心的关键服务依赖。 AWS 可以在不使任何客户暂时无法使用任何重要服务的情况下进行维护活动。
AWS 云如何彻底改变您的业务流程
网络/子网
VPC和子网基础
虚拟私有云(VPC)是专用于您的AWS账户的虚拟网络。 它在逻辑上与AWS Cloud中的其他虚拟网络隔离。 您可以将您的AWS资源(例如Amazon EC2实例)启动到VPC中。
创建VPC时,必须以无类域间路由(CIDR)块的形式为VPC指定一个IPv4地址范围。 例如, 10.0.0.0/16.
网络细分
尽管在您的 VPC 中为您提供了一个 ./16 网络,但没有人需要 65k 以上的 IP 地址,甚至 FTSE 100 GIPsl Enterprise 业务也不需要。 也就是说,拥有更多 IP 是件好事,因为您可以将它们分割成更小的子网 – 例如,./24,给您 250 多个 IP。 这很重要,需要从一开始就明确说明。 一个好的设计会帮助你部署你需要的服务并隔离它们; Web 服务器、应用程序、数据库和其他。 另一个重要项目是不要在云端和本地网络中使用相同的网络范围,因为这可能会在未来引起冲突。
专用子网
老实说,没有私有或公共子网。 该术语用于描述 – 私有子网; 这些许可证是孤立的,无法访问 Internet 或不允许从 Internet 访问这些子网/网络。 您的数据库很可能位于这些网络和其他安全服务上。
公共子网
允许并过滤从 Internet 到公共子网/网络的流量。 这些网络中的主机具有私有 IP 地址,可以通过 Internet 网关和关联的公共 IP(弹性 IP 分配)路由 IPscess
AWS 云:业务增长和创新的未来
隔离网络
对于额外的网络访问控制,您可以在 Amazon VPC 中运行您的数据库实例。 Amazon VPC 使您能够通过指定您希望使用的 IP 范围来隔离您的数据库实例,并通过行业标准的加密 IPsec VPN 连接到您现有的附加运行基础设施。 在 VPC 中运行 Amazon RDS 可以让您在私有子网中拥有一个数据库实例。 您还可以设置一个虚拟专用网关,将您的公司网络扩展到您的 VPC 中,并允许访问该 VPC 中的 RDS 数据库实例。
对于多可用区部署,为一个区域中的所有可用区定义一个子网将允许 Amazon RDS 在需要时在另一个可用区中创建一个新的备用数据库。 您可以创建子网的数据库子网组集合,您可能希望为 VPC 中的 RDS 数据库实例指定这些子网。 每个数据库子网组应该至少有一个子网用于给定区域中的每个可用区。 在这种情况下,当您在 VPC 中创建 DB Instance 时,您选择一个 DB Subnet Group; 然后,Amazon RDS 使用该数据库子网组和您首选的可用城市区域来选择子网和该子网内的 IP 地址。 Amazon RDS 使用该 IP 地址创建弹性网络接口并将其关联到您的数据库实例。
部署在 Amazon VPC 中的数据库实例可以通过 VPN 或公共子网中的堡垒主机 thamustunch 从 Internet 或 VPC 外部的 Amazon EC2 实例访问。 要使用堡垒主机,您必须使用充当 SSH 堡垒的 EC2 实例设置公有子网。 此公有子网必须具有允许通过 SSH 主机定向流量的 Internet 网关和路由规则,然后 SSH 主机必须将请求转发到您的 Amazon RDS 数据库实例的隐私。
数据库安全组可以帮助保护 Amazon VPC 中的数据库实例。 此外,可以通过网络 ACL 允许或拒绝进入和离开每个子网的网络流量。 最后,您的本地安全基础设施(包括网络防火墙和入侵检测系统)可以检查通过您的 IPsec VPN 连接进入或离开您的 Amazon VPC 的所有网络流量。
VPC的安全组
A 安全组 充当虚拟防火墙,例如,控制入站和出站流量。 当您在 VPC 中启动模型时,您可以为实例分配五个安全组。 安全组作用于实例级别,而不是子网级别。 因此,您的 VPC 子网中的每个实例都可以分配给一组不同的安全组。
假设您使用 Amazon EC2 API 或命令行工具启动实例并且未指定安全组。 在这种情况下,如果您使用 Amazon EC2 控制台启动实例,实例会自动分配给 VPC 的默认安全组; 例如,您可以创建一个新的安全组。
对于每个安全组,您添加 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。 控制实例的出站流量和控制出站流量的一组单独的规则。 本节介绍您需要了解的有关 VPC 安全组的基本实践及其实践。
网络访问控制列表(NACL)
网络访问控制列表(NACL)是VPC的可选安全层,用作控制一个或多个子网内外流量的防火墙。 您可以使用与安全组类似的规则设置网络ACL,以向VPC添加安全层。
NACL 在网络之间执行一些过滤。 然而,我们强烈要求重新部署下一代防火墙,例如 Palo Alto,以在您的 VPC 基础设施内的所有 7x 层实现精细检查,更不用说来自 Internet 的流量了。
控制路由
路线表 — 一组称为路由的规则确定网络流量的定向位置。
它为您提供了流量可以去向或影响流量的精细方式,这在专用网络的隔离中非常有用。
互联网网关
Internet 网关是一个水平扩展、冗余且高度可用的 VPC 组件,它允许您的 VPC 与 Internet 之间进行通信。
Internet网关有两个目的:在VPC路由表中为可路由Internet的流量提供目标,并对已分配了公共IPv4地址的实例执行网络地址转换(NAT)。
与NAT网关不同,Internet网关将允许从Internet到VPC中的实例的流量。
仅限出口互联网网关
仅出口 Internet 网关是一个水平扩展、冗余且高度可用的 VPC 组件,它允许通过 IPv6 从您的 VPC 中的实例到 Internet 的出站通信。 它会阻止 Internet 启动与您的实例的 IPv6 连接。
将您的业务迁移到 AWS 云的优势
NAT网关
您可以使用网络地址转换 (NAT) 网关使私有子网中的实例能够连接到 Internet 或其他 AWS 服务,但阻止 Internet 启动与这些实例的连接。 换句话说,主机在 Internet 上创建的会话将被拒绝。
如果您希望安全/受限网络中的服务器 -> 实例从 Internet 获取安全更新、补丁和防病毒更新,则此功能很有用。
如果您想了解更多有关 NAT'ing 的信息,请阅读我们关于此主题的帖子。
弹性IP位址
An 弹性IP位址 是专为动态云计算设计的静态 IPv4 地址。 使用弹性 IP 地址,您可以通过快速将该地址重新映射到您账户中的另一个实例来掩盖实例或软件故障。 一个弹性 IP 地址分配给您的 AWS 账户,在您释放它之前一直属于您。
弹性 IP 地址是可从 Internet 访问的公共 IPv4 地址。 如果您的实例没有公共 IPv4 地址,您可以将弹性 IP 地址与您的实例相关联以启用与 Internet 的通信。 例如,这允许您从本地计算机连接到您的实例。
AWS当前不支持IPv6的弹性IP地址。
与您的AWS Cloud – VPC的VPN连接
AWS站点到站点VPN
您可以在 VPC 和远程网络之间创建 IPsec VPN 连接。 虚拟专用网关或中转网关提供两个 VPN 端点(隧道),用于在 Site-to-Site VPN 连接的 AWS 端进行自动故障转移。 然后,您配置您的 客户网关设备 在站点到站点VPN连接的远程端。
AWS客户端VPN
AWS Client VPN 是一种基于客户端的托管 VPN 服务,使您能够安全地访问您的 AWS 资源或本地网络。 使用 AWS Client VPN,您可以配置一个终端节点,您的用户可以连接到该终端节点以建立安全的 TLS VPN 会话。 这使客户端能够使用基于 OpenVPN 的 VPN 客户端从任何位置访问 AWS 或本地资源。
AWS VPN 云集线器
假设您有多个远程网络(例如,多个分支机构)。 在这种情况下,您可以通过虚拟专用网关创建各种 AWS Site-to-Site VPN 连接,以实现这些网络之间的通信。
第三方软件VPN设备
您可以使用运行第三方软件 VPN 设备的 VPC 中的 Amazon EC2 实例创建到远程网络的 VPN 连接。 遗憾的是,AWS 不提供或维护第三方软件 VPN 设备; 但是,您可以从合作伙伴和开源社区提供的一系列产品中进行选择。
AWS 云:推动业务敏捷性和弹性
您准备好了吗?
云 | 计算 | 存储 | 服务 | 提供者 | 安全 | 迁移 | 建筑 | 基础设施 | 基础解决方案 | 节省成本 | 可扩展性 | 灵活性 | 原生应用 | 基于平台 | 混合云 | 公有云 | 私有云 | 基于云的软件 | 基于云的分析 | 基于云的 AI/ML/NLP
立即行动,注册:拥抱人工智能文档处理的力量
通过我们不可抗拒的优惠释放人工智能的力量。 立即免费开始使用人工智能多文档比较和智能认知搜索。 体验无与伦比的效率、准确性和节省时间。 免费试用后,继续改造只需 $ 20 /月。 不要错过这个改变游戏规则的机会。 立即增强您的文档处理之旅。
请查看我们的案例研究和其他帖子,以了解更多信息:
数据网络自动化,Cisco ACI 如何提供敏捷的网络平台?
为什么 NAT 因为世界在 4 年 2010 月用完了 IPvXNUMX 地址?
#cloud #cost savings #scalability #artificialintelligence #machinelearning #growth
MC