20 | 11 | 2020

AWS VPC有哪些网络元素?

In this post, we want to bring you all the networking components that are part of Amazon Web Services (AWS). We will take a closer look at each element, what it does and how it fits the overall infrastructure. Hopefully, it will answer some of your questions, and by better understanding, you will be tempted to use those services.

在讨论所有细节之前,我们要强调的是,良好的网络设计是本地数据中心基础架构的基础。 同样适用于Cloud环境 10基础架构的顶级网络设计最佳实践)。 我们还想提出,我们只专注于AWS的网络和安全性方面; 其他任何服务不在此博客范围内。

什么是Amazon VPC?

Amazon Virtual Private Cloud(Amazon VPC)使您可以将AWS资源启动到您定义的虚拟网络中。 该虚拟网络非常类似于您在自己的数据中心中运行的传统网络,具有使用AWS的可扩展基础架构的优势。

VPC –专用于您的AWS账户的虚拟网络,您可以在其中运行多个网络,将它们彼此隔离,以提高安全性和合规性。 连接本地数据中心并运行混合网络解决方案。 完全可扩展且敏捷的解决方案,可增强您的业务运营。

什么是AWS区域?

AWS has a region’s concept, a physical location around the world where we cluster Data Centers. We call each group of logical Data Centers an Availability Zone. Each AWS Region consists of multiple, isolated, and physically separate AZ’s within a geographic area. Unlike other cloud providers, who often define a region as a single Data Center, the multiple AZ design of every AWS Region offers advantages for customers. Each AZ has independent power, cooling, and physical security connected via redundant, ultra-low-latency networks. AWS customers focused on high availability can design their applications to run multiple AZ’s to achieve even greater fault-tolerance. AWS infrastructure Regions meet the highest levels of security, compliance, and data protection.

AWS提供了比其他任何云提供商更广泛的全球足迹。 为了支持其全球足迹并确保为世界各地的客户提供服务,AWS迅速开设了新区域。 AWS维护多个地理区域,包括北美,南美,欧洲,中国,亚太地区,南非和中东的区域。

AWS世界地区

可用区

可用区(AZ)是一个离散的数据中心,在AWS区域中具有冗余电源,网络和连接性。 AZ使客户能够操作生产应用程序和数据库,这些应用程序和数据库比单个数据中心具有更高的可用性,容错性和可扩展性。 AWS区域中的所有可用区都通过完全冗余的专用城域光纤与高带宽,低延迟网络互连,从而在可用区之间提供高吞吐量,低延迟网络。 AZ之间的所有流量均已加密。 网络性能足以完成AZ之间的同步复制。 AZ使分区应用程序的高可用性变得容易。 如果将应用程序划分为多个可用区,则可以更好地隔离公司并保护它们免受断电,雷击,龙卷风,地震等问题的侵害。 尽管AZ彼此之间相距100公里(60英里)以内,但它们与其他AZ的物理距离相距很多公里。

高可用性

与其他技术基础架构提供商不同,每个AWS区域都有多个可用区。 从2006年开始运行领先的云基础架构技术平台中学到的知识后,关心应用程序可用性和性能的客户希望将这些应用程序部署在同一地区的多个可用区中,以实现容错和低延迟。 可用区与快速的专用光纤网络连接,使您能够有效地构建可在可用区之间自动进行故障转移而不会中断的应用程序。

AWS控制平面(包括API)和AWS管理控制台分布在整个AWS区域中,并在每个区域内利用多可用区架构来提供弹性并确保持续的可用性。 这样可以确保客户避免对单个数据中心的关键服务依赖性。 AWS可以进行维护活动,而不会使任何客户暂时无法获得任何重要服务。

网络/子网

VPC和子网基础

虚拟私有云(VPC)是专用于您的AWS账户的虚拟网络。 它在逻辑上与AWS Cloud中的其他虚拟网络隔离。 您可以将您的AWS资源(例如Amazon EC2实例)启动到VPC中。

创建VPC时,必须以无类域间路由(CIDR)块的形式为VPC指定一个IPv4地址范围。 例如, 10.0.0.0/16.

网络细分

Although you are given ./16 network within your VPC, none needs 65k plus IP address, not even FTSE 100 Global Enterprise business. By saying that, it is good to have more IP’s as you can segment them into much smaller subnets – ./24, for instance, giving you 250 plus IP’s. This is significant ant this needs to be set out clearly from the very beginning. A good design will help you deploy the services that you need and isolate them; web servers, applications, databases and others. Another essential item is not to have the same network ranges in the Cloud and on-premise network as this can cause conflicts in the future.

专用子网

Honestly, there are no Private or Public subnets. The term is used to describe – Private Subnets; these networks that are isolated and don’t have access to the Internet or access from the Internet is not allowed to these subnets/networks. Most likely, your database will be on those networks and other secure services.

公共子网

允许流量并从Internet过滤到公共子网/网络。 这些网络中的主机具有专用IP地址,并且可以通过Internet网关和关联的公用IP(弹性IP分配)路由访问

我们如何交付数据网络和网络安全基础架构? | v500系统

隔离网络

For additional network access control, you can run your DB Instances in an Amazon VPC. Amazon VPC enables you to isolate your DB Instances by specifying the IP range you wish to use and connect to your existing IT infrastructure through industry-standard encrypted IPsec VPN. Running Amazon RDS in a VPC enables you to have a DB instance within a private subnet. You can also set up a virtual private gateway that extends your corporate network into your VPC and allows access to the RDS DB instance in that VPC.

For Multi-AZ deployments, defining a subnet for all availability zones in a region will allow Amazon RDS to create a new standby in another availability zone should the need arise. You can make DB Subnet Groups collections of subnets that you may want to designate for your RDS DB Instances in a VPC. Each DB Subnet Group should have at least one subnet for every availability zone in a given region. In this case, when you create a DB Instance in a VPC, you select a DB Subnet Group; Amazon RDS then uses that DB Subnet Group and your preferred availability zone to select a subnet and an IP address within that subnet. Amazon RDS creates and associates an Elastic Network Interface to your DB Instance with that IP address.

可以通过您可以在公共子网中启动的VPN或堡垒主机从VPC外部的Internet或Amazon EC2实例访问Amazon VPC内部署的数据库实例。 要使用堡垒主机,您将需要使用充当SSH堡垒的EC2实例来设置公共子网。 此公共子网必须具有Internet网关和路由规则,以允许通过SSH主机定向流量,然后SSH主机必须将请求转发到Amazon RDS数据库实例的私有IP地址。

数据库安全组可用于帮助保护Amazon VPC中的数据库实例。 此外,可以通过网络ACL允许或拒绝进入和退出每个子网的网络流量。 您的本地安全基础架构(包括网络防火墙和入侵检测系统)可以检查通过IPsec VPN连接进入或退出Amazon VPC的所有网络流量。

VPC的安全组

安全组 充当实例的虚拟防火墙,以控制入站和出站流量。 在VPC中启动实例时,可以为该实例分配五个安全组。 安全组在实例级别而不是子网级别起作用。 因此,可以将VPC子网中的每个实例分配给一组不同的安全组。

如果您使用Amazon EC2 API或命令行工具启动实例,但未指定安全组,则该实例将自动分配给VPC的默认安全组。 如果使用Amazon EC2控制台启动实例,则可以选择创建新的安全组。

对于每个安全组,您添加 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。 that control the inbound traffic to instances and a separate set of rules that control the outbound traffic. This section describes the basic things you need to know about security groups for your VPC and their rules.

网络访问控制列表(NACL)

A Network Access Control List (NACL) is an optional layer of security for your VPC that acts as a firewall for controlling traffic in and out of one or more subnets. You might set up network ACLs with rules similar to your security groups to add a security layer to your VPC.

NACL performs some filtering between networks. However, we would strongly recommend deploying a Next-Generation firewall, such a Palo Alto, to perform a granular inspection at all 7x layers within your VPC infrastructure, not to mention traffic from the Internet.

有关下一代防火墙的更多信息,有关此主题的专门文章

控制路由

路线表 —使用一组称为路由的规则来确定将网络流量定向到何处。

它为您提供了一种流量可以流向或影响流量的精细方式,这对于专用网络的隔离非常有用。

互联网网关

Internet网关是水平缩放,冗余且高度可用的VPC组件,它允许您的VPC与Internet之间进行通信。

Internet网关有两个目的:在VPC路由表中为可路由Internet的流量提供目标,并对已分配了公共IPv4地址的实例执行网络地址转换(NAT)。
与NAT网关不同,Internet网关将允许从Internet到VPC中的实例的流量。

仅限出口互联网网关

仅出口互联网网关是水平扩展,冗余且高度可用的VPC组件,它允许通过IPv6从VPC中的实例到互联网的出站通信。 它可以防止Internet与您的实例启动IPv6连接。

网络基础设施的连续服务99.999%

NAT网关

You can use a Network Address Translation (NAT) Gateway to enable instances in a private subnet to connect to the internet or other AWS services but prevent the internet from initiating a connection with those instances. In other words, a session initiated from a host on the Internet will be denied.
This function is beneficial if you want servers -> instances in a Secure/Restricted network to get security updates, patches and anti-virus updates to be fetched from the Internet.
如果您想了解有关NAT'ing的更多信息,请阅读我们专门针对该主题的文章。

弹性IP位址

An 弹性IP位址 is a static IPv4 address designed for dynamic cloud computing. Using an Elastic IP address, you can mask an instance or software’s failure by rapidly remapping the address to another instance in your account. An Elastic IP address is allocated to your AWS account and is yours until you release it.

弹性IP地址是可从Internet访问的公共IPv4地址。 如果您的实例没有公共IPv4地址,则可以将弹性IP地址与您的实例相关联以实现与Internet的通信。 例如,这使您可以从本地计算机连接到实例。

AWS当前不支持IPv6的弹性IP地址。

与您的AWS Cloud – VPC的VPN连接

AWS站点到站点VPN

您可以在VPC和远程网络之间创建IPsec VPN连接。 虚拟专用网关或传输网关为站点到站点VPN连接的AWS端提供两个VPN端点(隧道),用于自动故障转移。 您配置您的 客户网关设备 在站点到站点VPN连接的远程端。

AWS客户端VPN

AWS Client VPN is a managed client-based VPN service that enables you to access your AWS resources or your on-premises network securely. With AWS Client VPN, you configure an endpoint to which your users can connect to establish a secure TLS VPN session. This enables clients to access resources in AWS or on-premises from any location using an OpenVPN-based VPN client.

AWS VPN CloudHub

如果您拥有多个远程网络(例如,多个分支机构),则可以通过虚拟专用网关创建多个AWS Site-to-Site VPN连接,以实现这些网络之间的通信。

第三方软件VPN设备

您可以通过在运行第三方软件VPN设备的VPC中使用Amazon EC2实例来创建到远程网络的VPN连接。 AWS不提供或维护第三方软件VPN设备; 但是,您可以从合作伙伴和开源社区提供的一系列产品中进行选择。

v500系统| 博客| aci-以应用程序为中心的基础架构

准备好开始了吗?

Contact Us for more information regarding Cloud infrastructure; we can answer all your questions.
联系我们>>>

 

请阅读其他与Cloud Services相关的帖子。

云计算和混合网络案例

云网络解决方案

将本地网络连接到AWS Cloud的方式有哪些?

网络即服务(NaaS),扩展了您的选择范围!

10基础架构的顶级网络设计最佳实践

相关文章

20 | 02 | 2021

智能文档处理解决方案如何使法律部门受益?

如今,许多律师事务所都使用手动过程从文档和表格中提取数据并将其传输到处理软件,这很慢并且会导致错误。
04 | 02 | 2021

我们关心环境,因此我们在AWS WorkDocs上运行无纸化办公室

像许多其他公司一样,我们希望开展无纸化业务,保护环境,并节省资金,存储空间,并使所有内容保持机密和安全。 一个无纸化办公室的想法诞生了……
09 | 01 | 2021

云是一种经济有效的解决方案吗?

我们可以在下几段中回答这些问题-什么是云计算? —使用Internet上托管的远程服务器网络而不是本地服务器或个人计算机来存储,管理和处理数据的做法。
15 | 11 | 2020

2021年及以后的云计算,网络安全和网络趋势

近年来,随着新范围的广泛采用,数据网络受到了一些严重的关注。 我们希望引起您注意成功的技术以及它们如何为您的业务增加价值。