Поиск по сайту:

Как работает виртуальное частное облако AWS (VPC)?


AWS логически изолирует ваши ресурсы от всех остальных, запуская все, что вы используете, в свое собственное виртуальное частное облако. Он может работать на том же оборудовании, что и ниже, но AWS создала системы для виртуализации целых сетей в своей инфраструктуре.

Ваши экземпляры являются частными

Когда вы впервые создаете инстанс EC2, для вас создается новый VPC. Каждый экземпляр, который вы запускаете, создается в этом VPC и получает случайный частный IP-адрес.

Этот IP-адрес виртуальный, как и весь VPC. AWS творит чудеса за кулисами, чтобы эта сеть работала, но ваш VPC принадлежит вам и только вам. Вы можете использовать один и тот же частный IP-адрес со многими другими людьми, точно так же, как у всех домашних маршрутизаторов обычно 192.168.1.1.

Никто не может подключиться к вашему экземпляру по вашему частному IP-адресу, а это означает, что если у вас есть экземпляр, который не имеет никаких подключений к внешнему миру, он практически изолирован от всего остального. Это делает AWS намного более безопасным, чем другие провайдеры, которые могут просто назначить вам уникальный частный IP-адрес для каждого сервера и покончить с этим.

Ваш VPC по умолчанию, вероятно, достаточно хорош, чтобы его можно было использовать для всего, и он просто действует как ваше личное облако, отделяя ваши активы от других людей, работающих на тех же серверах. Если вы представляете крупную компанию с особыми потребностями, AWS предоставляет множество шаблонов для распространенных сценариев с настраиваемыми VPC, включая общедоступные и частные подсети с VPN-подключением для доступа на месте.

Наличие частной подсети позволяет вам запускать такие вещи, как серверы баз данных, которые не должны быть подключены к реальному Интернету, но должны взаимодействовать с другими вашими экземплярами (например, с веб-серверами, извлекающими информацию). Вы можете сделать это довольно легко с помощью VPC.

Подсети и сеть VPC

Вы можете определить их по своему усмотрению, но конфигурация по умолчанию, вероятно, подойдет большинству людей. По умолчанию ваш VPC будет использовать блок 172.31.0.0/16 со следующими подсетями:

  •  172.31.0.0/20 для зоны доступности A
  •  172.31.16.0/20 для зоны доступности B
  •  172.31.32.0/20 для зоны доступности C

Вы можете создать любое количество подсетей, однако вы не можете перекрывать их в пределах одного VPC. Когда вы запускаете экземпляр, вы запускаете его в определенную подсеть; если вы не указали пользовательскую подсеть, она будет запущена в подсети по умолчанию для вашей зоны доступности.

Ваш VPC подключается к Интернету с помощью интернет-шлюза, который похож на виртуальный маршрутизатор, за которым все прячется. У вас может быть несколько шлюзов для каждого VPC, но в этом нет особого смысла.

Ваши эластичные IP-адреса привязаны к вашему VPC; часть общедоступного IP-адреса предоставляется вам случайным образом из пула Amazon (обычно из их гигантского блока 3.0.0.0/8, состоящего из более чем 16 миллионов адресов), но частный IP-адрес, с которым он сопоставляется, зависит от ваш VPC.

VPC специфичны для регионов AWS, поэтому у вас будут разные VPC для «нас-восток» и «нас-запад». Однако AWS предоставляет множество инструментов для настройки связи между ними, поэтому ваши VPC могут работать как одно облако. Обратите внимание, что ваши подсети должны быть настроены так, чтобы не было перекрытия между VPC, чтобы это работало правильно.

Вы также платите за передачу данных между регионами, потому что они должны идти по фактическим интернет-проводам. Однако весь трафик зашифрован по «магистрали AWS», поэтому он остается конфиденциальным.