免费搭建亚马逊云环境(4)—— AWS的网络VPC

一、简介

VPC(Amazon Virtual Private Cloud)是将 AWS 资源启动到定义的虚拟网络中,这个虚拟网络与数据中心中运行的传统网络极其相似,提供可扩展的基础设施。

VPC在AWS里面是基础但又是较为复杂的功能,本文会从实战的角度来梳理VPC的使用。

免费搭建亚马逊云环境(4)—— AWS的网络VPC

二、基础概念

​首先我们要了解几个基础概念,可用区,子网,网关,路由表,对等连接。

1、可用区

一个可用区(Available Zone)是指一个 AWS 区域中的一个或多个离散的数据中心,具有冗余电源、联网和连接。可用区让客户能够运行在可用性、容错能力和可扩展性方面比单个数据中心更强的生产应用程序和数据库。一个 AWS 区域中的所有可用区都通过高带宽、低延迟网络与完全冗余的专用城域光纤互连,为可用区之间提供高吞吐量和低延迟的联网。可用区之间的所有流量都进行了加密。网络性能足以确保可用区之间的同步复制。可用区使分区应用程序更容易获得高可用性。如果应用程序在可用区之间进行分区,则可以更好地隔离公司并防止断电、雷击、龙卷风、地震等问题的影响。可用区与任何其他可用区都间隔一定距离,不过彼此都在 100 公里(60 英里)以内。

以上都是官方介绍,总结就是可用区的作用增加了亚马逊云的可靠性。

2、子网

IP 地址范围内的一个区段,其中可放置隔离的资源组。具体可以根据业务需求来配置。

3、网关

作为VPC与外部网络之间通信的接口,便于私有子网中的资源访问互联网。

4、路由表

包含一系列被称为路由的规则,可用于判断网络流量的导向目的地。

5、对等连接

实现两个VPC之间连接的功能,可以通过私有 IP 地址在两个对等 VPC 之间通信。

三、安全功能模块(重要)

安全组和ACL都是VPC提供的防火墙功能,安全组分为入站规则和出站规则。

1、入站规则描述了什么样的流量可以流入实例,例如下方的入站规则允许任意一个 IP 地址通过SSH 协议访问实例。

免费搭建亚马逊云环境(4)—— AWS的网络VPC

出站规则描述了什么样的流量可以流出实例,例如下方的出站规则允许实例将流量发送到任何地方。

免费搭建亚马逊云环境(4)—— AWS的网络VPC

和入站规则一样,0.0.0.0/0 表示任意一个 IP 地址,即允许流量流出到任何地方。由于客户端通常会使用一个随机的端口接收服务器的响应,因此该出站规则的端口范围是 All,这样才能覆盖客户端所有的随机端口。

2、网络ACL是各个子网的防火墙,同样可以控制入站和出站访问,而且可以制定允许访问的源/目标IP和端口号的规则,包括禁止访问规则,规则优先级。默认情况下,规则设置为允许所有入站和出站。

免费搭建亚马逊云环境(4)—— AWS的网络VPC

四、总结

和VPC还有一些相关的功能,比如route53 CloudFront等,之后有时间会进一步介绍到。

发表评论

相关文章