Рубрики
Uncategorized

AWS Сетевые концепции

AWS Сетевые концепции, такие как VPC, подсети, объяснение группы безопасности. Помечено с AWS, DEVOPS, новичками, руководством.

Когда мы начинаем изучать AWS, первое, что мы должны учиться, это концепции сети. Как только вы откроете учетную запись AWS, вы должны создать ваше сетевое пространство или вы можете использовать VPC по умолчанию.

Если вы хотите практиковать практику в этих услугах, вы можете открыть бесплатный учетную запись с AWS и исследовать множество продуктов, не тратя одну пенню. Некоторые услуги зарубеются, и их ставки много варьируются в зависимости от конкретного региона.

ЗАМЕТКА: В этой статье Nat Gateway зарубей. Тем не менее, я бы предложил вам использовать AWS Оценка Для других услуг также.

В этой статье вы поймете основные концепции сети: VPC, подсети (частные, общественные), CIDR, эластичный IP, таблица маршрута, шлюз NAT, интернет-шлюз, группа безопасности, NACL

Это будет наш последний результат

Что такое VPC?

VPC — это способ логически разделенных ресурсов, когда вы работаете в AWS. Вы будете создавать ресурсы внутри VPC, поэтому он не будет доступен извне, если мы не дадим разрешения. Эти ресурсы могут общаться только с этим ресурсами VPC.

Мы будем использовать шаблоны WPC Wizard для создания VPC. Мы используем шаблон, который будет создавать VPC с частной и публичной подсетью (объяснит в какое-то время) для нас.

Перейти к запуску мастера VPC:

VPC Создание:

Если вы увидите вышеуказанное изображение, VPC требует диапазона IP-адреса. Этот диапазон настроен с использованием CIDR. В этом примере мы будем использовать 10.0.0.0/16 (означает 65531 уникальный адрес), который можно использовать для многих ресурсов AWS.

Вы можете использовать это CIDR калькулятор Для расчета IP-адреса диапазон

Что такое подсеть?

Подсеть — меньшая часть сети. Мы создаем разные подсети, основанные на наших сетевых правилах, а также потребности наших зонов доступности. В нашем примере мы будем создавать 2 подсети: частные и публичные

Публичный трафик подсети направляется на интернет-шлюз, поэтому ресурсы этой подсети могут быть доступны из Интернета. Он всегда будет иметь публичный IP для общения

Интернет-пользователи → Dev.to → Общественный IP

Частная подсеть не имеет маршрута в интернет-шлюз.

Пример: Наш сервер веб-сайта, который должен быть доступен через Интернет, поэтому он будет в публичной подсети. Наши серверы базы данных будут в частной подсети, которая не должна быть доступна через Интернет.

В примере мы даем 251 IP-адрес как в подсете, так и в зоне доступности в США-восток-1. Вы можете выбрать на основе ваших потребностей ресурсов и их наличия.

Вы можете выбрать разные зоны доступности для разных подсетей

Что такое интернет-шлюз?

Ресурс AWS, который дает подсеть доступа к общедоступному интернету. Мы выбрали общедоступный шаблон подсети, поэтому AWS создаст это для нас и прикрепите его к публичной подсети. Вы можете прикрепить интернет-шлюз в любую подсеть, и она станет публичной подсетью. Не пытайтесь прикрепить к серверам баз данных 😜. Это может вызвать проблемы безопасности для ваших серверов баз данных.

Я покажу вам интернет-шлюз позже в статье.

Что такое Nat Gateway или NAT?

Мы видели, что частные подсети не могут быть доступны из Интернета. Иногда ресурсы внутри частного подсети нуждаются в доступе в Интернет.

Пример: Серверы баз данных нуждаются в исправлении и должны загружать некоторые пакеты из Интернета. В этом случае нам придется использовать ворота NAT. Он всегда будет иметь публичный IP для общения с Интернетом. Мы также можем использовать экземпляры NAT. Нам просто нужно приложить это в нашу частную подсеть. Тогда частные ресурсы подсети будут связываться с интернетом через ворота NAT.

Мы должны выбрать публичную подсеть во время создания шлюза Nat. Каждый шлюз NAT создан в конкретной зоне доступности и реализован с избыточностью в этой зоне. Несколько доступности зон частных подсетей могут поделиться этим шлюзом NAT.

Если зона доступности NAT снижается, другие ресурсы зон доступности будут терять доступ в Интернет. В идеале мы должны создавать NAT для каждой зоны доступности, а ресурсы используйте Gateway Nat в той же зоне наличия.

Проверьте это для более подробной информации: Использование NAT

Проверьте разницу между NAT Gateway и NAT экземпляр

Что такое таблица маршрута?

Таблица маршрутизации — это то, что решает, как движение трафика между подсетями. Таблица маршрута потребуется настроить, чтобы определить, где могут получить доступ услуг.

Вложение интернет-шлюза, привязанность к воротам NAT, переходные шлюз все переходит на таблицу маршрута для определения правил маршрута.

Всякий раз, когда мы создаем VPC, AWS создает таблицу основного маршрута по умолчанию для нас. Если мы должны создать частную подсеть и прикрепить шлюз NAT, мы должны создать пользовательскую таблицу маршрута и прикрепить его к определенной подсети.

Мы используем шаблон общего/частного подсети в нашем примере, AWS создаст 2 таблицы маршрута

для нас. Один является основной таблица маршрута, а другая — это пользовательский маршрутный стол.

Вы можете перейти в любую подсеть и проверять, какая таблица маршрута прикреплена к этой подсети. В нашем примере перейдите в публичную подсеть и проверьте таблицу маршрутизации:

Выберите публичную подсеть → Прокрутите до конца → Найти столбец таблицы маршрута

Вы обнаружите, что используете таблицу основного маршрута и используя маршрут интернет-шлюза для доступа к Интернету. Этот идентификатор интернет-шлюза может быть другим.

Вы также можете проверить таблицу маршрута частного подсети. Перейдите в частную подсеть, он будет использовать пользовательскую таблицу маршрута и использовать NAT для доступа к Интернету. Всякий раз, когда частная подсеть нуждается в доступе в Интернет,

Нам придется добавить NAT в таблице маршрута подсети.

Всякий раз, когда вам нужна пользовательская маршрутизация для ваших подсетей, вам придется создать пользовательскую таблицу маршрута и прикрепить его к определенной подсети.

Что такое упругий IP?

Упругие IP-адреса используются AWS для управления своими динамическими облачными вычислениями. Всякий раз, когда мы создаем экземпляры в публичной подсети, она получит разные публичные IP. Если нам нужен публичный IP, который необходимо зафиксировать для некоторых целей, мы должны выделить упругий IP.

Пример: мы используем упругие IP для создания шлюза NAT. Нам нужно общаться с любым третьим сторонним API, и они могут позволить только исправить номер публичного IP-адресов от клиента. В этом случае нам придется выделить упругий IP и назначить его ресурсу.

Теперь мы приходим к охранной части VPC:

Что такое группа безопасности?

Группа безопасности — это набор правил сети, которые применяются к ресурсу. Группа безопасности отвечает за определение того, что трафик (на основе порта и протокола) может войти или оставить определенные ресурсы.

Предположим, вы хотите дать разрешение на конкретные IP-адреса для доступа к ресурсу на конкретном порту. Вам необходимо создать группу безопасности с этим разрешением и прикрепить его к ресурсу. Несколько ресурсов могут использовать одну и ту же группу безопасности.

Входящие правила → Входящие правила дорожного движения ресурса

Исходящие правила → Исходящие правила дорожного движения

Перейти к любой группе безопасности → Входящие правила (входящие правила трафика)

В этом выше изображении мы выбрали только 3 порты для входящего трафика. Для экземпляров баз данных вы откроете конкретный порт только для ограничения IP-адресов. Все эти правила входят в группу безопасности.

Что такое NaCl?

Сетевые ACLS управляют входящим и исходящим трафиком для ваших подсетей.

Это правила по умолчанию, которые поставляются с NaCl по умолчанию:

Если мы должны разрешить разрешение на конкретный или конкретный порт IP-адрес на уровне подсети, мы должны использовать NaCl.

Согласно документации AWS: Мы рекомендуем использовать Network ACL, экономно по следующим причинам: они могут быть сложными для управления, они нестандартные, каждый IP-адрес должен быть явно открыт в каждом (входящем/исходящем) направлении, и они влияют на полную подсеть.

Подробнее на NaCl VS Security Group Различия

В панели инструментов VPC вы увидите другие услуги, как VPN, конечные точки, сервис конечных точек, переходный шлюз, VPC Plinging, который мы не покрывались этой статьей. Если вы хотите узнать больше об этих услугах, дайте мне знать. Я постараюсь написать так хорошо.

Вывод:

Это было много. Надеюсь, вы смогли понять эти концепции сети. Теперь вы можете легко создать инфраструктуру в AWS с этими знаниями. Спасибо много для чтения. Дайте мне знать, если вы найдете это полезное. Это мотивирует меня, чтобы написать больше статей.

Оригинал: «https://dev.to/cryptic022/aws-networking-jargons-simplified-48c0»