Рубрики
Uncategorized

AWS VPC 101.

AWS VPC является фундаментом облачной инфраструктуры в AWS. Когда мы начнем архивационную инфраструктуру, … с меткой DEVOPS, SRE, VPC, подсети.

AWS VPC является фундаментом облачной инфраструктуры в AWS. Когда мы начнем архивационную инфраструктуру, мы начнем с проектирования VPC. Все, что нам нужно запустить, EC2/EKS/RDS, мы должны запустить в VPC. Если мы не планируем это хорошо, скоро мы выберем IP-адрес или столкнусь с столкновением с облицовками при настройке сети подключения к внутренним/внешним сетянам. Итак, мы постараемся иметь идею высокого уровня над AWS VPC в этом блоге.

Что такое VPC?

А Виртуальное частное облако (VPC) — это виртуальная сеть, посвященная вашей учетной записи AWS. Он логически изолирован от других виртуальных сетей в облаке AWS. Вы можете запустить ресурсы AWS, такие как экземпляры Amazon EC2, в вашу VPC. Вы можете указать диапазон IP-адресов для VPC, добавить подсети, ассоциировать группы безопасности и настроить таблицы маршрута.

AWS VPC похож на виртуальный маршрутизатор. Если мы подключаем два наших ноутбука с маршрутизатором, мы можем протянуть друг другу (если нет проблем с брандмауэром) и может получить доступ к общедоступному Интернету (если подключение к Интернету (если подключение к Интернету с маршрутизатором). Это концепция высокого уровня.

Очки, которые нужно отметить:

  • Каждый VPC логически изолирован от других виртуальных сетей в облаке AWS.
  • Ресурсы в VPC могут обращаться друг к другу, если нет проблем с брандмауэром (группой безопасности).
  • Ресурсы из одного VPC не могут добраться до других ресурсов разных VPC нормально. VPC Poining требуется для этого.
  • VPC охватывает все Зоны доступности в регионе.

Как создать VPC?

Когда мы создаем VPC, мы должны определить диапазон адресов IPv4 в виде блока CIDR (бесцветный междомен) блока. Например: 10.0.0.0.0/16 это блок CIDR, который содержит 65 536 адресов IPv4.

Мы говорили VPC как роутер, верно? Этот блок CIDR необходим для определения сети маршрутизатора. Но мы не можем определить сеть, все, что мы хотим. Разрешенный размер блока между A /16. NetMask (65 536 IP-адреса) и /28 NetMask (16 IP-адресов). Помимо этого, AWS рекомендует указывать блок CIDR (из /16 или меньше) от частных диапазонов адресов IPv4, как указано в RFC 1918 :

  • 10.0.0.010.255.255.255 ( 10.0.0.0/8 )
  • 172.16.0.0172.31.255.255 ( 172.16.0.0/12 )
  • 192.168.0.0192.168.255.255 ( 192.168.0.0/16 )

Очки, которые нужно отметить:

  • После того, как мы создали наш VPC, мы можем связать вторичные блоки CIDR с VPC.
  • Мы можем создать VPC с публично маршрутируемым блоком CIDR, который выпадает за пределами частных диапазонов адресов IPv4, указанных в RFC 1918 Отказ

Что такое подсеть?

А подсеть это диапазон IP-адресов в вашем VPC. Вы можете запустить ресурсы AWS в указанную подсеть. Используйте публичную подсеть для ресурсов, которые должны быть подключены к Интернету, а частная подсеть для ресурсов, которые не будут подключены к Интернету.

Подсеть — меньшая подсеть в нашем VPC. Когда мы создаем VPC, мы сломаем его в более чем одних меньших логических подстроителей. В отличие от VPC, подсеть опирается только на один Зона доступности Отказ Когда мы создаем подсеть, мы добавляем ее в зону доступности.

Ранее мы рассмотрели 10.0.0.0.0/16 как наш VPC. Мы можем сломать этот CIDR в меньшие блоки и объявить их как нашу подсеть. Пример:

  • Подсеть-1 : 10.0.0.0/24 (256 адресов IPv4)
  • Подсеть-2 : 10.0.1.0/24 (256 адресов IPv4)
  • Подсеть-3 : 10.0.2.0/24 (256 адресов IPv4)
  • Подсеть-4 : 10.0.3.0/24 (256 адресов IPv4)

Здесь мы сломали нашу VPC в 4 подобных размерах подсетей. Но это не требуется. Мы можем выбрать какой-либо размер подсети, который хорошо вписывается в наш VPC.

Общественная подсеть

Если трафик подсети направляется в интернет-шлюз, подсеть известна как Общественная подсеть Отказ

Интернет-шлюз (IgW) прикреплен к публичной подсети. Любой ресурс в публичной подсети напрямую связывается с Интернетом через эту IGW.

Из нашего предыдущего примера мы можем прикрепить два интернет-шлюза к Подсеть-1 и Подсеть-3 Отказ Затем эти подтесники будут рассматриваться как общественные подсети. Рекомендуется создавать подсети в нескольких зонах доступности. Итак, мы можем создать Подсеть-1 в зоне а и Подсеть-3 в зоне-б.

Очки, которые нужно отметить:

  • Если мы хотим нашего экземпляра в публичной подсети, чтобы взаимодействовать с Интернетом по IPv4, он должен иметь публичный адрес IPv4 или упругий IP-адрес (IPv4). Видеть Общественные IPv4 Адреса Отказ
  • Если мы хотим нашего экземпляра в публичной подсети, чтобы общаться с Интернетом по IPv6, он должен иметь адрес IPv6.
  • Экземпляр, запущенный в публичную подсеть, имеет два адреса IPv4. Один является частным адресом IPv4, а другой — публичный адрес IPv4.
  • Когда мы общаемся с ресурсом в VPC, ресурс видит, что трафик исходит от частного адреса IPv4.
  • Но когда мы общаемся с Интернетом, ресурсы видят, что трафик исходит от общественного IPv4-адреса. Здесь Сетевой адрес Перевод (NAT) имеет место.
  • Экземпляр можно получить через публичный адрес IPv4 или упругий IP-адрес, который прикреплен к экземпляру.

Интернет-шлюз

Интернет-шлюз является горизонтально масштабированным, избыточным и высокодоступным компонентом VPC, который позволяет общаться между вашим VPC и Интернетом.

Интернет-шлюз обслуживает два целя: предоставить целевую цену в ваших таблицах маршрута VPC для маршрутизации интернет-маршрута, а также для перевода сетевого адреса (NAT) для экземпляров, которые были назначены публичными адресами IPv4.

Интернет-шлюз поддерживает трафик IPv4 и IPv6. Это не вызывает наличие рисков или ограничений пропускной способности на вашем сетевом трафике.

Частная подсеть

Если у подсети нет маршрута в интернет-шлюз, подсеть известна как Частная подсеть Отказ

Частная подсеть — это сеть, к которой нет в интернет-шлюзе. Итак, мы не сможем общаться с Интернетом из экземпляра, запущенного в частной подсети. Но вот поймать.

NAT Gateway или экземпляр прикреплен к частной подсети, так что любой ресурс в подсети может получить доступ к Интернету. Мы можем использовать один шлюз NAT или экземпляр для одной частной подсети или для нескольких частных подсетей в VPC.

Из нашего предыдущего примера мы можем прикрепить два шлюза NAT к Подсеть-2. и Подсеть-4 . Затем эти подтесники будут рассматриваться как частные подсети. Рекомендуется создавать подсети в нескольких зонах доступности. Итак, мы можем создать Подсеть-2 в зоне а и Подсеть-4 в зоне-б.

Очки, которые нужно отметить:

  • Нам не нужно приложить публичный адрес IPv4 для экземпляра в частной подсети для доступа к Интернету.
  • Когда мы общаемся с ресурсом в VPC, ресурс видит, что трафик исходит от частного адреса IPv4.
  • Но когда мы общаемся с Интернетом, ресурсы видят, что трафик исходит от общедоступного IPv4 адрес NAT Gateway или экземпляра NAT.
  • Все ресурсы в частной подсети, прикрепленные к шлюзу/экземпляру NAT, разделяют один и тот же публичный адрес IPv4 в том, что Gateway/экземпляра NAT при передачам Интернета.
  • Экземпляр не может быть доступен через общедоступный IPv4 адрес NAT Gateway/экземпляра, который прикреплен к его подсети.
  • Мы должны назначить более крупные блоки CIDR в частных подсети, чем общественные подсети. Обычно нам необходимо запустить больше ресурсов в частной подсети, а не на публичную подсеть.

Ворота Nat

Вы можете использовать ворота трансляции сетевого адреса (NAT), чтобы включить экземпляры в частной подсети, чтобы подключиться к Интернету или другим услугам AWS, но предотвратить работу Интернета инициировать соединение с этими экземплярами. Для получения дополнительной информации о Nat, пожалуйста, смотрите NAT Отказ

Очки, которые нужно отметить:

  • Gateway NAT автоматически резервирует и использует адрес IPv4 из общедоступной подсети одного и того же VPC, для которой мы являемся частными подсетью, которые мы создаем NAT Gateway.
  • Шлюз NAT автоматически обеспечивает упругий IP-адрес для себя.

Экземпляр NAT

Вы можете использовать экземпляр трансляции сетевого адреса (NAT) в общедоступной подсети в вашим VPC, чтобы включить экземпляры в частной подсети, чтобы инициировать выходной трафик IPv4 в Интернет или другие службы AWS, но предотвращают приемучие случаи получения входящего трафика, инициированного кем-то на Интернет.

Очки, которые нужно отметить:

  • Экземпляр NAT должен быть запущен в публичной подсети той же VPC, для которой мы являемся частной подсетью, мы создаем экземпляр NAT.
  • Экземпляр NAT должен иметь упругий IP-адрес.

Внутри подсеть

Это немного общеобразовательной идеи, а не AWS ‘. Внутри или защищенная подсеть представляет собой частную подсеть, к которой NO NAT Gateway/экземпляр не подключен. Это означает, что он полностью изолирован из Интернета, и никто не может достигать/из экземпляра внутри подсети.

Таблица маршрута

А таблица маршрута Содержит набор правил, называемых маршруты , которые используются для определения того, где направлен сетевой трафик от вашей подсети или шлюза.

Таблица маршрута похоже на гид для сетевого трафика. Когда мы отправляем трафик из любого ресурса AWS в нашем VPC, движение следует за таблице маршрута, чтобы добраться до пункта назначения.

Очки, которые нужно отметить:

  • Каждый стол маршрута содержит местный маршрут для связи в VPC. Этот маршрут добавляется по умолчанию на все таблицы маршрута.
  • Если VPC имеет более одного блока CIDR IPv4, таблицы маршрута содержат локальный маршрут для каждого блока IPv4 CIDR.
  • Если таблица маршрута имеет несколько маршрутов, AWS использует наиболее конкретный маршрут, который соответствует трафику (самый длинный префикс соответствует), чтобы определить, как настроить трафик.

Есть пять типов таблицы маршрута на AWS на высоком уровне:

  • Главная таблица маршрута : Таблица основного маршрута автоматически создается при создании VPC VPC. Он контролирует маршрутизацию для всех подсетей, которые явно не связаны с любым другим таблицей маршрута.
  • Таблица пользовательских маршрутов : Таблица маршрута, который мы создаем для вашего VPC на нашем собственном.
  • Таблица маршрута подсети : Таблица маршрута, связанная с подсети.
  • Шлюз на маршруте таблица : Таблица маршрута, связанного с шлюзом — интернет-шлюз, ворота Nat или виртуальные частные ворота.
  • Местный шлюз на маршрут таблица : Таблица маршрута, связанная с локальным шлюзом Outposts. Для получения информации о местных шлюзах см. Местные шлюзы В руководстве пользователя AWS Outposts.

Маршрут

Каждый маршрут в таблице указывает пункт назначения и цель.

Маршрут имеет два основных компонента:

  • Назначение : Блок CIDR, где мы хотим трафика, чтобы пойти (пункт назначения CIDR).
  • Цель : Шлюз, сетевой интерфейс или соединение, через которые отправляют трафик назначения.

Пример:

IGW-1234567890. 0.0.0.0/0

Место назначения для маршрута 0,0.0.0/0 , который представляет все адреса IPv4. Цель — это интернет-шлюз, который прикреплен к нашему VPC.

Иногда мы увидим маршрут следующим образом:

местный 10.0.0.0/16

Это называется Местный маршрут Отказ Это маршрут по умолчанию для связи в VPC.

VPC Puring

VPC Poining Connection — это сетевое соединение между двумя VPC, которые позволяют направлять трафик между ними в частном порядке. Экземпляры в любом VPC могут взаимодействовать друг с другом, как если бы они находились в одной сети. Вы можете создать VPC Poining Connection между собственными VPC, с VPC в другой учетной записи AWS или с VPC в другой области AWS.

AWS использует существующую инфраструктуру VPC для создания виргированного соединения VPC; Это ни шлюз, ни VPN-соединение, а не полагаются на отдельный кусок физического оборудования. Нет единой точки отказа для связи или узкого места полосы пропускания.

Мы уже знали, что ресурсы из одного VPC не могут связаться с другими ресурсами разных VPC. Вот поставляется VPC. Это сетевое соединение между двумя VPC.

Из предыдущего примера у нас уже есть VPC 10.0.0.0.0/16 Отказ Давайте назовем это VPC-A. Тогда давайте предположим, что у нас есть еще один VPC-B с 172.31.0.0/16 CIDR блок. Тогда мы можем создать VPC, так что они могут общаться друг с другом.

Но только создание VPC Polying не заставит их взаимодействовать друг с другом. Мы должны создать необходимые записи маршрута в соответствующих таблицах маршрута.

Пример таблицы маршрута для VPC-A:

местный 10.0.0.0/16
pcx-1a2b3c4d. 172.31.0.0/16

Пример таблицы маршрута для VPC-B:

местный 172.31.0.0/16
pcx-1a2b3c4d. 10.0.0.0/16

Очки, которые нужно отметить:

  • Мы не можем создать VPC Polowing соединение между VPCS с сопоставлением или перекрытием блоков CIDR IPv4.
  • VPC Poining Connection — это одно для одной связи между двумя VPC. Если у нас есть N Номера VPC, то нам потребуется N * (N-1)/2 Номера VPC Playing, чтобы соединить каждый из них друг с другом.
  • Мы можем создать несколько VPC Poining Connections для каждого собственного VPC, но отношения переходные взгляды не поддерживаются.
  • У нас нет никаких вовлеченных отношений с VPCS, с которыми наша VPC не ослабляется напрямую.

Транзитный шлюз

А Транзитный шлюз Это сетевой транзитный концентратор, который вы можете использовать для соединения ваших виртуальных частных облаков (VPC) и в локальных сетях.

Транзитный шлюз — это региональный виртуальный маршрутизатор, с которым все VPC подключены, и все они могут охватить друг другу через этот маршрутизатор. Это устраняет ограничение VPC Polying. Если мы используем транзитный шлюз для нашего предыдущего примера, таблицы маршрута могут выглядеть как:

Для VPC-A:

местный 10.0.0.0/16
TGW-12345. 172.31.0.0/16

Для VPC-B:

местный 172.31.0.0/16
TGW-12345. 10.0.0.0/16

Очки, которые нужно отметить:

  • Один блок CIDR VPC не должен перекрывать еще один VPC.
  • Транзитный шлюз автоматически поставляется с таблицей маршрута по умолчанию. По умолчанию эта таблица маршрута — это таблица маршрута ассоциации по умолчанию и таблица маршрута распространения по умолчанию.
  • Транзитные шлюзы маршруты IPv4 и IPv6 пакеты между вложениями с использованием таблиц маршрута транзитных шлюзов.
  • Мы можем прогнозировать два транзитных шлюза и маршрут трафика между ними.

Вывод

На сегодня хватит. Я принял много слов непосредственно от официальной документации AWS и пытался поделиться обзором AWS VPC со всеми. Длинная статья, я могу неверно истолковать некоторую информацию. В этом случае, пожалуйста, не стесняйтесь указывать. Covid-19 работает сумасшедшим, поэтому оставайся в безопасности.

Ссылка: Официальная документация AWS

Первоначально опубликовано в https://blog.maateen.me 2 июля 2020 года.

Оригинал: «https://dev.to/maateen/aws-vpc-101-3p76»