Amazon VPC 网络组件
Amazon Virtual Private Cloud是一种网络服务,可用于围绕 AWS 资源建立边界。它使您可以完全控制各种网络环境、资源、连接性和安全性。此外,它定义了网络应如何跨不同的可用区或区域进行通信。
Amazon VPC 的组件:
- 子网:它是 VPC 的一部分,可以包含 Amazon EC2 服务等资源并共享一个公共地址组件。公共子网,其中资源通过互联网网关和私有子网暴露给互联网,资源不暴露给外界。
- 路由表:它们是一组规则,用于决定必须在哪里管理网络流量。它指定目的地,即IP 地址和目标。目标可以是 Internet 网关、NAT 网关、虚拟私有网关等。
- 虚拟专用网关:它是 VPN 连接的亚马逊侧的 VPN(虚拟专用网络)集线器,用于进行安全交易。用户可以将其附加到他们要从中创建 VPN 连接的 VPC。
- NAT 网关:网络地址转换 (NAT) 网关用于需要更高带宽、可用性和更少管理工作的情况。它更新私有子网的路由表,以便将流量发送到 NAT 网关。它仅支持 UDP、TCP 和 ICMP 协议。
- VPC 对等: VPC 对等连接允许您使用 IPv4 或 IPv6 私有地址在两个虚拟私有云之间路由流量。用户可以在自己的 VPC 与另一个 AWS 账户中的 VPC 之间创建 VPC 对等连接。此连接可帮助您顺利传输数据。
- 安全组:它由一组防火墙规则组成,用于控制样本的流量。您可以将一个安全组与多个实例关联。
- 弹性IP:是一个静态IP地址,它是一个保留的公共IP地址,可以分配给特定区域的任何实例,并且永远不会改变。
- 网络访问控制列表 (NACL):它是 VPC 的可选安全层,充当防火墙,用于控制进出一个或多个子网的流量。它为您的 VPC 添加了额外的安全层。
- 客户网关: VPN 连接将您的网络(或数据)链接到您的 Amazon VPC(虚拟私有云)。客户网关是该连接中您一方的演示者。它可以是物理或软件设备。
- 网络接口:它是专用网络和公共网络之间的连接。如果您将网络流量从一个实例移动到另一个实例,网络流量会自动转移到新实例。
- VPC Endpoints:它允许 VPC 在不使用互联网的情况下与 AWS 的其他服务建立连接。它们有两种类型,干扰端点和网关端点。它们是可扩展、冗余且高度可用的 VPC 组件。
下图将为您提供 Amazon VPC 的架构视图:
使用 AWS 虚拟私有云的好处:
以下是使用 AWS VPC 的好处:
- 高效协调: VPC 可以大规模扩展,用户可以完全控制包括自动化资源在内的网络规模。
- 保护: VPC 环境更安全,其资源包含使用防火墙保护系统免受互联网攻击的云基础设施。
- 增强的性能: VPC 支持混合云环境,在该环境中,组织将 VPC 用作其数据库的扩展,而不必处理构建本地私有云的复杂性。
- 低成本: VPC 位于公共云中,因此成本非常经济。
- 易于使用: AWS VPC 可以通过两种方式使用 AWS 管理控制台轻松创建;首先通过手动创建,然后通过启动 VPC 向导创建。
- 多种连接选项: AWS VPC 可以连接到各种资源,例如互联网、其他 VPC 帐户、VPN 连接等。
保护您的 AWS VPC 实施的最佳实践
以下是保护 AWS VPC 的最佳实践:
- 使用 AWS Identity and Access Management (IAM) 控制访问。
- 多个可用区 (AZ) 将提高可用性。
- 使用 Amazon CloudWatch 管理 VPC 组件。
- 要控制流量和管理网络,请使用 AWS 安全和组。