Amazon Virtual Private Cloud (VPC) — це служба, яка дозволяє створювати приватну, ізольовану мережу в хмарі AWS. Нижче наведено основні компоненти VPC з детальними поясненнями:
1. Підмережі
- Визначення: Підмережі є підрозділами VPC, що допомагають сегментувати вашу мережу. Кожна підмережа знаходиться в одній доступній зоні (Availability Zone, AZ).
- Типи:
- Публічна підмережа: Доступна безпосередньо з Інтернету через Інтернет-шлюз (Internet Gateway, IGW).
- Приватна підмережа: Не доступна безпосередньо з Інтернету; використовується для чутливих ресурсів.
- Використання: Організуйте ресурси (наприклад, бази даних у приватних підмережах, веб-сервери в публічних підмережах) для кращої безпеки та продуктивності.
2. Інтернет-шлюз (IGW)
- Визначення: Горизонтально масштабований, редундантний і високодоступний компонент, що дозволяє здійснювати зв'язок між ресурсами вашого VPC та Інтернетом.
- Функції:
- Забезпечує доступ до Інтернету для публічних підмереж.
- Обробляє як вхідний, так і вихідний трафік.
- Асоціація: Потрібно явно приєднати до VPC.
3. NAT-шлюз / NAT-екземпляр
- NAT-шлюз: Керована служба AWS, яка дозволяє екземплярам у приватних підмережах ініціювати вихідні підключення до Інтернету, блокуючи вхідні підключення.
- NAT-екземпляр: Самостійно керований екземпляр EC2, налаштований для подібної функціональності.
- Використання: Необхідно для завантаження оновлень або патчів у приватних підмережах без надання доступу до Інтернету.
4. Таблиці маршрутів
- Визначення: Контролюють маршрутизацію трафіку в межах VPC та поза ним.
Компоненти:
- Маршрути: Визначають напрямки трафіку (наприклад, 0.0.0.0/0 для Інтернету).
- Асоціації: Пов'язуються з підмережами або шлюзами.
Типи:
- Головна таблиця маршрутів: За замовчуванням для всіх підмереж, якщо не вказано інше.
- Користувацька таблиця маршрутів: Дозволяє специфічні налаштування маршрутизації.
5. Групи безпеки
- Визначення: Віртуальні брандмауери для контролю вхідного та вихідного трафіку на рівні екземпляра.
Особливості:
- Становий: Відповіді на дозволений вхідний трафік автоматично дозволяються.
- Правила: Вказуються протоколи, порти та IP-діапазони.
Використання: Захищайте екземпляри, дозволяючи трафік лише з довірених джерел.
6. Списки контролю доступу до мережі (NACL)
- Визначення: Додатковий рівень безпеки для контролю трафіку на рівні підмережі.
Особливості:
- Безстанова: Вхідні та вихідні правила оцінюються окремо.
- Нумерація правил: Правила застосовуються по порядку за зростанням.
Використання: Тонка настройка для доповнення груп безпеки.
7. Еластичні IP-адреси (EIP)
- Визначення: Статичні IPv4-адреси, призначені для динамічного хмарного обчислення.
Функції:
- Забезпечують сталу прив'язку IP.
- Корисні для перенаправлення зіпсованих екземплярів на здорові.
Використання: Призначайте екземплярам або NAT-шлюзам для стабільного доступу.
8. Кінцеві точки
- Визначення: Дозволяють встановлювати приватні з'єднання між вашим VPC та службами AWS без використання Інтернету.
Типи:
- Інтерфейсна кінцева точка: Використовує ENI (Elastic Network Interfaces) для зв'язку.
- Шлюзова кінцева точка: Використовується для таких служб, як S3 та DynamoDB.
Використання: Підвищує безпеку та продуктивність, уникаючи публічного Інтернету.
9. З'єднання через пірінг
- Визначення: Дозволяє пряме спілкування між двома VPC в одному або різних акаунтах/регіонах AWS.
Особливості:
- Відсутність єдиної точки відмови.
- Трафік маршрутизується через приватні IP-адреси.
Використання: Корисно для між-VPC зв'язку в багатоконтурних налаштуваннях.
10. Транзитний шлюз
- Визначення: Високошвидкісна та керована служба для з'єднання кількох VPC та локальних мереж.
Функції:
- Виконує роль центрального хабу для мережевого трафіку.
- Знижує складність управління кількома VPC.
Використання: Ідеально підходить для масштабних архітектур з кількома VPC.
Bastion Hosts
- Визначення: Спеціалізовані EC2 інстанси, які використовуються для безпечного підключення до ресурсів у приватних підмережах.
Особливості:
- Використовуються як сервери-перехідники (jump server).
- Зазвичай налаштовуються з суворими заходами безпеки.
Використання: Безпечно керувати приватними ресурсами без прямого доступу до них.
12. VPC Flow Logs
- Визначення: Функція для збору інформації про IP-трафік, що проходить до та від мережевих інтерфейсів у вашій VPC.
Особливості:
- Логи можна відправляти до Amazon CloudWatch або S3.
- Використовуються для моніторингу та усунення неполадок.
Використання: Діагностика мережевих проблем або подій безпеки.
13. VPN Gateway
- Визначення: Віртуальний приватний шлюз, що дозволяє безпечні підключення між вашою VPC та локальною мережею.
Компоненти:
- Customer Gateway: Точка доступу на боці замовника.
- Virtual Private Gateway: Точка доступу на стороні AWS.
Використання: Розширення локальних мереж до хмари.
14. Elastic Load Balancer (ELB)
- Визначення: Розподіляє вхідний трафік між кількома цілями, такими як інстанси EC2, в одній або кількох зонах доступності (AZ).
Типи:
- Application Load Balancer (ALB): Спеціалізується на HTTP/HTTPS.
- Network Load Balancer (NLB): Високопродуктивний, з низькою затримкою.
Використання: Забезпечує масштабованість та високу доступність додатків.
Перекладено з: Components in VPC