Amazon Virtual Private Cloud (VPC) — це сервіс, який дозволяє створювати приватну, ізольовану мережу в хмарі AWS. Нижче наведені основні компоненти VPC з детальними поясненнями:
1. Підмережі (Subnets)
- Опис: Підмережі — це підрозділи VPC, які допомагають сегментувати вашу мережу. Кожна підмережа розташована в одній зоні доступності (AZ).
- Типи:
- Публічна підмережа (Public Subnet): Безпосередньо доступна з Інтернету через шлюз Інтернету (Internet Gateway, IGW).
- Приватна підмережа (Private Subnet): Не доступна безпосередньо з Інтернету; використовується для чутливих ресурсів.
- Використання: Організація ресурсів (наприклад, бази даних у приватних підмережах, веб-сервери в публічних підмережах) для кращої безпеки та продуктивності.
2. Шлюз Інтернету (Internet Gateway, IGW)
- Опис: Горизонтально масштабований, надмірний та високо доступний компонент, який дозволяє зв'язок між ресурсами у вашій VPC та Інтернетом.
- Функції:
- Забезпечує доступ до Інтернету для публічних підмереж.
- Обробляє як вхідний, так і вихідний трафік.
- Асоціація: Має бути явно підключений до VPC.
3. NAT Gateway / NAT Instance
- NAT Gateway: Керований сервіс AWS, який дозволяє інстанціям у приватних підмережах ініціювати вихідні з'єднання з Інтернетом, блокуючи вхідні з'єднання.
- NAT Instance: Самокерований інстанс EC2, налаштований для подібної функціональності.
- Використання: Необхідний для завантаження оновлень або патчів у приватних підмережах без виставлення ресурсів в Інтернет.
4. Таблиці маршрутів (Route Tables)
- Опис: Контролюють маршрутизацію трафіку всередині та поза VPC.
Компоненти:
- Маршрути: Визначають напрямки трафіку (наприклад,
0.0.0.0/0для Інтернету). - Асоціації: Підключені до підмереж або шлюзів.
Типи:
- Головна таблиця маршрутів: За замовчуванням для всіх підмереж, якщо не вказано інше.
- Користувацька таблиця маршрутів: Дозволяє спеціальні конфігурації маршрутизації.
5. Групи безпеки (Security Groups)
- Опис: Віртуальні брандмауери для контролю вхідного та вихідного трафіку на рівні інстансів.
Особливості:
- Станова: Відповіді на дозволений вхідний трафік автоматично дозволяються.
- За правилами: Визначають протоколи, порти та діапазони IP-адрес.
Використання: Захищають інстанси, дозволяючи трафік лише від довірених джерел.
6. Списки керування доступом до мережі (NACLs)
- Опис: Додатковий рівень безпеки для контролю трафіку на рівні підмереж.
Особливості:
- Безстанова: Вхідні та вихідні правила оцінюються окремо.
- Нумерація правил: Правила застосовуються в порядку зростання.
Використання: Детальний контроль для доповнення груп безпеки.
7. Еластичні IP-адреси (Elastic IP Addresses, EIP)
- Опис: Статичні IPv4-адреси, призначені для динамічних хмарних обчислень.
Функції:
- Дозволяють зберігати постійну IP-прив'язку.
- Корисні для перенаправлення неактивних інстансів на здорові.
Використання: Призначають інстансам або NAT-шлюзам для постійного доступу.
8. Точки доступу (Endpoints)
- Опис: Дозволяють приватні з'єднання між вашою VPC та сервісами AWS без використання Інтернету.
Типи:
- Інтерфейсна точка доступу (Interface Endpoint): Використовує ENI (Elastic Network Interface) для зв'язку.
- Шлюзова точка доступу (Gateway Endpoint): Використовується для таких сервісів, як S3 та DynamoDB.
Використання: Покращує безпеку та продуктивність, оминаючи публічний Інтернет.
9. Підключення через з'єднання між VPC (Peering Connections)
- Опис: Дозволяє прямий зв'язок між двома VPC в одному або різних акаунтах/регіонах AWS.
Особливості:
- Без єдиного пункту відмови.
- Трафік маршрутується через приватні IP-адреси.
Використання: Корисно для комунікації між VPC у багатоконтейнерних налаштуваннях.
10. Транзитний шлюз (Transit Gateway)
- Опис: Високоскалярний і керований сервіс для з'єднання кількох VPC та локальних мереж.
Функції:
- Служить центральним хабом для мережевого трафіку.
- Знижує складність керування кількома VPC.
Використання: Ідеальний для великих архітектур з кількома VPC.
Bastion Hosts
- Визначення: Спеціалізовані EC2 інстанси, що використовуються для безпечного підключення до ресурсів у приватних підмережах.
Особливості:
- Використовується як сервер для перескоку (jump server).
- Зазвичай налаштовується з обмеженими заходами безпеки.
Використання: Безпечно адмініструвати приватні ресурси, не відкриваючи їх напряму.
12. VPC Flow Logs
- Визначення: Функція для збору інформації про IP трафік, що йде до і з мережевих інтерфейсів у вашому VPC.
Особливості:
- Логи можуть бути надіслані до Amazon CloudWatch або S3.
- Використовується для моніторингу та налагодження.
Використання: Діагностика мережевих проблем або подій безпеки.
13. VPN Gateway
- Визначення: Віртуальний приватний шлюз, який забезпечує безпечні з’єднання між вашим VPC та локальною мережею.
Компоненти:
- Customer Gateway: Локальна точка доступу.
- Virtual Private Gateway: Точка доступу AWS.
Використання: Розширює локальні мережі до хмари.
14. Elastic Load Balancer (ELB)
- Визначення: Розподіляє вхідний трафік між кількома цілями, такими як EC2 інстанси, в одному або кількох AZ.
Типи:
- Application Load Balancer (ALB): Спеціалізується на HTTP/HTTPS.
- Network Load Balancer (NLB): Висока продуктивність, низька затримка.
Використання: Забезпечує масштабованість і високу доступність додатків.
Перекладено з: Components in VPC