Amazon VPC基础指南

ManageEngine卓豪

于 2024-08-16 15:45:21 发布

阅读量913

点赞数 14

分类专栏：云安全文章标签： VPC 云服务 AWS

本文链接：https://blog.csdn.net/ITmoster/article/details/141260371

版权

云安全专栏收录该内容

7 篇文章 0 订阅

订阅专栏

什么是 Amazon VPC

Amazon Virtual Private Cloud （VPC）是一种商业云计算服务，使用户能够在 AWS 云中创建逻辑隔离的区域，在这个隔离的部分中，用户可以在自定义的虚拟网络中启动 AWS 资源，它本质上允许用户在 AWS 的私有云隔离部分内创建 EC2 实例、数据库和其他亚马逊网络服务（AWS）。

AWS 为企业提供 VPC 作为解决方案，以提高云安全性，使用此解决方案，组织可以将其资源放到可以私密访问的虚拟云空间中，从而为其云资源增加安全层。

Amazon账户带有一个预配置的默认VPC，用户可以立即启动实例，而无需进行任何配置。默认VPC 预配置：

一个大小为16的IPv4 CIDR块，最多可提供 65,536 个IPv4地址。
在每个可用区中创建一个大小为20的默认子网，每个子网提供 4,096 个地址。
连接到VPC的Internet网关。
默认安全组和默认 NACL。

VPC的架构和工作方式

VPC的架构包括

基础和框架：AWS 云的核心基础设施是 Amazon VPC 的基础，组织的云资源需要网络隔离和分割，VPC 将其作为框架提供。
子网：通过创建子网，将Amazon VPC的资源进行逻辑隔离，每个子网都有不同的功能。例如，可能有一个子网用于Web 服务器，另一个子网用于应用程序服务器，第三个子网用于数据库。
访问控制：在Amazon VPC中使用安全组和网络访问控制列表（NACL）进行访问控制管理，它们充当虚拟闸门，根据定义的规则控制进出子网和实例的流量。
实用程序和服务：用于 Internet 连接的 Internet 网关、用于出站 Internet 访问的 NAT 网关、用于安全通信的 VPN 连接，以及用于专用网络连接到本地基础设施的直接连接，这些只是AWS与Amazon VPC一起提供的一些服务和工具，用于支持企业的虚拟基础设施。例如，可以使用 Internet 网关来设置 VPC 的 Internet 访问，允许 VPC 内的资源私有访问 Internet 或交换数据。
安全和监控：网络防火墙、加密、监控工具和日志记录功能是 Amazon VPC 中的一些安全功能，可保护企业的虚拟环境免受未经授权的访问和恶意活动。
扩展和更新：管理员可以根据需要使用 Amazon VPC 扩展和修改网络基础设施，以便适应安全策略、集成新的 AWS 服务以及轻松添加或删除子网，来满足不断变化的业务需求。

在深入研究其工作方式之前，先了解一下 Amazon VPC 正常运行所必需的主要概念。

默认 VPC

在注册AWS账户时，每个区域都会设置一个默认VPC，有了这个现成的环境，可以立即开始部署实例。Amazon Elastic Compute Cloud（EC2）是用于在云中创建和运行虚拟机的Amazon Web服务，在默认VPC中部署的每个EC2实例都有一个私有和公共IP地址，从而在AWS基础设施的帮助下促进实例和互联网之间的通信。

生成额外的 VPC

通过创建更多的VPC，可以将网络划分为不同的网段。例如，可以为开发环境和生产环境保留不同的VPC，这些额外的VPC完全独立于网络中的其他VPC，从而保证了不同环境的隔离和安全性。

新创建的VPC拥有自己的IP地址范围、路由器、NACL、默认安全组和路由表，此外，您还可以根据项目的需要增加子网、安全组、网络ACL等的数量。

虽然默认 VPC 非常适合启动新实例，但 IAM 策略不适用于它。通过创建 VPC，用户可以定义和自定义其虚拟网络，使其遵守组织的 IAM 策略，从而更加安全可靠。

配置子网

子网是VPC中的IP地址范围，可以在VPC内创建一个或多个子网，子网不允许在可用性区域中导航，它们必须全部完在一个可用性区域内。可以根据不同的用途定义子网，例如，专用子网用于不能直接从Internet访问的资源，面向公共的子网用于可从Internet访问的资源。

定义路由表

路由表是网络流量的主干，是规则或路由的集合，用于指定网络流量发送的方向。VPC中的每个子网都需要创建路由表，用于管理子网的路由，虽然可以将多个子网链接到单个路由表，但每个子网一次只能连接一个路由表。

互联网网关

为 Amazon VPC 和 Internet 之间的网络流量提供路由的一个基本元素是 Internet 网关，它是 AWS 托管的组件，旨在实现高可用性和可扩展性，确保可靠性和性能。

互联网网关起着两个关键作用。首先，它可以作为VPC与Internet通信的路由；其次，它为已经分配了公共IPv4地址的实例执行网络地址转换（NAT）。

互联网网关在两个方面是必不可少的：

充当VPC 和 Internet 之间通信的管道。
处理分配有公有 IPv4 地址的实例的 NAT。

必须将 Internet 网关连接到VPC，才能在其中启用 Internet 访问，此外，必须确保实例具有公开路由的 IP 地址（公有 IP 或弹性 IP），并更改子网的路由表以将流量引导到 Internet 网关。

VPN 连接

通过 VPN 连接，本地网络和虚拟专用网络（VPN）之间的安全 Internet 通信成为可能，通过将当前的网络基础设施安全地扩展到 AWS 云，管理员可以将 AWS 托管的资源和应用程序与本地数据中心或办公室中的资源和应用程序无缝集成。

VPC 对等连接

VPC 对等连接是一种网络连接，能够在同一区域内或跨不同的 AWS 区域在两个 VPC 之间私下路由流量，对等 VPC 实例能够相互通信，就像它们位于同一网络上一样。

VPC 对等连接不支持可传递对等连接，假设 VPC A 和 VPC B 之间以及 VPC A 和 VPC C 之间存在 VPC 对等连接。但是， VPC B 的流量不能通过 VPC A 路由到 VPC C，此时，需要在 VPC B 和 VPC C 之间建立 VPC 对等连接，实现VPC B和VPC C之间的流量传输。

请参阅下图，该图描述了上述组件协同工作的方式。

Amazon VPC 架构和工作方式

此 VPC 完全独立、完全隔离的，这是一个逻辑约束，为应用程序和服务建立共享的网络和安全边界。
这些实例只能在 VPC 内部相互通信，管理员可以完全控制实例如何访问 VPC 外部的资源。
为实例分配一个公有 IP 地址，并将一个 Internet 网关连接到 VPC 以提供 Internet 连接。
公有子网将始终有一条通往 Internet 的路由。例如，可以放置托管面向公众的网页的服务器。
私有子网没有路由。例如，可以将关键数据库放在这里，为外界提供额外的安全保护。
还可以使用站点到站点 VPN 连接将 VPC 连接到自己的企业数据中心，让 AWS 云成为企业数据中心的扩展。
VPC之间需要建立对等连接，使两个VPC之间的流量路由保密，使两个VPC中的实例之间可以像在同一个网络中一样相互通信。
由于每个 VPC 都跨一个区域，因此可以确定其中的所有实例实际上都位于该区域之外，并且它们之间在此区域之外没有连接。

但私有子网如何在没有路由的情况下访问互联网？

Amzon VPC 中的 NAT 网关

在这些情况下，管理员可以将从私有实例的路由添加到已在公有子网中建立的 NAT 网关，接下来，将 NAT 网关添加到互联网网关。私有子网中的资源现在可以访问 Internet（请参阅上图）。

可以控制流量的方法：

NACL：在子网级别管理流量的无状态防火墙称为 NACL，它们是可选的，但 NACL 可用于创建允许或拒绝与 VPC 内的子网之间的通信的规则。这些规则只能与 IP 地址一起使用，以允许或拒绝 IP 地址。
安全组：安全组通过充当虚拟防火墙来管理一个或多个实例的流量，可以根据协议、端口以及源和目标 IP 地址等参数定义允许流量进出实例的规则。

使用 Amazon VPC 的优势

通过隔离提高安全性：用户可以使用 Amazon VPC 创建多个虚拟网络，每个虚拟网络都与其他虚拟网络分开。由于这种隔离，一个 VPC 中的资源受到保护，无法与另一个 VPC 中的资源直接通信，除非明确允许这样做。
通过自定义配置实现业务需求：用户对VPC内的IP地址范围、子网、路由表、网络网关进行完全控制，这使得创建独特的网络配置来满足某些需求成为可能。
通过安全功能实现有效的访问控制：为了规范进出实例的流量，VPC 提供了包括安全组和网络访问控制列表（ACL）在内的安全功能，这有助于 VPC 实施安全策略和访问控制。
连接选项：有多种方法可以将 Amazon VPC 连接到互联网、本地数据中心或其他 VPC。这些选项包括AWS Direct Connect、VPN 连接、Internet 网关和虚拟专用网关。
通过子网划分提高性能：用户可以将 VPC 拆分为多个子网，每个子网位于特定 AWS 区域内的特定可用性区域中。通过子网划分，可以提高容错能力、可拓展性和资源管理。
成本效益：VPC可以优化成本，只需按使用的资源付费。还可以使用VPC整合网络基础设施，从而消除了对单独网络硬件的需求并简化了管理。

保护和监控 Amazon VPC 的重要性

安全性是使用 Amazon VPC 的主要原因。VPC 是 AWS 公有云的一个独立分支，允用于安全部署AWS资源。与 AWS 的许多规定类似，Amazon VPC 还可以帮助降低与私有云相关的成本，如果想使用 AWS 开展业务，VPC 是应该立即学习的工具之一。

尽管使用 Amazon VPC 比传统网络提高了安全性，但它仍然需要对其进行监控和保护，不安全的VPC可能会受到网络威胁。通过监控Amazon VPC，可以主动发现和解决问题、优化资源使用、并确保符合安全和法规标准。以下是维护VPC安全性对于加强网络基础设施至关重要的一些原因：

提高性能：通过监控 Amazon VPC 的基本组件，可以深入了解网络基础设施的性能，及早识别和解决任何问题，并优化资源利用率以提高性能。需要监控的组件包括网络流量、负载均衡器、NAT网关、VPN流量日志、VPN连接性能和子网性能。
资源利用率：跟踪 VPC 内的资源使用情况，包括 EC2 实例、数据库和其他服务，有助于优化资源分配。
安全性和合规性：通过监控网络流量和访问模式来识别潜在的安全漏洞、未经授权的访问尝试或异常活动，这对于维护基础结构的安全性和合规性是必要的。
故障排除：监控网络吞吐量、延迟和错误率将帮助管理员快速排查并解决问题，以免它们影响应用程序的性能或可用性。
成本管理：通过了解资源使用情况来识别未使用的资源，帮助管理员优化基础设施，从而减少在 VPC 内不必要的开支。

因此，确保 VPC 安全性对于强化网络基础设施至关重要。Log360 收集、聚合和分析来自 VPC 环境中多个来源的日志数据，例如来自 EC2 实例的 VPC 流日志、CloudTrail 日志和系统日志，以提供 VPC 活动的全面视图。可以监控 VPC 流日志、审计安全组更改、使用 CloudTrial 日志执行取证分析、跟踪 AWS S3 存储桶更改、跟踪 AWS EC2 实例等。从而增强 AWS VPC 的安全性。