Amazon Virtual Private Cloud (VPC) 笔记

Amazon Virtual Private Cloud (VPC)

需求说明

根据先前所介绍的传统应用程序架构，我们分析了它应该如何对应到实际的 AWS 资源上， AWS 架构管理人员可以根据上述的 AWS 资源，透过 AMI 来分配权限给规划人员，接着我们介绍要如何设定它的网络配置，如图一所假设，我们将 Web 服务器分布在公有子网 1 与公有子网 2 ，散布在两个子网的目的是为了容错，避免单点失败，正常来说这两个子网最好是散布在不同的实体区域，使用不同的电力系统、网络系统，这样如果其中一个区域发生停电或是火灾等意外灾难，还可以保障系统可以正常运作；因为应用程序服务器与数据库不需要对外曝露，所以直接放在私有子网 1 与私有子网 2 中。

图 1 、传统应用程序网络配置

要在云端完成这样的网络配置，需要使用的AWS服务就是Amazon VPC，它允许用户配置 AWS 帐户使用的虚拟网络，很多 AWS 资源，例如 Amazon EC2、RDS、ECS 都会在 Amazon VPC 中启动或存取(如图 2 )，允许完全控制网络配置，其中包括：

• Internet Protocol (IP) 地址范围
• 子网创建
• 路由表创建
• 网络网关
• 安全设置

图 2 、VPC 内所包含的 AWS 资源

在介绍 VPC 功能之前，先说明几个重要观念：区域 (Regions) 与可用区 (Availability Zones) ，诚如前文提到，为了容错、增加可用性，我们必须考虑将数据中心 (data centers) 建立在不同的实体地区，所以 AWS 将它的数据中心建在是全球各个重要城市里，这称之为区域 (Regions) ，接着在这个区域成立数个可用区 (Availability Zones) ，以 AWS 的规范，一个区域至少需要两个以上的可用区，详细的分布可以参考 AWS 官网－全球基础设施，目前共有 24 个地区， 77 个可用区。

Amazon VPC 功能

Amazon VPC 的功能与限制如下，此外提醒一下， AWS 的资源都会有预设的限制，比方说我的 Amazon VPC 预设限额是23个，我最多只能创立 23 个，如果要更多也不是不可以，提出申请即可，这些限制可以在自己的服务限额 (Service Quotas Console)中查看。

• 每个 Amazon VPC 都位于一个区域内，每个区域可以有多个 Amazon VPC。
• 每个账户允许创建多个 Amazon VPC (注意限额)。
• 每个 Amazon VPC 跨越多个可用区，每个可用区可以有多个 Amazon VPC。
• 每个 Amazon VPC 都必须通过选择一个无类别域间路由 (CIDR) 块 (如 10.0.0.0/16) 来指定 IPv4 地址范围。
• 创建 Amazon VPC 后无法更改其地址范围。
• 地址范围最大为 /16（65536 个可用地址），最小为 /28（16 个可用地址）。

接下来我们来找论一下 Amazon VPC 包含了那些组件：

• 子网：可以启动 AWS 服务的 Amazon VPC IP 地址范围分段。
  • 一个区域内的子网不能跨区域。
  • 一个子网相当于一个可用区。
  • 只能分类为公有、私有或 VPN。
  • 预设 Amazon VPC 在地区内的每个可用区中都包含一个公有子网，网络屏蔽为 /20。
• 路由表：用于控制流出子网的流量。
• 安全组 (Security Group) ：有状态的虚拟防火墙。
• 网络访问控制列表 (ACL)：控制对子网的访问；且无状态。
• Internet 网关 (IGW)：允许从 Amazon VPC 访问 Internet。
• 弹性 IP (Elastic IP) 地址：静态公有 IP 地址，可以从池中提取以供临时使用。
• 弹性网络接口 (ENI)：虚拟网络接口。
• 终端节点 (end point) ：到另一个 AWS 服务的直接连接。
• 对等连接：允许两个 Amazon VPC 进行通信。
• NAT实例 (NAT Instance) 和 NAT 网关 (NAT Gateway) ：在私有子网内接受、转换和转发流量。