你应该知道的网络的一部分
如果您在AWS上运行基础架构和应用程序,那么您将遇到所有这些事情。它们不是网络设置的唯一部分,但根据我的经验,它们是最重要的部分。
VPC
虚拟私有云(VPC)是一个专用网络空间,您可以在其中运行基础架构。它有一个你选择的地址空间(CIDR范围),例如10.0.0.0/16。这决定了您可以在VPC中分配的IP地址数量。您在VPC内创建的每个服务器都需要一个IP地址,因此该地址空间定义了您可以在网络中拥有多少资源的限制。该10.0.0.0/16地址空间可以使用地址10.0.0.0来10.0.255.255,这为65,536 IP地址。
VPC是AWS上网络的基础,所有新帐户都包含默认VPC,每个可用区域中都有子网。
子网
子网是VPC的一部分,具有自己的CIDR范围以及流量如何流动的规则。它的CIDR范围必须的VPC的一个子集,例如10.0.1.0/24这将允许从IP地址10.0.1.0到10.0.1.255给256个可能的IP地址。
子网通常被称为“公共”或“私有”,具体取决于流量是否可以从VPC(Internet)外部到达。此可见性由流量路由规则控制,每个子网可以有自己的规则。
子网必须位于区域内的特定可用区域中,因此最好在每个区域中都有一个子网。如果您计划拥有公共和私有子网,则每个可用区域应该有一个子网。
可用区域
我们已经说过每个可用区域应该有子网,但这实际上意味着什么?
每个AWS区域分为2个或更多不同的区域,它们之间旨在保证该区域的高可用性。基本上,至少有一个区域应该能够运行,即使其他区域遭受中断(:火:)。
路由表
路由表包含有关子网中IP数据包如何传输到不同IP地址的规则。始终存在默认路由表,该表仅允许流量在VPC内本地传输。如果子网没有与之关联的路由表,则它使用默认路由表。这些将是“私人”子网。
如果您希望外部流量能够到达子网,那么您需要创建一个路由表,其中明确允许此规则。与该路由表关联的子网将为“公共”。
默认VPC中的所有子网都与路由表相关联,使其公开。
互联网网关
使子网公共的路由表需要引用因特网网关以允许外部IP分组流入和流出VPC。您创建Internet网关,然后创建一个规则,说明0.0.0.0/0所有IP地址的数据包都需要转到那里。
NAT网关
如果您在私有子网中有一个EC2实例 - 一个不允许来自Internet的流量到达它的实例 - 那么IP数据包也无法到达Internet。我们需要一种机制来发送这些数据包,然后正确地路由回复。这称为网络地址转换,很可能是由你的wifi路由器在你家里完成的。
NAT网关是位于公共子网中的设备,接受来自私有子网的绑定到Internet的任何IP数据包,将这些数据包发送到其目标,然后将返回的数据包发送回源。
如果您不打算私有子网中的实例在您的VPC外部通话,但是如果您确实需要这样做,例如使用外部API,SaaS数据库等,则没有必要拥有NAT网关,那么您可以简单地设置EC2实例(可能更便宜,取决于您的流量),适当配置,或使用AWS管理的NAT网关资源(将更容易管理,因为您不会这样做)。
公有子网包含NAT网关
请求从私有子网到Internet上某处的IP地址
路由表说它需要转到NAT网关
NAT网关发送它
安全组
VPC网络安全组表示哪些流量可以流入(或来自)VPC中的EC2实例。安全组可以指定入口(入站)和出站(出站)流量规则,将它们限制为某些源(入站)和目标(出站)。它们与EC2实例而不是子网相关联。
默认情况下,允许所有流量输出,但不允许流量。入站规则可以指定源地址(CIDR块或其他安全组)和端口范围。当源是另一个安全组时,它必须位于同一个VPC中。例如,使用默认安全组创建VPC,该安全组允许来自具有相同安全组的任何内容的流量。将组分配给在VPC中创建的所有内容(不一定是最安全的实践)意味着所有这些资源可以相互通信。
实例(i-67890)具有安全组(sg-abcde),其允许端口443上的TCP流量
请求端口22上的IP地址(10.0.1.123)无法通过
向实例上的端口443发出请求,并允许通信
把它放在一起
虚拟专用网络的完整图片如下图所示,公共和私有子网分布在可用区域,网络地址转换位于公共子网和路由表中,以指定数据包的路由方式。EC2实例在任何子网中运行,并附加安全组。
转自:https://grahamlyons.com/article/everything-you-need-to-know-about-networking-on-aws
323
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
