Amazon Web Services - VPC 介绍

介绍一下亚马逊的一项特色服务VPC(Virtual Private Cloud)，即虚拟云端局域网，我觉得还是不直译为虚拟私有云好些,毕竟服务是构建在公有云平台上，按照其用途来说，它就是相当于一个云端的局域网，官方网站介绍如下：

Amazon Virtual Private Cloud (Amazon VPC) 允许您在 Amazon Web Services (AWS) 云中预配置出一个采用逻辑隔离的部分，让您在自己定义的虚拟网络中启动 AWS 资源。您可以完全掌控您的虚拟联网环境，包括选择自有的 IP 地址范围、创建子网，以及配置路由表和网关。

您可以轻松自定义 Amazon VPC 的网络配置。例如，您可以为可访问 Internet 的 Web 服务器创建公有子网，而将数据库或应用程序服务器等后端系统放在不能访问 Internet 的私有子网中。您可以利用安全组和网络访问控制列表等多种安全层，帮助对各个子网中 Amazon EC2 实例的访问进行控制。

此外，您也可以在公司数据中心和 VPC 之间创建硬件虚拟专用网络 (×××) 连接，将 AWS 云用作公司数据中心的扩展。

在使用VPC之前，我们创建的服务器实例都是直接暴露在公网上的，从安全的角度考虑还是不太妥当。

使用VPC后，所有服务器实例都是处于局域网环境，只将有外部访问请求的服务器设置公网IP，这样就减小了安全隐患。并且云端局域网和本地公司的局域网可以通过站点到站点×××连接，用户直接通过私有IP便可以直接访问，非常方便。

VPC的连接分类有如下4种，

• 直接连接 Internet（公有子网） – 您可以将实例推送到公开访问的子网中，它们可在其中发送和接收与 Internet 之间的通信。

• 通过网络地址转换连接 Internet（私有子网） – 私有子网可用于您不希望能直接从 Internet 寻址的实例。私有子网中的实例可以通过公有子网中的网络地址转换 (NAT) 实例路由其流量，从而访问 Internet 而不暴露其私有IP地址。

• 安全地连接公司数据中心 – 进出 VPC 中实例的流量可以通过行业标准的加密 IPsec 硬件 ××× 连接路由到您的公司数据中心。

• 通过组合连接方式满足应用程序需求 – 您可以将 VPC 同时与 Internet 和公司数据中心连接，并配置 Amazon VPC 路由表将所有流量定向到其正确的目的地。

目前公司用到的VPC连接就是采用第四种方式，规划了2个子网段，一个公共子网10.0.40.0/24，和一个私有子网10.0.41.0/24，公共子网采用NAT方式将服务器暴露在公网上面，而私有子网内的服务器仅具有内部IP，并且这2个子网段都通过×××连接到本地公司局域网。我们在新建EC2服务器实例时就可以选择将其放置在VPC网段里，可以手动指定私有IP也可以由DHCP自动分配，针对有外部访问请求的服务器可以设定固定公网IP(Elastic IP)，并且对VPC设定好相关的安全访问策略，这样本地可以直接通过私有IP和SSH Key访问到云端的服务器。

以上是关于VPC的大致介绍，总之来讲，采用VPC的规划可以提高系统的安全性，网段的分类规划也比较有条理，在管理数量比较多的服务器时优势还是比较明显的。

转载于:https://blog.51cto.com/carllai/1324769