轻松上手云计算：AWS网络环境-VPC

最新推荐文章于 2022-04-29 12:48:59 发布

weixin_34162629

最新推荐文章于 2022-04-29 12:48:59 发布

阅读量214

点赞数

原文链接：https://juejin.im/post/5cdda6e76fb9a03218557746

版权

网络作为云服务的交付手段，同时也是云内部体系的支撑骨架，是一项不可或缺的基础设施，所以这个系列先从 AWS 上的网络环境开始讲起。

VPC（Virtual Private Cloud）

VPC 是 AWS 上的一项重要且常用服务，它提供逻辑上隔离的私有网络环境。

所谓隔离，即为将该 VPC 与 Internet 以及其它 VPC 相隔绝，限制其间的网络通信。这种隔离是是逻辑上的，通过使用软件层面的技术手段来达到隔离目的，并非物理设备的连通性隔离。

VPC 几乎可对等于自己本地机房的内网环境，你可以像使用自己的内网一样使用它，不同点在于这个内网环境被托管给了 AWS 来维护。在 AWS 上，你创建的几乎所有的服务实例（机器）都需要置于 VPC 内。它提供的私有网络环境可保障最基本的网络隔离安全。

VPC 作为私有网络，自然具备自己的私有地址范围，在 AWS 中地址范围通常用 CIDR 块表示，形式如 172.31.0.0/16，表示 IP 的二进制的前 16 位固定不变，后 32-16=16 位可使用，即为 172.31.0.0 至 172.31.255.255 这个 IP 范围。VPC 中实例的私有地址只能在这个范围内分配。

子网（Subnet）

VPC 可进一步划分成多个子网，子网即是 AWS 中网络的最小组成单元。

子网作为 VPC 的细分，自然也拥有自己的私有地址范围。其地址范围是 VPC 地址范围的子集，如 173.31.0.0/20（表示 IP 的二进制的前 20 位固定，后 32-20=12 位可用），即 173.31.0.0 至 173.31.15.255 这个 IP 范围。子网范围是 VPC 范围的子集，且一个 VPC 下的各个子网的地址范围不会重叠。

公有子网和私有子网

子网根据其与能否与 Internet 直接连通，归类为公有子网和私有子网两种。对 Internet 开放进站/出站流量的子网即为公有子网，相对的，不暴露于 Internet 的子网即为私有子网。公有子网中的实例可直接与 Internet 相连，可将子网内产生的网络请求送入 Internet，也可将接收来自 Internet 的网络请求。私有子网则不能与 Internet 直接通信。

VPC 下的所有子网之间默认是互通的，无论是公有子网还是私有子网。

为何区分公有/私有子网

公有子网和私有子网的区分有何意义？

让我们先来看一个典型场景。通常的一个稍具规模的 Web 服务会被设计成多层架构，以 Web 站点层，应用层，数据库层这样的三层架构为例，每一层都对应若干个虚拟机实例：

Web 站点层接受用户在 Web 页面中的操作请求；
Web 站点层简单处理后将请求转发给应用层做业务处理；
应用层处理完成后将需要持久化的数据保存到数据库层中。

在上面这个场景中，Web 站点层需要处理来自 Internet 的通信，所以需要放入公有子网中，以便暴露给外界访问。而应用层并不需要直接与 Internet 通信，将其放入私有子网中，可避免与 Internet 直接交互，防止被外界入侵或攻击。数据库层与应用层类似，可置于私有子网中。公有子网和私有子网间默认的互通性，可保证 Web 站点层与应用层能正常通信。

组合使用公有子网和私有子网，这样的网络环境设计，能在保证灵活性的同时提升网络安全性。

创建 VPC

一个 AWS 账号在初始时，每个区域中都会内置一个默认 VPC，该 VPC 默认包含三个子网。

你也可以在 VPC 控制面板中通过创建向导，便捷地创建出满足不同需求的 VPC 和其中的子网:

创建时有 4 种子网配置可以选择：

这里以第一个选项「带单个公有子网的VPC」为例。

填写上面的参数。CIDR 之前有介绍过，根据需要填写，也可直接使用默认值。「VPC 名称」和「子网名称」，命名通常是为了方便辨别，这里也不例外。

另外有些参数你可能不太了解，简要介绍一下：

IPv6 CIDR 块：如果你的网络需要使用 IPv6 协议可选择「Amazon 提供的 IPv6 CIDR 块」；
可用区：区域的进一步细分，一个区域包含多个可用区，一个可用区大致对应于一个数据中心，可用区间是物理隔离的，多可用区可用于灾备；
启用 DNS 主机名：若选择「是」，则默认为该 VPC 中创建的实例分配 DNS 主机名；
硬件租赁：有两个可选项「默认」、「专用」，专用是指该 VPC 中创建的实例独享 AWS 数据中心的某一个物理机，默认指你的实例与其他用户的实例共享物理机。

参数填写完成后点击「创建 VPC」即可完成创建。

需要说明的是，该章节只演示了使用 VPC 向导创建「带单个公有子网的VPC」。VPC 向导中还有其他三种 VPC 配置，这三种配置涉及私有子网，创建时需要去配置 NAT 网关或 VPN。当然，我们也可以不用VPC 向导，而是分别去创建 VPC 和子网。关于这些内容将在 AWS网络环境-VPC（进阶） 中介绍。

VPC 进阶

对于 VPC，了解上面这些就足够应付日常使用了。如果想要灵活自如地运用，那就需要了解一些更高级的内容，可以参看下一篇文章：AWS网络环境-VPC进阶篇。

该系列文章可点击我的头像查看

转载于:https://juejin.im/post/5cdda6e76fb9a03218557746

weixin_34162629

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
轻松上手云计算：AWS网络环境-VPC

网络作为云服务的交付手段，同时也是云内部体系的支撑骨架，是一项不可或缺的基础设施，所以这个系列先从 AWS 上的网络环境开始讲起。VPC（Virtual Private Cloud）VPC 是 AWS 上的一项重要且常用服务，它提供逻辑上隔离的私有网络环境。所谓隔离，即为将该 VPC 与 Internet 以及其它 VPC 相隔绝，限制其间的网络通信。这种隔离是是逻辑上的，通过使用软件层面的...
复制链接

扫一扫