AWS网络基础设施

前段时间我拿到了一个Take Home Project,其中一个题目的内容和在AWS VPC中规划子网(Subnet)有关。借此机会我们可以了解一下AWS的网络架构。

上图是一个典型的AWS网络架构,本文中我们将介绍上图中各组件的概念及用途。

区域(Region)与可用区(Availability Zone)

每个AWS区域是一个单独的地理区域,比如位于North Virginia的us-east-1和位于North California的us-west-1。每一个区域完全独立。

每个区域中包含若干可用区(图中橙色虚线),使用形如us-east-1a的标识。每个可用区都是独立的,但区域内的可用区通过低延迟链接相连。

Virtual Private Cloud

VPC是AWS网络组件的重要组成部分。VPC使用户可以自行创建一个与AWS网络逻辑隔离的私有网络,并且控制整个私有网络的配置,包括IP地址分配,子网,路由表以及网关。我们可以将其理解为一个私有的局域网。VPC不能横跨区域,但可以横跨同一区域内的多个可用区。

当创建VPC时,默认的配置如下:

When we create a default VPC, we do the following to set it up for you:

  • Create a VPC with a size /16 IPv4 CIDR block (172.31.0.0/16). This provides up to 65,536 private IPv4 addresses.
  • Create a size /20 default subnet in each Availability Zone. This provides up to 4,096 addresses per subnet, a few of which are reserved for our use.
  • Create an internet gateway and connect it to your default VPC.
  • Create a default security group and associate it with your default VPC.
  • Create a default network access control list (ACL) and associate it with your default VPC.
  • Associate the default DHCP options set for your AWS account with your default VPC.

Elastic IP

弹性 IP 地址 是专门用于进行动态云计算的静态、公有 IPv4 地址。弹性 IP 地址可以与任意 VPC 的任何实例或网络接口相关联。

Elastic IP可以让我们得到一个固定的IP地址,不像随EC2的IP地址那样随着实例被销毁而被回收,并且可以随意将该IP地址指向任意的EC2实例或VPC。一个典型的使用场景是可以讲IP地址从一个故障的实例指向另一个可用的实例,用于屏蔽出现故障的实例或网络。

Internet Gateway

默认情况下VPC不能访问Internet,有了Internet Gateway之后,VPC中的出站流量会被默认路由到Internet Gateway,使VPC内部可以访问Internet。同时Internet Gateway也用于VPC中分配了公网IP地址的实例进行NAT。

子网

当创建VPC的时候,我们需要为这个VPC分配一个IP地址块,如10.0.0.0/16。之后,我们可以为VPC中的每个可用区分配一个或多个子网,子网不能横跨可用区。

然后我们可以为子网分配IP地址块,子网的CIDR块必须是VPC CIDR块的子集。例如我们为VPC分配了10.0.0.0/16,其中包含65025个IP。我们可以在其中创建两个子网,分别为10.0.1.0/2410.0.2.0/24

下图是一个典型的VPC网络架构,其中包含一个公有子网和一个私有子网。

公有子网是的有指向Internet网关的路由的子网。公有子网中的实例可以直接访问互联网,而私有子网不可以。但是私有子网中的实例可以通过公有子网中的NAT路由访问互联网。

NAT Gateway

默认情况下,子网无法访问Internet。可以为子网添加一个NAT Gateway或者使用一个实例作为NAT Instance来实现outbound Internet访问。但是NAT Gateway不能提供入站访问。

防火墙

VPC和EC2可以使用安全组(Security Group)作为防火墙。和普通防火墙一样,我们可以设置入站/出站流量的来源IP,端口及协议(TCP/UDP)。

Access Control List,简称ACL。作用和Security Group类似,区别在于ACL用于子网,而Security用于EC2实例和VPC。

Reference

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html

http://www.coding-daddy.com/other/aws-deploy.html

Show CommentsClose Comments

Leave a comment