利用Amazon虚拟专有云扩展您的IT基础设施.PDFVIP

利用Amazon 虚拟专有云扩展您的IT 基础设施 2013 年12 月 利用Amazon 虚拟专有云扩展您的IT 基础设施 2013 年12 月 (请访问/whitepapers/ 以获取本份白皮书的最新版本) 1 利用Amazon 虚拟专有云扩展您的IT 基础设施 2013 年12 月 目录 简介 3 了解Amazon 虚拟专有云4 不同网络隔离级别4 示例场景8 托管一套PCI 合规型电子商务网站8 构建一套开发与测试环境9 灾难恢复与业务连续性规划10 将您的数据中心扩展至云环境中 10 创建分支办公与业务部门网络 12 Amazon VPC 使用最佳实践14 以自动化方式部署您的基础设施 14 在VPC 中利用多可用区机制实现高可用性 14 使用安全组与网络ACL 15 利用IAM 角色与策略实现访问控制15 利用Amazon CloudWatch 监控VPC 实例与VPN 链路的运行状态15 总结16 参考文献与扩展阅读 17 版本修订17 2 利用Amazon 虚拟专有云扩展您的IT 基础设施 2013 年12 月 简介 利用Amazon Virtual Private Cloud （即Amazon 虚拟专有云，简称Amazon VPC ），大家可以配置一套专 有型隔离Amazon Web Services （简称AWS ）云分区，并立足于此在您定义的虚拟网络当中启动各类AWS 资源。利用Amazon VPC ，大家能够定义出一套与自有数据中心内传统网络高度相似的虚拟网络拓扑结 构。大家还能够对自己的虚拟网络环境加以全面控制，具体包括选择您自己的IP 地址范围、创建子网 并配置路由表与网络网关。举例来说，利用VPC 大家能够： 对现有内部基础设施加以扩展。 为您的环境启动一套备份堆栈以实现灾难恢复能力。 启动一套支付卡行业数据安全标准（简称PCI DSS）合规网站，用以接收各安全支付操 作。 启动隔离化开发与测试环境。 立足于企业网络之内提供虚拟桌面应用程序。 在使用传统方案实现上述用例时，大家可能需要大量前期投入用以构建自己的数据中心、配置必要硬 件、获取所需安全认证、雇用系统管理员并保证一切正常运行。而利用AWS 当中的VPC 服务，大家只 需承担少部分前期投入，并能够根据需要对基础设施规模进行任意伸缩。大家能够享有安全环境带来 的一切助益，且无需为此支付费用; AWS 安全控制、认证、资质以及特性能够满足各类大型企业及政府 机构客户提出的最为严苛的安全标准要求。欲获取相关认证与资质的完整列表，请访问AWS 合规性中 心。 本份白皮书将着重探讨Amazon VPC 及其相关服务中的常见用例及最佳实践。 3 利用Amazon 虚拟专有云扩展您的IT 基础设施 2013 年12 月 了解Amazon 虚拟专有云 Amazon VPC 属于AWS 云当中的一套安全、专有、隔离化分区，大家可以立足于您所定义的虚拟网络拓 扑启动各类AWS 资源。在创建一套VPC 时，大家可以提供专有IP 地址组以供VPC 内的各实例使用。 大家可以通过无类域间路由（简称CIDR ）块的方式指定该地址组，例如/16。大家也可以在/28 （即16 个IP 地址）与/16 （即65536 个IP 地址）之间随意指定块大小。 在Amazon VPC 当中，每个Amazon Elastic Compute Cloud （即Amazon 弹性计算云，简称Amazon EC2 ） 实例都具备一个默认网络接口，其可被分配至您Amazon VPC 网络上的一个首选专有IP 地址。大家可 以创建其它弹性网络接口（简称ENI）并将其附加至VPC 之内的任意Amazon EC2 实例当中。每个ENI 皆拥有自己的MAC 地址。其能够拥有多个专有IP 地址，并可被分配至特定安全组内