AWS VPC简介与网络架构设计.pptx

AWS VPC简介与网络架构设计;Support;议程;什么是 Amazon VPC?;什么是 Amazon VPC?;VPC典型应用场景;提供公共访问的Web应用;直供企业内部访问的应用;;VPC基本概念;VPC 基本组件;IPv4地址;IPv4地址掩码;VPC = Virtual Private Cloud 在AWS上的虚拟数据中心 自定义虚拟数据中心的地址段 (RFC 1918) 可以包含多个可用区（AZ） 如果没有自建VPC，AWS提供Default VPC ;在VPC内部划分子网段 一个子网只能在一个AZ中 通过安全控制列表（ACL）实现子网安全 子网路由 Default VPC 提供了一个默认子网 是否自动分配公网地址开关：如果开启，此子网中的EC2实例在创建时可以自动分配动态公网IP;默认设置下（ACL不做限制），子网之间彼此互通 子网之间彼此互通是由一个虚拟路由器实现的，虚拟路由器连接所有子网并转发流量 在EC2虚拟机中，可以看到DHCP分配的默认网关地址是.1 (如果子网是C类地址段， /24) 虚拟路由器不需要配置 ;IGW = Internet Gateway VPC连接Internet的逻辑出口 Default VPC包含了一个IGW;包含有一系列的转发规则，即路由条目，用于决定流量的转发 一个子网关联一个路由表 控制子网路由，比如决定是否可以向互联网网关(IGW)或VPN网关(VGW)转发流量 一个路由表可以关联多个子网一个子网只能关联一个路由表 ;VGW = virtual private gateway VGW是一个逻辑的VPN网关，用于与物理数据中心建立VPN连接 也可以用于建立Direct Connect专线连接;CGW = customer gateway CGW代表物理数据中心实现VPN连接的一个物理设备 通常是一个路由器或防火墙;VPN连接将用户自己的物理数据中心私有网络与VPC连接起来，路由是私有网络路由，实现私有网络连接 在VGW 和 CGW之间建立两条VPN隧道;EIP = 弹性IP 静态公网IP地址 可申请，可释放释放后不保证能再申请到同一IP 在同一个Region内，EIP可以关联给任意一个EC2实例的网卡（ENI） 一个实例可以有多块网卡 一个网卡可以有多个IP 关联后，私有IP与EIP一一映射 ;ENI = elastic network interface ENI是EC2的虚拟网卡 在一个VPC中，默认设置下，每个EC2实例会有ENI，一个默认的 eth0 接口 ENI包含MAC地址，私有IP，以及关联的动态公网IP或EIP 非默认ENI可以变更关联到同一子网的另一个EC2实例;NACL = network access control list 实现子网的安全控制 无状态，流量控制需要编写出入双向规则 执行有顺序，按照规则编号;安全组相当于EC2实例的防火墙 一个EC2实例最多可以关联5个安全组 安全组是实例级别的，不是子网级的 与防火墙一样，安全组是有状态的，只需要规定流量发起一侧的端口限制，出入向设置都支持;VPC 安全控制;VPC 架构总览;VPC best practices and things to consider;通过IAM服务，创建一个VPC管理员组;在动手之前，规划VPC地址空间;给VPC打上标签（TAG）;子网规划;Network ACLs vs. security groups;VPC network ACLs: 什么情况下有用？;;充分利用 enhanced networking;在VPC中利用 ENI 的优势;浮动ENI模式 (简单场景的 HA);早打TAG，多打TAG;使用IAM定义和加强VPC运行状态;Resource-based permissions example;从VPC如何访问Internet或AWS公网服务，如S3、DynamoDB等？;这样的架构技术可行，但是你确定这么做？;公网路由公网IP架构;按需NAT;将VPC通过VPN连接到物理数据中心;Single VPN connection;Multiple VPN connections;Redundant tunnels for your VPN connection;Redundant customer gateways;到底需要多少个VPC呢？;使用VPC对等连接(VPC peering)连接两个VPC;Security groups and NACLs still apply;升级物理数据中心到VPC的连接：专线 Direct Connect;Customer Data Center;使用AWS Marketplace或中国区Community获取