網絡鏈路,不僅是信息互通的基礎、更是移動互聯網、雲計算等一系列新興產業不可缺少的底層環境。在今天我們暢談AI、開展大數據專題研討、設計雲計算資源管理的過程中,這一切都無法剝離網絡基礎的互聯互通。
傳統的網絡設計與部署,是線纜、是路由、是交換、是負載、是安全、是一大票諸如此類的硬件設備拼湊在一起的複雜環境。而且網絡與機房、網絡與電氣、網絡與環境都密不可分,其職場環境和抗壓管理都具有一定挑戰。
雲計算領域的基礎網絡環境,如果能將“軟件定義網絡”的能力彰顯極致,那麼這勢必對傳統網絡有著深遠影響。雲化虛擬網絡的設計與落地,一定是可管理、可控制的大型集成系統,這是雲的根基。
圖中所述,這是一個AWS虛擬網絡VPC的實例,本圖VPC是一個自定義的IPv4網絡(10.0.0.0/16),並且擁有抽象後的互聯網網關(左邊區域)和虛擬私有網關(右邊區域)分別用於訪問Internet和物理機房。因此這裡面有兩個子網,其左邊區域10.0.0.0/24是一個公有子網,相當於傳統網絡的DMZ可以直接訪問互聯網;右邊區域10.0.1.0/24是一個私有子網,就相當於傳統網絡的“內網區域”,我們可以看到右邊私有網絡的路由下一跳是VPG(私有網關),而且訪問外網是通過公有子網的NAT實例(10.0.0.8/24),保證了內網訪問安全,而且私有子網與當前存在的物理網絡有路由目的地址(17.16.0.0/16)。在子網級別有訪問控制NACL,在虛擬機級別有防火牆的安全組(Security Group),這些都是傳統經典網絡的概念重現。
藉助 Amazon Virtual Private Cloud (Amazon VPC),您可以在 AWS 雲中預置一個邏輯隔離的部分,從而在自己定義的虛擬網絡中啟動 AWS 資源。您可以完全掌控您的虛擬聯網環境,包括選擇自己的 IP 地址範圍、創建子網以及配置路由表和網絡網關。您在 VPC 中可以使用 IPv4 和 IPv6,因此能夠輕鬆安全地訪問資源和應用程序。
我們可以輕鬆自定義 Amazon VPC 的網絡配置。例如,您可以為可訪問 Internet 的 Web 服務器創建公有子網,而將數據庫或應用程序服務器等後端系統放在不能訪問 Internet 的私有子網中。您可以利用安全組和網絡訪問控制列表等多種安全層,對各個子網中 Amazon EC2 實例的訪問進行控制。AWS的VPC具有如下特點:
1、安全
Amazon VPC 提供了安全組和網絡訪問控制列表等高級安全功能,可在實例級別和子網級別啟用入站和出站篩選功能。此外,您還可以在 Amazon S3 中存儲數據並限制訪問,使得只能從 VPC 中的實例訪問這些數據。另外,您還可以選擇啟動專用實例,它在單個客戶的專用硬件上運行,可讓您獲得額外的隔離。
2、簡單
您可以通過 AWS 管理控制檯快速又方便地創建 VPC。您可以選擇一種最符合您需求的常用網絡設置,再按“啟動 VPC 嚮導”。 系統將為您自動創建子網、IP 範圍、路由表和安全組,從而讓您可以專心創建要在 VPC 中運行的應用程序。
3、良好的擴展性和可靠性
Amazon VPC 具備其餘 AWS 產品和服務所具有的全部優勢。您可以即時擴展或縮減您的資源,選擇適合您應用程序的 Amazon EC2 實例類型和大小,並且只需為所使用的資源付費 – 一切盡在 Amazon 最為可靠的基礎設施中。
在AWS網絡技術棧中,VPC可以覆蓋一個區域(Region)裡的多個可用區(AZ),但不能覆蓋跨越多個區域;再者,一個子網只能在一個可用區內,不能跨越多個可用區。而且VPC與用戶自己的物理機房互聯時,地址段不能重複,而且要有路由信息。在一個VPC中的多個子網中,我們可以通過ACL(訪問控制列表)保障子網的安全和訪問權限,設置相應的端口和訪問級別;同時在主機層面(EC2實例)可以設置安全組,控制入站和出站的規則,這就是VPC的強大之處,可以保證靈活性額同時最大限度的保證網絡安全。
舉個例子,如果在一個沒有公網路由的子網裡,給一個EC2分配固定公網IP(EIP),並且NACL和安全組都允許這臺EC2實例,結果會發現這個網絡的示例仍然無法上網,原因就在於沒有路由,需要在VPC中添加相應的路由信息。
對於AWS用戶經常會遇到一個問題,就是“應該建立多少個VPC,創建多少個子網。”其實,這主要取決於用戶網絡的內部管理策略和應用架構設計,往往VPC的構建都是從簡到繁的過程。此外,多個VPC往往也會有比較嚴格的權限管理需求,這就需要AWS的IAM服務(身份訪問管理),這是一個非常重要的策略型服務,可以限定某一個或一類用戶的操作權限。
作為網絡虛擬化的靈魂,AWS有業界最成熟的技術,這就是VPC
分析世界講方案,為您帶來精彩的一頁;
閱讀更多 分析世界講方案 的文章
