AWS VPC知识详解

AWS北京和宁夏目前在中国有两个可用区，AWS VPC是AWS今天我们将介绍核心产品VPC基础知识。

VPC概述

VPC（Virtual Private cloud）虚拟私有云，是的AWS在网络层面分组资源的技术，一个VPC它可以被视为一个独立的虚拟网络，类似于传统的数据中心运行的客户网络，并将为客户提供使用AWS默认情况下，可扩展基础设施的优势VPC与VPC不互通，是逻辑隔离。

默认每个region以下可创建5个VPC,每个区域也可根据需要开通100个VPC.在创建VPC需要指定网络CIDR,范围：/16-/28.

创建完VPC之后，默认建一个main route table,默认使用其他子网main route table,也可以指定用户自定义的route table.

一个VPC包括以下必要组件：

1，子网(Subnets)

2，路由表(Route tables)

3，DHCP 选项集（Dynamic Host Configuration Protocol（DHCP）option sets）

4，安全组(Security Group)

5，网络ACL（Network Access Control List（ACLs））

并且可以下可选组件

1，互联网网关(Internet 

2，Gateways（IGW）)

3，弹性IP（Elastic IP（EIP）address）

4，弹性网卡(Elastic Network Interfaces （ENIs）)

5，终端节点(Endpoints)

6，对等连接(Peering)

7，NAT网关(Network Address Translation （NATs）instances and NAT gateways)

然后我们来介绍一下每个关键部件。

Subnet

一个VPC可包含多个subnet,一个subnet对应于一个AZ（可用区）

子网CIDR确定后，前四个IP和最后1个IP不可用，AWS例如：/28有16种内部使用IP,去掉5个后，还有11个供我们使用

AZ因为VPC可以跨多个AZ,因此VPC是逻辑划分

VPC中的subnet永远是互通的，因为任何路由表都包含本地路由，不能删除

在创建subnet可以指定默认是否是每一个新的instance分配public IP

Subnet有三种

1，Public subnet,路由表中有一个方向IGW的路由

2，Private subnet,路由表中没有指向IGW的路由

3，VPN subnet,面向VPN在路由表中指向连接VPG的路由

Route Tables

用于确定子网中路由的下落的路由表

子网只能对应一个route table,一个route table可对应多个子网

Internet gateways

Internet网关是一种横向扩展，支持冗余和高度可用VPC可实现组件VPC中的实例与Internet通信之间。因此，它不会对网络流量造成可用性风险或带宽限制

Internet网关有两种用途，一种是在VPC路由表中为Internet另一提供路由流量的目标，另一个是已经分配公共 IPv4 实例执行网络地址转换 (NAT)

一个VPC只能有一个IGW,用于连接internet

Dynamic Host Configuration Protocol Option Sets

指定如何为instance分配IP/Hostname等，默认AWS也可以自定义控制DNS server

可配置的选项有

Domain name server

Domain name

NTP server

NetBios name server

NetBios node type

Elastic IP Address

弹性IP地址是静态和公共的，专门用于动态云计算IPv4地址。你可以弹性IP您帐户中的任何地址VPC任何例子或网络接口都是相关的。借助灵活性IP您可以快速重新映射地址VPC另一个例子，从而屏蔽实例故障。注意，弹性IP地址与网络接口相关，而不直接与实例相关的优点是，网络接口的所有属性都可以从一个实例转移到另一个。

默认Public subnet下的instance会得到动态public IP,如果重启instance,public会改变

可以为instance指定静态IP,重启instance不会改变

创建好EIP然后开始收费，不管是否相关instance

一个region默认可以创建5个EIP

Elastic Network Instance（ENIs）

为一个instance创建多个网卡，实现业务与管理网络的分离dual-home instances

Endpoints

连接VPC和AWS服务（如S3等)连接点的优点是不需要去VPN或AWS Direct Connect创建好endpoint之后需要对应route table中增加路由

Peering

VPC两个对等连接VPC你可以通过这个连接不公开地连接两个网络VPC路由流之间。这两个VPC例子可以互相通信，就像它们在同一个网络中一样。你可以自己做VPC之间，自己的VPC与另一个AWS账户中的VPC或与其他AWS区域中的VPC之间创建VPC对等连接。

默认情况下VPC与VPC不能通信，可以增加peering connection,这样不同的VPC你们可以互相交流

Peering例如，如果没有传递VPC1和VPC二是对等连接，VPC2与VPC三是对等连接，所以VPC1和VPC默认情况下没有，需要手动增加对等连接

创建peering需要在两边VPC的route table相应的路由增加到中都

只创建一次peering申请，如VPC1申请与VPC2建立peering连接，连接创建后，不需要VPC2再向VPC1申请peering,因为连接已经建成，是双向的

现在peering的VPC可以跨region

如果VPC1与VPC2的CIDR不能创建包含或部分匹配的关系peering

AWS使用VPC的现有基础设施来创建VPC对等连接；连接既不是网关也不是网关AWS Site-to-Site VPN连接，不依赖单独的物理硬件。没有单点通信故障或带宽瓶颈

Security Group

通过创建安全组rule来设置firewall,在instance网络访问的层次控制

一个VPC支持500个SG,一个SG有50个inbound和50个outbound

SG可以设置allow rule,但不能设置deny rule,这个与ACL不同

默认没有inbound rule,除非手动增加，默认outbound allow all

SG有状态，言外之意，对某个allow inbound,对应的不需要指定outbound,会保留inbound回复响应状态

对于有多个rule的SG,在判断是否allow或deny时，AWS对一切进行评估rule再做决定，没有优先级rule的说法

可随时修改SG,即使它与某有关instance,修改后立即生效，不需要reboot-instance

Network Access Contorl List（ACLs）

默认情况下，在子网层面控制网络访问allow

支持allow,也支持deny

无状态，需同时指定inbound和outbound

每个rule通过优先级确定有优先级allow还是deny

影响的是整个子网，不用单独指定到某个instance

Network Address

Translation（NAT） Instances and NAT Gateways

都是用于private子网中的instance与外界通信的技术可以访问外网，但外网无法穿透instance

NAT instance是AWS提供的AMI,部署后充当proxy,需要部署public subnet中并分配public IP,且disable source/destination check,然后再配置route table

NAT Gateway,无需手动创建proxy instance,仅创建Gateway 服务，当然AWS内部也可能创建instance,但这对用户是透明的Gateway部署在public subnet中，再指定public IP,修改路由

推荐使用NAT Gateways,管理更简单

Virtual Private

Gateways（VPGs），Customer Gateways（CGWs）and Virtual Private Networks（VPNs）

VPN连接，例如Lab与VPC通信

VPG是在AWS端，CGWs是客户端的物理或软件VPN隧道

需要从CGW到VPG初始化VPN隧道

VPG支持动态BGP路由，或静态路由

VPN连接包括两可用性，连接包括两条隧道

以上为AWS VPC了解更多，可以随时联系我们。