Amazon Virtual Private Cloud
Выделите логически изолированный раздел облака Amazon Web Services (AWS), в котором можно запускать ресурсы AWS в заданной виртуальной сети.
Amazon Virtual Private Cloud (Amazon VPC) – это логически изолированный раздел облака AWS, в котором можно запускать ресурсы AWS в созданной пользователем виртуальной сети. Пользователь полностью контролирует свою среду виртуальной сети, в том числе может выбирать собственный диапазон IP-адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для обеспечения удобного и безопасного доступа к ресурсам и приложениям в VPC можно использовать как IPv4, так и IPv6.
Сетевую конфигурацию Amazon VPC можно легко настроить по своему усмотрению. Например, для веб-серверов можно создать публичную подсеть с выходом в Интернет, а внутренние системы, такие как базы данных или серверы приложений, расположить в частной подсети без доступа к Интернету. Можно использовать многоуровневую систему безопасности, состоящую из групп безопасности и сетевых списков контроля доступа (NACL), чтобы контролировать доступ к инстансам Amazon EC2 в каждой подсети.
Кроме того, можно создать подключение между корпоративным центром обработки данных и VPC с помощью аппаратной частной виртуальной сети (VPN) и использовать облако AWS для расширения возможностей корпоративного ЦОД.
Начать работу с AWS бесплатно
или войти в Консоль >>
Получите доступ к уровню бесплатного пользования AWS на один год, включая преимущества базовой поддержки AWS Support: круглосуточное обслуживание клиентов (без праздников и выходных), форумы и многое другое.
Обратите внимание, что на данный момент сервис Amazon VPC не доступен на уровне бесплатного пользования AWS.
Возможности и преимущества
Различные варианты подключения
Для Amazon VPC существуют различные варианты подключения. Можно подключить VPC к Интернету, к центру обработки данных или другому VPC, в зависимости от того, какие ресурсы AWS необходимо сделать общедоступными, а какие оставить в частном пользовании.
- Подключение непосредственно к Интернету (публичные подсети): позволяет запустить инстанс в публичной подсети, где он сможет работать с входящим и исходящим интернет-трафиком.
- Подключение к Интернету с использованием трансляции сетевых адресов (частные подсети): частные подсети могут использоваться для инстансов, данные которых не должны быть доступны непосредственно из Интернета. Инстансы в частной подсети могут получить доступ к Интернету, не раскрывая свой частный IP-адрес, что достигается путем маршрутизации трафика через шлюз системы трансляции сетевых адресов (NAT) в публичной подсети.
- Безопасное подключение к корпоративному центру обработки данных: весь трафик от инстансов и к инстансам в сервисе VPC можно направить в корпоративный центр обработки данных, используя аппаратное VPN-подключение, зашифрованное по отраслевым стандартам IPsec.
- Частное подключение к другим VPC: настройте взаимодействие сервисов VPC, чтобы установить общий доступ к ресурсам в разных виртуальных сетях, принадлежащих вашему или другим аккаунтам AWS.
- Создайте частное подключение к сервисам AWS через адрес VPC без использования интернет-шлюза, NAT или прокси-сервера брандмауэра. В число доступных сервисов входят S3, DynamoDB, Kinesis Streams, Service Catalog, EC2 Systems Manager (SSM), SNS, а также API сервисов Elastic Load Balancing (ELB) и Amazon Elastic Compute Cloud (EC2).
- Создайте частное подключение к решениям SaaS с помощью AWS PrivateLink.
- Создайте частное подключение к внутренним сервисам для разных аккаунтов и VPC в пределах организации, чтобы значительно упростить внутреннюю сетевую архитектуру.
Безопасность
Amazon VPC предоставляет расширенные возможности обеспечения безопасности, такие как группы безопасности и сетевые списки контроля доступа, обеспечивая фильтрацию входящего и исходящего трафика на уровне инстанса или уровне подсети соответственно. Кроме того, если данные хранятся в Amazon S3, можно ограничить доступ таким образом, что данные будут доступны только инстансам конкретного VPC. Для дополнительной изоляции также можно запускать выделенные инстансы на оборудовании, выделенном в распоряжение одному клиенту.
Простота
Можно быстро и легко создать VPC с помощью Консоли управления AWS. Выберите одну из наиболее распространенных сетевых настроек, которая лучше всего соответствуют вашим потребностям, и нажмите кнопку [Start VPC Wizard]. Подсети, диапазоны IP-адресов, таблицы маршрутизации и группы безопасности создаются автоматически, что позволяет сосредоточиться на создании приложений, которые будут запускаться в VPC.
Все возможности масштабирования и надежность AWS
Amazon VPC обеспечивает те же преимущества, что и другие сервисы платформы AWS. Вы можете мгновенно масштабировать свои ресурсы, выбирая типы инстансов Amazon EC2 и размеры, которые подходят для ваших приложений, и платить только за те ресурсы, которые используете – все это в пределах проверенной инфраструктуры Amazon.
Примеры использования
Размещение простого публичного веб-сайта
Вы можете разместить базовое веб-приложение, например, блог или простой сайт, в сервисе VPC и получить дополнительные уровни конфиденциальности и безопасности, предоставляемые Amazon VPC. Чтобы повысить безопасность веб-сайта, можно создавать правила группы безопасности, которые позволят веб-серверу реагировать на входящие HTTP- и SSL-запросы из Интернета, одновременно запрещая веб-серверу инициировать исходящие соединения с Интернетом. Можно создать VPC, которое будет поддерживать такой пример использования, выбрав пункт «VPC with a Single Public Subnet Only» в мастере консоли Amazon VPC.
Размещение многоуровневых веб-приложений
Сервис Amazon VPC можно использовать для размещения многоуровневых веб-приложений и строгого контроля за соблюдением прав доступа и ограничений безопасности между веб-серверами, серверами приложений и базами данных. Можно запустить веб-сервер в публичной подсети, а серверы приложений и баз данных в недоступных для общего пользования подсетях. Серверы приложений и баз данных недоступны непосредственно из Интернета, но при этом могут получить доступ к Интернету через шлюз NAT, например для загрузки файлов исправлений. Доступ между серверами и подсетями можно контролировать, используя фильтрацию входящих и исходящих пакетов, осуществляемую посредством сетевых списков контроля доступа и групп безопасности. Чтобы создать VPC, которое будет поддерживать такой пример использования, выберите пункт «VPC with Public and Private Subnets» в мастере консоли Amazon VPC.
Размещение масштабируемых интернет-приложений в облаке AWS, подключенном к вашему центру обработки данных
Можно создать VPC, где инстансы в одной подсети, например веб-серверы, будут обмениваться данными через Интернет, в то время как инстансы в другой подсети, например серверы приложений, будут связываться с базами данных в корпоративной сети. VPN-подключение по стандарту IPsec между VPC и корпоративной сетью помогает обеспечить безопасное взаимодействие между серверами приложений в облаке и базами данных в собственном центре обработки данных. Веб-серверы и серверы приложений в VPC могут использовать эластичность Amazon EC2 и возможности Auto Scaling, увеличивая либо уменьшая объем ресурсов по мере необходимости. Можно создать сервис VPC, который будет поддерживать этот пример использования, выбрав пункт [VPC with Public and Private Subnets and Hardware VPN Access] в меню мастера консоли сервиса Amazon VPC.
Расширение корпоративной сети в облако
Можно перемещать корпоративные приложения в облако, запускать дополнительные веб-серверы или добавлять к сети вычислительные ресурсы, подключив VPC к корпоративной сети. Так как сервис VPC можно разместить за корпоративным брандмауэром, вы сможете легко перемещать ИТ-ресурсы в облако, не меняя способ доступа пользователей к этим приложениям. Выберите пункт [VPC with a Private Subnet Only and Hardware VPN Access] в меню мастера консоли сервиса Amazon VPC, чтобы создать сервис VPC, поддерживающий этот пример использования.
Аварийное восстановление
Можно периодически создавать резервную копию критически важных данных, которые хранятся в центре обработки данных, для небольшого числа инстансов Amazon EC2 с томами Amazon Elastic Block Store (EBS) или импортировать образы виртуальных машин в Amazon EC2. В случае аварийной ситуации в вашем центре обработки данных вы сможете быстро запустить запасной объем вычислительных ресурсов в AWS, обеспечив беспрерывность функционирования систем. По завершении аварийной ситуации вы можете отправить критически важные данные обратно в центр обработки данных и прекратить использование инстансов Amazon EC2, которые больше не нужны. Amazon VPC для аварийного восстановления позволяет использовать все преимущества аварийного восстановления по цене, которая составит лишь часть обычной стоимости затрат в таких ситуациях.
Начать работу с Amazon VPC
Ресурсы AWS автоматически выделяются в созданном для вас и готовом к использованию облаке VPC по умолчанию, которое вы можете настраивать, добавляя или удаляя подсети, присоединяя межсетевые шлюзы, внося изменения в таблицу маршрутизации по умолчанию и в списки управления доступом к сети.
Дополнительные облака VPC можно создавать на странице Amazon VPC в Консоли управления AWS, нажав кнопку Start VPC Wizard. Вам будут предложены четыре основные топологии сети. Выберите из них ту, которая наиболее соответствует желаемой топологии сети, и нажмите кнопку Create VPC. После создания облака VPC можно запускать в нем инстансы Amazon EC2.
Начать работу с AWS
Обучение с помощью 10-минутных учебных пособий
Подробнее об Amazon VPC
