Amazon Virtual Private Cloud

Выделите логически изолированный раздел облака Amazon Web Services (AWS), в котором можно запускать ресурсы AWS в самостоятельно заданной виртуальной сети.

Amazon Virtual Private Cloud (Amazon VPC) – это логически изолированный раздел облака AWS, в котором можно запускать ресурсы AWS в самостоятельно заданной виртуальной сети. Таким образом можно полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP‑адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для обеспечения удобного и безопасного доступа к ресурсам и приложениям в VPC можно использовать как IPv4, так и IPv6.

Сетевую конфигурацию Amazon VPC можно просто настраивать по своему усмотрению. Например, для веб‑серверов можно создать публичную подсеть с выходом в Интернет, а внутренние системы, такие как базы данных или серверы приложений, расположить в частной подсети без доступа к Интернету. Сервис обеспечивает многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа (NACL). Такая система позволяет контролировать доступ к инстансам Amazon EC2 в каждой подсети.

Кроме того, можно создать подключение между корпоративным центром обработки данных и VPC с помощью аппаратной частной виртуальной сети (VPN) и использовать облако AWS для расширения возможностей корпоративного ЦОД.

Простой и безопасный доступ к сервисам, размещенным на AWS.

aws_privatelink_logo

Преимущества

Безопасность

Amazon VPC предоставляет расширенные возможности обеспечения безопасности, такие как группы безопасности и сетевые списки контроля доступа, обеспечивая фильтрацию входящего и исходящего трафика на уровне инстанса или уровне подсети соответственно. Кроме того, если данные хранятся в Amazon S3, можно ограничить доступ к ним таким образом, что данные будут доступны только инстансам в VPC. Для дополнительной изоляции также можно запускать выделенные инстансы на оборудовании, выделенном в распоряжение одному клиенту.

Простота

VPC можно быстро и просто создать с помощью Консоли управления AWS. Выберите одну из наиболее распространенных сетевых конфигураций, которая оптимально соответствует конкретным потребностям, и нажмите кнопку «Start VPC Wizard». Подсети, диапазоны IP‑адресов, таблицы маршрутизации и группы безопасности создаются автоматически, что позволяет сосредоточиться на создании приложений, которые будут работать в VPC.

Все возможности масштабируемости и надежности AWS

Amazon VPC обеспечивает те же преимущества, что и другие сервисы платформы AWS. Сервис позволяет мгновенно масштабировать ресурсы, выбирая типы инстансов Amazon EC2 и размеры, которые подходят для конкретных приложений, платить только за те ресурсы, которые используются, – и все это в пределах проверенной инфраструктуры Amazon.

Возможности

Различные варианты подключения

Для Amazon VPC существуют различные варианты подключения. Можно подключить VPC к Интернету, к центру обработки данных или другому VPC, в зависимости от того, какие ресурсы AWS необходимо сделать общедоступными, а какие оставить частными.

  • Непосредственное подключение к Интернету (публичные подсети): позволяет запустить инстанс в общедоступной подсети, где он сможет работать с исходящим и входящим интернет‑трафиком.
  • Подключение к Интернету с использованием трансляции сетевых адресов (частные подсети): частные подсети могут использоваться для инстансов, данные которых не должны быть доступны непосредственно из Интернета. Инстансы в частной подсети могут получать доступ к Интернету, не раскрывая свой частный IP‑адрес, что достигается путем маршрутизации трафика через шлюз системы трансляции сетевых адресов (NAT) в публичной подсети.
  • Безопасное подключение к корпоративному центру обработки данных: весь трафик от инстансов и к инстансам в сервисе VPC можно направить в корпоративный центр обработки данных, используя аппаратное VPN‑подключение, зашифрованное по отраслевым стандартам IPsec.
  • Частное подключение к другим VPC: настройте взаимодействие сервисов VPC, чтобы установить общий доступ к ресурсам в разных виртуальных сетях, принадлежащих тому же или другим аккаунтам AWS.
  • Создайте частное подключение к сервисам AWS через адрес VPC без использования интернет‑шлюза, NAT или прокси‑сервера брандмауэра. В число доступных сервисов входят S3, DynamoDB, Kinesis Streams, Service Catalog, EC2 Systems Manager (SSM), SNS, а также API сервисов Elastic Load Balancing (ELB) и Amazon Elastic Compute Cloud (EC2).
  • Создайте частное подключение к решениям SaaS на основе технологии AWS PrivateLink.
  • Создайте частное подключение к внутренним сервисам для разных аккаунтов и VPC в пределах организации, чтобы значительно упростить внутреннюю сетевую архитектуру.

Примеры использования

Размещение простого публичного веб‑сайта

Вы можете разместить базовое интернет‑приложение, например, блог или простой сайт, в сервисе VPC и получить дополнительный уровень конфиденциальности и безопасности, предоставляемый Amazon VPC. Чтобы повысить безопасность веб‑сайта, можно создавать правила группы безопасности, которые позволят веб‑серверу реагировать на входящие HTTP- и SSL‑запросы из Интернета, одновременно запрещая веб‑серверу инициировать исходящие соединения с Интернетом. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with a Single Public Subnet Only» в мастере консоли Amazon VPC.

Размещение многоуровневых интернет‑приложений

Сервис Amazon VPC можно использовать для размещения многоуровневых интернет‑приложений и строгого контроля за соблюдением прав доступа и ограничений безопасности между веб‑серверами, серверами приложений и базами данных. Можно запустить веб‑сервер в публичной подсети, а серверы приложений и баз данных в недоступных для общего пользования подсетях. Серверы приложений и баз данных не будут доступны непосредственно из Интернета, но при этом могут получить доступ к Интернету через шлюз NAT, например для загрузки файлов исправлений. Доступ между серверами и подсетями можно контролировать, используя фильтрацию входящих и исходящих пакетов, осуществляемую посредством сетевых списков контроля доступа и групп безопасности. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with Public and Private Subnets» в мастере консоли Amazon VPC.

Размещение масштабируемых интернет‑приложений в облаке AWS, подключенном к собственному центру обработки данных

Можно создать VPC, где инстансы в одной подсети, например веб‑серверы, будут обмениваться данными через Интернет, в то время как инстансы в другой подсети, например серверы приложений, будут связываться с базами данных в корпоративной сети. VPN‑подключение по стандарту IPsec между VPC и корпоративной сетью помогает обеспечить безопасное взаимодействие между серверами приложений в облаке и базами данных в собственном центре обработки данных. Веб‑серверы и серверы приложений в VPC могут использовать эластичность Amazon EC2 и возможности Auto Scaling, увеличивая либо уменьшая объем ресурсов по мере необходимости. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with Public and Private Subnets and Hardware VPN Access» в мастере консоли Amazon VPC.

Расширение корпоративной сети в облако

Можно перемещать корпоративные приложения в облако, запускать дополнительные веб‑серверы или добавлять к сети вычислительные ресурсы, подключив VPC к корпоративной сети. Так как сервис VPC можно разместить за корпоративным брандмауэром, это позволяет просто перемещать ИТ‑ресурсы в облако, не меняя способ доступа пользователей к этим приложениям. Чтобы создать VPC, которое будет поддерживать такой пример использования, нужно выбрать пункт «VPC with a Private Subnet Only and Hardware VPN Access» в мастере консоли Amazon VPC.

Аварийное восстановление

Можно периодически создавать резервную копию критически важных данных, которые хранятся в центре обработки данных, для небольшого числа инстансов Amazon EC2 с томами Amazon Elastic Block Store (EBS) или импортировать образы виртуальных машин в Amazon EC2. В случае аварийной ситуации в центре обработки данных это позволит быстро запустить резервный объем вычислительных ресурсов на AWS, обеспечив беспрерывное функционирование систем. По завершении аварийной ситуации можно отправить критически важные данные обратно в центр обработки данных и прекратить использование инстансов Amazon EC2, которые больше не требуются. Amazon VPC для аварийного восстановления позволяет использовать все преимущества аварийного восстановления по цене, которая во много раз меньше обычного объема затрат в таких ситуациях.

Начать работу с Amazon VPC

Ресурсы AWS автоматически выделяются в созданном от имени клиента и готовом к использованию облаке VPC по умолчанию. Его можно настраивать, добавляя или удаляя подсети, присоединяя сетевые шлюзы, внося изменения в таблицу маршрутизации по умолчанию и в сетевые списки контроля доступа.

Дополнительные облака VPC можно создавать на странице Amazon VPC в Консоли управления AWS, нажав кнопку «Start VPC Wizard» (Запустить мастер создания VPC). На выбор предлагаются четыре основных топологии сети. Выберите из них наиболее подходящую топологию и нажмите кнопку «Create VPC» (Создать VPC). После создания облака VPC можно запускать в нем инстансы Amazon EC2.

Начать работу с AWS

icon1

Зарегистрируйте аккаунт AWS

Получите мгновенный доступ к уровню бесплатного пользования AWS.
icon2

Обучение с помощью 10-минутных учебных пособий

Знакомьтесь с сервисами и учитесь с помощью простых учебных пособий.
icon3

Начните разработку с AWS

Начните создавать проекты на AWS с помощью пошаговых руководств.
Готовы приступить к разработке?
Начать работу с Amazon VPC
Есть вопросы?
Свяжитесь с нами