Сведения об Amazon Virtual Private Cloud

С помощью Amazon Virtual Private Cloud (Amazon VPC) можно:

• создать облако Amazon VPC на основе масштабируемой инфраструктуры AWS и задать для него любой диапазон частных IP-адресов;
• расширить облако VPC, добавив дополнительные диапазоны IP-адресов;
• разбить диапазон частных IP-адресов вашего облака VPC на одну или несколько публичных или частных подсетей, чтобы обеспечить работу приложений и сервисов в вашем VPC;
• управлять входящим и исходящим доступом к отдельным подсетям с помощью списка управления доступом к сети;
• хранить данные в Amazon S3 и устанавливать разрешения, например, на доступ к данным только из вашего облака Amazon VPC;
• назначать множество IP-адресов и присоединять множество эластичных сетевых интерфейсов к инстансам, работающим в облаке VPC;
  
• связывать один или несколько IP-адресов Amazon Elastic с любым инстансом в облаке VPC для доступа к нему непосредственно через Интернет;
• соединять ваше облако VPC с другими VPC и получать доступ к их ресурсам посредством частных IP-адресов с помощью пиринга VPC;
• создавать частное подключение к сервисам AWS через VPC Endpoint без использования интернет-шлюза, NAT или прокси-сервера брандмауэра; в число доступных сервисов AWS входят S3, DynamoDB, Kinesis Streams, Service Catalog, EC2 Systems Manager (SSM), Amazon SNS, а также сервисы API Elastic Load Balancing (ELB) и Amazon Elastic Compute Cloud (EC2);
• создавать частное подключение к своим сервисам или решениям SaaS на основе AWS PrivateLink;
• соединять облако VPC с общей ИТ-инфраструктурой посредством зашифрованного VPN-подключения и распространять текущие политики безопасности и управления на инстансы в облаке VPC точно так же, как если бы они работали в вашей инфраструктуре;
  
• обеспечивать взаимодействие инстансов EC2 «классической» платформы EC2 с инстансами в облаке VPC с помощью частных IP-адресов;
• связывать группы безопасности VPC с инстансами «классической» платформы EC2;
• использовать функцию VPC Flow Logs для записи входящего и исходящего сетевого трафика сетевых интерфейсов в своем облаке VPC;
• активировать и IPv4, и IPv6 в облаке VPC.

Для таких ресурсов AWS, как Elastic Load Balancing, Amazon ElastiCache, Amazon RDS и Amazon Redshift, в облаке VPC выделяются IP-адреса. Другие ресурсы AWS, такие как Amazon S3, доступны посредством интернет-шлюза облака VPC, шлюзов NAT, конечных точек VPC Endpoint или шлюза виртуальной частной сети.

Используя встроенные возможности безопасности Amazon Web Services, такие как политики Amazon Identity and Access Management (IAM), политики VPC Endpoint и группы безопасности Amazon EC2, можно ограничить доступ к ресурсам AWS, разрешив только те подключения или запросы, которые исходят из собственного облака VPC. Чтобы ограничить доступ к таким ресурсам AWS, как корзины Amazon S3, темы Amazon SNS и очереди Amazon SQS, можно создать политики IAM, разрешающие доступ только для тех эластичных IP-адресов, которые связаны с вашим облаком VPC. Для управления доступом к Amazon S3 из облака VPC также можно использовать политики VPC Endpoint.

С помощью AWS PrivateLink клиенты получают простой, но безопасный доступ к сервисам, размещенным в AWS, при этом весь трафик остается в пределах сети AWS.

Используйте эту возможность для безопасного частного доступа к сервисам из своего облака Amazon Virtual Private Cloud (VPC) с помощью AWS PrivateLink в пределах сети Amazon, без использования публичных IP-адресов. При создании адресов для сервисов, доступных для использования с AWS PrivateLink, эти адреса будут появляться в VPC в виде эластичных сетевых интерфейсов (ENI) с частными IP-адресами. Использование AWS PrivateLink для подключения к сервисам AWS устраняет необходимость ведения белого списка IP-адресов или использования шлюза Интернета, VPN, устройства трансляции сетевых адресов (NAT) или прокси-серверов брандмауэра. Сервисы, доступные для использования с AWS PrivateLink, также поддерживают частные подключения AWS Direct Connect или AWS VPN, что позволяет подключать приложения, работающие в локальной сети, к сервисам AWS через частную сеть Amazon. Сейчас с PrivateLink можно использовать такие сервисы AWS, как Kinesis Streams, EC2 Systems Manager (SSM), Service Catalog и Amazon SNS, а также сервисы API Amazon Elastic Compute Cloud (EC2) и Elastic Load Balancing (ELB). Подробнее о PrivateLink см. в документации PrivateLink.

Благодаря AWS PrivateLink партнеры AWS также могут предоставлять сервисы, которые традиционно размещались в частной сети, без каких-либо заметных отличий, при этом безопасный доступ будет осуществляться из облака или локальной сети клиента через AWS Direct Connect и AWS VPN с обеспечением высокой доступности и масштабирования. С помощью AWS PrivateLink можно настроить сервис, работающий за балансировщиком Network Load Balancer (NLB), и открыть публичный доступ к нему по частным адресам для других VPC и клиентов AWS, при этом сервис будет обрабатывать соединения и запросы в обычном режиме. Трафик, оставаясь в пределах безопасной сети AWS, не поступает в Интернет.

Обратите внимание на указанные ниже характеристики Amazon VPC.

• У вас может быть до 5 (пяти) облаков Amazon VPC не по умолчанию для каждого аккаунта AWS в данном регионе*.
• У вас может быть до 4 (четырех) вторичных диапазонов IP-адресов в одном облаке VPC*.
• Вы можете создать до 200 (двухсот) подсетей в одном облаке Amazon VPC*.
• У вас может быть до 5 (пяти) эластичных IP-адресов Amazon VPC для каждого аккаунта AWS в данном регионе*.
• У вас может быть до 10 (десяти) аппаратных VPN-подключений на одно облако Amazon VPC*.

* Если вам не хватает выделенных ресурсов, заполните эту форму. Дополнительную информацию об ограничениях на ресурсы VPC см. на странице Ограничения Amazon VPC в Руководстве пользователя Amazon Virtual Private Cloud.

Использование данного сервиса регламентируется пользовательским соглашением Amazon Web Services.