Возможности Amazon Virtual Private Cloud (VPC)

Amazon Virtual Private Cloud (VPC) – это сервис, который дает возможность запускать ресурсы AWS в определяемой пользователем логически изолированной виртуальной сети. Это позволяет полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP‑адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для большинства ресурсов в VPC можно использовать и IPv4, и IPv6, и таким образом получить безопасный и удобный доступ к ресурсам и приложениям.

Как один из основополагающих сервисов AWS, Amazon VPC упрощает индивидуальную настройку параметров сети VPC. Можно создать общедоступную подсеть для своих веб-серверов с доступом к Интернету. Можно также поместить свои серверные системы, такие как базы данных или серверы приложений, в частную подсеть без доступа к Интернету. Amazon VPC дает возможность использовать многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа. Такая система позволяет контролировать доступ к инстансам Amazon Elastic Compute Cloud (Amazon EC2) в каждой подсети.

• Шлюз NAT: Шлюз NAT – это сервис шлюза трансляции сетевых адресов (NAT). Благодаря ему инстансы частной подсети могут подключаться к сервисам за пределами вашего VPC, а внешние сервисы не могут самостоятельно инициировать соединение с этими инстансами. Шлюз NAT заменяет исходный IPv4-адрес инстансов на свой частный IP-адрес. При отправке ответного трафика инстансам устройство NAT преобразует адреса обратно в исходные IPv4-адреса.
• Группы безопасности. Группы безопасности действуют в качестве брандмауэра для связанных инстансов Amazon EC2 и контролируют входящий и исходящий трафик на уровне инстанса. При запуске инстанса можно связать его с одной или несколькими созданными группами безопасности. Каждый инстанс в VPC может принадлежать к отдельному набору групп безопасности. Если при запуске инстанса не указать группу безопасности, он автоматически связывается с группой по умолчанию для этого VPC. Дополнительные сведения см. в разделе о группах безопасности для VPC.
  
• Список контроля доступа к сети. Список контроля доступа к сети (ACL) – это необязательный уровень безопасности VPC, который действует как брандмауэр, контролирующий входящий и исходящий трафик одной или нескольких подсетей. Для списков контроля доступа можно настроить правила, сходные с правилами групп безопасности. Это создаст дополнительный уровень безопасности для VPC. Прочитать о конкретных различиях между группами безопасности и списками контроля доступа к сети.
  
• Журналы потоков VPC. Мониторинг журналов потоков VPC, доставляемых в Amazon S3 или Amazon CloudWatch, обеспечивает операционный контроль сетевых зависимостей и моделей трафика, выявление аномалий и предотвращение утечки данных или устранение неполадок сетевых подключений и проблем конфигурации. Обогащенные метаданные в журналах потоков дают дополнительную аналитическую информацию об инициаторе TCP-подключений, фактическом источнике на уровне пакетов и точке назначения трафика, проходящего по средним уровням, таким как шлюз NAT. Можно также архивировать журналы потоков. Это пригодится для выполнения определенных нормативных требований. Узнайте, как начать работу с журналами потоков VPC.
• Зеркалирование трафика VPC. Зеркалирование трафика VPC дает возможность копировать сетевой трафик из эластичного сетевого интерфейса инстансов Amazon EC2 с последующей отправкой трафика на внеполосные устройства обеспечения безопасности и мониторинга для углубленной проверки пакетов. Благодаря зеркалированию трафика VPC можно выявлять аномалии сети и безопасности, получать операционную аналитическую информацию, внедрять средства выполнения нормативных требований и контроля безопасности, а также устранять проблемы. Зеркалирование трафика VPC дает доступ к сетевым пакетам, проходящим через VPC. Узнайте, как начать работу с зеркалированием трафика VPC.
• Reachability Analyzer. Reachability Analyzer – это инструмент для анализа статических конфигураций, позволяющий анализировать и выполнять отладку доступности сети при подключении ресурсов в VPC между собой. Определите исходный и целевой ресурсы в VPC, после чего Reachability Analyzer создаст последовательные детальные данные о виртуальном маршруте между ними, если они доступны, и определит блокирующие элементы, если доступ отсутствует. Подробнее о Reachability Analyzer.
  
• Входящая маршрутизация. Эта возможность позволяет направлять входящий и исходящий трафик, проходящий через шлюз Интернета (IGW) или шлюз виртуальной частной сети (VGW), в эластичный сетевой интерфейс конкретного инстанса EC2. Благодаря этой возможности VPC можно настроить таким образом, чтобы весь трафик направлялся в IGW, VGW или инстанс EC2, прежде чем он попадет в рабочие нагрузки. Подробнее о входящей маршрутизации.

Использование данного сервиса регламентируется пользовательским соглашением Amazon Web Services.