Общие вопросы

Вопрос: Что такое Amazon Virtual Private Cloud?

Amazon VPC позволяет выделить логически изолированный раздел облака Amazon Web Services (AWS), в котором можно запускать ресурсы AWS в заданной виртуальной сети. Пользователь полностью контролирует свою среду виртуальной сети, в том числе может выбирать собственные диапазоны IP-адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Кроме того, вы можете создать подключение с помощью аппаратной частной виртуальной сети (VPN) между вашим корпоративным центром обработки данных и VPC и использовать облако AWS для расширения возможностей корпоративного центра обработки данных.

Сетевую конфигурацию для Amazon VPC можно легко настроить по своему усмотрению. Например, для веб-серверов можно создать публичную подсеть с выходом в Интернет, а внутренние системы, такие как базы данных или сервера приложений, расположить в частной подсети без доступа к Интернету. Вам доступна многоуровневая система безопасности, состоящая из групп безопасности и списков управления доступом к сети (NACL), которая позволяет контролировать доступ к инстансам Amazon EC2 в каждой подсети.

Вопрос: Из чего состоит Amazon VPC?

Сервис Amazon VPC состоит из различных объектов, знакомых клиентам по опыту работы с другими сетями.

  • Virtual Private Cloud – логически изолированная виртуальная сеть в облаке AWS. Вы задаете пространство IP-адресов облака VPC из выбранных диапазонов адресов.
  • Подсеть – сегмент диапазона IP-адресов VPC, в котором можно разместить группы изолированных ресурсов.
  • Интернет-шлюз – сторона Amazon VPC при подключении к публичному Интернету.
  • Шлюз NAT – высокодоступный управляемый сервис трансляции сетевых адресов (NAT) для обеспечения ресурсам в частных подсетях доступа в Интернет.
  • Аппаратное VPN-подключение – VPN-подключение на аппаратной основе между Amazon VPC и ЦОД, домашней сетью или колокационным объектом.
  • Шлюз виртуальной частной сети – сторона Amazon VPC при VPN-подключении.
  • Пользовательский шлюз – сторона клиента при VPN-подключении.
  • Маршрутизатор соединяет подсети между собой и распределяет трафик между интернет-шлюзами, виртуальными частными шлюзами, шлюзами NAT и подсетями.
  • Пиринговое подключение позволяет маршрутизировать трафик между двумя однорагновыми VPC посредством частных IP-адресов.
  • Адреса VPC обеспечивают частный доступ к сервисам, размещенным на AWS, из VPC без использования интернет-шлюза, VPN, устройств для трансляции сетевых адресов (NAT) или прокси-серверов брандмауэра.
  • Выходной интернет-шлюз – шлюз с фиксацией состояния, представляющий доступ на выход для IPv6-трафика из облака VPC в Интернет.
 
Вопрос: Какие задачи позволяет решить Amazon VPC?
 
Amazon VPC позволяет создавать виртуальные сети в облаке AWS без использования VPN, аппаратных средств или физических ЦОД. Вы можете задать собственное сетевое пространство и управлять взаимодействием сети и ресурсов Amazon EC2, расположенных в сети, с Интернетом. Можно также использовать расширенные возможности безопасности, доступные в Amazon VPC, для обеспечения более точных настроек доступа к инстансам Amazon EC2 и в обратном направлении в рамках виртуальной сети.
 
Вопрос: Как начать использовать Amazon VPC?
 
Ресурсы AWS автоматически выделяются в готовом к использованию облаке VPC по умолчанию. Дополнительные облака VPC можно создавать на странице Amazon VPC в Консоли управления AWS, нажав на кнопку «Start VPC Wizard».
 
Вам будут представлены четыре основных варианта сетевых архитектур. После выбора необходимого варианта можно изменить размер и диапазон IP-адресов VPC и его подсетей. Если вы выберете вариант с аппаратным VPN-доступом, необходимо будет указать IP-адрес оборудования VPN в сети. Можно изменять облако VPC, добавляя или удаляя вторичные диапазоны IP-адресов и шлюзы или добавляя дополнительные подсети в диапазоны IP-адресов.
 
Четыре основных варианта включают:
 
  1. VPC with a Single Public Subnet Only (облако VPC, состоящее из одной публичной подсети);
  2. VPC with Public and Private Subnets (облако VPC, включающее публичные и частные подсети);
  3. VPC with Public and Private Subnets and Hardware VPN Access (облако VPC с частными и публичными подсетями и аппаратным VPN-доступом);
  4. VPC with a Private Subnet Only and Hardware VPN Access (облако VPC с частной подсетью и аппаратным VPN-доступом).
 
Вопрос: Какие типы конечных точек VPC доступны в облаке Amazon VPC?
 
Адреса VPC обеспечивают частное подключение облака VPC к сервисам, размещенным на AWS, без необходимости использования интернет-шлюза, устройства NAT, VPN или прокси-сервера брандмауэра. Конечные точки – это горизонтально масштабируемые виртуальные устройства с высокой доступностью, которые обеспечивают взаимодействие между инстансами в облаке VPC и сервисами AWS. Amazon VPC предлагает два разных типа конечных точек: конечные точки типа «шлюз» и конечные точки типа «интерфейс».
 
Адреса типа «шлюз» доступны только для сервисов AWS, включая S3 и DynamoDB. Такие адреса добавляют запись в выбранную таблицу маршрутизации и направляют трафик в поддерживаемые сервисы через частную сеть Amazon.
 
С помощью адресов типа «интерфейс» можно создать частное подключение к сервисам, работающим на основе PrivateLink, собственным сервисам или решениям SaaS, а также поддерживать подключение через Direct Connect. В будущем планируется интегрировать с такими адресами больше решений AWS и SaaS Информацию о ценах на конечные точки типа «интерфейс» см. на странице цен на VPC.
 

Оплата

Вопрос: Каков принцип оплаты использования Amazon VPC?

Дополнительная плата за создание и использование самого облака VPC не взимается. Плата за пользование прочими сервисами Amazon Web Services, включая Amazon EC2, начисляется по опубликованным расценкам за соответствующие ресурсы, включая плату за передачу данных. Если вы подключите облако VPC к корпоративному ЦОД посредством дополнительного аппаратного VPN-подключения, плата будет взиматься за час VPN-подключения (за количество времени, в течение которого VPN-подключение находилось в активном состоянии). Неполные часы пользования оплачиваются как полные. Плата за данные, переданные через VPN-подключение, будет взиматься по стандартным расценкам AWS на передачу данных. Информацию о ценах на VPC-VPN см. в разделе цен на странице Amazon VPC.

Вопрос: Как определяются часы VPN-подключения, подлежащие оплате?

Оплата успешного VPN-подключения начисляется за весь период времени, в течение которого VPN-подключение находилось в активном состоянии. Состояние VPN-подключения можно определять в Консоли управления AWS с помощью интерфейса командной строки или API. Если вы больше не хотите использовать VPN-подключение, просто отключите его, чтобы избежать оплаты дополнительных часов VPN-подключения.

Вопрос: Как будет начисляться оплата за пользование прочими сервисами AWS, такими как Amazon S3 для инстансов Amazon EC2 в облаке VPC?

Плата за пользование прочими сервисами Amazon Web Services, включая Amazon EC2, взимается по опубликованным расценкам за соответствующие ресурсы. Плата за передачу данных не взимается, если доступ к сервисам Amazon Web Services, таким как Amazon S3, осуществляется через интернет-шлюз VPC.

Если доступ к ресурсам AWS будет осуществляться через VPN-подключение, вам придется оплатить передачу данных через Интернет.

Вопрос: Ваши цены указаны с учетом налогов?

Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии. Подробнее.

Подключение

Вопрос: Какие существуют варианты подключения для облака VPC?

VPC можно подключить:

  • к сети Интернет (через интернет-шлюз);
  • к корпоративному ЦОД с помощью аппаратного VPN-подключения (через виртуальный частный шлюз);
  • одновременно к Интернету и корпоративному ЦОД (используя как интернет-шлюз, так и виртуальный частный шлюз);
  • к прочим сервисам AWS (через интернет-шлюз, NAT, виртуальный частный шлюз или адреса/URL сервера VPC);
  • к другим VPC (через пиринговое подключение VPC).
 
Вопрос: Как можно подключить VPC к Интернету?
 
Сервис Amazon VPC поддерживает создание интернет-шлюза. Этот шлюз позволяет инстансам Amazon EC2, находящимся в VPC, осуществлять прямой доступ в Интернет.
 
Вопрос: Применяются ли какие-либо ограничения к пропускной способности интернет-шлюзов? Стоит ли мне беспокоиться о доступности сервиса? Может ли этот фактор стать причиной возникновения сбоя?
 
Нет. Интернет-шлюз характеризуется горизонтальным масштабированием, избыточностью и высокой доступностью Он не подразумевает ограничений на пропускную способность.
 
Вопрос: Каким образом инстансы VPC получают доступ в Интернет?
 
Использование публичных IP-адресов, в том числе эластичных IP-адресов, дает возможность инстансам VPC выполнять прямое исходящее подключение к Интернету и получать незапрашиваемый входящий трафик из Интернета (например, от веб-серверов). Можно также использовать решения, изложенные в ответе на следующий вопрос.
 
Вопрос: Как инстансы, не имеющие публичных IP-адресов, получают доступ в Интернет?
 
Инстансы без публичных IP-адресов могут получать доступ в Интернет одним из двух способов.
 
  1. Инстансы без публичных IP-адресов для доступа в Интернет могут направлять свой трафик через шлюз NAT или инстанс NAT. Эти инстансы для прохода в Интернет используют публичные IP-адреса шлюза NAT или инстанса NAT. Шлюз NAT или инстанс NAT позволяют выполнять исходящие подключения, но не позволяют другим компьютерам в Интернете инициировать соединение с инстансами, имеющими частные адреса
  2. В случае облака VPC с аппаратным VPN-подключением или с подключением Direct Connect интернет-трафик инстансов можно маршрутизировать через виртуальный частный шлюз к существующему ЦОД. Оттуда трафик попадает в Интернет через существующие выходные точки и устройства безопасности и мониторинга сети.
 
Вопрос: Можно ли подключаться к облаку VPC с помощью программной сети VPN?
 
Да. Вы можете задействовать программную сеть VPN сторонних разработчиков для создания межузлового соединения или удаленного VPN-подключения к облаку VPC через интернет-шлюз.
 
Вопрос: Каким образом аппаратное VPN-подключение работает с Amazon VPC?
 
Аппаратное VPN-подключение позволяет установить соединением между VPC и ЦОД. Amazon поддерживает VPN-подключения с безопасностью интернет-протокола (IPsec). Данные, передаваемые между VPC и ЦОД, маршрутизируются через зашифрованное VPN-подключение в целях обеспечения конфиденциальности и целостности данных во время передачи. Для установления аппаратного VPN-подключения интернет-шлюз не требуется.
 
Вопрос: Что такое IPsec?
IPsec – это пакет протоколов, обеспечивающий безопасность связи по интернет-протоколу (IP) за счет аутентификации и шифрования всех IP-пакетов в потоке данных.
 
Вопрос: Какие шлюзы на стороне клиента можно использовать для подключения к Amazon VPC
 
Можно создать два типа VPN-подключений: со статической маршрутизацией и динамической маршрутизацией. Пользовательские шлюзы, поддерживающие VPN-подключения со статической маршрутизацией, должны выполнять следующие функции.
 
  • Устанавливать сопоставление безопасности IKE с использованием предварительно выданных ключей.
  • Устанавливать сопоставление безопасности IPsec в режиме тоннеля.
  • Использовать 128-битное или 256-битное шифрование AES.
  • Использовать хеш SHA-1 или SHA-2 (256).
  • Использовать полную безопасность пересылки по схеме Диффи-Хеллмана в режиме Group 2 или одну из поддерживаемых дополнительных групп Диффи-Хеллмана
  • Выполнять фрагментацию пакетов перед шифрованием.
 
В дополнение к вышеуказанным функциям устройства, поддерживающие VPN-подключения с динамической маршрутизацией, должны выполнять следующие функции.
 
  • Устанавливать пиринговые соединения по протоколу пограничной маршрутизации (BGP).
  • Связывать порты с логическими интерфейсами (VPN на основе маршрутизации).
  • Использовать обнаружение отказов одноранговых узлов IPsec.
 
Вопрос: Какие группы Диффи-Хеллмана поддерживаются сервисом?
 
Сервис поддерживает следующие группы Диффи-Хеллмана в фазе 1 и фазе 2.
 
  • Группы Диффи-Хеллмана в фазе 1: 2, 14–18, 22, 23, 24
  • Группы Диффи-Хеллмана в фазе 2: 2, 5, 14-18, 22, 23, 24
 
Вопрос: Какие шлюзы на стороне клиента будут гарантированно работать с Amazon VPC?
 
Следующие устройства, соответствующие вышеуказанным требованиям, будут гарантированно работать с аппаратными VPN-подключениями и поддерживаются инструментами командной строки в части автоматического создания конфигурационных файлов для устройства.
 
Обратите внимание: эти примеры конфигурации указаны для минимальных требований AES128, SHA1 и режима Group 2 схемы Диффи-Хеллмана. Чтобы воспользоваться AES256, SHA256 или другими группами Диффи-Хеллмана, потребуется внести изменения в эти файлы конфигурации.
 
Вопрос: Если устройство отсутствует в списке, где можно получить дополнительную информацию о его использовании с Amazon VPC?
 
Мы рекомендуем проверить на форуме Amazon VPC, так как другие пользователи, возможно, уже успешно используют эту модель устройства.
 
Вопрос: Существуют ли какие-либо ограничения, связанные с пропускной способностью VPN-подключения?
 
Пропускная способность VPN-подключения может зависеть от множества факторов, таких как возможности пользовательского шлюза (CGW), емкость подключения, средний размер пакетов, используемого протокола (TCP или UDP) и сетевые задержки между CGW и виртуальным частным шлюзом (VGW).
 
Вопрос: Какие существуют инструменты для поиска и устранения неполадок конфигурации аппаратного VPN-подключения?
 
API DescribeVPNConnection отображает состояние VPN-подключения, включая работоспособное или неработоспособное состояние каждого из VPN-тоннелей и соответствующие сообщения об ошибках, если тоннель находится в неработоспособном состоянии. Эта информация также отображается в Консоли управления AWS.
 
Вопрос: Как подключить VPC к корпоративному ЦОД?
 
Аппаратное VPN-подключение между существующей сетью и Amazon VPC позволяет взаимодействовать с инстансами Amazon EC2 в рамках VPC, как если бы они находились в физической сети. AWS не выполняет трансляцию сетевых адресов (NAT) для инстансов Amazon EC2 в рамках VPC, доступ к которому осуществляется через аппаратное VPN-подключение.
 
Вопрос: Можно ли использовать NAT для CGW, находящегося за маршрутизатором или брандмауэром?
 
Да, для этого нужно включить NAT-T и открыть на устройстве NAT UDP-порт 4500.
 
Вопрос: Какой IP-адрес нужно использовать в качестве адреса CGW?

Нужно использовать публичный IP-адрес устройства NAT.

Вопрос: Как отключить NAT-T для соединения?

Для этого необходимо отключить NAT-T на вашем устройстве. Если вы не планируете использовать NAT-T, и он не отключен на вашем устройстве, сервис попытается создать тоннель через UDP-порт 4500. Если этот порт будет закрыт, создать тоннель не удастся.

Вопрос: Мне нужно разместить несколько CGW за NAT. Что нужно сделать, чтобы настроить такой вариант использования?

Необходимо использовать публичный IP-адрес устройства NAT для CGW в каждом из подключений. Также нужно убедиться в том, что UDP-порт 4500 открыт.

Вопрос: Сколько сопоставлений безопасности IPsec может быть одновременно установлено на один тоннель?

Сервис AWS VPN – это решение, основанное на маршрутизации, поэтому при использовании конфигурации на основе маршрутизации вы не столкнетесь с ограничением количества сопоставлений безопасности. Однако если используется решение, основанное на политиках, вам придется ограничиться единственным сопоставлением безопасности, так как сервис является решением, основанным на маршрутизации.

 

Работа с IP-адресами

Вопрос: Какой диапазон IP-адресов можно использовать в рамках VPC?

Можно использовать любой диапазон адресов IPv4, включая RFC 1918, или диапазоны IP-адресов с публичной маршрутизацией для первичного блока CIDR. Для вторичных блоков CIDR применяются некоторые ограничения. Доступ к блокам IP-адресов с публичной маршрутизацией возможен только через виртуальный частный шлюз; к ним не удастся получить доступ через Интернет с помощью интернет-шлюза. Сервис AWS не передает информацию о пользовательских блоках IP-адресов в Интернет. Предоставленный Amazon блок CIDR IPv6 можно назначить облаку VPC через Консоль управления AWS или посредством соответствующего вызова API.

Вопрос: Как можно назначить диапазон IP-адресов для VPC?

В качестве первичного блока CIDR при создании VPC назначается один диапазон IP-адресов бесклассовой междоменной маршрутизации (CIDR), а после создания VPC можно добавить до четырех (4) вторичных блоков CIDR. Адреса подсетей в рамках облака VPC задаются из этого диапазона IP-адресов CIDR. Обратите внимание: если вы создадите несколько VPC с перекрывающимися диапазонами IP-адресов, подключить эти VPC к обычным локальным сетям через аппаратное VPN-подключение будет невозможно. В связи с этим мы рекомендуем использовать неперекрывающиеся диапазоны IP-адресов. Можно назначить облаку VPC предоставленный Amazon блок CIDR IPv6.

Вопрос: Какие диапазоны IP-адресов назначены для VPC по умолчанию?

По умолчанию для VPC назначен следующий диапазон CIDR: 172.31.0.0/16. Подсети по умолчанию в рамках VPC по умолчанию назначаются в сетевых блоках /20 в рамках диапазона CIDR VPC. 

Вопрос: Можно ли передавать свой публичный диапазон IP-адресов VPC в Интернет и маршрутизировать трафик через ЦОД и аппаратное VPN-подключение к VPC?

Да, вы можете выполнять маршрутизацию трафика через аппаратное VPN-подключение и передавать информацию о диапазоне IP-адресов из домашней сети.

Вопрос: Насколько крупные VPC можно создавать?

В настоящее время Amazon VPC поддерживает 5 (пять) диапазонов IP-адресов IPv4, 1 (один) первичный и 4 (четыре) вторичных. Каждый из этих диапазонов может быть размером от /28 и до /16 (в нотации CIDR). Диапазон IP-адресов VPC не должен перекрывать диапазоны адресов существующей сети.

Для IPv6 VPC имеет фиксированный размер /56 (в представлении CIDR). У VPC могут быть и блоки CIDR IPv4, и блоки CIDR IPv6.

Вопрос: Можно ли изменить размер VPC?

Да. Существующее облако VPC можно расширить, добавив к нему 4 (четыре) вторичных диапазона адресов IPv4 (блоков CIDR). Можно сжать VPC, удалив вторичные блоки CIDR, которые были добавлены в VPC. При этом изменить размер диапазона адресов IPv6 облака VPC пользователь не может.

Вопрос: Сколько подсетей можно создать для одного VPC?

В настоящее время можно создавать до 200 подсетей в одном VPC. Если вам необходимо создать большее количество подсетей, оставьте заявку в центре поддержки.

Вопрос: Существуют ли какие-либо ограничения, связанные с размером подсети?

Минимальный размер подсети – /28 (или 14 IP-адресов). для IPv4. Размер подсети не может превышать размер облака VPC, в котором она создается.

Для IPv6 размер подсети всегда составляет /64. Подсети может быть назначен только один блок CIDR IPv6.

Вопрос: Можно ли использовать все IP-адреса, которые назначены для подсети?

Нет. Amazon резервирует первые четыре IP-адреса и последний IP-адрес каждой из подсетей в целях надлежащей работы протокола IP. 

Вопрос: Можно ли назначить частные IP адреса инстансам Amazon EC2 в рамках облака VPC?

Во время запуска инстанса Amazon EC2 в рамках VPC можно дополнительно задать основной частный IP-адрес инстанса. Если основной частный IP-адрес инстанса не будет задан, AWS автоматически присвоит ему адрес из диапазона IP-адресов, назначенного вами для этой подсети. Вы можете назначить дополнительный частный IP-адрес во время запуска инстанса, при создании эластичного сетевого интерфейса или в любой момент после запуска инстанса или создания интерфейса.

Вопрос: Можно ли изменять частные IP-адреса инстанса Amazon EC2, когда он запущен и/или остановлен в VPC?

Основные частные IP-адреса сохраняются на протяжении всего жизненного цикла инстанса или интерфейса. Дополнительные частные IP-адреса можно назначать, отменять, а также перемещать между интерфейсами или инстансами в любой момент.

Вопрос: Если инстанс Amazon EC2 в VPC будет остановлен, можно ли запустить другой инстанс с тем же IP-адресом в рамках того же VPC?

Нет. IP-адрес, назначенный запущенному инстансу, можно использовать повторно только в том случае, если исходный инстанс перешел в состояние «Завершен».

Вопрос: Можно ли назначать IP-адреса одновременно нескольким инстансам?

Нет. Можно указать IP-адрес только для одного инстанса в момент его запуска.

Вопрос: Можно ли назначить любой произвольный IP-адрес инстансу?

Инстансу можно назначать любые IP-адреса, отвечающие следующим условиям:

  • адрес является частью диапазона IP-адресов из связанной подсети;
  • адрес не зарезервирован Amazon в целях надлежащей работы протокола IP;
  • адрес в настоящее время не назначен другому интерфейсу.

Вопрос: Можно ли назначить несколько IP-адресов одному инстансу?

Да. Можно назначить один или несколько дополнительных частных IP-адресов эластичному сетевому интерфейсу или инстансу EC2 в облаке Amazon VPC. Количество дополнительных частных IP-адресов, которое можно назначить инстансу, зависит от его типа. Для получения дополнительной информации о количестве дополнительных частных IP-адресов, присваиваемых определенным типам инстансов, см. Руководство пользователя EC2.

Вопрос: Можно ли назначить один или несколько эластичных IP-адресов (EIP) инстансам Amazon EC2, работающим в VPC?

Да, но стоит учесть, что адреса EIP будут доступны только из Интернета (не будут доступны через VPN-подключение). Каждый эластичный IP-адрес должен быть связан с уникальным частным IP-адресом инстанса. Эластичные IP-адреса следует использовать только для инстансов в подсетях, настроенных на маршрутизацию трафика непосредственно через интернет-шлюз. Эластичные IP-адреса невозможно использовать для инстансов в подсетях, если для доступа в Интернет используется инстанс или шлюз NAT. Это применимо только для IPv4. В настоящее время Amazon VPC не поддерживают эластичные IP-адреса для IPv6.

Маршрутизация и топология

Вопрос: Какие функции выполняет маршрутизатор Amazon VPC?

Маршрутизатор Amazon VPC позволяет инстансам Amazon EC2, находящимся в собственных подсетях, обмениваться данными с инстансами Amazon EC2, находящимися в других подсетях в рамках одного VPC. Маршрутизатор VPC также позволяет подсетям, интернет-шлюзам и виртуальным частным шлюзам обмениваться данными друг с другом. Маршрутизатор не предоставляет данных об использовании сети; однако эту статистическую информацию можно получать из инстансов с помощью Amazon CloudWatch.

Вопрос: Можно ли редактировать таблицы маршрутизации VPC?

Да. Можно задать правила маршрутизации и указать подсети, трафик которых будет маршрутизироваться к интернет-шлюзу, виртуальному частному шлюзу или другим инстансам.

Вопрос: Можно ли указать шлюзы, используемые по умолчанию конкретными подсетями?

Да. Для каждой подсети можно создать маршрут по умолчанию. Маршрут по умолчанию может направлять трафик на выход из VPC через интернет-шлюз, виртуальный частный шлюз или шлюз NAT.

Вопрос: Поддерживает ли Amazon VPC многоадресную или массовую рассылку?

Нет.

Безопасность и фильтрация

Вопрос: Как обеспечить безопасность инстансов Amazon EC2, работающих в VPC?

Для обеспечения безопасности инстансов в Amazon VPC можно использовать группы безопасности Amazon EC2. Группы безопасности VPC позволяют указать как входящий, так и исходящий сетевой трафик, разрешенный для обмена с инстансом Amazon EC2. Трафик, явным образом не разрешенный для обмена с инстансом, автоматически блокируется.

Помимо групп безопасности, можно разрешить или запретить сетевой трафик каждой подсети, входящий и/или исходящий, с помощью списков контроля доступа (ACL) к сети.

Вопрос: Каковы различия между группами безопасности и сетевыми списками ACL в VPC?

Группы безопасности VPC определяют трафик, разрешенный для обмена с инстансом Amazon EC2. Сетевые ACL работают на уровне подсети и выполняют оценку входящего и исходящего трафика. Сетевые ACL можно использовать для создания как разрешающих, так и запрещающих правил. Сетевые ACL не фильтруют трафик для инстансов в рамках одной подсети. Кроме того, сетевые ACL выполняют фильтрацию без фиксации состояния, а группы безопасности выполняют фильтрацию с фиксацией состояния.

Вопрос: В чем различие между фильтрацией без фиксации состояния и фильтрацией с фиксацией состояния?

Фильтрация с фиксацией состояния отслеживает источник запроса и может автоматически разрешить отправку ответа на запрос к компьютеру-источнику. Например, фильтр с фиксацией состояния, отвечающий за прохождение входящего трафика через TCP-порт 80 веб-сервера, разрешит прохождение обратного трафика, обычно через порт с более высоким номером (например, TCP-порт получателя 63 912), через фильтр с фиксацией состояния, расположенный между клиентом и веб-сервером. Фильтрующее устройство поддерживает таблицу состояний, в которую заносятся номера портов и IP-адреса источника и получателя. Фильтрующее устройство должно содержать всего одно правило: разрешать трафик, входящий на веб-сервер через TCP-порт 80.

Фильтрация без фиксации состояния проверяет только IP-адреса источника и получателя и порт назначения; она не определяет, является трафик новым запросом или ответом на запрос. В вышеуказанном примере необходимо применить два правила для фильтрующего устройства: первое правило – разрешить трафик, входящий на веб-сервер через TCP-порт 80, и второе правило – разрешить трафик, исходящий от веб-сервера (диапазон TCP-портов: 49 152–65 535).

Вопрос: Можно ли использовать пары ключей SSH, созданные для инстансов в Amazon EC2, в Amazon VPC, и наоборот?

Да.

Вопрос: Могут ли инстансы Amazon EC2, исполняемые в рамках VPC, обмениваться данными с инстансами Amazon EC2, не входящими в VPC?

Да. Если был настроен интернет-шлюз, трафик Amazon VPC, предназначенный для инстансов Amazon EC2, не входящих в VPC, пройдет через интернет-шлюз и затем попадет в публичную сеть AWS, откуда он сможет достичь инстанса EC2. Если интернет-шлюз не был настроен или если инстанс находится в подсети, маршрутизируемой через виртуальный частный шлюз, трафик пройдет через VPN-подключение, выйдет через ЦОД, а затем повторно войдет в публичную сеть AWS.

Вопрос: Могут ли инстансы Amazon EC2 в облаке VPC, расположенные в одном регионе, обмениваться данными с инстансами Amazon EC2 в облаке VPC, расположенными в другом регионе?

Да. Инстансы в одном регионе могут обмениваться данными друг с другом посредством межрегионального пирингового подключения VPC, публичных IP-адресов, шлюзов NAT, инстансов NAT, VPN-подключений или подключений Direct Connect.

Вопрос: Могут ли инстансы Amazon EC2, работающие в VPC, обмениваться данными с Amazon S3?

Да. Существует несколько вариантов организации обмена данными между ресурсами, находящимися в облаке VPC, и сервисом Amazon S3. Можно использовать конечную точку VPC для S3, которая позволяет убедиться в том, что весь трафик остается в рамках сети Amazon, и применять дополнительные политики доступа к трафику Amazon S3. Интернет-шлюз можно использовать для организации доступа в Интернет из облака VPC, а также обмена данными между инстансами облака VPC и сервисом Amazon S3. Можно также организовать прохождение трафика, идущего в Amazon S3, через Direct Connect или VPN-подключение, его выход из ЦОД и повторный вход в публичную сеть AWS.

Вопрос: Почему мне не удается проверить маршрутизатор или шлюз по умолчанию, соединяющий подсети, с помощью команды ping?

Команды ping (эхо-запрос и эхо-ответ ICMP), адресованные маршрутизатору облака VPC, не поддерживаются. Команды ping между инстансами Amazon EC2 в облаке VPC поддерживаются, если брандмауэры операционных систем, группы безопасности VPC и списки контроля доступа к сети разрешают прохождение трафика подобного типа.

Вопрос: Можно ли отслеживать сетевой трафик в своем VPC?

Да. Вы можете использовать функцию Amazon VPC Flow Logs для контроля сетевого трафика в облаке VPC.

Amazon VPC и EC2

Вопрос: В каких регионах Amazon EC2 доступно использование Amazon VPC?

В настоящее время Amazon VPC можно использовать в различных зонах доступности во всех регионах Amazon EC2.

Вопрос: Может ли VPC охватывать сразу несколько зон доступности?

Да. 

Вопрос: Может ли подсеть распространяться на несколько зон доступности?

Нет. Подсеть должна находиться в рамках одной зоны доступности.

Вопрос: Каким образом можно задать зону доступности для запуска инстансов Amazon EC2?

При запуске инстанса Amazon EC2 необходимо указать подсеть, в которой требуется запустить инстанс. Инстанс будет запущен в зоне доступности, связанной с указанной подсетью.

Вопрос: Каким образом можно определить, в какой зоне доступности находятся подсети?

При создании подсети необходимо указать зону доступности, в которой ее необходимо разместить. C помощью VPC Wizard можно выбрать зону доступности подсети на экране подтверждения. При использовании API или интерфейса командной строки можно задать зону доступности подсети в процессе ее создания. Если вы не указали зону доступности, по умолчанию будет выбрано значение No Preference и подсеть будет создана в произвольной зоне доступности в регионе.

Вопрос: Взимается ли плата за обмен трафиком между инстансами, расположенными в различных подсетях?

Если инстансы находятся в подсетях, расположенных в разных зонах доступности, с вас будет взиматься плата в размере 0,01 USD за 1 ГБ переданных данных.

Вопрос: При вызове процедуры DescribeInstances() отобразится весь список инстансов Amazon EC2, включая те, что находятся в EC2-Classic и EC2-VPC?

Да. Процедура DescribeInstances() вернет список всех запущенных инстансов Amazon EC2. Инстансы EC2-Classic можно отличить от инстансов EC2-VP по содержимому поля подсети. Если в поле содержится идентификатор подсети, значит инстанс находится в VPC. 

Вопрос: При вызове процедуры DescribeVolumes() отобразится весь список томов Amazon EBS, включая те, что находятся в EC2-Classic и EC2-VPC?

Да. Процедура DescribeVolumes() вернет список всех томов EBS.

Вопрос: Сколько инстансов Amazon EC2 можно использовать в облаке VPC?

Можно запускать любое количество инстансов Amazon EC2 в VPC, если VPC имеет соответствующий размер, достаточный для назначения IP-адреса каждому из инстансов. Изначально существует ограничение на одновременный запуск до 20 инстансов Amazon EC2 и на максимальный размер VPC /16 (65536 IP-адресов). Если вам необходимо увеличить эти лимиты, заполните следующую форму.

Вопрос: Можно ли использовать существующие AMI в Amazon VPC?

В Amazon VPC можно использовать AMI, зарегистрированные в том же регионе, что и VPC. Например, можно использовать AMI, зарегистрированные в us-east-1, в VPC, зарегистрированном в us-east-1. Дополнительную информацию см. в разделе «Регионы и зоны доступности» вопросов и ответов по сервису Amazon EC2.

Вопрос: Можно ли использовать существующие снимки состояния Amazon EBS?

Да, снимки состояния EBS можно использовать, если они находятся в том же регионе, что и VPC. Подробные сведения см. в разделе «Регионы и зоны доступности» вопросов и ответов по сервису Amazon EC2.

Вопрос: Можно ли загрузить инстанс Amazon EC2 с тома Amazon EBS в Amazon VPC?

Да, однако инстанс, запускаемый в VPC с помощью AMI с поддержкой Amazon EBS, будет иметь один и тот же IP-адрес при останове и перезапуске. Если аналогичные инстансы будут запускаться вне VPC, в этом случае они будут получать новый IP-адрес. IP-адреса остановленных инстансов в подсети будут считаться недоступными.

Вопрос: Можно ли использовать в Amazon VPC зарезервированные инстансы Amazon EC2?

Да. При покупке зарезервированных инстансов у вас появляется возможность резервировать инстансы в Amazon VPC. При подготовке счета сервис AWS не разделяет инстансы, запускаемые в Amazon VPC и на стандартной платформе Amazon EC2. Сервис AWS автоматически определяет инстансы, которые должны оплачиваться по сниженным расценкам, применяемым к зарезервированным инстансам, чтобы оптимизировать итоговую сумму счета и минимизировать ваши расходы. Однако резервирование инстансов будет применяться исключительно к облаку Amazon VPC. Для получения более подробной информации см. страницу Зарезервированные инстансы.

Вопрос: Можно ли использовать в Amazon VPC сервис Amazon CloudWatch?

Да.

Вопрос: Можно ли использовать в Amazon VPC сервис Auto Scaling?

Да. 

Вопрос: Можно ли запускать кластерные инстансы Amazon EC2 в Amazon VPC?

Да. Кластерные инстансы поддерживаются в Amazon VPC, однако не все типы инстансов будут доступны во всех регионах и зонах доступности.

 

VPC по умолчанию

Вопрос: Что такое VPC по умолчанию?

VPC по умолчанию – это логически изолированная виртуальная сеть в облаке AWS, которая создается автоматически для вашего аккаунта AWS при первом распределении ресурсов Amazon EC2. Если инстанс будет запущен без указания идентификатора подсети, он запустится в VPC по умолчанию.

Вопрос: Каковы преимущества VPC по умолчанию?

При запуске ресурсов в VPC по умолчанию вы получаете преимущества использования расширенных сетевых функций Amazon VPC (EC2-VPC) и простоту эксплуатации облака Amazon EC2 (EC2-Classic). Вы сможете менять группы безопасности на лету, выполнять фильтрацию исходящих данных с помощью групп безопасности, использовать несколько IP-адресов и несколько сетевых интерфейсов без необходимости создавать VPC отдельно и запускать инстансы в рамках VPC.

Вопрос: Для каких аккаунтов доступно VPC по умолчанию?

Если ваш аккаунт AWS был создан 18 марта 2013 г. или позднее, вы можете запускать ресурсы в облаке VPC по умолчанию. Ознакомьтесь с этим сообщением на форуме, чтобы узнать список регионов, в которых доступен набор функций облака VPC по умолчанию. Аккаунты, созданные до указанной даты, могут также использовать облака VPC по умолчанию в любых поддерживаемых регионах, где ранее не запускались инстансы EC2 или не выделялись ресурсы сервисов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache или Amazon Redshift.

Вопрос: Каким образом можно определить, настроен ли мой аккаунт на работу с облаком VPC по умолчанию?

Консоль Amazon EC2 отображает платформы, на которых можно запускать инстансы в выбранном регионе, а также наличие доступа к VPC по умолчанию в этом регионе. Убедитесь в том, что регион, который вы планируете использовать, выбран в навигационной панели. В панели управления консоли Amazon EC2 найдите пункт «Supported Platforms»в разделе «Account Attributes». Если в нем указаны два значения, EC2-Classic и EC2-VPC, вы можете запускать инстансы на любой из этих платформ. Если указано только одно значение, EC2-VPC, вы можете запускать инстансы только на платформе EC2-VPC. Идентификатор VPC по умолчанию будет указан в разделе «Account Attributes», если ваш аккаунт настроен на использование VPC по умолчанию. Можно также задействовать API EC2 DescribeAccountAttributes или интерфейс командной строки, чтобы получить описание поддерживаемых платформ.

Вопрос: Нужны ли какие-либо специальные знания об облаке Amazon VPC, чтобы использовать VPC по умолчанию?

Нет. Для запуска инстансов EC2, а также других ресурсов AWS в облаке VPC по умолчанию и управления ими можно использовать Консоль управления AWS, интерфейс командной строки AWS EC2 или API Amazon EC2. Сервис AWS автоматически создаст VPC по умолчанию и подсеть по умолчанию в каждой из зон доступности региона AWS. VPC по умолчанию будет подключено к интернет-шлюзу, а инстансы автоматически получат публичные IP-адреса, как в случае с EC2-Classic.

Вопрос: Какие различия существуют между инстансами, запущенными на платформах EC2-Classic и EC2-VPC?

См. раздел «Различия между EC2-Classic и EC2-VPC» Руководства пользователя EC2.

Вопрос: Нужно ли создавать VPN-подключение, чтобы использовать VPC по умолчанию?

Нет. VPC по умолчанию получает доступ в Интернет, а все инстансы, запущенные в подсетях по умолчанию в рамках VPC по умолчанию, автоматически получают публичные IP-адреса. При желании можно добавить VPN-подключение к VPC по умолчанию.

Вопрос: Можно ли создавать другие VPC и использовать их совместно с VPC по умолчанию?

Да. Чтобы запустить инстанс в VPC, отличном от доступного по умолчанию, необходимо указать идентификатор подсети в процессе запуска инстанса.

Вопрос: Можно ли создавать дополнительные подсети в VPC по умолчанию, например частные подсети?

Да. Чтобы запускать инстансы в подсетях, отличных от доступных по умолчанию, необходимо инициировать их запуск с помощью консоли или опции --subnet в интерфейсе командной строки, API или SDK.

Вопрос: Сколько облаков VPC по умолчанию мне доступно?

Вам доступно по одному облаку VPC по умолчанию в каждом из регионов AWS, где атрибут Supported-Platforms имеет значение EC2-VPC.

Вопрос: Какой диапазон IP-адресов принадлежит VPC по умолчанию?

CIDR VPC по умолчанию – 172.31.0.0/16. Подсети по умолчанию используют CIDR /20 в рамках CIDR VPC по умолчанию.

Вопрос: Сколько подсетей по умолчанию доступно в облаке VPC по умолчанию?

Одна подсеть по умолчанию создается для каждой из зон доступности в облаке VPC по умолчанию.

Вопрос: Можно ли назначить какое-либо из имеющихся VPC в качестве VPC по умолчанию?

В настоящий момент нет.

Вопрос: Можно ли назначить какую-либо из имеющихся подсетей подсетью по умолчанию?

В настоящий момент нет.

Вопрос: Можно ли удалить VPC по умолчанию?

Да, VPC по умолчанию можно удалить. После удаления можно создать новое облако VPC по умолчанию непосредственно из консоли VPC или с помощью интерфейса командной строки (CLI). Это создаст новое VPC по умолчанию в конкретном регионе. При этом предыдущее VPC, которое было удалено, не восстанавливается.

Вопрос: Можно ли удалить подсеть по умолчанию?

Да, подсеть по умолчанию можно удалить. После удаления можно создать новую подсеть по умолчанию в зоне доступности с помощью интерфейса командной строки или SDK. При этом будет создана новая подсеть по умолчанию в указанной зоне доступности. При этом удаленная подсеть не восстанавливается.

Вопрос: У меня есть действующий аккаунт EC2-Classic. Как получить облако VPC по умолчанию?

Самый простой способ получить облако VPC по умолчанию – создать новый аккаунт в регионе, где активировано облако VPC по умолчанию, или использовать существующий аккаунт в регионе, где вы еще не были представлены, когда атрибут Supported-Platforms для этого аккаунта в этом регионе имеет значение EC2-VPC.

Вопрос: Я хочу активировать VPC по умолчанию для действующего аккаунта EC2. Это возможно?

Да. Однако мы можем активировать VPC по умолчанию для действующих аккаунтов только в том случае, если у вашего аккаунта нет ресурсов EC2-Classic в данном регионе. Кроме того, вы должны завершить работу всех выделенных ресурсов Elastic Load Balancer, Amazon RDS, Amazon ElastiCache и Amazon Redshift в данном регионе, не имеющих отношения к VPC. После того как ваш аккаунт будет настроен на работу с VPC по умолчанию, все запуски ресурсов, выполняемые в будущем, включая инстансы, запускаемые сервисом Auto Scaling, будут происходить в облаке VPC по умолчанию. Чтобы отправить заявку на активацию VPC по умолчанию для действующего аккаунта, свяжитесь со службой AWS Support. Мы проверим ваш запрос, ваши сервисы AWS и платформу EC2-Classic на предмет возможной активации VPC по умолчанию.

Вопрос: Какое воздействие оказывает VPC по умолчанию на аккаунты IAM?

Если ваш аккаунт AWS использует облако VPC по умолчанию, все аккаунты IAM, связанные с аккаунтом AWS, используют то же VPC по умолчанию, как и аккаунт AWS.

 

Эластичные сетевые интерфейсы

Вопрос: Можно ли закрепить один или несколько сетевых интерфейсов за инстансом EC2, пока он исполняется? Можно ли провести обратную процедуру открепления?

Да.

Вопрос: Можно ли закрепить более двух сетевых интерфейсов за инстансом EC2?

Общее количество сетевых интерфейсов, которое возможно закрепить за инстансом EC2, зависит от типа инстанса. Дополнительную информацию о допустимом количестве сетевых интерфейсов в зависимости от типа инстанса см. в Руководстве пользователя EC2.

Вопрос: Можно ли закрепить сетевой интерфейс из одной зоны доступности за инстансом из другой зоны доступности?

Сетевые интерфейсы можно закреплять за инстансами, находящимися исключительно в той же зоне доступности.

Вопрос: Можно ли закрепить сетевой интерфейс из одного облака VPC за инстансом из другого VPC?

Сетевые интерфейсы можно закреплять за инстансами, находящимися только в одном VPC с интерфейсом.

Вопрос: Можно ли использовать эластичные сетевые интерфейсы в качестве решения для хостинга нескольких веб-сайтов, требующих наличия отдельных IP-адресов в рамках одного инстанса?

Да, однако этот сценарий не является наилучшим примером использования множественных интерфейсов. Вместо этого назначьте дополнительные частные IP-адреса инстансам, а затем свяжите EIP с частными IP-адресами в порядке необходимости.

Вопрос: Будет ли взиматься плата за эластичный IP-адрес, связанный с сетевым интерфейсом, если сетевой интерфейс не закреплен за работающим инстансом?

Да.

Вопрос: Можно ли открепить основной интерфейс (eth0) от инстанса EC2?

Нет. За инстансами EC2 можно закреплять/откреплять дополнительные интерфейсы (eth1-ethn), но интерфейс eth0 открепить от них невозможно.

 

Пиринговые подключения

Вопрос: Можно ли создать пиринговое соединение с облаком VPC, расположенным в другом регионе?

Да. Между облаками VPC, расположенными в разных регионах, можно создавать пиринговые подключения. Межрегиональные пиринговые подключения VPC в настоящее время поддерживаются в следующих регионах AWS: Восток США (Вирджиния), Восток США (Огайо), Запад США (Орегон) и ЕС (Ирландия).

Вопрос: Можно ли установить пиринговое соединение между моим облаком VPC и VPC, принадлежащим другому аккаунту AWS?

Да, учитывая, что владелец другого облака VPC одобрит запрос на создание пирингового подключения.

Вопрос: Можно ли создать пиринговое подключение двух VPC с совпадающими диапазонами IP-адресов?

Нет. VPC, участвующие в пиринговом соединении, должны иметь неперекрывающиеся диапазоны IP-адресов.

Вопрос: Сколько стоит пиринговое подключение VPC?

За создание пирингового подключения плата не взимается. Однако плата будет взиматься за передачу данных через пиринговое подключение. Расценки за передачу данных приведены в разделе «Передача данных» на странице ценовой политики EC2.

Вопрос: Можно ли использовать сервис AWS Direct Connect или аппаратное VPN-подключение, чтобы получить доступ к VPC в рамках пирингового подключения?

Нет. Граничная маршрутизация не поддерживается для Amazon VPC. Дополнительную информацию см. в руководстве по созданию пиринговых подключений к VPC.

Вопрос: Требуется ли интернет-шлюз для использования пирингового подключения?

Нет. Пиринговые подключения к VPC не требуют наличия интернет-шлюза.

Вопрос: Шифруется ли трафик VPC, проходящий через пиринговое подключение в рамках региона?

Нет. Трафик, проходящий между инстансами облаков VPC, взаимодействующих по пиринговому подключению, остается частным и изолированным. Таким же образом обстоит дело с трафиком, проходящим между двумя инстансами в рамках одного облака VPC.

Вопрос: Если я удалю пиринговое подключение на своей стороне, сможет ли другая сторона осуществлять доступ к моему VPC?

Нет. Любая из сторон пирингового подключения может разорвать его в любой момент. В результате разрыва пирингового соединения трафик больше не будет перемещаться между двумя VPC.

Вопрос: Если будет установлено пиринговое подключение между VPC A и VPC B, а также между VPC B и VPC C, будет ли это значить, что VPC A и VPC С будут связаны пиринговым подключением?

Нет. Переходные пиринговые связи не поддерживаются.

Вопрос: Что делать, если пиринговое подключение стало недоступным?

AWS использует существующую инфраструктуру облака VPC для создания пирингового подключения; это не шлюз и не VPN-подключение, оно не полагается на отдельный элемент физического оборудования. Оно не имеет слабых мест, которые могли бы привести к сбою связи, или ограничений пропускной способности.

Межрегиональные пиринговые подключения VPC работают на той же технологической платформе, что и VPC, с той же горизонтальной масштабируемостью, избыточностью и высокой доступностью. Трафик межрегиональных пиринговых подключений VPC идет по магистральным каналам AWS, которые обеспечивают встроенную избыточность и динамическое выделение пропускной способности. Работа канала связи не может быть прервана сбоем в отдельной точке.

Если межрегиональное пиринговое подключение все же прервется, трафик не будет перенаправляться через Интернет.

Вопрос: Накладываются ли какие-либо ограничения на пропускную способность пирингового подключения?

Пропускная способность между инстансами облаков VPC, взаимодействующих по пиринговому подключению, не отличается от ситуации, когда обмен данными осуществляется между двумя инстансами в рамках одного VPC. Примечание. Группа размещения может распространяться на облака VPC, взаимодействующие по пиринговому подключению; однако вы не получите полноценной пропускной способности между инстансами в подобных VPC. Ознакомьтесь с дополнительной информацией о группах размещения.

Вопрос: Зашифрован ли трафик, идущий через межрегиональные пиринговые подключения VPC?

Трафик шифруется с помощью современных алгоритмов аутентифицированного шифрования с присоединенными данными (AEAD). Согласование ключей и управление ключами выполняет AWS.

Вопрос: Как в межрегиональном пиринговом подключении VPC работает трансляция имен DNS?

По умолчанию, запрос публичного имени хоста инстанса в одноранговом VPC в другом регионе будет разрешен в публичный IP-адрес. Для разрешения в частный IP-адрес при межрегиональном пиринговом подключении VPC можно также использовать частную службу DNS Route 53.

Вопрос: Можно ли ссылаться на группы безопасности через межрегиональное пиринговое подключение VPC?

Нет. Ссылки на группы безопасности через межрегиональное пиринговое подключение VPC не работают.

Вопрос: Поддерживается ли при межрегиональном пиринговом подключении VPC протокол IPv6?

Нет. Межрегиональные пиринговые подключения VPC не поддерживают IPv6.

Вопрос: Можно ли использовать межрегиональное пиринговое подключение VPC вместе с EC2-ClassicLink?

Нет. Межрегиональное пиринговое подключение VPC нельзя использовать вместе с EC2-ClassicLink.

Вопрос: Какие сервисы AWS нельзя использовать через межрегиональное пиринговое подключение VPC?

Через межрегиональное пиринговое подключение VPC нельзя использовать балансировщики Network Load Balancer, AWS PrivateLink и Elastic File System.

Вопрос: Что такое ClassicLink?

Сервис Amazon Virtual Private Cloud (VPC) ClassicLink позволяет инстансам EC2 платформы EC2-Classic выполнять обмен данными с инстансами VPC посредством частных IP-адресов. Чтобы использовать сервис ClassicLink, активируйте его для VPC в своем аккаунте и свяжите группу безопасности этого VPC с инстансом платформы EC2-Classic. Все правила группы безопасности VPC будут применены к соединению между инстансами платформ EC2-Classic и VPC. 

Вопрос: Сколько стоит сервис ClassicLink?

За использование сервиса ClassicLink плата не взимается. Однако плата будет взиматься за транзитную передачу данных через различные зоны доступности. Подробнее о ценовой политике EC2 см. на соответствующей странице.

Вопрос: Как можно использовать сервис ClassicLink?

Чтобы использовать сервис ClassicLink, вам сначала необходимо активировать хотя бы одно VPC для ClassicLink в своем аккаунте. Затем необходимо связать группу безопасности VPC с необходимым инстансом платформы EC2-Classic. Инстанс платформы EC2-Classic теперь будет связан с облаком VPC и станет частью выбранной группы безопасности VPC. Инстанс платформы EC2-Classic можно одновременно связать только с одним облаком VPC.

Вопрос: Становится ли инстанс платформы EC2-Classic участником VPC?

Инстанс платформы EC2-Classic не становится участником облака VPC. Он становится участником связанной с ним группы безопасности VPC. Все правила и ссылки группы безопасности VPC применяются к обмену данными между инстансами в инстансе платформы EC2-Classic и ресурсами сервиса VPC.

Вопрос: Можно ли использовать публичные имена хостов DNS EC2 из инстансов платформ EC2-Classic и EC2-VPC для взаимной адресации, чтобы осуществлять обмен данными с использованием частного IP-адреса?

Нет. Публичное имя хоста DNS EC2 не будет преобразовано в частный IP-адрес инстанса EC2-VPC при опросе из инстанса платформы EC2-Classic и наоборот.

Вопрос: Существуют ли VPC, для которых невозможно активировать сервис ClassicLink?

Да. Сервис ClassicLink невозможно активировать для VPC с бесклассовой адресацией (CIDR), находящейся в диапазоне 10.0.0.0/8, за исключением 10.0.0.0/16 и 10.1.0.0/16. Кроме того, сервис ClassicLink невозможно активировать для любых VPC, таблица маршрутизации которых указывает на пространство CIDR 10.0.0.0/8 любого получателя, отличного от local.

Вопрос: Может ли трафик, исходящий от инстанса платформы EC2-Classic, перемещаться по Amazon VPC и выходить через интернет-шлюз, виртуальный частный шлюз или VPC с пиринговым подключением?

Трафик, исходящий от инстанса платформы EC2-Classic, может маршрутизироваться только на частные IP-адреса в VPC. Он не будет маршрутизироваться до получателей, расположенных вне VPC, включая интернет-шлюз, виртуальный частный шлюз или VPC с пиринговым подключением.

Вопрос: Оказывает ли сервис ClassicLink влияние на контроль доступа между инстансами платформы EC2-Classic и другими инстансами, входящими в эту платформу?

Сервис ClassicLink не влияет на контроль доступа, определенный для инстансов платформы EC2-Classic в существующих группах безопасности платформы EC2-Classic.

Вопрос: Сохранятся ли настройки, заданные для инстанса платформы EC2-Classic в сервисе ClassicLink, после циклов останова/запуска?

Соединение ClassicLink не сохранится после циклов останова/запуска инстанса платформы EC2-Classic. Инстанс платформы EC2-Classic необходимо связать повторно с VPC после останова и последующего запуска. Однако соединение ClassicLink сохранится после циклов перезагрузки инстанса.

Вопрос: Будет ли назначен инстансу платформы EC2-Classic новый частный IP-адрес после активации сервиса ClassicLink?

Новые частные IP-адреса инстансу платформы EC2-Classic присваиваться не будут. При активации сервиса ClassicLink для инстанса платформы EC2-Classic инстанс сохранит и продолжит использование существующего частного IP-адреса для обмена данными с ресурсами VPC.

Вопрос: Позволяет ли сервис ClassicLink правилам группы безопасности EC2-Classic ссылаться на группы безопасности VPS и наоборот?

Сервис ClassicLink не позволяет правилам группы безопасности EC2-Classic ссылаться на группы безопасности VPS и наоборот.

Виртуальный частный шлюз. Поддержка собственных Autonomous System Number

Вопрос: Что это за возможность?

Для новых виртуальных частных шлюзов (VGW) возможность настройки частного Autonomous System Number (ASN) позволяет клиентам настраивать на стороне Amazon ASN BGP-сессии для VPN-подключений и частных VIF AWS Direct Connect.

Вопрос: Какова стоимость использования этой возможности?

Данная возможность предоставляется бесплатно.

Вопрос: Как можно настроить/назначить свой ASN для анонсирования в качестве ASN на стороне Amazon?

Настроить/назначить выбранный ASN для анонсирования в качестве ASN на стороне Amazon можно в процессе создания нового виртуального частного шлюза (VGW). VGW можно создать в консоли VPC или с помощью вызова API EC2/CreateVpnGateway.

Вопрос: Какие ASN назначались Amazon до появления этой возможности?

Ранее в Amazon назначались следующие ASN: Запад ЕС (Дублин) – 9059; Азия и Тихий океан (Сингапур) – 17493, Азия и Тихий океан (Токио) – 10124. Для всех остальных регионов назначался ASN 7224. Эти ASN называются «устаревшими публичными ASN» региона.

Вопрос: Теперь можно использовать любой ASN, как публичный, так и частный?

На стороне Amazon можно назначать любой частный номер ASN. До 30 июня 2018 года можно назначать устаревшие публичные ASN регионов. Другие публичные ASN назначать нельзя. После 30 июня 2018 года Amazon будет использовать ASN 64512.

Вопрос: Почему нельзя назначить публичный ASN BGP-сессии на стороне Amazon?

Amazon не занимается проверкой прав владения ASN, поэтому мы ограничиваем возможность выбора ASN на стороне Amazon частными ASN. Мы хотим защитить клиентов от подделки BGP-подключений.

Вопрос: Какой ASN можно выбрать?

Выбрать можно любой частный ASN. Диапазон 16-разрядных частных ASN: 64512–65534. Кроме того, можно использовать 32-разрядные ASN: 4200000000–4294967294.

Если ASN для VGW не будет выбран, Amazon назначит ASN по умолчанию. До 30 июня 2018 года Amazon продолжает использовать устаревший публичный ASN региона. После 30 июня 2018 года Amazon будет использовать ASN 64512.

Вопрос: Что произойдет, если я попытаюсь назначить публичный ASN BGP-сессии на стороне Amazon?

Если это не будет устаревший публичный ASN региона, при попытке создания VGW мы попросим ввести частный ASN.

Вопрос: Если я не укажу ASN BGP-сессии на стороне Amazon, какой ASN назначит Amazon?

Если ASN для VGW не будет выбран, Amazon установит значение ASN самостоятельно. До 30 июня 2018 года Amazon продолжает использовать устаревший публичный ASN региона. После 30 июня 2018 года Amazon будет использовать ASN 64512.

Вопрос: Где можно посмотреть ASN на стороне Amazon?

ASN на стороне Amazon можно посмотреть на странице VGW в консоли VPC, а также в ответе API EC2/DescribeVpnGateways.

Вопрос: Если у меня есть публичный ASN, будет ли он работать с частным ASN на стороне AWS?

Да. Для BGP-сессии можно настроить использование частного ASN на стороне Amazon и публичного ASN на стороне клиента.

Вопрос: У меня есть настроенные частные VIF. При этом на существующем VIF требуется назначить другой ASN BGP-сессии на стороне Amazon. Как внести изменение?

Необходимо создать новый VGW с выбранным ASN и создать новый VIF с помощью только что созданного VGW. Кроме того, потребуется соответствующим образом изменить конфигурацию устройства.

Вопрос: У меня есть настроенные VPN-подключения. Для этих VPN требуется изменить ASN BGP-сессии на стороне Amazon. Как внести изменение?

Необходимо создать новый VGW с выбранным ASN и установить VPN-подключения между пользовательскими шлюзами и только что созданным VGW.

Вопрос: У меня уже есть VGW и частное VIF/VPN-подключение, настроенное на использование публичного ASN 7224, назначенного Amazon. Если Amazon автоматически создает ASN для нового частного VGW, какой ASN на стороне Amazon будет назначен?

Для нового VGW Amazon назначит 64512 в качестве ASN на стороне Amazon.

Вопрос: У меня есть VGW и частное VIF/VPN-подключение, настроенное на использование публичного ASN, назначенного Amazon. Я хочу использовать этот же ASN для нового частного VIF/VPN-подключения. Как это сделать?

Настроить/назначить выбранный ASN для анонсирования в качестве ASN на стороне Amazon можно в процессе создания нового виртуального частного шлюза (VGW). Создать VGW можно с помощью консоли или вызова API EC2/CreateVpnGateway. Как отмечалось ранее, устаревший публичный ASN можно использовать для нового созданного VGW.

Вопрос: У меня есть VGW и частное VIF/VPN-подключение, настроенное на использование публичного ASN 7224, назначенного Amazon. Если Amazon использует тот же VGW, чтобы автоматически создать ASN для нового частного VIF/VPN-подключения, какой ASN на стороне Amazon будет назначен?

Для нового VIF/VPN-подключения Amazon назначит 7224 в качестве ASN на стороне Amazon. ASN на стороне Amazon для нового частного VIF/VPN-подключения наследуется от существующего VGW и назначается по умолчанию.

Вопрос: Я подключаю несколько частных VIF к одному VGW. Можно ли для каждого VIF использовать отдельный ASN на стороне Amazon?

Нет. Назначить или настроить отдельный ASN на стороне Amazon можно для каждого VGW, но не для каждого VIF. ASN на стороне Amazon для VIF наследуется от ASN на стороне Amazon подключенного VGW.

Вопрос: Я создаю несколько VPN-подключений к одному VGW. Можно ли для каждого VPN-подключения использовать отдельный ASN на стороне Amazon?

Нет. Назначить или настроить отдельный ASN на стороне Amazon можно для каждого VGW, но не для каждого VPN-подключения. ASN на стороне Amazon для VPN-подключения наследуется от ASN на стороне Amazon, назначенного VGW.

Вопрос: Где можно выбрать свой собственный ASN?

При создании VGW в консоли VPC снимите флажок напротив вопроса о необходимости автоматически создавать ASN Amazon BGP и введите свой собственный частный ASN BGP-сессии на стороне Amazon. После настройки VGW для использования ASN на стороне Amazon частные VIF или VPN-подключения, созданные с помощью VGW, будут использовать указанный ASN на стороне Amazon.

Вопрос: Я сейчас использую CloudHub. Потребуется ли менять настройки в будущем?

Вносить какие-либо изменения не понадобится.

Вопрос: Я хочу выбрать 32-разрядный ASN. Какой диапазон у 32-разрядных частных ASN?

Поддерживаются 32-разрядные ASN с 4200000000 по 4294967294.

Вопрос: Можно ли изменить ASN на стороне Amazon после создания VGW?

Нет. Изменить ASN на стороне Amazon после создания VGW невозможно. Можно только удалить VGW и создать новый VGW с требуемым ASN.

Вопрос: Для настройки/назначения ASN на стороне Amazon используется новый API?

Нет. Эти операции можно выполнить с помощью существующего API EC2/CreateVpnGateway. В него просто добавлен новый параметр (amazonSideAsn).

Вопрос: Для просмотра ASN на стороне Amazon используется новый API?

Нет. ASN на стороне Amazon можно посмотреть с помощью существующего API EC2/DescribeVpnGateways. В него просто добавлен новый параметр (amazonSideAsn).

 

Вопрос: Что такое AWS PrivateLink?

С помощью AWS PrivateLink клиенты получают доступ к сервисам, размещенным на AWS, с обеспечением высокой доступности и масштабируемости, при этом весь сетевой трафик остается в пределах сети AWS. Клиенты могут применять эту технологию для обеспечения частного доступа к сервисам Amazon из своего облака Amazon Virtual Private Cloud (VPC) или локального центра обработки данных посредством PrivateLink, без необходимости использовать публичные IP-адреса и передавать трафик через Интернет. Владельцы сервисов могут зарегистрировать свои балансировщики Network Load Balancer на сервисах PrivateLink и предоставлять эти сервисы другим клиентам AWS.

Вопрос: Как можно использовать AWS PrivateLink?

Для сервисов, работающих на основе PrivateLink, необходимо создать адреса VPC типа «интерфейс». Эти сервисные адреса будут отображаться в виде эластичных сетевых интерфейсов (ENI) с частными IP-адресами в соответствующих облаках VPC. После создания адресов любой трафик, предназначенный для этих IP-адресов, будет перенаправлен через частное подключение в соответствующие сервисы AWS.

Вы можете подключить свой сервис к AWS PrivateLink. Для этого нужно установить Network Load Balancer (NLB), создать сервис PrivateLink и зарегистрировать его на данном NLB. Чтобы клиенты могли подключаться к вашему сервису, им нужно будет установить адреса в своих VPC, а вам – внести в белый список их аккаунты и роли IAM.

Вопрос: Какие сервисы в настоящее время работают через AWS PrivateLink?

Эту возможность поддерживают следующие сервисы AWS: Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog и EC2 Systems Manager. Эту возможность также поддерживают многие решения SaaS. Чтобы узнать о других продуктах SaaS, подключенных к AWS PrivateLink, зайдите на AWS Marketplace.

Вопрос: Можно ли использовать для доступа к сервисам, работающим с технологией AWS PrivateLink, частное подключение AWS Direct Connect?

Да. Приложение, работающее в локальной сети, может подключаться к сервисным адресам Amazon VPC через AWS Direct Connect. Сервисные адреса автоматически направляют трафик в сервисы AWS, работающие на основе AWS PrivateLink.

Дополнительные вопросы

Вопрос: Можно ли использовать Консоль управления AWS для управления Amazon VPC?

Да. Консоль управления AWS можно использовать для управления объектами Amazon VPC: VPC, подсетями, таблицами маршрутизации, интернет-шлюзами и VPN-подключениями IPSec. Кроме того, можно задействовать простой мастер создания VPC.

Вопрос: Какое количество VPC, подсетей, эластичных IP-адресов, интернет-шлюзов, пользовательских шлюзов, виртуальных частных шлюзов и VPN-подключений можно создать?

Можно создать:

  • 5 (пять) облаков Amazon VPC на один аккаунт AWS в регионе;
  • 200 (двести) подсетей на одно облако Amazon VPC;
  • 5 (пять) эластичных IP-адресов Amazon VPC на один аккаунт AWS в регионе;
  • 1 (один) интернет-шлюз на облако VPC;
  • 5 (пять) виртуальных частных шлюзов на один аккаунт AWS в регионе;
  • 50 (пятьдесят) пользовательских шлюзов на один аккаунт AWS в регионе;
  • 10 (десять) VPN-подключений IPsec на один виртуальный частный шлюз.

Подробную информацию об ограничениях VPC см. в Руководстве пользователя VPC.

Вопрос: Распространяется ли действие соглашения об уровне обслуживания (SLA) на VPN-подключение Amazon VPC?

В настоящее время не распространяется. 

Вопрос: Можно ли обращаться в AWS Support по вопросам, связанным с работой Amazon VPC?

Да. Нажмите здесь, чтобы получить дополнительную информацию о AWS Support.

Вопрос: Можно ли управлять Amazon VPC с помощью расширения ElasticFox?

Расширение ElasticFox для управления облаком Amazon VPC больше официально не поддерживается. Поддержка Amazon VPC осуществляется через API AWS, инструменты командной строки и Консоль управления AWS, а также различные служебные программы сторонних разработчиков.

 

Готовы начать работу?
Регистрация
Есть вопросы?
Свяжитесь с нами