Общие вопросы

Вопрос: Что такое Amazon Virtual Private Cloud?

Amazon VPC позволяет выделить логически изолированный раздел облака Amazon Web Services (AWS), чтобы запускать в его рамках ресурсы AWS в заданной виртуальной сети. Пользователь полностью контролирует свою среду виртуальной сети, в том числе может выбирать собственные диапазоны IP‑адресов, создавать подсети, настраивать таблицы маршрутизации и сетевые шлюзы. Кроме того, с помощью аппаратной частной виртуальной сети (VPN) можно создать подключение между корпоративным центром обработки данных и VPC и использовать облако AWS для расширения возможностей корпоративного центра обработки данных.

Сетевую конфигурацию Amazon VPC можно просто настроить по своему усмотрению. Например, можно создать публичную подсеть с выходом в Интернет для веб‑серверов, а внутренние системы, такие как базы данных или сервера приложений, расположить в частной подсети без доступа к Интернету. Сервис обеспечивает многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа (NACL). Такая система позволяет контролировать доступ к инстансам Amazon EC2 в каждой подсети.

Вопрос: Из каких компонентов состоит Amazon VPC?

Amazon VPC состоит из различных объектов, знакомых нашим клиентам по опыту работы с другими сетями.

  • Virtual Private Cloud – логически изолированная виртуальная сеть в облаке AWS. Пространство IP‑адресов облака VPC задается из выбранных клиентом диапазонов адресов.
  • Подсеть – сегмент диапазона IP‑адресов VPC, в котором можно разместить группы изолированных ресурсов.
  • Интернет‑шлюз – сторона Amazon VPC при подключении к публичному Интернету.
  • Шлюз NAT – высокодоступный управляемый сервис трансляции сетевых адресов (NAT) для обеспечения доступа к Интернет‑ресурсам в частных подсетях.
  • Аппаратное VPN‑подключение – VPN‑подключение на аппаратной основе между Amazon VPC и ЦОД, локальной сетью или колокационным объектом.
  • Шлюз виртуальной частной сети – сторона Amazon VPC при VPN‑подключении.
  • Пользовательский шлюз – сторона клиента при VPN‑подключении.
  • Пиринговое подключение позволяет маршрутизировать трафик между двумя одноранговыми VPC посредством частных IP‑адресов.
  • Адреса VPC обеспечивают частный доступ к сервисам, размещенным на AWS, из VPC без использования интернет‑шлюза, VPN, устройств для трансляции сетевых адресов (NAT) или прокси‑серверов брандмауэра.
  • Выходной интернет‑шлюз – шлюз с фиксацией состояния для IPv6‑трафика, представляющий доступ на выход из облака VPC в Интернет.
 
Вопрос: Какие задачи позволяет решить Amazon VPC?
 
Amazon VPC позволяет создавать виртуальные сети в облаке AWS без использования VPN, аппаратных средств или физических ЦОД. Можно задать собственное сетевое пространство и управлять взаимодействием сети и ресурсов Amazon EC2, расположенных в сети, с Интернетом. Сервис также позволяет использовать расширенные возможности безопасности, доступные в Amazon VPC, для обеспечения точных настроек доступа к инстансам Amazon EC2 и в обратном направлении в рамках виртуальной сети.
 
Вопрос: Как начать работу с Amazon VPC?
 
Ресурсы AWS автоматически выделяются для пользователей в готовом к использованию облаке VPC по умолчанию. Дополнительные облака VPC можно создавать на странице Amazon VPC в Консоли управления AWS, нажав кнопку «Start VPC Wizard» (Запустить мастер создания VPC).
 
Мастер предоставляет на выбор четыре основных варианта сетевых архитектур. После выбора нужного варианта можно изменить размер и диапазон IP‑адресов VPC и его подсетей. При выборе варианта с аппаратным VPN‑доступом необходимо будет указать IP‑адрес оборудования VPN в сети. Можно изменять облако VPC, добавляя или удаляя вторичные диапазоны IP‑адресов и шлюзы или добавляя дополнительные подсети в диапазоны IP‑адресов.
 
Четыре основных варианта архитектур включают:
 
  1. «VPC with a Single Public Subnet Only» (Облако VPC, состоящее из одной публичной подсети);
  2. «VPC with Public and Private Subnets» (Облако VPC, включающее публичные и частные подсети);
  3. «VPC with Public and Private Subnets and Hardware VPN Access» (Облако VPC с частными и публичными подсетями и аппаратным VPN‑доступом);
  4. «VPC with a Private Subnet Only and Hardware VPN Access» (Облако VPC с частной подсетью и аппаратным VPN‑доступом).
 
Вопрос: Какие типы адресов VPC доступны в Amazon VPC?
 
Адреса VPC обеспечивают частное подключение облака VPC к сервисам, размещенным на AWS, без необходимости использования интернет‑шлюза, устройства NAT, VPN или прокси‑сервера брандмауэра. Адреса VPC – это горизонтально масштабируемые виртуальные устройства с высокой доступностью, которые обеспечивают взаимодействие между инстансами в облаке VPC и сервисами AWS. Amazon VPC предлагает два разных типа адресов: адреса типа «шлюз» и адреса типа «интерфейс».
 
Адреса типа «шлюз» доступны только для сервисов AWS, включая S3 и DynamoDB. Такие адреса добавляют запись в выбранную таблицу маршрутизации и направляют трафик в поддерживаемые сервисы через частную сеть Amazon.
 
С помощью адресов типа «интерфейс» можно создавать частные подключения к сервисам, работающим на основе PrivateLink, собственным сервисам или решениям SaaS, а также поддерживать подключение Direct Connect. В будущем планируется интегрировать с такими адресами дополнительные решения AWS и SaaS Информацию о ценах на адреса типа «интерфейс» см. на странице цен на VPC.
 

Оплата

Вопрос: Каков принцип оплаты использования Amazon VPC?

Плата за создание и использование самого облака VPC не взимается. Плата за пользование прочими сервисами Amazon Web Services, включая Amazon EC2, начисляется по опубликованным тарифам на соответствующие ресурсы, включая плату за передачу данных. Если облако VPC подключается к корпоративному ЦОД посредством дополнительного аппаратного VPN‑подключения, плата будет взиматься за час VPN‑подключения (по количеству времени, в течение которого VPN‑подключение находилось в активном состоянии). Неполные часы использования оплачиваются как полные. Плата за данные, переданные через VPN‑подключение, будет взиматься по стандартным тарифам AWS на передачу данных. Информацию о ценах на VPC‑VPN см. в разделе цен на странице описания Amazon VPC.

Вопрос: Как определяются часы VPN‑подключения, подлежащие оплате?

Плата за VPN‑подключение начисляется за весь период времени, в течение которого VPN‑подключение находилось в активном состоянии. Состояние VPN‑подключения можно задавать в Консоли управления AWS, с помощью интерфейса командной строки или API. Использовать VPN‑подключение больше не требуется, просто отключите его, чтобы избежать начисления платы за дополнительные часы VPN‑подключения.

Вопрос: Как будет начисляться оплата за пользование прочими сервисами AWS, такими как Amazon S3 для инстансов Amazon EC2 в облаке VPC?

Плата за использование прочих сервисов Amazon Web Services, включая Amazon EC2, начисляется по опубликованным тарифам на соответствующие ресурсы. Плата за передачу данных не взимается, если доступ к сервисам Amazon Web Services, таким как Amazon S3, осуществляется через интернет‑шлюз VPC.

Если доступ к ресурсам AWS будет осуществляться через VPN‑подключение, плата будет начисляться по тарифам за передачу данных через Интернет.

Вопрос: Ваши цены указаны с учетом налогов?

Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии. Подробнее.

Подключение

Вопрос: Какие варианты подключения существуют для облака VPC?

VPC можно подключить:

  • к сети Интернет (через интернет‑шлюз);
  • к корпоративному ЦОД с помощью аппаратного VPN‑подключения (через виртуальный частный шлюз);
  • одновременно к Интернету и корпоративному ЦОД (используя как интернет‑шлюз, так и виртуальный частный шлюз);
  • к прочим сервисам AWS (через интернет‑шлюз, NAT, виртуальный частный шлюз или адреса / URL сервера VPC);
  • к другим VPC (через пиринговое подключение VPC).
 
Вопрос: Как можно подключить VPC к Интернету?
 
Сервис Amazon VPC поддерживает создание интернет‑шлюза. Этот шлюз позволяет инстансам Amazon EC2, находящимся в VPC, осуществлять прямой доступ в Интернет.
 
Вопрос: Существуют ли какие‑либо ограничения пропускной способности интернет‑шлюзов? Стоит ли беспокоиться о доступности сервиса? Может ли интернет‑шлюз оказаться единой точкой отказа?
 
Нет. Для интернет‑шлюза предусмотрено горизонтальное масштабирование, обеспечение избыточности и высокой доступности. Ограничения пропускной способности не применяются.
 
Вопрос: Каким образом инстансы VPC получают доступ в Интернет?
 
Использование публичных IP‑адресов, в том числе эластичных IP‑адресов, дает возможность инстансам VPC выполнять прямое исходящее подключение к Интернету и получать незапрашиваемый входящий трафик из Интернета (например, от веб‑серверов). Можно также использовать решения, упомянутые в ответе на следующий вопрос.
 
Вопрос: Как инстансы, не имеющие публичных IP‑адресов, получают доступ в Интернет?
 
Инстансы без публичных IP‑адресов могут получать доступ в Интернет одним из двух способов.
  1. Инстансы без публичных IP‑адресов для доступа в Интернет могут направлять свой трафик через шлюз NAT или инстанс NAT. Такие инстансы для доступа в Интернет используют публичные IP‑адреса шлюза NAT или инстанса NAT. Шлюз NAT или инстанс NAT позволяет выполнять исходящие подключения, но не позволяет другим компьютерам в Интернете инициировать соединение с инстансами, имеющими частные адреса
  2. В случае облака VPC с аппаратным VPN‑подключением или с подключением Direct Connect интернет‑трафик инстансов можно маршрутизировать через виртуальный частный шлюз к существующему ЦОД. Оттуда трафик будет попадать в Интернет через существующие выходные точки и устройства безопасности и мониторинга сети.
 
Вопрос: Можно ли подключаться к облаку VPC с помощью программной сети VPN?
 
Да. Вы можете задействовать программную сеть VPN сторонних разработчиков для создания межузлового соединения или удаленного VPN‑подключения к облаку VPC через интернет‑шлюз.
 
Вопрос: Каким образом аппаратное VPN‑подключение работает с Amazon VPC?
 
Аппаратное VPN‑подключение позволяет установить соединением между VPC и ЦОД. Amazon поддерживает VPN‑подключения с поддержкой IPsec. Маршрутизация данных, передаваемых между VPC и ЦОД, выполняется через зашифрованное VPN‑подключение в целях обеспечения конфиденциальности и целостности данных во время передачи. Интернет‑шлюз для установления аппаратного VPN‑подключения не требуется.
 
Вопрос: Что такое IPsec?
 
IPsec – это пакет протоколов, обеспечивающий безопасность связи по интернет‑протоколу (IP) за счет аутентификации и шифрования всех IP‑пакетов в потоке данных.
 
Вопрос: Какие шлюзы на стороне клиента можно использовать для подключения к Amazon VPC
 
Можно создать два типа VPN‑подключений: со статической маршрутизацией и динамической маршрутизацией. Пользовательские шлюзы, поддерживающие VPN‑подключения со статической маршрутизацией, должны обеспечивать следующие возможности.
  • Устанавливать сопоставление безопасности IKE с использованием предварительно выданных ключей.
  • Устанавливать сопоставление безопасности IPsec в режиме тоннеля.
  • Использовать 128‑битное или 256‑битное шифрование AES.
  • Использовать хэш SHA‑1 или SHA‑2 (256).
  • Использовать полную безопасность пересылки по схеме Диффи‑Хеллмана в режиме Group 2 или одну из поддерживаемых дополнительных групп Диффи‑Хеллмана
  • Выполнять фрагментацию пакетов перед шифрованием.
В дополнение к вышеуказанным требованиям устройства, поддерживающие VPN‑подключения с динамической маршрутизацией, должны выполнять следующие функции.
  • Устанавливать пиринговые соединения по протоколу пограничной маршрутизации (BGP).
  • Связывать порты с логическими интерфейсами (VPN на основе маршрутизации).
  • Использовать обнаружение отказов одноранговых узлов IPsec.
 
Вопрос: Какие группы Диффи‑Хеллмана поддерживает сервис?
 
Сервис поддерживает следующие группы Диффи‑Хеллмана в фазе 1 и фазе 2.
  • Группы Диффи‑Хеллмана в фазе 1: 2, 14–18, 22, 23, 24
  • Группы Диффи‑Хеллмана в фазе 2: 2, 5, 14–18, 22, 23, 24
 
Вопрос: Какие шлюзы на стороне клиента будут гарантированно работать с Amazon VPC?
 
Перечисленные ниже устройства, при условии соответствия вышеуказанным требованиям, будут гарантированно работать с аппаратными VPN‑подключениями и поддерживаться инструментами командной строки в части автоматического создания конфигурационных файлов для устройства.
Обратите внимание: все примеры конфигурации указаны для минимальных требований AES128, SHA1 и режима Group 2 схемы Диффи‑Хеллмана. Чтобы воспользоваться AES256, SHA256 или другими группами Диффи‑Хеллмана, потребуется внести изменения в эти файлы конфигурации.
 
Вопрос: Если устройство отсутствует в списке, где можно получить дополнительную информацию о его использовании с Amazon VPC?
 
Мы рекомендуем проверить на форуме Amazon VPC: возможно, другие пользователи уже успешно используют эту модель устройства.
 
Вопрос: Какова приблизительная максимальная пропускная способность VPN‑подключения?
 
VGW поддерживает туннели IPSEC VPN с пропускной способностью до 1,25 Гбит/с. Множественные VPN‑подключения к одному VPC имеют суммарное ограничение пропускной способности в 1,25 Гбит/с, накладываемое VGW.
 
Вопрос: Какие факторы влияют на пропускную способность VPN‑подключения?
 
Пропускная способность VPN‑подключения может зависеть от множества факторов, таких как возможности пользовательского шлюза (CGW), емкость подключения, средний размер пакетов, используемый протокол (TCP или UDP) и сетевые задержки между CGW и виртуальным частным шлюзом (VGW).
 
Вопрос: Какие существуют инструменты для поиска и устранения неполадок конфигурации аппаратного VPN‑подключения?
 
API DescribeVPNConnection отображает состояние VPN‑подключения, включая работоспособное или неработоспособное состояние каждого из VPN‑тоннелей и соответствующие сообщения об ошибках, если тоннель находится в неработоспособном состоянии. Эта информация также отображается в Консоли управления AWS.
 
Вопрос: Как подключить VPC к корпоративному ЦОД?
 
Аппаратное VPN‑подключение между существующей сетью и Amazon VPC позволяет взаимодействовать с инстансами Amazon EC2 в рамках VPC как с компонентами физической сети. AWS не выполняет трансляцию сетевых адресов (NAT) для инстансов Amazon EC2 в рамках VPC, доступ к которому осуществляется через аппаратное VPN‑подключение.
 
Вопрос: Можно ли использовать NAT с CGW, находящимся за маршрутизатором или брандмауэром?
 
Да, для этого нужно включить NAT‑T и открыть на своем устройстве NAT UDP‑порт 4500.
 
Вопрос: Какой IP‑адрес нужно использовать в качестве адреса CGW?
 
Нужно использовать публичный IP‑адрес устройства NAT.
 
Вопрос: Как отключить NAT‑T для соединения?
 
Для этого необходимо отключить NAT‑T на своем устройстве. Если вы не планируете использовать NAT‑T и он не отключен на соответствующем устройстве, сервис попытается создать тоннель через UDP‑порт 4500. Если этот порт будет закрыт, создать тоннель не удастся.
 
Вопрос: Мне нужно разместить несколько CGW за NAT. Что нужно сделать, чтобы настроить такой вариант использования?
 
Необходимо использовать публичный IP‑адрес устройства NAT для CGW в каждом из подключений. Дополнительно нужно убедиться в том, что UDP‑порт 4500 открыт.
 
Вопрос: Сколько сопоставлений безопасности IPsec может быть одновременно установлено на один тоннель?
 
Сервис AWS VPN – это решение, основанное на маршрутизации, поэтому при использовании конфигурации на основе маршрутизации вы не столкнетесь с ограничением количества сопоставлений безопасности. Однако если используется решение, основанное на политиках, вам придется ограничиться единственным сопоставлением безопасности, поскольку сервис является решением, основанным на маршрутизации.

Работа с IP‑адресами

Вопрос: Какой диапазон IP‑адресов можно использовать в рамках VPC?

Можно использовать любой диапазон адресов IPv4, включая RFC 1918, или диапазоны IP‑адресов с публичной маршрутизацией для первичного блока CIDR. Для вторичных блоков CIDR применяются некоторые ограничения. Доступ к блокам IP‑адресов с публичной маршрутизацией возможен только через виртуальный частный шлюз; к ним не удастся получить доступ через Интернет с помощью интернет‑шлюза. Сервис AWS не передает информацию о пользовательских блоках IP‑адресов в Интернет. Предоставленный Amazon блок CIDR IPv6 можно назначить облаку VPC через Консоль управления AWS или посредством соответствующего вызова API.

Вопрос: Как назначить диапазон IP‑адресов для VPC?

В качестве первичного блока CIDR при создании VPC назначается один диапазон IP‑адресов бесклассовой междоменной маршрутизации (CIDR), а после создания VPC можно добавить до четырех (4) вторичных блоков CIDR. Адреса подсетей в рамках облака VPC задаются из этого диапазона IP‑адресов CIDR. Обратите внимание: если создать несколько VPC с перекрывающимися диапазонами IP‑адресов, подключить эти VPC к обычным локальным сетям через аппаратное VPN‑подключение будет невозможно. Для таких целей рекомендуется использовать неперекрывающиеся диапазоны IP‑адресов. Можно назначить облаку VPC предоставленный Amazon блок CIDR IPv6.

Вопрос: Какие диапазоны IP‑адресов назначены для VPC по умолчанию?

По умолчанию для VPC назначен следующий диапазон CIDR: 172.31.0.0/16. Подсети по умолчанию в рамках VPC по умолчанию назначаются в сетевых блоках /20 в рамках диапазона CIDR VPC. 

Вопрос: Можно ли передавать свой публичный диапазон IP‑адресов VPC в Интернет и маршрутизировать трафик через ЦОД и аппаратное VPN‑подключение к VPC?

Да, можно выполнять маршрутизацию трафика через аппаратное VPN‑подключение и передавать информацию о диапазоне IP‑адресов из локальной сети.

Вопрос: Можно ли использовать собственные публичные адреса IPv4 в рамках VPC и получать к ним доступ через Интернет?

Да, в AWS VPC можно использовать собственные публичные адреса IPv4 и настроить для них статичную связь с подсетями и инстансами EC2. Чтобы получить доступ к этим адресам через Интернет, необходимо анонсировать их из собственной локальной сети. Кроме того, необходимо настроить маршрутизацию трафика к этим адресам между своим облаком VPC и локальной средой, используя подключение AWS Direct Connect или AWS VPN. Для маршрутизации трафика из облака VPC можно использовать Virtual Private Gateway. Аналогичным образом можно направлять трафик из локальной сети обратно в VPC с помощью собственных маршрутизаторов.

Вопрос: Насколько крупные VPC можно создавать?

В настоящее время Amazon VPC поддерживает 5 (пять) диапазонов IP‑адресов IPv4: 1 (один) первичный и 4 (четыре) вторичных. Каждый из этих диапазонов может быть размером от /28 и до /16 (в представлении CIDR). Диапазон IP‑адресов VPC не должен перекрывать диапазоны адресов существующей сети.

Для IPv6 VPC имеет фиксированный размер /56 (в представлении CIDR). В VPC могут быть представлены и блоки CIDR IPv4, и блоки CIDR IPv6.

Вопрос: Можно ли изменить размер VPC?

Да. Существующее облако VPC можно расширить, добавив к нему 4 (четыре) вторичных диапазона адресов IPv4 (блоков CIDR). Можно сжать VPC, удалив вторичные блоки CIDR, которые были добавлены в VPC. При этом у клиента нет возможности изменить размер диапазона адресов IPv6 облака VPC.

Вопрос: Сколько подсетей можно создать для одного VPC?

В настоящее время в одном VPC можно создавать до 200 подсетей. Если требуется создать большее количество подсетей, отправьте запрос в центр поддержки.

Вопрос: Существуют ли ограничения, связанные с размером подсети?

Минимальный размер подсети – /28 (или 14 IP‑адресов) для IPv4. Размер подсети не может превышать размер облака VPC, в котором она создается.

Для IPv6 размер подсети всегда составляет /64. Подсети может быть назначен только один блок CIDR IPv6.

Вопрос: Можно ли использовать все IP‑адреса, которые назначены для подсети?

Нет. Amazon резервирует первые четыре IP‑адреса и последний IP‑адрес каждой из подсетей в целях надлежащей работы протокола IP. 

Вопрос: Можно ли назначить частные IP‑адреса инстансам Amazon EC2 в рамках облака VPC?

Во время запуска инстанса Amazon EC2 в рамках VPC можно дополнительно задать основной частный IP‑адрес инстанса. Если основной частный IP‑адрес инстанса не будет задан, AWS автоматически присвоит ему адрес из диапазона IP‑адресов, назначенного для данной подсети. Вы можете назначить дополнительный частный IP‑адрес во время запуска инстанса, при создании эластичного сетевого интерфейса или в любой момент после запуска инстанса или создания интерфейса.

Вопрос: Можно ли изменять частные IP‑адреса инстанса Amazon EC2, когда он запущен и/или остановлен в VPC?

Основные частные IP‑адреса сохраняются на протяжении всего жизненного цикла инстанса или интерфейса. Дополнительные частные IP‑адреса можно назначать, отменять, а также перемещать между интерфейсами или инстансами в любой момент.

Вопрос: Если инстанс Amazon EC2 в VPC будет остановлен, получится ли запустить другой инстанс с тем же IP‑адресом в рамках того же VPC?

Нет. IP‑адрес, назначенный запущенному инстансу, можно использовать повторно только в том случае, если исходный инстанс перешел в состояние «terminated» (завершен).

Вопрос: Можно ли назначать IP‑адреса одновременно нескольким инстансам?

Нет. IP‑адрес можно указать только для одного инстанса в момент его запуска.

Вопрос: Можно ли назначить инстансу произвольный IP‑адрес?

Инстансу можно назначать любые IP‑адреса, отвечающие следующим условиям:

  • являются частью диапазона IP‑адресов из связанной подсети;
  • не зарезервированы Amazon в целях надлежащей работы протокола IP;
  • в настоящее время не назначены другому интерфейсу.

Вопрос: Можно ли назначить несколько IP‑адресов одному инстансу?

Да. Эластичному сетевому интерфейсу или инстансу EC2 в облаке Amazon VPC можно назначить один или несколько дополнительных частных IP‑адресов. Количество дополнительных частных IP‑адресов, которое можно назначить инстансу, зависит от его типа. Для получения дополнительной информации о количестве дополнительных частных IP‑адресов, присваиваемых определенным типам инстансов, см. Руководство пользователя EC2.

Вопрос: Можно ли назначить один или несколько эластичных IP‑адресов (EIP) инстансам Amazon EC2, работающим в VPC?

Да, но стоит учесть, что адреса EIP будут доступны только из Интернета (не будут доступны через VPN‑подключение). Каждый эластичный IP‑адрес должен быть связан с уникальным частным IP‑адресом инстанса. Эластичные IP‑адреса следует использовать только для инстансов в подсетях, настроенных на маршрутизацию трафика непосредственно через интернет‑шлюз. EIP‑адреса невозможно использовать для инстансов в подсетях, если для доступа в Интернет используется инстанс NAT или шлюз NAT. Все указанное применимо только для IPv4. В настоящее время Amazon VPC не поддерживают эластичные IP‑адреса для IPv6.

Топология

Вопрос: Можно ли указать шлюзы, используемые по умолчанию конкретными подсетями?

Да. Для каждой подсети можно создать маршрут по умолчанию. Маршрут по умолчанию может направлять трафик на выход из VPC через интернет‑шлюз, виртуальный частный шлюз или шлюз NAT.

Вопрос: Поддерживает ли Amazon VPC многоадресную или массовую рассылку?

Нет.

Безопасность и фильтрация

Вопрос: Как обеспечить безопасность инстансов Amazon EC2, работающих в VPC?

Для обеспечения безопасности инстансов в Amazon VPC можно использовать группы безопасности Amazon EC2. Группы безопасности VPC позволяют указать как входящий, так и исходящий сетевой трафик, разрешенный для обмена с инстансом Amazon EC2. Трафик, явным образом не разрешенный для обмена с инстансом, автоматически блокируется.

Помимо групп безопасности, с помощью списков контроля доступа (ACL) к сети можно разрешить или запретить сетевой трафик (входящий и/или исходящий) каждой подсети.

Вопрос: Каковы различия между группами безопасности и сетевыми списками ACL в VPC?

Группы безопасности VPC определяют трафик, разрешенный для обмена с инстансом Amazon EC2. Сетевые ACL работают на уровне подсети и выполняют оценку входящего и исходящего трафика. Сетевые ACL можно использовать для создания как разрешающих, так и запрещающих правил. Сетевые ACL не фильтруют трафик для инстансов в рамках одной подсети. Кроме того, сетевые ACL выполняют фильтрацию без фиксации состояния, а группы безопасности выполняют фильтрацию с фиксацией состояния.

Вопрос: В чем различие между фильтрацией без фиксации состояния и фильтрацией с фиксацией состояния?

Фильтрация с фиксацией состояния отслеживает источник запроса и может автоматически разрешить отправку ответа на запрос к компьютеру‑источнику. Например, фильтр с фиксацией состояния, отвечающий за прохождение входящего трафика через TCP‑порт 80 веб‑сервера, разрешит прохождение обратного трафика, обычно через порт с более высоким номером (например, TCP‑порт получателя 63 912), через фильтр с фиксацией состояния, расположенный между клиентом и веб‑сервером. Фильтрующее устройство поддерживает таблицу состояний, в которую заносятся номера портов и IP‑адреса источника и получателя. Фильтрующее устройство должно содержать всего одно правило: разрешать трафик, входящий на веб‑сервер через TCP‑порт 80.

Фильтрация без фиксации состояния проверяет только IP‑адреса источника и получателя и порт назначения; она не определяет, является трафик новым запросом или ответом на запрос. В вышеуказанном примере необходимо применить два правила для фильтрующего устройства: первое правило – разрешить трафик, входящий на веб‑сервер через TCP‑порт 80, и второе правило – разрешить трафик, исходящий от веб‑сервера (диапазон TCP‑портов: 49 152–65 535).

Вопрос: Можно ли использовать пары ключей SSH, созданные для инстансов в Amazon EC2, в Amazon VPC, и наоборот?

Да.

Вопрос: Могут ли инстансы Amazon EC2, работающие в рамках VPC, обмениваться данными с инстансами Amazon EC2, не входящими в VPC?

Да. Если настроен интернет‑шлюз, трафик Amazon VPC для инстансов Amazon EC2, не входящих в VPC, пройдет через интернет‑шлюз и затем попадет в публичную сеть AWS, откуда сможет достичь нужного инстанса EC2. Если интернет‑шлюз не был настроен или если инстанс находится в подсети, маршрутизация которой выполняется через виртуальный частный шлюз, трафик пройдет через VPN‑подключение, выйдет через ЦОД, а затем повторно войдет в публичную сеть AWS.

Вопрос: Могут ли инстансы Amazon EC2 в облаке VPC, расположенные в одном регионе, обмениваться данными с инстансами Amazon EC2 в облаке VPC, расположенными в другом регионе?

Да. Инстансы в одном регионе могут обмениваться данными друг с другом посредством межрегионального пирингового подключения VPC, публичных IP‑адресов, шлюзов NAT, инстансов NAT, VPN‑подключений или подключений Direct Connect.

Вопрос: Могут ли инстансы Amazon EC2, работающие в VPC, обмениваться данными с Amazon S3?

Да. Существует несколько вариантов организации обмена данными между ресурсами, находящимися в облаке VPC, и сервисом Amazon S3. Можно использовать адрес VPC для S3, который позволяет убедиться в том, что весь трафик остается в рамках сети Amazon, и применять дополнительные политики доступа к трафику Amazon S3. Для организации доступа в Интернет из облака VPC, а также обмена данными между инстансами облака VPC и сервисом Amazon S3 можно использовать интернет‑шлюз. Можно также направить весь трафик в Amazon S3 через Direct Connect или VPN‑подключение для выхода из ЦОД и повторного входа в публичную сеть AWS.

Вопрос: Можно ли отслеживать сетевой трафик в своем VPC?

Да. Вы можете использовать возможность Amazon VPC Flow Logs для мониторинга сетевого трафика в облаке VPC.

Amazon VPC и EC2

Вопрос: В каких регионах Amazon EC2 доступно использование Amazon VPC?

В настоящее время Amazon VPC можно использовать в различных зонах доступности во всех регионах Amazon EC2.

Вопрос: Может ли VPC охватывать сразу несколько зон доступности?

Да. 

Вопрос: Может ли подсеть распространяться на несколько зон доступности?

Нет. Подсеть должна находиться в одной зоне доступности.

Вопрос: Каким образом можно задать зону доступности для запуска инстансов Amazon EC2?

При запуске инстанса Amazon EC2 необходимо указать подсеть, в которой требуется запустить инстанс. Инстанс будет запущен в зоне доступности, связанной с указанной подсетью.

Вопрос: Как определить, в какой зоне доступности находятся подсети?

При создании подсети необходимо указать зону доступности, в которой ее необходимо разместить. C помощью VPC Wizard можно выбрать зону доступности подсети на экране подтверждения. При использовании API или интерфейса командной строки можно задать зону доступности подсети в процессе ее создания. Если зона доступности не указана, по умолчанию будет выбрано значение «No Preference» (Без предпочтений), а подсеть будет создана в произвольной зоне доступности в рамках региона.

Вопрос: Взимается ли плата за обмен трафиком между инстансами, расположенными в различных подсетях?

Если инстансы находятся в подсетях, расположенных в разных зонах доступности, будет начисляться плата в размере 0,01 USD за 1 ГБ переданных данных.

Вопрос: При вызове API DescribeInstances() отобразится весь список инстансов Amazon EC2, включая инстансы типов EC2‑Classic и EC2‑VPC?

Да. API DescribeInstances() вернет список всех запущенных инстансов Amazon EC2. Инстансы EC2‑Classic можно отличить от инстансов EC2‑VP по содержимому поля подсети. Если в поле содержится идентификатор подсети, соответствующий инстанс находится в VPC. 

Вопрос: При вызове API DescribeVolumes() отобразится весь список томов Amazon EBS, включая те, что находятся в EC2‑Classic и EC2‑VPC?

Да. API DescribeVolumes() вернет список всех томов EBS.

Вопрос: Сколько инстансов Amazon EC2 можно использовать в облаке VPC?

В VPC можно запускать любое количество инстансов Amazon EC2, если VPC имеет размер, достаточный для назначения IP‑адреса каждому из инстансов. Изначально существует ограничение на одновременный запуск до 20 инстансов Amazon EC2 и на максимальный размер VPC /16 (65 536 IP‑адресов). Если требуется увеличить эти лимиты, заполните следующую форму.

Вопрос: Можно ли использовать существующие образы AMI в Amazon VPC?

В Amazon VPC можно использовать AMI, зарегистрированные в том же регионе, что и VPC. Например, можно использовать AMI, зарегистрированные в us‑east‑1, в VPC, зарегистрированном в us‑east‑1. Дополнительную информацию см. в разделе «Регионы и зоны доступности» на странице вопросов и ответов по сервису Amazon EC2.

Вопрос: Можно ли использовать существующие снимки состояния Amazon EBS?

Да, снимки состояния EBS можно использовать, если они находятся в том же регионе, что и VPC. Подробные сведения см. в разделе «Регионы и зоны доступности» на странице вопросов и ответов по сервису Amazon EC2.

Вопрос: Можно ли загрузить инстанс Amazon EC2 с тома Amazon EBS в Amazon VPC?

Да, однако инстанс, запускаемый в VPC с помощью AMI с поддержкой Amazon EBS, при остановке и перезапуске будет иметь один и тот же IP‑адрес. Если аналогичные инстансы будут запускаться вне VPC, они будут получать новый IP‑адрес. IP‑адреса остановленных инстансов в подсети будут считаться недоступными.

Вопрос: Можно ли использовать в Amazon VPC зарезервированные инстансы Amazon EC2?

Да. При покупке зарезервированных инстансов можно использовать резервирование инстансов в Amazon VPC. При подготовке счета AWS не разделяет инстансы, запускаемые в Amazon VPC, и стандартные инстансы Amazon EC2. AWS автоматически определяет инстансы, которые должны оплачиваться по сниженным расценкам, применяемым к зарезервированным инстансам, чтобы оптимизировать итоговую сумму счета и свести к минимуму расходы клиента. Однако резервирование инстансов будет применяться исключительно к облаку Amazon VPC. Для получения подробной информации см. страницу Зарезервированные инстансы.

Вопрос: Можно ли использовать с Amazon VPC сервис Amazon CloudWatch?

Да.

Вопрос: Можно ли использовать с Amazon VPC сервис Auto Scaling?

Да. 

Вопрос: Можно ли запускать кластеры инстансов Amazon EC2 в Amazon VPC?

Да. В Amazon VPC поддерживаются кластеры инстансов, однако не все типы инстансов будут доступны во всех регионах и зонах доступности.

 

VPC по умолчанию

Вопрос: Что такое VPC по умолчанию?

VPC по умолчанию – это логически изолированная виртуальная сеть в облаке AWS, которая автоматически создается для аккаунта AWS при первом выделении ресурсов Amazon EC2. Если инстанс будет запущен без указания идентификатора подсети, он запустится в VPC по умолчанию.

Вопрос: Каковы преимущества VPC по умолчанию?

При запуске ресурсов в VPC по умолчанию клиенты получают преимущества использования расширенных сетевых возможностей Amazon VPC (EC2‑VPC) и простоту эксплуатации облака Amazon EC2 (EC2‑Classic). Это позволяет менять группы безопасности на лету, выполнять фильтрацию исходящих данных с помощью групп безопасности, использовать несколько IP‑адресов и несколько сетевых интерфейсов без необходимости явно создавать VPC и запускать инстансы в рамках VPC.

Вопрос: Для каких аккаунтов доступно VPC по умолчанию?

Если аккаунт AWS был создан 18 марта 2013 г. или позднее, запускать ресурсы можно в облаке VPC по умолчанию. Ознакомьтесь с этим сообщением на форуме, чтобы узнать список регионов, в которых доступен набор возможностей облака VPC по умолчанию. Аккаунты, созданные до указанной даты, могут также использовать облака VPC по умолчанию в любых поддерживаемых регионах, где ранее не запускались инстансы EC2 или не выделялись ресурсы сервисов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache или Amazon Redshift.

Вопрос: Как определить, настроен ли мой аккаунт на работу с облаком VPC по умолчанию?

Консоль Amazon EC2 отображает платформы, на которых можно запускать инстансы в выбранном регионе, а также наличие доступа к VPC по умолчанию в этом регионе. Убедитесь в том, что регион, который вы планируете использовать, выбран в навигационной панели. В панели управления консоли Amazon EC2 найдите пункт «Supported Platforms» (Поддерживаемые платформы) в разделе «Account Attributes» (Атрибуты аккаунта). Если в нем указаны два значения, EC2‑Classic и EC2‑VPC, можно запускать инстансы на любой из этих платформ. Если указано только одно значение, EC2‑VPC, запускать инстансы можно только на платформе EC2‑VPC. Идентификатор VPC по умолчанию будет указан в разделе «Account Attributes» (Атрибуты аккаунта), если аккаунт настроен на использование VPC по умолчанию. Чтобы получить описание поддерживаемых платформ, можно также использовать API EC2 DescribeAccountAttributes или интерфейс командной строки.

Вопрос: Нужны ли какие‑либо специальные знания об облаке Amazon VPC, чтобы использовать VPC по умолчанию?

Нет. Для запуска инстансов EC2, а также других ресурсов AWS в облаке VPC по умолчанию и управления ими можно использовать Консоль управления AWS, интерфейс командной строки AWS EC2 или API Amazon EC2. Сервис AWS автоматически создаст VPC по умолчанию и подсеть по умолчанию в каждой из зон доступности региона AWS. VPC по умолчанию подключается к интернет‑шлюзу, а инстансы автоматически получают публичные IP‑адреса, как и в случае с EC2‑Classic.

Вопрос: Какие различия существуют между инстансами, запущенными на платформах EC2‑Classic и EC2‑VPC?

См. раздел «Differences between EC2‑Classic and EC2‑VPC» Руководства пользователя EC2.

Вопрос: Обязательно ли создавать VPN‑подключение, чтобы использовать VPC по умолчанию?

Нет. VPC по умолчанию получает доступ в Интернет, а все инстансы, запущенные в подсетях по умолчанию в рамках VPC по умолчанию, автоматически получают публичные IP‑адреса. При желании к VPC по умолчанию можно добавить VPN‑подключение.

Вопрос: Можно ли создавать другие VPC и использовать их совместно с VPC по умолчанию?

Да. Чтобы запустить инстанс в VPC, отличном от доступного по умолчанию, необходимо указать в процессе запуска инстанса идентификатор подсети.

Вопрос: Можно ли создавать дополнительные подсети в VPC по умолчанию, например частные подсети?

Да. Чтобы запускать инстансы в подсетях, отличных от доступных по умолчанию, необходимо инициировать их запуск с помощью консоли или опции --subnet в интерфейсе командной строки, API или SDK.

Вопрос: Сколько облаков VPC по умолчанию мне доступно?

Клиенту предоставляется по одному облаку VPC по умолчанию в каждом из регионов AWS, где атрибут Supported Platforms имеет значение EC2‑VPC.

Вопрос: Какой диапазон IP‑адресов принадлежит VPC по умолчанию?

CIDR VPC по умолчанию – 172.31.0.0/16. Подсети по умолчанию используют CIDR /20 в рамках CIDR VPC по умолчанию.

Вопрос: Сколько подсетей по умолчанию доступно в облаке VPC по умолчанию?

Для каждой из зон доступности в облаке VPC по умолчанию создается одна подсеть по умолчанию.

Вопрос: Можно ли назначить какое‑либо из имеющихся VPC в качестве VPC по умолчанию?

В настоящий момент нет.

Вопрос: Можно ли назначить какую‑либо из имеющихся подсетей подсетью по умолчанию?

В настоящий момент нет.

Вопрос: Можно ли удалить VPC по умолчанию?

Да, VPC по умолчанию можно удалить. После удаления можно создать новое облако VPC по умолчанию непосредственно из консоли VPC или с помощью интерфейса командной строки (CLI). Это создаст новое VPC по умолчанию в конкретном регионе. При этом предыдущее VPC, которое было удалено, не восстанавливается.

Вопрос: Можно ли удалить подсеть по умолчанию?

Да, подсеть по умолчанию можно удалить. После удаления можно создать новую подсеть по умолчанию в зоне доступности с помощью интерфейса командной строки или SDK. При этом будет создана новая подсеть по умолчанию в указанной зоне доступности. При этом удаленная подсеть не восстанавливается.

Вопрос: У меня есть действующий аккаунт EC2‑Classic. Как получить облако VPC по умолчанию?

Самый простой способ получить облако VPC по умолчанию – создать новый аккаунт в регионе, где активировано облако VPC по умолчанию, или использовать существующий аккаунт в регионе, где вы ранее не были представлены, когда атрибут Supported Platforms для этого аккаунта в этом регионе имеет значение EC2‑VPC.

Вопрос: Я хочу активировать VPC по умолчанию для действующего аккаунта EC2. Это возможно?

Да. Однако мы можем активировать VPC по умолчанию для действующего аккаунта только в том случае, если у аккаунта нет ресурсов EC2‑Classic в данном регионе. Кроме того, требуется завершить в данном регионе работу всех выделенных ресурсов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache и Amazon Redshift, не имеющих отношения к VPC. После того как аккаунт будет настроен на работу с VPC по умолчанию, все запуски ресурсов, выполняемые в будущем, включая инстансы, запускаемые сервисом Auto Scaling, будут происходить в облаке VPC по умолчанию. Чтобы запросить настройку существующего аккаунта на работу с VPC по умолчанию, перейдите в раздел «Account and Billing» (Аккаунт и счета), выберите «Service: Account -> Category: Convert EC2 Classic to VPC» (Сервис: аккаунт > Категория: преобразование EC2 Classic в VPC) и сформируйте запрос. Мы проверим запрос, существующие сервисы AWS, наличие EC2‑Classic и предоставим руководство по дальнейшим шагам.

Вопрос: Какое воздействие оказывает VPC по умолчанию на аккаунты IAM?

Если аккаунт AWS использует облако VPC по умолчанию, все аккаунты IAM, связанные с аккаунтом AWS, используют то же VPC по умолчанию, что и аккаунт AWS.

 

Эластичные сетевые интерфейсы

Вопрос: Можно ли закрепить один или несколько сетевых интерфейсов за инстансом EC2, пока он работает? Можно ли провести обратную процедуру?

Да.

Вопрос: Можно ли закрепить более двух сетевых интерфейсов за инстансом EC2?

Общее количество сетевых интерфейсов, которое возможно закрепить за инстансом EC2, зависит от типа инстанса. Дополнительную информацию о допустимом количестве сетевых интерфейсов в зависимости от типа инстанса см. в «Руководстве пользователя EC2».

Вопрос: Можно ли закрепить сетевой интерфейс из одной зоны доступности за инстансом из другой зоны доступности?

Сетевые интерфейсы можно закреплять за инстансами, находящимися исключительно в той же зоне доступности.

Вопрос: Можно ли закрепить сетевой интерфейс из одного облака VPC за инстансом из другого VPC?

Сетевые интерфейсы можно закреплять за инстансами, находящимися только в одном VPC с интерфейсом.

Вопрос: Можно ли использовать эластичные сетевые интерфейсы в качестве решения для хостинга нескольких веб‑сайтов, требующих наличия отдельных IP‑адресов в рамках одного инстанса?

Да, однако этот сценарий не является оптимальным примером использования нескольких интерфейсов. Вместо этого назначьте дополнительные частные IP‑адреса инстансам, а затем свяжите EIP с частными IP‑адресами в порядке необходимости.

Вопрос: Будет ли взиматься плата за эластичный IP‑адрес, связанный с сетевым интерфейсом, если сетевой интерфейс не закреплен за работающим инстансом?

Да.

Вопрос: Можно ли открепить основной интерфейс (eth0) от инстанса EC2?

Нет. Закреплять/откреплять можно дополнительные интерфейсы (eth1‑ethn), но интерфейс eth0 открепить от инстансов EC2 невозможно.

 

Пиринговые подключения

Вопрос: Можно ли создать пиринговое соединение с облаком VPC, расположенным в другом регионе?

Да. Между облаками VPC, расположенными в разных регионах, можно создавать пиринговые подключения. Межрегиональное пиринговое подключение VPC доступно по всему миру во всех коммерческих регионах (за исключением Китая).

Вопрос. Можно ли установить пиринговое подключение между моим облаком VPC и VPC, принадлежащим другому аккаунту AWS?

Да, учитывая, что владелец другого облака VPC одобрит запрос на создание пирингового подключения.

Вопрос: Можно ли создать пиринговое подключение двух VPC с совпадающими диапазонами IP‑адресов?

Нет. VPC, участвующие в пиринговом соединении, должны иметь неперекрывающиеся диапазоны IP‑адресов.

Вопрос: Сколько стоит пиринговое подключение VPC?

За создание пирингового подключения плата не взимается. Однако будет взиматься плата за передачу данных через пиринговое подключение. Расценки за передачу данных приведены в разделе «Передача данных» на странице цен на EC2.

Вопрос: Можно ли использовать сервис AWS Direct Connect или аппаратное VPN‑подключение, чтобы получить доступ к VPC в рамках пирингового подключения?

Нет. Граничная маршрутизация для Amazon VPC не поддерживается. Дополнительную информацию см. в руководстве по созданию пиринговых подключений к VPC.

Вопрос: Требуется ли интернет‑шлюз для использования пирингового подключения?

Нет. Пиринговые подключения к VPC не требуют наличия интернет‑шлюза.

Вопрос: Шифруется ли трафик VPC, проходящий через пиринговое подключение в рамках региона?

Нет. Трафик, проходящий между инстансами облаков VPC, взаимодействующих по пиринговому подключению, остается частным и изолированным. Таким же образом обстоит дело с трафиком, проходящим между двумя инстансами в рамках одного облака VPC.

Вопрос: Если я удалю пиринговое подключение на своей стороне, сможет ли другая сторона осуществлять доступ к моему VPC?

Нет. Любая из сторон пирингового подключения может разорвать его в любой момент. В результате разрыва пирингового соединения трафик больше не будет перемещаться между двумя VPC.

Вопрос: Если будет установлено пиринговое подключение между VPC A и VPC B, а также между VPC B и VPC C, будет ли это значить, что VPC A и VPC С будут связаны пиринговым подключением?

Нет. Переходные пиринговые связи не поддерживаются.

Вопрос: Что делать, если пиринговое подключение стало недоступным?

AWS использует существующую инфраструктуру облака VPC для создания пирингового подключения; это не шлюз и не VPN‑подключение, оно не полагается на отдельный элемент физического оборудования. В нем не существует точек, которые могли бы привести к сбою связи, или ограничений пропускной способности.

Межрегиональные пиринговые подключения VPC работают на той же технологической платформе, что и VPC, с той же горизонтальной масштабируемостью, избыточностью и высокой доступностью. Трафик межрегиональных пиринговых подключений VPC идет по магистральным каналам AWS, которые обеспечивают встроенную избыточность и динамическое выделение пропускной способности. Работа канала связи не может быть прервана сбоем в отдельной точке.

Если межрегиональное пиринговое подключение все же прервется, трафик не будет перенаправляться через Интернет.

Вопрос: Накладываются ли какие‑либо ограничения на пропускную способность пирингового подключения?

Пропускная способность между инстансами облаков VPC, взаимодействующих по пиринговому подключению, не отличается от ситуации, когда обмен данными осуществляется между двумя инстансами в рамках одного VPC. Примечание. Группа размещения может распространяться на облака VPC, взаимодействующие по пиринговому подключению; однако в подобных VPC не достигается полноценная пропускная способность между инстансами. Ознакомьтесь с дополнительной информацией о группах размещения.

Вопрос: Зашифрован ли трафик, идущий через межрегиональные пиринговые подключения VPC?

Трафик шифруется с помощью современных алгоритмов аутентифицированного шифрования с присоединенными данными (AEAD). Согласование ключей и управление ключами выполняет AWS.

Вопрос: Как в межрегиональном пиринговом подключении VPC работает трансляция имен DNS?

По умолчанию запрос публичного имени хоста инстанса в одноранговом VPC в другом регионе будет разрешен в публичный IP‑адрес. Для разрешения в частный IP‑адрес при межрегиональном пиринговом подключении VPC можно также использовать частную службу DNS Route 53.

Вопрос: Можно ли ссылаться на группы безопасности через межрегиональное пиринговое подключение VPC?

Нет. Ссылки на группы безопасности через межрегиональное пиринговое подключение VPC не работают.

Вопрос: Поддерживается ли при межрегиональном пиринговом подключении VPC протокол IPv6?

Нет. Межрегиональные пиринговые подключения VPC не поддерживают IPv6.

Вопрос: Можно ли использовать межрегиональное пиринговое подключение VPC вместе с EC2‑ClassicLink?

Нет. Межрегиональное пиринговое подключение VPC нельзя использовать вместе с EC2‑ClassicLink.

Вопрос: Какие сервисы AWS нельзя использовать через межрегиональное пиринговое подключение VPC?

Через межрегиональное пиринговое подключение VPC нельзя использовать балансировщики Network Load Balancer, AWS PrivateLink и Elastic File System.

Вопрос: Что такое ClassicLink?

Сервис Amazon Virtual Private Cloud (VPC) ClassicLink позволяет инстансам EC2 платформы EC2‑Classic выполнять обмен данными с инстансами VPC посредством частных IP‑адресов. Чтобы использовать сервис ClassicLink, активируйте его для VPC в своем аккаунте и свяжите группу безопасности этого VPC с инстансом платформы EC2‑Classic. Все правила группы безопасности VPC будут применены к соединению между инстансами платформ EC2‑Classic и VPC. 

Вопрос: Сколько стоит сервис ClassicLink?

За использование сервиса ClassicLink плата не взимается. Однако плата будет взиматься за транзитную передачу данных через различные зоны доступности. Подробнее о ценовой политике EC2 см. на соответствующей странице.

Вопрос: Как можно использовать сервис ClassicLink?

Чтобы использовать сервис ClassicLink, сначала необходимо активировать хотя бы одно VPC для ClassicLink в своем аккаунте. Затем необходимо связать группу безопасности VPC с необходимым инстансом платформы EC2‑Classic. Инстанс платформы EC2‑Classic после этого будет связан с VPC и станет участником выбранной группы безопасности VPC. Инстанс платформы EC2‑Classic можно одновременно связать только с одним облаком VPC.

Вопрос: Становится ли инстанс платформы EC2‑Classic участником VPC?

Инстанс платформы EC2‑Classic не становится участником облака VPC. Он становится участником связанной с ним группы безопасности VPC. Все правила и ссылки группы безопасности VPC применяются к обмену данными между инстансами в инстансе платформы EC2‑Classic и ресурсами сервиса VPC.

Вопрос: Можно ли использовать публичные имена хостов DNS EC2 из инстансов платформ EC2‑Classic и EC2‑VPC для взаимной адресации, чтобы осуществлять обмен данными с использованием частного IP‑адреса?

Нет. Публичное имя хоста DNS EC2 не будет преобразовано в частный IP‑адрес инстанса EC2‑VPC при опросе из инстанса платформы EC2‑Classic и наоборот.

Вопрос: Существуют ли VPC, для которых невозможно активировать сервис ClassicLink?

Да. Сервис ClassicLink невозможно активировать для VPC с бесклассовой адресацией (CIDR), находящейся в диапазоне 10.0.0.0/8, за исключением 10.0.0.0/16 и 10.1.0.0/16. Кроме того, сервис ClassicLink невозможно активировать для любых VPC, таблица маршрутизации которых указывает на пространство CIDR 10.0.0.0/8 любого получателя, отличного от local.

Вопрос: Может ли трафик, исходящий от инстанса платформы EC2‑Classic, перемещаться по Amazon VPC и выходить через интернет‑шлюз, виртуальный частный шлюз или VPC с пиринговым подключением?

Трафик, исходящий от инстанса платформы EC2‑Classic, можно маршрутизировать только на частные IP‑адреса в VPC. Маршрутизация до получателей, расположенных вне VPC, включая интернет‑шлюз, виртуальный частный шлюз или VPC с пиринговым подключением, не поддерживается.

Вопрос: Оказывает ли сервис ClassicLink влияние на контроль доступа между инстансами платформы EC2‑Classic и другими инстансами, входящими в эту платформу?

Сервис ClassicLink не влияет на контроль доступа, определенный для инстансов платформы EC2‑Classic в существующих группах безопасности платформы EC2‑Classic.

Вопрос: Сохранятся ли настройки, заданные для инстанса платформы EC2‑Classic в сервисе ClassicLink, после циклов остановки/запуска?

Соединение ClassicLink не сохранится после остановки/запуска инстанса платформы EC2‑Classic. После остановки и последующего запуска инстанс платформы EC2‑Classic необходимо связать повторно с VPC. Однако соединение ClassicLink сохраняется после цикла перезагрузки инстанса.

Вопрос: Будет ли назначен инстансу платформы EC2‑Classic новый частный IP‑адрес после активации сервиса ClassicLink?

Новые частные IP‑адреса инстансу платформы EC2‑Classic назначаться не будут. При активации сервиса ClassicLink для инстанса платформы EC2‑Classic инстанс сохранит и продолжит использование существующего частного IP‑адреса для обмена данными с ресурсами VPC.

Вопрос: Позволяет ли сервис ClassicLink правилам группы безопасности EC2‑Classic ссылаться на группы безопасности VPC и наоборот?

Сервис ClassicLink не позволяет правилам группы безопасности EC2‑Classic ссылаться на группы безопасности VPC и наоборот.

Виртуальный частный шлюз. Поддержка собственных Autonomous System Number

Вопрос: Что это за возможность?

Для новых виртуальных частных шлюзов (VGW) возможность настройки частного Autonomous System Number (ASN) позволяет клиентам настраивать на стороне Amazon ASN BGP‑сессии для VPN‑подключений и частных VIF AWS Direct Connect.

Вопрос: Какова стоимость использования этой возможности?

Данная возможность предоставляется бесплатно.

Вопрос: Как можно настроить/назначить свой ASN для анонсирования в качестве ASN на стороне Amazon?

Настроить/назначить выбранный ASN для анонсирования в качестве ASN на стороне Amazon можно в процессе создания нового виртуального частного шлюза (VGW). VGW можно создать в консоли VPC или с помощью вызова API EC2 / CreateVpnGateway.

Вопрос: Какие ASN назначались Amazon до появления этой возможности?

Ранее в Amazon назначались следующие ASN: Запад ЕС (Дублин) – 9059; Азия и Тихий океан (Сингапур) – 17493, Азия и Тихий океан (Токио) – 10124. Для всех остальных регионов назначался ASN 7224. Эти ASN называются «устаревшими публичными ASN» региона.

Вопрос: Можно использовать любой ASN, как публичный, так и частный?

На стороне Amazon можно назначить любой частный номер ASN. До 30 июня 2018 года можно назначать устаревшие публичные ASN регионов. Другие публичные ASN назначать нельзя. С 30 июня 2018 года Amazon будет использовать ASN 64512.

Вопрос: Почему нельзя назначить публичный ASN BGP‑сессии на стороне Amazon?

Amazon не занимается проверкой прав владения ASN, поэтому мы ограничиваем возможность выбора ASN на стороне Amazon частными ASN. Мы хотим защитить клиентов от подделки BGP‑подключений.

Вопрос: Какой ASN можно выбрать?

Выбрать можно любой частный ASN. Диапазон 16‑разрядных частных ASN: 64512–65534. Кроме того, можно использовать 32‑разрядные ASN: 4200000000–4294967294.

Если ASN для VGW не будет выбран, Amazon назначит ASN по умолчанию. До 30 июня 2018 года Amazon продолжает использовать устаревший публичный ASN региона. С 30 июня 2018 года Amazon будет использовать ASN 64512.

Вопрос: Что произойдет, если я попытаюсь назначить публичный ASN BGP‑сессии на стороне Amazon?

Если это не будет устаревший публичный ASN региона, при попытке создания VGW мы попросим ввести частный ASN.

Вопрос: Если я не укажу ASN BGP‑сессии на стороне Amazon, какой ASN мне назначит Amazon?

Если ASN для VGW не будет выбран, Amazon установит значение ASN самостоятельно. До 30 июня 2018 года Amazon продолжает использовать устаревший публичный ASN региона. С 30 июня 2018 года Amazon будет использовать ASN 64512.

Вопрос: Где можно посмотреть ASN на стороне Amazon?

ASN на стороне Amazon можно посмотреть на странице VGW в консоли VPC, а также в ответе API EC2 / DescribeVpnGateways.

Вопрос: Если у меня есть публичный ASN, будет ли он работать с частным ASN на стороне AWS?

Да. Для BGP‑сессии можно настроить использование частного ASN на стороне Amazon и публичного ASN на стороне клиента.

Вопрос: У меня есть настроенные частные VIF. При этом на существующем VIF требуется назначить другой ASN BGP‑сессии на стороне Amazon. Как внести изменение?

Необходимо создать новый VGW с выбранным ASN и создать новый VIF с помощью только что созданного VGW. Кроме того, потребуется соответствующим образом изменить конфигурацию устройства.

Вопрос: У меня есть настроенные VPN‑подключения. Для этих VPN требуется изменить ASN BGP‑сессии на стороне Amazon. Как внести изменение?

Необходимо создать новый VGW с выбранным ASN и установить VPN‑подключения между пользовательскими шлюзами и только что созданным VGW.

Вопрос: У меня уже есть VGW и частное VIF/VPN‑подключение, настроенное на использование публичного ASN 7224, назначенного Amazon. Если Amazon автоматически создает ASN для нового частного VGW, какой ASN на стороне Amazon будет назначен?

Для нового VGW Amazon назначит 64512 в качестве ASN на стороне Amazon.

Вопрос: У меня есть VGW и частное VIF/VPN‑подключение, настроенное на использование публичного ASN, назначенного Amazon. Я хочу использовать этот же ASN для нового частного VIF/VPN‑подключения. Как это сделать?

Настроить/назначить выбранный ASN для анонсирования в качестве ASN на стороне Amazon можно в процессе создания нового виртуального частного шлюза (VGW). Создать VGW можно с помощью консоли или вызова API EC2/CreateVpnGateway. Как было отмечено ранее, до 30 июня 2018 года Amazon продолжает использовать устаревший публичный ASN региона. С 30 июня 2018 года Amazon будет использовать ASN 64512.

Вопрос: У меня есть VGW и частное VIF/VPN‑подключение, настроенное на использование публичного ASN 7224, назначенного Amazon. Если Amazon использует тот же VGW, чтобы автоматически создать ASN для нового частного VIF/VPN‑подключения, какой ASN на стороне Amazon будет назначен?

Для нового VIF/VPN‑подключения Amazon назначит 7224 в качестве ASN на стороне Amazon. ASN на стороне Amazon для нового частного VIF/VPN‑подключения наследуется от существующего VGW и назначается по умолчанию.

Вопрос: Я подключаю несколько частных VIF к одному VGW. Можно ли для каждого VIF использовать отдельный ASN на стороне Amazon?

Нет. Назначить или настроить отдельный ASN на стороне Amazon можно для каждого VGW, но не для каждого VIF. ASN на стороне Amazon для VIF наследуется от ASN на стороне Amazon подключенного VGW.

Вопрос: Я создаю несколько VPN‑подключений к одному VGW. Можно ли для каждого VPN‑подключения использовать отдельный ASN на стороне Amazon?

Нет. Назначить или настроить отдельный ASN на стороне Amazon можно для каждого VGW, но не для каждого VPN‑подключения. ASN на стороне Amazon для VPN‑подключения наследуется от ASN на стороне Amazon, назначенного VGW.

Вопрос: Где можно выбрать свой собственный ASN?

При создании VGW в консоли VPC снимите флажок напротив вопроса о необходимости автоматически создавать ASN Amazon BGP и введите свой собственный частный ASN BGP‑сессии на стороне Amazon. После настройки VGW для использования ASN на стороне Amazon частные VIF или VPN‑подключения, созданные с помощью VGW, будут использовать указанный ASN на стороне Amazon.

Вопрос: Я использую CloudHub. Потребуется ли менять настройки в будущем?

Вносить какие‑либо изменения не понадобится.

Вопрос: Я хочу выбрать 32‑разрядный ASN. Какой диапазон у 32‑разрядных частных ASN?

Поддерживаются 32‑разрядные ASN с 4200000000 по 4294967294.

Вопрос: Можно ли изменить ASN на стороне Amazon после создания VGW?

Нет. Изменить ASN на стороне Amazon после создания VGW невозможно. Можно только удалить VGW и создать новый VGW с требуемым ASN.

Вопрос: Для настройки/назначения ASN на стороне Amazon используется новый API?

Нет. Эти операции можно выполнить с помощью существующего API EC2 / CreateVpnGateway. В него просто добавлен новый параметр (amazonSideAsn).

Вопрос: Для просмотра ASN на стороне Amazon используется новый API?

Нет. ASN на стороне Amazon можно посмотреть с помощью существующего API EC2 / DescribeVpnGateways. В него просто добавлен новый параметр (amazonSideAsn).

 

Вопрос: Что такое AWS PrivateLink?

С помощью AWS PrivateLink клиенты получают доступ к сервисам, размещенным на AWS, с обеспечением высокой доступности и масштабируемости, при этом весь сетевой трафик остается в пределах сети AWS. Клиенты могут применять эту технологию для обеспечения частного доступа к сервисам Amazon из своего облака Amazon Virtual Private Cloud (VPC) или локального центра обработки данных посредством PrivateLink, без необходимости использовать публичные IP‑адреса и передавать трафик через Интернет. Владельцы сервисов могут зарегистрировать свои балансировщики Network Load Balancer в сервисах PrivateLink и предоставлять эти сервисы другим клиентам AWS.

Вопрос: Как можно использовать AWS PrivateLink?

Для сервисов, работающих на основе PrivateLink, необходимо создать адреса VPC типа «интерфейс». Эти сервисные адреса будут отображаться в виде эластичных сетевых интерфейсов (ENI) с частными IP‑адресами в соответствующих облаках VPC. После создания адресов любой трафик, предназначенный для этих IP‑адресов, будет перенаправлен через частное подключение в соответствующие сервисы AWS.

Вы можете подключить свой сервис к AWS PrivateLink. Для этого нужно установить Network Load Balancer (NLB), создать сервис PrivateLink и зарегистрировать его на данном NLB. Чтобы клиенты могли подключаться к вашему сервису, им нужно будет установить адреса в своих VPC, а вам – внести в белый список их аккаунты и роли IAM.

Вопрос: Какие сервисы в настоящее время работают через AWS PrivateLink?

Эту возможность поддерживают следующие сервисы AWS: Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog, EC2 Systems Manager и Amazon SNS. Эту же возможность поддерживают многие решения SaaS. Чтобы узнать о других продуктах SaaS, подключенных к AWS PrivateLink, зайдите на AWS Marketplace.

Вопрос: Можно ли использовать для доступа к сервисам, работающим с технологией AWS PrivateLink, частное подключение AWS Direct Connect?

Да. Приложение, работающее в локальной сети, может подключаться к сервисным адресам Amazon VPC через AWS Direct Connect. Сервисные адреса автоматически направляют трафик в сервисы AWS, работающие на основе AWS PrivateLink.

Вопрос: Какие метрики CloudWatch доступны для адресов VPC на базе интерфейса?

В настоящее время метрики CloudWatch для адресов VPC на базе интерфейса недоступны.

Вопрос: Кто оплачивает передачу данных, проходящих через адрес VPC на базе интерфейса?

Стоимость передачи данных для адреса VPC рассчитывается аналогично стоимости передачи данных для инстансов EC2. Поскольку адрес VPC на базе интерфейса является эластичным сетевым интерфейсом (ENI) в подсети, стоимость передачи данных зависит от источника трафика. Если трафик на этот интерфейс поступает от ресурсов из другой зоны доступности, потребителю начисляется плата за передачу данных EC2 между зонами доступности. Если в аккаунте клиента выделены ресурсы для каждой зоны доступности, клиенты в потребляющем облаке VPC могут использовать DNS‑адрес для конкретной зоны доступности, чтобы трафик оставался в пределах одной зоны доступности.

Использование собственного IP‑адреса (режим ознакомления)

Вопрос: Что представляет собой возможность использования собственного IP‑адреса?

Возможность использования собственного IP‑адреса позволяет клиентам перемещать (частично или полностью) свое адресное пространство IPv4 с публичной маршрутизацией в AWS для использования со своими ресурсами AWS. Клиенты будут продолжать владеть своим диапазоном IP‑адресов, а AWS возьмет на себя задачу оповещения об этом диапазоне IP‑адресов в Интернете. Клиенты могут создавать эластичные IP‑адреса из пространства IP‑адресов, которое они добавили в AWS, и использовать их с инстансами EC2, шлюзами NAT и балансировщиками Network Load Balancer. Клиенты по‑прежнему будут иметь доступ к IP‑адресам, предоставляемым Amazon, и смогут выбирать, какие IP‑адреса использовать: собственные IP‑адреса, IP‑адреса, предоставляемые Amazon, или и те, и другие.

Вопрос: В каких случаях стоит использовать собственные IP‑адреса?

Добавлять свои собственные IP‑адреса в AWS может потребоваться по следующим причинам.

Репутация IP. Многие клиенты считают, что репутация IP‑адресов являются стратегическим активом, и поэтому хотят использовать собственные IP‑адреса для своих ресурсов в AWS. Например, клиенты, которые обслуживают такие сервисы, как агенты передачи сообщений исходящей электронной почты с IP‑адресами высокой репутации, теперь могут использовать свое пространство IP‑адресов и успешно поддерживать имеющийся уровень успешности отправки.

Белый список клиентов. Использование собственных IP‑адресов также позволяет клиентам переносить в AWS устаревшие рабочие нагрузки, использующие белый список IP‑адресов, без необходимости ручной адресации и перенастройки клиентских подключений.

Жестко заданные зависимости. У некоторых клиентов могут существовать устройства с жестко заданными IP‑адресами или архитектурные зависимости от таких IP‑адресов. Использование собственного IP‑адреса позволяет таким клиентам беспрепятственно выполнить миграцию в AWS.

Регулирование и соответствие требованиям. Многие клиенты должны использовать определенные IP‑адреса из‑за существующих норм или требований. Возможность использования собственного IP‑адреса в этом случае позволит им обеспечить нормальную работу.

Вопрос: Как применить на практике возможность использования собственного IP‑адреса?

В настоящее время возможность использования собственного IP‑адреса доступна в режиме ознакомления. Вы можете зарегистрироваться здесь и заполнить анкету. После выбора клиентов для режима ознакомления вы получите сообщение по электронной почте с информацией о дальнейших шагах.

Вопрос: Как использовать IP‑адреса с префиксом собственных IP‑адресов с ресурсами AWS?

Префикс собственных IP‑адресов будет отображаться в пуле IP‑адресов соответствующего аккаунта. Это дает возможность создавать эластичные IP‑адреса (EIP) из пула IP‑адресов и использовать их как обычные EIP с любым ресурсом AWS, поддерживающим EIP. На данный момент EIP поддерживают инстансы EC2, шлюзы NAT и балансировщики Network Load Balancer.

Вопрос: Что произойдет, если я освобожу EIP из диапазона собственных IP‑адресов?

При освобождении EIP из диапазона собственных IP‑адресов он возвращается в пул собственных IP‑адресов, из которого был выделен.

Вопрос: В каком регионе возможность использования собственного IP‑адреса доступна в режиме ознакомления?

В настоящее время эта возможность доступна в режиме ознакомления в регионе Запад США (Орегон).

Вопрос: Можно ли использовать префикс собственных IP‑адресов в нескольких VPC одного аккаунта?

Да. Использовать префикс собственных IP‑адресов можно для любого количества VPC в одном аккаунте.

Вопрос: Сколько диапазонов IP‑адресов можно добавить с помощью возможности использования собственного IP‑адреса?

В аккаунт можно добавить не более пяти диапазонов IP‑адресов.

Вопрос: Какой наиболее специфический префикс можно добавить с помощью использования собственного IP‑адреса?

Наиболее специфическим префиксом, который можно добавить с помощью использования собственного IP‑адреса, является префикс /24 для IPv4.

Вопрос: Какие префиксы RIR можно применять при использовании собственного IP‑адреса?

В ознакомительном режиме разрешено использовать только зарегистрированные префиксы American Registry for Internet Numbers (ARIN).

Вопрос: Можно ли добавить переназначенный или перераспределенный префикс?

На данный момент использование переназначенных или перераспределенных префиксов не допускается. Диапазоны IP‑адресов должны быть результатом прямого распределения или прямого назначения.

Вопрос: Можно ли использовать префикс собственных IP‑адресов в нескольких VPC одного аккаунта?

Да. Использовать префикс собственных IP‑адресов можно для любого количества VPC в одном аккаунте.

Дополнительные вопросы

Вопрос: Можно ли использовать Консоль управления AWS для управления Amazon VPC?

Да. Консоль управления AWS можно использовать для управления объектами Amazon VPC: VPC, подсетями, таблицами маршрутизации, интернет‑шлюзами и VPN‑подключениями IPSec. Кроме того, можно применить простой мастер создания VPC.

Вопрос: Какое количество VPC, подсетей, эластичных IP‑адресов, интернет‑шлюзов, пользовательских шлюзов, виртуальных частных шлюзов и VPN‑подключений можно создать?

Можно создать:

  • 5 (пять) облаков Amazon VPC на один аккаунт AWS в регионе;
  • 200 (двести) подсетей на одно облако Amazon VPC;
  • 5 (пять) эластичных IP‑адресов Amazon VPC на один аккаунт AWS в регионе;
  • 1 (один) интернет‑шлюз на облако VPC;
  • 5 (пять) виртуальных частных шлюзов на один аккаунт AWS в регионе;
  • 50 (пятьдесят) пользовательских шлюзов на один аккаунт AWS в регионе;
  • 10 (десять) VPN‑подключений IPsec на один виртуальный частный шлюз.

Подробную информацию о лимитах VPC см. в Руководстве пользователя VPC.

Вопрос: Распространяется ли действие соглашения об уровне обслуживания (SLA) на VPN‑подключение Amazon VPC?

В настоящее время нет. 

Вопрос: Можно ли обращаться в AWS Support по вопросам, связанным с работой Amazon VPC?

Да. Нажмите здесь, чтобы получить дополнительную информацию о AWS Support.

Вопрос: Можно ли управлять Amazon VPC с помощью расширения ElasticFox?

Расширение ElasticFox для управления облаком Amazon VPC больше официально не поддерживается. Поддержка Amazon VPC осуществляется через API AWS, инструменты командной строки и Консоль управления AWS, а также различные служебные программы сторонних разработчиков.

 

Готовы начать работу?
Регистрация
Есть вопросы?
Свяжитесь с нами