Amazon VPC: вопросы и ответы

Вопрос: Что такое Amazon Virtual Private Cloud?

Amazon VPC позволяет выделить логически изолированный раздел облака Amazon Web Services (AWS), чтобы запускать в его рамках ресурсы AWS в заданной виртуальной сети. Пользователь полностью контролирует свою среду виртуальной сети, в том числе может выбирать собственные диапазоны IP‑адресов, создавать подсети, настраивать таблицы маршрутизации и сетевые шлюзы. Кроме того, с помощью аппаратной частной виртуальной сети (VPN) можно создать подключение между корпоративным центром обработки данных и VPC и использовать облако AWS для расширения возможностей корпоративного центра обработки данных.

Сетевую конфигурацию Amazon VPC можно просто настроить по своему усмотрению. Например, можно создать публичную подсеть с выходом в Интернет для веб‑серверов, а внутренние системы, такие как базы данных или сервера приложений, расположить в частной подсети без доступа к Интернету. Сервис обеспечивает многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа (NACL). Такая система позволяет контролировать доступ к инстансам Amazon EC2 в каждой подсети.

Вопрос: Из каких компонентов состоит Amazon VPC?

Amazon VPC состоит из различных объектов, знакомых нашим клиентам по опыту работы с другими сетями.

• Virtual Private Cloud – логически изолированная виртуальная сеть в облаке AWS. Пространство IP‑адресов облака VPC задается из выбранных клиентом диапазонов адресов.
• Подсеть – сегмент диапазона IP‑адресов VPC, в котором можно разместить группы изолированных ресурсов.
• Интернет‑шлюз – сторона Amazon VPC при подключении к публичному Интернету.
• Шлюз NAT – высокодоступный управляемый сервис трансляции сетевых адресов (NAT) для обеспечения доступа к Интернет‑ресурсам в частных подсетях.
• Шлюз виртуальной частной сети – сторона Amazon VPC при VPN‑подключении.
• Пиринговое подключение позволяет маршрутизировать трафик между двумя одноранговыми VPC посредством частных IP‑адресов.
• Адреса VPC обеспечивают частный доступ к сервисам, размещенным на AWS, из VPC без использования интернет‑шлюза, VPN, устройств для трансляции сетевых адресов (NAT) или прокси‑серверов брандмауэра.
• Выходной интернет‑шлюз – шлюз с фиксацией состояния для IPv6‑трафика, представляющий доступ на выход из облака VPC в Интернет.

1. «Amazon VPC with a single public subnet only» (Облако Amazon VPC, состоящее из одной публичной подсети);
2. «Amazon VPC with public and private subnets» (Облако Amazon VPC, включающее публичные и частные подсети);
3. «Amazon VPC with public and private subnets and AWS Site‑to‑Site VPN access» (Облако Amazon VPC с частными и публичными подсетями и подключением AWS VPN по схеме site‑to‑site);
4. «Amazon VPC with a private subnet only and AWS Site‑to‑Site VPN access» (Облако Amazon VPC с частной подсетью и подключением AWS VPN по схеме site‑to‑site).

Вопрос: Каков принцип оплаты использования Amazon VPC?

Плата за создание и использование самого облака VPC не взимается. Плата за пользование прочими сервисами Amazon Web Services, включая Amazon EC2, начисляется по опубликованным тарифам на соответствующие ресурсы, включая плату за передачу данных. Если облако VPC подключается к корпоративному ЦОД посредством дополнительного аппаратного VPN‑подключения, плата будет взиматься за час VPN‑подключения (по количеству времени, в течение которого VPN‑подключение находилось в активном состоянии). Неполные часы использования оплачиваются как полные. Плата за данные, переданные через VPN‑подключение, будет взиматься по стандартным тарифам AWS на передачу данных. Информацию о ценах на VPC‑VPN см. в разделе цен на странице описания Amazon VPC.

Вопрос: Как будет начисляться оплата за пользование прочими сервисами AWS, такими как Amazon S3 для инстансов Amazon EC2 в облаке VPC?

Плата за использование прочих сервисов Amazon Web Services, включая Amazon EC2, начисляется по опубликованным тарифам на соответствующие ресурсы. Плата за передачу данных не взимается, если доступ к сервисам Amazon Web Services, таким как Amazon S3, осуществляется через интернет‑шлюз VPC.

Если доступ к ресурсам AWS будет осуществляться через VPN‑подключение, плата будет начисляться по тарифам за передачу данных через Интернет.

Вопрос: Ваши цены указаны с учетом налогов?

Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии. Подробнее.

Вопрос: Какие варианты подключения существуют для облака Amazon VPC?

Облако Amazon VPC можно подключить:

• к сети Интернет (через интернет‑шлюз);
• к корпоративному ЦОД с помощью подключения AWS VPN по схеме site‑to‑site (через шлюз виртуальной частной сети);
• одновременно к сети Интернет и корпоративному ЦОД (используя как интернет‑шлюз, так и шлюз виртуальной частной сети);
• к прочим сервисам AWS (через интернет‑шлюз, NAT, шлюз виртуальной частной сети или адреса сервера VPC);
• к другим VPC (через пиринговое подключение VPC).

1. Инстансы без публичных IP‑адресов для доступа в Интернет могут направлять свой трафик через шлюз NAT или инстанс NAT. Такие инстансы для доступа в Интернет используют публичные IP‑адреса шлюза NAT или инстанса NAT. Шлюз NAT или инстанс NAT позволяет выполнять исходящие подключения, но не позволяет другим компьютерам в Интернете инициировать соединение с инстансами, имеющими частные адреса
2. В случае облака VPC с аппаратным VPN‑подключением или с подключением Direct Connect интернет‑трафик инстансов можно маршрутизировать через виртуальный частный шлюз к существующему ЦОД. Оттуда трафик будет попадать в Интернет через существующие выходные точки и устройства безопасности и мониторинга сети.

Вопрос: Какой диапазон IP‑адресов можно использовать в рамках облака Amazon VPC?

Можно использовать любой диапазон адресов IPv4, включая RFC 1918, или диапазоны IP‑адресов с публичной маршрутизацией для первичного блока CIDR. Для вторичных блоков CIDR применяются некоторые ограничения. Доступ к блокам IP‑адресов с публичной маршрутизацией возможен только через виртуальный частный шлюз; к ним не удастся получить доступ через Интернет с помощью интернет‑шлюза. Сервис AWS не передает информацию о пользовательских блоках IP‑адресов в Интернет. До пяти блоков GUA CIDR IPv6, предоставленных Amazon или по модели BYOIP, можно назначить облаку VPC через Консоль управления AWS или посредством соответствующего вызова API.

Вопрос. Как назначить диапазон IP‑адресов для облака Amazon VPC?

В качестве первичного блока CIDR при создании VPC назначается один диапазон IP‑адресов бесклассовой междоменной маршрутизации (CIDR), а после создания VPC можно добавить до четырех (4) вторичных блоков CIDR. Адреса подсетей в рамках облака VPC задаются из этого диапазона IP‑адресов CIDR. Обратите внимание: если создать несколько VPC с перекрывающимися диапазонами IP‑адресов, подключить эти VPC к обычным локальным сетям через аппаратное VPN‑подключение будет невозможно. Для таких целей рекомендуется использовать неперекрывающиеся диапазоны IP‑адресов. Для своего VPC можно выделить до пяти блоков CIDR IPv6, предоставленных Amazon или по модели BYOIP.

Вопрос. Какие диапазоны IP‑адресов назначены для облака Amazon VPC по умолчанию?

По умолчанию для VPC назначен следующий диапазон CIDR: 172.31.0.0/16. Подсети по умолчанию в рамках VPC по умолчанию назначаются в сетевых блоках /20 в рамках диапазона CIDR VPC. 

Вопрос: Можно ли передавать свой публичный диапазон IP‑адресов VPC в Интернет и маршрутизировать трафик через ЦОД к облаку Amazon AWS, используя подключение AWS VPN по схеме site‑to‑site?

Да, можно выполнять маршрутизацию трафика через подключение AWS VPN по схеме site‑to‑site и передавать информацию о диапазоне IP‑адресов из локальной сети.

Вопрос. Можно ли использовать собственные IP-адреса в рамках VPC и получать к ним доступ через Интернет? 

Да, в AWS VPC можно использовать собственные публичные адреса IPv4 и GUA-адреса IPv6 и настроить для них статичную связь с подсетями и инстансами EC2. Чтобы получить доступ к этим адресам через Интернет, необходимо анонсировать их из собственной локальной сети. Кроме того, необходимо настроить маршрутизацию трафика к этим адресам между своим облаком VPC и локальной средой, используя подключение AWS Direct Connect или AWS VPN. Для маршрутизации трафика из облака VPC можно использовать Virtual Private Gateway. Аналогичным образом можно направлять трафик из локальной сети обратно в VPC с помощью собственных маршрутизаторов.

Вопрос: Насколько крупные VPC можно создавать?

В настоящее время Amazon VPC поддерживает 5 (пять) диапазонов IP‑адресов IPv4: 1 (один) первичный и 4 (четыре) вторичных. Каждый из этих диапазонов может быть размером от /28 и до /16 (в представлении CIDR). Диапазон IP‑адресов VPC не должен перекрывать диапазоны адресов существующей сети.

Для IPv6 VPC имеет фиксированный размер /56 (в представлении CIDR). В VPC могут быть представлены и блоки CIDR IPv4, и блоки CIDR IPv6.

Вопрос: Можно ли изменить размер VPC?

Да. Существующее облако VPC можно расширить, добавив к нему 4 (четыре) вторичных диапазона адресов IPv4 (блоков CIDR). Можно уменьшить VPC, удалив вторичные блоки CIDR, которые были добавлены в VPC.   Также в VPC можно добавить до пяти (5) дополнительных диапазонов IP IPv6 (CIDR).  Вы можете уменьшить VPC, удалив эти дополнительные диапазоны.

Вопрос. Сколько подсетей можно создать для одного VPC?

В настоящее время в одном VPC можно создавать до 200 подсетей. Если требуется создать большее количество подсетей, отправьте запрос в центр поддержки.

Вопрос: Существуют ли ограничения, связанные с размером подсети?

Минимальный размер подсети – /28 (или 14 IP‑адресов) для IPv4. Размер подсети не может превышать размер облака VPC, в котором она создается.

Для IPv6 размер подсети всегда составляет /64. Подсети может быть назначен только один блок CIDR IPv6.

Вопрос: Можно ли использовать все IP‑адреса, которые назначены для подсети?

Нет. Amazon резервирует первые четыре IP‑адреса и последний IP‑адрес каждой из подсетей в целях надлежащей работы протокола IP. 

Вопрос: Можно ли назначить частные IP‑адреса инстансам Amazon EC2 в рамках облака VPC?

Во время запуска инстанса Amazon EC2 в рамках подсети, предназначенной не только для IPv6, можно дополнительно задать основной частный IPv4‑адрес инстанса. Если основной частный IPv4‑адрес инстанса не будет задан, AWS автоматически присвоит ему адрес из диапазона IPv4‑адресов, назначенного для данной подсети. Вы можете назначить дополнительный частный IPv4‑адрес во время запуска инстанса, при создании эластичного сетевого интерфейса или в любой момент после запуска инстанса или создания интерфейса. При запуске инстанса Amazon EC2 в пределах подсети, предназначенной только для IPv6, AWS автоматически обращается к нему с предоставленного Amazon адреса подсети IPv6 GUA CIDR. Адреса инстанса IPv6 GUA останутся частными, если вы не обеспечите их доступ в Интернет и доступность из Интернета, выбрав правильную группу безопасности, NACL и настройки таблицы маршрутизации. 

Вопрос. Можно ли изменять частные IP‑адреса инстанса Amazon EC2, когда он запущен и/или остановлен в VPC?

Основной частный IPv4-адрес инстанса, запущенного в IPv4 или подсети с «двойным стеком», остается неизменным в течение жизненного цикла инстанса или интерфейса. Дополнительные частные IPv4‑адреса можно назначать, отменять, а также перемещать между интерфейсами или инстансами в любой момент. Присвоенный адрес IPv6 GUA инстанса, запущенного в пределах подсети, предназначенной только для IPv6, также является первым IP-адресом главной сети инстанса, и его можно изменить в любой момент, привязав новый адрес и убрав старый.

Вопрос. Если инстанс Amazon EC2 в VPC будет остановлен, получится ли запустить другой инстанс с тем же IP‑адресом в рамках того же VPC?

Нет. IPv4‑адрес, назначенный запущенному инстансу, можно использовать повторно только в том случае, если исходный инстанс перешел в состояние «terminated» (завершен). Но адрес IPv6 GUA, назначенный запущенному инстансу, можно убрать с текущего инстанса и использовать повторно на другом.

Вопрос. Можно ли назначать IP‑адреса одновременно нескольким инстансам?

Нет. IP‑адрес можно указать только для одного инстанса в момент его запуска.

Вопрос: Можно ли назначить инстансу произвольный IP‑адрес?

Инстансу можно назначать любые IP‑адреса, отвечающие следующим условиям:

• являются частью диапазона IP‑адресов из связанной подсети;
• не зарезервированы Amazon в целях надлежащей работы протокола IP;
• в настоящее время не назначены другому интерфейсу.

Вопрос: Можно ли назначить несколько IP‑адресов одному инстансу?

Да. Эластичному сетевому интерфейсу или инстансу EC2 в облаке Amazon VPC можно назначить один или несколько дополнительных частных IP‑адресов. Количество дополнительных частных IP‑адресов, которое можно назначить инстансу, зависит от его типа. Для получения дополнительной информации о количестве дополнительных частных IP‑адресов, присваиваемых определенным типам инстансов, см. Руководство пользователя EC2.

Вопрос: Можно ли назначить один или несколько эластичных IP‑адресов (EIP) инстансам Amazon EC2, работающим в VPC?

Да, но стоит учесть, что адреса EIP будут доступны только из Интернета (не будут доступны через VPN‑подключение). Каждый эластичный IP‑адрес должен быть связан с уникальным частным IP‑адресом инстанса. Эластичные IP‑адреса следует использовать только для инстансов в подсетях, настроенных на маршрутизацию трафика непосредственно через интернет‑шлюз. EIP‑адреса невозможно использовать для инстансов в подсетях, если для доступа в Интернет используется инстанс NAT или шлюз NAT. Все указанное применимо только для IPv4. В настоящее время Amazon VPC не поддерживают эластичные IP‑адреса для IPv6.

Вопрос: Что представляет собой возможность использования собственного IP‑адреса?

Возможность использования собственного IP‑адреса, или BYOIP, позволяет клиентам перемещать (частично или полностью) свое адресное пространство IPv4 или IPv6 с публичной маршрутизацией в AWS для использования со своими ресурсами AWS. Диапазон IP-адресов будет по-прежнему принадлежать клиентам. Клиенты могут создавать эластичные IP‑адреса из пространства IPv4, которое они добавили в AWS, и использовать их с инстансами EC2, шлюзами NAT и балансировщиками Network Load Balancer. Клиенты также могут связывать до пяти CIDR с VPC из пространства IPv6, которое они добавили в AWS. Доступ к IP‑адресам, предоставляемым Amazon, при этом сохраняется, и клиенты могут выбирать, что использовать: эластичные IP‑адреса BYOIP, предоставляемые Amazon IP‑адреса или и те, и другие.

Вопрос: Зачем использовать BYOIP?

Добавлять собственные IP‑адреса в AWS может потребоваться по указанным ниже причинам.
Репутация IP. Многие клиенты считают, что репутация IP‑адресов является стратегическим активом, и поэтому хотят использовать собственные IP‑адреса для своих ресурсов в AWS. Например, клиенты, которые обслуживают такие сервисы, как агенты передачи сообщений исходящей электронной почты с IP‑адресами с высокой репутацией, теперь могут использовать свое пространство IP‑адресов и поддерживать имеющийся уровень успешности отправки.

Добавление IP-адресов в белый список. BYOIP также позволяет клиентам переместить в AWS рабочие нагрузки, которые зависят от белых списков IP-адресов, не переделывая эти списки.

Жестко заданные зависимости. У некоторых клиентов могут существовать устройства с жестко заданными IP‑адресами или архитектурные зависимости от таких IP‑адресов. BYOIP позволяет таким клиентам беспрепятственно выполнить миграцию в AWS.

Регулирование и соответствие требованиям. Многие клиенты должны использовать определенные IP‑адреса из‑за существующих норм или требований. BYOIP позволяет открыть доступ к этим IP‑адресам.

В соответствии с политикой локальной сети IPv6 многие клиенты могут направлять в свою локальную сеть только адреса IPv6. BYOIP позволяет открыть доступ для этих клиентов при назначении собственного диапазона адресов IPv6 для VPC и его направлении в локальную сеть через Интернет или Direct Connect.

Вопрос. Как использовать IP‑адреса из префикса BYOIP с ресурсами AWS?

Префикс BYOIP будет отображаться в аккаунте в виде пула IP‑адресов. Это дает возможность создавать эластичные IP‑адреса (EIP) из пула IPv4 и использовать их как обычные EIP с любым ресурсом AWS, поддерживающим EIP. На данный момент использование EIP поддерживают инстансы EC2, шлюзы NAT и балансировщики Network Load Balancer. Можно связать CIDR из пула IPv6 с собственным VPC. Адреса IPv6, добавленные с помощью BYOIP, работают по тому же принципу, что и адреса IPv6, предоставляемые Amazon. Например, адреса IPv6 можно связать с подсетями, эластичными сетевыми интерфейсами (ENI) и инстансами EC2 в пределах VPC.

Вопрос. Что произойдет, если я освобожу эластичный IP‑адрес из диапазона BYOIP?

При освобождении эластичного IP‑адреса из диапазона BYOIP он возвращается в пул IP‑адресов BYOIP, из которого был выделен.

Вопрос: В каких регионах AWS можно использовать BYOIP?

Эта возможность на данный момент доступна в следующих регионах: Африка (Кейптаун), Азия и Тихий океан (Гонконг), Азия и Тихий океан (Джакарта), Азиатско-Тихоокеанский регион (Мумбай), Азиатско-Тихоокеанский регион (Осака), Азиатско-Тихоокеанский регион (Сидней), Азиатско-Тихоокеанский регион (Токио), Азиатско-Тихоокеанский регион (Сеул), Азиатско-Тихоокеанский регион (Сингапур), Канада (Центральная), Европа (Дублин), Европа (Франкфурт), Европа (Лондон), Европа (Милан), Европа (Париж), Европа (Стокгольм), Ближний Восток (Бахрейн), Ближний Восток (ОАЭ), Южная Америка (Сан-Паулу), Запад США (Северная Калифорния), Восток США (Северная Вирджиния), Восток США (Огайо), Запад США (Орегон), AWS GovCloud (США – запад) и AWS GovCloud (США – восток).

Вопрос. Можно ли использовать префикс BYOIP в нескольких VPC в рамках одного аккаунта?

Да. Префикс BYOIP можно использовать с любым количеством VPC в одном аккаунте.

Вопрос: Сколько диапазонов IP‑адресов можно добавить с помощью BYOIP?

В один аккаунт можно добавить не более пяти диапазонов IP‑адресов.

Вопрос: Какой наиболее специфический префикс можно добавить с помощью BYOIP?

Наиболее специфические префиксы, которые можно добавить с помощью BYOIP, – это префикс IPv4 /24 и префикс IPv6 /56. Если вы планируете транслировать префикс Ipv6 в Интернет, наиболее специфическим префиксом IPv6 является /48.

Вопрос. Какие префиксы RIR можно использовать для BYOIP?

Использовать можно зарегистрированные префиксы ARIN, RIPE и APNIC.

Вопрос: Можно ли добавить переназначенный или перераспределенный префикс?

На данный момент использование переназначенных или перераспределенных префиксов не допускается. Диапазоны IP‑адресов должны быть результатом прямого распределения или прямого назначения.

Вопрос: Можно ли перенести префикс BYOIP из одного региона AWS в другой?

Да. Вы можете это сделать, отменив выделение префикса BYOIP для текущего региона и выделив этот префикс для нового региона.

Вопрос. Что такое VPC IP Address Manager (IPAM)?
Amazon VPC IP Address Manager (IPAM) – это управляемый сервис, который упрощает планирование, отслеживание и мониторинг IP-адресов для рабочих нагрузок AWS. С помощью IPAM можно легко организовать IP-адреса на основе ваших потребностей в маршрутизации и безопасности, а также установить простые бизнес-правила для управления назначением IP-адресов. Вы также можете автоматизировать назначение IP-адресов VPC, избавляясь от необходимости использовать электронные таблицы или собственные приложения для планирования IP-адресов, которые могут быть сложными в обслуживании и занимать много времени. IPAM обеспечивает единое операционное представление, которое можно использовать как единственный источник достоверной информации, позволяющий быстро и эффективно выполнять рутинные действия по управлению IP-адресами, такие как отслеживание использования IP, устранение неполадок и аудит.

Вопрос. Почему стоит использовать IPAM?
IPAM стоит использовать для того, чтобы сделать управление IP-адресами более эффективным. Существующие механизмы, использующие электронные таблицы или инструменты собственной разработки, требуют ручной работы и подвержены ошибкам. С помощью IPAM, например, вы можете быстрее развертывать приложения, поскольку вашим разработчикам больше не нужно ждать, пока централизованная группа администрирования IP-адресов выделит IP-адреса. Вы также можете обнаруживать перекрывающиеся IP-адреса и исправлять их до того, как произойдет сбой в сети. Кроме того, вы можете создавать оповещения для IPAM с целью уведомления о скором исчерпании пулов адресов или несоответствии ресурсов правилам распределения, установленным для пула. Вот некоторые из многих причин, по которым вам следует использовать IPAM.

Вопрос. Какие основные возможности предусматривает IPAM?
AWS IPAM предлагает указанные ниже возможности.

• Выделение IP-адресов для крупномасштабных сетей. IPAM может автоматизировать выделение IP-адресов для сотен аккаунтов и VPC на основе настраиваемых бизнес-правил.
  
• Мониторинг использования IP-адресов в сети. IPAM может отслеживать IP-адреса и позволяет вам получать оповещения, когда IPAM обнаруживает потенциальные проблемы, такие как исчерпание IP-адресов, которые могут остановить рост сети, или перекрывающиеся IP-адреса, которые могут привести к ошибочной маршрутизации.
  
• Устранение неполадок в сети. IPAM может помочь вам быстро определить, вызваны ли проблемы с подключением неправильной настройкой IP-адреса или другими проблемами.
  
• Аудит IP-адресов. IPAM автоматически сохраняет данные мониторинга IP-адреса (максимум до трех лет). Вы можете использовать эти исторические данные для проведения ретроспективного анализа и аудита сети.

Вопрос. Из каких основных компонентов состоит IPAM?
Основные компоненты IPAM указаны ниже.

• Область действия – контейнер самого высокого уровня в IPAM. IPAM содержит две области по умолчанию. Каждая область действия представляет пространство IP для одной сети. Частная область действия предназначена для всего частного пространства. Публичная область действия предназначена для всего публичного пространства. Области действия позволяют повторно использовать IP-адреса в нескольких неподключенных сетях, не вызывая перекрытия или конфликта IP-адресов. В пределах области можно создавать пулы IPAM.
  
• Пул – это набор смежных диапазонов IP-адресов (или CIDR). Пулы IPAM позволяют организовать IP-адреса в соответствии с вашими потребностями в маршрутизации и безопасности. Вы можете иметь несколько пулов в пуле верхнего уровня. Например, если у вас есть отдельные потребности в маршрутизации и безопасности для приложений разработки и производства, вы можете создать пул для каждого из них. В пулах IPAM вы выделяете CIDR для ресурсов AWS.
• Выделение – это назначение CIDR из пула IPAM другому ресурсу или пулу IPAM. Когда вы создаете VPC и выбираете пул IPAM для CIDR VPC, CIDR выделяется из CIDR, подготовленного для пула IPAM. Вы можете отслеживать и управлять выделением с помощью IPAM.

Вопрос. Поддерживает ли IPAM собственные IP (BYOIP)?
Да. IPAM поддерживает адреса BYOIPv4 и BYOIPv6. BYOIP – это функция EC2, позволяющая перенести принадлежащие вам IP-адреса в AWS. С помощью IPAM вы можете напрямую выделять блоки IP-адресов и делиться ими между учетными записями и организациями. Существующие клиенты BYOIP, использующие IPv4, могут перенести свои пулы в IPAM, чтобы упростить управление IP.

Вопрос: Можно ли указать шлюзы, используемые по умолчанию конкретными подсетями?

Да. Для каждой подсети можно создать маршрут по умолчанию. Маршрут по умолчанию может направлять трафик на выход из VPC через шлюз Интернета, шлюз виртуальной частной сети или шлюз NAT.

Вопрос: Как обеспечить безопасность инстансов Amazon EC2, работающих в VPC?

Для обеспечения безопасности инстансов в Amazon VPC можно использовать группы безопасности Amazon EC2. Группы безопасности VPC позволяют указать как входящий, так и исходящий сетевой трафик, разрешенный для обмена с инстансом Amazon EC2. Трафик, явным образом не разрешенный для обмена с инстансом, автоматически блокируется.

Помимо групп безопасности, с помощью списков контроля доступа (ACL) к сети можно разрешить или запретить сетевой трафик (входящий и/или исходящий) каждой подсети.

Вопрос: Каковы различия между группами безопасности и сетевыми списками ACL в VPC?

Группы безопасности VPC определяют трафик, разрешенный для обмена с инстансом Amazon EC2. Сетевые ACL работают на уровне подсети и выполняют оценку входящего и исходящего трафика. Сетевые ACL можно использовать для создания как разрешающих, так и запрещающих правил. Сетевые ACL не фильтруют трафик для инстансов в рамках одной подсети. Кроме того, сетевые ACL выполняют фильтрацию без фиксации состояния, а группы безопасности выполняют фильтрацию с фиксацией состояния.

Вопрос: В чем различие между фильтрацией без фиксации состояния и фильтрацией с фиксацией состояния?

Фильтрация с фиксацией состояния отслеживает источник запроса и может автоматически разрешить отправку ответа на запрос к компьютеру‑источнику. Например, фильтр с фиксацией состояния, отвечающий за прохождение входящего трафика через TCP‑порт 80 веб‑сервера, разрешит прохождение обратного трафика, обычно через порт с более высоким номером (например, TCP‑порт получателя 63 912), через фильтр с фиксацией состояния, расположенный между клиентом и веб‑сервером. Фильтрующее устройство поддерживает таблицу состояний, в которую заносятся номера портов и IP‑адреса источника и получателя. Фильтрующее устройство должно содержать всего одно правило: разрешать трафик, входящий на веб‑сервер через TCP‑порт 80.

Фильтрация без фиксации состояния проверяет только IP‑адреса источника и получателя и порт назначения; она не определяет, является трафик новым запросом или ответом на запрос. В вышеуказанном примере необходимо применить два правила для фильтрующего устройства: первое правило – разрешить трафик, входящий на веб‑сервер через TCP‑порт 80, и второе правило – разрешить трафик, исходящий от веб‑сервера (диапазон TCP‑портов: 49 152–65 535).

Вопрос: Можно ли использовать пары ключей SSH, созданные для инстансов в Amazon EC2, в Amazon VPC, и наоборот?

Да.

Вопрос: Могут ли инстансы Amazon EC2, работающие в рамках VPC, обмениваться данными с инстансами Amazon EC2, не входящими в VPC?

Да. Если настроен интернет‑шлюз, трафик Amazon VPC для инстансов Amazon EC2, не входящих в VPC, пройдет через интернет‑шлюз и затем попадет в публичную сеть AWS, откуда сможет достичь нужного инстанса EC2. Если интернет‑шлюз не был настроен или если инстанс находится в подсети, маршрутизация которой выполняется через виртуальный частный шлюз, трафик пройдет через VPN‑подключение, выйдет через ЦОД, а затем повторно войдет в публичную сеть AWS.

Вопрос: Могут ли инстансы Amazon EC2 в облаке VPC, расположенные в одном регионе, обмениваться данными с инстансами Amazon EC2 в облаке VPC, расположенными в другом регионе?

Да. Инстансы в одном регионе могут обмениваться данными друг с другом посредством межрегионального пирингового подключения VPC, публичных IP‑адресов, шлюзов NAT, инстансов NAT, VPN‑подключений или подключений Direct Connect.

Вопрос: Могут ли инстансы Amazon EC2, работающие в VPC, обмениваться данными с Amazon S3?

Да. Существует несколько вариантов организации обмена данными между ресурсами, находящимися в облаке VPC, и сервисом Amazon S3. Можно использовать адрес VPC для S3, который позволяет убедиться в том, что весь трафик остается в рамках сети Amazon, и применять дополнительные политики доступа к трафику Amazon S3. Для организации доступа в Интернет из облака VPC, а также обмена данными между инстансами облака VPC и сервисом Amazon S3 можно использовать интернет‑шлюз. Можно также направить весь трафик в Amazon S3 через Direct Connect или VPN‑подключение для выхода из ЦОД и повторного входа в публичную сеть AWS.

Вопрос: Можно ли отслеживать сетевой трафик в своем VPC?

Да. Чтобы отслеживать сетевой трафик в Amazon VPC, можно использовать зеркалирование трафика Amazon VPC и журналы Amazon VPC Flow Logs.

Вопрос. Что такое журналы потоков Amazon VPC?

Журналы потоков VPC – это функция, которая позволяет захватывать информацию об IP‑трафике, идущем к сетевым интерфейсам в VPC или от них. Данные из журналов потоков можно публиковать либо в журналах Amazon CloudWatch Logs, либо в Amazon S3. Мониторинг журналов потоков VPC обеспечивает операционный контроль сетевых зависимостей и моделей трафика, выявление аномалий и предотвращение утечки данных или устранение неполадок сетевых подключений и проблем конфигурации. Обогащенные метаданные в журналах потоков дают дополнительную аналитическую информацию об инициаторе TCP-подключений, фактическом источнике на уровне пакетов и точке назначения трафика, проходящего по средним уровням, таким как шлюз NAT. Можно также архивировать журналы потоков. Это поможет выполнить определенные нормативные требования. Подробнее о журналах потоков Amazon VPC см. в документации.

Вопрос. Как пользоваться журналами потоков VPC?

Вы можете создать журнал потоков для VPC, подсети или сетевого интерфейса. Если вы создаете журнал потоков для подсети или VPC, каждый сетевой интерфейс в этой подсети или в этом VPC отслеживается. Создавая подписку на журнал потоков, вы можете выбрать поля метаданных, которые требуется захватывать, максимальный период агрегирования и предпочитаемый тип журнала. Также можно выбрать, следует ли захватывать весь трафик или только принятый или отклоненный. Для анализа журналов потоков VPC, доставляемых в журналы CloudWatch Logs, вы можете пользоваться такими инструментами, как CloudWatch Log Insights или CloudWatch Contributor Insights. Для опроса и визуализации журналов потоков VPC, доставляемых в Amazon S3, вы можете пользоваться такими инструментами, как Amazon Athena или AWS QuickSight. Для анализа журналов вы можете создать подчиненное пользовательское приложение или воспользоваться партнерскими решениями, такими как Splunk, Datadog, Sumo Logic, Cisco StealthWatch, Checkpoint CloudGuard, New Relic и другими.

Вопрос. Поддерживают ли журналы потоков VPC Транспортный шлюз AWS?

Да, вы можете создать журнал потока VPC для транзитного шлюза или для отдельного вложения транзитного шлюза. С помощью этой функции транспортный шлюз может экспортировать подробную информацию, такую как IP-адреса источника/назначения, порты, протокол, счетчики трафика, временные метки и различные метаданные для сетевых потоков, проходящих через транспортный шлюз. Подробнее о поддержке журналов потоков Amazon VPC для транзитного шлюза см. в документации.

Вопрос. Влияет ли использование журналов потоков на задержку или производительность сети?

Данные из журналов потоков собираются вне сетевого трафика и поэтому не влияют на пропускную способность или задержку сети. Вы можете создавать или удалять журналы потоков, те рискуя повлиять на производительность сети.

Вопрос. Сколько стоит использование журналов потоков VPC?

За публикацию журналов потоков в CloudWatch Logs или Amazon S3 взимается плата за прием и архивирование данных. Подробную информацию и примеры см. на странице цен на Amazon CloudWatch. С помощью тегов распределения расходов можно отслеживать оплату в журналах протоколов.

Вопрос: Что из себя представляет зеркалирование трафика Amazon VPC?

Возможность зеркалирования трафика Amazon VPC позволяет клиентам просто реплицировать входящий и исходящий сетевой трафик инстанса Amazon EC2 и перенаправлять трафик к внеполосным устройствам мониторинга и обеспечения безопасности, когда необходимо инспектировать контент, отслеживать угрозы, выявлять и устранять неисправности. Такие устройства можно развертывать на одном или нескольких инстансах EC2, размещенных за балансировщиком Network Load Balancer (NLB) с получателем протокола UDP.

Вопрос: Как работает зеркалирование трафика Amazon VPC?

Возможность зеркалирования трафика копирует сетевой трафик с эластичного сетевого интерфейса (ENI) инстансов EC2 в Amazon VPC. Зеркалируемый трафик может отправляться к другому инстансу EC2 или к NLB с получателем UDP. При зеркалировании трафика весь копируемый трафик инкапсулируется с заголовками VXLAN. Исходный и целевой объекты зеркала (устройства мониторинга) могут быть в одном или разном облаках VPC, объединенных пиринговым подключением VPC или через AWS Transit Gateway.

Вопрос: Какие ресурсы можно отслеживать с помощью зеркалирования трафика Amazon VPC?

В случае с инстансами EC2 возможность зеркалирования трафика поддерживает запись сетевых пакетов на уровне эластичных сетевых интерфейсов (ENI). См. документацию для инстансов EC2, которые поддерживают зеркалирование трафика Amazon VPC.

Вопрос. Какие типы устройств поддерживают зеркалирование трафика Amazon VPC?

Клиенты могут использовать как инструменты с открытым кодом, так и разнообразные решения для мониторинга, представленные в AWS Marketplace. Возможность зеркалирования трафика позволяет клиентам передавать реплицируемый трафик в средство сбора, брокер сетевых пакетов или же в средство аналитики, не требуя установки каких‑либо специальных агентов. 

Вопрос: Чем зеркалирование трафика Amazon VPC отличается от журналов Amazon VPC Flow Logs?

Журналы Amazon VPC Flow Logs позволяют клиентам собирать, хранить и анализировать журналы сетевых потоков. В журналы Flow Logs записываются данные о разрешенном и заблокированном трафике, исходные и целевые IP‑адреса, порты, номера протоколов, количество пакетов и байтов, а также действия (принять или отклонить). Эту возможность можно использовать для устранения проблем с подключением и безопасностью, а также для проверки того, что правила сетевого доступа работают надлежащим образом.

Зеркалирование трафика Amazon VPC позволяет подробнее изучать сетевой трафик. В частности, с ее помощью можно анализировать фактическое содержимое трафика, например полезные данные. Эта возможность предназначена для сложных ситуаций. К примеру, с ее помощью можно проанализировать фактические пакеты и определить источник проблем с производительностью, подробно изучить сложную сетевую атаку, обнаружить нарушения внутри организации или скомпрометированные рабочие нагрузки.

Вопрос: В каких регионах Amazon EC2 доступно использование Amazon VPC?

В настоящее время Amazon VPC можно использовать в различных зонах доступности во всех регионах Amazon EC2.

Вопрос: Может ли VPC охватывать сразу несколько зон доступности?

Да. 

Вопрос: Может ли подсеть распространяться на несколько зон доступности?

Нет. Подсеть должна находиться в одной зоне доступности.

Вопрос: Каким образом можно задать зону доступности для запуска инстансов Amazon EC2?

При запуске инстанса Amazon EC2 необходимо указать подсеть, в которой требуется запустить инстанс. Инстанс будет запущен в зоне доступности, связанной с указанной подсетью.

Вопрос: Как определить, в какой зоне доступности находятся подсети?

При создании подсети необходимо указать зону доступности, в которой ее необходимо разместить. C помощью VPC Wizard можно выбрать зону доступности подсети на экране подтверждения. При использовании API или интерфейса командной строки можно задать зону доступности подсети в процессе ее создания. Если зона доступности не указана, по умолчанию будет выбрано значение «No Preference» (Без предпочтений), а подсеть будет создана в произвольной зоне доступности в рамках региона.

Вопрос: Взимается ли плата за обмен трафиком между инстансами, расположенными в различных подсетях?

Если инстансы находятся в подсетях, расположенных в разных зонах доступности, будет начисляться плата в размере 0,01 USD за 1 ГБ переданных данных.

Вопрос: При вызове API DescribeInstances() отобразится весь список инстансов Amazon EC2, включая инстансы типов EC2‑Classic и EC2‑VPC?

Да. API DescribeInstances() вернет список всех запущенных инстансов Amazon EC2. Инстансы EC2‑Classic можно отличить от инстансов EC2‑VPC по содержимому поля подсети. Если в поле содержится идентификатор подсети, соответствующий инстанс находится в VPC. 

Вопрос: При вызове API DescribeVolumes() отобразится весь список томов Amazon EBS, включая те, что находятся в EC2‑Classic и EC2‑VPC?

Да. API DescribeVolumes() вернет список всех томов EBS.

Вопрос: Сколько инстансов Amazon EC2 можно использовать в облаке VPC?

При использовании инстансов с IPv4-адресами в VPC можно запускать любое количество инстансов Amazon EC2, если размер VPC позволяет назначить IPv4‑адреса каждому из инстансов. Изначально существует ограничение на одновременный запуск до 20 инстансов Amazon EC2 и на максимальный размер VPC /16 (65 536 IP‑адресов). Если требуется увеличить эти лимиты, заполните следующую форму. При использовании инстансов, предназначенных только для IPv6, VPC размером /56 позволяет запускать практически неограниченное количество инстансов Amazon EC2.

Вопрос. Можно ли использовать существующие образы AMI в Amazon VPC?

В Amazon VPC можно использовать AMI, зарегистрированные в том же регионе, что и VPC. Например, можно использовать AMI, зарегистрированные в us‑east‑1, в VPC, зарегистрированном в us‑east‑1. Дополнительную информацию см. в разделе «Регионы и зоны доступности» на странице вопросов и ответов по сервису Amazon EC2.

Вопрос: Можно ли использовать существующие снимки состояния Amazon EBS?

Да, снимки состояния EBS можно использовать, если они находятся в том же регионе, что и VPC. Подробные сведения см. в разделе «Регионы и зоны доступности» на странице вопросов и ответов по сервису Amazon EC2.

Вопрос: Можно ли загрузить инстанс Amazon EC2 с тома Amazon EBS в Amazon VPC?

Да, однако инстанс, запускаемый в VPC с помощью AMI с поддержкой Amazon EBS, при остановке и перезапуске будет иметь один и тот же IP‑адрес. Если аналогичные инстансы будут запускаться вне VPC, они будут получать новый IP‑адрес. IP‑адреса остановленных инстансов в подсети будут считаться недоступными.

Вопрос: Можно ли использовать в Amazon VPC зарезервированные инстансы Amazon EC2?

Да. При покупке зарезервированных инстансов можно использовать резервирование инстансов в Amazon VPC. При подготовке счета AWS не разделяет инстансы, запускаемые в Amazon VPC, и стандартные инстансы Amazon EC2. AWS автоматически определяет инстансы, которые должны оплачиваться по сниженным расценкам, применяемым к зарезервированным инстансам, чтобы оптимизировать итоговую сумму счета и свести к минимуму расходы клиента. Однако резервирование инстансов будет применяться исключительно к облаку Amazon VPC. Для получения подробной информации см. страницу Зарезервированные инстансы.

Вопрос: Можно ли использовать с Amazon VPC сервис Amazon CloudWatch?

Да.

Вопрос: Можно ли использовать с Amazon VPC сервис Auto Scaling?

Да. 

Вопрос: Можно ли запускать кластеры инстансов Amazon EC2 в Amazon VPC?

Да. В Amazon VPC поддерживаются кластеры инстансов, однако не все типы инстансов будут доступны во всех регионах и зонах доступности.

Вопрос. Что такое имена узла инстанса?

При запуске инстанса ему назначается имя узла. Доступны два варианта: имя на основе IP-адреса или на основе ресурса, и этот параметр можно менять во время запуска. Имя на основе IP-адреса использует форму частного адреса IPv4, в то время как имя на основе ресурса – форму «инстанс-id».

Вопрос. Можно ли изменить имя узла инстанса Amazon EC2?

Да, можно изменить имя узла на основе IP-адреса на имя на основе ресурса, или наоборот, остановив инстанс и затем поменяв параметры наименования на основе ресурсов.

Вопрос. Можно ли использовать имена узла инстанса в качестве имен узла DNS?

Да, имя узла инстанса можно использовать в качестве имен узла DNS. У инстансов, запущенных в подсетях, предназначенных только для IPv4, или в подсетях с «двойным стеком», имя на основе IP-адреса всегда преобразуется в частный IPv4-адрес главного сетевого интерфейса инстанса, и его нельзя отключить. По желанию можно настроить преобразование имени на основе ресурса либо в частный IPv4-адрес главного сетевого интерфейса, либо в первый адрес IPv6 GUA главного сетевого интерфейса, либо в оба адреса одновременно. В инстансах, которые запущены в подсети, предназначенной только для IPv6, имя на основе ресурса можно преобразовать в первый адрес IPv6 GUA главного сетевого интерфейса. 

Вопрос: Что такое VPC по умолчанию?

VPC по умолчанию – это логически изолированная виртуальная сеть в облаке AWS, которая автоматически создается для аккаунта AWS при первом выделении ресурсов Amazon EC2. Если инстанс будет запущен без указания идентификатора подсети, он запустится в VPC по умолчанию.

Вопрос: Каковы преимущества VPC по умолчанию?

При запуске ресурсов в VPC по умолчанию клиенты получают преимущества использования расширенных сетевых возможностей Amazon VPC (EC2‑VPC) и простоту эксплуатации облака Amazon EC2 (EC2‑Classic). Это позволяет менять группы безопасности на лету, выполнять фильтрацию исходящих данных с помощью групп безопасности, использовать несколько IP‑адресов и несколько сетевых интерфейсов без необходимости явно создавать VPC и запускать инстансы в рамках VPC.

Вопрос: Для каких аккаунтов доступно VPC по умолчанию?

Если аккаунт AWS был создан 18 марта 2013 г. или позднее, запускать ресурсы можно в облаке VPC по умолчанию. Ознакомьтесь с этим сообщением на форуме, чтобы узнать список регионов, в которых доступен набор возможностей облака VPC по умолчанию. Аккаунты, созданные до указанной даты, могут также использовать облака VPC по умолчанию в любых поддерживаемых регионах, где ранее не запускались инстансы EC2 или не выделялись ресурсы сервисов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache или Amazon Redshift.

Вопрос: Как определить, настроен ли мой аккаунт на работу с облаком VPC по умолчанию?

Консоль Amazon EC2 отображает платформы, на которых можно запускать инстансы в выбранном регионе, а также наличие доступа к VPC по умолчанию в этом регионе. Убедитесь в том, что регион, который вы планируете использовать, выбран в навигационной панели. В панели управления консоли Amazon EC2 найдите пункт «Supported Platforms» (Поддерживаемые платформы) в разделе «Account Attributes» (Атрибуты аккаунта). Если в нем указаны два значения, EC2‑Classic и EC2‑VPC, можно запускать инстансы на любой из этих платформ. Если указано только одно значение, EC2‑VPC, запускать инстансы можно только на платформе EC2‑VPC. Идентификатор VPC по умолчанию будет указан в разделе «Account Attributes» (Атрибуты аккаунта), если аккаунт настроен на использование VPC по умолчанию. Чтобы получить описание поддерживаемых платформ, можно также использовать API EC2 DescribeAccountAttributes или интерфейс командной строки.

Вопрос: Нужны ли какие‑либо специальные знания об облаке Amazon VPC, чтобы использовать VPC по умолчанию?

Нет. Для запуска инстансов EC2, а также других ресурсов AWS в облаке VPC по умолчанию и управления ими можно использовать Консоль управления AWS, интерфейс командной строки AWS EC2 или API Amazon EC2. Сервис AWS автоматически создаст VPC по умолчанию и подсеть по умолчанию в каждой из зон доступности региона AWS. VPC по умолчанию подключается к интернет‑шлюзу, а инстансы автоматически получают публичные IP‑адреса, как и в случае с EC2‑Classic.

Вопрос: Какие различия существуют между инстансами, запущенными на платформах EC2‑Classic и EC2‑VPC?

См. раздел «Differences between EC2‑Classic and EC2‑VPC» Руководства пользователя EC2.

Вопрос: Обязательно ли создавать VPN‑подключение, чтобы использовать VPC по умолчанию?

Нет. VPC по умолчанию получает доступ в Интернет, а все инстансы, запущенные в подсетях по умолчанию в рамках VPC по умолчанию, автоматически получают публичные IP‑адреса. При желании к VPC по умолчанию можно добавить VPN‑подключение.

Вопрос: Можно ли создавать другие VPC и использовать их совместно с VPC по умолчанию?

Да. Чтобы запустить инстанс в VPC, отличном от доступного по умолчанию, необходимо указать в процессе запуска инстанса идентификатор подсети.

Вопрос: Можно ли создавать дополнительные подсети в VPC по умолчанию, например частные подсети?

Да. Чтобы запускать инстансы в подсетях, отличных от доступных по умолчанию, необходимо инициировать их запуск с помощью консоли или опции --subnet в интерфейсе командной строки, API или SDK.

Вопрос: Сколько облаков VPC по умолчанию мне доступно?

Клиенту предоставляется по одному облаку VPC по умолчанию в каждом из регионов AWS, где атрибут Supported Platforms имеет значение EC2‑VPC.

Вопрос: Какой диапазон IP‑адресов принадлежит VPC по умолчанию?

CIDR VPC по умолчанию – 172.31.0.0/16. Подсети по умолчанию используют CIDR /20 в рамках CIDR VPC по умолчанию.

Вопрос: Сколько подсетей по умолчанию доступно в облаке VPC по умолчанию?

Для каждой из зон доступности в облаке VPC по умолчанию создается одна подсеть по умолчанию.

Вопрос: Можно ли назначить какое‑либо из имеющихся VPC в качестве VPC по умолчанию?

В настоящий момент нет.

Вопрос: Можно ли назначить какую‑либо из имеющихся подсетей подсетью по умолчанию?

В настоящий момент нет.

Вопрос: Можно ли удалить VPC по умолчанию?

Да, VPC по умолчанию можно удалить. После удаления можно создать новое облако VPC по умолчанию непосредственно из консоли VPC или с помощью интерфейса командной строки (CLI). Это создаст новое VPC по умолчанию в конкретном регионе. При этом предыдущее VPC, которое было удалено, не восстанавливается.

Вопрос: Можно ли удалить подсеть по умолчанию?

Да, подсеть по умолчанию можно удалить. После удаления можно создать новую подсеть по умолчанию в зоне доступности с помощью интерфейса командной строки или SDK. При этом будет создана новая подсеть по умолчанию в указанной зоне доступности. При этом удаленная подсеть не восстанавливается.

Вопрос: У меня есть действующий аккаунт EC2‑Classic. Как получить облако VPC по умолчанию?

Самый простой способ получить облако VPC по умолчанию – создать новый аккаунт в регионе, где активировано облако VPC по умолчанию, или использовать существующий аккаунт в регионе, где вы ранее не были представлены, когда атрибут Supported Platforms для этого аккаунта в этом регионе имеет значение EC2‑VPC.

Вопрос: Я хочу активировать VPC по умолчанию для действующего аккаунта EC2. Это возможно?

Да. Однако мы можем активировать VPC по умолчанию для действующего аккаунта только в том случае, если у аккаунта нет ресурсов EC2‑Classic в данном регионе. Кроме того, требуется завершить в данном регионе работу всех выделенных ресурсов Elastic Load Balancing, Amazon RDS, Amazon ElastiCache и Amazon Redshift, не имеющих отношения к VPC. После того как аккаунт будет настроен на работу с VPC по умолчанию, все запуски ресурсов, выполняемые в будущем, включая инстансы, запускаемые сервисом Auto Scaling, будут происходить в облаке VPC по умолчанию. Чтобы запросить настройку существующего аккаунта на работу с VPC по умолчанию, перейдите в раздел «Account and Billing» (Аккаунт и счета), выберите «Service: Account -> Category: Convert EC2 Classic to VPC» (Сервис: аккаунт > Категория: преобразование EC2 Classic в VPC) и сформируйте запрос. Мы проверим запрос, существующие сервисы AWS, наличие EC2‑Classic и предоставим руководство по дальнейшим шагам.

Вопрос: Какое воздействие оказывает VPC по умолчанию на аккаунты IAM?

Если аккаунт AWS использует облако VPC по умолчанию, все аккаунты IAM, связанные с аккаунтом AWS, используют то же VPC по умолчанию, что и аккаунт AWS.

Вопрос. Что такое EC2-Classic?

EC2-Classic – это однородная сеть, которую мы выпустили в EC2 летом 2006 года. EC2-Classic позволяет инстансам работать в единой однородной сети, которую вы можете разделить с другими клиентами. В 2009 году, вдохновившись постоянно меняющимися потребностями наших клиентов, мы создали Amazon Virtual Private Cloud (VPC), позволив запуск инстансов в виртуальном частном облаке, логически изолированном от аккаунта AWS. Сегодня, несмотря на то, что большинство клиентов используют Amazon VPC, некоторые из них по-прежнему работают с EC2-Classic.

Вопрос. Что меняется?

15 августа 2022 года мы закрываем Amazon EC2-Classic, и до этой даты вам необходимо перенести все инстансы EC2 и другие ресурсы AWS из EC2-Classic в Amazon VPC. В следующем разделе представлена дополнительная информация о закрытии EC2-Class, а также инструменты и ресурсы, которые помогут в процессе миграции.

Вопрос. Как повлияет закрытие EC2-Classic на мой аккаунт?

Оно повлияет только в том случае, если в вашем аккаунте в любом из регионов AWS включена функция EC2-Classic. Вы можете проверить, включена ли функция EC2-Classic для региона AWS с помощью консоли или команды describe-account-attributes; подробную информацию см. в этом документе.

Если у вас нет активных ресурсов AWS с функцией EC2-Classic в любом из регионов, отключите EC2-Classic в аккаунте для этого региона. Отключение EC2-Classic позволит по умолчанию запустить VPC в регионе. Для этого перейдите в центр поддержки AWS Support Center на странице console.aws.amazon.com/support, выберите Create case (Создать обращение), затем Account and billing support (Помощь по вопросам аккаунта и оплаты). В поле Type (Тип) выберите Account (Аккаунт), для поля Category (Категория) – Convert EC2 Classic to VPC (Конвертировать EC2 Classic в VPC), заполните другие необходимые данные и нажмите Submit (Отправить).

30 октября 2021 года мы автоматически отключим EC2-Classic в вашем аккаунте в любом регионе, не имеющем ресурсов AWS (инстансы EC2, Amazon Relational Database, AWS Elastic Beanstalk, Amazon Redshift, AWS Data Pipeline, Amazon EMR, AWS OpsWorks) на EC2-Classic с 1 января 2021 года.

С другой стороны, если у вас есть ресурсы AWS, работающие на EC2-Classic, мы просим как можно скорее осуществить миграцию на Amazon VPC. Вы не сможете запускать какие-либо инстансы или сервисы AWS на платформе EC2-Classic после 15 августа 2022 года. Любые запущенные рабочие нагрузки или сервисы постепенно потеряют доступ ко всем сервисам AWS на платформе EC2-Classic, начиная с 16 августа 2022 года, после выведения из эксплуатации.

Руководства по миграции для ресурсов AWS приведены в следующем вопросе.

Вопрос. Каковы преимущества перехода с EC2-Classic на Amazon VPC?

Amazon VPC предоставляет вам полный контроль над виртуальной сетевой средой AWS, логически изолированной от вашего аккаунта AWS. В среде EC2-Classic рабочие нагрузки используют единую однородную сеть вместе с другими клиентами. Среда Amazon VPC предлагает множество преимуществ по сравнению с EC2-Classic. Например, выбор собственного пространства IP-адресов, конфигурация общедоступной и частной подсетей, а также управление таблицами маршрутов и сетевыми шлюзами. Все службы и инстансы, в настоящее время доступные на EC2-Classic, имеют аналогичные сервисы в среде Amazon VPC. Amazon VPC также предлагает гораздо более широкий и современный набор инстансов, чем EC2-Classic. Дополнительную информацию об Amazon VPC см. по этой ссылке.

Вопрос. Как выполнить миграцию с EC2-Classic на VPC?

Чтобы помочь в миграции ресурсов, мы опубликовали руководства и создали решения, которые перечислены ниже. Для миграции вам необходимо воссоздать ресурсы EC2-Classic в своем VPC. Во-первых, вы можете использовать этот скрипт для поиска всех ресурсов, предоставленных в EC2-Classic во всех регионах учетной записи. Затем можно воспользоваться указанными ниже руководствами по миграции для соответствующих ресурсов AWS:

• Инстансы и группы безопасности
• Classic Load Balancer
• Amazon Relational Database Service
• AWS Elastic Beanstalk
• Amazon Redshift для миграции кластеров DC1 и узлов других типов
• AWS Data Pipeline 
• Amazon EMR 
• AWS OpsWorks

Помимо вышеперечисленных руководств, мы предлагаем высокоавтоматизированное решение для переноса приложений (rehost) – сервис AWS Application Migration Service (AWS MGN), который упрощает и ускоряет миграцию приложений и скоращает затраты на нее. Соответствующие ресурсы об AWS MGN см. здесь:

• Начало работы с AWS Application Migration Service 
• Технический курс по запросу о AWS Application Migration Service
• Документация по подробному знакомству с функциями и возможностями сервиса AWS Application Migration Service Features
• Видео об архитектуре сервиса и сети

Для простой миграции отдельных инстансов EC2 из EC2-Classic на VPC можно использовать не только AWS MGN или Руководства по миграции инстансов, но и перечень задач AWSSupport-MigrateEC2 ClassicToVPC из раздела AWS Systems Manager > Automation (Автоматизация). Этот перечень задач автоматизирует шаги по миграции инстанса из EC2-Classic на VPC путем создания AMI инстанса в EC2-Classic, создания нового инстанса из AMI в VPC и, при необходимости, удаления инстанса EC2-Classic.

Если у вас есть какие-либо вопросы или опасения, вы можете связаться со службой поддержки AWS через AWS Premium Support.

Пожалуйста, обратите внимание. Если у вас есть ресурсы AWS, работающие на EC2-Classic в нескольких регионах, мы рекомендуем отключить EC2-Classic для каждого из этих регионов сразу после переноса всех ресурсов на VPC.

Вопрос. О каких важных датах необходимо знать?

В преддверии закрытия 15 августа 2022 года мы предпримем следующие шаги.

• 30 октября 2021 года прекратим выпуск 3-летних зарезервированных инстансов (RI) и 1-летних RI для среды EC2-Classic. Уже установленные в среде EC2-Classic RI не будут затронуты. RI, срок действия которых истекает после 15 августа 2022 года, необходимо модифицировать, чтобы использовать среду Amazon VPC в течение оставшегося срока аренды. Подробную информацию о модификации RI см. в нашем документе.
• 15 августа 2022 года мы запретим создание новых инстансов (спотовых или по требованию) или других сервисов AWS в среде EC2-Classic. Любые запущенные рабочие нагрузки или сервисы постепенно потеряют доступ ко всем сервисам AWS на платформе EC2-Classic, начиная с 16 августа 2022 года, после выведения из эксплуатации.

Вопрос: Можно ли закрепить один или несколько сетевых интерфейсов за инстансом EC2, пока он работает? Можно ли провести обратную процедуру?

Да.

Вопрос: Можно ли закрепить более двух сетевых интерфейсов за инстансом EC2?

Общее количество сетевых интерфейсов, которое возможно закрепить за инстансом EC2, зависит от типа инстанса. Дополнительную информацию о допустимом количестве сетевых интерфейсов в зависимости от типа инстанса см. в «Руководстве пользователя EC2».

Вопрос: Можно ли закрепить сетевой интерфейс из одной зоны доступности за инстансом из другой зоны доступности?

Сетевые интерфейсы можно закреплять за инстансами, находящимися исключительно в той же зоне доступности.

Вопрос: Можно ли закрепить сетевой интерфейс из одного облака VPC за инстансом из другого VPC?

Сетевые интерфейсы можно закреплять за инстансами, находящимися только в одном VPC с интерфейсом.

Вопрос: Можно ли использовать эластичные сетевые интерфейсы в качестве решения для хостинга нескольких веб‑сайтов, требующих наличия отдельных IP‑адресов в рамках одного инстанса?

Да, однако этот сценарий не является оптимальным примером использования нескольких интерфейсов. Вместо этого назначьте дополнительные частные IP‑адреса инстансам, а затем свяжите EIP с частными IP‑адресами в порядке необходимости.

Вопрос: Будет ли взиматься плата за эластичный IP‑адрес, связанный с сетевым интерфейсом, если сетевой интерфейс не закреплен за работающим инстансом?

Да.

Вопрос: Можно ли открепить основной интерфейс (eth0) от инстанса EC2?

Нет. Закреплять/откреплять можно дополнительные интерфейсы (eth1‑ethn), но интерфейс eth0 открепить от инстансов EC2 невозможно.

Вопрос: Можно ли создать пиринговое соединение с облаком VPC, расположенным в другом регионе?

Да. Между облаками VPC, расположенными в разных регионах, можно создавать пиринговые подключения. Межрегиональное пиринговое подключение VPC доступно по всему миру во всех коммерческих регионах (за исключением Китая).

Вопрос: Можно ли установить пиринговое подключение между моим облаком VPC и VPC, принадлежащим другому аккаунту AWS?

Да, учитывая, что владелец другого облака VPC одобрит запрос на создание пирингового подключения.

Вопрос: Можно ли создать пиринговое подключение двух VPC с совпадающими диапазонами IP‑адресов?

Нет. VPC, участвующие в пиринговом соединении, должны иметь неперекрывающиеся диапазоны IP‑адресов.

Вопрос: Сколько стоит пиринговое подключение VPC?

За создание пирингового подключения плата не взимается. Однако будет взиматься плата за передачу данных через пиринговое подключение. Расценки за передачу данных приведены в разделе «Передача данных» на странице цен на EC2.

Вопрос: Можно ли использовать сервис AWS Direct Connect или аппаратное VPN‑подключение, чтобы получить доступ к VPC в рамках пирингового подключения?

Нет. Граничная маршрутизация для Amazon VPC не поддерживается. Дополнительную информацию см. в руководстве по созданию пиринговых подключений к VPC.

Вопрос: Требуется ли интернет‑шлюз для использования пирингового подключения?

Нет. Пиринговые подключения к VPC не требуют наличия интернет‑шлюза.

Вопрос: Шифруется ли трафик VPC, проходящий через пиринговое подключение в рамках региона?

Нет. Трафик, проходящий между инстансами облаков VPC, взаимодействующих по пиринговому подключению, остается частным и изолированным. Таким же образом обстоит дело с трафиком, проходящим между двумя инстансами в рамках одного облака VPC.

Вопрос: Если я удалю пиринговое подключение на своей стороне, сможет ли другая сторона осуществлять доступ к моему VPC?

Нет. Любая из сторон пирингового подключения может разорвать его в любой момент. В результате разрыва пирингового соединения трафик больше не будет перемещаться между двумя VPC.

Вопрос: Если будет установлено пиринговое подключение между VPC A и VPC B, а также между VPC B и VPC C, будет ли это значить, что VPC A и VPC С будут связаны пиринговым подключением?

Нет. Переходные пиринговые связи не поддерживаются.

Вопрос: Что делать, если пиринговое подключение стало недоступным?

AWS использует существующую инфраструктуру облака VPC для создания пирингового подключения; это не шлюз и не VPN‑подключение, оно не полагается на отдельный элемент физического оборудования. В нем не существует точек, которые могли бы привести к сбою связи, или ограничений пропускной способности.

Межрегиональные пиринговые подключения VPC работают на той же технологической платформе, что и VPC, с той же горизонтальной масштабируемостью, избыточностью и высокой доступностью. Трафик межрегиональных пиринговых подключений VPC идет по магистральным каналам AWS, которые обеспечивают встроенную избыточность и динамическое выделение пропускной способности. Работа канала связи не может быть прервана сбоем в отдельной точке.

Если межрегиональное пиринговое подключение все же прервется, трафик не будет перенаправляться через Интернет.

Вопрос: Накладываются ли какие‑либо ограничения на пропускную способность пирингового подключения?

Пропускная способность между инстансами облаков VPC, взаимодействующих по пиринговому подключению, не отличается от ситуации, когда обмен данными осуществляется между двумя инстансами в рамках одного VPC. Примечание. Группа размещения может распространяться на облака VPC, взаимодействующие по пиринговому подключению; однако в подобных VPC не достигается полноценная пропускная способность между инстансами. Ознакомьтесь с дополнительной информацией о группах размещения.

Вопрос: Зашифрован ли трафик, идущий через межрегиональные пиринговые подключения VPC?

Трафик шифруется с помощью современных алгоритмов аутентифицированного шифрования с присоединенными данными (AEAD). Согласование ключей и управление ключами выполняет AWS.

Вопрос: Как в межрегиональном пиринговом подключении VPC работает трансляция имен DNS?

По умолчанию запрос публичного имени хоста инстанса в одноранговом VPC в другом регионе будет разрешен в публичный IP‑адрес. Для разрешения в частный IP‑адрес при межрегиональном пиринговом подключении VPC можно также использовать частную службу DNS Route 53.

Вопрос: Можно ли ссылаться на группы безопасности через межрегиональное пиринговое подключение VPC?

Нет. Ссылки на группы безопасности через межрегиональное пиринговое подключение VPC не работают.

Вопрос. Поддерживается ли при межрегиональном пиринговом подключении VPC протокол IPv6?

Да. При межрегиональном пиринговом подключении VPC поддерживается протокол IPv6.

Вопрос. Можно ли использовать межрегиональное пиринговое подключение VPC вместе с EC2‑ClassicLink?

Нет. Межрегиональное пиринговое подключение VPC нельзя использовать вместе с EC2‑ClassicLink.

Вопрос: Что такое ClassicLink?

Сервис Amazon Virtual Private Cloud (VPC) ClassicLink позволяет инстансам EC2 платформы EC2‑Classic выполнять обмен данными с инстансами VPC посредством частных IP‑адресов. Чтобы использовать сервис ClassicLink, активируйте его для VPC в своем аккаунте и свяжите группу безопасности этого VPC с инстансом платформы EC2‑Classic. Все правила группы безопасности VPC будут применены к соединению между инстансами платформ EC2‑Classic и VPC. 

Вопрос: Сколько стоит сервис ClassicLink?

За использование сервиса ClassicLink плата не взимается. Однако плата будет взиматься за транзитную передачу данных через различные зоны доступности. Подробнее о ценовой политике EC2 см. на соответствующей странице.

Вопрос: Как можно использовать сервис ClassicLink?

Чтобы использовать сервис ClassicLink, сначала необходимо активировать хотя бы одно VPC для ClassicLink в своем аккаунте. Затем необходимо связать группу безопасности VPC с необходимым инстансом платформы EC2‑Classic. Инстанс платформы EC2‑Classic после этого будет связан с VPC и станет участником выбранной группы безопасности VPC. Инстанс платформы EC2‑Classic можно одновременно связать только с одним облаком VPC.

Вопрос: Становится ли инстанс платформы EC2‑Classic участником VPC?

Инстанс платформы EC2‑Classic не становится участником облака VPC. Он становится участником связанной с ним группы безопасности VPC. Все правила и ссылки группы безопасности VPC применяются к обмену данными между инстансами в инстансе платформы EC2‑Classic и ресурсами сервиса VPC.

Вопрос: Можно ли использовать публичные имена хостов DNS EC2 из инстансов платформ EC2‑Classic и EC2‑VPC для взаимной адресации, чтобы осуществлять обмен данными с использованием частного IP‑адреса?

Нет. Публичное имя хоста DNS EC2 не будет преобразовано в частный IP‑адрес инстанса EC2‑VPC при опросе из инстанса платформы EC2‑Classic и наоборот.

Вопрос: Существуют ли VPC, для которых невозможно активировать сервис ClassicLink?

Да. Сервис ClassicLink невозможно активировать для VPC с бесклассовой адресацией (CIDR), находящейся в диапазоне 10.0.0.0/8, за исключением 10.0.0.0/16 и 10.1.0.0/16. Кроме того, сервис ClassicLink невозможно активировать для любых VPC, таблица маршрутизации которых указывает на пространство CIDR 10.0.0.0/8 любого получателя, отличного от local.

Вопрос: Может ли трафик, исходящий от инстанса платформы EC2‑Classic, перемещаться по Amazon VPC и выходить через интернет‑шлюз, виртуальный частный шлюз или VPC с пиринговым подключением?

Трафик, исходящий от инстанса платформы EC2‑Classic, можно маршрутизировать только на частные IP‑адреса в VPC. Маршрутизация до получателей, расположенных вне VPC, включая интернет‑шлюз, виртуальный частный шлюз или VPC с пиринговым подключением, не поддерживается.

Вопрос: Оказывает ли сервис ClassicLink влияние на контроль доступа между инстансами платформы EC2‑Classic и другими инстансами, входящими в эту платформу?

Сервис ClassicLink не влияет на контроль доступа, определенный для инстансов платформы EC2‑Classic в существующих группах безопасности платформы EC2‑Classic.

Вопрос: Сохранятся ли настройки, заданные для инстанса платформы EC2‑Classic в сервисе ClassicLink, после циклов остановки/запуска?

Соединение ClassicLink не сохранится после остановки/запуска инстанса платформы EC2‑Classic. После остановки и последующего запуска инстанс платформы EC2‑Classic необходимо связать повторно с VPC. Однако соединение ClassicLink сохраняется после цикла перезагрузки инстанса.

Вопрос: Будет ли назначен инстансу платформы EC2‑Classic новый частный IP‑адрес после активации сервиса ClassicLink?

Новые частные IP‑адреса инстансу платформы EC2‑Classic назначаться не будут. При активации сервиса ClassicLink для инстанса платформы EC2‑Classic инстанс сохранит и продолжит использование существующего частного IP‑адреса для обмена данными с ресурсами VPC.

Вопрос: Позволяет ли сервис ClassicLink правилам группы безопасности EC2‑Classic ссылаться на группы безопасности VPC и наоборот?

Сервис ClassicLink не позволяет правилам группы безопасности EC2‑Classic ссылаться на группы безопасности VPC и наоборот.

Вопрос: Что такое AWS PrivateLink?

С помощью AWS PrivateLink клиенты получают доступ к сервисам, размещенным на AWS, с обеспечением высокой доступности и масштабируемости, при этом весь сетевой трафик остается в пределах сети AWS. Клиенты могут применять эту технологию для обеспечения частного доступа к сервисам Amazon из своего облака Amazon Virtual Private Cloud (VPC) или локального центра обработки данных посредством PrivateLink, без необходимости использовать публичные IP‑адреса и передавать трафик через Интернет. Владельцы сервисов могут зарегистрировать свои балансировщики Network Load Balancer в сервисах PrivateLink и предоставлять эти сервисы другим клиентам AWS.

Вопрос: Как можно использовать AWS PrivateLink?

Для сервисов, работающих на основе PrivateLink, необходимо создать адреса VPC типа «интерфейс». Эти сервисные адреса будут отображаться в виде эластичных сетевых интерфейсов (ENI) с частными IP‑адресами в соответствующих облаках VPC. После создания адресов любой трафик, предназначенный для этих IP‑адресов, будет перенаправлен через частное подключение в соответствующие сервисы AWS.

Вы можете подключить свой сервис к AWS PrivateLink. Для этого нужно установить Network Load Balancer (NLB), создать сервис PrivateLink и зарегистрировать его на данном NLB. Чтобы клиенты могли подключаться к вашему сервису, им нужно будет установить адреса в своих VPC, а вам – внести в белый список их аккаунты и роли IAM.

Вопрос: Какие сервисы в настоящее время могут работать через AWS PrivateLink?

Эту возможность поддерживают следующие сервисы AWS: Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog, EC2 Systems Manager, Amazon SNS и AWS DataSync. Эту же возможность поддерживают многие решения SaaS. Чтобы узнать о других продуктах SaaS, подключенных к AWS PrivateLink, зайдите на AWS Marketplace.

Вопрос: Можно ли использовать для доступа к сервисам, работающим с технологией AWS PrivateLink, частное подключение AWS Direct Connect?

Да. Приложение, работающее в локальной сети, может подключаться к сервисным адресам Amazon VPC через AWS Direct Connect. Сервисные адреса автоматически направляют трафик в сервисы AWS, работающие на основе AWS PrivateLink.

Вопрос: Какие метрики CloudWatch доступны для адресов VPC на базе интерфейса?

В настоящее время метрики CloudWatch для адресов VPC на базе интерфейса недоступны.

Вопрос: Кто оплачивает передачу данных, проходящих через адрес VPC на базе интерфейса?

Стоимость передачи данных для адреса VPC рассчитывается аналогично стоимости передачи данных для инстансов EC2. Поскольку адрес VPC на базе интерфейса является эластичным сетевым интерфейсом (ENI) в подсети, стоимость передачи данных зависит от источника трафика. Если трафик на этот интерфейс поступает от ресурсов из другой зоны доступности, потребителю начисляется плата за передачу данных EC2 между зонами доступности. Если в аккаунте клиента выделены ресурсы для каждой зоны доступности, клиенты в потребительском облаке VPC могут использовать адрес DNS для конкретной зоны доступности, чтобы трафик оставался в пределах одной зоны доступности.

Вопрос: Можно ли использовать Консоль управления AWS для управления Amazon VPC?

Да. Консоль управления AWS можно использовать для управления объектами Amazon VPC: VPC, подсетями, таблицами маршрутизации, интернет‑шлюзами и VPN‑подключениями IPSec. Кроме того, можно применить простой мастер создания VPC.

Вопрос: Сколько VPC, подсетей, эластичных IP‑адресов и интернет‑шлюзов можно создать?

Можно создать:

• 5 (пять) облаков Amazon VPC на один аккаунт AWS в регионе;
• 200 (двести) подсетей на одно облако Amazon VPC;
• 5 (пять) эластичных IP‑адресов Amazon VPC на один аккаунт AWS в регионе;
• 1 (один) интернет‑шлюз на одно облако Amazon VPC.

Подробную информацию об ограничениях VPC см. в Руководстве пользователя Amazon VPC.

Вопрос: Можно ли обращаться в AWS Support по вопросам, связанным с работой Amazon VPC?

Да. Нажмите здесь, чтобы получить дополнительную информацию об AWS Support.

Вопрос: Можно ли управлять Amazon VPC с помощью расширения ElasticFox?

Расширение ElasticFox для управления облаком Amazon VPC больше официально не поддерживается. Поддержка Amazon VPC осуществляется через API AWS, инструменты командной строки и Консоль управления AWS, а также различные служебные программы сторонних разработчиков.