Возможности Amazon VPC

Amazon Virtual Private Cloud (VPC) – это сервис, который дает возможность запускать ресурсы AWS в определяемой пользователем логически изолированной виртуальной сети. Это позволяет полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP‑адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для большинства ресурсов в VPC можно использовать и IPv4, и IPv6, и таким образом получить безопасный и удобный доступ к ресурсам и приложениям.

Как один из основополагающих сервисов AWS, Amazon VPC упрощает индивидуальную настройку параметров сети VPC. Можно создать общедоступную подсеть для своих веб-серверов с доступом к Интернету. Можно также поместить свои серверные системы, такие как базы данных или серверы приложений, в частную подсеть без доступа к Интернету. Amazon VPC дает возможность использовать многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа. Такая система позволяет контролировать доступ к инстансам Эластичного облака вычислений Amazon (Amazon EC2) в каждой подсети.

Page Topics

Возможности Amazon VPC Журналы потоков IP Address Manager (IPAM) Работа с IP-адресами Входящая маршрутизация Network Access Analyzer Список контроля доступа к сети Сетевой менеджер Reachability Analyzer Группы безопасности Зеркалирование трафика

Возможности Amazon VPC

Amazon Virtual Private Cloud (VPC) – это сервис, который дает возможность запускать ресурсы AWS в определяемой пользователем логически изолированной виртуальной сети. Таким образом можно полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP-адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Для большинства ресурсов VPC можно использовать как IPv4, так и IPv6, что обеспечивает безопасный и простой доступ к ресурсам и приложениям. Являясь одним из базовых сервисов AWS, Виртуальное частное облако Amazon позволяет легко настроить конфигурацию сети VPC. Можно создать общедоступную подсеть для своих веб-серверов с доступом к Интернету. Можно также поместить свои серверные системы, такие как базы данных или серверы приложений, в частную подсеть без доступа к Интернету. Amazon VPC дает возможность использовать многоуровневую систему безопасности, которая состоит из групп безопасности и сетевых списков контроля доступа. Такая система позволяет контролировать доступ к инстансам Amazon Elastic Compute Cloud (Amazon EC2) в каждой подсети.

Журналы потоков

Мониторинг журналов потоков VPC, доставляемых в Amazon Simple Storage Service (Amazon S3) или Amazon CloudWatch, обеспечивает операционный контроль сетевых зависимостей и моделей трафика, выявление аномалий и предотвращение утечки данных и устранение неполадок сетевых подключений и проблем конфигурации. Обогащенные метаданные в журналах потоков помогают узнать больше об инициаторе TCP-подключений, источнике на уровне пакетов и точке назначения трафика, проходящего по средним уровням, таким как шлюз NAT. Можно также архивировать журналы потоков. Это пригодится для выполнения определенных нормативных требований. Подробнее о начале работы с этой функцией см. здесь.

IP Address Manager (IPAM)

С помощью IPAM легче планировать, отслеживать и проверять IP-адреса для рабочих нагрузок AWS. IPAM автоматизирует IP-адресацию для Amazon VPC, позволяя больше не использовать собственные приложения для планирования или приложения на базе электронных таблиц. Кроме того, сервис комплексно демонстрирует использование IP-адресов в нескольких аккаунтах и VPC, за счет чего повышается возможность отслеживания сети.

Работа с IP-адресами

С помощью IP-адресов ресурсы VPC взаимодействуют друг с другом и с ресурсами, расположенными в Интернете. Amazon VPC поддерживает как протокол адресации IPv4, так и IPv6. В VPC можно создать подсети, предназначенные только для IPv4, только для IPv6 или с «двойным стеком», а затем запускать инстансы Amazon EC2 в пределах этих подсетей. Amazon также предлагает различные способы назначения публичных IP-адресов для инстансов. Вы можете использовать предоставленные Amazon публичные IPv4-адреса, эластичные IPv4-адреса или IP-адреса из предлагаемых Amazon диапазонов CIDR IPv6. Кроме того, возможно добавить в Amazon VPC и назначить инстансам собственные адреса IPv4 или IPv6. Подробнее о работе с IP-адресами в VPC см. здесь.

Входящая маршрутизация

Эта функция позволяет направлять входящий и исходящий трафик, проходящий через шлюз Интернета или шлюз виртуальной частной сети, в эластичный сетевой интерфейс определенного инстанса Amazon EC2. Виртуальное частное облако (VPC) можно настроить таким образом, чтобы весь трафик направлялся в шлюз или инстанс Amazon EC2, прежде чем попадет в рабочие нагрузки. Подробнее об этой функции см. здесь.

Network Access Analyzer

С помощью Network Access Analyzer можно проверить, отвечает ли сеть в AWS требованиям сетевой безопасности и другим нормативным требованиям. Network Access Analyzer позволяет указать необходимые требования к сетевой безопасности и нормативные требования, а также способен выявить непреднамеренный доступ к сети, которая им не соответствует. Network Access Analyzer используется для анализа сетевого доступа к ресурсам, который помогает определить, какие улучшения стоит внести в облачную систему безопасности, и продемонстрировать соответствие требованиям.

Список контроля доступа к сети

Список контроля доступа к сети (ACL сети) – это необязательный уровень безопасности VPC, который действует как брандмауэр, контролирующий входящий и исходящий трафик одной или нескольких подсетей. ACL сети можно задать с помощью правил, которые схожи с правилами групп безопасности. Подробнее о различиях между группами безопасности и списками контроля доступа к сети см. здесь.

Сетевой менеджер

Сетевой менеджер предоставляет инструменты и функции, которые помогут вам управлять и контролировать сеть в AWS. Сетевой менеджер облегчает управление подключениями, мониторинг сети и устранение неполадок, управление IP, а также безопасность и управление сетью.

Reachability Analyzer

Этот инструмент для анализа статических конфигураций позволяет анализировать и выполнять отладку доступности сети при подключении ресурсов в VPC между собой. Определите исходный и целевой ресурсы, после чего Reachability Analyzer создаст последовательные детальные данные о виртуальном маршруте между ними, если они доступны, и определит блокирующие элементы, если доступ отсутствует. Подробнее о начале работы с этой функцией см. здесь.

Группы безопасности

Группы безопасности действуют в качестве брандмауэра для связанных инстансов Amazon EC2 и контролируют входящий и исходящий трафик на уровне инстанса. При запуске инстанса можно связать его с одной или несколькими группами безопасности. Если группа не выбрана, инстанс автоматически свяжется с той группой, которую VPC предлагает по умолчанию. Каждый инстанс в VPC может принадлежать к отдельному набору групп. Подробнее о группах безопасности см. здесь.

Зеркалирование трафика

Зеркалирование трафика дает возможность копировать сетевой трафик из эластичного сетевого интерфейса инстансов Amazon EC2 и отправлять его на внеполосные устройства обеспечения безопасности и мониторинга для углубленной проверки пакетов. Таким образом можно выявлять аномалии сети и безопасности, получать операционную аналитическую информацию, внедрять средства выполнения нормативных требований и контроля безопасности, а также устранять проблемы. Зеркалирование трафика дает доступ к сетевым пакетам, проходящим через VPC. Узнайте, как начать пользоваться этой возможностью, здесь.

Использование других ресурсов AWS с Amazon VPC

Для Virtual Private Cloud (VPC) можно использовать множество различных ресурсов:

AWS Transit Gateway

Подключайте Amazon VPC, аккаунты AWS и локальные сети к единому шлюзу.

AWS Private Link

Устанавливайте частное подключение между облаками VPC и сервисами, размещенными на AWS или в локальной среде, не открывая доступ к данным из Интернета.

AWS Network Firewall

Развертывайте средства сетевой безопасности для всех облаков Amazon VPC с помощью нескольких щелчков мыши.

AWS VPN

Расширяйте локальные сети с помощью облака и получайте безопасный доступ к ним откуда угодно.

Шлюз трансляции сетевых адресов (NAT)

Разрешайте рабочим нагрузкам частной подсети VPC получать доступ к Интернету, не допуская при этом инициации соединений с этими инстансами со стороны Интернета

Надлежащее использование и ограничения

Использование данного сервиса регламентируется пользовательским соглашением Amazon Web Services.