Ağ İletişimi ile İlgili Temel Bilgiler

• Bulut ağ iletişimi nedir?

  Geleneksel şirket içi ağ iletişimine benzer şekilde bulut ağ iletişimi, ağlarınızı tüm bulut ortamlarınızda ve dağıtılmış bulut ve uç konumlarınızda oluşturma, yönetme, çalıştırma ve güvenli bir şekilde bağlama olanağı sağlar. Bulut ağ iletişimi, dayanıklı ve yüksek oranda kullanılabilir altyapı tasarlamanıza olanak sağlayarak uygulamalarınızı daha hızlı, uygun ölçekte ve ihtiyaç duyduğunuzda son kullanıcılarınıza daha yakın bir şekilde dağıtmanıza yardımcı olur.
  

• Nerede dağıttığım neden önemlidir?

  Bir web sitesini açtığınızda veya bir uygulamayı kullandığınızda, veri ve isteklerin bilgisayarınızdan veya telefonunuzdan web sitesini ya da uygulamayı barındıran bir sunucuya gitmesi ve tekrar size geri dönmesi gerekir. Bu genellikle farklı ortamların bir kombinasyonu üzerinden (ör. Wi-Fi üzerinden evdeki yönlendiricinize; oradan fiber, kablo, ADSL, 5G vb. yoluyla İSS’nize) yapılır. İSS’ye ulaştıklarında da daha büyük bir ağa bağlanmış olurlar. Belirli bir noktada, verilerinizin çok sayıda deniz altı fiber kablonun birinden geçmesi muhtemeldir. Işık hızı, mümkün olan en hızlı yanıtı sınırlayarak bu kablolar aracılığıyla en yüksek hızın ne olabileceğini belirler. Kablonun içindeki ışık da hareket ederken kenardan başlayarak yansır, böylece katedilen toplam mesafe kablonun kendisinden daha uzun olur. Örnek olarak Japonya ile ABD Batı kıyısı arasındaki kablolardan birinin toplam uzunluğu 21.000 km’dir, bu da 299.792.458 m/sn.de seyahat eden ışığın birden fazla çağrı ileri geri gittikçe web sitesini veya uygulamayı yavaşlatarak kablonun toplam uzunluğunu geçmesinin ~ 70 ms süreceği anlamına gelir. Uçtaki örneklerde, yalnızca katedilen mesafe değil, aynı zamanda yol boyunca noktalar arasındaki ağ tıkanıklığı nedeniyle süre çok daha yüksek olabilir ve yanıtların tamamlanması birkaç saniye sürer.
  

  Bulut ile yeni coğrafi bölgeleri kapsayacak şekilde genişletme sağlayarak dakikalar içinde küresel olarak dağıtım yapabilirsiniz. Örneğin AWS’nin dünyanın her yerinde altyapısı vardır. Böylece geliştiriciler, uygulamaları sadece birkaç tıklamayla birden fazla fiziksel konumda dağıtabilirler. Uygulamalarınızı son kullanıcılarınıza daha yakın bir yere koyarak gecikmeyi azaltabilir ve kullanıcı deneyimini iyileştirebilirsiniz
  

  AWS Bulut altyapısı, AWS Bölgeleri ve Erişilebilirlik Alanları çevresinde oluşturulmuştur. Bölge, dünyada birden fazla Erişilebilirlik Alanına sahip olduğumuz fiziksel bir konumdur. Bir Erişilebilirlik Alanı; her biri yedekli güç, ağ iletişimi ve bağlantıya sahip, ayrı tesislerde bulunan bir veya daha fazla ayrık veri merkezinden oluşur. Bu Erişilebilirlik Alanları, tek bir veri merkezinin sunabileceğine kıyasla daha yüksek erişilebilirliğe sahip, hata toleranslı ve ölçeklenebilir üretim uygulamaları ve veritabanları çalıştırabilmenize olanak sağlar.
  

• Amazon VPC nedir?

  Amazon Sanal Özel Bulut (Amazon VPC) ile AWS Bulut’un, kendi tanımladığınız sanal bir ağda AWS kaynaklarını başlatabileceğiniz mantıksal olarak yalıtılmış bir bölümünü tedarik edebilirsiniz. Kendi IP adresi aralıklarınızı seçme, alt ağlar oluşturma ve yönlendirme tabloları ile ağ geçitlerinin yapılandırması dahil olmak üzere sanal ağ ortamınız üzerinde tam denetime sahip olursunuz. Ayrıca kurumsal veri merkeziniz ile VPC’niz arasında bir donanım sanal özel ağ (VPN) bağlantısı oluşturabilirsiniz. Bu da ikisi arasındaki sunucuları aynı ağdaymış gibi bağlamanıza olanak tanır.

  
  Gereksinimlerinize göre VPC’niz için ağ yapılandırmasını kolayca özelleştirebilirsiniz. Bir VPC tüm Bölgeyi kapsar ve alt ağlar, sanal makinelere ve diğer hizmetlere tahsis etmek üzere Bölge içindeki Erişilebilirlik Alanları içinde yer alan IP adresi aralıklarını belirtmek için kullanılır. Örneğin internet erişimi olan web sunucularınız için genel bir alt ağ oluşturabilir ve veritabanları ya da uygulama sunucuları gibi arka uç sistemlerinizi internet erişimi olmayan özel bir alt ağa yerleştirebilirsiniz. Her bir alt ağdaki Amazon EC2 bulut sunucularına erişimin denetlenmesine yardımcı olmak üzere güvenlik grupları ve ağ erişimi denetim listeleri gibi birden çok güvenlik katmanını kullanabilirsiniz.
  

  Aşağıdaki özellikler, uygulamalarınızın ihtiyaç duyduğu bağlantıyı sağlayacak şekilde bir VPC yapılandırmanıza yardımcı olur:
  

  Özellik	Açıklama
  VPC’ler	VPC, kendi veri merkezinizde işleteceğiniz geleneksel ağa çok benzeyen sanal bir ağdır. Bir VPC oluşturduktan sonra alt ağlar ekleyebilirsiniz.
  Alt ağlar	Alt ağ, VPC’nizdeki bir dizi IP adresidir. Bir alt ağ, tek bir Erişilebilirlik Alanında bulunmalıdır. Alt ağ ekledikten sonra VPC’nizdeki AWS kaynaklarını dağıtabilirsiniz.
  IP adresleme	VPC’lerinize ve alt ağlarınıza IPv4 adresleri ve IPv6 adresleri atayabilirsiniz. Ayrıca genel IPv4 ve IPv6 GUA’larınızı (Küresel Tek Noktaya Yayın Adresleri) AWS’ye getirebilir ve bunları VPC’nizdeki EC2 bulut sunucuları, NAT ağ geçitleri ve Ağ Yük Dengeleyicileri gibi kaynaklara tahsis edebilirsiniz.
  Yönlendirme	Alt ağınızdan veya ağ geçidinizden gelen ağ trafiğinin nereye yönlendirileceğini belirlemek için yönlendirme tabloları kullanın.
  Ağ geçitleri ve uç noktalar	Bir ağ geçidi, VPC’nizi başka bir ağa bağlar. Örneğin VPC’nizi internete bağlamak için bir internet ağ geçidi kullanın. İnternet ağ geçidi veya NAT cihazı kullanmadan AWS hizmetlerine özel olarak bağlanmak için bir VPC uç noktası kullanın.
  Eşleme bağlantıları	İki VPC’deki kaynaklar arasındaki trafiği yönlendirmek için bir VPC eşleme bağlantısı kullanın.
  Trafik izleme	Ağ arabirimlerinden ağ trafiğini kopyalayın ve derinlemesine paket denetimi için güvenlik ve izleme cihazlarına gönderin.
  Transit ağ geçitleri	VPC’leriniz, VPN bağlantılarınız ve AWS Direct Connect bağlantılarınız arasındaki trafiği yönlendirmek için bir merkezi hub görevi gören transit bir ağ geçidi kullanın.
  VPC akış günlükleri	Akış günlüğü, VPC’nizdeki ağ arabirimlerine giden ve buradan gelen IP trafiğiyle ilgili bilgileri yakalar.
  VPN bağlantıları	AWS Sanal Özel Ağ (AWS VPN) kullanarak VPC’lerinizi şirket içi ağlarınıza bağlayın.

  Amazon VPC’yi kullanmaya başlama

  AWS hesabınız her AWS Bölgesinde varsayılan bir VPC içerir. Varsayılan VPC’leriniz, EC2 bulut sunucularını başlatmaya ve bunlara bağlanmaya hemen başlayabileceğiniz şekilde yapılandırılmıştır. Daha fazla bilgi için bkz. Amazon VPC’yi kullanmaya başlama.
  

• Amazon VPC’mdeki kaynaklar nasıl iletişim kurar?

  VPC’ler; kaynak yerleştirme, bağlantı ve güvenlik dahil olmak üzere sanal ağ ortamınız üzerinde size tam denetim sağlar. AWS Yönetim Konsolu’nda VPC’nizi ayarlayarak başlayın. Ardından buna Amazon EC2 ve Amazon İlişkisel Veritabanı Hizmeti (Amazon RDS) bulut sunucuları gibi kaynaklar ekleyin. Son olarak VPC’lerinizin hesaplarda, Erişilebilirlik Alanlarında veya Bölgelerde birbirleriyle nasıl iletişim kurduğunu tanımlayın.
  

  Bir VPC’de hem IPv4 hem de IPv6 adresleme kullanabilirsiniz. IPv4 ile maksimum /16 boyutundan minimum /28 boyutuna kadar bir VPC CIDR (Sınıfsız Etki Alanları Arası Yönlendirme) bloğu seçip atarsınız. Sahip olduğunuz tüm genel adresleri (belirli Bölgelerdeki) kullanabilirsiniz. Özel RFC 1918 adreslerini kullanmanızı öneririz. Bir CIDR’ye sahip olduğunuzda alt ağları tanımlarsınız. Alt ağlar /16 ile /28 arasında olabilir ve Erişilebilirlik Alanları ile sınırlandırılır. Her VPC alt ağı bir alt ağ yönlendirme tablosuyla ilişkilendirilmelidir.
  

  Alt ağlar oluştururken bunları bir ana VPC rota tablosuyla ilişkilendirmeniz gerekir. Varsayılan olarak bu yönlendirme tablosu yalnızca VPC’nin yerel IPv4 ve IPv6 CIDR’lerini içerecektir. Bir alt ağ yalnızca bir alt ağ yönlendirme tablosuyla ilişkilendirilebilir. Bir yönlendirme tablosunda birden çok alt ağ ilişkilendirmesi olabilir. Yönlendirme tabloları alt ağdan çıkan trafiği kontrol etmek için kullanılır. Her alt ağın bir VPC yönlendiricisi vardır. Bir VPC için tek bir cihaz yoktur. VPC yazılımı sizin için yönlendirmeyle ilgilenir. Doğu/batı trafiği için trafik filtrelemesi sağlamak üzere daha belirli rotalar ekleyebilirsiniz.
  

• Amazon VPC’me nasıl bağlanabilirim?

  VPC’nizi diğer VPC’ler, internet veya şirket içi ağınız gibi diğer ağlara bağlayabilirsiniz. Amazon VPC’nizi şunlara bağlayabilirsiniz:
  

  Nasıl bağlanılır?	Açıklama
  İnternet (bir internet ağ geçidi üzerinden)	İnternet ağ geçidi VPC’niz ile internet arasında iletişime izin veren yatay olarak ölçeklendirilmiş, yedekli ve yüksek oranda kullanılabilir bir VPC bileşenidir. IPv4 ve IPv6 trafiğini destekler ve ağ trafiğinizde kullanılabilirlik risklerine veya bant genişliği kısıtlamalarına neden olmaz. Bir internet ağ geçidi, kaynağın genel bir IPv4 adresi veya bir IPv6 adresi varsa genel alt ağlarınızdaki (EC2 bulut sunucuları gibi) kaynakların internete bağlanmasını sağlar. Benzer şekilde, internetteki kaynaklar, genel IPv4 adresini veya IPv6 adresini kullanarak alt ağınızdaki kaynaklarla bağlantı başlatabilir. Örneğin bir internet ağ geçidi, yerel bilgisayarınızı kullanarak AWS’deki bir EC2 bulut sunucusuna bağlanmanıza olanak tanır. Bir internet ağ geçidi, internet tarafından yönlendirilebilir trafik için VPC yönlendirme tablolarınızda bir hedef sağlar. İnternet ağ geçidi, IPv4 kullanarak iletişim kurmak için ağ adresi çevirisini (NAT) de gerçekleştirir. IPv6 kullanarak iletişim için IPv6 adresleri genel olduğundan NAT gerekli değildir.
  AWS Siteden Siteye VPN bağlantısı kullanan kurumsal veri merkeziniz (sanal özel ağ geçidi aracılığıyla)	Varsayılan olarak bir Amazon VPC’de başlattığınız bulut sunucuları kendi (uzak) ağınızla iletişim kuramaz. AWS Siteden Siteye VPN (Siteden Siteye VPN) bağlantısı oluşturarak ve yönlendirmeyi bağlantı üzerinden trafik aktaracak şekilde yapılandırarak VPC’nizden uzak ağınıza erişimi etkinleştirebilirsiniz.  NOT: VPC’lerinizi ortak bir şirket içi ağa bağlarken ağlarınız için çakışmayan CIDR blokları kullanmanızı öneririz.
  Hem internet hem de kurumsal veri merkeziniz (hem internet ağ geçidi hem de sanal özel ağ geçidi kullanarak)	VPC’de bağlı bir sanal özel ağ geçidi vardır ve şirket içi (uzak) ağınız, Siteden Siteye VPN bağlantısını etkinleştirmek için yapılandırmanız gereken bir müşteri ağ geçidi cihazı içerir. Yönlendirmeyi, ağınıza bağlı VPC’den gelen tüm trafiğin sanal özel ağ geçidine yönlendirileceği şekilde ayarlarsınız.
  NAT bulut sunucusu	Özel alt ağlardaki kaynakların internete, diğer VPC’lere veya şirket içi ağlara bağlanmasına izin vermek için bir NAT bulut sunucusu kullanabilirsiniz. Bu bulut sunucuları VPC dışındaki hizmetlerle iletişim kurabilir ancak istenmeyen bağlantı istekleri alamaz.
  NAT ağ geçitleri	NAT ağ geçidi, bir ağ adresi çeviri (NAT) hizmetidir. Özel bir alt ağdaki bulut sunucularının VPC’nizin dışındaki hizmetlere bağlanabilmesi için bir NAT ağ geçidi kullanabilirsiniz ancak harici hizmetler bu bulut sunucularıyla bağlantı başlatamaz. Bir NAT ağ geçidi oluşturduğunuzda aşağıdaki bağlantı türlerinden birini belirtirsiniz: Genel - (Varsayılan) Özel alt ağlardaki bulut sunucuları, genel bir NAT ağ geçidi üzerinden internete bağlanabilir ancak internetten istenmeyen gelen bağlantıları alamaz. Genel bir alt ağda genel bir NAT ağ geçidi oluşturursunuz ve bu oluşturma esnasında esnek bir IP adresini NAT ağ geçidi ile ilişkilendirmeniz gerekir. VPC için trafiği NAT ağ geçidinden internet ağ geçidine yönlendirirsiniz. Alternatif olarak diğer VPC’lere veya şirket içi ağınıza bağlanmak için genel bir NAT ağ geçidi kullanabilirsiniz. Bu durumda, trafiği NAT ağ geçidinden bir transit ağ geçidi veya sanal bir özel ağ geçidi aracılığıyla yönlendirirsiniz. Özel - Özel alt ağlardaki bulut sunucuları, özel bir NAT ağ geçidi aracılığıyla diğer VPC’lere veya şirket içi ağınıza bağlanabilir. Trafiği NAT ağ geçidinden bir transit ağ geçidi veya sanal bir özel ağ geçidi aracılığıyla yönlendirebilirsiniz. Esnek bir IP adresini özel bir NAT ağ geçidi ile ilişkilendiremezsiniz. Özel bir NAT ağ geçidine sahip bir VPC’ye internet ağ geçidi ekleyebilirsiniz ancak trafiği özel NAT ağ geçidinden internet ağ geçidine yönlendirirseniz internet ağ geçidi trafiği düşürür. NAT ağ geçidi, bulut sunucularının kaynak IP adresini NAT ağ geçidinin IP adresiyle değiştirir. Genel bir NAT ağ geçidi için bu, NAT ağ geçidinin esnek IP adresidir. Özel bir NAT ağ geçidi için bu, NAT ağ geçidinin özel IP adresidir. Bulut sunucularına yanıt trafiği gönderirken NAT cihazı, adresleri özgün kaynak IP adresine geri çevirir.
  AWS Direct Connect	İnternet üzerinden VPN kullanmaya başlamak için harika bir seçenek olsa da internet bağlantısı üretim trafiği için güvenilir olmayabilir. Bu güvenilmezlik nedeniyle birçok müşteri AWS Direct Connect’i tercih eder. AWS Direct Connect, AWS’ye bağlanmak için internet kullanımına alternatif sunan bir ağ iletişimi hizmetidir. AWS Direct Connect'i kullandığınızda daha önce İnternet üzerinden taşınan veriler AWS ile tesisiniz arasındaki özel bir ağ bağlantısı üzerinden teslim edilir. Özel ağ bağlantıları birçok koşulda maliyetleri azaltabilir, bant genişliğini artırabilir ve internet tabanlı bağlantılardan daha tutarlı bir ağ deneyimi sunabilir. Daha fazla bilgi edinmek için Ölçeklenebilir ve Güvenli Çoklu VPC AWS Ağ Altyapısı Oluşturma başlıklı teknik incelemeye bakın.
  Diğer Amazon VPC’leri (VPC eşleme bağlantıları aracılığıyla)	VPC eşleme bağlantısı, iki VPC arasındaki bir ağ iletişimi bağlantısıdır ve trafiği bunlar arasında özel olarak yönlendirmenize olanak sağlar. Her iki VPC’den birindeki bulut sunucuları, aynı ağ içindelermiş gibi birbirleriyle iletişim kurabilir. Kendi VPC’leriniz arasında, başka bir AWS hesabındaki bir VPC ile veya farklı bir AWS Bölgesindeki bir VPC ile VPC eşleme bağlantısı oluşturabilirsiniz. AWS, VPC eşleme bağlantısı oluşturmak için bir VPC’nin mevcut altyapısını kullanır. Bu, ne bir ağ geçidi ne de AWS Siteden Siteye VPN bağlantısıdır ve ayrı bir fiziksel donanım parçasına güvenmez. İletişim veya bant genişliği güçlüğü için tek hata noktası yoktur.

• Farklı hesaplardaki diğer VPC’lere bağlanabilir miyim?

  Evet, diğer VPC’nin sahibinin eşleme bağlantısı isteğinizi kabul ettiğini varsayarsak farklı hesaplardaki diğer VPC’lere eşleme yapabilirsiniz.
  

  VPC paylaşımı

  VPC’leri paylaşmak, ekipler arasındaki ağ yalıtımının VPC sahibi tarafından sıkı bir şekilde yönetilmesi gerekmediğinde yararlıdır ancak hesap düzeyinde kullanıcılar ve izinler olmalıdır. Paylaşılan bir VPC ile birden çok AWS hesabı, uygulama kaynaklarını (EC2 bulut sunucuları gibi) paylaşılan, merkezi olarak yönetilen Amazon VPC’lerinde oluşturur. Bu modelde, VPC’nin sahibi olan hesap (sahip), diğer hesaplarla (katılımcılar) bir veya daha fazla alt ağ paylaşır. Bir alt ağ paylaşıldıktan sonra, katılımcılar kendileriyle paylaşılan alt ağlardaki uygulama kaynaklarını görüntüleyebilir, oluşturabilir, değiştirebilir ve silebilir. Katılımcılar, diğer katılımcılara veya VPC sahibine ait kaynakları görüntüleyemez, değiştiremez veya silemez. Paylaşılan VPC’lerdeki kaynaklar arasındaki güvenlik; güvenlik grupları, ağ erişim denetimi listeleri (NACL’ler) kullanılarak veya alt ağlar arasındaki bir güvenlik duvarı aracılığıyla yönetilir
  

  AWS PrivateLink

  AWS PrivateLink, trafiğinizi genel kullanıma yönelik internete açmadan VPC’ler, AWS hizmetleri ve şirket içi ağlarınız arasında özel bağlantı sağlar. AWS PrivateLink, farklı hesaplar ve VPC’ler üzerinden hizmetlere bağlanmanızı kolaylaştırarak ağ mimarinizi önemli ölçüde basitleştirir. Bu, bir VPC’de (hizmet sağlayıcı) bulunan bir hizmeti/uygulamayı AWS Bölgesi içindeki diğer VPC’lere (tüketici) özel olarak açmak isteyebilecek müşterilere, yalnızca tüketici VPC’lerinin hizmet sağlayıcı VPC ile bağlantı başlatacağı şekilde izin verir. Bunun bir örneği, özel uygulamalarınızın hizmet sağlayıcı API’lerine erişebilmesidir.
  

  AWS Transit Ağ Geçidi

  AWS Transit Ağ Geçidi, müşterilerin binlerce VPC’yi bağlamasına olanak tanır. Tüm hibrit bağlantınızı (VPN ve Direct Connect bağlantıları) tek bir Transit Ağ Geçidi bulut sunucusuna ekleyebilir, kuruluşunuzun tüm AWS yönlendirme yapılandırmasını tek bir yerde birleştirebilir ve denetleyebilirsiniz. Transit Ağ Geçidi, yönlendirme tablolarını kullanarak trafiğin tüm bağlı bileşen ağları arasında nasıl yönlendirileceğini denetler. Bu hub ve bağlı bileşen modeli yönetimi basitleştirir ve VPC’ler bağlı ağlara erişim sağlamak için yalnızca Transit Ağ Geçidi bulut sunucusuna bağlandığından işletme maliyetlerini düşürür.
  

  Transit VPC çözümü

  Transit VPC’ler, VPC’ler arası bağlantı için bir hub ve bağlı bileşen tasarımı sunarak VPC eşleme eksikliklerinden bazılarını çözebilir. Bir transit VPC ağında, tek bir merkezi VPC (hub VPC), tipik olarak IPsec üzerinden BGP kullanarak bir VPN bağlantısı aracılığıyla tüm diğer VPC’lere (bağlı bileşen VPC) bağlanır. Merkezi VPC, VPN katmanı kullanarak gelen trafiği hedeflerine yönlendiren yazılım cihazlarını çalıştıran EC2 bulut sunucularını içerir. Transit VPC eşleme aşağıdaki avantajlara sahiptir:

  • Geçişli yönlendirme, katman VPN ağı kullanılarak etkinleştirilir ve daha basit bir hub ve bağlı bileşen tasarımına olanak tanır.
  • Hub transit VPC’deki EC2 bulut sunucusunda üçüncü taraf satıcı yazılımı kullanıldığında Katman-7 güvenlik duvarı/İzinsiz Girişi Önleme Sistemi (IPS)/İzinsiz Girişi Algılama Sistemi (IDS) gibi gelişmiş güvenlikle ilgili satıcı işlevleri kullanılabilir. Müşteriler aynı yazılımı şirket içinde kullanıyorsa birleşik bir operasyon/izleme deneyiminden yararlanır.
  • Transit VPC mimarisi, bazı kullanım durumlarında istenebilecek bağlantı sağlar. Örneğin bir AWS GovCloud bulut sunucusunu ve Ticari Bölge VPC veya Transit Ağ Geçidi bulut sunucusunu bir Transit VPC’ye bağlayabilir ve iki Bölge arasında VPC’ler arası bağlantıyı etkinleştirebilirsiniz. Bu seçeneği değerlendirirken güvenlik ve uyumluluk gereksinimlerinizi değerlendirin. Ek güvenlik için bu teknik incelemede daha sonra açıklanan tasarım modellerini kullanarak merkezi bir denetim modeli dağıtabilirsiniz.

  NOT: Transit VPC, bulut sunucusu boyutuna/ailesine bağlı olarak Amazon EC2’de üçüncü taraf satıcı sanal cihazlarının çalıştırılması için daha yüksek maliyetler; VPN bağlantısı başına sınırlı aktarım hızı (VPN tüneli başına 1,25 Gbps’ye kadar) ve ek yapılandırma, yönetim ve dayanıklılık iş yükü gibi kendi zorluklarıyla birlikte gelir (müşteriler, üçüncü taraf satıcı sanal cihazlarını çalıştıran EC2 bulut sunucularının yüksek düzeyde kullanılabilirliğini ve yedekliliğini yönetmekten sorumludur).
  

• VPC'niz için bazı en iyi güvenlik uygulamaları nelerdir?

  Aşağıdaki en iyi uygulamalar genel yönergelerdir ve tam bir güvenlik çözümünü temsil etmez. Bu en iyi uygulamalar çevreniz için uygun veya yeterli olmayabileceğinden bunları yönergelerden çok yararlı hususlar olarak değerlendirin.

  • Uygulamanızı barındırmak için VPC’nize alt ağlar eklediğinizde bunları birden çok Erişilebilirlik Alanında oluşturun. Bir Erişilebilirlik Alanı bir AWS Bölgesindeki yedekli güç, ağ iletişimi ve bağlantıya sahip bir veya daha fazla ayrık veri merkezidir. Birden fazla Erişilebilirlik Alanı kullanma, üretim uygulamalarınızı yüksek oranda kullanılabilir, hata toleranslı ve ölçeklenebilir hale getirir.
  • Alt ağlarınıza erişimi denetlemek için ağ ACL’lerini, alt ağlarınızdaki EC2 bulut sunucularına giden trafiği denetlemek için güvenlik gruplarını kullanın.
  • AWS Kimlik ve Erişim Yönetimi (IAM) kimlik federasyonunu, kullanıcıları ve rolleri kullanarak Amazon VPC kaynaklarına ve API’lere erişimi yönetin.
  • VPC’nizdeki ağ arabirimlerine gidip gelen IP trafiğini izlemek için VPC akış günlükleriyle Amazon CloudWatch’u kullanın.

  VPC güvenliği ile ilgili sık sorulan soruların yanıtları için Amazon VPC ile İlgili SSS’ler bölümündeki Güvenlik ve Filtreleme bölümüne bakın.
  

• Yaygın VPC senaryoları nelerdir?

  Tek bir genel alt ağa sahip VPC

  Bu senaryonun yapılandırması, tek bir genel alt ağa sahip bir VPC ve internet üzerinden iletişimi sağlamak için bir internet ağ geçidi içerir. Blog veya basit bir web sitesi gibi tek katmanlı, genel erişime açık bir web uygulaması çalıştırmanız gerekiyorsa bu yapılandırmayı öneririz. Bu senaryo isteğe bağlı olarak IPv6 için de yapılandırılabilir. Genel alt ağda başlatılan bulut sunucuları IPv6 adreslerini alabilir ve IPv6 kullanarak iletişim kurabilir.
  

  

  Kapat

  

  Genel ve özel alt ağlara sahip VPC (NAT)

  Bu senaryonun yapılandırması, genel bir alt ağa ve özel bir alt ağa sahip bir VPC içerir. Genel erişime açık olmayan arka uç sunucularını korurken genel erişime açık bir web uygulaması çalıştırmak istiyorsanız bu senaryoyu öneririz. Yaygın bir örnek, web sunucularının genel bir alt ağda, veritabanı sunucularının ise özel bir alt ağda olduğu çok katmanlı bir web sitesidir. Web sunucularının veritabanı sunucularıyla iletişim kurabilmesi için güvenlik ve yönlendirmeyi ayarlayabilirsiniz.

  Genel alt ağdaki bulut sunucuları giden trafiği doğrudan internete gönderebilirken özel alt ağdaki bulut sunucuları bunu yapamaz. Bunun yerine, özel alt ağdaki bulut sunucuları, genel alt ağda bulunan bir ağ adresi çevirisi (NAT) ağ geçidini kullanarak internete erişebilir. Veritabanı sunucuları, NAT ağ geçidini kullanarak yazılım güncellemeleri için internete bağlanabilir ancak internet veritabanı sunucularına yönelik bağlantı kuramaz.

  Bu senaryo isteğe bağlı olarak IPv6 için de yapılandırılabilir. Alt ağlarda başlatılan bulut sunucuları IPv6 adreslerini alabilir ve IPv6 kullanarak iletişim kurabilir. Özel alt ağdaki bulut sunucuları, IPv6 üzerinden internete bağlanmak için yalnızca çıkış internet ağ geçidi kullanabilir ancak internet, IPv6 üzerinden özel bağlantı sunucularına yönelik bağlantı kuramaz.
  

  

  Kapat

  

  Genel ve özel alt ağlara sahip VPC ve AWS Siteden Siteye VPN erişimi

  Bu senaryonun yapılandırması, genel bir alt ağa ve özel bir alt ağa sahip bir VPC ve bir IPsec VPN tüneli üzerinden kendi ağınızla iletişimi sağlamak için sanal bir özel ağ geçidi içerir. Ağınızı buluta genişletmek ve ayrıca VPC’nizden internete doğrudan erişmek istiyorsanız bu senaryoyu öneririz. Bu senaryo, genel bir alt ağda ölçeklenebilir bir web ön ucu ile çok katmanlı bir uygulama çalıştırmanıza ve verilerinizi bir IPsec AWS Siteden Siteye VPN bağlantısıyla ağınıza bağlı özel bir alt ağda barındırmanıza olanak tanır.

  Bu senaryo isteğe bağlı olarak IPv6 için de yapılandırılabilir. Alt ağlarda başlatılan bulut sunucuları IPv6 adreslerini alabilir. Sanal bir özel ağ geçidinde bir Siteden Siteye VPN bağlantısı üzerinden IPv6 iletişimini desteklemiyoruz ancak VPC’deki bulut sunucuları IPv6 aracılığıyla birbirleriyle iletişim kurabilir ve genel alt ağdaki bulut sunucuları IPv6 yoluyla internet üzerinden iletişim kurabilir.
  

  

  Kapat

  

  Yalnızca özel bir alt ağa sahip VPC ve AWS Siteden Siteye VPN erişimi

  Bu senaryonun yapılandırması, tek bir özel alt ağa sahip bir VPC ve bir IPsec VPN tüneli üzerinden kendi ağınızla iletişimi sağlamak için sanal bir özel ağ geçidi içerir. İnternet üzerinden iletişimi sağlamak için internet ağ geçidi yoktur. Ağınızı internete açmadan AWS altyapısı kullanarak buluta genişletmek istiyorsanız bu senaryoyu öneririz.

  Bu senaryo isteğe bağlı olarak IPv6 için de yapılandırılabilir. Alt ağda başlatılan bulut sunucuları IPv6 adreslerini alabilir. Sanal bir özel ağ geçidinde bir AWS Siteden Siteye VPN bağlantısı üzerinden IPv6 iletişimini desteklemiyoruz ancak VPC’deki bulut sunucuları IPv6 aracılığıyla birbirleriyle iletişim kurabilir.
  

  

  Kapat

  

Sonraki adımlar