20 | 11 | 2020

Hvilke netværkselementer indgår i AWS VPC?

I dette indlæg vil vi bringe dig alle de netværkskomponenter, der er en del af Amazon Web Services (AWS). Vi vil se nærmere på hvert element, hvad det gør, og hvordan det passer ind i den overordnede infrastruktur. Forhåbentlig vil det besvare nogle af dine spørgsmål, og ved bedre forståelse vil du blive fristet til at bruge disse tjenester.

Før vi går i detaljerne, vil vi gerne understrege, at et godt netværksdesign er et fundament for lokal datacenterinfrastruktur. Det samme gælder for Cloud-miljøet (post 10 Top Network Design Best Practices til din infrastruktur). Vi vil også gerne hævde, at vi kun koncentrerer os om netværks- og sikkerhedsaspektet ved AWS; andre tjenester er uden for anvendelsesområdet i denne blog.

Hvad er Amazon VPC?

Amazon Virtual Private Cloud (Amazon VPC) giver dig mulighed for at starte AWS-ressourcer i et virtuelt netværk, som du har defineret. Dette virtuelle netværk ligner meget et traditionelt netværk, som du vil operere i dit eget datacenter med fordelene ved at bruge den skalerbare infrastruktur i AWS.

VPC - et virtuelt netværk dedikeret til din AWS-konto, hvor du kan køre flere netværk, isolere dem fra hinanden for bedre sikkerhed og overholdelse. Tilslut dit lokale datacenter, og kør et hybridnetværksløsning. Den helt skalerbare og smidige løsning, der forbedrer din forretningsdrift.

Hvad er AWS-region?

AWS har begrebet en region, en fysisk placering rundt om i verden, hvor vi klynger datacentre. Vi kalder hver gruppe af logiske datacentre for en tilgængelighedszone. Hver AWS-region består af flere, isolerede og fysisk separate AZ'er inden for et geografisk område. I modsætning til andre cloududbydere, der ofte definerer en region som et enkelt datacenter, giver det mange AZ-design i hver AWS-region fordele for kunderne. Hver AZ har uafhængig strøm, køling og fysisk sikkerhed forbundet via redundante netværk med ultra-lav latens. AWS-kunder med høj tilgængelighed kan designe deres applikationer til at køre flere AZ'er for at opnå endnu større fejltolerance. AWS-infrastrukturregioner opfylder de højeste niveauer af sikkerhed, overholdelse og databeskyttelse.

AWS giver et mere omfattende globalt fodaftryk end nogen anden skyudbyder. For at understøtte dets globale fodaftryk og sikre, at kunderne betjenes over hele verden, åbner AWS hurtigt nye regioner. AWS opretholder flere geografiske regioner, herunder regioner i Nordamerika, Sydamerika, Europa, Kina, Stillehavsasien, Sydafrika og Mellemøsten.

AWS verdensregioner

Tilgængelighedszoner

En tilgængelighedszone (AZ) er et diskret datacenter med overflødig strøm, netværk og tilslutningsmuligheder i en AWS-region. AZ'er giver kunderne mulighed for at betjene produktionsapplikationer og databaser, der er mere tilgængelige, fejltolerante og skalerbare, end det ville være muligt fra et enkelt datacenter. Alle AZ'er i en AWS-region er sammenkoblet med netværk med høj båndbredde, lav latenstid, over fuldt redundante, dedikerede metrofibre, der giver netværk med høj gennemstrømning, lav latenstid mellem AZ'er. Al trafik mellem AZ'er er krypteret. Netværksydelsen er tilstrækkelig til at opnå synkron replikering mellem AZ'er. AZ'er gør det let at opdele applikationer til høj tilgængelighed. Hvis en applikation er opdelt på tværs af AZ'er, er virksomhederne bedre isoleret og beskyttet mod problemer som strømafbrydelser, lynnedslag, tornadoer, jordskælv og mere. AZ'er er fysisk adskilt af en meningsfuld afstand, mange kilometer, fra enhver anden AZ, selvom alle ligger inden for 100 km (60 miles) fra hinanden.

Høj tilgængelighed

I modsætning til andre teknologiinfrastrukturudbydere har hver AWS-region flere AZ'er. Som vi har lært af at køre den førende cloudinfrastrukturteknologiplatform siden 2006, vil kunder, der er interesserede i deres applikations tilgængelighed og ydeevne, ønsker at implementere disse applikationer på tværs af flere AZ'er i samme region for fejltolerance og lav latenstid. AZ'er er forbundet med hurtige, private fiberoptiske netværk, så du effektivt kan arkivere applikationer, der automatisk fail-over mellem AZ'er uden afbrydelse.

AWS-kontrolplanet (inklusive API'er) og AWS Management Console distribueres på tværs af AWS-regioner og bruger en multi-AZ-arkitektur inden for hver region for at levere modstandsdygtighed og sikre kontinuerlig tilgængelighed. Dette sikrer, at kunder undgår at have en kritisk serviceafhængighed af et enkelt datacenter. AWS kan udføre vedligeholdelsesaktiviteter uden at gøre nogen vital service midlertidigt utilgængelig for nogen kunde.

Netværk / undernet

Grundlæggende om VPC og subnet

En virtuel privat sky (VPC) er et virtuelt netværk dedikeret til din AWS-konto. Det er logisk isoleret fra andre virtuelle netværk i AWS Cloud. Du kan starte dine AWS-ressourcer, såsom Amazon EC2-forekomster, i din VPC.

Når du opretter en VPC, skal du angive et interval af IPv4-adresser til VPC i form af en Classless Inter-Domain Routing (CIDR) -blok; for eksempel, 10.0.0.0/16.

Netværkssegmentering

Selvom du får ./16 netværk inden for din VPC, behøver ingen 65k plus IP-adresse, ikke engang FTSE 100 Global Enterprise-forretning. Ved at sige, at det er godt at have flere IP'er, da du kan segmentere dem i meget mindre undernet - ./24 for eksempel, hvilket giver dig 250 plus IP'er. Dette er vigtig, og dette skal tydeligt angives helt fra starten. Et godt design hjælper dig med at implementere de tjenester, du har brug for, og isolere dem; webservere, applikationer, databaser og andre. En anden vigtig ting er ikke at have de samme netværksområder i skyen og det lokale netværk, da dette kan forårsage konflikter i fremtiden.

Private undernet

Ærligt talt er der ingen private eller offentlige undernet. Udtrykket bruges til at beskrive - Private undernet, disse netværk, der er isoleret og ikke har adgang til Internettet eller adgang fra Internettet, er ikke tilladt til disse undernet / netværk. Mest sandsynligt vil din database være på disse netværk og andre sikre tjenester.

Offentlige undernet

Trafik er tilladt og filtreret fra internettet til offentlige undernet / netværk. Værter inden for disse netværk har private IP-adresser, og adgang kan dirigeres via Internet Gateways og tilknyttede offentlige IP'er (Elastic IP Allocation)

Hvordan leverer vi datanetværk og cybersikker infrastruktur? | v500-systemer

Isolering af netværk

For yderligere netværksadgangskontrol kan du køre dine DB-forekomster i en Amazon VPC. Amazon VPC giver dig mulighed for at isolere dine DB-forekomster ved at specificere det IP-interval, du ønsker at bruge, og oprette forbindelse til din eksisterende IT-infrastruktur via industristandard krypteret IPsec VPN. At køre Amazon RDS i en VPC giver dig mulighed for at have en DB-forekomst i et privat undernet. Du kan også oprette en virtuel privat gateway, der udvider dit virksomhedsnetværk til din VPC og giver adgang til RDS DB-forekomsten i den pågældende VPC.

Ved multi-AZ-implementeringer vil definition af et subnet for alle tilgængelighedszoner i en region give Amazon RDS mulighed for at oprette en ny standby i en anden tilgængelighedszone, hvis behovet skulle opstå. Du kan oprette DB-subnetgrupper, som er samlinger af undernet, som du måske vil udpege til dine RDS DB-forekomster i en VPC. Hver DB-subnetgruppe skal have mindst et undernet for hver tilgængelighedszone i en given region. I dette tilfælde, når du opretter en DB-instans i en VPC, skal du vælge en DB-subnetgruppe. Amazon RDS bruger derefter den DB-subnetgruppe og din foretrukne tilgængelighedszone til at vælge et undernet og en IP-adresse inden for dette undernet. Amazon RDS opretter og knytter en elastisk netværksgrænseflade til din DB Instance med den IP-adresse.

DB-forekomster, der er implementeret i en Amazon VPC, kan tilgås fra Internettet eller Amazon EC2-forekomster uden for VPC via VPN eller bastionværter, som du kan starte i dit offentlige undernet. For at bruge en bastion-vært skal du oprette et offentligt undernet med en EC2-forekomst, der fungerer som en SSH Bastion. Dette offentlige undernet skal have en internet-gateway og routingsregler, der gør det muligt at dirigere trafik via SSH-værten, som derefter skal videresende anmodninger til den private IP-adresse på din Amazon RDS DB-instans.

DB-sikkerhedsgrupper kan bruges til at sikre DB-forekomster i en Amazon VPC. Desuden kan netværkstrafik, der kommer ind og ud af hvert subnet, tillades eller nægtes via netværkets ACL'er. Al netværkstrafik, der kommer ind eller ud af din Amazon VPC via din IPsec VPN-forbindelse, kan inspiceres af din lokale sikkerhedsinfrastruktur, herunder netværksfirewalls og indbrudsdetekteringssystemer.

Sikkerhedsgrupper til din VPC

sikkerhedsgruppe fungerer som en virtuel firewall til din instans til at kontrollere indgående og udgående trafik. Når du starter en forekomst i en VPC, kan du tildele fem sikkerhedsgrupper til forekomsten. Sikkerhedsgrupper handler på instansniveau, ikke undernetniveau. Derfor kan hver forekomst i et undernet i din VPC tildeles til et andet sæt sikkerhedsgrupper.

Hvis du starter en instans ved hjælp af Amazon EC2 API eller et kommandolinjeværktøj og ikke angiver en sikkerhedsgruppe, tildeles forekomsten automatisk til standardsikkerhedsgruppen for VPC. Hvis du starter en instans ved hjælp af Amazon EC2-konsollen, har du f.eks. Mulighed for at oprette en ny sikkerhedsgruppe.

For hver sikkerhedsgruppe tilføjer du regler der styrer den indgående trafik til forekomster og et separat sæt regler, der styrer den udgående trafik. Dette afsnit beskriver de grundlæggende ting, du har brug for at vide om sikkerhedsgrupper til din VPC og deres regler.

Liste over netværksadgangskontrol (NACL)

En liste over netværksadgangskontrol (NACL) er et valgfrit sikkerhedslag til din VPC, der fungerer som en firewall til styring af trafik ind og ud af et eller flere undernet. Du kan muligvis oprette netværks-ACL'er med regler, der ligner dine sikkerhedsgrupper for at føje sikkerhedslag til din VPC.

NACL udfører en vis filtrering mellem netværk. Vi vil dog stærkt anbefale at installere en Next-Generation firewall, sådan en Palo Alto til at udføre en granulær inspektion på alle 7x lag i din VPC-infrastruktur, for ikke at nævne trafik fra Internettet.

Mere om Next-Gen Firewalls, dedikeret indlæg om dette emne

Styring af routing

Rutetabel - Et sæt regler, kaldet ruter, bruges til at bestemme, hvor netværkstrafikken rettes.

Det giver dig en detaljeret måde, hvor trafikken kan gå eller påvirke trafikken, meget nyttigt i adskillelsen af ​​private netværk.

Internet-gateway

En internet-gateway er en vandret skaleret, overflødig og meget tilgængelig VPC-komponent, der tillader kommunikation mellem din VPC og internettet.

En internetgateway tjener to formål: at give et mål i dine VPC-rutetabeller til internet-routbar trafik og at udføre netværksadresseoversættelse (NAT) for forekomster, der er tildelt offentlige IPv4-adresser.
I modsætning til NAT Gateway tillader Internet Gateway trafik til dine forekomster i VPC fra Internettet.

Internet-gateways, der kun er udgang

En udgangs-kun internet-gateway er en vandret skaleret, redundant og meget tilgængelig VPC-komponent, der tillader udgående kommunikation over IPv6 fra forekomster i din VPC til internettet. Det forhindrer internettet i at starte en IPv6-forbindelse med dine forekomster.

Kontinuerlig service 99.999% for netværksinfrastruktur

NAT Gateway

Du kan bruge en Network Address Translation (NAT) Gateway til at aktivere forekomster i et privat undernet til at oprette forbindelse til internettet eller andre AWS-tjenester, men forhindre internettet i at oprette forbindelse til disse forekomster. Med andre ord nægtes en session, der er startet fra en vært på Internettet.
Denne funktion er meget nyttig, hvis du vil have servere -> forekomster i sikkert / begrænset netværk for at hente sikkerhedsopdateringer, programrettelser og antivirusopdateringer fra Internettet.
Hvis du kan lide at forstå mere om NAT'ing, skal du læse vores indlæg dedikeret til dette emne.

Elastisk IP-adresse

An Elastisk IP-adresse er en statisk IPv4-adresse designet til dynamisk cloud computing. Ved hjælp af en elastisk IP-adresse kan du maskere fejlen i en forekomst eller software ved hurtigt at omlægge adressen til en anden forekomst på din konto. En elastisk IP-adresse tildeles din AWS-konto og er din, indtil du frigiver den.

En elastisk IP-adresse er en offentlig IPv4-adresse, som kan nås fra internettet. Hvis din forekomst ikke har en offentlig IPv4-adresse, kan du knytte en elastisk IP-adresse til din forekomst for at muliggøre kommunikation med internettet. For eksempel giver dette dig mulighed for at oprette forbindelse til din forekomst fra din lokale computer.

AWS understøtter i øjeblikket ikke elastiske IP-adresser til IPv6.

VPN-forbindelser til din AWS Cloud - VPC

AWS Site-to-Site VPN

Du kan oprette en IPsec VPN-forbindelse mellem din VPC og dit eksterne netværk. En virtuel privat gateway eller transitgateway leverer to VPN-slutpunkter (tunneler) til automatisk failover på AWS-siden af ​​VPN-forbindelsen Site-to-Site. Du konfigurerer din kunde gateway-enhed på den fjerne side af VPN-forbindelsen Site-to-Site.

AWS-klient VPN

AWS Client VPN er en administreret klientbaseret VPN-tjeneste, der giver dig adgang til dine AWS-ressourcer eller dit lokale netværk sikkert. Med AWS Client VPN konfigurerer du et slutpunkt, som dine brugere kan oprette forbindelse til for at etablere en sikker TLS VPN-session. Dette giver klienter adgang til ressourcer i AWS eller lokalt fra ethvert sted ved hjælp af en OpenVPN-baseret VPN-klient.

AWS VPN CloudHub

Hvis du har mere end et fjernt netværk (f.eks. Flere filialer), kan du oprette flere AWS Site-to-Site VPN-forbindelser via din virtuelle private gateway for at muliggøre kommunikation mellem disse netværk.

Tredjeparts software VPN-apparat

Du kan oprette en VPN-forbindelse til dit eksterne netværk ved hjælp af en Amazon EC2-forekomst i din VPC, der kører et tredjeparts-VPN-VPN-apparat. AWS leverer eller vedligeholder ikke VPN-apparater fra tredjepartssoftware; dog kan du vælge mellem en række produkter leveret af partnere og open source-samfund.

v500-systemer | blog | aci - applikation centreret infrastruktur

Læs andre vores indlæg, der er relateret til Cloud Services.

Sagen til cloud computing og hybridnetværk

Cloud Networks-løsninger

Hvad er måderne til at forbinde det lokale netværk til AWS Cloud?

Netværk som en tjeneste (NaaS), udvid dine muligheder!

10 Top Network Design Best Practices til din infrastruktur

RELATEREDE ARTIKLER

20 | 02 | 2021

Hvordan kan en intelligent dokumentbehandlingsløsning gavne Legal Sector?

I dag bruger mange advokatfirmaer en manuel proces til at udtrække data fra dokumenter og formularer og overføre dem til behandlingssoftware, hvilket er langsomt og kan føre til fejl.
04 | 02 | 2021

Vi holder af miljøet og kører derfor et papirløst kontor på AWS WorkDocs

Som mange andre virksomheder ønskede vi at drive en papirløs virksomhed, der sparer miljøet og også penge, opbevaring og holder alt fortroligt og sikkert. En idé om et papirløst kontor blev født ...
09 | 01 | 2021

Er Cloud en omkostningseffektiv løsning?

Vi kan besvare disse spørgsmål i de næste afsnit - Hvad er Cloud Computing? - Praksis med at bruge et netværk af eksterne servere hostet på Internettet til at gemme, administrere og behandle data i stedet for en lokal server eller personlig computer.
15 | 11 | 2020

Cloud Computing, Cybersikkerhed og netværk Trends i 2021 og derover ...

Datanetværk fik alvorlig opmærksomhed i de senere år med den brede anvendelse af det nye anvendelsesområde. Vi vil gøre opmærksom på efterfølgende teknologier, og hvordan de kan tilføje værdi til din virksomhed.