20 | 11 | 2020

Hvilke netværkselementer indgår i AWS VPC?

Oplev netværksmagien bag AWS VPC: Afdække elementerne!

Introduktion

Amazon Web Services Virtual Private Cloud (AWS VPC) er et virtuelt netværk dedikeret til brugerens AWS-konto. Det gør det muligt for brugeren at starte AWS-ressourcer ind i et virtuelt netværk, som brugeren har defineret. En VPC består af flere komponenter, herunder undernet, rutetabeller, netværksgateways, sikkerhedsgrupper og netværksadgangskontrollister. Disse komponenter arbejder sammen for at give brugeren et sikkert og isoleret miljø til at køre deres applikationer og gemme deres data. Derudover giver VPC brugeren mulighed for at kontrollere adgangen til deres ressourcer og oprette forbindelse til on-premise eller andre VPC'er.

Kernehistorie

Komponenterne i AWS VPC er essentielle, fordi de giver brugeren de nødvendige værktøjer til at bygge og administrere deres virtuelle netværksinfrastruktur. Derudover hjælper disse komponenter brugeren med at sikre, isolere og kontrollere adgangen til deres AWS-ressourcer.

Undernet er en væsentlig komponent i en VPC. De giver brugerne mulighed for at opdele deres VPC i mindre netværkssegmenter og kontrollere trafikstrømmen mellem dem. Brugere kan isolere deres ressourcer ved at oprette flere undernet, håndhæve netværkssikkerhedspolitikker og implementere netværkssikkerhedsgrupper for at kontrollere indgående og udgående trafik.

Rutetabeller er også en væsentlig komponent i en VPC. De dikterer netværkstrafikstrømmen inden for en VPC og mellem forskellige undernet. Brugeren kan bruge rutetabeller til at angive målet for netværkstrafik, såsom et specifikt undernet eller en virtuel privat gateway. Dette giver brugeren mulighed for at kontrollere og administrere netværkstrafikken i deres VPC, hvilket sikrer, at deres ressourcer er sikre og tilgængelige.

Netværksgateways, såsom Internet Gateways, VPN Gateways og Direct Connect Gateways, er også væsentlige komponenter i en VPC. De giver brugeren en måde at forbinde deres VPC til internettet eller andre VPC'er, hvilket gør dem i stand til at få adgang til deres ressourcer og kontrollere netværkstrafikstrømmen. Netværksgateways er integreret med VPC'ens rutetabeller for at styre netværkstrafikstrømmen mellem VPC'en og internettet eller andre VPC'er.

Sikkerhedsgrupper og netværksadgangskontrollister (ACL'er) er også kritiske komponenter i en VPC. De styrer strømmen af ​​indgående og udgående netværkstrafik og sikrer, at kun autoriseret trafik kan komme ind eller ud af VPC'en. Derudover kan sikkerhedsgrupper og ACL'er bruges til at begrænse adgangen til bestemte porte, IP-adresser eller undernet. De arbejder sammen for at give sikkerhed for brugerens ressourcer.

Afslutningsvis arbejder AWS VPC sammen for at give brugeren en sikker, isoleret og fleksibel virtuel netværksinfrastruktur. Ved at bruge disse komponenter kan brugeren kontrollere og administrere deres netværkstrafik, sikre deres ressourcer og oprette forbindelse til andre netværk.

Nogle interessante fakta og statistikker om AWS VPC:

  1. Amazon VPC er en af ​​de mest udbredte cloud computing-tjenester med millioner af aktive brugere.
  2. AWS VPC leverer sikkert og skalerbart virtuelt netværk til Amazon Web Services (AWS) ressourcer.
  3. AWS VPC giver kunderne mulighed for at lancere Amazon Web Services (AWS) ressourcer i et virtuelt netværk defineret af kunden.
  4. AWS VPC-trafik kan isoleres fra det offentlige internet, hvilket giver et højere sikkerhedsniveau.
  5. AWS VPC understøtter både IPv4 og IPv6 adresseområder.
  6. AWS VPC kan udvides til fjernnetværk via VPN eller AWS Direct Connect.
  7. AWS VPC tilbyder flere kundedefinerede muligheder for netværksadgangskontrol, herunder sikkerhedsgrupper og netværks-ACL'er.
  8. AWS VPC understøtter mange netværkstopologier, herunder offentlige undernet, private undernet og hardware VPN-forbindelser.
  9. AWS VPC giver kunderne en høj grad af netværkstilpasning, herunder understøttelse af flere IP-adresseområder, netværkssegmentering og finmasket adgangskontrol.
  10. AWS VPC er tilgængelig i flere regioner og tilgængelighedszoner, hvilket giver kunderne høj tilgængelighed og fejltolerance for deres netværksinfrastruktur.
v500 systemer | virksomhedsløsninger med kunstig intelligens

Maksimering af forretningseffektivitet med AWS Cloud-løsninger

Lås op for det fulde potentiale i din virksomhed med AWS Cloud-teknologi

I dette indlæg ønsker vi at bringe dig alle de netværkskomponenter, der er en del af Amazon Web Services (AWS). Vi vil se nærmere på hvert element, hvad det gør, og hvordan det passer til den overordnede infrastruktur. Forhåbentlig vil det besvare nogle af dine spørgsmål, og ved bedre forståelse vil du blive fristet til at bruge disse tjenester.

Før vi går i detaljerne, vil vi gerne understrege, at et godt netværksdesign er et fundament for lokal datacenterinfrastruktur. Det samme gælder for Cloud-miljøet (post 10 Top Network Design Bethe St Practices for din Infrastruktur). Vi vil også gerne fremhæve, at vi kun koncentrerer os om netværks- og sikkerhedsaspektet af AWS; andre tjenester er uden for omfanget i denne blog.

Hvad er Amazon VPC?

Amazon Virtual Private Cloud (Amazon VPC) giver dig mulighed for at starte AWS-ressourcer ind i et virtuelt netværk, som du har defineret. Dette virtuelle netværk ligner et traditionelt netværk, som du ville drive i dit eget datacenter, med fordelene ved at bruge AWS's skalerbare infrastruktur.

VPC – et virtuelt netværk dedikeret til din AWS-konto, hvor du kan køre flere netværk og isolere dem fra hinanden for bedre sikkerhed og compliance. Tilslut dit lokale datacenter, og kør en hybridnetværksløsning. Den skalerbare og agile løsning til at forbedre din virksomhedsdrift.

Hvad er AWS-region?

AWS har et regionskoncept, en fysisk placering rundt om i verden, hvor vi samler datacentre. Vi kalder hver gruppe af logiske datacentre for en tilgængelighedszone. EacAZsS-regionen består af flere isolerede og fysisk adskilte AZ'er inden for et geografisk område. I modsætning til andre cloud-numerousrs, som ofte definerer en region som et enkelt datacenter, giver det multiple AZ-design i hver AWS-region fordele for kunderne. Hver AZ har uafhængig strøm, køling og fysisk sikkerhed forbundet via redundante netværk med ultralav latenstid. AWS-kunder, der fokuserer på høj tilgængelighed, kan designe deres applikationer til at køre flere AZ'er for at opnå den mest øgede fejltolerance. Som et resultat opfylder AWS-infrastrukturregioner de mest øgede sikkerheds-, compliance- og databeskyttelsesniveauer.

AWS giver et mere omfattende globalt fodaftryk end nogen anden cloud-udbyder. For at understøtte dets verdensomspændende fodaftryk og sikre, at kunder bliver betjent over hele verden, åbner AWS nye regioner hurtigt. Som følge heraf opretholder AWS flere geografiske regioner, herunder regioner i Nordamerika, Sydamerika, Europa, Kina, Asien og Stillehavsområdet, Sydafrika og Mellemøsten.

AWS verdensregioner

AWS Cloud: Nøglen til at strømline driften og spare omkostninger

Tilgængelighedszoner

An Availability Zone (AZ) er et diskret datacenter med overflødig strøm, netværk og tilslutning i en AWS-region. AZ'er giver kunderne mulighed for at betjene produktionsapplikationer og databaser, der er mere tilgængelige, fejltolerante og skalerbare, end det ville være muligt fra et enkelt datacenter. Alle AZ'er i en AWS-region er forbundet med netværk med høj båndbredde, lav latens, over fuldt redundante, dedikerede metAZsibre, der giver høj-thAZshput, lav latens-netværk mellem AZ'er. Al trafik mellem AZ'er er krypteret - netværkets ydeevne AZ er tilstrækkelig til at udføre synkron replikering mellem AZ'er. AZ'er gør det nemt at opdele applikationer med fAZsigh. Hvis en applikation er parter, er virksomheder bedre isoleret og beskyttet mod problemer som pAZs udfald, lynnedslag, betydelige jordskælv og mere. AZ'er er fysisk adskilt af en betydelig afstand, mange kilometer, fra enhver anden AZ, selvom alle er inden for 100 km (60 miles) fra hinanden.

Høj tilgængelighed

I modsætning til andre AZshnology-infrastrukturudbydere har hver AWS-region flere AZ'er. Som vi har lært af at køre den førende cloud-infrastrukturteknologiplatform siden 2006, ønsker kunder, der bekymrer sig om deres applikationers tilgængelighedsydelse, at implementere disse applikationer på tværs af flere AZ'er i samme region for fejltolerance og lav latenstid. AZ'er er forbundet med hurtige, private fiberoptiske netværk, hvilket indebærer over til effektive arkitektapplikationer, der automatisk failover mellem AZ'er uden afbrydelser.

AWS-kontrolplanet (inklusive API'er) og AWS Management Console er fordelt på tværs af AWS-regioner og bruger en multi-AZ-arkitektur inden for hver region for at levere modstandsdygtighed og kontinuerlig tilgængelighed. Dette sikrer, at kunder undgår kritisk serviceafhængighed af et enkelt datacenter. AWS kan udføre vedligeholdelsesaktiviteter uden at gøre nogen vital service midlertidigt utilgængelig for nogen kunde.

v500 systemer | virksomhedsnetværk og sikkerhedsløsninger

Hvordan AWS Cloud kan revolutionere dine forretningsprocesser

Netværk / undernet

Grundlæggende om VPC og subnet

En virtuel privat sky (VPC) er et virtuelt netværk dedikeret til din AWS-konto. Det er logisk isoleret fra andre virtuelle netværk i AWS Cloud. Du kan starte dine AWS-ressourcer, såsom Amazon EC2-forekomster, i din VPC.

Når du opretter en VPC, skal du angive et interval af IPv4-adresser til VPC i form af en Classless Inter-Domain Routing (CIDR) -blok; for eksempel, 10.0.0.0/16.

Netværkssegmentering

Selvom du får et ./16-netværk i din VPC, behøver ingen 65k plus IP-adresse, ikke engang FTSE 100 GIPsl Enterprise-forretning. Ved at sige det er det godt at have flere IP'er, da du kan segmentere dem i så meget mindre undernet – for eksempel ./24, hvilket giver dig 250 plus IP'er. Dette er vigtigt og skal fremgå klart fra begyndelsen. Et godt design vil hjælpe dig med at implementere de tjenester, du har brug for, og isolere dem; webservere, applikationer, databaser og andre. Et andet vigtigt element er ikke at have de samme netværksområder i skyen og det lokale netværk, da dette kan forårsage konflikter i fremtiden.

Private undernet

Helt ærligt, der er ingen private eller offentlige undernet. Udtrykket bruges til at beskrive – Private undernet; disse tilladelser, der er isolerede og ikke har adgang til internettet eller adgang fra internettet, er ikke tilladt til disse undernet/netværk. Mest sandsynligt vil din database være på disse netværk og andre sikre tjenester.

Offentlige undernet

Trafik er tilladt og filtreret fra internettet til offentlige undernet/netværk. Værter inden for disse netværk har private IP-adresser, en IPscess kan dirigeres via internetgateways og tilhørende offentlige IP'er (elastisk IP-allokering)

Hvordan leverer vi datanetværk og cybersikker infrastruktur? | v500-systemer

AWS Cloud: The Future of Business Growth and Innovation

Isolering af netværk

For yderligere netværksadgangskontrol kan du køre dine DB-forekomster i en Amazon VPC. Amazon VPC giver dig mulighed for at isolere dine DB-forekomster ved at specificere det IP-område, du ønsker at bruge, og oprette forbindelse til din eksisterende tilføjelse, køre infrastruktur gennem industristandard krypteret IPsec VPN. Ved at køre Amazon RDS i en VPC kan du have en DB-instans i et privat undernet. Du kan også konfigurere en virtuel privat gateway, der udvider dit virksomhedsnetværk til din VPC og giver adgang til RDS DB-instansen i den VPC.

For Multi-AZ-installationer vil definering af et undernet for alle tilgængelighedszoner i en region gøre det muligt for Amazon RDS at oprette en ny standby i en anden tilgængelighedszone, hvis behovet skulle opstå. Du kan lave DB Subnet Groups-samlinger af undernet, som du måske ønsker at udpege til dine RDS DB-instanser i en VPC. Hver DB-undernetgruppe skal have mindst ét ​​undernet for hver tilgængelighedszone i en given region. I dette tilfælde, når du opretter en DB-instans i en VPC, vælger du en DB-undernetgruppe; Amazon RDS bruger derefter den DB-undernetgruppe og din foretrukne tilgængelighed. Endelig byzone til at vælge et undernet og en IP-adresse inden for det undernet. Amazon RDS opretter og knytter en Elastic Network Interface til din DB-instans med den IP-adresse.

DB-forekomster implementeret i en Amazon VPC kan tilgås fra internettet eller Amazon EC2-instanser uden for VPC'en via VPN eller bastion-værter thamustunch i dit offentlige undernet. For at bruge en bastion-vært skal du oprette et offentligt undernet med en EC2-instans, der fungerer som en SSH Bastion. Dette offentlige undernet skal have en internetgateway og routingregler, der tillader trafik at blive dirigeret via SSH-værten, som derefter skal videresende anmodninger til privatlivets fred for din Amazon RDS DB-instans.

DB Security Groups kan hjælpe med at sikre DB-forekomster i en Amazon VPC. Desuden kan netværkstrafik, der kommer ind og ud af hvert undernet, tillades eller nægtes via netværks ACL'er. Endelig kan al netværkstrafik, der kommer ind i eller forlader din Amazon VPC via din IPsec VPN-forbindelse, inspiceres af din lokale sikkerhedsinfrastruktur, inklusive netværksfirewalls og indtrængendetekteringssystemer.

Sikkerhedsgrupper til din VPC

sikkerhedsgruppe fungerer som en virtuel firewall, der for eksempel styrer indgående og udgående trafik. Når du starter modeltance i en VPC, kan du tildele fem sikkerhedsgrupper til instansen. Sikkerhedsgrupper handler på instansniveau, ikke undernetniveau. Derfor kan hver instans i et undernet i din VPC tildeles til et andet sæt sikkerhedsgrupper.

Antag, at du starter en instans ved hjælp af Amazon EC2 API eller et kommandolinjeværktøj og ikke angiver en sikkerhedsgruppe. I så fald tildeles instansen automatisk til standardsikkerhedsgruppen for VPC. Hvis du starter en instans ved hjælp af Amazon EC2-konsollen; du kan f.eks. oprette en ny sikkerhedsgruppe.

For hver sikkerhedsgruppe tilføjer du regler at styrer styret trafik til instanser og et separat sæt regler, der styrer den udgående trafik. Dette afsnit beskriver den grundlæggende praksis, du har brug for at vide om sikkerhedsgrupper til din VPC og deres praksis.

Liste over netværksadgangskontrol (NACL)

En liste over netværksadgangskontrol (NACL) er et valgfrit sikkerhedslag til din VPC, der fungerer som en firewall til styring af trafik ind og ud af et eller flere undernet. Du kan oprette netværks-ACL'er med regler, der ligner dine sikkerhedsgrupper for at tilføje et sikkerhedslag til din VPC.

NACL udfører en vis filtrering mellem netværk. Vi opnåede dog kraftigt at implementere en næste generations firewall, såsom Palo Alto, for at opnå en granulær inspektion på alle 7x lag i din VPC-infrastruktur, for ikke at nævne trafik fra internettet.

Mere om Next-Gen Firewalls, dedikeret indlæg om dette emne

Styring af routing

Rutetabel — Et sæt regler, kaldet ruter, bestemmer, hvor netværkstrafikken ledes.

Det giver dig en detaljeret måde, hvor trafikken kan gå eller påvirke trafikken, hvilket er meget nyttigt i adskillelsen af ​​private netværk.

Internet-gateway

En internetgateway er en horisontalt skaleret, redundant og meget tilgængelig VPC-komponent, der tillader kommunikation mellem din VPC og internettet.

En internetgateway tjener to formål: at give et mål i dine VPC-rutetabeller til internet-routbar trafik og at udføre netværksadresseoversættelse (NAT) for forekomster, der er tildelt offentlige IPv4-adresser.
I modsætning til NAT Gateway tillader Internet Gateway trafik til dine forekomster i VPC fra Internettet.

Internet-gateways, der kun er udgang

En egress-only internetgateway er en horisontalt skaleret, redundant og meget tilgængelig VPC-komponent, der tillader udgående kommunikation over IPv6 fra instanser i din VPC til internettet. Det forhindrer internettet i at starte en IPv6-forbindelse med dine forekomster.

 

v500 systemer | virksomhedsnetværk og cybersikkerhedsløsninger

Fordelene ved at flytte din virksomhed til AWS Cloud

NAT Gateway

Du kan bruge en Network Address Translation (NAT) Gateway til at gøre det muligt for forekomster i et privat undernet at oprette forbindelse til internettet eller andre AWS-tjenester, men forhindre internettet i at starte en forbindelse med disse forekomster. Med andre ord vil en session oprettet af en vært på internettet blive afvist.
Denne funktion er fordelagtig, hvis du vil have servere -> forekomster i et sikkert/begrænset netværk for at få sikkerhedsopdateringer, patches og antivirusopdateringer til at blive hentet fra internettet.
Hvis du vil forstå mere om NAT'ing, så læs venligst vores indlæg om dette emne.

Elastisk IP-adresse

An Elastisk IP-adresse er en statisk IPv4-adresse designet til dynamisk cloud computing. Ved at bruge en elastisk IP-adresse kan du maskere en forekomst eller softwarefejl ved hurtigt at omdanne adressen til en anden forekomst på din konto. En elastisk IP-adresse tildeles din AWS-konto og er din, indtil du frigiver den.

En elastisk IP-adresse er en offentlig IPv4-adresse, som er tilgængelig fra internettet. Hvis din instans ikke har en offentlig IPv4-adresse, kan du knytte en Elastic IP-adresse til din instans for at muliggøre kommunikation med internettet. Dette giver dig for eksempel mulighed for at oprette forbindelse til din instans fra din lokale computer.

AWS understøtter i øjeblikket ikke elastiske IP-adresser til IPv6.

VPN-forbindelser til din AWS Cloud - VPC

AWS Site-to-Site VPN

Du kan oprette en IPsec VPN-forbindelse mellem din VPC og dit fjernnetværk. En virtuel privat gateway eller transitgateway giver to VPN-endepunkter (tunneler) til automatisk failover på AWS-siden af ​​Site-to-Site VPN-forbindelsen. Derefter konfigurerer du din kunde gateway-enhed på den fjerne side af VPN-forbindelsen Site-to-Site.

AWS-klient VPN

AWS Client VPN er en administreret klientbaseret VPN-tjeneste, der giver dig adgang til dine AWS-ressourcer eller dit lokale netværk sikkert. Med AWS Client VPN konfigurerer du et slutpunkt, som dine brugere kan oprette forbindelse til for at etablere en sikker TLS VPN-session. Dette gør det muligt for klienter at få adgang til ressourcer i AWS eller on-premises fra enhver placering ved hjælp af en OpenVPN-baseret VPN-klient.

AWS VPN CloudHub

Antag, at du har mere end ét fjernnetværk (f.eks. flere afdelingskontorer). I så fald kan du oprette forskellige AWS Site-to-Site VPN-forbindelser via din virtuelle private gateway for at muliggøre kommunikation mellem disse netværk.

Tredjeparts software VPN-apparat

Du kan oprette en VPN-forbindelse til dit fjernnetværk ved at bruge en Amazon EC2-instans i din VPC, der kører en tredjepartssoftware-VPN-enhed. Desværre leverer eller vedligeholder AWS ikke tredjepartssoftware VPN-apparater; dog kan du vælge mellem en række produkter, der tilbydes af partnere og open source-fællesskaber.

v500-systemer | blog | aci - applikation centreret infrastruktur

AWS Cloud: Driving Business Agility and Resilience

 

 

 

Klar til at komme i gang?

Sky | Computer | Opbevaring | Tjenester | Udbydere | Sikkerhed | Migration | Arkitektur | Infrastruktur | Baserede løsninger | Omkostningsbesparelser | Skalerbarhed | Fleksibilitet | Native applikationer | Baserede platforme | Hybrid sky | Public Cloud | Privat sky | Cloud-baseret software | Cloud-baseret analyse | Cloud-baseret AI/ML/NLP

 

Handl nu, tilmeld dig: Omfavn kraften i AI til dokumentbehandling

Lås op for kraften i AI med vores uimodståelige tilbud. Kom i gang GRATIS med AI Multiple Document Comparison og Intelligent Cognitive Search i dag. Oplev uovertruffen effektivitet, nøjagtighed og tidsbesparelser. Efter den gratis prøveperiode, fortsæt transformationen for bare $ 20 / måned. Gå ikke glip af denne mulighed for at ændre spil. Styrk din dokumentbehandlingsrejse nu.

Se vores casestudier og andre stillinger for at finde ud af mere:

Data Network Automation, hvordan leverer Cisco ACI en agil netværksplatform?

Hvordan kan intelligent søgning gøre dig konsekvent på arbejdet med mindre indsats?

Hvorfor NAT, fordi verden løb tør for IPv4-adresser i februar 2010?

Hvad er måderne til at forbinde et lokalt netværk til AWS Cloud?

#sky #omkostningsbesparelser #skalerbarhed #kunstig intelligens #maskinelæring #vækst

MC

RELATEREDE ARTIKLER

13 | 04 | 2024

Er dommere og juryer modtagelige for skævheder: kan AI hjælpe i denne sag? | 'QUANTUM 5' S1, E8

Dyk ned i krydsfeltet mellem kunstig intelligens og retssystemet, og opdag, hvordan AI-værktøjer tilbyder en lovende løsning til at imødegå skævheder i retsprocesser
06 | 04 | 2024

Empowering Legal Professionals: The Story of Charlotte Baker and AI in Real Estate Law | 'QUANTUM 5' S1, E7

Dyk ned i ejendomsrettens verden med Quantum 5 Alliance Group, når de udnytter AI til at strømline driften og levere exceptionelle resultater. Lær, hvordan jurister Charlotte Baker, Joshua Wilson og Amelia Clarke udnytter AI-kraften til succes
31 | 03 | 2024

Navigering i AI-landskabet: Hvordan skræddersyet support styrker dokumentbehandling

Opdag, hvordan personlig AI-understøttelse fra v500 Systems revolutionerer dokumentbehandling. Fra skræddersyet vejledning til praktisk assistance, frigør det fulde potentiale af AI til problemfri arbejdsgange
30 | 03 | 2024

Hvordan kan AI afkode de tabulære hemmeligheder, der er begravet i regnearkstabeller? | 'QUANTUM 5' S1, E6

Dyk ned i en verden af ​​AI-drevet tabelbaseret dataanalyse, og afdække, hvordan denne teknologi revolutionerer dataforståelse, hvilket gør det muligt for virksomheder at træffe informerede beslutninger hurtigt og sikkert.