20 | 11 | 2020

Mitkä verkkoelementit menevät AWS VPC: hen?

Tässä viestissä haluamme tuoda sinulle kaikki verkkokomponentit, jotka ovat osa Amazon Web Services (AWS) -palvelua. Tarkastelemme tarkemmin kutakin elementtiä, mitä se tekee ja miten se sopii yleiseen infrastruktuuriin. Toivottavasti se vastaa joihinkin kysymyksiisi, ja ymmärtämällä paremmin, sinulla on kiusaus käyttää näitä palveluja.

Ennen kuin käsittelemme kaikkia yksityiskohtia, haluamme korostaa, että hyvä verkkosuunnittelu on perusta paikan päällä olevalle palvelinkeskuksen infrastruktuurille. Sama koskee pilviympäristöä (post 10-verkon suunnittelun parhaat käytännöt infrastruktuurillesi). Haluamme myös tuoda esiin, että keskitymme vain AWS: n verkko- ja turvallisuusnäkökohtiin; muut palvelut eivät kuulu tämän blogin piiriin.

Mikä on Amazon VPC?

Amazon Virtual Private Cloudin (Amazon VPC) avulla voit käynnistää AWS-resursseja määrittämääsi virtuaaliverkkoon. Tämä virtuaaliverkko muistuttaa läheisesti perinteistä verkkoa, jota käyttäisit omassa datakeskuksessasi, ja sillä on AWS: n skaalautuvan infrastruktuurin käytön edut.

VPC - AWS-tilillesi omistettu virtuaaliverkko, jossa voit käyttää useita verkkoja, eristää ne toisistaan ​​paremman turvallisuuden ja vaatimustenmukaisuuden varmistamiseksi. Yhdistä paikallinen palvelinkeskus ja suorita hybridiverkkoratkaisut. Täysin skaalautuva ja ketterä ratkaisu liiketoimintasi tehostamiseen.

Mikä on AWS-alue?

AWS: llä on alueen käsite, fyysinen sijainti ympäri maailmaa, johon ryhmittelemme datakeskuksia. Kutsumme kutakin loogisten palvelinkeskusten ryhmää käytettävyysalueeksi. Jokainen AWS-alue koostuu useista, eristetyistä ja fyysisesti erillisistä AZ: ista maantieteellisellä alueella. Toisin kuin muut pilvipalvelujen tarjoajat, jotka määrittelevät alueen usein yhdeksi datakeskukseksi, jokaisen AWS-alueen monipuolinen AZ-muotoilu tarjoaa etuja asiakkaille. Jokaisella AZ: lla on itsenäinen virta, jäähdytys ja fyysinen suojaus, joka on kytketty redundanteilla, erittäin matalaviiveisillä verkoilla. Korkeaan käytettävyyteen keskittyvät AWS-asiakkaat voivat suunnitella sovelluksensa käyttämään useita AZ: itä saavuttaakseen entistä paremman vikasietoisuuden. AWS-infrastruktuuri Alueet täyttävät korkeimmat turvallisuus-, vaatimustenmukaisuus- ja tietosuojatasot.

AWS tarjoaa laajemman maailmanlaajuisen jalanjäljen kuin mikään muu pilvipalvelujen tarjoaja. AWS avaa nopeasti uudet alueet tukeakseen maailmanlaajuista jalanjälkeä ja varmistaakseen asiakkaiden palvelun kaikkialla maailmassa. AWS ylläpitää useita maantieteellisiä alueita, mukaan lukien alueet Pohjois-Amerikassa, Etelä-Amerikassa, Euroopassa, Kiinassa, Aasian ja Tyynenmeren alueella, Etelä-Afrikassa ja Lähi-idässä.

AWS: n maailman alueet

Saatavuusalueet

Saatavuusalue (AZ) on erillinen datakeskus, jolla on redundantti virta, verkko ja liitettävyys AWS-alueella. AZ antaa asiakkaille mahdollisuuden käyttää tuotantosovelluksia ja tietokantoja, jotka ovat paremmin saatavissa, vikasietoisia ja skaalautuvia kuin se olisi mahdollista yhdestä palvelinkeskuksesta. Kaikki AWS-alueen AZ: t on kytketty toisiinsa suuren kaistanleveyden, matalaviiveisen verkon kautta, täysin turhalla, omistetulla metrokuidulla, joka tarjoaa suuritehoisen, matalaviiveisen verkon AZ: n välillä. Kaikki AZ: n välinen liikenne on salattu. Verkon suorituskyky on riittävä suorittamaan tahdistettu replikointi AZ: iden välillä. AZ: t tekevät korkeaan käytettävyyteen liittyvien osiointisovellusten tekemisen helppoa. Jos sovellus jaetaan AZ: n yli, yritykset ovat paremmin eristettyjä ja suojattuja esimerkiksi sähkökatkoksilta, salamaniskulta, tornadolta, maanjäristykseltä ja muilta. AZ: t on fyysisesti erotettu merkitsevällä etäisyydellä, monta kilometriä, muista AZ: ista, vaikka kaikki ovat 100 km: n (60 mailin) ​​päässä toisistaan.

Korkea saatavuus

Toisin kuin muut teknologiainfrastruktuurin tarjoajat, jokaisella AWS-alueella on useita AZ: itä. Kuten olemme oppineet johtavan pilvi-infrastruktuuriteknologiaympäristön käytöstä vuodesta 2006, asiakkaat, jotka huolehtivat sovellustensa saatavuudesta ja suorituskyvystä, haluavat asentaa nämä sovellukset useisiin AZ: iin samalla alueella vikasietoisuuden ja matalan viiveen vuoksi. AZ: t on yhdistetty nopeaan, yksityiseen valokuituverkkoon, jonka avulla voit suunnitella tehokkaasti sovelluksia, jotka epäonnistuvat automaattisesti AZ: n välillä keskeytyksettä.

AWS-ohjaustaso (mukaan lukien sovellusliittymät) ja AWS-hallintakonsoli on jaettu AWS-alueille, ja ne käyttävät monen AZ-arkkitehtuuria kullakin alueella joustavuuden ja jatkuvan saatavuuden varmistamiseksi. Näin varmistetaan, että asiakkailla vältetään kriittinen palveluriippuvuus yhdestä palvelinkeskuksesta. AWS voi suorittaa huoltotoimenpiteitä tekemättä mitään elintärkeää palvelua väliaikaisesti saatavana kenellekään asiakkaalle.

Verkko / aliverkot

VPC: n ja aliverkon perusteet

Virtuaalinen yksityinen pilvi (VPC) on virtuaalinen verkko, joka on omistettu AWS-tilillesi. Se on loogisesti eristetty muista AWS Cloud -verkkoverkoista. Voit käynnistää AWS-resurssit, kuten Amazon EC2 -esiintymät, VPC: hen.

Kun luot VPC: n, sinun on määritettävä VPC: n IPv4-osoitealue Classless Inter-Domain Routing (CIDR) -lohkon muodossa; esimerkiksi, 10.0.0.0/16.

Verkon segmentointi

Vaikka VPC: ssäsi on ./16-verkko, kukaan ei tarvitse 65k plus IP-osoitetta, ei edes FTSE 100 Global Enterprise -liiketoimintaa. Sanomalla, että on hyvä saada enemmän IP-osoitteita, koska voit jakaa ne paljon pienempiin aliverkkoihin - esimerkiksi ./24, jolloin saat 250 plus IP: tä. Tämä on merkittävä muurahainen, ja se on esitettävä selkeästi alusta alkaen. Hyvä suunnittelu auttaa sinua ottamaan tarvitsemasi palvelut käyttöön ja eristämään ne; verkkopalvelimet, sovellukset, tietokannat ja muut. Toinen olennainen kohde on, että pilvipalvelussa ja paikallisverkossa ei ole samoja verkkoalueita, koska se voi aiheuttaa ristiriitoja tulevaisuudessa.

Yksityiset aliverkot

Rehellisesti, ei ole yksityisiä tai julkisia aliverkkoja. Termiä käytetään kuvaamaan - yksityisiä aliverkkoja; nämä verkot, jotka ovat erillisiä ja joilla ei ole Internet-yhteyttä tai Internet-yhteyttä, eivät ole sallittuja näissä aliverkoissa / verkoissa. Todennäköisesti tietokanta on kyseisissä verkoissa ja muissa suojatuissa palveluissa.

Julkiset aliverkot

Liikenne on sallittua ja suodatettu Internetistä julkisiin aliverkkoihin / verkkoihin. Näiden verkkojen isännillä on yksityiset IP-osoitteet, ja pääsy voidaan reitittää Internet-yhdyskäytävien ja niihin liittyvien julkisten IP-osoitteiden (elastinen IP-allokointi) kautta

Kuinka toimitamme tietoverkkoja ja kyberturvallista infrastruktuuria? | v500 Systems

Eristävät verkot

Verkon lisäkäytön hallintaa varten voit suorittaa DB-instansseja Amazon VPC: ssä. Amazon VPC: n avulla voit eristää DB-ilmentymät määrittämällä IP-alueen, jota haluat käyttää, ja muodostaa yhteyden olemassa olevaan IT-infrastruktuuriin alan standardin mukaisella salatulla IPsec VPN: llä. Amazon RDS: n suorittaminen VPC: ssä antaa sinun olla DB-ilmentymä yksityisessä aliverkossa. Voit myös määrittää virtuaalisen yksityisen yhdyskäytävän, joka laajentaa yritysverkkoasi VPC: hen ja sallii pääsyn kyseisen VPC: n RDS DB -esiintymään.

Usean AZ: n käyttöönotossa aliverkon määrittäminen kaikille alueen käytettävyysvyöhykkeille antaa Amazon RDS: lle mahdollisuuden luoda uusi valmiustila toiselle käytettävyysalueelle tarvittaessa. Voit tehdä DB Subnet Groups -kokoelmista aliverkkoja, jotka haluat määrittää RDS DB -esiintymille VPC: ssä. Jokaisella DB-aliverkoryhmällä tulisi olla vähintään yksi aliverkko kutakin tietyn alueen saatavuusvyöhykettä kohden. Tässä tapauksessa, kun luot DBC-ilmentymän VPC: ssä, valitset DB Subnet Groupin; Amazon RDS käyttää sitten aliverkkoa ja IP-osoitetta aliverkossa kyseisen DB Subnet Group -ryhmän ja valitsemasi saatavuusvyöhykkeen avulla. Amazon RDS luo ja yhdistää joustavan verkkoliitännän DB-ilmentymään kyseiseen IP-osoitteeseen.

Amazon VPC: ssä käyttöön otettuihin DB-ilmentymiin pääsee Internetistä tai Amazon EC2 -esiintymiin VPC: n ulkopuolella VPN: n tai bastion-isäntien kautta, jotka voit käynnistää julkisessa aliverkossa. Bastion-isännän käyttämiseksi sinun on määritettävä julkinen aliverkko EC2-ilmentymällä, joka toimii SSH-bastionina. Tässä julkisessa aliverkossa on oltava Internet-yhdyskäytävä ja reitityssäännöt, jotka sallivat liikenteen ohjaamisen SSH-isännän kautta, jonka on sitten välitettävä pyynnöt Amazon RDS DB -esiintymän yksityiseen IP-osoitteeseen.

DB-suojausryhmiä voidaan käyttää DB-instanssien suojaamiseen Amazon VPC: ssä. Lisäksi jokaiseen aliverkkoon saapuva ja sieltä poistuva verkkoliikenne voidaan sallia tai estää verkon ACL: ien kautta. Paikallinen tietoturvainfrastruktuuri, mukaan lukien verkon palomuurit ja tunkeutumisen havaitsemisjärjestelmät, voi tarkistaa kaiken verkkoliikenteen, joka saapuu tai poistuu Amazon VPC: stä IPsec VPN -yhteyden kautta.

VPC: n suojausryhmät

turvallisuusryhmä toimii virtuaalisena palomuurina ilmentymällesi ohjaamaan saapuvaa ja lähtevää liikennettä. Kun käynnistät ilmentymän VPC: ssä, voit määrittää ilmentymälle viisi suojausryhmää. Suojausryhmät toimivat ilmentymän tasolla, eivät aliverkon tasolla. Siksi kukin VPC: n aliverkon esiintymä voidaan määrittää eri suojausryhmille.

Jos käynnistät ilmentymän Amazon EC2 -sovellusliittymän tai komentorivityökalun avulla etkä määritä suojausryhmää, ilmentymä osoitetaan automaattisesti VPC: n oletusturvaryhmälle. Jos käynnistät ilmentymän Amazon EC2 -konsolin avulla, sinulla on mahdollisuus luoda esimerkiksi uusi suojausryhmä.

Voit lisätä jokaiselle suojausryhmälle säännöt jotka ohjaavat saapuvaa liikennettä ilmentymiin ja erillisen sääntöjoukon, joka ohjaa lähtevää liikennettä. Tässä osassa kuvataan perustiedot, jotka sinun on tiedettävä VPC: n suojausryhmistä ja niiden säännöistä.

Verkon käytönvalvontaluettelo (NACL)

NACL (Network Access Control List) on VPC: n valinnainen suojaustaso, joka toimii palomuurina ohjaamaan liikennettä sisään tai ulos yhdestä tai useammasta aliverkosta. Voit lisätä verkon ACL-luetteloita suojausryhmiesi kaltaisilla säännöillä lisätäksesi suojaustason VPC: hen.

NACL suorittaa jonkin verran suodatusta verkkojen välillä. Suosittelemme kuitenkin voimakkaasti seuraavan sukupolven palomuurin, kuten Palo Alton, käyttöönottoa tarkan tarkastuksen suorittamiseksi kaikissa VPX-infrastruktuurin 7x kerroksissa, puhumattakaan Internetistä tulevasta liikenteestä.

Lisätietoja Next-Gen-palomuureista, oma aihe tästä aiheesta

Reitityksen hallinta

Reittitaulukko - Sääntöjoukkoa, jota kutsutaan reiteiksi, käytetään määrittämään verkkoliikenteen suunta.

Se antaa sinulle yksityiskohtaisen tavan, jolla liikenne voi kulkea tai vaikuttaa liikenteeseen, mikä on erittäin hyödyllistä yksityisten verkkojen erottelussa.

Internet-yhdyskäytävä

Internet-yhdyskäytävä on vaakasuunnassa skaalattu, redundantti ja erittäin saatavilla oleva VPC-komponentti, joka mahdollistaa yhteydenpidon VPC: n ja Internetin välillä.

Internet-yhdyskäytävällä on kaksi tarkoitusta: tarjota kohde VPC-reittitaulukoihisi Internet-reititettävää liikennettä varten ja suorittaa verkko-osoitteen käännös (NAT) ilmentymille, joille on annettu julkiset IPv4-osoitteet.
Toisin kuin NAT-yhdyskäytävä, Internet-yhdyskäytävä sallii VPC-ilmentymiesi liikenteen Internetistä.

Vain Egress-Internet-yhdyskäytävät

Vain uloskäynnille tarkoitettu Internet-yhdyskäytävä on vaakasuunnassa skaalattu, tarpeeton ja erittäin saatavilla oleva VPC-komponentti, joka sallii lähtevän tiedonsiirron IPv6: n kautta VPC-ilmentymistäsi Internetiin. Se estää Internetiä aloittamasta IPv6-yhteyttä ilmentymiesi kanssa.

Jatkuva palvelu 99.999% verkkoinfrastruktuurille

NAT-yhdyskäytävä

Voit käyttää NAT (Network Address Translation) -yhdyskäytävää antamaan yksityisen aliverkon ilmentymien muodostaa yhteyden Internetiin tai muihin AWS-palveluihin, mutta estää internetiä luomasta yhteyttä näihin ilmentymiin. Toisin sanoen Internet-palvelimelta aloitettu istunto hylätään.
Tästä toiminnosta on hyötyä, jos haluat palvelinten -> suojatun / rajoitetun verkon esiintymien saada tietoturvapäivitykset, korjaustiedostot ja virustentorjuntapäivitykset Internetistä.
Jos haluat lisätietoja NAT'ingista, lue tähän aiheeseen liittyvä viesti.

Elastinen IP-osoite

An Elastinen IP-osoite on staattinen IPv4-osoite, joka on suunniteltu dynaamiseen pilvipalveluun. Elastisen IP-osoitteen avulla voit peittää ilmentymän tai ohjelmiston epäonnistumisen muuttamalla osoitteen nopeasti toiseen tilisi toiseen instanssiin. Elastinen IP-osoite on varattu AWS-tilillesi, ja se on sinun, kunnes vapautat sen.

Elastinen IP-osoite on julkinen IPv4-osoite, johon pääsee Internetistä. Jos instanssillasi ei ole julkista IPv4-osoitetta, voit liittää instanssillesi elastisen IP-osoitteen, jotta Internet-yhteys on mahdollista. Esimerkiksi tämän avulla voit muodostaa yhteyden ilmentymään paikalliselta tietokoneelta.

AWS ei tällä hetkellä tue IPv6: n elastisia IP-osoitteita.

VPN-yhteydet AWS Cloudiin - VPC

AWS-sivustojen välinen VPN

Voit luoda IPsec VPN -yhteyden VPC: n ja etäverkon välille. Virtuaalinen yksityinen yhdyskäytävä tai julkisen liikenteen yhdyskäytävä tarjoaa kaksi VPN-päätepistettä (tunnelia) automaattista vianmääritystä varten Sivustojen välinen VPN-yhteyden AWS-puolella. Määrität asiakasyhdyskäytävälaite Sivustojen välinen VPN-yhteyden etäpuolella.

AWS-asiakas VPN

AWS Client VPN on hallittu asiakaspohjainen VPN-palvelu, jonka avulla voit käyttää AWS-resurssejasi tai paikallista verkkoasi turvallisesti. AWS Client VPN: n avulla määrität päätepisteen, johon käyttäjät voivat muodostaa yhteyden muodostaakseen suojatun TLS VPN -istunnon. Tämä antaa asiakkaille mahdollisuuden käyttää AWS: n tai paikallisten resursseja mistä tahansa sijainnista käyttämällä OpenVPN-pohjaista VPN-asiakasta.

AWS VPN CloudHub

Jos sinulla on useampi kuin yksi etäverkko (esimerkiksi useita haaratoimistoja), voit luoda useita AWS-sivusto-sivusto-VPN-yhteyksiä virtuaalisen yksityisen yhdyskäytävän kautta, jotta näiden verkkojen välinen tiedonsiirto on mahdollista.

Kolmannen osapuolen ohjelmisto VPN-laite

Voit luoda VPN-yhteyden etäverkkoon käyttämällä Amazon EC2 -esiintymää VPC: ssäsi, jossa on kolmannen osapuolen ohjelmisto-VPN-laite. AWS ei tarjoa tai ylläpidä kolmannen osapuolen ohjelmistojen VPN-laitteita; Voit kuitenkin valita kumppaneiden ja avoimen lähdekoodin yhteisöjen tarjoamien tuotteiden joukosta.

v500-järjestelmät | blogi | aci - sovelluskeskeinen infrastruktuuri

Valmis aloittamaan?

Ota yhteyttä saadaksesi lisätietoja pilvi-infrastruktuurista; voimme vastata kaikkiin kysymyksiisi.
Ota yhteyttä >>>

 

Lue muut viestit, jotka liittyvät pilvipalveluihin.

Tapaus pilvipalveluihin ja hybridiverkkoihin

Cloud Networks -ratkaisut

Mitä tapoja yhdistää paikallinen verkko AWS Cloudiin?

Verkko palveluna (NaaS), laajentamalla vaihtoehtojasi!

10-verkon suunnittelun parhaat käytännöt infrastruktuurillesi

AIHEESEEN LIITTYVÄT ARTIKKELIT

15 | 06 | 2022

Asianajotoimistot käyttävät tonnia jäsentämätöntä dataa tietämättä omistamastaan ​​kultakaivoksesta!

Gartnerin tutkimus ennustaa, että datan määrä maailmassa kasvaa 800 % seuraavan viiden vuoden aikana ja jopa 80 % tiedosta on täysin jäsentämätöntä. Nyt on olemassa älykkäämpi tapa suorittaa tämä tehtävä – lukeminen ja ymmärtäminen.
15 | 05 | 2022

Älykäs automaatio rahoitus- ja lakisektorille

Tiedämme, että hyödyntämällä tekoälyä ja koneoppimista organisaatioissasi voit vähentää valtavasti aikaa ja säästää samalla rahaa.
11 | 05 | 2022

Tekoäly on hämmästyttävä Tasksissa ja ihmiset ovat mahtavia prosesseissa

Muutama kuukausi sitten aloitimme uutiskirjeen kirjoittamisen Linkedinissä. On olemassa useita mielenkiintoisia artikkeleita, jotka kertovat, mitä tekoäly- ja ML-teknologia voi tuoda liiketoimintaympäristöösi.
05 | 05 | 2022

Kuinka älykäs haku voi tehdä sinusta johdonmukaisen työssä vähemmällä vaivalla?

Kuvittele skenaario yrityksen verkossa monissa SharePoint-palvelimissa ja jaetuissa asemissa. Asiakirjoja on yli 100,000 XNUMX. Epäilet, että tarvitsemasi tiedot ovat siellä.