BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

在线课堂Q/A实录:亚马逊AWS上的VPC服务

| 作者 包研 关注 0 他的粉丝 发布于 2014年8月23日. 估计阅读时间: 11 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

VPC即虚拟私有云(Virtual Private Cloud),是一种兼具公有云和私有云优势的解决方案。一方面,VPC是在公有云中划分出一块逻辑区域,享受公有云的高弹性、高扩展性以及按需付费等灵活的支付方式。另一方面,VPC采用通过专用的数据通道,通过隔离的网络提供更安全的数据保护,以及类似私有云的灵活的架构和管理。另外,通过VPC也比较容易的实现混合云。2009年亚马逊AWS推出了VPC服务,是最早提供VPC服务的供应商之一。在8月19日的InfoQ在线课堂《VPC——AWS如何定义网络服务》上,亚马逊AWS资深技术讲师包光磊先生详细介绍了VPC的概念和作用,以及AWS云端定义、管理网络服务的能力,包括:管理子网、网关、网络安全访问列表、路由表、路由规则等,并做了demo演示。

在课程最后,包光磊回答了听众的问题,现将这些问题归纳整理如下:

问:是否应该把网站的大部分内容(如各SQA模块、数据库、存储等)放在VPC中,只把Web服务器暴露在公网上?如何和VPC连接?

答:放在公网上的资源也是放在VPC里的。

问:子网和VLAN一样吗?

答:不一样,每一个子网是一个独立的CIDR block地址段,你自己定义。

问:内部AZ间的server怎么控制互相间的访问呢?

答:本质上是VPC内的不同子网(每个子网位于特定的一个AZ)控制访问。一个VPC的不同子网之间,都是可以互通的。可以通过NACL或者结合安全组来进一步加强访问控制。

问:在实际情况下,什么时候选择使用多个VPC?VPC Peering是否适合大量流量的VPC之间的通讯?

答:比如你有开发、测试、生产的不同系统,可以放在不同的VPC,不同的项目也可以放在不同的VPC。目前VPC Peering支持同一Region,大流量没有问题。

问:请问EC2和VPC是包含关系吗?谁包含谁?极限数是多少?

答:VPC是一个网络概念,EC2是虚机,创建时选择放在哪个VPC的哪个subnet里。AWS对于新开的帐户有soft limit,参考AWS网站(http:// http://aws.amazon.com/ec2/faqs/)。真正系统上线后可以开ticket来raise你的VPC和EC2等等服务的的limit。

问:请问有介绍VPC更深入的课程吗?比如设计过程中的最佳实践之类的。

答:欢迎参加我们的architecting on AWS的课程来深入讨论。

问:能否大致画个图解,当子网内的机器需要连接时需要创建什么,当子网内的机器需要与互联网连接时需要创建什么?

答:一个VPC内的不同子网默认通的,与互联网连接需要IGW,需要安全组允许。

问:BlackHat2014上Andres Riancho(https://www.blackhat.com/us-14/speakers/Andres-Riancho.html)演示的攻击,是在ACLs和安全组设置不正确的情况下,才会受到攻击?

答:不清楚这个演示的背景,AWS上安全是责任共担的模型。安全组和ACL是用户来设置。

问:有办法保证EIP被更换后又恢复内部网络不变吗?

答:EIP是不会变的公网IP地址,内部网是私网。

问:VPC的应用需求有哪些?哪些情况下客户用到VPC?

答:目前新开帐户有默认的VPC。

问:VPC分为几个层次,比如storage、processing 和前端,这样合理吗?

答:VPC是用户定义的纯网络的概念

问:AWS VPC可以安装在我们的自建机房里吗?

答:不可以。

问:最近我建的instance(不在VPC里)的DNS有问题,解析不了是什么原因?ping域名不行,icmp没有限制。

答:初步判断DNS没有解析出来。鼓励大家开ticket。推荐大家升级自己的帐户的服务为developer或者不siness support。我们有7x24小时的专业support服务。

问:当在构架VPC的时候同一个production环境,是选择多个VPC建立好还是多个security group呢?

答:通常来讲,在同一个VPC里划分不同的子网,并结合服务器的角色适用不同的安全组设置。

问:VPC是否可以增加安全性呢?比如多个公司内部的机构可以登陆不同的VPC。

答:VPC可以实现安全的网络隔离,有助于增加安全性。

问:使用多个VPC,是否会违背VPC本身的安全性呢?多个VPC增加保护层次是否合理?

答:不会,每个VPC都是独立和安全隔离的。多个VPC可以实现不同应用和不同开发、测试、生产的应用的隔离保护。

问:VPC建好之后如何测试?

答:几分钟内就可以建立一个VPC,包括子网,路由。

问:已经讲过CIDR分配方法了吗?上线晚了,没看到。

答:CIDR的地址段根据具体需要,可以在创建VPC和子网的时候来自己指定。

问:操作后台都是英文的?

答:控制台BJS是中文的。

问:VPC隔离是物理隔离还是虚拟隔离?

答:我们做的是逻辑隔离。

问:public subnet和private subnet的区别是只有包含与不包含IGW?

答:区别public subnet和private subnet不能只看IGW这个设置,因为IGW实际上是附加在VPC上,你的subnet是否能用到IGW,主要是看subnet上配置的路由表有没有使用到或者指向IGW。当然还要看你的这个Subnet里面具体那个EC2实例本身是否具备公网IP地址。

问:CIDR Block预留多少,应该怎么考虑?有大概的计算公式?

答:CIDR Block是个纯网络的问题,CIDR Block后面参数越小,预留的主机数就越多,可以看一下网络方面基础的资料就能算出来。

问:IGW在哪里部署?

答:实际上是在VPC上建,你可以在VPC上创建IGW,使用在哪一些子网内,是通过路由表真正的去使用到它。部署IGW的动作比较简单,创建出来连接到VPC上,那么要让它真正有作用,必须较在子网的路由表上面,在那个路由目的上要用到它,要把它作为一个跳转点。

问:有没有部署大型多个VPC的实例?

答:你可以到http://aws.amazon.com/cn/solutions/case-studies/?nc1=f_cc,去搜索用户案例。当然有一些用户案例是Big Data的,有一些用户案例是讲一些安全方面的,还有一些是突出VPC。

问:不同AZ的private subnet默认也是互通的吗?

答:是这样的。如果你创建一个VPC,那么它的范围是占用整个Region下的所有AZ,但是如果你真的要去使用这些AZ,你必须要创建出subnet。如果你是在一个VPC内,然后去创建出subnet,缺省情况下,由于路由表的搭配和IGW的设置,其实你的subnet本身就是private。如果跨AZ的话,并不影响这几个AZ在同一个Region中、同一个VPC下的特性,所以说就算是不同的AZ,但是在一个Region内,如果它们是private subnet,他们之间是互通的。当然有人可能会问,我们希望它们不通怎么做?最简单的方法,通过(NACL)做,就是在每个subnet上设置网络访问控制列表,从哪个网段过来的不允许进入我的subnet,然后相对的你也可以去做那件事情。

问:NAT是要启动一个EC2实例来实现吗?

答:的确是这样做,并且方案挺多的,你当然可以起一个光溜溜的用EC2,然后你不仅用你的软件,用你擅长的软件去实现NAT,当然大家不要忘了,如果你对EC2比较熟的话,那么你在启动EC2的时候是有AMI,那么我们提供有NAT的AMI,你直接起来,它就默认帮你NAT一些东西装好,配好,你只要做很简单的一些设置,那么这个新启动的实例就是个NAT。今天我演示的是一种偏手动的去建VPC的方法,实际上你在console上还能够看到叫“创建VPC的向导”,在向导中有一些选项供选择,配几个private子网,几个public子网,private子网需不需要通过public子网访问到公网等等。如果你选种了其中一个向导,实际有一个服务是自动替你在public的子网上起一个NAT。总结一下,你至少有三种方法来配NAT,一是完全自己做,第二是用AMI,第三是用VPC向导。

【其他】

问:VPN连接如何收费?

答:参考这里http://aws.amazon.com/vpc/pricing/。

问:AWS essential在哪里可以得到?

答:是一门收费的、一天的课程,可以来参加我们的培训。请参考我们的网站http://aws.amazon.com/cn/training/ 。

问:北京的AWS已经开始了?

答:目前有限公开预览阶段。


感谢包光磊对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT