AWS虚拟网络基础 | AI生成和翻译
AWS 虚拟网络基础
AWS 通过其虚拟私有云(VPC)服务提供灵活、隔离的网络环境。这相当于您在 AWS 云中专属的逻辑隔离区域,可以在此启动 EC2 实例、RDS 数据库等资源。下面我将用简单术语解析您提到的关键组件(虚拟网络、网关、子网)及相关组件(”等”),并说明它们如何协同工作。
虚拟网络(VPC - 虚拟私有云)
- 定义:AWS 网络的基础。VPC 是专属于您 AWS 账户的虚拟网络,类似于传统数据中心网络,但位于云端。它跨越某个区域内的一个或多个可用区(AZ)。
- 主要特性:
- 使用 CIDR 块定义其 IP 地址范围(例如 10.0.0.0/16,允许约 65,000 个 IP 地址)。
- 默认隔离——除非您进行配置,否则无流量进出。
- 支持 IPv4 和 IPv6。
- 使用场景:控制资源的访问、安全性和连接性。每个 AWS 账户均获得一个默认 VPC,但您可以为生产环境创建自定义 VPC。
- 示例:将 VPC 视为 AWS “社区”中的私人后院——您可决定内部的围栏、大门和路径。
子网
- 定义:VPC IP 地址范围的细分。每个子网绑定到单个可用区,如同网络内的分区。
- 类型:
- 公有子网:此处的资源可直接访问互联网(通过互联网网关)。
- 私有子网:与直接互联网访问隔离;用于数据库等敏感资源。
- 主要特性:
- 大小由 CIDR 定义(例如 10.0.1.0/24 对应约 250 个 IP)。
- 每个可用区可设多个子网以实现高可用性。
- 资源(如 EC2 实例)启动于子网中。
- 使用场景:提升安全性和容错能力——例如,将 Web 服务器置于公有子网,应用服务器置于私有子网。
- 示例:若 VPC 是一座城市,子网便是社区:公有子网靠近高速公路(互联网),私有子网位于封闭社区。
网关
网关将您的 VPC 连接到外部世界或其他网络。主要有以下几种类型:
- 互联网网关(IGW):
- 定义:高可用组件,附加到您的 VPC,实现与公共互联网的双向通信。
- 工作原理:将流量从公有子网路由至互联网(反之亦然)。需更新路由表以引导流量(例如 0.0.0.0/0 → igw-xxxx)。
- 使用场景:用于面向公众的应用,如网站。免费且自动扩展。
- 示例:通往互联网的前门——附加它、更新路由,您的公有资源即可浏览或被浏览。
- NAT 网关(网络地址转换):
- 定义:位于公有子网,允许私有子网资源发起出站互联网流量(如软件更新),而不暴露于入站流量。
- 工作原理:将私有 IP 转换为公共弹性 IP。比 NAT 实例更可靠。
- 使用场景:为私有资源提供安全的出站访问。费用约 0.045 美元/小时 + 数据传输费。
- 示例:单向阀——私有服务器可”向外呼叫”获取数据包,但无人能未经邀请敲门。
- 其他网关(简要):
- 虚拟私有网关(VGW):用于连接到本地网络的 VPN 连接。
- 中转网关:像枢纽一样连接多个 VPC 和本地网络。
其他相关组件(”等”)
- 路由表:定义 VPC 内的流量路由方式(例如到 IGW、NAT 或对等连接)。每个子网关联一个路由表——可视为交通地图。
- 网络 ACL(访问控制列表):子网级别的无状态防火墙,按 IP/协议控制入站/出站流量(例如允许端口 80)。
- 安全组:实例级别的有状态防火墙,如同 EC2/RDS 的私人保镖(例如允许来自您 IP 的 SSH)。
- VPC 对等连接:连接两个 VPC(即使在不同账户/区域)以实现私有通信,类似直连隧道。
- 弹性网络接口(ENI):实例的虚拟网卡,允许多个 IP 或附件。
整体协作流程
- 使用 CIDR 块创建 VPC。
- 跨可用区添加子网(公有/私有)。
- 附加互联网网关以实现公共访问。
- 配置路由表以引导流量(例如公有子网路由至 IGW)。
- 将资源启动到子网中,并用安全组/NACL 进行保护。
- 为私有出站流量添加 NAT 网关。
此设置确保可扩展性、安全性和弹性。实践方面,可从 AWS 控制台的 VPC 向导入手——它会自动配置基础设置。
若需图表、代码示例或特定部分(如对等连接)的详细信息,请告知!
参考资料: