介紹一下亞馬遜的一項特色服務VPC(Virtual Private Cloud),即虛擬雲端局域網,我覺得還是不直譯爲虛擬私有云好些,畢竟服務是構建在公有云平臺上,按照其用途來說,它就是相當於一個雲端的局域網,官方網站介紹如下:
Amazon Virtual Private Cloud (Amazon VPC) 允許您在 Amazon Web Services (AWS) 雲中預配置出一個採用邏輯隔離的部分,讓您在自己定義的虛擬網絡中啓動 AWS 資源。您可以完全掌控您的虛擬聯網環境,包括選擇自有的 IP 地址範圍、創建子網,以及配置路由表和網關。
您可以輕鬆自定義 Amazon VPC 的網絡配置。例如,您可以爲可訪問 Internet 的 Web 服務器創建公有子網,而將數據庫或應用程序服務器等後端系統放在不能訪問 Internet 的私有子網中。您可以利用安全組和網絡訪問控制列表等多種安全層,幫助對各個子網中 Amazon EC2 實例的訪問進行控制。
此外,您也可以在公司數據中心和 VPC 之間創建硬件虛擬專用網絡 (×××) 連接,將 AWS 雲用作公司數據中心的擴展。
在使用VPC之前,我們創建的服務器實例都是直接暴露在公網上的,從安全的角度考慮還是不太妥當。
使用VPC後,所有服務器實例都是處於局域網環境,只將有外部訪問請求的服務器設置公網IP,這樣就減小了安全隱患。並且雲端局域網和本地公司的局域網可以通過站點到站點×××連接,用戶直接通過私有IP便可以直接訪問,非常方便。
VPC的連接分類有如下4種,
直接連接 Internet(公有子網) – 您可以將實例推送到公開訪問的子網中,它們可在其中發送和接收與 Internet 之間的通信。
通過網絡地址轉換連接 Internet(私有子網) – 私有子網可用於您不希望能直接從 Internet 尋址的實例。私有子網中的實例可以通過公有子網中的網絡地址轉換 (NAT) 實例路由其流量,從而訪問 Internet 而不暴露其私有IP地址。
安全地連接公司數據中心 – 進出 VPC 中實例的流量可以通過行業標準的加密 IPsec 硬件 ××× 連接路由到您的公司數據中心。
通過組合連接方式滿足應用程序需求 – 您可以將 VPC 同時與 Internet 和公司數據中心連接,並配置 Amazon VPC 路由表將所有流量定向到其正確的目的地。
目前公司用到的VPC連接就是採用第四種方式,規劃了2個子網段,一個公共子網10.0.40.0/24,和一個私有子網10.0.41.0/24,公共子網採用NAT方式將服務器暴露在公網上面,而私有子網內的服務器僅具有內部IP,並且這2個子網段都通過×××連接到本地公司局域網。我們在新建EC2服務器實例時就可以選擇將其放置在VPC網段裏,可以手動指定私有IP也可以由DHCP自動分配,針對有外部訪問請求的服務器可以設定固定公網IP(Elastic IP),並且對VPC設定好相關的安全訪問策略,這樣本地可以直接通過私有IP和SSH Key訪問到雲端的服務器。
以上是關於VPC的大致介紹,總之來講,採用VPC的規劃可以提高系統的安全性,網段的分類規劃也比較有條理,在管理數量比較多的服務器時優勢還是比較明顯的。