转载

Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) 允许您在Amazon AWS 云中预配置出一个采用逻辑隔离的部分,让您在自己定义的虚拟网络中启动 AWS 资源。您可以完全掌控您的虚拟联网环境,包括选择自有的 IP 地址范围、创建子网,以及配置路由表和网关。

您可以轻松自定义 Amazon Virtual Private Cloud 的网络配置。例如,您可以为可访问 Internet 的 Web 服务器创建公有子网,而将数据库或应用程序服务器等后端系统放在不能访问 Internet 的私有子网中。您可以利用安全组和网络访问控制列表等多种安全层,帮助对各个子网中 Amazon EC2 实例的访问进行控制。

此外,您也可以在公司数据中心和 VPC 之间创建硬件虚拟专用网络 (VPN) 连接,将Amazon AWS 云用作公司数据中心的扩展。

AWS 私有云的特色与优点

多种连接选择

  • 您的 Amazon Virtual Private Cloud 具有多种连接选择。您可以将 VPC 连接到 Internet、您的数据中心或其他 VPC,具体可依据您希望公开的 AWS 资源和希望保持私密的资源而定。
  • 直接连接 Internet(公有子网)– 您可以将实例推送到公开访问的子网中,它们可在其中发送和接收与 Internet 之间的通信。
  • 通过网络地址转换连接 Internet(私有子网)– 私有子网可用于您不希望能直接从 Internet 寻址的实例。私有子网中的实例可以通过公有子网中的网络地址转换 (NAT) 实例路由其流量,从而访问 Internet 而不暴露其私有 IP 地址。
  • 安全地连接公司数据中心 – 进出 VPC 中实例的流量可以通过行业标准的加密 IPsec 硬件 VPN 连接路由到您的公司数据中心。
  • 私下连接到其他 VPC(对等 VPC)来跨属于您或其他 AWS 账户的多个虚拟网络分享资源。
  • 连接到 Amazon S3 而不使用互联网网关或 NAT,并控制通过 VPC 端点为 S3 提供的存储桶、请求、用户或组。
  • 通过组合连接方式满足应用程序需求 – 您可以将 VPC 同时与 Internet 和公司数据中心连接,并配置 Amazon VPC 路由表将所有流量定向到其正确的目的地。

安全

Amazon VPC 提供了安全组和网络访问控制列表等高级安全功能,以便在实例级别和子网级别启用入站和出站筛选功能。此外,您还可以在 Amazon S3 中存储数据并重定向访问,使得只能从 VPC 中的实例访问这些数据。另外,您可以选择启用专用实例,使其在单个客户专属使用的硬件上运行,实现附加隔离。

简便

您可以通过 AWS 管理控制台快速又方便地创建 VPC。您可以选择一种最符合您需求的常用网络设置,再按“Start VPC Wizard”。系统将为您自动创建子网、IP 范围、路由表和安全组,让您可以专心创建要在 VPC 中运行的应用程序。

AWS 的所有可扩展性和可靠性

Amazon VPC 提供了其余 AWS 平台所具有的全部优势。您可以即时扩展您的资源,选择应用程序所适用的 Amazon EC2 实例类型和大小,并且仅支付所用资源的费用 – 一切尽在 Amazon 最为可靠的基础设施中。

AWS 私有云使用案例

托管面向公众的简单网站

您可以在 VPC 中托管日志等基本 Web 应用程序或简单的网站,获得 Amazon VPC 提供的额外隐私保护和安全性。您可以创建安全组规则,在允许 Web 服务器响应入站 HTTP 和 SSL 请求的同时,禁止该 Web 服务器发起访问 Internet 的出站连接,以此巩固网站的安全保护。从 Amazon VPC 控制台向导中选择“VPC with a Single Public Subnet Only”即可创建支持此类使用案例的 VPC。

托管多层 Web 应用程序

您可以使用 Amazon VPC 托管多层 Web 应用程序,在您的 Web 服务器、应用程序服务器和数据库之间严格实施访问和安全限制。您可以在公众可访问的子网中启动 Web 服务器,而在非公众访问的子网中启动应用程序服务器和数据库。这些应用程序服务器和数据无法从 Internet 直接访问,但它们依然可以通过 NAT 实例访问 Internet。例如,下载补丁程序等。您可以使用由网络访问控制列表和安全组提供的入站和出站数据包筛选功能,控制服务器和子网之间的访问。要创建支持此类使用案例的 VPC,您可以在 Amazon VPC 控制台向导中选择“VPC with Public and Private Subnets”。

在已连接您的数据中心的 AWS 云中托管可扩展的 Web 应用程序

您可以创建一个 VPC,其中一个子网中的实例(如 Web 服务器)可与 Internet 通信,同时其他子网中的实例(如应用程序服务器)可与公司网络上的数据库通信。VPC 与公司网络之间的 IPsec VPN 连接,有助于保护云中的应用程序服务器与数据中心内的数据库之间进行的所有通信。您的 VPC 中的 Web 服务器和应用程序服务器可以利用 Amazon EC2 的弹性功能和 Auto Scaling 功能,根据需要进行扩展和收缩。从 Amazon VPC 控制台向导中选择“VPC with Public and Private Subnets and Hardware VPN Access”即可创建支持此类使用案例的 VPC。

将公司网络扩展到云中

通过将 VPC 与公司网络连接,您可以将公司应用程序转移到云中、启动额外的 Web 服务器,或者增加网络的计算容量。由于 VPC 可以托管在公司防火墙的后方,因此您可以将 IT 资源无缝迁移到云中,并且不必更改用户对这些应用程序的访问方式。从 Amazon VPC 控制台向导中选择“VPC with a Private Subnet Only and Hardware VPN Access”即可创建支持此类使用案例的 VPC。

灾难恢复

您可以定期将关键任务型数据从数据中心备份到少量配有 Amazon Elastic Block Store (EBS) 卷的 Amazon EC2 实例中,或者将虚拟机映像导入到 Amazon EC2 中。当自己的数据中心出现灾难时,您可以快速地启动 AWS 中的替代计算容量,确保业务持续性。灾难过后,您可以将关键任务型数据发回到数据中心,并终止您不再需要的 Amazon EC2 实例。通过将 Amazon VPC 应用于灾难恢复,您可以享有灾难恢复站点的全部优点,而成本却只占正常花费的一小部分。

原文链接: https://aws.amazon.com/cn/vpc/?nc2=h_l3_n

活动推荐:10月23 亚马逊AWS云计算研讨会之云中的安全部署与开发运维

11月13 创建你的第一个虚拟私有云(VPC)

( 翻译/吕冬梅  责编/王鑫贺 )

订阅“AWS中文技术社区”微信公众号,实时掌握AWS技术及产品消息!

AWS中文技术社区为广大开发者提供了一个Amazon Web Service技术交流平台 ,推送AWS最新资讯、技术视频、技术文档、精彩技术博文等相关精彩内容,更有AWS社区专家与您直接沟通交流!快加入AWS中文技术社区,更快更好的了解AWS云计算技术。

正文到此结束
Loading...