Amazon Virtual Private Cloud (VPC)

VPC — это изолированная логическая сеть в облаке AWS, в которой пользователи могут развертывать свои ресурсы.

В одном регионе может быть создано несколько VPC.

При создании VPC необходимо:

  • Определить CIDR-диапазоны IPv4-адресов (например, 10.0.0.0/16).
  • Создать подсети.
  • Настроить таблицы маршрутизации.
  • Добавить Internet Gateway (если требуется интернет-доступ).
  • Настроить Security Groups и Network ACLs.

Subnet (Подсети) – часть VPC относящаяся к соответствующей зоне доступности и имеющая свой поддиапазон IPv4-адресов.

Публичные подсети – имеют выход в интернет через Internet Gateway.

Приватные подсети – не имеют прямого выхода в интернет, могут использовать NAT Gateway.

Route Table (Таблица маршрутизации) – таблица правил, которая управляет движением сетевого трафика внутри VPC.

Internet Gateway (IGW) – служебный маршрутизатор, который позволяет серверам в публичных подсетях подключаться к интернету.

NAT Gateway – служебный маршрутизатор, который позволяет приватным подсетям создавать исходящие соединения в интернет.

Security Groups – наборы правил для сетевого экрана защищающего отдельные серверы в VPC. Все сетевые пакеты, которые не разрешены в Security Group — уничтожаются.

Network ACLs (Сетевые ACL) – сетевые списки управления доступом (ACL) которые защищают подсети в VPC.

Elastic IP (EIP) – статические публичные IP-адреса, привязанные к ресурсам.

VPC Peering – связь между двумя VPC в AWS (в том числе между регионами).

Virtual Private Gateway — служебный маршрутизатор для безопасного подключения локального дата-центра к AWS.

AWS Direct Connect – выделенный канал для подключения локальных дата-центров с высокой производительностью.

VPC Endpoints – приватное подключение к сервисам AWS без выхода в интернет.

AWS Transit Gateway – централизованный маршрутизатор для связи множества VPC и локальных сетей.

Elastic Load Balancer (ELB) – вспомогательный сервис для распределение трафика между EC2-инстансами в Target Group.

AWS CloudTrail и VPC Flow Logs — вспомогательные сервисы для мониторинга работы VPC.

Ликбез

Стек протоколов — набор взаимодействующих протоколов относящихся к разным уровням абстракции.

  • ISO OSI — теоретическая концепция.
  • TCP/IP — используется в сети интернет и в локальных сетях интранет.
  • IPX/SPX — использовался в сетях Novell Netware в 80-е и начале 90-х годов.

IPv4 состоит из 32 битов и разбит на 4 октета по 8 битов. Каждый октет переводится в десятичное число, т.е. валидными значениями являются числа в диапазоне 0-255.

Наример IPv4 адрес 192.168.1.5 в двоичном виде записывается так: 11000000.10101000.00000001.00000101.

До 1990-х годов использовалась классовая система адресации при которой IPv4-адреса относились к одному из 5 классов:

  • Адреса класса A: первый октет в диапазоне 1–126 (т.е. первый бит 0). Номер сети это первый октет. Количество сетей: 126, адресов в каждой сети: 16.777.214 (2^24-2). Например: 10.52.36.11.
  • Адреса класса B: первый октет в диапазоне 128–191 (т.е. первые два бита 10). Номер сети это первые два октета. Количество сетей: 16.384, адресов в каждой сети: 65.534 (2^16-2). Например: 172.16.52.63.
  • Адреса класса C первый октет в диапазоне 192–223 (т.е. первые три бита 110). Номер сети это первые три октета. Количество сетей: 2.097.152, адресов в каждой сети: 254 (2^8-2). Например 192.168.123.132.
  • Адреса класса D - для групповой рассылки (мультикаст-адреса).
  • Адреса класса E - зарезервированы для будущего развития.

Бесклассовая адресация (CIDR)

TCP-соединение идентифируется с помощью комбинации:

  • IP-адрес отправителя (32 бита)
  • TCP-порт отправителя (16 бит)
  • IP-адрес получателя (32 бита)
  • TCP-порт получателя (16 бит)

NAT

Варианты NAT:

  • Static NAT
  • Dynamic NAT
  • PAT

IPv6 - 128 битов

Сетевое оборудование:

  • шлюз (gateway) - это маршрутизатор для выхода в Интернет, для этого он реализует NAT.
  • маршрутизатор (router) - специализированный компьютер, который перенаправляет IP-пакеты из одной IP-сети в другую.
  • коммутатор - switch - ретранслируем кадры на канальном уровне (с учетом адресата). Коммутатор ведет CAM-таблицу с адресатами.
  • концентратор (многопортовой повторитель) - hub
  • повторитель (repeater) - ретранслируем кадры на физическом уровне