Amazon Virtual Private Cloud (VPC)

VPC — это изолированная логическая сеть в облаке AWS, в которой пользователи могут развертывать свои ресурсы.

В одном регионе может быть создано несколько VPC.

При создании VPC необходимо:

  • Определить CIDR-диапазоны IPv4-адресов (например, 10.0.0.0/16).
  • Создать подсети.
  • Настроить таблицы маршрутизации.
  • Добавить Internet Gateway (если требуется интернет-доступ).
  • Настроить Security Groups и Network ACLs.

Subnet (Подсети) – часть VPC относящаяся к соответствующей зоне доступности и имеющая свой поддиапазон IPv4-адресов.

Публичные подсети – имеют выход в интернет через Internet Gateway.

Приватные подсети – не имеют прямого выхода в интернет, могут использовать NAT Gateway.

Route Table (Таблица маршрутизации) – таблица правил, которая управляет движением сетевого трафика внутри VPC.

Internet Gateway (IGW) – служебный маршрутизатор, который позволяет серверам в публичных подсетях подключаться к интернету.

NAT Gateway – служебный маршрутизатор, который позволяет приватным подсетям создавать исходящие соединения в интернет.

Security Groups – наборы правил для сетевого экрана защищающего отдельные серверы в VPC. Все сетевые пакеты, которые не разрешены в Security Group — уничтожаются.

Network ACLs (Сетевые ACL) – сетевые списки управления доступом (ACL) которые защищают подсети в VPC.

Elastic IP (EIP) – статические публичные IP-адреса, привязанные к ресурсам.

VPC Peering – связь между двумя VPC в AWS (в том числе между регионами).

Virtual Private Gateway — служебный маршрутизатор для безопасного подключения локального дата-центра к AWS.

AWS Direct Connect – выделенный канал для подключения локальных дата-центров с высокой производительностью.

VPC Endpoints – приватное подключение к сервисам AWS без выхода в интернет.

AWS Transit Gateway – централизованный маршрутизатор для связи множества VPC и локальных сетей.

Elastic Load Balancer (ELB) – вспомогательный сервис для распределение трафика между EC2-инстансами в Target Group.

AWS CloudTrail и VPC Flow Logs — вспомогательные сервисы для мониторинга работы VPC.

Ликбез

Стек протоколов — набор взаимодействующих протоколов относящихся к разным уровням абстракции.

  • ISO OSI — теоретическая концепция.
  • TCP/IP — используется в сети интернет и в локальных сетях интранет.
  • IPX/SPX — использовался в сетях Novell Netware в 80-е и начале 90-х годов.

TCP-соединение идентифируется с помощью комбинации:

  • IP-адрес отправителя (32 бита)
  • TCP-порт отправителя (16 бит)
  • IP-адрес получателя (32 бита)
  • TCP-порт получателя (16 бит)

IP-адреса: 192.168.1.5 0-255 - валидные значения октета Октет - набор из 8 битов IPv4 состоит из 32 битов

Классы IP-адресов:

  • A -
  • B -
  • C -
  • D - мультикаст-адреса (для групповой рассылки)
  • E - зарезервированы для будущего

Бесклассовая адресация (CIDR)

NAT

Варианты NAT:

  • Static NAT
  • Dynamic NAT
  • PAT

IPv6 - 128 битов

Сетевое оборудование:

  • шлюз (gateway) - это маршрутизатор для выхода в Интернет, для этого он реализует NAT.
  • маршрутизатор (router) - специализированный компьютер, который перенаправляет IP-пакеты из одной IP-сети в другую.
  • коммутатор - switch - ретранслируем кадры на канальном уровне (с учетом адресата). Коммутатор ведет CAM-таблицу с адресатами.
  • концентратор (многопортовой повторитель) - hub
  • повторитель (repeater) - ретранслируем кадры на физическом уровне