recap: چرا VPC اهمیت دارد؟
پس از راه اندازی اولین نمونه EC2 من و پیکربندی جنکینز ، من چیزی مهم را درک کردم – AWS به طور پیش فرض مواردی را در یک شبکه عمومی مشترک (پیش فرض VPC) قرار می دهد. اما در یک مجموعه تولید در دنیای واقعی ، شما نمی خواهید منابع خود را بدون کنترل امنیتی سخت به اینترنت باز کنید.
این جایی است که AWS Private Cloud Private Cloud (VPC) وارد می شود.
یک ابر خصوصی مجازی (VPC) یک بخش منطقی از ابر AWS است که می توانید منابعی مانند نمونه های EC2 ، پایگاه داده ها و تعادل بار را راه اندازی کنید. این امکان را به شما می دهد تا شبکه مجازی خود را از جمله محدوده آدرس IP ، زیر شبکه ، جداول مسیر و دروازه ها تعریف کنید.
اجزای کلیدی یک VPC
در اینجا تفکیک مؤلفه های اصلی و نحوه کار آنها با هم آورده شده است:
زیر شبکه ها:
زیر شبکه عمومی: منابع موجود در این زیر شبکه می توانند با اینترنت ارتباط برقرار کنند (به عنوان مثال ، سرورهای وب).
زیر شبکه خصوصی: منابع موجود در این زیر شبکه نمی توانند مستقیماً به اینترنت دسترسی پیدا کنند (به عنوان مثال ، پایگاه داده ها).
جداول مسیر:
نحوه مسیریابی ترافیک در VPC را تعریف کنید.
هر زیر شبکه با یک جدول مسیر همراه است.
دروازه اینترنتی (IGW):
امکان برقراری ارتباط بین منابع در VPC و اینترنت را فراهم می کند.
متصل به VPC و توسط زیر شبکه های عمومی استفاده می شود.
دروازه:
به منابع موجود در زیر شبکه های خصوصی اجازه می دهد تا بدون قرار گرفتن آنها در ترافیک ورودی ، به اینترنت (به عنوان مثال ، برای به روزرسانی) دسترسی پیدا کنند.
در یک زیر شبکه عمومی واقع شده است.
گروه های امنیتی:
برای مواردی به عنوان فایروال های مجازی عمل کنید و ترافیک ورودی و برون مرزی را کنترل کنید.
حالت: اجازه دهید ترافیک برگشت به طور خودکار.
ACL های شبکه (NACL):
به عنوان یک فایروال برای زیر شبکه ها ، کنترل ترافیک ورودی و برون مرزی در سطح زیر شبکه عمل کنید.
بدون تابعیت: برای ترافیک بازگشت به قوانین صریح نیاز دارید.
تعادل بار برنامه (ALB):
ترافیک ورودی را در چندین هدف (به عنوان مثال ، نمونه های EC2) در زیر شبکه های عمومی یا خصوصی توزیع می کند.
میزبان زیرزمین:
یک سرور امن در یک زیر شبکه عمومی که برای دسترسی به موارد موجود در زیر شبکه های خصوصی از طریق SSH استفاده می شود.
مسیر 53:
سرویس DNS AWS ، که برای هدایت ترافیک به منابع (به عنوان مثال ، نمونه های EC2 ، تعادل بار) و نام دامنه استفاده می شود.
چگونه همه چیز پیوند می یابد
VPC در یک تئوری مرد لنگ
مرحله 1: ورود به شهر (مسیر 53 و Balancer Load)
اولین توقف؟ مسیر 53 ، سیستم GPS Cloudville. این درخواست کاربر را می طلبد و متوجه می شود که از کجا می توانید آن را ارسال کنید – آیا باید به تئاتر شمالی یا تئاتر جنوبی برود؟
اکنون که این درخواست جهت دارد ، به سمت دروازه های شهر Cloudville حرکت می کند – Balancer Load. این را به عنوان یک پاسگاه کنترل مرز فکر کنید. این فقط اجازه ترافیک تصادفی در داخل را نمی دهد. در عوض ، سلامت سینما (نمونه های EC2) را بررسی می کند و بهترین درخواست را برای درخواست اختصاص می دهد.
اما قبل از ادامه درخواست ، به یک هویت عمومی نیاز دارد – یک آدرس IP عمومی که توسط متعادل کننده بار تعیین شده است تا بتواند به درستی ردیابی شود.
مرحله 2: پیمایش امنیت (NACL ، گروه های امنیتی و مسیریابی)
اکنون ، این بخش دشوار است: Cloudville اجازه نمی دهد کسی را به مناطق خصوصی خود وارد کند. این اقدام واقعی در یک زیر شبکه خصوصی ، به دور از دنیای خارج اتفاق می افتد.
اما صبر کن! یک نگهبان ایستاده NACL (لیست کنترل دسترسی شبکه) وجود دارد. این مانند یک افسر امنیتی سختگیرانه در دروازه عمل می کند ، هر درخواست را بررسی می کند و قبل از عمیق تر شدن در داخل ، هرگونه مشکوک را مسدود می کند.
اگر درخواست از NaCl عبور کند ، هنوز پرسه زدن هنوز رایگان نیست. به مسیرها احتیاج دارد! این جایی است که جدول مسیر وارد می شود – این سیستم ناوبری شهر است و درخواست های خود را به مقصد نهایی خود هدایت می کند.
مرحله 3: رسیدن به سرور خصوصی (میزبان Bastion & Nat Gateway)
اکنون ، ما یک مشکل کوچک داریم. سرور (نمونه EC2) در داخل زیر شبکه خصوصی قرار دارد – به این معنی که دسترسی مستقیم به اینترنت ندارد. جدول مسیر می داند که درخواست را از کجا ارسال کند ، اما از آنجا که سرور فقط یک آدرس IP خصوصی دارد ، نمی تواند مستقیماً با دنیای خارج ارتباط برقرار کند.
وارد میزبان Bastion – سازنده هویت مخفی Cloudville شوید. میزبان Bastion به جای قرار گرفتن در معرض سرور خصوصی واقعی ، به عنوان واسطه عمل می کند و یک آدرس IP جدید را برای ماسک هویت واقعی سرور خصوصی ایجاد می کند.
با این کار ، درخواست با خیال راحت از آن عبور می کند و به نمونه EC2 می رسد. بوم فیلم شروع به پخش می کند!
مرحله 4: سرورهایی که به اینترنت صحبت می کنند (NAT Gateway & IGW)
حال اگر سرور خصوصی نیاز به صحبت با اینترنت داشته باشد ، چه می شود؟ شاید نیاز به بارگیری به روزرسانی های امنیتی یا واکشی تصویری برای وب سایت داشته باشد.
این مورد است – زیر شبکه های خصوصی نمی توانند مستقیماً با دنیای خارج صحبت کنند (این تمام نقطه امنیت است!). درعوض ، آنها به یک دروازه NAT احتیاج دارند – به عنوان یک اداره پست امن به آن فکر می کنند. سرور خصوصی نامه ای را به NAT Gateway ارسال می کند ، که سپس آن را با استفاده از یک آدرس IP عمومی ارسال می کند.
از طرف دیگر ، برای هر چیزی در زیر شبکه عمومی ، دروازه اینترنت (IGW) تمام ارتباطات را آزادانه انجام می دهد – مانند بزرگراه اصلی به و از Cloudville عمل می کند.
اگر با VPC کار کرده اید ، یک چیزی که آرزو می کنید قبلاً بدانید چیست؟ آیا در تنظیم من چیزی مفقود یا نادرست می بینید؟ بیایید در نظرات بحث کنیم!
