ساده سازی VPC ، زیر شبکه ها ، دروازه NAT ، دروازه اینترنتی و میزهای مسیر

VPC یک سرویس AWS است که به شما امکان می دهد یک ابر خصوصی مجازی ایجاد کنید.

تصور کنید که شما یک مهمانی می اندازید. شما غریبه های تصادفی را نمی خواهید که در آن قدم بزنند ، بنابراین یک مکان خصوصی را با یک نگهبان امنیتی در ورودی رزرو می کنید. فقط میهمانان دعوت شده می توانند وارد شوند و در داخل ، بخش های مختلفی برای غذا ، یکی برای موسیقی و دیگری برای بازی ها دارید.

یک VPC (ابر خصوصی مجازی) به همان روش اما برای شبکه های ابری کار می کند. این فضای خصوصی شما در یک ارائه دهنده ابر (مانند AWS یا Azure) است که می توانید برنامه های خود را با اطمینان اجرا کنید. فقط کاربران و خدمات مجاز می توانند به آن دسترسی پیدا کنند ، دقیقاً مانند میهمانان دعوت شده شما در مهمانی.

در محیط AWS (همانطور که در تصویر زیر نشان داده شده است) مناطق وجود دارد و در این مناطق برنامه های مختلفی در حال اجرا هستند.

مفهومی وجود دارد که به عنوان آدرس IP شناخته می شود. تلفن ها و لپ تاپ های ما هر کدام آدرس IP خود را دارند و به همین ترتیب ، هر دستگاه دارای آدرس IP است. هنگامی که ما چندین نمونه EC2 ایجاد می کنیم ، بسیاری از آدرس های IP استفاده می شود. اگر “چند آدرس IP در IPv4 وجود دارد” را جستجو می کنید ، متوجه خواهید شد که این تعداد محدود است.

این بدان معنی است که اگر چندین برنامه در یک منطقه ایجاد کنید ، ممکن است از آدرس های IP استفاده کنید. علاوه بر این ، این خطر وجود دارد که شخصی بتواند به درخواست شما پینگ یا حمله کند. برای پرداختن به این نگرانی ها ، AWS توصیه می کند یک ابر خصوصی مجازی (VPC) ایجاد کنید.

درخواست شما جدا از برنامه های همسایه نگه داشته می شود.

چگونه این کمک می کند؟

آدرس های IP در VPC 1 و VPC 2 در یک منطقه اختصاص می یابد زیرا هر یک از شبکه خصوصی خود را دارند. این راه اندازی انزوا را فراهم می کند ، که باعث افزایش امنیت می شود. در VPC خود ، شما این آزادی را دارید که می خواهید.

زیر شبکه چیست؟

یک VPC یا ابر خصوصی مجازی ، به عنوان یک شبکه عمل می کند. بیایید آن را به عنوان یک محیط جداگانه در نظر بگیریم که آدرس های IP به طور مستقل اداره می شوند.

در یک شبکه بزرگ ، ممکن است بخواهید منابع دولتی و خصوصی را اداره کنید. برای مدیریت این کار ، شبکه به زیر شبکه ها تقسیم می شود. برای منابع عمومی می توانید از یک زیر شبکه عمومی استفاده کنید و برای منابع خصوصی ، یک زیر شبکه خصوصی مناسب است. شما با دسترسی کاربران فقط به زیر شبکه عمومی ، امنیت را تقویت می کنید.

بیایید در نظر بگیریم که شما یک پایگاه داده دارید. با قرار دادن پایگاه داده خود در یک زیر شبکه خصوصی ، از حملات محافظت می شود زیرا از خارج نمی توان به آن دسترسی پیدا کرد. این مفهوم یک زیر شبکه است. اگر یک شبکه بزرگ دارید ، می توانید آن را به شبکه های کوچکتر تقسیم کنید: یک زیر شبکه خصوصی ، که دارای اینترنت یا دسترسی عمومی نیست و یک زیر شبکه عمومی ، که به صورت عمومی قابل دسترسی است.

ممکن است تعجب کنید که چگونه زیر شبکه های دولتی و خصوصی در تعامل هستند. این تعامل از طریق مفهومی به نام VPC Peering حاصل می شود که من در یک وبلاگ دیگر پوشش خواهم داد.

در یک VPC ، ممکن است در مورد مفهوم مناطق در دسترس بودن کنجکاو باشید. در واقع ، مناطق در دسترس بودن بخش مهمی از معماری VPC است.

جدول دروازه اینترنتی و جدول مسیر

شما یک برنامه ایمن در یک زیر شبکه دارید و به دسترسی به اینترنت نیاز دارید. یک دروازه اینترنتی به منابع موجود در زیر شبکه عمومی شما اجازه می دهد تا با دنیای خارج ارتباط برقرار کنند. با وصل کردن آن به VPC و به روزرسانی جدول مسیر ، ترافیک اینترنتی برون مرزی و ورودی را فعال می کنید. این تضمین می کند که برنامه شما می تواند به منابع خارجی دسترسی پیدا کرده و به طور ایمن ارتباط برقرار کند. اینترنت دروازه به عنوان پلی بین VPC شما و اینترنت عمومی عمل می کند.

برای تعیین اینکه آیا درخواست خدمات از اینترنت آمده است و از کجا باید به یک زیر شبکه عمومی یا خصوصی هدایت شود ، AWS از جداول مسیر استفاده می کند. یک جدول مسیر به مدیریت و هدایت ترافیک شبکه در VPC شما کمک می کند ، و اطمینان حاصل می کند که درخواست ها بر اساس قوانین تعریف شده به درستی مسیریابی می شوند.

دروازه

برای یک زیر شبکه عمومی ، ما از یک دروازه اینترنتی استفاده می کنیم و به همین ترتیب ، برای یک زیر شبکه خصوصی ، از یک دروازه NAT استفاده می کنیم.

NAT Gateway: Gateway ترجمه آدرس شبکه.

این به عنوان یک نمودار شبکه شناخته می شود. در طی مصاحبه ، ممکن است از شما خواسته شود که نمودار شبکه ایجاد کنید.

سوالات مصاحبه ای که ممکن است در این موضوع با آن روبرو شوید

در زیر برخی از سوالات مصاحبه متداول مربوط به موضوع مورد بحث در بالا آورده شده است. می توانید مراحل زیر را دنبال کنید تا پاسخ های خود را در طی مصاحبه به طور مؤثر ارائه دهید.

بینش: توصیه می شود پاسخ خود را با استفاده از قالب ستاره ارائه دهید.

VPC چیست؟

• وضعیت:
  در یک پروژه اخیر ، ما مجبور شدیم خدمات را در AWS با امنیت سخت و کنترل ترافیک مستقر کنیم.

• کار:
  من مسئولیت راه اندازی یک شبکه ایمن و منزوی را بر عهده داشتم.

• عمل:
  من از VPC استفاده کردم ، که مانند شبکه خصوصی شما در AWS است. این امکان را به شما می دهد تا نحوه اتصال منابع شما به یکدیگر و اینترنت را کنترل کنید. من زیر شبکه های عمومی و خصوصی ایجاد کردم ، جداول مسیر ، یک دروازه NAT را تنظیم کردم و گروه های امنیتی را برای مدیریت دسترسی اضافه کردم.

• نتیجه:
  این زیرساخت ها ایمن بود ، تمام ممیزی ها را تصویب کرد و اجازه ارتباط ایمن بین خدمات با حداقل قرار گرفتن در معرض عمومی را داد.

زیر شبکه چیست؟

• وضعیت:
  در حین طراحی شبکه در AWS ، ما نیاز به سازماندهی منابع خود و کنترل قرار گرفتن در معرض آنها در اینترنت داشتیم.

• کار:
  من مجبور شدم VPC را به قسمت های کوچکتر تقسیم کنم تا برخی از خدمات بتوانند در اینترنت قرار بگیرند ، در حالی که برخی دیگر خصوصی و ایمن ماندند.

• عمل:
  من از زیر شبکه هایی استفاده کردم که بخش های کوچکتر در داخل VPC هستند. من ایجاد کردم:

زیر شبکه های عمومی برای خدماتی مانند توازن بار که به دسترسی به اینترنت نیاز دارند.

زیر شبکه های خصوصی برای مواردی مانند پایگاه داده هایی که باید داخلی باشند.

من زیر شبکه عمومی را به یک دروازه اینترنتی متصل کردم و از یک دروازه NAT برای زیر شبکه خصوصی استفاده کردم تا بدون اینکه در معرض اینترنت باشد ، به اینترنت برسد.

• نتیجه: این تنظیم منابع حساس را ایمن نگه داشته است ، در حالی که امکان دسترسی خارجی را فقط در صورت لزوم فراهم می کند. همچنین مقیاس بندی و کنترل ترافیک را بسیار ساده تر کرد.

NAT Gateway چیست؟

• وضعیت:
  در یک پروژه ، ما در زیر شبکه های خصوصی خدمات باطن داشتیم که برای به روزرسانی به دسترسی به اینترنت نیاز داشتند.

• کار:
  کار من این بود که اجازه دسترسی به اینترنت برون مرزی را بدون قرار دادن این منابع در ترافیک دریافتی داشته باشم.

• عمل:
  من یک دروازه NAT را در یک زیر شبکه عمومی تنظیم کردم. این اجازه می دهد تا نمونه های خصوصی مانند بارگیری تکه ها بدون اجازه دادن به کسی از اینترنت ، به طور ایمن به اینترنت دسترسی پیدا کنند.

• نتیجه:
  این تنظیمات سرورهای داخلی ما را ایمن نگه داشته و در حالی که اطمینان حاصل می کنند که به روز شده و کاربردی هستند.

اینترنت دروازه چیست؟

• وضعیت:
  ما در AWS خدمات داشتیم که برای دسترسی به اینترنت ، مانند یک برنامه وب که در EC2 برگزار می شود ، باید از طریق اینترنت قابل دسترسی باشد.

• کار:
  من نیاز به دسترسی به اینترنت به آن خدمات به روشی ایمن و مدیریت شده داشتم.

• عمل:
  من یک دروازه اینترنتی را به VPC وصل کردم و با استفاده از یک جدول مسیر آن را به یک زیر شبکه عمومی وصل کردم. این امر به منابعی مانند EC2 و تعادل بار اجازه ارسال و دریافت ترافیک از اینترنت را می داد.

• نتیجه:
  این سرویس ها در سطح جهان قابل دسترسی بودند و جریان ترافیک از طریق گروه های امنیتی و جداول مسیر کاملاً تحت کنترل بود.

جداول مسیر چیست؟

• وضعیت:
  در حین راه اندازی شبکه ، زیر شبکه های مختلفی برای برقراری ارتباط داخلی و برخی از دسترسی های اینترنتی مورد نیاز لازم است.

• کار:
  مجبور شدم تعریف کنم که چگونه باید ترافیک در VPC و جهان خارج جریان یابد.

• عمل:
  من جداول مسیر جداگانه ای را برای زیر شبکه های عمومی و خصوصی ایجاد کردم. برای عموم ، مسیری را به دروازه اینترنت اضافه کردم و برای خصوصی ، مسیری را به دروازه NAT اضافه کردم. این کمک کرد که چه کسی به کجا می رود.

• نتیجه:
  ترافیک به درستی و ایمن مسیریابی شد. هر منبع بدون هیچ گونه همپوشانی یا سردرگمی دسترسی صحیح داشت.

یادگیری مبارک و سرگرم کننده 🙂
چتن محد