شبکه AWS – AWS VPC، زیرشبکهها، گروههای امنیتی، دروازه NAT و آدرسهای IP

شبکه AWS میتواند موضوع پیچیدهای باشد، اما بخش مهمی از ساخت و مدیریت منابع در AWS Cloud است. در این راهنمای جامع، ما به اجزای کلیدی شبکه AWS نگاهی عمیق میاندازیم و همه چیزهایی را که برای شروع باید بدانید را بررسی میکنیم.
بگذار بازی شروع شود…
ابرهای خصوصی مجازی (VPC)
در قلب شبکه AWS، ابر خصوصی مجازی (VPC) قرار دارد. VPC یک شبکه مجازی است که به شما امکان میدهد منابع AWS را در یک شبکه مجازی که تعریف میکنید راهاندازی کنید. کنترل کاملی بر محیط شبکه مجازی شما از جمله انتخاب محدوده آدرس IP، زیرشبکهها و پیکربندی جداول مسیر و شبکه برای شما فراهم میکند. دروازه ها
بیایید هر یک از این مؤلفه ها را با جزئیات بررسی کنیم.
- منابعی که در AWS ایجاد می کنید به طور فیزیکی در یک یا چند قرار دارند مراکز داده معمولاً 100 مایل از یکدیگر فاصله دارند.
- مجموعه ای از مراکز داده متعدد به عنوان یک نامیده می شود منطقه در دسترس بودن مانند ca-central-1a، ca-central1b.
- مجموعه ای از چندین منطقه در دسترس بودن در یک موقعیت جغرافیایی به عنوان * نامیده می شود.منطقه AWS مانند ca-central-1.
نمودار زیر یک منطقه AWS (ca-central-1) را نشان می دهد که از دو منطقه دسترسی (ca-central-1a و ca-central-1b) تشکیل شده است که بخشی از VPC A با محدوده CIDR (10.0.0.0/16) است.
زیر شبکه ها
زیرشبکه یا زیرشبکه یک زیرشاخه منطقی از یک شبکه IP است.
همچنین یک VPC را به چندین شبکه کوچک تقسیم می کند تا بتوان آنها را به طور جداگانه مدیریت کرد.
عمل تقسیم یک شبکه به دو یا چند شبکه را زیرشبکه می گویند.
به عنوان مثال، یک VPC دارای 10.0.0.0/16 = 65536 IP ها را می توان به 4 زیر شبکه تقسیم کرد:
- 10.0.1.0/24 = 256 IP
- 10.0.2.0/24 = 256 IP
- 10.0.3.0/24 = 256 IP
- 10.0.4.0/24 = 256 IP
5 IP در هر CIDR توسط AWS رزرو شده است و بقیه آنها برای استفاده بیشتر در دسترس خواهند بود.
انواع زیر شبکه:
دو نوع زیرشبکه وجود دارد: خصوصی و عمومی.
زیرشبکه های عمومی: اگر می خواهید نمونه شما در یک زیرشبکه عمومی با اینترنت ارتباط برقرار کند، از زیرشبکه عمومی استفاده می کنید. به طور کلی، نمونه های مواجه با وب در زیرشبکه های عمومی قرار می گیرند.
زیرشبکه خصوصی: اگر یک زیرشبکه مسیری به دروازه اینترنت نداشته باشد، آن زیر شبکه به عنوان یک زیرشبکه خصوصی شناخته می شود.
به طور کلی، سرورهای DB شما مکان هایی در زیر شبکه های خصوصی هستند.
در نمودار زیر، 1 زیرشبکه عمومی و 1 زیرشبکه خصوصی را در هر یک از مناطق دسترسی اضافه کرده ایم.
دروازه اینترنت
دروازه اینترنت امکان ارتباط بین VPC شما و اینترنت را فراهم می کند. فقط یک IGW را می توان به یک VPC وصل کرد و بالعکس.
در نمودار زیر، اینترنت گیتوی را به VPC متصل کردهایم.
دروازه اینترنت خود دسترسی به اینترنت را فراهم نمی کند
جدول مسیر باید با زیرشبکه ها مرتبط باشد و مسیرها تعریف شوند.
جدول مسیر شامل مجموعه ای از قوانین است که نامیده می شوند مسیرها، که برای تعیین اینکه ترافیک شبکه از زیر شبکه یا دروازه شما به کجا هدایت می شود استفاده می شود.
زیرشبکه عمومی باید مسیری به دروازه اینترنت داشته باشد در حالی که زیرشبکه خصوصی باید مسیری به شبکه محلی داشته باشد. همانطور که در نمودار زیر نشان داده شده است:
پس از پیوست کردن جداول مسیر با زیرشبکه ها، نمودار ما چیزی شبیه به زیر خواهد شد
حال، اجازه دهید در مورد یکی دیگر از ویژگی های مهم VPC صحبت کنیم:
گروه های امنیتی
- یک گروه امنیتی به عنوان یک فایروال مجازی برای نمونه های EC2 شما عمل می کند تا ترافیک ورودی و خروجی را کنترل کند.
- قوانین ورودی ترافیک ورودی به نمونه شما را کنترل می کنند و قوانین خروجی ترافیک خروجی از نمونه شما را کنترل می کنند.
- در قوانین، شما تعریف می کنید که چه نوع ترافیکی از کدام منبع مجاز/ممکن است. به عنوان مثال ترافیک http از 0.0.0.0 به EC2 را مجاز کنید.
هنگامی که این گروه های امنیتی را به نمونه های EC2 خود پیوست کردید، نمودار چیزی شبیه به زیر خواهد بود:
NACL (لیست کنترل دسترسی به شبکه) :
مانند گروه های امنیتی به عنوان یک فایروال در سطح EC2/host عمل می کند، NACL یا لیست کنترل دسترسی به شبکه به عنوان یک لایه اضافی از فایروال در سطح زیرشبکه عمل می کند.
پیشفرض NACL به تمام ترافیک ورودی و خروجی به زیرشبکههای شما اجازه میدهد. میتوانید یک شبکه ACL سفارشی ایجاد کنید و آن را با یک زیرشبکه مرتبط کنید.
ACL شبکه حاوی قوانین و اولویتی است که به هر قانون اختصاص داده شده است، قوانین بر اساس ارزیابی می شوند
در اولویت آنها، تعداد کمتر، اولویت بالاتر است.
در زیر یک نمونه قانون NACL آمده است:
پس از افزودن قوانین NACL به زیرشبکه های خود، نمودار ما چیزی شبیه به زیر خواهد بود:
در حال حاضر، موارد استفاده زیادی وجود دارد که در آن موارد شما در زیرشبکه خصوصی نیاز به دسترسی به اینترنت دارند. به عنوان مثال، نمونه پایگاه داده نیاز به به روز رسانی / وصله منظم دارد تا با دانلود به روز رسانی از اینترنت انجام شود. این را می توان با استفاده ایمن انجام داد دروازه NAT که به نمونه هایی در زیرشبکه خصوصی اجازه می دهد تا از طریق یک مسیر امن به اینترنت متصل شوند.
دروازههای Nat باید در زیرشبکههای عمومی (یک در هر AZ) راهاندازی شوند. چیزی شبیه زیر:
نتیجه
شبکه AWS می تواند موضوع پیچیده ای باشد، اما با پیروی از بهترین شیوه ها و استفاده از ابزارهای ارائه شده توسط AWS، می توانید یک شبکه ایمن و کارآمد برای منابع خود بسازید.
آیا می خواهید تمام اجزای شبکه را با توضیح دقیق ببینید؟ برای همین کار، آموزش زیر را بررسی کنید:
https://www.youtube.com/watch?v=yUhzvVrwkV8
مراجع 📚:
https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html
https://aws.amazon.com/about-aws/global-infrastructure/
https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html