Amazon Web Services - VPC 介紹

介紹一下亞馬遜的一項特點服務VPC(Virtual Private Cloud)，即虛擬雲端局域網，我以爲仍是不直譯爲虛擬私有云好些,畢竟服務是構建在公有云平臺上，按照其用途來講，它就是至關於一個雲端的局域網，官方網站介紹以下：

Amazon Virtual Private Cloud (Amazon VPC) 容許您在 Amazon Web Services (AWS) 雲中預配置出一個採用邏輯隔離的部分，讓您在本身定義的虛擬網絡中啓動 AWS 資源。您能夠徹底掌控您的虛擬聯網環境，包括選擇自有的 IP 地址範圍、建立子網，以及配置路由表和網關。

您能夠輕鬆自定義 Amazon VPC 的網絡配置。例如，您能夠爲可訪問 Internet 的 Web 服務器建立公有子網，而將數據庫或應用程序服務器等後端系統放在不能訪問 Internet 的私有子網中。您能夠利用安全組和網絡訪問控制列表等多種安全層，幫助對各個子網中 Amazon EC2 實例的訪問進行控制。

此外，您也能夠在公司數據中心和 VPC 之間建立硬件虛擬專用網絡 (×××) 鏈接，將 AWS 雲用做公司數據中心的擴展。

在使用VPC以前，咱們建立的服務器實例都是直接暴露在公網上的，從安全的角度考慮仍是不太穩當。

使用VPC後，全部服務器實例都是處於局域網環境，只將有外部訪問請求的服務器設置公網IP，這樣就減少了安全隱患。而且雲端局域網和本地公司的局域網能夠經過站點到站點×××鏈接，用戶直接經過私有IP即可以直接訪問，很是方便。

VPC的鏈接分類有以下4種，

• 直接鏈接 Internet（公有子網） – 您能夠將實例推送到公開訪問的子網中，它們可在其中發送和接收與 Internet 之間的通訊。

• 經過網絡地址轉換鏈接 Internet（私有子網） – 私有子網可用於您不但願能直接從 Internet 尋址的實例。私有子網中的實例能夠經過公有子網中的網絡地址轉換 (NAT) 實例路由其流量，從而訪問 Internet 而不暴露其私有IP地址。

• 安全地鏈接公司數據中心 – 進出 VPC 中實例的流量能夠經過行業標準的加密 IPsec 硬件 ××× 鏈接路由到您的公司數據中心。

• 經過組合鏈接方式知足應用程序需求 – 您能夠將 VPC 同時與 Internet 和公司數據中心鏈接，並配置 Amazon VPC 路由表將全部流量定向到其正確的目的地。

目前公司用到的VPC鏈接就是採用第四種方式，規劃了2個子網段，一個公共子網10.0.40.0/24，和一個私有子網10.0.41.0/24，公共子網採用NAT方式將服務器暴露在公網上面，而私有子網內的服務器僅具備內部IP，而且這2個子網段都經過×××鏈接到本地公司局域網。咱們在新建EC2服務器實例時就能夠選擇將其放置在VPC網段裏，能夠手動指定私有IP也能夠由DHCP自動分配，針對有外部訪問請求的服務器能夠設定固定公網IP(Elastic IP)，而且對VPC設定好相關的安全訪問策略，這樣本地能夠直接經過私有IP和SSH Key訪問到雲端的服務器。

以上是關於VPC的大體介紹，總之來說，採用VPC的規劃能夠提升系統的安全性，網段的分類規劃也比較有條理，在管理數量比較多的服務器時優點仍是比較明顯的。