Что такое VPC?
AWS VPC — это, по сути, частная виртуальная сеть внутри сети AWS. Хотя AWS является
физически является общей сетью, каждый VPC логически изолирован от других клиентов AWS. AWS
поддерживает частные и публичные адреса для каждого из своих клиентов.
Клиенты AWS логически разделены, между VPC нет борьбы за пространство IP-адресов. Каждый VPC будет
имеет свою собственную таблицу маршрутизации, которая отвечает за направление трафика.
На рисунке ниже показана логическая изоляция клиентов AWS.
** Что такое подсеть?
Чтобы понять, что такое подсеть, сначала нужно понять, что такое сеть и подсеть.
что такое сеть и подсеть
Что такое сеть?
Сеть — это группа из двух или более соединенных вычислительных устройств. Обычно все устройства в сети подключены к центральному узлу — например, маршрутизатору. Сеть также может включать подсети, или более мелкие подразделения сети.
Что такое подсеть?
Подсеть, или подсеть, — это сеть внутри сети. Подсети делают сети более эффективными. Благодаря подсети сетевой трафик может проходить меньшее расстояние, не проходя через ненужные маршрутизаторы, чтобы достичь места назначения.
Что такое подсеть?
Подсеть/подсетевое взаимодействие — это то, как очень большие сети, такие как те.
предоставляемые интернет-провайдерами, способны управлять тысячами IP-адресов и
подключенными устройствами.
Простыми словами: Разделение больших сетей на более мелкие называется подсетями.
CIDR
CIDR означает (Classless Inter-Domain Routing) — также известный как суперсеть. Это метод присвоения адресов протокола Интернета (IP), который повышает эффективность распределения адресов и заменяет предыдущую систему, основанную на сетях классов A, B и C.
Для каждого настроенного VPC мы должны назначить значение CIDR, например (10.0.0.0/16).
Диапазон CIDR зависит от количества серверов, которые будут развернуты.
Здесь переменные значения CIDR варьируются от 0 до 255.
Но первые четыре значения, т.е. от «10.0.0.0» до «10.0.0.3/16» зарезервированы, а «10.0.0.255/16» также зарезервировано.
Для каждой созданной подсети мы ограничиваем публичные и частные ресурсы разными подсетями. Каждой подсети присваивается свой IP.
Здесь ‘/24’ означает, что первые 3 бита IP-адреса остаются неизменными.
Для подсети-1 Ip-адрес варьируется от 10.0.0.4 до 10.0.0.254.
Для подсети-2 Ip-адреса варьируются от 10.0.1.4 до 10.0.1.254.
Для подсети-3 Ip-адреса варьируются от 10.0.2.4 до 10.0.2.254.
В принципе, мы размещаем наши различные службы в разных подсетях. Например, веб-серверы мы держим в одной подсети, а серверы баз данных — в другой частной подсети.
РАЗВЕРТЫВАНИЕ VPC:
Создайте VPC «Silicon-Vpc» (допустим).
Присвойте ему CIDR IPV4 (10.0.0.0/16).
Создайте две подсети внутри него, Web-подсеть и DB-подсеть.
Присвойте подсети значения CIDR «10.0.1.0/24» и «10.0.2.0/24» соответственно.
Теперь выберите «Web-подсеть» и отредактируйте настройки подсети. Включите автоназначение публичного IP, чтобы разрешить публичный доступ ко всем веб-серверам внутри подсети.
Мы видим, что для каждой подсети мы можем выделить 251 сервер (в соответствии с доступными значениями CIDR).
Теперь давайте запустим экземпляр, скажем, linux-сервера. Установите VPC как «Silicon-vpc» и подсеть как «Web-subnet».
Создайте новую пару ключей и запустите.
Аналогично запускаем другой экземпляр в DB-подсети.
Подключите веб-сервер с помощью SSH. Мы видим, что не сможем подключиться.
Это происходит потому, что мы не подключили интернет-шлюз, чтобы предоставить веб-серверу доступ в интернет.
Что такое интернет-шлюз?
Интернет-шлюз — это горизонтально масштабируемый, избыточный и высокодоступный компонент VPC, который обеспечивает связь между вашим VPC и интернетом.
Интернет-шлюз служит двум целям:
1) для обеспечения цели в таблицах маршрутизации VPC для трафика, маршрутизируемого через интернет.
2) для выполнения трансляции сетевых адресов (NAT) для экземпляров, которым были присвоены публичные адреса IPv4.
Теперь мы развернем IGW.
Создайте IGW » Silicon-IGW». Прикрепите к нему vpc.
Создание IGW:
Теперь мы все еще не сможем подключиться, так как таблица маршрутов не определена.
Поэтому нам нужно создать и определить таблицу маршрутов.
Что такое таблица маршрутизации VPC?
Ваш VPC имеет неявный маршрутизатор, и вы используете таблицы маршрутизации для управления направлением сетевого трафика. Каждая подсеть в вашем VPC должна быть связана с таблицей маршрутизации, которая управляет маршрутизацией для подсети (таблица маршрутизации подсети).
Вы можете явно связать подсеть с определенной таблицей маршрутизации. В противном случае подсеть неявно ассоциируется с основной таблицей маршрутизации.
Одновременно подсеть может быть связана только с одной таблицей маршрутизации, но вы можете связать несколько подсетей с одной и той же таблицей маршрутизации подсети.
таблицей.
Публичная подсеть: Если подсеть связана с таблицей маршрутизации, которая имеет маршрут к интернет-шлюзу, она называется публичной подсетью.
Частная подсеть: Если подсеть связана с таблицей маршрутов, в которой нет маршрута к интернет-шлюзу, она называется частной подсетью.
В таблице маршрутов публичной подсети мы можем указать маршрут для интернет-шлюза ко всем пунктам назначения, которые явно не известны таблице маршрутов (0.0.0.0/0 для IPv4 или ::/0 для IPv6).
В качестве альтернативы можно ограничить маршрут более узким диапазоном IP-адресов; например, публичными IPv4-адресами публичных конечных точек вашей компании за пределами AWS, или Elastic
IP-адреса других экземпляров Amazon EC2 за пределами вашего VPC.
Создание таблицы маршрутов:
Теперь мы сможем подключиться к веб-серверу через ssh.
Но мы не можем получить доступ к DB-серверу, так как у него нет публичного IP.
Аналогично, мы не можем подключиться к DB-серверу из консоли веб-сервера, так как у нас нет доступа к файлу «Db-server-key.pem».
Поэтому давайте создадим pem-файл с помощью редактора vi и сохраним содержимое файла Db-server-key.pem в редакторе vi.
Теперь нам нужно дать серверу разрешение на чтение и запись.
Введите: «chmod 600 DB-server-key.pem».
Теперь мы сможем получить доступ к Db-серверу через Web-сервер.
Мы можем проверить, что Web-сервер имеет доступ к интернету, используя команду «ping 8.8.8.8».
Но DB-сервер не может получить доступ к интернету.
Если мы хотим предоставить DB-серверу доступ в интернет, мы должны настроить его таким образом, чтобы никто, кроме нас, не мог получить к нему доступ из интернета.
Для такой настройки мы устанавливаем «NAT-Gateway».
«Nat-gatweway» имеет как частный, так и публичный IP, связанный с ним.
Нам нужно развернуть его в публичной подсети. Следовательно, подсеть, имеющая доступ к IGW, называется публичной подсетью.
Если DB-подсеть хочет иметь доступ в интернет, то она должна подключиться к публичному ip NAT-шлюза.