Как именно используется VPC

Question

Я понимаю основную концепцию и архитектуру высокого уровня VPC.Из того, что я понимаю, VPC в основном используется для более низкого уровня детализации сети.Это в основном используется для экземпляров ec2.Я понимаю, что экземпляры ec2 - это IAAS.

Мой вопрос заключается в том, как VPC используется с другими ресурсами, такими как PAAS или FAAS.Какая разница между наличием ресурса типа RDS, EB, Lambda в VPC и отсутствием его ресурса в VPC?Если эти ресурсы используются в VPC, показываются ли они через экземпляры ec2?Или главное, чтобы он был в VPC и мог контролировать детали сети для этого ресурса?

Answer 1

VPC - это виртуализированная версия физической сети .

Подумайте о своей домашней сети.Каждое устройство в вашем доме должно либо физически подключиться к маршрутизатору , либо подключиться через Wi-Fi к маршрутизатору.Давайте пока проигнорируем wifi.

Если два устройства в вашем доме хотят общаться друг с другом, они должны быть подключены к одной сети.Вы не можете подключиться к устройствам своего соседа, потому что они находятся в другой сети.

Ваш маршрутизатор также может подключаться к Интернету, позволяя устройствам получать доступ к компьютерам за пределами вашего дома.

То же самое такжеверно для VPC.Любые ресурсы, которые хотят взаимодействовать друг с другом (например, EC2, RDS) , должны находиться в одном и том же VPC .Если VPC подключен к Интернету через Интернет-шлюз, они также могут связываться с чем-либо доступным через Интернет.

• Экземпляры Amazon EC2 всегда подключены к VPC.(Существует старая версия, называемая EC2-Classic, но давайте игнорируем это)
• AWS Elastic Beanstalk развертывает экземпляры Amazon EC2, поэтому они также подключены к VPC.
• Экземпляры Amazon RDS используют EC2 "за сценой", поэтому они всегда подключены к VPC.
• Функции AWS Lambda дополнительно подключаются к VPC.Если они не подключены к VPC, то они могут получить доступ к Интернету напрямую.Если они подключены к VPC, то они могут получить доступ только к ресурсам внутри VPC - шлюз NAT необходим для предоставления функции доступа в Интернет.
• Amazon S3 - это веб-сервис, который всегда работает и всегда доступен из Интернета.Вы можете «использовать» это, но вы не «создаете» это.Поэтому он не подключается к VPC.Чтобы использовать его, ресурсы на VPC (например, экземпляры EC2) должны иметь доступ к Интернету или использовать «конечную точку VPC», которая напрямую подключается к S3 из VPC.

VPCиспользуется исключительно для придания ресурсам «физического» подключения, как если бы они были подключены к одному и тому же маршрутизатору.Он не предоставляет доступа к самому ресурсу.Представьте, что вы подключаете свой ноутбук к моей домашней сети - он не дает мне доступ к вашему ноутбуку, если вы не настроили свой ноутбук на разрешение доступа (например, к общей папке на диске).

Answer 2

Как вы уже знаете, VPC - это полностью частный виртуальный сетевой сервис.В этой частной сети вы сможете создавать подсети и организовывать их по своему усмотрению, например, иметь несколько сетей, которые могут иметь общедоступные IP-адреса (например, фронтальные службы), и другие, которые являются полностью частными (например, RDS).

Теперь общедоступная подсеть называется только общедоступной, поскольку она подключена к ресурсу AWS, который называется Интернет-шлюз, поэтому ваши общедоступные IP-адреса будут маршрутизироваться.Это означает, что даже если у вас есть общедоступный IP-адрес экземпляра EC2 в подсети, который не подключен (через таблицу маршрутизации) к интернет-шлюзу, вы не сможете подключиться к Интернету.

Если вы хотите, чтобы ваши экземпляры в частных подсетях могли общаться с остальным миром, вам нужно добавить шлюз AWS NAT, который будет выполнять преобразование пакетов для вас (самый простой способ).

Теперь суть VPC заключается в том, чтобы владеть данными, хранящимися в вашем стеке, например, вы не хотите, чтобы критически важные базы данных и серверные службы были доступны в Интернете, даже если вы можете защитить их с помощью группы безопасности.

Лямбда-функция в VPC будет ресурсом, который будет передан Сетевому интерфейсу (ENI) во время его выполнения в указанной вами подсети.Это позволит вам подключаться к вашим ресурсам, которые не доступны в Интернете (RDS, Elasticache, ...)

Как правило, вы захотите использовать лямбду без использования VPC, если вам не нужночтобы получить доступ к вашим личным ресурсам, которые находятся внутри вашего VPC.