Amazon Virtual Private Cloud (Amazon VPC) – это логически изолированный раздел облака Amazon Web Services (AWS), в котором можно запускать ресурсы AWS в построенной вами виртуальной сети. Вам предоставлен полный контроль над этой виртуальной сетью. Вы можете выбрать собственный диапазон IP-адресов, создать подсети, а также настроить таблицы маршрутизации и сетевые шлюзы.
Вы можете легко настроить сетевую конфигурацию своего виртуального облака Amazon Virtual Private Cloud. Например, для веб-серверов можно создать публичную подсеть с доступом к Интернету, а внутренние системы, такие как базы данных или сервера приложений, расположить в частной подсети без доступа к Интернету. Вам доступна многоуровневая система безопасности, состоящая из групп безопасности (security groups) и списков управления доступом к сети (NACL), которая позволяет контролировать доступ к инстансам Amazon EC2 в каждой подсети.
Кроме того, можно создать подключение с помощью аппаратной частной виртуальной сети (VPN) между вашим корпоративным центром обработки данных и VPC, а также использовать облако AWS для расширения возможностей корпоративного центра обработки данных.
Начать работу с AWS бесплатно
Создать бесплатный аккаунтили войти в Консоль
Получите доступ к уровню бесплатного пользования AWS на год, включая преимущества базовой поддержки: круглосуточное обслуживание клиентов (без праздников и выходных), форумы и многое другое.
Обратите внимание, что на данный момент сервис Amazon VPC не доступен на уровне бесплатного пользования AWS.
Теперь можно использовать шлюз системы трансляции сетевых адресов (NAT), высокодоступный управляемый сервис AWS, обеспечивающий легкость подключения к Интернету из инстансов, запущенных внутри частных подсетей облака AWS VPC. Подробнее >>
Для Amazon Virtual Private Cloud существуют различные варианты подключения. Можно подключить сервис VPC к Интернету, к центру обработки данных или другому сервису VPC, в зависимости от того, какие ресурсы AWS необходимо сделать общедоступными, а какие оставить в частном пользовании.
- Подключение непосредственно к Интернету (публичные подсети): позволяет запустить инстанс в общедоступной подсети, где он сможет отправлять и принимать трафик из Интернета.
- Подключение к Интернету с использованием трансляции сетевых адресов (частные подсети): частные подсети могут использоваться в тех случаях, если данные не должны иметь непосредственную адресацию в Интернете. Инстансы в частной подсети могут получить доступ к Интернету, не раскрывая свой частный IP-адрес, что достигается путем маршрутизации трафика через шлюз системы трансляции сетевых адресов (NAT) в публичной подсети.
- Безопасное подключение к корпоративному центру обработки данных: весь трафик от инстансов и к инстансам в сервисе VPC можно направить в корпоративный центр обработки данных, используя аппаратное VPN-подключение, зашифрованное по отраслевым стандартам IPsec.
- Частное подключение к другим VPC: настройте взаимодействие сервисов VPC, чтобы установить общий доступ к ресурсам в разных виртуальных сетях, принадлежащих вашему или другим аккаунтам AWS.
- Подключайтесь к Amazon S3 без использования интернет-шлюза или NAT, и контролируйте, какие корзины, запросы, пользователи и группы разрешены к использованию через конечную точку VPC для S3.
- Объединение методов подключения соответственно потребностям ваших приложений: можно подключить VPC как к Интернету, так и к корпоративному центру обработки данных и настроить в таблицах маршрутизации Amazon VPC правильные пути направления трафика.
Amazon VPC предоставляет расширенные возможности обеспечения безопасности, такие, как группы безопасности и списки управления доступом к сети, позволяя фильтрацию входящего и исходящего трафика на уровне инстанса или уровне подсети соответственно. Кроме того, если данные хранятся в Amazon S3, то можно ограничить доступ таким образом, что данные будут доступны только инстансам в вашем VPC. Также для дополнительной изоляции можно запускать выделенные инстансы на оборудовании, выделенном одному клиенту.
Можно быстро и легко создать VPC с помощью Консоли управления AWS. Выберите одну из наиболее распространенных сетевых настроек, которая лучше всего соответствуют вашим потребностям, и нажмите кнопку [Start VPC Wizard]. Подсети, диапазоны IP-адресов, таблицы маршрутизации и группы безопасности создаются автоматически, так что можно сосредоточиться на создании приложений, которые будут запускаться в сервисе VPC.
Сервис Amazon VPC обеспечивает все те же преимущества, что и другие платформы AWS. Вы можете мгновенно масштабировать свои ресурсы, выбирая типы инстансов Amazon EC2 и размеры, которые подходят для ваших приложений, и платить только за те ресурсы, которые используете – все это в пределах проверенной инфраструктуры Amazon.
Вы можете разместить базовое веб-приложение, например, блог или простой сайт, в сервисе VPC и получить дополнительные уровни конфиденциальности и безопасности, предоставляемые Amazon VPC. Чтобы повысить безопасность веб-сайта, можно создавать правила группы безопасности, которые позволят веб-серверу реагировать на входящие HTTP- и SSL-запросы из Интернета, одновременно запрещая веб-серверу инициировать исходящие соединения с Интернетом. Можно создать сервис VPC, который будет поддерживать такой пример использования, выбрав пункт [VPC with a Single Public Subnet Only] в меню мастера консоли сервиса Amazon VPC.
Сервис Amazon VPC можно использовать для размещения многоуровневых веб-приложений и строгого контроля за соблюдением прав доступа и ограничений безопасности между веб-серверами, серверами приложений и базами данных. Можно запустить веб-сервер в публичной подсети, а серверы приложений и баз данных в недоступных для общего пользования подсетях. Серверы приложений и баз данных недоступны непосредственно из Интернета, но при этом могут получить доступ к Интернету через шлюз NAT, например для загрузки файлов исправлений. Доступ между серверами и подсетями можно контролировать, используя фильтрацию входящих и исходящих пакетов, осуществляемую посредством списков управления доступом к сети и групп безопасности. Чтобы создать сервис VPC, который будет поддерживать такой пример использования, выберите пункт [VPC with Public and Private Subnets] в меню мастера консоли сервиса Amazon VPC.
Можно создать VPC, где инстансы в одной подсети, такие как веб-серверы, будут обмениваться данными через Интернет, в то время как инстансы в другой подсети, такие как серверы приложений, будут связываться с базами данных в вашей корпоративной сети. VPN-подключение по стандарту IPsec между VPC и корпоративной сетью поможет защитить все сообщения между серверами приложений в облаке и базами данных в корпоративном центре обработки данных. Веб-серверы и серверы приложений в вашем VPC могут использовать эластичность Amazon EC2 и возможности автоматического масштабирования (Auto Scaling), увеличивая либо уменьшая масштаб по мере необходимости. Можно создать сервис VPC, который будет поддерживать этот пример использования, выбрав пункт [VPC with Public and Private Subnets and Hardware VPN Access] в меню мастера консоли сервиса Amazon VPC.
Можно перемещать корпоративные приложения в облако, запускать дополнительные веб-серверы или добавлять больше вычислительной мощности в сети, подключив VPC к корпоративной сети. Так как сервис VPC можно разместить за корпоративным брандмауэром, вы сможете легко перемещать ИТ-ресурсы в облако, не меняя способ доступа пользователей к этим приложениям. Выберите пункт [VPC with a Private Subnet Only and Hardware VPN Access] в меню мастера консоли сервиса Amazon VPC, чтобы создать сервис VPC, поддерживающий этот пример использования.
Можно периодически создавать резервную копию критически важных данных, которые хранятся в центре обработки данных, для небольшого числа инстансов Amazon EC2 с томами Amazon Elastic Block Store (EBS) или импортировать образы виртуальных машин в Amazon EC2. В случае аварийной ситуации в вашем центре обработки данных вы сможете быстро запустить запасной объем вычислительных ресурсов в AWS, обеспечив беспрерывность функционирования систем. По завершении аварийной ситуации вы можете отправить критически важные данные обратно в центр обработки данных и прекратить использование инстансов Amazon EC2, которые больше не нужны. Amazon VPC для аварийного восстановления позволяет использовать все преимущества аварийного восстановления по цене, которая составит лишь часть обычной стоимости затрат в таких ситуациях.
