Облачные вычисления внесли существенные изменения в наше представление о вычислительных ресурсах.
Облачные провайдеры избавили от необходимости беспокоиться о дорогом оборудовании или обслуживании сложных инфраструктур и сделали возможным доступ и настройку вычислительных ресурсов от низкого до высокого класса по запросу в доступные затраты.
В мире облачных вычислений вы можете столкнуться с терминами VPC и подсети. Итак, что они означают и как они работают?
Что такое VPC?
ВПК — это аббревиатура от виртуальное частное облако. VPC, как следует из самого термина, представляет собой виртуальную частную среду, которую вы можете создать в облаке.
Облачные провайдеры обычно предлагают VPC как услугу в общедоступных облаках, но с VPC вы получаете безопасная и изолированная сеть в инфраструктуре провайдера, в которой можно создавать и управлять Ресурсы.
VPC можно сравнить с локальной инфраструктурой, где вы устанавливаете и настраиваете все свои вычислительные ресурсы в одном месте, потому что они принадлежат вам. Единственная разница здесь в том, что вы не владеете аппаратным обеспечением и не обслуживаете его, и вы можете легко масштабировать свою инфраструктуру вверх или вниз в зависимости от ваших требований.
Чтобы найти службу VPC на ведущих облачных платформах, найдите службу VPC в AWS, Google Cloud и IBM Cloud; в Azure это называется виртуальной сетью; а в Oracle это называется виртуальной облачной сетью.
Как работает VPC?
Узнав, что VPC позволяет создавать сеть ресурсов в логически обособленном разделе облака, важно понять важные моменты о том, как работают VPC.
При создании VPC вы можете определить для него диапазон IP-адресов. Этот диапазон IP-адресов делит VPC на подсети, которые при необходимости можно разделить на более мелкие подсети.
Каждая подсеть связана с определенным зона доступности, которое представляет собой отдельное физическое место в инфраструктуре облачного провайдера. Вы также настраиваете группы безопасности (брандмауэр), списки контроля доступа, и таблицы маршрутов для управления доступом к сети и потоком трафика внутри сети.
VPC обычно охватывает все доступные зоны в регионе, в котором он создан. Например, на изображении ниже показан Amazon VPC, созданный в регионе только с двумя зонами доступности.
Также следует отметить, что с использованием виртуальных частных сетей (VPN) можно создать несколько изолированных сред в пределах одного VPC. Это полезно для организации ресурсов и предоставления разных уровней доступа к сети разным пользователям.
Идея VPN и другие сетевые концепции становятся более понятными, когда вы узнать больше о том, как работает сеть.
Что такое подсеть?
«Подсеть» — это сокращение от «подсеть». Подсеть — это меньшая сеть, находящаяся внутри большей сети. Когда вы создаете VPC на облачной платформе, вы назначаете ему диапазон уникальных IP-адресов. Каждый отдельный IP-адрес служит для идентификации подсети VPC.
Ресурсы в одной подсети могут обмениваться данными друг с другом без необходимости маршрутизации через более крупную сеть. Например, Linux-сервер развернут в подсети будет иметь прямой доступ к База данных Postgres развернута в одной подсети.
Типы подсетей в облаке
В облачных вычислениях в основном есть два типа подсетей:
- Публичные подсети
- Частные подсети
А публичная подсеть доступен напрямую из Интернета. Ресурсам, развернутым в общедоступных подсетях, обычно назначаются общедоступные адреса, которые можно использовать для прямой связи с Интернетом.
Общедоступные подсети используются для развертывания ресурсов, которые должны быть общедоступными в Интернете, например балансировщиков нагрузки и общедоступных API.
А частная подсеть — это подсеть, к которой нет прямого доступа из Интернета (не имеет общедоступного IP-адреса). Доступ к частным подсетям возможен только из VPC (с ними могут взаимодействовать только ресурсы внутри VPC).
Ресурсы, развернутые в частных подсетях, обычно доступны внутри сети только через шлюз NAT (преобразование сетевых адресов). Частные подсети используются для развертывания ресурсов, которым не требуется общий доступ, таких как приложения серверам и базам данных, что повышает сетевую безопасность, ограничивая воздействие ресурсов на интернет.
В дополнение к общедоступным и частным подсетям существуют также общие подсети и изолированные подсети. К общим подсетям могут получить доступ несколько VPC, а к изолированным подсетям можно получить доступ только в пределах одного VPC.
Как работают подсети?
Подсети позволяют разделить облачные ресурсы на изолированные сети с отдельными диапазонами IP-адресов. Эта сегментация позволяет контролировать поток сетевого трафика между ресурсами, повышать производительность сети и повышать безопасность.
Каждая подсеть в облаке имеет собственный набор правил управления доступом к сети, которые можно использовать для ограничения входящего (входящего) и исходящего (исходящего) трафика определенными IP-адресами или диапазонами. Это обеспечивает дополнительный уровень безопасности ваших облачных ресурсов, помогая предотвратить несанкционированный доступ.
На следующем изображении показана полная инфраструктура в облаке VPC, представленном выше. Обратите внимание на четыре подсети, две частные и две общедоступные, таблицы маршрутизации для регулирования трафика внутри VPC, шлюз NAT, интернет-шлюз и другие ресурсы, такие как балансировщик нагрузки и EC2. экземпляры.
Понимание VPC и подсетей в облаке
VPC и подсети являются важными компонентами инфраструктуры облачных вычислений. С помощью VPC вы можете создать изолированную сеть в инфраструктуре поставщика облачных услуг, а с помощью подсетей вы можете разделить диапазон IP-адресов на более мелкие и более управляемые сегменты.
Также рекомендуется всегда иметь все ресурсы вашего приложения, такие как виртуальные машины (например, экземпляры EC2) и базы данных (например, инстансы Amazon RDS), развернутые в облаке VPC, а не случайным образом с разными значениями по умолчанию, как это предусмотрено в облаке. провайдер.