Amazon Virtual Private Cloud (Amazon VPC) – это логически изолированный раздел облака Amazon Web Services (AWS), в котором можно запускать ресурсы AWS в построенной вами виртуальной сети. Таким образом можно полностью контролировать среду виртуальной сети, в том числе выбирать собственный диапазон IP-адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы.Для обеспечения надежного и удобного доступа к ресурсам и приложениям в VPC можно использовать как IPv4, так и IPv6.
Вы можете легко настроить сетевую конфигурацию своего виртуального облака Amazon Virtual Private Cloud. Например, для веб-серверов можно создать публичную подсеть с доступом к Интернету, а внутренние системы, такие как базы данных или сервера приложений, расположить в частной подсети без доступа к Интернету. Вам доступна многоуровневая система безопасности, состоящая из групп безопасности (security groups) и списков управления доступом к сети (NACL), которая позволяет контролировать доступ к инстансам Amazon EC2 в каждой подсети.
Кроме того, можно создать подключение с помощью аппаратной частной виртуальной сети (VPN) между вашим корпоративным центром обработки данных и VPC, а также использовать облако AWS для расширения возможностей корпоративного центра обработки данных.
Начать работу с AWS бесплатно
Создать бесплатный аккаунтили войти в Консоль
Получите доступ к уровню бесплатного пользования AWS на год, включая преимущества базовой поддержки: круглосуточное обслуживание клиентов (без праздников и выходных), форумы и многое другое.
Обратите внимание, что на данный момент сервис Amazon VPC не доступен на уровне бесплатного пользования AWS.
Теперь VPC поддерживает IPv6, что открывает двери для новых приложений и способов использования. Через IPv6 инстансы EC2 могут связываться с интернет-ресурсами и локальными приложениями. Подробнее >>
Для Amazon Virtual Private Cloud существуют различные варианты подключения. Можно подключить сервис VPC к Интернету, к центру обработки данных или другому сервису VPC, в зависимости от того, какие ресурсы AWS необходимо сделать общедоступными, а какие оставить в частном пользовании.
- Подключение непосредственно к Интернету (публичные подсети): позволяет запустить инстанс в общедоступной подсети, где он сможет отправлять и принимать трафик из Интернета.
- Подключение к Интернету с использованием трансляции сетевых адресов (частные подсети): частные подсети могут использоваться в тех случаях, если данные не должны иметь непосредственную адресацию в Интернете. Инстансы в частной подсети могут получить доступ к Интернету, не раскрывая свой частный IP-адрес, что достигается путем маршрутизации трафика через шлюз системы трансляции сетевых адресов (NAT) в публичной подсети.
- Безопасное подключение к корпоративному центру обработки данных: весь трафик от инстансов и к инстансам в сервисе VPC можно направить в корпоративный центр обработки данных, используя аппаратное VPN-подключение, зашифрованное по отраслевым стандартам IPsec.
- Частное подключение к другим VPC: настройте взаимодействие сервисов VPC, чтобы установить общий доступ к ресурсам в разных виртуальных сетях, принадлежащих вашему или другим аккаунтам AWS.
- Подключайтесь к Amazon S3 без использования интернет-шлюза или NAT, и контролируйте, какие корзины, запросы, пользователи и группы разрешены к использованию через конечную точку VPC для S3.
- Объединение методов подключения соответственно потребностям ваших приложений: можно подключить VPC как к Интернету, так и к корпоративному центру обработки данных и настроить в таблицах маршрутизации Amazon VPC правильные пути направления трафика.
Amazon VPC предоставляет расширенные возможности обеспечения безопасности, такие, как группы безопасности и списки управления доступом к сети, позволяя фильтрацию входящего и исходящего трафика на уровне инстанса или уровне подсети соответственно. Кроме того, если данные хранятся в Amazon S3, то можно ограничить доступ таким образом, что данные будут доступны только инстансам в вашем VPC. Также для дополнительной изоляции можно запускать выделенные инстансы на оборудовании, выделенном одному клиенту.
Можно быстро и легко создать VPC с помощью Консоли управления AWS. Выберите одну из наиболее распространенных сетевых настроек, которая лучше всего соответствуют вашим потребностям, и нажмите кнопку [Start VPC Wizard]. Подсети, диапазоны IP-адресов, таблицы маршрутизации и группы безопасности создаются автоматически, так что можно сосредоточиться на создании приложений, которые будут запускаться в сервисе VPC.
Сервис Amazon VPC обеспечивает все те же преимущества, что и другие платформы AWS. Вы можете мгновенно масштабировать свои ресурсы, выбирая типы инстансов Amazon EC2 и размеры, которые подходят для ваших приложений, и платить только за те ресурсы, которые используете – все это в пределах проверенной инфраструктуры Amazon.
Вы можете разместить базовое веб-приложение, например, блог или простой сайт, в сервисе VPC и получить дополнительные уровни конфиденциальности и безопасности, предоставляемые Amazon VPC. Чтобы повысить безопасность веб-сайта, можно создавать правила группы безопасности, которые позволят веб-серверу реагировать на входящие HTTP- и SSL-запросы из Интернета, одновременно запрещая веб-серверу инициировать исходящие соединения с Интернетом. Можно создать сервис VPC, который будет поддерживать такой пример использования, выбрав пункт [VPC with a Single Public Subnet Only] в меню мастера консоли сервиса Amazon VPC.
Сервис Amazon VPC можно использовать для размещения многоуровневых веб-приложений и строгого контроля за соблюдением прав доступа и ограничений безопасности между веб-серверами, серверами приложений и базами данных. Можно запустить веб-сервер в публичной подсети, а серверы приложений и баз данных в недоступных для общего пользования подсетях. Серверы приложений и баз данных недоступны непосредственно из Интернета, но при этом могут получить доступ к Интернету через шлюз NAT, например для загрузки файлов исправлений. Доступ между серверами и подсетями можно контролировать, используя фильтрацию входящих и исходящих пакетов, осуществляемую посредством списков управления доступом к сети и групп безопасности. Чтобы создать сервис VPC, который будет поддерживать такой пример использования, выберите пункт [VPC with Public and Private Subnets] в меню мастера консоли сервиса Amazon VPC.
Можно создать VPC, где инстансы в одной подсети, такие как веб-серверы, будут обмениваться данными через Интернет, в то время как инстансы в другой подсети, такие как серверы приложений, будут связываться с базами данных в вашей корпоративной сети. VPN-подключение по стандарту IPsec между VPC и корпоративной сетью поможет защитить все сообщения между серверами приложений в облаке и базами данных в корпоративном центре обработки данных. Веб-серверы и серверы приложений в вашем VPC могут использовать эластичность Amazon EC2 и возможности автоматического масштабирования (Auto Scaling), увеличивая либо уменьшая масштаб по мере необходимости. Можно создать сервис VPC, который будет поддерживать этот пример использования, выбрав пункт [VPC with Public and Private Subnets and Hardware VPN Access] в меню мастера консоли сервиса Amazon VPC.
Можно перемещать корпоративные приложения в облако, запускать дополнительные веб-серверы или добавлять больше вычислительной мощности в сети, подключив VPC к корпоративной сети. Так как сервис VPC можно разместить за корпоративным брандмауэром, вы сможете легко перемещать ИТ-ресурсы в облако, не меняя способ доступа пользователей к этим приложениям. Выберите пункт [VPC with a Private Subnet Only and Hardware VPN Access] в меню мастера консоли сервиса Amazon VPC, чтобы создать сервис VPC, поддерживающий этот пример использования.
Можно периодически создавать резервную копию критически важных данных, которые хранятся в центре обработки данных, для небольшого числа инстансов Amazon EC2 с томами Amazon Elastic Block Store (EBS) или импортировать образы виртуальных машин в Amazon EC2. В случае аварийной ситуации в вашем центре обработки данных вы сможете быстро запустить запасной объем вычислительных ресурсов в AWS, обеспечив беспрерывность функционирования систем. По завершении аварийной ситуации вы можете отправить критически важные данные обратно в центр обработки данных и прекратить использование инстансов Amazon EC2, которые больше не нужны. Amazon VPC для аварийного восстановления позволяет использовать все преимущества аварийного восстановления по цене, которая составит лишь часть обычной стоимости затрат в таких ситуациях.
