如何理解 AWS VPC
介绍
Amazon Virtual Private Cloud (Amazon VPC) 允许您在已定义的虚拟网络内启动 AWS 资源。这个虚拟网络与您在数据中心中运行的传统网络极其相似,并会为您提供使用 AWS 的可扩展基础设施的优势。
Virtual Private Cloud (VPC) — 仅适用于您的 AWS 账户的虚拟网络。
子网 — 您的 VPC 内的一个 IP 地址范围。
路由表 — 一组称为“路由”的规则,它们用于确定将网络流量发送到何处。
互联网网关 — 连接到 VPC 的网关,用于启用 VPC 中的资源与互联网之间的通信。
VPC服务组件
子网说明
默认情况下,默认子网为公有子网,因为主路由表会将指定发往 Internet 的子网流量发送到 Internet 网关。您可以从到 Internet 网关的目标 0.0.0.0/0 中删除路由,以使默认子网变为私有子网。但是,如果您执行此操作,则在该子网中运行的所有 EC2 实例都无法访问 Internet
默认路由表
公有路由表 == 公有子网
私有路由表 == 私有子网
如果子网在公有路由表就走公有路由策略
如果子网在私有路由表就走私有路由策略
如果子网既没在公有也没在私有,就走默认路由策略
公有路由表 ==公有子网
注意红色标记部分
私有路由表 ==私有子网
默认路由表
IP介绍
公有IP 私有IP(本地IP)
弹性IP(EIP)
经典IP(Classic IP)
-
公有IP
- 弹性IP(EIP) 可以反复解绑不同实例,重启EC2实例,IP不变
- 经典IP(Classic IP)无法反复解绑实例。重启绑定的EC2实例后,IP地址会发生变化
-
私有IP(本地IP)
- 私有 IP 地址是 VPC 的 IPv4 CIDR 范围内的 IP 地址
- 默认自动分配也可以自定义设置
AWS 每个服务实例都会有一个私有IP地址;
弹性IP(EIP)
注意红色标记IP部分
1、IP需要单独申请
2、可以随意绑定或解绑实例
3、实例重启IP不会改变
经典IP (Classic IP)
注意红色标记IP部分
1、IP不需要单独申请创建实例自动创建IP,无法解绑
2、实例重启后IP会发生变化
网络接口
如下图
如果是托管服务我们在控制台看不到这个IP,可以在EC2控制面板的网络接口看到IP信息
DHCP 选项集
动态主机配置协议 (DHCP) 提供了将配置信息传递到 TCP/IP 网络中主机的标准。
默认是属于DHCP分配IP,如何想自定义IP地址,可以在如图部分进行填写
安全组
安全组 充当实例的虚拟防火墙以控制入站和出站流量。当您在 VPC 中启动实例时,您可以为该实例最多分配 5 个安全组。安全组在实例级别运行,而不是子网级别。因此,在您的 VPC 的子网中的每个实例都归属于不同的安全组集合。
您的 VPC 会自动带有默认的安全组。如果您在启动实例时没有指定其他安全组,我们会将默认安全组与您的实例相关联。
网络ACL
网络访问控制列表 (ACL) 是 VPC 的一个可选安全层,可用作防火墙来控制进出一个或多个子网的流量。您可以设置网络 ACL,使其规则与您的安全组相似,以便为您的 VPC 添加额外安全层。
默认情况下,它允许所有入站和出站 IPv4 流量以及 IPv6 流量