有关Amazon AWS VPC的一切

全球云计算行业中,AWS当之无愧是领导者,尤其是在网络领域,没有比VPC(VPC)系统更显著的了。VPC已经存在一段时间,但它是强制性的,并且是诸如OpenStack这类更大的云系统的未来,同时其它的云商已经创建或者正在创建简单版本。

然而,VPC是相当复杂的。当你试图在VPC上构建实际系统,尤其是想把它与其他OpsWorks, ELBs, EIP这样关键的AWS服务整合起来,就会出现一些不寻常的问题,但这些问题并不明显。好在你一旦了解了所有的方法就能解决(你应该使用一个合适的安装向导),而且至少有一个明显的漏洞,我希望他们尽快填补。

为了更好地了解这种技术,我们必须先了解VPC是什么以及如何开始使用。在旧的AWS网络,现在称为“Classic”,从网络的角度来看,所有的虚拟机都是相同的。它们启动时都会有一个随机的私有或公共IP,这些IP在系统崩溃或被停就会变动,这对网络链接诸如Web和数据库服务器无疑是一个挑战。鉴于他们都有公共IP地址,通过AWS安全组功能的安全保护、系统iptable功能以及使用防火墙都很有必要。此外,所有主机都可以看到彼此并能相互私下通信,再加上一些静态IP通过EIP功能用作Web服务器。这就是VPC。

在VPC上建立一个数据中心风格的公共或私有虚拟局域网是完全不同的,都是由路由器互联,同时通过一个可选的网关通过VPN连接到互联网或客户自己的私有系统。仅真实的公共主机获取公共IP,而大部分实际私有服务器在隔离的VLAN,这是一个非常好的策略。一般来说,即使服务器被停止或崩溃,所有的IP地址都是静态的,除非使用OpsWorks或其他类似的工具。你可以在防火墙、负载平衡器之间为不同的系统或服务设立很多独立的虚拟局域网或子网。更不用说每个VM都有多个网卡和虚拟IP的能力,而且这些都是静态的。

您最好使用向导来设置,但是我们不需要,因为我们非常坚定地想知道它是如何工作的,以致在出现问题的时候我们可以将它修复。通常,向导将设置一个简单的公共或私有系统,以及一个公共或私有虚拟局域网或子网、互联网网关(IGW)、内部路由、开放的ACL和安全组。

对于高可用性的系统,您需要手动双重设置以上大部分配置,通过在每一个可用区域创建公共或私有的局域网或是子网。幸运的是,路由是自动的,所有主机除了网络地址转换,各区之间会分裂传播。这很有效,但同时子网会更容易出错,组件也将增多。

至关重要的是向导建立了VPC中最重要的部分,以网络地址转换为例,它是单个的虚拟机,为专有的虚拟局域网或子网提供了两个关键功能:网络地址转换的出站和入站。这在AWS网络服务虚拟机中很常见,用特别的IP信息包过滤系统变为网络地址转换出站规则。这个和其他一切都设置正确了,私有虚拟机便可以联网。

然而,从外界AWS网络服务接触到私有虚拟机,如SSH框架或监视,网络地址转换必须修改并加入入站规则。这就类似于你在思科的ASA或其他防火墙数据中心系统中做的,很难管理,还有可能会失败。

我们觉得网络地址转换必须尽快用服务或是设备更换,您可以通过控制台或API配置网络地址转换规则,否则你就必须要知道IP信息包过滤系统是什么和它是如何使系统运作的。让网络地址转换变得真正可用的过程更是痛苦。

我们觉得网络地址转换必须尽快用服务或是设备更换,您可以通过控制台或API配置网络地址转换规则,否则你就必须要知道IP信息包过滤系统是什么和它是如何使系统运作的。让网络地址转换变得真正可用的过程更是痛苦。

VPC确实是一个很不错的系统,主要问题是它们小却复杂,因而也很容易被错过。数以百万计的方式搞砸了自外安装向导,因为很少有人会检查,路由、安全组、网络地址转换、访问控制列表、网关和更多其他概念就容易被混淆。路由并不如你所想的那样,它需要你去了解关于核心路由器互联网关的问题。即使规则和概念都很简单,你却不能通过相关文献很好地理解。

例如他们谈论了很多关于公共和私有虚拟局域网或子网,但从未解释它们的差别,而且在这些子网上也没有虚拟机需要遵循的规则。VPC只有六个黄金法则,但似乎并没有在任何地方被提及,因此我们必须自己去发现或通过字里行间阅读。

另外,我们可以在许多文档中找到至关重要的网络地址转换入站,但荒谬的是我们却完全忽略了它。如果没有这个,你不能设置SSH 框架,也不能监控任何私有主机。更不用说你要用它来处理非超文本传输协议服务或弹性负载平衡。使网络地址转换成为HA系统才是真正的挑战,尤其是要在避免系统越来越不稳定或不可用的情况下。

总的来说,我们充分理解并建立多个VPC之后,我们真的很喜欢整个系统,尽管我们还想看到更多的检视和网络地址转换服务。未来的云计算网络将会是一个非常强大的系统,虽然有时会过于复杂,但比管理同样大小的物理网络更为容易。

如果您对于如何在AWS上建立和管理VPC网络有所想法,欢迎与我们联系。


Tags: Networking, VPC, 亚马逊云服务(AWS)
Categories: AWS

发表评论

电子邮件地址不会被公开。 必填项已用*标注

* Copy This Password *

* Type Or Paste Password Here *