Вопрос:

Стоит ли использовать Amazon AWS Virtual Private Cloud (VPC)?

amazon-ec2 amazon-web-services amazon-vpc

32100 просмотра

6 ответа

467 Репутация автора

В настоящее время переходит на Amazon EC2 от другого провайдера VPS. У нас есть типичные потребности веб-сервера / сервера базы данных. Веб-серверы перед нашими серверами баз данных. Серверы баз данных не доступны напрямую из Интернета.

Мне интересно, есть ли какая-либо причина поместить эти серверы в виртуальное частное облако AWS (VPC) вместо того, чтобы просто создавать экземпляры и использовать группы безопасности для их брандмауэра.

Мы не делаем ничего необычного, просто типичное веб-приложение.

Любая причина использовать VPC или не использовать VPC?

Благодарю.

Автор: spicer Источник Размещён: 14.08.2012 09:51

Ответы (6)


2 плюса

17353 Репутация автора

VPC полезны, если вашему приложению необходим доступ к серверам за пределами EC2, например, если у вас есть общая служба, которая размещена в вашем физическом центре обработки данных и недоступна через Интернет. Если вы собираетесь разместить все свои веб-серверы и серверы БД на EC2, нет никаких причин использовать VPC.

Автор: gareth_bowles Размещён: 14.08.2012 10:01

1 плюс

1314 Репутация автора

Если вы выбираете RDS для предоставления услуг базы данных, вы можете настроить группы безопасности БД так, чтобы они разрешали соединения с базой данных из заданных групп безопасности EC2 , и даже если у вас есть динамические IP-адреса в кластере EC2, RDS автоматически создаст правила брандмауэра, чтобы разрешить подключения только из ваших экземпляров , уменьшая преимущество VPS в этом случае.

VPS, с другой стороны, хорош, когда ваши экземпляры EC2 должны получить доступ к вашей локальной сети, тогда вы можете установить VPN-соединение между вашим VPS и вашей локальной сетью , контролируя диапазон IP-адресов, подсети , маршруты и правила исходящего брандмауэра, что, я думаю, это не то, что вы ищете.

Я также настоятельно рекомендую попробовать Elastic Beanstalk , который предоставит консоль, которая упростит настройку кластера EC2 для приложений PHP, Java и .Net, включив автоматическое масштабирование , Elastic Load Balancer и автоматическое управление версиями приложений, что позволит легко откатиться от неудачных развертываний. ,

Автор: Alessandro Oliveira Размещён: 15.08.2012 11:15

56 плюса

28044 Репутация автора

Решение

ПРИМЕЧАНИЕ. Новые учетные записи в AWS запускаются с включенным «VPC по умолчанию» и делают «EC2-Classic» недоступным. Таким образом, этот вопрос и ответ теперь имеют меньше смысла, чем в августе 2012 года. Я оставляю ответ как есть, потому что он помогает определить различия между "EC2-Classic" и линейкой продуктов VPC. Пожалуйста, смотрите FAQ по Amazon для более подробной информации.

Да. Если вы заботитесь о безопасности, являетесь активным пользователем CloudFormation или хотите получить полный контроль над автоматическим масштабированием (в отличие от Beanstalk, который абстрагирует некоторые его аспекты, но все же дает вам полный доступ к параметрам масштабирования), используйте VPC. Этот блог делает отличную работу, суммируя плюсы и минусы. Некоторые основные моменты из сообщения в блоге (написанного kiip.me ):

Что не так с EC2?

Все узлы являются интернет-адресуемыми. Это не имеет особого смысла для узлов, у которых нет причин существовать в глобальной сети Интернет. Например: узел базы данных не должен иметь общедоступного имени хоста / IP-адреса в Интернете.

Все узлы находятся в общей сети и могут быть адресованы друг другу. Это означает, что узел EC2, запущенный пользователем «Bob», может получить доступ к любому из узлов EC2, запущенных пользователем «Fred». Обратите внимание, что по умолчанию группы безопасности это запрещают, но отменить эту защиту довольно просто, особенно при использовании пользовательских группы безопасности.

Нет открытого и закрытого интерфейса. Даже если вы хотите отключить весь трафик на общедоступном имени хоста, вы не сможете. На уровне сетевого интерфейса каждый экземпляр EC2 имеет только один сетевой интерфейс. Общедоступные имена хостов и эластичные IP-адреса направляются в «частную» сеть.

Что хорошего в VPC

Прежде всего, VPC обеспечивает невероятный уровень безопасности по сравнению с EC2. Узлы, запущенные в VPC, не могут быть адресованы через глобальный Интернет, EC2 или любым другим VPC. Это не значит, что вы можете забыть о безопасности, но это намного более разумная отправная точка по сравнению с EC2. Кроме того, это значительно упрощает правила брандмауэра, поскольку частные узлы могут просто сказать «разрешить любой трафик из нашей частной сети». Время от запуска узла до полностью работающего веб-сервера сократилось с 20 минут до примерно 5 минут, исключительно благодаря времени, сэкономленному во избежание распространения изменений межсетевого экрана.

Наборы параметров DHCP позволяют указать имя домена, DNS-серверы, NTP-серверы и т. Д., Которые будут использовать новые узлы при запуске в VPC. Это значительно упрощает реализацию пользовательских DNS. В EC2 вы должны раскрутить новый узел, изменить конфигурацию DNS, а затем перезапустить сетевые службы, чтобы получить тот же эффект. Мы запускаем наш собственный DNS-сервер на Kiip для разрешения внутренних узлов, и наборы опций DHCP делают это безболезненным (просто имеет смысл вводить east-web-001 в ваш браузер вместо 10.101.84.22).

И наконец, VPC просто предоставляет гораздо более реалистичную серверную среду. Хотя VPC является уникальным продуктом для AWS и, по-видимому, «привязывает вас» к AWS, модель, которую использует VPC, более схожа с тем, если вы решили запустить собственное выделенное оборудование. Наличие этих знаний заранее и накопление опыта реального мира вокруг них будет иметь неоценимое значение в случае, если вам нужно перейти на собственное оборудование.

В этом посте также перечислены некоторые трудности с VPC, все из которых более или менее связаны с маршрутизацией: извлечение интернет-шлюза или экземпляра NAT из VPC, обмен данными между VPC, настройка VPN для вашего центра обработки данных. Иногда это может быть довольно неприятно, и кривая обучения не тривиальна. Тем не менее, одни только преимущества безопасности, вероятно, стоят того, чтобы их перенести, и поддержка Amazon (если вы готовы за это платить) чрезвычайно полезна, когда речь идет о конфигурации VPC.

Автор: Christopher Размещён: 15.08.2012 01:29

13 плюса

2506 Репутация автора

В настоящее время VPC имеет некоторые полезные преимущества перед EC2, такие как:

  • несколько сетевых карт на экземпляр
  • несколько IP-адресов на NIC
  • «запретить» правила в группах безопасности
  • Параметры DHCP
  • предсказуемые внутренние диапазоны IP
  • перемещение сетевых карт и внутренних IP-адресов между экземплярами
  • VPN

Предположительно Amazon также обновит EC2 некоторыми из этих функций, но в настоящее время они предназначены только для VPC.

Автор: Martijn Heemels Размещён: 07.12.2012 01:49

2 плюса

354 Репутация автора

На данный момент VPC - единственный способ иметь внутренние балансировщики нагрузки.

Автор: Delcasda Размещён: 22.04.2013 09:09

0 плюса

1 Репутация автора

Вы подняли хорошую проблему здесь.

Я хотел бы сосредоточиться на жизнеспособности с точки зрения стоимости ...

Как насчет фактора стоимости?

Я думаю, что вы будете платить за этот сервер в час. Даже если вы выберете 20-50 долларов в месяц, это будет то, что вы заплатите до конца своей жизни на сервере. VPN-сервер - это то, что вы можете легко установить на старом оборудовании, очень дешево и даже бесплатно для решения с открытым исходным кодом.

Добавление VPN к существующему парку серверов AWS имеет смысл, а установка отдельного VPN-сервера в AWS - нет. Я не думаю, что это лучший рентабельный вариант, но это только мое мнение.

Спасибо,

Алиса

Автор: Alex Scott Размещён: 13.06.2019 06:25
Вопросы из категории :
32x32