VPC

定义

Virtual Private Cloud是AWS提供的一种从逻辑上分离且独立的网络单元(物理上不一定). 创建VPC的时候可以通过CIDR来指定VPC的大小(VPC内IP地址的数量 最大65535最小16). VPC还可以进一步划分成更小的逻辑单元 - Subnet. Subnet可以进一步分割VPC内的IP范围(Subnet的IP范围必须在VPC的IP范围之内).

可用组件

• Subnet

• Route Table

• Security Group

• ACL

• NAT Gateway/Instance

• IGW

• CGW & VPG

• Peering Connection

• Endpoint

• Elastic IP

• Elastic Network Interface

Subnet

子网是VPC的基本组成部分，EC2实例实际上是运行在Subnet里而非直接运行在VPC上。

分类:

• Public subnet - 所关联的route table中流量导向VPC的IGW

• Private subnet - 所关联的route table中的流量没有导向到VPC的IGW

• VPN only subnet - 所关联的route table中的流量导向到VGW

注意

• 一个Subnet必定所属一个AZ,且创建之后不能更换所属的AZ

• 一个Subnet必定至少关联到一个路由表，如果有没显示的关联，则隐式关联到VPC的主路由表.

• 子网的大小必须小于VPC的IP范围且大于等于/28(i.e: VPC CIDR - 10.0.0.0/16, 则Subnet的CIDR必须是10.0.X.X/17~28). NOTE: AWS会保留CIDR IP段的前4个IP和最后一个IP, 所以对于10.0.X.X/28实际可用的IP数量是16-5=11个IP地址

• 可以通过ACL来做子网级别的安全控制(入/出站规则)

• 默认VPC在所有的AZ都有一个规模为/20的子网

Route Table

一组所关联的子网的流量导向规则. 每条路由规则有2个字段destination和target. destination用来表示请求的最终目的地, target用来指定由谁来处理路由的下一跳.

下条路由规则的语义为: 子网内所有访问172.9.X.X的请求都经由IGW来处理

典型的Target

• target=local的规则实现同一VPC内不同子网之间的通讯. (每个路由表都带有一个只读的规则 x.x.x.x/x - local).

• target=IGW的规则实现了VPC外对于子网的访问,

• target=NAT的规则实现了子网对于VPC外的访问

• target=Peering Connection的规则实现了VPC和VPC之间的访问

• target=VPG的规则实现了子网的VPN访问

• target=endpoint的规则实现了子网对于相同region的其他AWS service的访问(目前仅支持S3切该调路由不是手动加入的)

注意

• 一个VPC在创建的时候会自动生成一个主路由表, 所有没有指定路由表的子网都会默认关联这个主路由表

• 你可以将自己创建的路由表设置为主路由表

• 路由表中的路由规则的优先级由规则的具体程度来决定(越具体优先级越高). 如下表中，规则2的优先级高于规则3，规则3高于规则1

Internet Gateway

IGW实现了VPC中的instance和Internet通讯. 在AWS的VPC中，即便一台instance被分配了public ip/eip也是无法被从VPC外访问到的.必须要往该instance所属的子网关联的路由中添加target=igw的路由才可以. 在通讯过程中IGW具体做了:

• 维护一个public ip-private ip的one-to-one的映射表

• 当具有public ip的instance试图从VPC内访问Internet, IGW负责将被访问端的reply的目标地址转换成instance的public ip。并

• 当VPC外的机器试图访问VPC内的具有public ip的instance的时候, IGW在请求到达VPC后将目标地址从public ip转换成private ip，最终到达instance.

EIP

Elastic IP是AWS对于某个region的IP资源池中的IP, 所以一个EIP是无法跨region的被其他资源(instance, nat gateway等)使用。并且EIP是分配到你的AWS Account的，所以不管一个EIP是否被使用，只要没有从你的Account里面释放出去都会被计费。

与Public IP的不同

• EIP绑定到账户就计费，Public IP只有使用的时候才收费

• EIP除非你释放了，否则一旦分配到Account就是稳定不变的. Public IP分配给Instance之后随着Instance关闭而释放，而且当instance重启之后，之前分配的Public IP会被重新分配

NAT Gateway/Instance

NAT在AWS中主要提供帮助私有子网访问internet的服务.(通过upnp协议实现). 本质上来讲无论NAT Gateway还是NAT Instance都是一个具有公有IP的实例(NAT Gateway只是从服务角度进行了封装)，不过这个特殊的instance提供端口映射的服务，所有的内网主机对外发送的请求都经由NAT Gateway/Instance发出，NAT会给相应的内网主机随机分配一个端口号，然后请求再经过IGW进入Internet. 所有被访问服务器的返回地址都是NAT Gateway/Instance的公有IP和之前所分配的随机端口号。当response返回到NAT后，NAT再根据端口映射表找到相应的主机，转发返回的response.

NAT与IGW的不同

• NAT只提供内网到外网的单项访问，IGW提供内网-外网的双向反问

• 路由到IGW的公有子网的instance需要有public ip/eip. 而和NAT关联的私有子网主机只需要私有ip

• NAT必须绑定一个EIP, IGW不需要

NAT Gateway和NAT Instance的不同

注意

• NAT Gateway必须所处公有子网中(如果NAT自己都访问不了外网如何帮私有子网的主机访问外网?)

• 私有子网所关联的路由必须将流量切到NAT Gateway

Peering Connection

Peer connection提供VPC之间的访问。在建立了Peer connection的2个VPC的主机上，可以直接通过private ip相互通讯。

注意

• Peer connection不具备传递性，比如VPC A和VPC B建立了connection, VPC B和VPC C建立了connection, 但是VPC A和VPC C依旧无法相互访问

• 建立了Peer connection的2个VPC的IP范围不能有重叠（在建立了Peer connection以后如果VPC的ip范围重叠，就有可能一个ip代表2台主机）

• 建立了Peer connection之后必须同时更新2个VPC需要相互通信的子网的路由(requester和receiver的路由都要更新)，将相互访问的CIDR指向peer connection - pcx-xxxxx. 例如VPC A 10.0.0.0/16和VPC B 192.168.0.0/16. 建立了peer connection，在VPC A和B的路由中需要分别添加一条

Security Group & ACL

SG和ACL都是用来保障你VPC的网络安全的。但是它们有一些区别

• SG是作用于instance级别的访问控制，而ACL是Subnet级别的访问控制

• SG是白名单性质的防火墙，你只能允许某些ip访问某些端口而不能拒绝。ACL可以显示的deny一些访问，也可以显示的approve一些访问

• SG是有状态的,你不能分开控制SG的出站规则和入站规则。入站请求和出站请求会被同时approve.而ACL是无状态的，你可以对于同一个目标允许入站拒绝出站(或相反)

• ACL的安全规则带有具备优先级属性的rule #,(rule #越小优先级越高)

• 一个instance可以关联多个SG, 但是一个Subnet同一时间仅能绑定一个ACL

Endpoint

Endpoint是用来建立你的VPC和同region的AWS其他service的内部通讯链路的。目前仅支持S3。当你建立了和S3的Endpoint之后，你的VPC内部访问S3的时候就不会通过广域网来进行访问，而且从AWS的内部网路进行访问。

注意

• 在建立了endpoint之后还需要同时更新路由表，保证相关service(destination)的请求经由endpoint(target)处理

• 你可以建立access policy来控制endpoint对service的访问权限

ENI

CGW & VPG

DHCP Option Set