Aws中基于vpc网络结构解析

计费规则

VPC定义的所有功能组件，包括路由表、子网定义、安全规则都是免费的。

规划VPC

规划vpc时，通常考虑以下几点:

• 在同一个vpc中划分子网

比如，按互联网产品的交付方式分，把子网按照不同的网段分为Dev(开发环境)、Testing(staging测试环境)、Product(生产环境)

• 按照地理区域划分网络

VPC中各组件的使用方法

• 弹性网络接口(Elastic Network Interfaces)

这个组件是对硬件网卡的抽象，包含网络协议地址(v4、v6、Mac地址)

• 路由表(Route table)

路由表是子网(subnet)的一个重要的逻辑组件(VPC内的组件是抽象的逻辑组件)。它是连接子网内的实例 和 网关的重要凭证。

路由表的核心作用是指定<源(source)---data---目的地(destination)>封装后的数据包发往何方。

跨网络的数据需要发到网关(gateway)，由网关决定数据的下一站。

VPC中包含一个默认的路由表，也成为主路由(main route)。

通常在建立子网时，如果不指定路由，子网会默认使用VPC的默认路由。

下图两个子网都默认连接到了VPC内部的默认路由。

• 网关(gateway)

vpc中有两种常用网关

• internet gateway

• nat gateway

Internet gateway是VPC中常用的网关,它的特点是允许数据双向进出。

连接到internet gateway的子网称为 public network。

还有另外一种网关是Nat Gateway。 如果一个子网的路由绑定到了nat gateway，它称为private network。

从安全的角度看VPC

• 安全组(Security Group)

安全组是实例级别的访问控制规则,可绑定到具体实例。

一个安全组的定义包含以下几个部分:

• 名称、所属的VPC

• 进站(inbound)规则

• 出站(outbound)规则

• 网络访问列表(Network access control lists)

Nacl是subnet级别的网络访问控制规则，可绑定的子网。

总结

aws的vpc是amazon云环境实现的一套Network Infrastructure。目标是实现网络层结构的自由编排。