20 | 11 | 2020

Quali elementi di rete entrano in AWS VPC?

Scopri la magia della rete dietro AWS VPC: scopri gli elementi!

Introduzione

Amazon Web Services Virtual Private Cloud (AWS VPC) è una rete virtuale dedicata all'account AWS dell'utente. Consente all'utente di avviare le risorse AWS in una rete virtuale definita dall'utente. Un VPC comprende diversi componenti, tra cui sottoreti, tabelle di instradamento, gateway di rete, gruppi di sicurezza ed elenchi di controllo dell'accesso alla rete. Questi componenti lavorano insieme per fornire all'utente un ambiente sicuro e isolato per eseguire le proprie applicazioni e archiviare i propri dati. Inoltre, VPC consente all'utente di controllare l'accesso alle proprie risorse e di connettersi a VPC in sede o ad altri VPC.

Storia centrale

I componenti di AWS VPC sono essenziali perché forniscono all'utente gli strumenti necessari per costruire e gestire la propria infrastruttura di rete virtuale. Inoltre, questi componenti aiutano l'utente a proteggere, isolare e controllare l'accesso alle proprie risorse AWS.

Le sottoreti sono un componente essenziale di un VPC. Consentono agli utenti di suddividere il proprio VPC in segmenti di rete più piccoli e di controllare il flusso del traffico tra di essi. Gli utenti possono isolare le proprie risorse creando più sottoreti, applicando policy di sicurezza di rete e implementando gruppi di sicurezza di rete per controllare il traffico in entrata e in uscita.

Anche le tabelle di instradamento sono un componente essenziale di un VPC. Determinano il flusso del traffico di rete all'interno di un VPC e tra diverse sottoreti. L'utente può utilizzare le tabelle di instradamento per specificare la destinazione del traffico di rete, ad esempio una subnet specifica o un gateway virtuale privato. Ciò consente all'utente di controllare e gestire il traffico di rete all'interno del proprio VPC, garantendo che le proprie risorse siano sicure e accessibili.

Anche i gateway di rete, come i gateway Internet, i gateway VPN e i gateway Direct Connect, sono componenti essenziali di un VPC. Forniscono all'utente un modo per connettere il proprio VPC a Internet o ad altri VPC, consentendo loro di accedere alle proprie risorse e controllare il flusso del traffico di rete. I gateway di rete sono integrati con le tabelle di instradamento del VPC per controllare il flusso del traffico di rete tra il VPC e Internet o altri VPC.

Anche i gruppi di sicurezza e gli elenchi di controllo di accesso alla rete (ACL) sono componenti critici di un VPC. Controllano il flusso del traffico di rete in entrata e in uscita e assicurano che solo il traffico autorizzato possa entrare o uscire dal VPC. Inoltre, i gruppi di sicurezza e gli ACL possono essere utilizzati per limitare l'accesso a porte, indirizzi IP o sottoreti specifici. Lavorano insieme per fornire sicurezza alle risorse dell'utente.

In conclusione, AWS VPC collabora per fornire all'utente un'infrastruttura di rete virtuale sicura, isolata e flessibile. Utilizzando questi componenti, l'utente può controllare e gestire il proprio traffico di rete, proteggere le proprie risorse e connettersi ad altre reti.

Alcuni fatti e statistiche interessanti su AWS VPC:

  1. Amazon VPC è uno dei servizi di cloud computing più utilizzati, con milioni di utenti attivi.
  2. AWS VPC fornisce una rete virtuale sicura e scalabile per le risorse di Amazon Web Services (AWS).
  3. AWS VPC consente ai clienti di avviare le risorse di Amazon Web Services (AWS) in una rete virtuale definita dal cliente.
  4. Il traffico AWS VPC può essere isolato dalla rete Internet pubblica, fornendo un livello di sicurezza più elevato.
  5. AWS VPC supporta gli intervalli di indirizzi IPv4 e IPv6.
  6. AWS VPC può essere esteso a reti remote tramite VPN o AWS Direct Connect.
  7. AWS VPC offre diverse opzioni di controllo dell'accesso alla rete definite dal cliente, inclusi gruppi di sicurezza e ACL di rete.
  8. AWS VPC supporta molte topologie di rete, incluse sottoreti pubbliche, sottoreti private e connessioni VPN hardware.
  9. AWS VPC offre ai clienti un elevato grado di personalizzazione della rete, incluso il supporto per più intervalli di indirizzi IP, segmentazione della rete e controlli di accesso granulari.
  10. AWS VPC è disponibile in più regioni e zone di disponibilità, fornendo ai clienti disponibilità elevata e tolleranza ai guasti per la loro infrastruttura di rete.
Sistemi v500 | soluzioni di intelligenza artificiale aziendale

Massimizzazione dell'efficienza aziendale con le soluzioni AWS Cloud

Libera tutto il potenziale della tua azienda con la tecnologia AWS Cloud

In questo post, vogliamo presentarti tutti i componenti di rete che fanno parte di Amazon Web Services (AWS). Daremo un'occhiata più da vicino a ciascun elemento, cosa fa e come si adatta all'intera infrastruttura. Si spera che risponda ad alcune delle tue domande e, grazie a una migliore comprensione, sarai tentato di utilizzare tali servizi.

Prima di entrare in tutti i dettagli, vorremmo sottolineare che un buon design della rete è una base per l'infrastruttura del data center in sede. Lo stesso vale per l'ambiente Cloud (post 10 Top Network Design Bethe st Practices per la tua infrastruttura). Vorremmo anche sottolineare che ci concentriamo solo sull'aspetto di rete e sicurezza di AWS; qualsiasi altro servizio non rientra nell'ambito di questo blog.

Cos'è Amazon VPC?

Amazon Virtual Private Cloud (Amazon VPC) ti consente di avviare le risorse AWS in una rete virtuale che hai definito. Questa rete virtuale assomiglia a una rete tradizionale che gestisci nel tuo data center, con i vantaggi dell'utilizzo dell'infrastruttura scalabile di AWS.

VPC: una rete virtuale dedicata al tuo account AWS, in cui puoi eseguire più reti e isolarle l'una dall'altra per una migliore sicurezza e conformità. Connetti il ​​tuo data center on-premise ed esegui una soluzione di rete ibrida. La soluzione scalabile e agile per migliorare le operazioni aziendali.

Cos'è la regione AWS?

AWS ha un concetto di regione, una posizione fisica in tutto il mondo in cui raggruppiamo i data center. Chiamiamo ogni gruppo di data center logici una zona di disponibilità. La regione EacAZsS è costituita da più zone di disponibilità isolate e fisicamente separate all'interno di un'area geografica. A differenza di altri cloudnumerousrs, che spesso definiscono una regione come un singolo data center, la progettazione di più zone di disponibilità di ogni regione AWS offre vantaggi ai clienti. Ogni zona di disponibilità dispone di alimentazione, raffreddamento e sicurezza fisica indipendenti collegati tramite reti ridondanti a bassissima latenza. I clienti AWS focalizzati sull'elevata disponibilità possono progettare le proprie applicazioni in modo che eseguano più zone di disponibilità per ottenere la tolleranza ai guasti più elevata. Di conseguenza, le regioni dell'infrastruttura AWS soddisfano i livelli più elevati di sicurezza, conformità e protezione dei dati.

AWS offre un'impronta globale più ampia rispetto a qualsiasi altro fornitore di servizi cloud. Per supportare la sua presenza mondiale e garantire che i clienti siano serviti in tutto il mondo, AWS apre rapidamente nuove regioni. Di conseguenza, AWS gestisce più regioni geografiche, incluse regioni in Nord America, Sud America, Europa, Cina, Asia Pacifico, Sud Africa e Medio Oriente.

Regioni del mondo AWS

AWS Cloud: la chiave per semplificare le operazioni e risparmiare sui costi

Zone di disponibilità

Una zona di disponibilità (AZ) è un data center discreto wiAZsedundant di alimentazione, rete e connettività in una regione AWS. Le zone di disponibilità consentono ai clienti di utilizzare applicazioni di produzione e database più altamente disponibili, tolleranti ai guasti e scalabili di quanto sarebbe possibile da un singolo data center. Tutte le zone di disponibilità in una regione AWS sono interconnesse con un networking a larghezza di banda elevata e bassa latenza, su metAZsibre completamente ridondante e dedicato che fornisce un networking ad alta thAZshput e bassa latenza tra le zone di disponibilità. Tutto il traffico tra le zone di disponibilità è crittografato: le prestazioni di reteAZ sono sufficienti per eseguire la replica sincrona tra le zone di disponibilità. Le zone di disponibilità semplificano la disponibilità delle applicazioni di partizionamento fAZsigh. Se un'applicazione è parti, le aziende sono meglio isolate e protette da problemi come interruzioni di pAZ, fulmini, terremoti significativi e altro ancora. Le AZ sono fisicamente separate da una distanza considerevole, molti chilometri, da qualsiasi altra AZ, sebbene tutte si trovino entro 100 km (60 miglia) l'una dall'altra.

Alta disponibilità

A differenza di altri fornitori di infrastrutture AZshnology, ogni regione AWS dispone di più zone di disponibilità. Come abbiamo appreso dall'esecuzione della piattaforma tecnologica di infrastruttura cloud leader dal 2006, i clienti che hanno a cuore le prestazioni di disponibilità delle loro applicazioni desiderano implementare queste applicazioni su più zone di disponibilità nella stessa regione per tolleranza ai guasti e bassa latenza. Le zone di disponibilità sono connesse con una rete in fibra ottica veloce e privata, il che comporta un'architettura efficiente delle applicazioni che effettuano automaticamente il failover tra le zone di disponibilità senza interruzioni.

Il piano di controllo AWS (incluse le API) e la Console di gestione AWS sono distribuiti tra le regioni AWS e utilizzano un'architettura multi-AZ all'interno di ciascuna regione per offrire resilienza e disponibilità continua. Ciò garantisce che i clienti evitino la dipendenza dei servizi critici da un singolo data center. AWS può condurre attività di manutenzione senza rendere temporaneamente non disponibile alcun servizio vitale per nessun cliente.

Sistemi v500 | soluzioni di rete e sicurezza aziendali

In che modo AWS Cloud può rivoluzionare i tuoi processi aziendali

Rete / sottoreti

Nozioni di base su VPC e sottorete

Un cloud privato virtuale (VPC) è una rete virtuale dedicata al tuo account AWS. È logicamente isolato da altre reti virtuali nel cloud AWS. Puoi avviare le tue risorse AWS, come le istanze di Amazon EC2, nel tuo VPC.

Quando crei un VPC, devi specificare un intervallo di indirizzi IPv4 per il VPC sotto forma di un blocco CIDR (Classless Inter-Domain Routing); per esempio, 10.0.0.0/16.

Segmentazione della rete

Sebbene ti venga assegnata una rete ./16 all'interno del tuo VPC, nessuno ha bisogno di 65k più indirizzi IP, nemmeno FTSE 100 GIPsl Enterprise business. Detto questo, è bene avere più IP in quanto puoi segmentarli in quanto sottoreti più piccole - ./24, ad esempio, dandoti oltre 250 IP. Questo è significativo e deve essere definito chiaramente fin dall'inizio. Un buon design ti aiuterà a implementare i servizi di cui hai bisogno e ad isolarli; server Web, applicazioni, database e altro. Un altro elemento essenziale è non avere gli stessi intervalli di rete nel cloud e nella rete on-premise, in quanto ciò potrebbe causare conflitti in futuro.

Sottoreti private

Onestamente, non ci sono sottoreti private o pubbliche. Il termine è usato per descrivere: sottoreti private; questi permessi che sono isolati e non hanno accesso a Internet o l'accesso da Internet non è consentito a queste sottoreti/reti. Molto probabilmente, il tuo database sarà su quelle reti e altri servizi sicuri.

Sottoreti pubbliche

Il traffico è consentito e filtrato da Internet verso sottoreti/reti pubbliche. Gli host all'interno di tali reti hanno indirizzi IP privati, un accesso IP può essere instradato tramite gateway Internet e IP pubblici associati (allocazione IP elastica)

Come forniamo reti di dati e infrastrutture cyber-sicure? | Sistemi v500

AWS Cloud: il futuro della crescita aziendale e dell'innovazione

Reti isolanti

Per un ulteriore controllo dell'accesso alla rete, puoi eseguire le tue istanze database in un Amazon VPC. Amazon VPC ti consente di isolare le tue istanze database specificando l'intervallo IP che desideri utilizzare e di connetterti all'aggiunta esistente, eseguire l'infrastruttura tramite VPN IPsec crittografata standard del settore. L'esecuzione di Amazon RDS in un VPC consente di disporre di un'istanza database all'interno di una sottorete privata. Puoi anche configurare un gateway virtuale privato che estenda la tua rete aziendale nel tuo VPC e consenta l'accesso all'istanza database RDS in tale VPC.

Per le distribuzioni Multi-AZ, la definizione di una sottorete per tutte le zone di disponibilità in una regione consentirà ad Amazon RDS di creare un nuovo standby in un'altra zona di disponibilità in caso di necessità. Puoi creare gruppi di sottoreti database raccolte di sottoreti che potresti voler designare per le tue istanze database RDS in un VPC. Ogni gruppo di sottoreti database deve avere almeno una sottorete per ogni zona di disponibilità in una determinata regione. In questo caso, quando crei un'istanza database in un VPC, selezioni un gruppo di sottoreti database; Amazon RDS utilizza quindi quel gruppo di sottoreti DB e la tua disponibilità preferita. Infine, la zona della città per selezionare una sottorete e un indirizzo IP all'interno di tale sottorete. Amazon RDS crea e associa un'interfaccia di rete elastica all'istanza database con quell'indirizzo IP.

È possibile accedere alle istanze database distribuite all'interno di un Amazon VPC da Internet o alle istanze Amazon EC2 all'esterno del VPC tramite VPN o bastion host thamustunch nella sottorete pubblica. Per utilizzare un bastion host, devi configurare una sottorete pubblica con un'istanza EC2 che funga da SSH Bastion. Questa sottorete pubblica deve disporre di un gateway Internet e di regole di instradamento che consentano di indirizzare il traffico tramite l'host SSH, che deve quindi inoltrare le richieste alla privacy dell'istanza database Amazon RDS.

I gruppi di sicurezza database possono aiutare a proteggere le istanze database all'interno di un Amazon VPC. Inoltre, il traffico di rete in entrata e in uscita da ciascuna sottorete può essere consentito o negato tramite ACL di rete. Infine, tutto il traffico di rete in entrata o in uscita da Amazon VPC tramite la connessione VPN IPsec può essere ispezionato dall'infrastruttura di sicurezza locale, inclusi i firewall di rete e i sistemi di rilevamento delle intrusioni.

Gruppi di sicurezza per il tuo VPC

gruppo di sicurezza funge da firewall virtuale, ad esempio controllando il traffico in entrata e in uscita. Quando launcmodeltance in un VPC, puoi assegnare cinque gruppi di sicurezza all'istanza. I gruppi di sicurezza agiscono a livello di istanza, non a livello di subnet. Pertanto, ogni istanza in una sottorete nel tuo VPC può essere assegnata a un diverso set di gruppi di sicurezza.

Supponiamo che tu avvii un'istanza utilizzando l'API Amazon EC2 o uno strumento da riga di comando e non specifichi un gruppo di sicurezza. In tal caso, l'istanza viene assegnata automaticamente al gruppo di sicurezza predefinito per il VPCtheSe avvii un'istanza utilizzando la console Amazon EC2; puoi creare un nuovo gruppo di sicurezza, ad esempio.

Per ogni gruppo di sicurezza, aggiungi norme che controllano il traffico in uscita verso le istanze e un insieme separato di regole che controllano il traffico in uscita. Questa sezione descrive le pratiche di base che devi conoscere sui gruppi di sicurezza per il tuo VPC e le relative pratiche.

Elenco di controllo dell'accesso alla rete (NACL)

Un Network Access Control List (NACL) è un livello di sicurezza opzionale per il VPC che funge da firewall per il controllo del traffico in entrata e in uscita da una o più sottoreti. Puoi configurare ACL di rete con regole simili ai tuoi gruppi di sicurezza per aggiungere un livello di sicurezza al tuo VPC.

NACL esegue alcuni filtri tra le reti. Tuttavia, abbiamo fortemente ottenuto l'implementazione di un firewall di nuova generazione, come Palo Alto, per ottenere un'ispezione granulare a tutti i livelli 7x all'interno della tua infrastruttura VPC, per non parlare del traffico da Internet.

Ulteriori informazioni sui firewall di nuova generazione, post dedicato su questo argomento

Controllo del percorso

Tabella del percorso — Un insieme di regole, chiamate rotte, determina dove è diretto il traffico di rete.

Ti offre un modo granulare in cui il traffico può andare o influenzare il traffico, che è molto utile nella segregazione delle reti private.

Gateway Internet

Un gateway Internet è un componente VPC a scalabilità orizzontale, ridondante e altamente disponibile che consente la comunicazione tra il tuo VPC e Internet.

Un gateway Internet ha due scopi: fornire una destinazione nelle tabelle di instradamento VPC per il traffico instradabile su Internet ed eseguire la traduzione degli indirizzi di rete (NAT) per le istanze a cui sono stati assegnati indirizzi IPv4 pubblici.
A differenza di NAT Gateway, Internet Gateway consentirà il traffico alle tue istanze in VPC da Internet.

Gateway Internet solo in uscita

Un gateway Internet solo in uscita è un componente VPC a scalabilità orizzontale, ridondante e altamente disponibile che consente la comunicazione in uscita su IPv6 dalle istanze nel tuo VPC a Internet. Impedisce a Internet di avviare una connessione IPv6 con le tue istanze.

 

Sistemi v500 | soluzioni di rete aziendale e sicurezza informatica

I vantaggi di trasferire la tua attività nel cloud AWS

Gateway NAT

Puoi utilizzare un gateway NAT (Network Address Translation) per consentire alle istanze in una sottorete privata di connettersi a Internet o ad altri servizi AWS, ma impedire a Internet di avviare una connessione con tali istanze. In altre parole, una sessione creata da un host su Internet verrà negata.
Questa funzione è utile se si desidera che server -> istanze in una rete sicura/ristretta ottengano aggiornamenti di sicurezza, patch e aggiornamenti antivirus da recuperare da Internet.
Se vuoi saperne di più su NAT'ing, leggi il nostro post su questo argomento.

Indirizzo IP elastico

An Indirizzo IP elastico è un indirizzo IPv4 statico progettato per il cloud computing dinamico. Utilizzando un indirizzo IP elastico, puoi mascherare un'istanza o un errore del software rimappando rapidamente l'indirizzo a un'altra istanza nel tuo account. Un indirizzo IP elastico viene assegnato al tuo account AWS ed è tuo finché non lo rilasci.

Un indirizzo IP elastico è un indirizzo IPv4 pubblico raggiungibile da Internet. Se la tua istanza non dispone di un indirizzo IPv4 pubblico, puoi associare un indirizzo IP elastico alla tua istanza per abilitare la comunicazione con Internet. Ad esempio, questo ti consente di connetterti alla tua istanza dal tuo computer locale.

AWS attualmente non supporta gli indirizzi IP elastici per IPv6.

Connessioni VPN al tuo cloud AWS - VPC

VPN da sito a sito AWS

Puoi creare una connessione VPN IPsec tra il tuo VPC e la tua rete remota. Un gateway virtuale privato o un gateway di transito fornisce due endpoint VPN (tunnel) per il failover automatico sul lato AWS della connessione Site-to-Site VPN. Quindi, configuri il tuo dispositivo gateway del cliente sul lato remoto della connessione VPN da sito a sito.

VPN client AWS

AWS Client VPN è un servizio VPN gestito basato su client che ti consente di accedere alle tue risorse AWS o alla tua rete locale in modo sicuro. Con AWS Client VPN, puoi configurare un endpoint a cui i tuoi utenti possono connettersi per stabilire una sessione VPN TLS sicura. Ciò consente ai client di accedere alle risorse in AWS o in locale da qualsiasi posizione utilizzando un client VPN basato su OpenVPN.

AWS VPN CloudHub

Si supponga di disporre di più di una rete remota (ad esempio, più filiali). In tal caso, puoi creare varie connessioni AWS Site-to-Site VPN tramite il tuo gateway virtuale privato per consentire la comunicazione tra queste reti.

Applicazione VPN software di terze parti

Puoi creare una connessione VPN alla tua rete remota utilizzando un'istanza Amazon EC2 nel tuo VPC che esegue un'appliance VPN software di terze parti. Sfortunatamente, AWS non fornisce né mantiene appliance VPN software di terze parti; tuttavia, puoi scegliere tra una gamma di prodotti offerti da partner e comunità open source.

sistemi v500 | blog | aci: infrastruttura incentrata sull'applicazione

AWS Cloud: favorire l'agilità e la resilienza aziendale

 

 

 

Pronto per iniziare?

Nuvola | Informatica | Stoccaggio | Servizi | Fornitori | Sicurezza | Migrazione | Architettura | Infrastrutture | Soluzioni basate | Risparmio sui costi | Scalabilità | Flessibilità | Applicazioni native | Piattaforme basate | Cloud ibrido | Cloud pubblico | Cloud privato | Software basato su cloud | Analisi basata su cloud | AI/ML/PNL basati su cloud

 

Agisci ora, registrati: sfrutta la potenza dell'intelligenza artificiale per l'elaborazione dei documenti

Sblocca il potere dell'IA con la nostra offerta irresistibile. Inizia oggi stesso GRATIS il confronto di documenti multipli con AI e la ricerca cognitiva intelligente. Sperimenta efficienza, precisione e risparmio di tempo senza pari. Dopo la prova gratuita, continua la trasformazione per poco $ 20 / mese. Non perdere questa opportunità rivoluzionaria. Potenzia ora il tuo percorso di elaborazione dei documenti.

Dai un'occhiata ai nostri case study e ad altri post per saperne di più:

Data Network Automation, in che modo Cisco ACI offre una piattaforma di networking agile?

In che modo la ricerca intelligente può renderti coerente sul lavoro con meno sforzo?

Perché NAT perché il mondo ha esaurito gli indirizzi IPv4 nel febbraio 2010?

Quali sono i modi per connettere una rete locale a AWS Cloud?

#cloud #risparmio sui costi #scalabilità #intelligenzaartificiale #machinelearning #crescita

MC

ARTICOLI CORRELATI

20 | 04 | 2024

Specializzazione, Isolamento, Diversità, Pensiero Cognitivo e Sicurezza del Lavoro
| 'QUANTUM 5' S1, E9

Immergiti nella complessità delle dinamiche lavorative moderne, dove la specializzazione incontra la diversità, l'isolamento incontra il pensiero cognitivo e la sicurezza del lavoro è una priorità assoluta. Scopri strategie per promuovere l'inclusione, sfruttare le capacità cognitive e garantire stabilità lavorativa a lungo termine
13 | 04 | 2024

Giudici e giurie sono suscettibili ai pregiudizi: l’intelligenza artificiale può essere d’aiuto in questa materia? | 'QUANTUM 5' S1, E8

Approfondisci l'intersezione tra intelligenza artificiale e sistema legale, scoprendo come gli strumenti di intelligenza artificiale offrono una soluzione promettente per affrontare i pregiudizi nei processi giudiziari
06 | 04 | 2024

Potenziare i professionisti legali: la storia di Charlotte Baker e l'intelligenza artificiale nel diritto immobiliare | 'QUANTUM 5' S1, E7

Immergiti nel mondo del diritto immobiliare con Quantum 5 Alliance Group che sfrutta l'intelligenza artificiale per semplificare le operazioni e fornire risultati eccezionali. Scopri come i professionisti legali Charlotte Baker, Joshua Wilson e Amelia Clarke sfruttano la potenza dell'intelligenza artificiale per raggiungere il successo
31 | 03 | 2024

Navigare nel panorama dell'intelligenza artificiale: come il supporto personalizzato potenzia l'elaborazione dei documenti

Scopri come il supporto AI personalizzato dei sistemi v500 rivoluziona l'elaborazione dei documenti. Dalle indicazioni personalizzate all'assistenza pratica, sfrutta tutto il potenziale dell'intelligenza artificiale per flussi di lavoro fluidi