spi*_*cer 53 amazon-ec2 amazon-web-services amazon-vpc
目前正从另一家VPS提供商转移到Amazon EC2.我们有您典型的Web服务器/数据库服务器需求.我们的数据库服务器前面的Web服务器.无法从Internet直接访问数据库服务器.
我想知道是否有任何理由将这些服务器放入AWS虚拟私有云(VPC),而不仅仅是创建实例并使用安全组来防火.
我们没有做任何想象只是一个典型的网络应用程序.
有没有理由使用VPC或不使用VPC?
谢谢.
Chr*_*her 56
注意:AWS启动时的新帐户会立即启用"默认VPC",并使"EC2-Classic"不可用.因此,这个问题和答案现在没有比2012年8月更有意义了.我现在留下答案,因为它有助于"EC2-Classic"和VPC产品线之间的框架差异.有关详细信息,请参阅Amazon的常见问题解答.
是.如果你是安全意识的,一个繁重的CloudFormation用户,或者想要完全控制自动缩放(而不是Beanstalk,它抽象了它的某些方面,但仍然让你完全访问缩放参数),使用VPC.这篇博文非常有用,总结了优缺点.博文中的一些亮点(由kiip.me撰写):
所有节点都可以在网络上寻址.对于没有理由在全球互联网上存在的节点来说,这没有多大意义.例如:数据库节点不应具有任何公共Internet主机名/ IP.
所有节点都在共享网络上,并且可以相互寻址.这意味着用户"Bob"启动的EC2节点可以访问用户"Fred"启动的任何EC2节点.请注意,默认情况下,安全组不允许这样做,但很容易撤消此保护,尤其是在使用自定义时安全组织.
没有公共与私人接口.即使您想要禁用公共主机名上的所有流量,也不能.在网络接口级别,每个EC2实例仅具有一个网络接口.公共主机名和弹性IP路由到"私有"网络.
首先,与EC2相比,VPC提供了令人难以置信的安全性.在VPC内发布的节点无法通过全球互联网,EC2或任何其他VPC寻址.这并不意味着您可以忘记安全性,但它提供了一个比EC2更加安全的起点.此外,它使防火墙规则更容易,因为私有节点可以简单地说"允许来自我们的专用网络的任何流量."从启动节点到拥有一个完全运行的Web服务器的时间从20分钟下降到大约5分钟,由于节省了时间,避免了传播防火墙的变化.
DHCP选项集允许您指定新节点在VPC中启动时将使用的域名,DNS服务器,NTP服务器等.这使得实现自定义DNS变得更加容易.在EC2中,您必须启动新节点,修改DNS配置,然后重新启动网络服务以获得相同的效果.我们在Kiip上运行我们自己的DNS服务器以进行内部节点解析,并且DHCP选项集使其变得轻松(将east-web-001键入浏览器而不是10.101.84.22更有意义).
最后,VPC只是提供了一个更加真实的服务器环境.虽然VPC是AWS的独特产品,并且似乎将您"锁定"到AWS,但VPC采用的模型更类似于您决定开始运行自己的专用硬件.事先掌握这些知识并建立围绕它的真实世界体验将是非常宝贵的,以防您需要转移到自己的硬件.
该帖子还列出了VPC的一些困难,所有这些都或多或少与路由有关:从VPC获取Internet网关或NAT实例,在VPC之间进行通信,为数据中心设置VPN.这些有时令人沮丧,学习曲线并非微不足道.同样,仅凭安全优势可能是值得的,亚马逊支持(如果您愿意为此付费)在VPC配置方面非常有用.
Mar*_*els 13
目前,VPC与EC2相比具有一些有用的优势,例如:
据推测,亚马逊也将使用其中一些功能升级EC2,但目前它们只是VPC.
| 归档时间: |
|
| 查看次数: |
32812 次 |
| 最近记录: |