Блог

Я часами просматривал учебные пособия и читал, пока мои глаза не начали кровоточить, но я просто не могу понять, как работают виртуальные машины Amazon. Я несколько раз создавал и удалял целые среды VPC с экземплярами EC2, следуя учебным пособиям, но как только я перехожу к созданию одного из них без руководства, я теряюсь.

Я пытаюсь придумать аналогию, которая поможет мне лучше понять. Пока у меня есть что-то вроде этого:

VPC похож на клуб. В передней части клуба у вас есть вход, IGW. Внутри клуба у вас есть разные области; Общая область, которая будет общедоступной подсетью, и область управления, которая является частной подсетью.

В общей области у вас будет танцпол / бар, который будет приравниваться к экземпляру EC2, и приемный отсек, где руководство может получать поставки и еще много чего из внешнего мира, NAT.

Затем в области управления у вас будет офис, еще один экземпляр EC2 и ваш Инвентарь, который похож на ваш RDS.

Я думаю, что пока это довольно точная аналогия, но как только я начинаю пробовать работать в SGs, NaCl, RTs и т. Д., Я понимаю, что просто не понимаю всего этого.

Кто-нибудь может помочь мне закончить эту аналогию или предложить лучшую аналогию? Я в тупике.

Вместо того, чтобы использовать аналогии, давайте использовать сеть, которая у вас уже есть дома.

В вашем доме, вероятно, есть маршрутизатор и различные устройства, подключенные к маршрутизатору. Они могут быть подключены напрямую через кабели Ethernet (например, к ПК) или через Wi-Fi (например, планшеты, телефоны, Alexa). Ваша домашняя сеть похожа на VPC. Ваши различные устройства подключаются к сети, и все устройства могут взаимодействовать друг с другом.

У вас также есть какая-то коробка, которая соединяет ваш маршрутизатор с Интернетом. Это может быть кабельный модем, оптоволоконный маршрутизатор или (в старые времена) телефонное соединение. Эти блоки подключают вашу сеть (VPC) к Интернету и аналогичны по функциям интернет-шлюзу. Без этих блоков ваша сеть не смогла бы взаимодействовать с Интернетом. Аналогично, без интернет-шлюза VPC не может взаимодействовать с Интернетом.

Некоторые домашние маршрутизаторы позволяют транслировать гостевую сеть в дополнение к вашей обычной сети. Это сеть, в которой вы можете предоставить гостям пароль, но они не смогут получить доступ ко всей вашей сети — это хорошо для безопасности, поскольку они не могут шпионить за вашей сетью, чтобы попытаться украсть ваши данные. Это похоже на концепцию отдельной подсети — есть две сети, но правила маршрутизации (NaCl) блокируют трафик между ними для повышения безопасности.

Домашний маршрутизатор обычно блокирует входящий доступ к вашим устройствам. Это означает, что пользователи в Интернете не могут получить доступ к вашему компьютеру, принтеру, устройствам и т. Д. Это хорошо, поскольку в Интернете много ботов, которые всегда пытаются взломать устройства в вашей сети. Однако домашний маршрутизатор разрешает исходящие запросы с ваших устройств в Интернет (например, на веб-сайт), и он достаточно умен, чтобы ответы возвращались в сеть. Это эквивалентно группе безопасности, которая имеет правила, определяющие, какие входящие и исходящие запросы разрешены. Группы безопасности отслеживают состояние, что означает, что они автоматически разрешают обратный трафик, даже если он специально не указан. Разница в том, что маршрутизатор действует как группа безопасности, тогда как в Amazon VPC можно назначить группу безопасности каждому отдельному ресурсу (например, иметь маршрутизатор на каждом ресурсе).

Это не охватывает все возможности Amazon VPC, но должно дать вам представление о том, как на самом деле работает сеть.