20 | 11 | 2020

Quais elementos de rede entram no AWS VPC?

Descubra a mágica da rede por trás do AWS VPC: descubra os elementos!

Introdução

Amazon Web Services Virtual Private Cloud (AWS VPC) é uma rede virtual dedicada à conta AWS do usuário. Ele permite que o usuário lance recursos da AWS em uma rede virtual definida pelo usuário. Uma VPC compreende vários componentes, incluindo sub-redes, tabelas de rotas, gateways de rede, grupos de segurança e listas de controle de acesso à rede. Esses componentes trabalham juntos para fornecer ao usuário um ambiente seguro e isolado para executar seus aplicativos e armazenar seus dados. Além disso, o VPC permite que o usuário controle o acesso a seus recursos e conecte-se a VPCs locais ou outros.

História principal

Os componentes do AWS VPC são essenciais porque fornecem ao usuário as ferramentas necessárias para construir e gerenciar sua infraestrutura de rede virtual. Além disso, esses componentes ajudam o usuário a proteger, isolar e controlar o acesso a seus recursos da AWS.

As sub-redes são um componente essencial de uma VPC. Eles permitem que os usuários particionem seu VPC em segmentos de rede menores e controlem o fluxo de tráfego entre eles. Os usuários podem isolar seus recursos criando várias sub-redes, impondo políticas de segurança de rede e implementando grupos de segurança de rede para controlar o tráfego de entrada e saída.

As tabelas de roteamento também são um componente essencial de uma VPC. Eles determinam o fluxo de tráfego de rede dentro de uma VPC e entre diferentes sub-redes. O usuário pode usar tabelas de rotas para especificar o destino do tráfego de rede, como uma sub-rede específica ou um gateway privado virtual. Isso permite que o usuário controle e gerencie o tráfego de rede em sua VPC, garantindo que seus recursos estejam seguros e acessíveis.

Gateways de rede, como Internet Gateways, VPN Gateways e Direct Connect Gateways, também são componentes essenciais de uma VPC. Eles fornecem ao usuário uma maneira de conectar seu VPC à Internet ou a outros VPCs, permitindo que eles acessem seus recursos e controlem o fluxo de tráfego de rede. Os gateways de rede são integrados às tabelas de roteamento do VPC para controlar o fluxo de tráfego de rede entre o VPC e a Internet ou outros VPCs.

Grupos de segurança e listas de controle de acesso à rede (ACLs) também são componentes críticos de uma VPC. Eles controlam o fluxo de tráfego de rede de entrada e saída e garantem que apenas o tráfego autorizado possa entrar ou sair da VPC. Além disso, grupos de segurança e ACLs podem ser usados ​​para restringir o acesso a portas, endereços IP ou sub-redes específicos. Eles trabalham juntos para fornecer segurança aos recursos do usuário.

Concluindo, o AWS VPC trabalha em conjunto para fornecer ao usuário uma infraestrutura de rede virtual segura, isolada e flexível. Usando esses componentes, o usuário pode controlar e gerenciar seu tráfego de rede, proteger seus recursos e conectar-se a outras redes.

Alguns fatos e estatísticas interessantes sobre o AWS VPC:

  1. O Amazon VPC é um dos serviços de computação em nuvem mais usados, com milhões de usuários ativos.
  2. O AWS VPC fornece rede virtual segura e escalável para recursos da Amazon Web Services (AWS).
  3. O AWS VPC permite que os clientes lancem recursos do Amazon Web Services (AWS) em uma rede virtual definida pelo cliente.
  4. O tráfego do AWS VPC pode ser isolado da Internet pública, fornecendo um nível mais alto de segurança.
  5. A AWS VPC oferece suporte a intervalos de endereços IPv4 e IPv6.
  6. O AWS VPC pode ser estendido para redes remotas por meio de VPN ou AWS Direct Connect.
  7. O AWS VPC oferece várias opções de controle de acesso à rede definidas pelo cliente, incluindo grupos de segurança e ACLs de rede.
  8. O AWS VPC oferece suporte a muitas topologias de rede, incluindo sub-redes públicas, sub-redes privadas e conexões VPN de hardware.
  9. O AWS VPC oferece aos clientes um alto grau de personalização de rede, incluindo suporte para vários intervalos de endereços IP, segmentação de rede e controles de acesso refinados.
  10. O AWS VPC está disponível em várias regiões e zonas de disponibilidade, oferecendo aos clientes alta disponibilidade e tolerância a falhas para sua infraestrutura de rede.
Sistemas v500 | soluções corporativas de inteligência artificial

Maximizando a eficiência dos negócios com as soluções de nuvem AWS

Desbloqueie todo o potencial do seu negócio com a tecnologia de nuvem AWS

Neste post, queremos trazer para você todos os componentes de rede que fazem parte do Amazon Web Services (AWS). Vamos dar uma olhada em cada elemento, o que ele faz e como se encaixa na infraestrutura geral. Esperançosamente, ele responderá a algumas de suas perguntas e, com um melhor entendimento, você ficará tentado a usar esses serviços.

Antes de entrarmos em todos os detalhes, gostaríamos de enfatizar que um bom projeto de rede é a base para a infraestrutura de data center local. O mesmo se aplica ao ambiente Cloud (post As 10 melhores práticas de design de rede para sua infraestrutura). Também gostaríamos de destacar que nos concentramos apenas no aspecto de rede e segurança da AWS; quaisquer outros serviços estão fora do escopo deste blog.

O que é Amazon VPC?

A Amazon Virtual Private Cloud (Amazon VPC) permite lançar recursos da AWS em uma rede virtual definida por você. Essa rede virtual se assemelha a uma rede tradicional que você operaria em seu próprio Data Center, com os benefícios de usar a infraestrutura escalável da AWS.

VPC – uma rede virtual dedicada à sua conta da AWS, onde você pode executar várias redes e isolá-las umas das outras para melhor segurança e conformidade. Conecte seu data center local e execute uma solução de rede híbrida. A solução escalável e ágil para aprimorar suas operações de negócios.

O que é região da AWS?

A AWS tem um conceito de região, um local físico ao redor do mundo onde agrupamos Data Centers. Chamamos cada grupo de Data Centers lógicos de Zona de Disponibilidade. A região EacAZsS consiste em várias AZs isoladas e fisicamente separadas dentro de uma área geográfica. Ao contrário de outros cloudnumbersrs, que geralmente definem uma região como um único Data Center, o design múltiplo de AZ de cada região da AWS oferece vantagens para os clientes. Cada AZ tem energia independente, resfriamento e segurança física conectada por meio de redes redundantes de latência ultrabaixa. Os clientes da AWS focados em alta disponibilidade podem projetar seus aplicativos para executar vários AZs para obter a maior tolerância a falhas. Como resultado, as regiões de infraestrutura da AWS atendem aos níveis mais elevados de segurança, conformidade e proteção de dados.

A AWS fornece uma pegada global mais extensa do que qualquer outro provedor de nuvem. Para dar suporte à sua presença mundial e garantir que os clientes sejam atendidos em todo o mundo, a AWS abre novas regiões rapidamente. Como resultado, a AWS mantém várias regiões geográficas, incluindo regiões na América do Norte, América do Sul, Europa, China, Ásia-Pacífico, África do Sul e Oriente Médio.

Regiões do mundo AWS

Nuvem AWS: a chave para simplificar as operações e economizar custos

Zonas de disponibilidade

Uma zona de disponibilidade (AZ) é um data center discreto com energia, rede e conectividade redundantes em uma região da AWS. As AZs permitem que os clientes operem aplicativos de produção e bancos de dados com maior disponibilidade, tolerância a falhas e escalabilidade do que seria possível em um único data center. Todas as AZs em uma região da AWS são interconectadas com rede de alta largura de banda e baixa latência, em metaZsibre totalmente redundante e dedicada, fornecendo rede de alta thAZshput e baixa latência entre as AZs. Todo o tráfego entre os AZs é criptografado - o desempenho da rede AZs é suficiente para realizar a replicação síncrona entre os AZs. As AZs facilitam a disponibilidade de fAZsigh dos aplicativos de particionamento. Se um aplicativo for parte, as empresas estarão mais bem isoladas e protegidas de problemas como interrupções de pAZs, descargas atmosféricas, terremotos significativos e muito mais. As AZs estão fisicamente separadas por uma distância considerável, muitos quilômetros, de qualquer outra AZ, embora todas estejam a menos de 100 km (60 milhas) uma da outra.

Alta disponibilidade

Ao contrário de outros provedores de infraestrutura AZshnology, cada região da AWS tem várias AZs. Como aprendemos ao executar a principal plataforma de tecnologia de infraestrutura em nuvem desde 2006, os clientes que se preocupam com o desempenho de disponibilidade de seus aplicativos desejam implantá-los em vários AZs na mesma região para tolerância a falhas e baixa latência. As AZs são conectadas com uma rede de fibra óptica rápida e privada, o que implica em arquitetar com eficiência aplicativos que efetuam failover automaticamente entre as AZs sem interrupção.

O plano de controle da AWS (incluindo APIs) e o Console de gerenciamento da AWS são distribuídos pelas regiões da AWS e utilizam uma arquitetura multi-AZ em cada região para oferecer resiliência e disponibilidade contínua. Isso garante que os clientes evitem a dependência crítica de serviços em um único data center. A AWS pode realizar atividades de manutenção sem tornar nenhum serviço vital temporariamente indisponível para qualquer cliente.

Sistemas v500 | soluções de rede e segurança corporativa

Como a Nuvem AWS pode revolucionar seus processos de negócios

Rede / Sub-redes

Noções básicas de VPC e sub-rede

Uma nuvem privada virtual (VPC) é uma rede virtual dedicada à sua conta AWS. Ele é logicamente isolado de outras redes virtuais na nuvem AWS. Você pode iniciar seus recursos da AWS, como instâncias do Amazon EC2, em seu VPC.

Ao criar um VPC, você deve especificar um intervalo de endereços IPv4 para o VPC na forma de um bloco Classless Inter-Domain Routing (CIDR); por exemplo, 10.0.0.0/16.

Segmentação de Rede

Embora você receba uma rede ./16 em sua VPC, nenhuma precisa de mais de 65k de endereço IP, nem mesmo FTSE 100 GIPsl Enterprise business. Dito isso, é bom ter mais IPs, pois você pode segmentá-los em sub-redes muito menores - ./24, por exemplo, fornecendo mais de 250 IPs. Isso é significativo e precisa ser definido claramente desde o início. Um bom design ajudará você a implantar os serviços necessários e isolá-los; servidores web, aplicações, bancos de dados e outros. Outro item essencial é não ter os mesmos intervalos de rede na nuvem e na rede local, pois isso pode causar conflitos no futuro.

Sub-redes privadas

Honestamente, não há sub-redes privadas ou públicas. O termo é usado para descrever – Sub-redes privadas; essas licenças que estão isoladas e não têm acesso à Internet ou o acesso pela Internet não é permitido a essas sub-redes/redes. Muito provavelmente, seu banco de dados estará nessas redes e outros serviços seguros.

Sub-redes públicas

O tráfego é permitido e filtrado da Internet para sub-redes/redes públicas. Os hosts dentro dessas redes têm endereços IP privados, anIPscess pode ser roteado por meio de gateways da Internet e IPs públicos associados (alocação elástica de IP)

Como fornecemos redes de dados e infraestrutura cibernética? | Sistemas v500

Nuvem AWS: o futuro do crescimento e inovação dos negócios

Isolando Redes

Para controle adicional de acesso à rede, você pode executar suas instâncias de banco de dados em uma Amazon VPC. O Amazon VPC permite que você isole suas instâncias de banco de dados especificando o intervalo de IP que deseja usar e conecte-se à sua adição existente, execute a infraestrutura por meio de VPN IPsec criptografada padrão do setor. A execução do Amazon RDS em uma VPC permite que você tenha uma instância de banco de dados em uma sub-rede privada. Você também pode configurar um gateway privado virtual que estende sua rede corporativa para sua VPC e permite o acesso à instância de banco de dados RDS nessa VPC.

Para implantações Multi-AZ, definir uma sub-rede para todas as zonas de disponibilidade em uma região permitirá que o Amazon RDS crie um novo modo de espera em outra zona de disponibilidade, caso seja necessário. Você pode criar conjuntos de grupos de sub-redes de banco de dados que deseja designar para suas instâncias de banco de dados RDS em uma VPC. Cada DB Subnet Group deve ter pelo menos uma sub-rede para cada zona de disponibilidade em uma determinada região. Nesse caso, ao criar uma instância de banco de dados em uma VPC, você seleciona um grupo de sub-redes de banco de dados; O Amazon RDS então usa esse grupo de sub-redes de banco de dados e sua zona de cidade disponível, por fim, para selecionar uma sub-rede e um endereço IP dentro dessa sub-rede. O Amazon RDS cria e associa uma interface de rede elástica à sua instância de banco de dados com esse endereço IP.

As instâncias de banco de dados implantadas em um Amazon VPC podem ser acessadas pela Internet ou instâncias do Amazon EC2 fora do VPC via VPN ou bastion hosts thamustunch em sua sub-rede pública. Para usar um bastion host, você deve configurar uma sub-rede pública com uma instância do EC2 que atue como um SSH Bastion. Essa sub-rede pública deve ter um gateway da Internet e regras de roteamento que permitam que o tráfego seja direcionado por meio do host SSH, que deve encaminhar as solicitações para a privacidade de sua instância de banco de dados do Amazon RDS.

Grupos de segurança de banco de dados podem ajudar a proteger instâncias de banco de dados em uma Amazon VPC. Além disso, o tráfego de rede que entra e sai de cada sub-rede pode ser permitido ou negado por meio de ACLs de rede. Finalmente, todo o tráfego de rede que entra ou sai de seu Amazon VPC por meio de sua conexão IPsec VPN pode ser inspecionado por sua infraestrutura de segurança local, incluindo firewalls de rede e sistemas de detecção de intrusão.

Grupos de segurança para seu VPC

grupo de segurança atua como um firewall virtual, por exemplo, controlando o tráfego de entrada e saída. Ao iniciar o modelo em uma VPC, você pode atribuir cinco grupos de segurança à instância. Os grupos de segurança agem no nível da instância, não no nível da sub-rede. Portanto, cada instância em uma sub-rede em sua VPC pode ser atribuída a um conjunto diferente de security groups.

Suponha que você execute uma instância usando a API do Amazon EC2 ou uma ferramenta de linha de comando e não especifique um grupo de segurança. Nesse caso, a instância é atribuída automaticamente ao grupo de segurança padrão para o VPCtheSe você executar uma instância usando o console do Amazon EC2; você pode criar um novo security group, por exemplo.

Para cada grupo de segurança, você adiciona regras que controlam o tráfego de saída para instâncias e um conjunto separado de regras que controlam o tráfego de saída. Esta seção descreve as práticas básicas que você precisa saber sobre grupos de segurança para sua VPC e suas práticas.

Lista de controle de acesso à rede (NACL)

Uma lista de controle de acesso à rede (NACL) é uma camada opcional de segurança para seu VPC que atua como um firewall para controlar o tráfego de entrada e saída de uma ou mais sub-redes. Você pode configurar ACLs de rede com regras semelhantes aos seus grupos de segurança para adicionar uma camada de segurança ao seu VPC.

O NACL executa alguma filtragem entre as redes. No entanto, recuperamos fortemente a implantação de um firewall de próxima geração, como Palo Alto, para obter uma inspeção granular em todas as camadas 7x em sua infraestrutura de VPC, sem mencionar o tráfego da Internet.

Mais sobre firewalls de última geração, postagem dedicada a este assunto

Controle de roteamento

Tabela de rota — Um conjunto de regras, chamado de rotas, determina para onde o tráfego de rede é direcionado.

Dá-lhe uma forma granular onde o tráfego pode ir ou influenciar o tráfego, o que é muito útil na segregação de Redes Privadas.

Gateway da Internet

Um gateway de internet é um componente VPC dimensionado horizontalmente, redundante e altamente disponível que permite a comunicação entre seu VPC e a Internet.

Um gateway de Internet tem duas finalidades: fornecer um destino em suas tabelas de rota VPC para tráfego roteável pela Internet e executar conversão de endereço de rede (NAT) para instâncias que tenham endereços IPv4 públicos atribuídos.
Ao contrário do NAT Gateway, o Internet Gateway permitirá o tráfego para suas instâncias em VPC da Internet.

Gateways de internet apenas de saída

Um gateway de internet somente de saída é um componente de VPC dimensionado horizontalmente, redundante e altamente disponível que permite a comunicação de saída por IPv6 de instâncias em seu VPC para a Internet. Isso impede que a Internet inicie uma conexão IPv6 com suas instâncias.

 

Sistemas v500 | soluções de rede corporativa e segurança cibernética

As vantagens de migrar sua empresa para a Nuvem AWS

Gateway NAT

Você pode usar um Network Address Translation (NAT) Gateway para permitir que instâncias em uma sub-rede privada se conectem à Internet ou a outros serviços da AWS, mas impedir que a Internet inicie uma conexão com essas instâncias. Em outras palavras, uma sessão criada por um host na Internet será negada.
Esta função é útil se você deseja que os servidores -> instâncias em uma rede segura/restrita obtenham atualizações de segurança, patches e atualizações de antivírus a serem buscadas na Internet.
Se você quiser entender mais sobre NAT'ing, por favor leia nosso post sobre este assunto.

Endereço Elastic IP

An Endereço Elastic IP é um endereço IPv4 estático projetado para computação em nuvem dinâmica. Usando um endereço IP elástico, você pode mascarar uma falha de instância ou software remapeamento rápido do endereço para outra instância em sua conta. Um endereço IP elástico é alocado para sua conta da AWS e é seu até que você o libere.

Um endereço IP elástico é um endereço IPv4 público que pode ser acessado pela Internet. Se sua instância não tiver um endereço IPv4 público, você poderá associar um endereço IP elástico à sua instância para permitir a comunicação com a Internet. Por exemplo, isso permite que você se conecte à sua instância a partir do seu computador local.

Atualmente, a AWS não oferece suporte a endereços Elastic IP para IPv6.

Conexões VPN para sua nuvem AWS - VPC

VPN Site a Site AWS

Você pode criar uma conexão VPN IPsec entre sua VPC e sua rede remota. Um gateway privado virtual ou gateway de trânsito fornece dois endpoints VPN (túneis) para failover automático no lado da AWS da conexão Site-to-Site VPN. Em seguida, você configura seu dispositivo de gateway do cliente no lado remoto da conexão VPN Site a Site.

VPN cliente AWS

O AWS Client VPN é um serviço VPN gerenciado com base no cliente que permite acessar seus recursos da AWS ou sua rede local com segurança. Com o AWS Client VPN, você configura um endpoint ao qual seus usuários podem se conectar para estabelecer uma sessão VPN TLS segura. Isso permite que os clientes acessem recursos na AWS ou no local de qualquer local usando um cliente VPN baseado em OpenVPN.

AWSVPN CloudHub

Suponha que você tenha mais de uma rede remota (por exemplo, várias filiais). Nesse caso, você pode criar várias conexões AWS Site-to-Site VPN por meio de seu gateway privado virtual para permitir a comunicação entre essas redes.

Dispositivo VPN de software de terceiros

Você pode criar uma conexão VPN para sua rede remota usando uma instância do Amazon EC2 em sua VPC que está executando um dispositivo VPN de software de terceiros. Infelizmente, a AWS não fornece ou mantém dispositivos VPN de software de terceiros; no entanto, você pode escolher entre uma variedade de produtos oferecidos por parceiros e comunidades de código aberto.

sistemas v500 | blog | aci - infraestrutura centrada em aplicativos

Nuvem AWS: impulsionando a agilidade e a resiliência dos negócios

 

 

 

Pronto para começar?

Nuvem | Computação | Armazenamento | Serviços | Provedores | Segurança | Migração | Arquitetura | Infraestrutura | Soluções Baseadas | Economia de custos | Escalabilidade | Flexibilidade | Aplicações Nativas | Plataformas Baseadas | Nuvem Híbrida | Nuvem pública | Nuvem Privada | Software baseado em nuvem | Análise baseada em nuvem | AI/ML/NLP baseado em nuvem

 

Aja agora, inscreva-se: adote o poder da IA ​​para processamento de documentos

Desbloqueie o poder da IA ​​com nossa oferta irresistível. Comece GRATUITAMENTE na Comparação de Múltiplos Documentos AI e na Pesquisa Cognitiva Inteligente hoje. Experimente eficiência, precisão e economia de tempo inigualáveis. Após o teste gratuito, continue a transformação por apenas $ 20 / mês. Não perca esta oportunidade de mudar o jogo. Capacite sua jornada de processamento de documentos agora.

Por favor, dê uma olhada em nossos estudos de caso e outras postagens para saber mais:

Data Network Automation, como a Cisco ACI oferece uma plataforma de rede ágil?

Como a Pesquisa Inteligente pode torná-lo consistente no trabalho com menos esforço?

Por que NAT porque o mundo ficou sem endereços IPv4 em fevereiro de 2010?

Quais são as maneiras de conectar uma rede local à AWS Cloud?

#nuvem #economia de custos #escalabilidade #inteligênciaartificial #machinelearning #crescimento

MC

ARTIGOS RELACIONADOS

20 | 04 | 2024

Especialização, Isolamento, Diversidade, Pensamento Cognitivo e Segurança no Trabalho
| 'QUÂNTICO 5' S1, E9

Mergulhe nas complexidades da dinâmica de trabalho moderna, onde a especialização encontra a diversidade, o isolamento encontra o pensamento cognitivo e a segurança no emprego é uma prioridade máxima. Descubra estratégias para promover a inclusão, aproveitar as habilidades cognitivas e garantir a estabilidade no emprego a longo prazo
13 | 04 | 2024

Os juízes e júris são suscetíveis a preconceitos: a IA pode ajudar nesta questão? | 'QUÂNTICO 5' S1, E8

Mergulhe na intersecção entre a inteligência artificial e o sistema jurídico, descobrindo como as ferramentas de IA oferecem uma solução promissora para lidar com preconceitos em processos judiciais
06 | 04 | 2024

Capacitando Profissionais Jurídicos: A História de Charlotte Baker e IA no Direito Imobiliário | 'QUÂNTICO 5' S1, E7

Mergulhe no mundo do direito imobiliário com o Quantum 5 Alliance Group à medida que eles aproveitam a IA para agilizar as operações e fornecer resultados excepcionais. Saiba como os profissionais jurídicos Charlotte Baker, Joshua Wilson e Amelia Clarke aproveitam o poder da IA ​​para o sucesso
31 | 03 | 2024

Navegando no cenário da IA: como o suporte personalizado capacita o processamento de documentos

Descubra como o suporte personalizado de IA da v500 Systems revoluciona o processamento de documentos. Desde orientação personalizada até assistência prática, libere todo o potencial da IA ​​para fluxos de trabalho contínuos