AWS isole logiquement vos ressources de tout le monde, lançant tout ce que vous utilisez dans votre propre cloud privé virtuel. Il peut fonctionner sur le même matériel en dessous, mais AWS a conçu les systèmes pour virtualiser des réseaux entiers sur leur infrastructure.
Vos instances sont privées
Lorsque vous créez une instance EC2 pour la première fois, un nouveau VPC est créé pour vous. Chaque instance que vous lancez est créée dans ce VPC et reçoit une adresse IP privée aléatoire.
Cette adresse IP est virtuelle, tout comme l'ensemble du VPC lui-même. AWS travaille sa magie dans les coulisses pour faire fonctionner ce réseau, mais votre VPC est à vous et à vous seul. Vous pouvez partager la même adresse IP privée avec de nombreuses autres personnes, exactement comme le routeur domestique de tout le monde est habituellement 192.168.1.1
.
Personne ne peut se connecter à votre instance sur votre adresse IP privée, ce qui signifie que si vous avez une instance qui n'a aucune connexion avec le monde extérieur, elle est pratiquement isolée de tout le reste. Cela rend AWS beaucoup plus sécurisé que d'autres fournisseurs qui peuvent simplement vous attribuer une adresse IP privée unique pour chaque serveur et en finir avec elle.
Votre VPC par défaut est probablement assez bon pour être utilisé pour tout et agit simplement comme votre propre cloud personnel, séparant vos actifs des autres personnes exécutées sur les mêmes serveurs. Si vous êtes une grande entreprise avec des besoins spécifiques, AWS fournit de nombreux modèles pour les scénarios courants avec des VPC personnalisés, y compris des sous-réseaux publics et privés avec une connexion VPN pour l'accès sur site.
Avoir un sous-réseau privé vous permet d'exécuter des éléments tels que des serveurs de base de données, qui ne doivent pas être connectés à Internet, mais doivent parler à vos autres instances (telles que les serveurs Web qui récupèrent des informations). Vous pouvez le faire assez facilement avec les VPC.
Sous-réseaux VPC et mise en réseau
Vous pouvez les définir comme vous le souhaitez, mais la configuration par défaut fonctionnera probablement bien pour la plupart des gens. Par défaut, votre VPC utilisera le 172.31.0.0/16
block, avec les sous-réseaux suivants:
-
172.31.0.0/20
pour la zone de disponibilité A -
172.31.16.0/20
pour la zone de disponibilité B -
172.31.32.0/20
pour la zone de disponibilité C
Vous pouvez créer autant de sous-réseaux que vous le souhaitez, mais vous ne pouvez pas les chevaucher dans le même VPC. Lorsque vous lancez une instance, vous la lancez dans un sous-réseau spécifique; si vous n’avez pas spécifié de sous-réseau personnalisé, il s’est lancé dans le sous-réseau par défaut de votre zone de disponibilité.
Votre VPC se connecte à Internet avec une passerelle Internet, qui est comme un routeur virtuel derrière lequel tout se cache. Vous pouvez avoir plusieurs passerelles par VPC, mais cela n'a pas grand-chose à faire.
Vos adresses IP Elastic sont liées à votre VPC; la partie IP publique vous est donnée au hasard hors du pool d'Amazon (généralement à partir de leur gigantesque 3.0.0.0/8
bloc de plus de 16 millions d'adresses), mais l'adresse IP privée à laquelle elle est mappée est spécifique à votre VPC.
Les VPC sont spécifiques aux régions AWS, vous aurez donc des VPC différents pour nous-est et nous-ouest. Cependant, AWS fournit de nombreux outils pour établir la communication entre eux, afin que vos VPC puissent agir comme un seul cloud. Notez que vos sous-réseaux doivent être configurés de manière à ne pas se chevaucher entre les VPC pour que cela fonctionne correctement.
Vous êtes également facturé pour le transfert de données entre les régions, car il doit passer par les câbles Internet réels. Cependant, tout le trafic est chiffré sur «AWS Backbone», il est donc toujours privé.