云架构师应该熟悉的7个AWS VPC最佳实践

云架构师应该熟悉的7个AWS VPC最佳实践

引用

CSDN

1.

https://blog.csdn.net/xidianjiapei001/article/details/145538561

在AWS云环境中，虚拟私有云（VPC）是构建安全、可扩展网络架构的核心组件。一个设计良好的VPC不仅能支持应用程序的正常运行，还能提供强大的安全防护。本文将详细介绍云架构师在设置VPC时需要掌握的7个关键最佳实践，帮助你构建更加稳定、安全的云环境。

设置虚拟私有云（VPC）看似易如反掌，直到出现问题时才知道并非如此。VPC不仅仅是一个网络概念，它更是你AWS环境的核心。一步失误就可能导致代价高昂的安全问题或性能瓶颈。
因此，让我们详细剖析运行平稳、安全且可扩展的VPC所需的七项关键要素。

1. 规划VPC CIDR块

CIDR规划并不引人注目，但却是基础。选择错误的IP范围，你的应用程序在扩展时将会面临冲突、限制以及棘手的返工问题。

• 首先，选择一个
  /16
  的CIDR块，如10.0.0.0/16。这将为你提供65,536个IP地址，空间充足。将生产环境划分为
  /24
  的子网，每个子网有256个IP地址。对于开发和测试环境，使用
  /26
  的子网，每个子网有64个IP地址。

• 如果你想在本地部署业务，避免使用像192.168.0.0/16这样的IP范围。选择一个独特的范围，如10.100.0.0/16，以免日后在本地需要VPN连接时产生麻烦。

更多注意事项：

• 保留IP地址：请记住，AWS会为每个子网保留前四个和最后一个IP地址用于网络目的，因此这些地址不可分配。

• 子网大小：确保子网大小与应用程序当前及未来的需求相匹配，以避免IP耗尽或利用率不足。

对于中小型AWS基础设施而言，从精心规划CIDR块的单个VPC起步是切实可行的。这种设置简化了网络管理并降低了成本，非常适合对生产、开发和测试环境之间不需要严格隔离的场景。然而，随着组织规模的扩大或安全需求的变化，应考虑划分多个VPC，以便在不同区域实现更好的控制、分割和扩展。现在进行规划可在未来实现灵活性，避免返工。

2. 有效划分子网

子网将你的VPC划分为不同资源的区域，增强了安全性和可扩展性。如果划分不当，公共资源和私有资源之间就存在交叉污染的风险。

• 实现冗余，将你的Web服务器放置在横跨多个可用区（AZ）的公共子网中。将数据库等敏感组件隔离在私有子网中，使其免受直接的互联网访问。

• 更安全的架构是将Web服务器部署在私有子网中，并在公共子网中使用应用程序负载均衡器（ALB）。ALB处理传入的互联网流量，并将其转发到私有子网中的Web服务器。这种设置确保你的Web服务器不会直接暴露在互联网上，从而增强了安全性。

如果你正在构建多层应用程序，为每一层设置单独的子网——公共子网用于负载均衡器，私有子网用于应用程序，私有子网用于数据库。这种设计既能保证数据安全，又能提高弹性。

3. 控制VPC内的路由

路由决定了你的流量去向。在此要做到精确控制——规划好路由，确保数据仅流向其应去之处。

• 为公共子网和私有子网使用单独的路由表。公共路由表应通过互联网网关（IGW）将发往互联网的流量进行路由，而私有子网则使用NAT网关处理外部请求。

对于VPC对等连接，创建自定义路由，使不同的VPC直接连接，无需通过互联网。为VPN连接设置路由传播，让私有网络能够自动识别彼此的路由。这确保了安全的私有网络环境。

4. 利用安全组和网络访问控制列表（NACL）保护你的VPC

安全组和网络访问控制列表（NACL）是你的守门人。它们共同创建多层访问控制，保护你的资源免受不必要的流量干扰。

• 设置安全组，允许端口80的Web流量，并将SSH（端口22）访问限制到特定IP。对于数据库，将入站连接限制在端口3306，且仅允许来自应用程序子网的连接。

使用NACL作为第二道防线，特别是对于承载关键服务的子网。默认设置NACL阻止所有入站流量，仅允许必要的流量（例如，端口443用于HTTPS）。安全组是有状态的（它们会记住连接），而NACL是无状态的——这种分层方法确保各层相互补充。

5. 在私有子网中启用互联网访问

你的私有资源可能需要有限的互联网访问，用于更新或调用外部API。这时就需要用到NAT网关。

• 在公共子网中放置一个NAT网关，并将其与私有子网的路由表关联。这样，私有子网中的EC2实例就可以在不暴露的情况下访问互联网。

除非需要精细控制，否则优先选择NAT网关而非NAT实例。网关是完全托管的，默认具有高可用性，并且可以根据需求进行扩展。如果你处于多可用区设置中，在每个可用区部署一个NAT网关，以避免单点故障。

6. 跨区域连接VPC

随着AWS基础设施的增长，跨区域VPC连接允许处于不同位置的环境进行安全、私有的通信。这对于灾难恢复、低延迟要求或全球覆盖至关重要。

• 使用跨区域VPC对等连接来连接不同区域的VPC，比如将 us-east-1 的VPC-A与 eu-west-1 的VPC-B连接起来。这种设置允许通过AWS的私有骨干网进行无缝通信，绕过公共互联网。

VPC对等连接是非传递性的，这意味着与VPC-B对等连接的VPC-A不会自动与VPC-C对等连接。为了安全和清晰起见，你需要明确设置每个连接。请记住，如下所示，AWS Transit Gateway（中转网关）也是一种选择。

7. 监控和记录VPC流量

安全不仅仅在于设置。监控VPC流量可以让你洞察异常模式和潜在漏洞。

• 启用VPC流日志，以捕获已接受和被拒绝的流量。将这些日志发送到CloudWatch或S3进行分析，在那里你可以快速检查流量是否按预期流动或发现问题。

将流日志与CloudTrail结合使用，记录在VPC内执行的每个操作的API调用。这些日志提供了全面的安全审计视图，帮助你快速回答“谁在何时做了什么”的问题。

总结

结构良好的VPC是强大的AWS设置的基础。从清晰的CIDR规划开始，使用安全组和NACL分层构建安全体系，并始终密切监控网络活动。当每个组件都经过精心配置时，你的VPC不仅能支持你的应用程序，还能保护它。

参考文献

1. https://medium.com/aws-in-plain-english/7-aws-vpc-best-practices-every-cloud-engineer-should-know-589c9fa7a016