AWS VPC - 与其他虚拟网络的逻辑隔离
AWS VPC - Logical isolation from other virtual networks
Documentation 说,"A virtual private cloud (VPC) is a virtual network dedicated to your AWS account. It is logically isolated from other virtual networks in the AWS Cloud."
我的理解是,原因是我的VPC与其他虚拟网络隔离
是由于 CIDR 符号(网络 1xx.xx.0.0/16)分配给 VPC。
因此,如果我的 VPC 的 CIDR 表示法是 10.10.0.0/16,则此 CIDR 表示法 (10.10.0.0/16) 未在 AWS 云的其他虚拟网络中使用。
私有 IPv4 范围
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
1)AWS云是一个大的私有网络吗?每个 VPC 从私有 IP space 分配一个 CIDR。如果AWS云是一个私有网络,那么,我们可以为私有网络内的资源分配public IP吗?
2)
CIDR 参数是否允许将我的 VPC 与 AWS 云中的其他虚拟网络隔离?
3) AWS 云是否有重叠的IP 域?跨 AWS vpc
CIDR
从 IP 的早期诞生开始,寻址就被固定为 class 完整的行为。这是什么意思.... class A 网络的路由器最大前缀是 10.0.0.0 /8 (10.0.0.0 - 10.255.255.255) 对于 class B 网络是 172.26.0.0 (172.26.0.0 - 172.26.255.255)。这称为 class 完整寻址 "RFC 791"。但是,嘿,如果我想细分这些范围并在美国拥有一个子网,在欧洲拥有另一个子网怎么办? CIDR(无类域间路由)进入游戏。自 CIDR RFCs (https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) 以来,我们不再受限于 Classfull 限制。现在,我们可以随意细分(可变长度子网掩码或 VLSM)
AWS
在 AWS 上,您可以拥有一个 VPC,它是一个 VirtualPrivateCloud。它是一个独立的构造,具有自己的虚拟路由器和自己的私有(不是 Public!!)IP 范围(CIDR 范围)。它与一切完全隔离……就像您在卧室里安装交换机、路由器和计算机一样。您可以将 VPC 细分为更小的部分(可用区)。然后你将创建一个非重叠的 ip 地址,比方说,AZ1=10.0.1.0/24,AZ2=10.0.2.0/24,AZ3=10.0.3.0/24。你的路由器在卧室里……抱歉,VPC,你正在将这些区域互连在一起。比方说 AZ1=Web, AZ2=APP, AZ3=DB... 那么,如何才能将 AZ1 带入 Internet?您在 VPC 前面放置了一个 Internet 网关。现在 public IP 呢? AWS 有两种情况。 public IP 和 Elastic public IP...有什么区别?使用 public IP,IP 是针对您的实例,而不是您的帐户。弹性 IP 已绑定到您的帐户,这意味着您可以在 VPC 中的实例之间移动 public ip。两种变体都使用 NAT(NetworkAddressTranslation)...如您所知,您的实例上有一个私有 IP,因此,从 WWW 到达您的 public IP 的数据包在 Internet-GW 上转换为您的私有 IP .而已!有许多服务,如出口网关(仅 ipv6)、NAT 网关(如仅用于 ipv4 的出口)等等......您可以组合事物并构建自己的逻辑,但它会吹这个线程来解释一切。
还剩一个 thinig...您正在通过 nat/internet-gateway 从其他 VPC 到达 Public IP...但是,如果您真的想互连 2 个 VCP 怎么办?是的,这是可能的,但是不允许它们重叠 CIDR 范围!
https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html
一个好的起点是:https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html
回答你的第三个问题:
每个客户(分别是每个 VPC)都可以拥有自己定义的私有范围。所以,是的,VPC 之间存在重叠的 IP。如果您想加入他们(VPC 对等),问题就从那里开始。 (未加入的)VPC 之间的唯一标识符是其中的 public IP,它们是唯一的! VPC 之间没有重叠
希望对你有所帮助
编辑: 当然他们没有使用物理的东西来创建 VPC,他们正在使用虚拟化网络组件(网络功能虚拟化 NFV)
Documentation 说,"A virtual private cloud (VPC) is a virtual network dedicated to your AWS account. It is logically isolated from other virtual networks in the AWS Cloud."
我的理解是,原因是我的VPC与其他虚拟网络隔离
是由于 CIDR 符号(网络 1xx.xx.0.0/16)分配给 VPC。
10.10.0.0/16,则此 CIDR 表示法 (10.10.0.0/16) 未在 AWS 云的其他虚拟网络中使用。
私有 IPv4 范围
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
1)AWS云是一个大的私有网络吗?每个 VPC 从私有 IP space 分配一个 CIDR。如果AWS云是一个私有网络,那么,我们可以为私有网络内的资源分配public IP吗?
2) CIDR 参数是否允许将我的 VPC 与 AWS 云中的其他虚拟网络隔离?
3) AWS 云是否有重叠的IP 域?跨 AWS vpc
CIDR
从 IP 的早期诞生开始,寻址就被固定为 class 完整的行为。这是什么意思.... class A 网络的路由器最大前缀是 10.0.0.0 /8 (10.0.0.0 - 10.255.255.255) 对于 class B 网络是 172.26.0.0 (172.26.0.0 - 172.26.255.255)。这称为 class 完整寻址 "RFC 791"。但是,嘿,如果我想细分这些范围并在美国拥有一个子网,在欧洲拥有另一个子网怎么办? CIDR(无类域间路由)进入游戏。自 CIDR RFCs (https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) 以来,我们不再受限于 Classfull 限制。现在,我们可以随意细分(可变长度子网掩码或 VLSM)
AWS
在 AWS 上,您可以拥有一个 VPC,它是一个 VirtualPrivateCloud。它是一个独立的构造,具有自己的虚拟路由器和自己的私有(不是 Public!!)IP 范围(CIDR 范围)。它与一切完全隔离……就像您在卧室里安装交换机、路由器和计算机一样。您可以将 VPC 细分为更小的部分(可用区)。然后你将创建一个非重叠的 ip 地址,比方说,AZ1=10.0.1.0/24,AZ2=10.0.2.0/24,AZ3=10.0.3.0/24。你的路由器在卧室里……抱歉,VPC,你正在将这些区域互连在一起。比方说 AZ1=Web, AZ2=APP, AZ3=DB... 那么,如何才能将 AZ1 带入 Internet?您在 VPC 前面放置了一个 Internet 网关。现在 public IP 呢? AWS 有两种情况。 public IP 和 Elastic public IP...有什么区别?使用 public IP,IP 是针对您的实例,而不是您的帐户。弹性 IP 已绑定到您的帐户,这意味着您可以在 VPC 中的实例之间移动 public ip。两种变体都使用 NAT(NetworkAddressTranslation)...如您所知,您的实例上有一个私有 IP,因此,从 WWW 到达您的 public IP 的数据包在 Internet-GW 上转换为您的私有 IP .而已!有许多服务,如出口网关(仅 ipv6)、NAT 网关(如仅用于 ipv4 的出口)等等......您可以组合事物并构建自己的逻辑,但它会吹这个线程来解释一切。
还剩一个 thinig...您正在通过 nat/internet-gateway 从其他 VPC 到达 Public IP...但是,如果您真的想互连 2 个 VCP 怎么办?是的,这是可能的,但是不允许它们重叠 CIDR 范围! https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html
一个好的起点是:https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html
回答你的第三个问题: 每个客户(分别是每个 VPC)都可以拥有自己定义的私有范围。所以,是的,VPC 之间存在重叠的 IP。如果您想加入他们(VPC 对等),问题就从那里开始。 (未加入的)VPC 之间的唯一标识符是其中的 public IP,它们是唯一的! VPC 之间没有重叠
希望对你有所帮助
编辑: 当然他们没有使用物理的东西来创建 VPC,他们正在使用虚拟化网络组件(网络功能虚拟化 NFV)