amazon ec2 - medicina - ¿Debo usar AWS Virtual Private Cloud(VPC) de Amazon?
vpc cisco (5)
Actualmente VPC tiene algunas ventajas útiles sobre EC2, tales como:
- múltiples NIC por instancia
- múltiples IP por NIC
- ''deny''-rules en grupos de seguridad
- Opciones de DHCP
- intervalos de IP internos predecibles
- mover NIC e IP internas entre instancias
- VPN
Es de suponer que Amazon actualizará EC2 con algunas de esas características también, pero actualmente solo son de VPC.
Actualmente se está mudando a Amazon EC2 desde otro proveedor de VPS. Tenemos sus necesidades típicas de servidor web / servidor de base de datos. Servidores web frente a nuestros servidores de bases de datos. Los servidores de bases de datos no son accesibles directamente desde Internet.
Me pregunto si hay alguna razón para colocar estos servidores en una nube privada virtual (VPC) de AWS en lugar de simplemente crear instancias y usar grupos de seguridad para protegerlos.
No estamos haciendo nada sofisticado solo una aplicación web típica.
¿Alguna razón para usar una VPC o no usar una VPC?
Gracias.
En este momento VPC es la única forma de tener balanceadores de carga internos
Las VPC son útiles si su aplicación necesita acceder a servidores fuera de EC2, por ejemplo, si tiene un servicio común alojado en su propio centro de datos físico y no accesible a través de Internet. Si va a poner todos sus servidores web y DB en EC2, no hay ninguna razón para usar VPC.
NOTA: Las cuentas nuevas en AWS se inician con una "VPC predeterminada" habilitada de inmediato, y hacen que "EC2-Classic" no esté disponible. Como tal, esta pregunta y respuesta tiene menos sentido ahora que en agosto de 2012. Dejo la respuesta tal como está, porque ayuda a enmarcar las diferencias entre "EC2-Classic" y la línea de productos VPC. Consulte las preguntas frecuentes de Amazon para obtener más detalles.
Sí. Si eres consciente de la seguridad, un gran usuario de CloudFormation o quieres tener un control total sobre la autoescala (a diferencia de Beanstalk, que abstrae ciertas facetas del mismo pero aún te da acceso completo a los parámetros de escalado), utiliza una VPC. Esta publicación de blog hace un gran trabajo resumiendo tanto los pros y los contras. Algunos aspectos destacados de la publicación del blog (escrita por kiip.me ):
¿Qué está mal con EC2?
Todos los nodos son direccionables por internet. Esto no tiene mucho sentido para los nodos que no tienen ninguna razón para existir en Internet global. Por ejemplo: un nodo de base de datos no debe tener ningún nombre de host / IP público de Internet.
Todos los nodos están en una red compartida, y son direccionables entre sí. Eso significa que un nodo EC2 lanzado por un usuario "Bob" puede acceder a cualquiera de los nodos EC2 lanzados por un usuario "Fred". Tenga en cuenta que de forma predeterminada, los grupos de seguridad no permiten esto, pero es bastante fácil deshacer esta protección, especialmente cuando se usa grupos de seguridad
Sin interfaz público vs privado. Incluso si desea deshabilitar todo el tráfico en el nombre de host público, no puede. En el nivel de interfaz de red, cada instancia EC2 solo tiene una interfaz de red. Los nombres de host públicos y las direcciones IP elásticas se enrutan a la red "privada".
Lo bueno de la VPC
En primer lugar, VPC proporciona una increíble cantidad de seguridad en comparación con EC2. Los nodos lanzados dentro de una VPC no son direccionables a través de Internet global, EC2 o cualquier otra VPC. Esto no significa que pueda olvidarse de la seguridad, pero proporciona un punto de partida mucho más seguro que EC2. Además, hace que las reglas de firewall sean mucho más fáciles, ya que los nodos privados pueden decir "permitir cualquier tráfico desde nuestra red privada". Nuestro tiempo desde el lanzamiento de un nodo hasta tener un servidor web completamente operativo ha pasado de 20 minutos a alrededor de 5 minutos, debido al tiempo ahorrado para evitar la propagación de los cambios del cortafuegos.
Los conjuntos de opciones de DHCP le permiten especificar el nombre de dominio, los servidores DNS, los servidores NTP, etc. que los nuevos nodos usarán cuando se los inicie dentro de la VPC. Esto hace que implementar DNS personalizado sea mucho más fácil. En EC2, debe girar un nuevo nodo, modificar la configuración de DNS y luego reiniciar los servicios de red para obtener el mismo efecto. Ejecutamos nuestro propio servidor DNS en Kiip para la resolución interna de nodos, y los conjuntos de opciones DHCP lo hacen sin problemas (tiene mucho más sentido escribir east-web-001 en su navegador en lugar de 10.101.84.22).
Y finalmente, VPC simplemente proporciona un entorno de servidor mucho más realista. Si bien VPC es un producto exclusivo de AWS y parece "encerrarlo" en AWS, el modelo que toma VPC es más similar si decidió comenzar a ejecutar su propio hardware dedicado. Tener este conocimiento de antemano y construir la experiencia del mundo real que lo rodea será de gran valor en caso de que necesite trasladarse a su propio hardware.
La publicación también enumera algunas dificultades con la VPC, todas las cuales se relacionan más o menos con el enrutamiento: obtener una puerta de enlace de Internet o una instancia de NAT fuera de la VPC, comunicarse entre VPC y configurar una VPN para su centro de datos. Esto puede ser bastante frustrante a veces, y la curva de aprendizaje no es trivial. De todos modos, las ventajas de seguridad por sí solas probablemente valgan la pena, y el soporte de Amazon (si está dispuesto a pagarlo) es extremadamente útil cuando se trata de la configuración de VPC.
Si elige RDS para proporcionar sus servicios de base de datos, puede configurar grupos de seguridad de base de datos para permitir conexiones de bases de datos de un grupo de seguridad EC2 determinado, incluso si tiene direcciones IP dinámicas en su clúster EC2, el RDS creará automáticamente las reglas de firewall para permitir conexiones solo desde sus instancias , lo que reduce el beneficio de un VPS en este caso.
Por otro lado, VPS es excelente cuando sus instancias EC2 tienen que acceder a su red local, luego puede establecer una conexión VPN entre su VPS y su red local , controlando el rango de IP, las subredes, las rutas y las reglas del firewall saliente, lo que creo no es lo que estás buscando.
También recomendaría probar Elastic Beanstalk , que proporcionará una consola que facilita la configuración de su clúster EC2 para aplicaciones PHP, Java y .Net, lo que permite escalado automático , Elastic Load Balancer y control automático de versiones de aplicaciones, lo que permite una fácil reversión de malas implementaciones .