Sollte ich Amazons AWS Virtual Private Cloud (VPC) verwenden?

HINWEIS: Neue Konten in AWS starten mit einer "Standard-VPC" aktiviert sofort, und "EC2-Classic" verfügbar. Als solche, dieses Frage-Antwort-macht weniger Sinn, jetzt als im August 2012. Ich gehe die Antwort ist, weil es hilft, frame Unterschiede zwischen "EC2-Classic" und die VPC-Produktlinie. Bitte sehen Amazon FAQ für mehr details.

Ja. Wenn Sie Sicherheit bewusst, eine schwere CloudFormation user, oder wollen die vollständige Kontrolle über autoskalierender (im Gegensatz zu Beanstalk, die abstrahiert bestimmte Facetten, aber immer noch gibt Ihnen vollständigen Zugang zu den scaling-Parameter), verwenden Sie eine VPC. Diese blog-post macht einen guten job der Zusammenfassung sowohl die vor-und Nachteile. Einige highlights aus dem blog-post (geschrieben von kiip.mir):

Was ist Falsch mit EC2?

Alle Knoten sind internet adressierbar. Dies macht nicht viel Sinn für nodes, die keinen Grund haben, zu existieren, auf die Globale internet. Zum Beispiel: ein Datenbank-Knoten sollten keine öffentlichen internet-hostname/IP.

Alle Knoten werden auf einem freigegebenen Netzwerk-und adressierbar sind, um einander. Das bedeutet, dass eine EC2-Knoten gestartet, indem ein Benutzer "Bob" zugreifen können EC2-Knoten gestartet von user "Fred." Beachten Sie, dass standardmäßig die Sicherheit der Gruppen zu verbieten, aber es ist ziemlich leicht rückgängig zu machen ist dieser Schutz, insbesondere bei der Verwendung benutzerdefinierter Gruppen.

Keine öffentliche vs private Schnittstelle. Selbst wenn Sie es wollte alle deaktivieren Verkehr auf den öffentlichen Hostnamen können Sie nicht. An die Netzwerk-interface-Ebene jede EC2-Instanz hat nur ein Netzwerk-interface. Öffentlichen Hostnamen und Elastic IP-Adressen weitergeleitet werden, die auf den "private" - Netzwerk.

Was ist Groß Über die VPC

In Erster Linie VPC bietet eine unglaubliche Menge an Sicherheit im Vergleich zu EC2. Knoten innerhalb einer VPC gestartet sind nicht adressierbar über das Globale internet, die von EC2 oder mit einem anderen VPC. Dies bedeutet nicht, Sie können vergessen, über die Sicherheit, aber es bietet eine viel saner Ausgangspunkt versus EC2. Darüber hinaus vereinfacht firewall-Regeln viel einfacher, da private Knoten können einfach sagen "zulassen, dass jeglicher Verkehr aus unserem privaten Netzwerk." Unsere Zeit, die vom Start einer Knoten-zu einer voll Laufenden web-server hat sich von 20 Minuten bis zu etwa 5 Minuten, allein durch die gesparte Zeit bei der Vermeidung der Vermehrung von firewall-änderungen um.

DHCP-option legt fest, lassen Sie den Namen der Domäne angeben, DNS-Server, NTP-Server, etc. dass neue Knoten verwendet wird, wenn Sie gestartet wurden innerhalb der VPC. Dies vereinfacht die Implementierung von benutzerdefinierten DNS-viel einfacher. In EC2-Sie haben zu Spinnen, bis ein neuer Knoten, ändern Sie die DNS-Konfiguration, dann starten Sie das Netzwerk-services, um den gleichen Effekt zu erzielen. Wir führen unsere eigenen DNS-server bei Kiip für die interne Knoten-Auflösung, und die DHCP-option sets machen, die schmerzlos (es macht einfach viel mehr Sinn zu geben-Ost-web-001 in Ihrem browser statt der 10.101.84.22).

Und schließlich VPC bietet einfach eine viel realistischere server-Umgebung. Während die VPC ist ein einzigartiges Produkt zu AWS und erscheint "sperren Sie in die" AWS das Modell, das VPC nimmt eher zu, wenn Sie beschlossen, zu laufen, Ihre eigenen dedizierten hardware. Mit diesem wissen im Vorfeld und dem Aufbau der realen Welt-Erfahrung, der es umgibt, wird von unschätzbarem Wert sein, wenn Sie benötigen, zu bewegen, um Ihre eigene hardware.

Post listet auch einige Schwierigkeiten mit dem VPC, die alle mehr oder weniger betreffen routing: Immer ein internet-gateway-oder NAT-instance aus der VPC die Kommunikation zwischen den VPCs, die Einrichtung eines VPN auf das Rechenzentrum. Diese kann sehr frustrierend sein, manchmal, und die Lernkurve ist nicht trivial. Alle die gleichen, die Sicherheits-Vorteile allein sind es vielleicht Wert, die bewegen, und Amazon unterstützen (wenn Sie bereit sind, dafür zu zahlen) ist sehr hilfreich, wenn es darum geht, VPC-Konfiguration.

InformationsquelleAutor der Antwort Christopher

Jetzt VPC ist der einzige Weg, um interne load-Balancer

InformationsquelleAutor der Antwort Delcasda

Wenn Sie RDS um Ihre Datenbank-Dienste, die Sie konfigurieren können DB-Sicherheitsgruppen zu erlauben Datenbank-verbindungen von einer bestimmten EC2-Sicherheitsgruppendann, auch wenn Sie dynamische IP-Adressen in Ihren EC2-cluster, das RDS wird automatisch erstellen Sie die firewall-Regeln ermöglichen verbindungen nur auf Ihre Instanzendie Verringerung der Vorteil eines VPS in diesem Fall.

VPS in der anderen hand ist ideal, wenn Sie Ihre EC2-Instanzen haben, um Zugang zu Ihrem lokalen Netzwerk, dann können Sie etablieren ein VPN-Verbindung zwischen Ihrem VPS und Ihrem lokalen Netzwerkdie Kontrolle der IP-Bereich, sub-Netzwerke, Routen und ausgehende firewall-Regeln, die ich denke, ist nicht, was Sie suchen.

Ich würde auch empfehlen, versucht die Elastic Beanstalkdas eine Konsole, die einfach zu setup für Ihre EC2-cluster für PHP, Java und .Net-Anwendungen, ermöglicht Auto ScalingElastic Load Balancer und die Automatische Anwendung der Versionierung, so dass Sie leicht rollback aus bad Bereitstellungen.

InformationsquelleAutor der Antwort Alessandro Oliveira