شنومك | شنومك | 20

ما هي عناصر الشبكات التي تدخل في AWS VPC؟

في هذا المنشور ، نريد أن نقدم لك جميع مكونات الشبكات التي تعد جزءًا من Amazon Web Services (AWS). سنلقي نظرة فاحصة على كل عنصر ، وماذا يفعل وكيف يناسب البنية التحتية العامة. نأمل أن يجيب على بعض أسئلتك ، ومن خلال فهم أفضل ، سوف تميل إلى استخدام هذه الخدمات.

قبل أن ندخل في جميع التفاصيل ، نود التأكيد على أن التصميم الجيد للشبكة هو أساس للبنية التحتية لمركز البيانات في مكان العمل. الأمر نفسه ينطبق على بيئة السحابة (post أفضل ممارسات تصميم الشبكات من 10 للبنية التحتية الخاصة بك). نود أيضًا أن نثير أننا نركز فقط على جانب الشبكات والأمان في AWS ؛ أي خدمات أخرى خارج نطاق هذه المدونة.

ما هو Amazon VPC؟

تمكنك Amazon Virtual Private Cloud (Amazon VPC) من تشغيل موارد AWS في شبكة افتراضية قمت بتحديدها. تشبه هذه الشبكة الافتراضية إلى حد كبير الشبكة التقليدية التي ستعملها في مركز البيانات الخاص بك ، مع مزايا استخدام البنية التحتية القابلة للتطوير لـ AWS.

VPC - شبكة افتراضية مخصصة لحساب AWS الخاص بك ، حيث يمكنك تشغيل شبكات متعددة وعزلها عن بعضها البعض لتحسين الأمان والامتثال. قم بتوصيل مركز البيانات المحلي الخاص بك وتشغيل حلول الشبكة الهجينة. الحل القابل للتطوير والمرن تمامًا لتحسين عمليات عملك.

ما هي منطقة AWS؟

لدى AWS مفهوم المنطقة ، وهو موقع مادي حول العالم حيث نقوم بتجميع مراكز البيانات. نحن نطلق على كل مجموعة من مراكز البيانات المنطقية منطقة توافر الخدمات. تتكون كل منطقة من مناطق AWS من مناطق AZ متعددة ومعزولة ومنفصلة ماديًا داخل منطقة جغرافية. على عكس مزودي الخدمات السحابية الآخرين ، الذين غالبًا ما يعرّفون المنطقة على أنها مركز بيانات واحد ، فإن تصميم AZ المتعدد لكل منطقة AWS يوفر مزايا للعملاء. تتمتع كل منطقة من مناطق الجذب بطاقة مستقلة وتبريد وأمنًا ماديًا متصلًا عبر شبكات زائدة عن الحاجة ذات زمن انتقال منخفض للغاية. يمكن لعملاء AWS الذين يركزون على التوافر العالي تصميم تطبيقاتهم لتشغيل العديد من مناطق التوفر لتحقيق قدر أكبر من التسامح مع الأخطاء. تلبي مناطق البنية التحتية لـ AWS أعلى مستويات الأمان والامتثال وحماية البيانات.

توفر AWS بصمة عالمية أكثر شمولاً من أي مزود سحابي آخر. لدعم تواجدها العالمي وضمان خدمة العملاء في جميع أنحاء العالم ، تفتح AWS مناطق جديدة بسرعة. تحتفظ AWS بمناطق جغرافية متعددة ، بما في ذلك مناطق في أمريكا الشمالية وأمريكا الجنوبية وأوروبا والصين وآسيا والمحيط الهادئ وجنوب إفريقيا والشرق الأوسط.

مناطق AWS العالمية

مناطق التوفر

منطقة توافر الخدمات (AZ) هي مركز بيانات منفصل مع طاقة زائدة وشبكات واتصال في منطقة AWS. تمنح AZ للعملاء القدرة على تشغيل تطبيقات الإنتاج وقواعد البيانات المتاحة بدرجة كبيرة ، وتتحمل الأخطاء ، وقابلة للتطوير مما هو ممكن من مركز بيانات واحد. جميع مناطق AZ في منطقة AWS مترابطة مع النطاق الترددي العالي ، والشبكات ذات زمن الاستجابة المنخفض ، عبر الألياف المترو الزائدة عن الحاجة والمخصصة التي توفر إنتاجية عالية ، وشبكات بزمن انتقال منخفض بين مناطق AZ. كل حركة المرور بين AZ's مشفرة. أداء الشبكة كافٍ لإنجاز النسخ المتماثل المتزامن بين AZ's. يجعل AZ's تقسيم التطبيقات من أجل التوافر العالي أمرًا سهلاً. إذا تم تقسيم التطبيق عبر مناطق AZ ، فإن الشركات تكون معزولة ومحمية بشكل أفضل من مشكلات مثل انقطاع التيار الكهربائي وضربات الصواعق والأعاصير والزلازل وغير ذلك. يتم فصل AZ فعليًا بمسافة ذات معنى ، عدة كيلومترات ، من أي AZ أخرى ، على الرغم من أن جميعها تقع على بعد 100 كيلومتر (60 ميلاً) من بعضها البعض.

توافر عالية

على عكس مزودي البنية التحتية للتكنولوجيا الآخرين ، فإن كل منطقة من مناطق AWS لديها العديد من مناطق AZ. كما تعلمنا من تشغيل النظام الأساسي الرائد لتكنولوجيا البنية التحتية السحابية منذ عام 2006 ، فإن العملاء المهتمين بتوافر تطبيقاتهم وأدائها يرغبون في نشر هذه التطبيقات عبر مناطق AZ المتعددة في نفس المنطقة للتسامح مع الأخطاء وزمن الاستجابة المنخفض. تتصل AZ بشبكات الألياف الضوئية السريعة والخاصة ، مما يتيح لك تصميم التطبيقات بكفاءة والتي تتخطى تلقائيًا بين AZ دون انقطاع.

يتم توزيع مستوى التحكم في AWS (بما في ذلك واجهات برمجة التطبيقات) ووحدة الإدارة في AWS عبر مناطق AWS ويستخدمان بنية مناطق AZ متعددة داخل كل منطقة لتوفير المرونة وضمان التوافر المستمر. هذا يضمن أن العملاء يتجنبون الاعتماد على خدمة مهمة في مركز بيانات واحد. يمكن لـ AWS إجراء أنشطة الصيانة دون جعل أي خدمة حيوية غير متاحة مؤقتًا لأي عميل.

الشبكة / الشبكات الفرعية

أساسيات VPC والشبكة الفرعية

السحابة الخاصة الافتراضية (VPC) هي شبكة افتراضية مخصصة لحساب AWS الخاص بك. يتم عزله منطقياً عن الشبكات الافتراضية الأخرى في سحابة AWS. يمكنك تشغيل موارد AWS الخاصة بك ، مثل مثيلات Amazon EC2 ، في VPC الخاص بك.

عند إنشاء VPC ، يجب عليك تحديد نطاق من عناوين IPv4 لـ VPC في شكل كتلة التوجيه بين المجالات (CIDR) دون فئات ؛ فمثلا، 10.0.0.0/16.

تجزئة الشبكة

على الرغم من حصولك على شبكة ./16 داخل VPC الخاص بك ، فلا شيء يحتاج إلى عنوان IP زائد 65 ألفًا ، ولا حتى FTSE 100 Global Enterprise business. بقول ذلك ، من الجيد أن يكون لديك المزيد من عناوين IP حيث يمكنك تقسيمها إلى شبكات فرعية أصغر بكثير - ./24 ، على سبيل المثال ، تمنحك 250 عنوان IP زائدًا. هذه نملة مهمة يجب تحديدها بوضوح من البداية. سيساعدك التصميم الجيد على نشر الخدمات التي تحتاجها وعزلها ؛ خوادم الويب والتطبيقات وقواعد البيانات وغيرها. هناك عنصر أساسي آخر وهو عدم وجود نفس نطاقات الشبكة في السحابة والشبكة المحلية لأن هذا قد يتسبب في حدوث تعارضات في المستقبل.

الشبكات الفرعية الخاصة

بصراحة ، لا توجد شبكات فرعية خاصة أو عامة. يستخدم المصطلح لوصف - الشبكات الفرعية الخاصة. هذه الشبكات المعزولة وليس لديها وصول إلى الإنترنت أو الوصول من الإنترنت غير مسموح بها لهذه الشبكات الفرعية / الشبكات. على الأرجح ، ستكون قاعدة البيانات الخاصة بك على تلك الشبكات والخدمات الآمنة الأخرى.

الشبكات الفرعية العامة

يسمح بحركة المرور وتصفيتها من الإنترنت إلى الشبكات الفرعية / الشبكات العامة. يمتلك المضيفون داخل هذه الشبكات عناوين IP خاصة ، ويمكن توجيه الوصول عبر بوابات الإنترنت وما يرتبط بها من عناوين IP العامة (تخصيص IP المرن)

كيف نقدم شبكات البيانات والبنية التحتية الإلكترونية الآمنة؟ | v500 أنظمة

عزل الشبكات

للتحكم الإضافي في الوصول إلى الشبكة ، يمكنك تشغيل مثيلات قاعدة البيانات في Amazon VPC. يمكّنك Amazon VPC من عزل مثيلات DB الخاصة بك عن طريق تحديد نطاق IP الذي ترغب في استخدامه والاتصال بالبنية التحتية الحالية لتكنولوجيا المعلومات من خلال IPsec VPN المشفرة وفقًا لمعايير الصناعة. يتيح لك تشغيل Amazon RDS في VPC الحصول على مثيل DB داخل شبكة فرعية خاصة. يمكنك أيضًا إعداد بوابة افتراضية خاصة تعمل على توسيع شبكة شركتك إلى VPC الخاص بك وتسمح بالوصول إلى مثيل RDS DB في VPC هذا.

بالنسبة لعمليات النشر متعدد الأوجه ، فإن تحديد شبكة فرعية لجميع مناطق التوفر في منطقة ما سيسمح لـ Amazon RDS بإنشاء وضع استعداد جديد في منطقة توفر أخرى إذا دعت الحاجة إلى ذلك. يمكنك إنشاء مجموعات DB Subnet Groups من الشبكات الفرعية التي قد ترغب في تعيينها لمثيلات RDS DB في VPC. يجب أن تحتوي كل مجموعة شبكة فرعية في قاعدة البيانات على شبكة فرعية واحدة على الأقل لكل منطقة توفر في منطقة معينة. في هذه الحالة ، عند إنشاء مثيل DB في VPC ، يمكنك تحديد مجموعة DB Subnet Group ؛ ثم تستخدم Amazon RDS مجموعة DB الفرعية ومنطقة التوفر المفضلة لديك لتحديد شبكة فرعية وعنوان IP داخل تلك الشبكة الفرعية. تنشئ Amazon RDS وتقرن واجهة شبكة مرنة بمثيل قاعدة البيانات الخاص بك بعنوان IP هذا.

يمكن الوصول إلى مثيلات DB المنشورة داخل Amazon VPC من الإنترنت أو مثيلات Amazon EC2 خارج VPC عبر VPN أو مضيفات الأساس التي يمكنك تشغيلها في شبكتك الفرعية العامة. لاستخدام مضيف أساسي ، ستحتاج إلى إعداد شبكة فرعية عامة بمثيل EC2 يعمل بمثابة حصن SSH. يجب أن تحتوي هذه الشبكة الفرعية العامة على بوابة إنترنت وقواعد توجيه تسمح بتوجيه حركة المرور عبر مضيف SSH ، والذي يجب عليه بعد ذلك إعادة توجيه الطلبات إلى عنوان IP الخاص لمثيل Amazon RDS DB.

يمكن استخدام مجموعات أمان قاعدة البيانات للمساعدة في تأمين مثيلات قاعدة البيانات داخل Amazon VPC. إلى جانب ذلك ، يمكن السماح بحركة مرور الشبكة التي تدخل وتخرج من كل شبكة فرعية عبر قوائم ACL للشبكة. يمكن فحص جميع حركات مرور الشبكة التي تدخل أو تخرج من Amazon VPC عبر اتصال IPsec VPN الخاص بك من خلال البنية التحتية الأمنية المحلية ، بما في ذلك جدران حماية الشبكة وأنظمة كشف التسلل.

مجموعات الأمان لـ VPC الخاص بك

مجموعة الأمان يعمل كجدار حماية افتراضي للمثيل الخاص بك للتحكم في حركة المرور الواردة والصادرة. عند تشغيل مثيل في VPC ، يمكنك تعيين خمس مجموعات أمان للمثيل. تعمل مجموعات الأمان على مستوى المثيل ، وليس على مستوى الشبكة الفرعية. لذلك ، يمكن تعيين كل مثيل في شبكة فرعية في VPC الخاص بك إلى مجموعة مختلفة من مجموعات الأمان.

إذا قمت بتشغيل مثيل باستخدام Amazon EC2 API أو أداة سطر أوامر ولم تحدد مجموعة أمان ، فسيتم تعيين المثيل تلقائيًا إلى مجموعة الأمان الافتراضية لـ VPC. إذا قمت بتشغيل مثيل باستخدام وحدة تحكم Amazon EC2 ، فلديك خيار لإنشاء مجموعة أمان جديدة ، على سبيل المثال.

لكل مجموعة أمان تضيفها القواعد التي تتحكم في حركة المرور الواردة إلى المثيلات ومجموعة منفصلة من القواعد التي تتحكم في حركة المرور الصادرة. يصف هذا القسم الأشياء الأساسية التي تحتاج إلى معرفتها حول مجموعات الأمان الخاصة بـ VPC وقواعدها.

قائمة التحكم في الوصول إلى الشبكة (NACL)

تعد قائمة التحكم في الوصول إلى الشبكة (NACL) طبقة أمان اختيارية لـ VPC الخاص بك والتي تعمل كجدار حماية للتحكم في حركة المرور داخل وخارج شبكة فرعية واحدة أو أكثر. يمكنك إعداد قوائم ACL للشبكة بقواعد مشابهة لمجموعات الأمان الخاصة بك لإضافة طبقة أمان إلى VPC الخاص بك.

يقوم NACL ببعض التصفية بين الشبكات. ومع ذلك ، نوصي بشدة بنشر جدار حماية من الجيل التالي ، مثل Palo Alto ، لإجراء فحص دقيق لجميع الطبقات 7x داخل البنية التحتية لـ VPC ، ناهيك عن حركة المرور من الإنترنت.

المزيد حول جدران الحماية من الجيل التالي ، منشور مخصص حول هذا الموضوع

التحكم في التوجيه

جدول الطريق - تُستخدم مجموعة من القواعد ، تسمى المسارات ، لتحديد الوجهة التي يتم توجيه حركة مرور الشبكة إليها.

يمنحك طريقة دقيقة حيث يمكن أن تذهب حركة المرور أو تؤثر على حركة المرور ، وهي مفيدة جدًا في الفصل بين الشبكات الخاصة.

بوابة الإنترنت

بوابة الإنترنت عبارة عن مكون VPC تم تغيير حجمه أفقيًا وفائض عن الحاجة ومتوفر بدرجة عالية ويسمح بالاتصال بين VPC لديك والإنترنت.

تخدم بوابة الإنترنت غرضين: توفير هدف في جداول توجيه VPC لحركة المرور القابلة للتوجيه عبر الإنترنت وإجراء ترجمة عنوان الشبكة (NAT) للحالات التي تم تعيين عناوين IPv4 العامة لها.
بخلاف NAT Gateway ، ستسمح Internet Gateway بالمرور إلى مثيلاتك في VPC من الإنترنت.

بوابات الإنترنت فقط

بوابة الإنترنت الخاصة بالخروج فقط عبارة عن مكون VPC متدرج أفقيًا وفائض عن الحاجة ومتوفر بدرجة عالية يسمح بالاتصال الخارجي عبر IPv6 من المثيلات الموجودة في VPC إلى الإنترنت. يمنع الإنترنت من بدء اتصال IPv6 مع مثيلاتك.

خدمة مستمرة 99.999٪ للبنية التحتية للشبكة

بوابة NAT

يمكنك استخدام بوابة ترجمة عنوان الشبكة (NAT) لتمكين الطبعات في شبكة فرعية خاصة للاتصال بالإنترنت أو بخدمات AWS الأخرى مع منع الإنترنت من بدء الاتصال بهذه المثيلات. بمعنى آخر ، سيتم رفض الجلسة التي تبدأ من مضيف على الإنترنت.
هذه الوظيفة مفيدة إذا كنت تريد الخوادم -> مثيلات في شبكة آمنة / مقيدة للحصول على تحديثات الأمان والتصحيحات وتحديثات مكافحة الفيروسات ليتم جلبها من الإنترنت.
إذا كنت ترغب في فهم المزيد عن NAT'ing ، يرجى قراءة المنشور المخصص لهذا الموضوع.

عنوان IP مرن

An عنوان IP مرن هو عنوان IPv4 ثابت مصمم للحوسبة السحابية الديناميكية. باستخدام عنوان IP المرن ، يمكنك إخفاء مثيل أو فشل برنامج عن طريق إعادة تعيين العنوان بسرعة إلى مثيل آخر في حسابك. يتم تخصيص عنوان IP المرن لحساب AWS الخاص بك وهو ملكك حتى تقوم بتحريره.

عنوان IP المرن هو عنوان IPv4 عام يمكن الوصول إليه من الإنترنت. إذا كان المثيل الخاص بك لا يحتوي على عنوان IPv4 عام ، فيمكنك إقران عنوان IP المرن بالمثيل الخاص بك لتمكين الاتصال بالإنترنت. على سبيل المثال ، يتيح لك هذا الاتصال بالمثيل الخاص بك من جهاز الكمبيوتر المحلي الخاص بك.

لا تدعم AWS حاليًا عناوين IP المرنة لـ IPv6.

اتصالات VPN بسحابة AWS - VPC

AWS Site-to-Site VPN

يمكنك إنشاء اتصال IPsec VPN بين VPC الخاص بك وشبكتك البعيدة. توفر البوابة الخاصة الافتراضية أو بوابة العبور نقطتي نهاية VPN (أنفاق) لتجاوز الفشل تلقائيًا على جانب AWS لاتصال Site-to-Site VPN. تقوم بتكوين ملف جهاز بوابة العميل على الجانب البعيد من اتصال Site-to-Site VPN.

AWS Client VPN

AWS Client VPN هي خدمة VPN مُدارة قائمة على العميل تمكّنك من الوصول إلى موارد AWS أو شبكتك المحلية بأمان. باستخدام AWS Client VPN ، يمكنك تكوين نقطة نهاية يمكن للمستخدمين الاتصال بها لإنشاء جلسة TLS VPN آمنة. يتيح ذلك للعملاء الوصول إلى الموارد في AWS أو في أماكن العمل من أي مكان باستخدام عميل VPN قائم على OpenVPN.

AWS VPN CloudHub

إذا كان لديك أكثر من شبكة بعيدة واحدة (على سبيل المثال ، مكاتب فرعية متعددة) ، فيمكنك إنشاء اتصالات VPN متعددة من موقع إلى موقع من AWS عبر بوابتك الخاصة الافتراضية لتمكين الاتصال بين هذه الشبكات.

جهاز VPN لبرامج الطرف الثالث

يمكنك إنشاء اتصال VPN بالشبكة البعيدة الخاصة بك باستخدام مثيل Amazon EC2 في VPC الخاص بك الذي يقوم بتشغيل جهاز VPN لبرنامج طرف ثالث. لا توفر AWS أو تحتفظ بأجهزة VPN لبرامج الجهات الخارجية ؛ ومع ذلك ، يمكنك الاختيار من بين مجموعة من المنتجات التي يقدمها الشركاء والمجتمعات مفتوحة المصدر.

أنظمة v500 | بلوق | البنية التحتية المركزية للتطبيق

هل أنت على استعداد للبدء؟

اتصل بنا للحصول على مزيد من المعلومات حول البنية التحتية السحابية ؛ يمكننا الإجابة على جميع أسئلتك.
اتصل بنا >>>

 

يرجى قراءة منشوراتنا الأخرى المتعلقة بالخدمات السحابية.

حالة الحوسبة السحابية والشبكات الهجينة

حلول الشبكات السحابية

ما هي طرق توصيل الشبكة المحلية بـ AWS Cloud؟

الشبكة كخدمة (NaaS) ، لتوسيع خياراتك!

أفضل ممارسات تصميم الشبكات من 10 للبنية التحتية الخاصة بك

ذات المواد

شنومك | شنومك | 20

بلوكباستر مقابل نيتفليكس

Blockbuster - لم يفهم التكنولوجيا. في بدايتها ، كانت "Blockbuster" واحدة من أكثر العلامات التجارية شهرة في العالم ، مع أكثر من 5,000 متجر للتأجير في الولايات المتحدة وحدها وأكثر من 84,000 موظف في عام 2004. على الرغم من توفر الموارد والتمويل ، فقد تقدموا بطلب للإفلاس في عام 2010. المنظمات التي لا تستخدم أو تخطط لاستخدام [...]
شنومك | شنومك | 08

كيفية جعل مراجعة المستندات القانونية أقل تكلفة

غالبًا ما تقوم شركات المحاماة والفرق القانونية للشركات بالاستعانة بمصادر خارجية لمقدمي الخدمات الخارجيين لاستخراج بيانات العقود من محافظ عقودهم للحصول على رؤى قابلة للتنفيذ
شنومك | شنومك | 04

الأتمتة في Cloud Platform

يمتلك الذكاء الاصطناعي القدرة على زيادة كفاءة صناعاتنا بشكل كبير مع تعزيز الوظيفة التي يمكن للبشر إنجازها. عندما يتولى الذكاء الاصطناعي مهام عادية أو خطيرة ، فإنه يحرر العامل البشري ليكون مبدعًا
شنومك | شنومك | 15

تجلس شركات المحاماة على أطنان من البيانات غير المهيكلة ، غير مدركة لمنجم الذهب الذي تمتلكه!

تتوقع أبحاث Gartner أن حجم البيانات في العالم سينمو بنسبة 800٪ خلال السنوات الخمس المقبلة ، وأن ما يصل إلى 80٪ من تلك البيانات ستكون غير منظمة تمامًا. الآن هناك طريقة أكثر ذكاءً لأداء هذه المهمة - القراءة والفهم.