前言
撰寫本文章時候,我是PIXNET的員工。
簡介
有關於Amazon Web Service(AWS)的應用,已經滿地開花,本文就不再詳述,這篇文章重點是來介紹VPC與環境建立。用過EC2都知道,連入EC2需要花一些功夫,當你機器一多時候,或是量一來的時候,如果沒有適當的工具來協助通常都會手忙腳亂。如果你還有自已的Data Center,與EC2上機器交換資料時,還要考慮加密傳輸這件事,還有一堆會讓SA想殺人的事….(下略300字)。
Amazon Virtual Private Cloud (Amazon VPC) lets you provision a private, isolated section of the Amazon Web Services (AWS) Cloud where you can launch AWS resources in a virtual network that you define.
Amazon是這麼介紹的,白話一點說法就是,「把雲拉進來家裡」(誤)。
基本需求
目前(2012/02)哪些服務可以透過VPC存取:
- EC2
- RDS
- S3(我還沒找到怎麼連)
- SimpleDB
跑VPC的基本需求,想要省錢(土炮)出來的軟體或設備一定要能跑IPSec與BGP:
- Establish IKE Security Association using Pre-Shared Keys
- Establish IPsec Security Associations in Tunnel mode
- Utilize the AES 128-bit encryption function
- Utilize the SHA-1 hashing function
- Utilize Diffie-Hellman Perfect Forward Secrecy in “Group 2” mode
- Establish Border Gateway Protocol (BGP) peerings
- Bind tunnels to logical interfaces (route-based VPN)
- Utilize IPsec Dead Peer Detection
- Perform packet fragmentation prior to encryption
如果對上述VPN/路由協定不熟,沒關係,花錢最快,買硬體式的IPSec VPN。
AWS還提供設定範本給你直接貼上使用。以下紅字部分是我有實際測試過的:
- Astaro Security Gateway running version 8.3 (or later)
- Astaro Security Gateway Essential Firewall Edition running version 8.3 (or later)
- Cisco ISR running Cisco IOS 12.4 (or later) software
- Juniper J-Series Service Router running JunOS 9.5 (or later) software
- Juniper SRX-Series Services Gateway running JunOS 9.5 (or later) software
- Juniper SSG running ScreenOS 6.1, or 6.2 (or later) software
- Juniper ISG running ScreenOS 6.1, or 6.2 (or later) software
- Yamaha RTX1200 router
網路架構
怎麼透過VPC把上述服務拉進來自已的網路呢?在Scenarios for Using Amazon VPC裡面提到四個場景,如果用硬體式的VPN就是後面兩種啦,裡面都有詳細的介紹。以目前的需求,我是選用Scenario 3: VPC with Public and Private Subnets and Hardware VPN Access。
需要注意的事情:
- Public Subnet的機器需要有EIP,才能從Internet連入。
- Public Subnet無法透過VPC連到你的Data Center。
- Private Subnet的機器,只能連到Public Subnet與Data Center的機器。
- 若要連外需在Public Subnet架設NAT server。
- 或是透過VPC連回Data Center(Server Fram)的網路/Proxy連外。
- Public Subnet不能使用ELB。
架構圖如下:
