Skip to main content

Networking

SG | EIP | ENI | EBS | VPC

Security Group

Security Group действует как виртуальный фаерволл для Amazon EC2 instances, AWS Lambda, AWS Elastic Load Balancing и контролирует входящий и исходящий трафик. При запуске инстанса вы можете указать одну или несколько Security Groups. Одна Security Group может применяться к разным инстансам. Security Group прикреплена к одному региону и одной VPC.

"Timeout" - Security Group Issue.

"Connection refused" - Application Issue.

Security Group регулирует:

  • Доступ к портам (Ports);
  • IP ренжи (IPv4 & IPv6);
  • Входящие (Inbound or ingress) правила контролируют входящий трафик к вашему инстансу (кому и как можно пользоваться инстансом), а исходящие (Outbound or egress) правила — исходящий трафик из вашего инстанса (кому и как инстанс что-то передает).
info

Security Groups can not be attached to SQS queues. Security Groups can not point to SQS queues.

Elastic IP & Private/Public

  1. Public (global) IP имеют доступ в Интернет, глобальную сеть - всегда уникальный адрес;
  2. Private (internal) IP не имеют доступ в Интернет, они доступны только внутри приватной сети - адрес должен быть уникальным внутри приватной сети. Устройства в приватной сети могут иметь доступ в Интернет через Network address translation (NAT) и Internet Gateway (Proxy);
  3. Elastic IP это IPv4 публичный адрес, который мы асайним за деньги на EC2 инстанс или на Network device, чтобы этот адрес был статическим, фиксированным. Цена вопроса $0.005/hour.
info

Когда EC2 инстанс останавливается и потом снова стартует, по умолчанию у него меняется Public IP.

warning

По умолчанию все аккаунты AWS ограничены на 5 Elastic IP в каждом Region.

Стоит избегать асайнов EIP, вместо этого заасайнить DNS на инстанс или Load Balancer и не использовать Public IP вовсе.

Elastic Network Interfaces (ENI)

Логический компонент в Virtual Private Cloud (VPC), который представляет собой виртуальную сетевую карту и дает возможность EC2 инстансам выход в сеть. Сетевой интерфейс с аттрибутами:

  • первичный Private IPv4 (eth0), с возможностью добавить вторичный ENI (eth1);
  • 1 Elastic IPv4 = 1 Private IP OR >= Public IPv4;
  • 1 или более прикрепленных Security Groups;
  • MAC (физический) адрес.

Failover (аварийное переключение) - при подобных случаях можно переключать по воздуху ENI на EC2 инстансах. Мы можем переместить один ENI (eth*) на одном EC2 инстансе на другой EC2 инстанс в одной AZ - мы перемещаем таким образом Private IP.

info

ENI привязан к своей AZ. Использование ENI в AWS бесплатно.

Virtual Private Cloud (VPC)

Virtual Private Cloud Изолированная виртуальная сеть, где можно выбирать собственный диапазон IP‑адресов, создавать подсети, а также настраивать таблицы маршрутизации и сетевые шлюзы. Можно создать общедоступную подсеть для своих веб-серверов с доступом к Интернету. Можно также поместить свои серверные системы, такие как базы данных или серверы приложений, в частную подсеть без доступа к Интернету.