Kubernetes CKA課程筆記 7
Virtual Private Cloud(VPC)
為了區隔其他AWS使用者隨意進入我們自己要定義的Resource(CPU/REM/空間等)
首先要用VPC先建立只有我們自己有權限進入的私人的Resource區塊
而VPC又是定義在指定的region(資料中心)內
所以首先要先選定region,在右上可以有選單選取離我們較近的日本資料中心
在比如東京的region下建立VPC:
進到
其中
一個region只配給一個VPC(就好像公司的內網空間)
用以區隔跟別的用戶的Resource
而每個region又可能有多個AZ(Availability Zone)
AZ就好像東京AWS資料中心切分的區塊
而我們的VPC則隨機的長在這些AZ上(圖像概念如下):
所以我自己帳號內的東京VPC
可能跟朋友帳號內的東京VPC住在同一個實體機台,但是不同私有網路
而VPC又能切分不同的sub-net(subnet)
上面所描述的region與VPC在大公司考量的Resource要求下可能就會很複雜
大公司可能會需要多個VPCs分布在不同region(可能是不同國家的資料中心)
原本公司地端的網路結構(Route,網路設定,防火牆...etc)若要遷移到Cloud
如AWS就要用VPC來控管
接著談到在VPC內建立的系統就會需要IP(就像公司私有網路的內部IP)
一個VPC對應的內部IP是一個Range
比如在裡面建立EC2 Instance,得到的內部私網IP就在這個Range內
注意,上面講的就像公司內網一樣,不是公開網路的IP位置
以供內部系統互相的溝通運作
而subnet則在把IP Range在做切分:
然而內部系統終將需要一個外部的IP,才能連到公開網路
其設定也是在VPC層級下的Internet Gateways設置:
而VPC的進入權限,或是VPC內建置的系統進入權限等管控...
等等就需要更多設定:
然而我們可能會需要自家筆電去對AWS做一些管理,需要開通一些通道
所以會需要:
- 設定進入subnet層級:NACL
- 設定進入instance層級:Security Group
