Безопасен ли пиринг VPC? Не используют ли пиринг VPC и частное соединение ни интернет-шлюз, ни какой-либо другой? Ссылка: - https://docs.amazonaws.cn/en_us/vpc/latest/userguide/vpc-peering.html
В чем разница между AWS VPC Private Link и VPC Peering?
Ответы (4)
Пиринг VPC позволяет установить соединение между двумя VPC. Это похоже на обычную маршрутизацию между сегментами сети.
VPC PrivateLink позволяет опубликовать "конечную точку", другие могут подключаться через свой собственный VPC. Это похоже на обычную конечную точку VPC, но вместо подключения к сервису AWS люди могут подключаться к вашей конечной точке. Думайте об этом как о способе публикации частной конечной точки API без необходимости выходить через Интернет.
В обоих случаях трафик через Интернет не проходит. Связь осуществляется напрямую между VPC.
Пиринг VPC vs
PrivateLink
Эти 2 развивались отдельно, но в последнее время оказались взаимосвязанными.
Пиринг VPC - применяется к VPC
PrivateLink - применяется к приложению / услуге
Используя VPC Peering, вы подключаете свой VPC к другому VPC. Оба владельца VPC участвуют в установке этого соединения. Когда один VPC (посещающий) хочет получить доступ к ресурсу другого (посещаемого), соединение не обязательно должно проходить через Интернет.
PrivateLink предоставляет удобный способ подключения к приложениям / службам по имени с дополнительной безопасностью. Вы настраиваете свое приложение / сервис в VPC как сервис на основе AWS PrivateLink (называемый сервисом конечной точки). AWS генерирует конкретное имя хоста DNS для службы. Другие участники AWS могут создать соединение с вашим сервисом конечной точки после того, как вы предоставите им разрешение.
Пиринг VPC + PrivateLink
С 7 марта 2019 г. приложения в VPC теперь могут безопасно получать доступ к конечным точкам AWS PrivateLink через пиринговые соединения VPC. К конечным точкам AWS PrivateLink теперь можно получить доступ как через внутрирегиональные, так и через межрегиональные пиринговые соединения VPC. Подробнее об этом
Примечания о пиринге VPC
Пиринг VPC позволяет ресурсам VPC, в том числе ... обмениваться данными друг с другом с использованием частных IP-адресов, без использования шлюзов, VPN-подключений или отдельных сетевых устройств. ... Трафик всегда остается в глобальной магистрали AWS и никогда не проходит через общедоступный Интернет
Межрегиональный пиринг VPC обеспечивает простой и экономичный способ совместного использования ресурсов между регионами или репликации данных для географической избыточности.
Примечания к службам конечных точек
При создании службы конечных точек VPC AWS генерирует имена хостов DNS для конкретных конечных точек, которые можно использовать для связи с этой службой. Эти имена включают идентификатор конечной точки VPC, имя зоны доступности и имя региона, например
vpce-1234-abcdev-us-east-1.vpce-svc-123345.us-east-1.vpce.amazonaws.com
. По умолчанию ваши потребители получают доступ к службе с этим DNS-именем.Когда вы создаете конечную точку, вы можете прикрепить к ней политику конечной точки, которая управляет доступом к связанной службе.
Политика конечной точки не отменяет и не заменяет пользовательские политики IAM или политики для конкретных служб (например, политики корзины S3). Это отдельная политика для управления доступом конечной точки к указанной службе.
Давайте разберемся в этом на примере реального использования
Предположим, у вас есть собственный VPC (созданный вами с использованием собственной учетной записи AWS), в котором у вас есть несколько экземпляров EC2, которые хотят связываться с экземплярами, запущенными в VPC вашего клиента - очевидно, этот VPC создается вашим клиентом с использованием его / ее учетной записи AWS - Используйте пиринг VPC для достижения этого требования к связи
Теперь представьте, что у вас есть СОБСТВЕННЫЙ VPC (созданный вами с использованием собственной учетной записи AWS) с запущенным в нем экземпляром EC2 и с использованием той же учетной записи AWS, в которой вы загрузили некоторые файлы в S3. И теперь ваш экземпляр EC2 хочет прочитать содержимое файла в S3.
В этом случае вы настроите конечную точку VPC, которая использует технологию PrivateLink - AWS PrivateLink позволяет получать частный доступ к службам, размещенным в сети AWS, с высокой доступностью и масштабируемостью, без использования общедоступных IP-адресов и без необходимости прохождения трафика через Интернет.
Надеюсь это поможет!
Пиринг VPC - это сервис AWS для облегчения связи между двумя VPC в одном или другом регионе. Я бы предпочел настроить пиринг VPC между двумя частными подсетями, чтобы экземпляры EC2 в частных подсетях могли подключаться друг к другу, как если бы они были частью одной сети.
VPC Private Link - это способ сделать вашу услугу доступной для множества потребителей. Вы можете раскрыть службу, и потребители смогут использовать ее, создав конечную точку для вашей службы.
Доступ к VPC как к услуге, предоставляемой AWS, можно получить через Интернет. Это не значит, что он не защищен. В консоли AWS вы можете настроить индивидуальную конфигурацию в соответствии с вашими требованиями к сетевой безопасности и сделать вашу сеть более безопасной.
AWS предоставляет множество функций, с помощью которых вы можете обезопасить свой VPC.
Более подробная информация представлена в статье ниже.
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html