Vpc e Ec2

Confronto con EC2 e VPC http://aws.amazon.com/vpc/faqs/

General Questions

Cos'è il Virtual Private Cloud (VPC):

una sezione isolata dove si possono lanciare risorse AWS in una virtual network isolata. Un possibile utilizzo della vpc è avere un server sulla parte pubblica che comunica sulla rete privata dove stanno le info riservate i db ecc.

Quali sono i componenti dell'amazon VPC:

(ho scritto solo quelle non ovvie)

  • Subnet : un segmento di un VPC dove si possono piazzare gruppi isolati di risorse.
  • VPN Gateway: the Amazon VPC side of a VPN Connection
  • Customer Gateway: Your side of a VPN Connection.
  • Router: Routers interconnect Subnets and direct traffic between Internet Gateways, VPN Gateways, NAT instances and Subnets.
  • NAT Instance: An EC2 instance that provides Port Address Translation for non-EIP instances to access the Internet via the Internet Gateway.
  • Hardware VPN Connection: a hardware-based VPN connection between your Amazon VPC and your datacenter, home network, or co-location facility.
  • VPN Gateway: the Amazon VPC side of a VPN Connection.
How do I get started with Amazon VPC? (Interessante)

To get started with Amazon VPC, sign up for Amazon EC2. After signing up, go to Amazon VPC on the AWS Management Console and click on the “Get Started Creating a VPC” button.

You’ll be presented with four basic options for network architectures. After selecting an option, you can modify the size and IP address range of the VPC and its subnets. If you select an option with Hardware VPN Access, you will need to specify the IP address of the VPN hardware on your network. You can modify the VPC to add more subnets or add or remove gateways at any time after the VPC has been created.

The four options are:

1. VPC with a Public Subnet Only
2. VPC with Public and Private Subnets
3. VPC with Public and Private Subnets and Hardware VPN Access
4. VPC with a Private Subnet Only and Hardware VPN Access

Differenze tra VPC e EC2

EC2 hanno sia ip interni che ip esterni. Quelli esterni forniscono connettività a internet, mentre gli ip interni permettono alle istanze di comunicare tra loro. In VPC le istanze hanno solo ip interni, per comunicare con internet si possono usare Elastic IP alle istanze. Le istanze con un EIP possono accedere ad internet con un NAT che si lancia sull'VPC

Billing

Differenze tra VPC e EC2

Non ci sono differenze di costi tra i due tipi di istanze. Per i clienti che connettono il loro datacenter con Hardware VPN Connection il prezzo è per connessione per ora. Le ore parziali sono fatturate come intere. Si paga anche la quantità di traffico sulla pagina c'è il link per i prezzi.

La connessione si paga quando la vpn è in uno stato disponibile, vi sono le api per determinarlo. C'è il link nella pagina sorgente per i prezzi.

Connectivity

Il vpc si può connettere tramite un internet gateway o tramite hardware vpn usando vpn gateway.

In un VPC le istanze si connettono ad internet tramite gli Elastic IP EIPs possono sia inviare che ricevere traffico non richiesto da internet.

Le istanze senza gli EIPs si connettono a internet in due modi.

  1. ruotando il traffico attraverso il nat ma solo in uscita in ingresso non possono ricevere connessioni
  2. attraverso il gateway vpn

Si può connettere un'istanza di vpc attraverso un software vpn di terze parti.

Si può connettere un hardware vpn alla vpn di amazon perchè quest'ultima utilizza ipsec. Nella pagina ci sono maggiori requisiti per fare questo.

Amazon non impone nessun limite al throughput della vpn. Ci sono delle utility in amazon che permetto di fare il debug per problemi di vpn maggiori dettagli nella pagina.

IP Addressing

Al momento al vpc non si possono usare indirizzi ipv6. Non si possono assegnare ip (mi sa pubblici) multipli a una macchina ma si possono assegnare quelli necessari a una vpn.

Al momento un vpc può essere grande tra i /28 e /16.
Per cambiare la dimensione del vpc bisogna terminarlo e crearne un altro.
Si possono creare al momento 20 subnet per vpc. La dimensione minima di una subnet è di /28 o 14 ip address, le subnet non possono essere più grandi del vpc in cui vengono create.
Per ogni subnet che si crea amazon si riserva i primi 4 e l'ultimo indirizzo per scopi di networking

Quando si lancia un'istanza viene chiesto l'ip se non lo si specifica lo metterà automaticamente amazon.
L'indirizzo ip privato per una istanza è associato permanentemente alla macchina per il suo ciclo di vita.
Un EIP sarà raggiungibile da internet e vengono raggiunti attraverso l'internet Gateway. Gli EIP non possono essere configurati sulle istanze in sottoreti configurati per usare nat per accedere ad internet.

Routing & Topology

Il percorso di routing per i vpc si può cambiare tranquillamente. Si possono istradare le subnets con i gateway nats ecc.
Amazon non supporta broadcast o multicast.

Security & Filtering

Ci sono i security group per il traffico in ingresso e in uscita sia per i VPC che per le istanze EC2. Il traffico che non viene esplicitamente permetto da e per una istanza viene automaticamente vietato.
In aggiunta ai security groups il traffico entrante e uscente da una subnet può essere vietato o permesso dalle ACLs.

I security groups in un vpc offrono delle caratteristiche che non sono presenti in altri gruppi.

  1. traffico in uscita: quale traffico è permesso iniziare in uscita
  2. supporto per tutti i protocolli: filtro per udp, tcp, icmp o qualsiasi altro protocollo specificato via nome o numero di protocollo.
  3. applicare le impostazioni di sicurezza alle istanze in running

Non si possono usare i security group di tipo non vpc in un vpc.

Ci sono alcune differenze tra i gruppi di sicurezza in un VCP e le ACL network in un VPC. I security group specificano quale traffico è permesso da e per una istanza Amazon EC2. Le acl network operano a livello di subnet e valutano il traffico che entra ed esce da una subnet. Le acl possono essere usate per permettere e negare regole. Le acl non filtrano traffico tra le istanze allo stesso livello di subnet. Inoltre le network acls eseguono un filtro di tipo stateless mentre i gruppi di sicurezza un di tipo stateful.

Con amazon vpc posso usare le coppie di chiavi ssh create per le amazon ec2 e viceversa.

Una istanza EC2 può comunicare con una VPC attraverso gli internet Gateway. Le istanze tra le varie regioni possono comunicare ma i gruppi di sicurezza non sono condivisi. Si devono usare gli ip pubblici.

Il ping tra al router nella propria vpc non è supportato. Tra istanze amazon ec2 e vpc è supportato se le policy di sicurezza lo permettono.

Amazon VPC & Amazon EC2

Un vpc si può dividere tra zone multiple america europa ecc. Ma una subnet deve stare nella stessa zona.
Quando si lancia una istanza ec2 si deve specificare la subnet nella quale l'istanza deve essere lanciata. E come detto prima una subnet deve stare in una zona.

Quando si crea una subnet si deve specificare in quale zona la si crea. Quando si usa il vpc wizard si deve selezionare la subnet . Quando si usa la api o il cli devi speficifare la zona e la subnet che hai creato. Se non si specifica la zona l'opzione di default "No Preference" verrà selezionato e la subnet crea in una zona disponibile.

Se le istanze si trovano in zone differenti verrà fatturato $0,01 per GB trasferito

Salvo diversa indicazione, il contenuto di questa pagina è sotto licenza Creative Commons Attribution-ShareAlike 3.0 License