超级会员免费看
AWS网络安全与微分段:子网和VPC的深入解析
1. 网络微分段的两阶段策略
要实现隔离设计,最佳方式是先使用VPC或子网隔离微服务域,再用特定工具连接合法的微服务。网络微分段可通过以下两个阶段实现:
- 阶段1:隔离 :在网络层根据微服务所属的业务域对其进行划分和隔离。后续会介绍在AWS上创建网络分区的工具,此阶段的目标是按业务域和边界上下文隔离服务。
- 阶段2:连接 :识别并连接需要合法跨域通信的服务,确保阶段1的网络隔离不影响服务工作。由于通信链路易受威胁,此阶段需为网络间链路添加安全控制。
2. 子网相关知识
2.1 子网概述
AWS上的子网与传统网络堆栈中的子网类似,可将云内的IP地址空间分割成更小的块,属于软分区。子网不能跨可用区(AZ),隔离程度不如VPC,但能很好地对服务进行分组,便于应用安全控制。
在AWS中,子网是AZ级别的分区,每个子网必须位于单个AZ内,使用CIDR表示法声明,指定特定范围内可存在于该子网的所有IP。例如,CIDR为192.168.0.0/24的子网包含从192.168.0.1到192.168.0.254的所有IP(每个块的第一个和最后一个IP地址保留)。可在互联网上找到“子网计算器”或“CIDR计算器”等工具来计算和创建IPv4子网CIDR块。
不同账户中同名的AZ可能不在同一位置,设计端点服务时易造成混淆,因此跨账户不应使用AZ名称进行引用。一个AZ可包含一个或多个子网,为确保服务部署到特定AZ,应将其部署到该AZ内的子网。若要保持高可用性,大多数服务应至少部署到两个AZ(
订阅专栏 解锁全文
扫一扫
970
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
