Dois-je utiliser le nuage privé virtuel (VPC) AWS d'Amazon ?

Question

Je passe actuellement d'un autre fournisseur de VPS à Amazon EC2. Nous avons les besoins typiques d'un serveur web / serveur de base de données. Des serveurs web devant nos serveurs de base de données. Les serveurs de base de données ne sont pas directement accessibles depuis Internet.

Je me demande s'il y a une raison de placer ces serveurs dans un nuage privé virtuel AWS (VPC) au lieu de simplement créer les instances et d'utiliser des groupes de sécurité pour les protéger par un pare-feu.

Nous ne faisons rien d'extraordinaire, juste une application web typique.

Y a-t-il une raison d'utiliser un VPC ou de ne pas utiliser un VPC ?

Merci.

Answer 1

REMARQUE : Les nouveaux comptes dans AWS sont lancés avec un "VPC par défaut" activé immédiatement, et rendent "EC2-Classic" indisponible. En tant que tel, cette question et cette réponse ont moins de sens maintenant qu'elles n'en avaient en août 2012. Je laisse la réponse telle quelle car elle permet de cadrer les différences entre "EC2-Classic" et la gamme de produits VPC. Veuillez consulter FAQ d'Amazon pour plus de détails.

Oui. Si vous êtes soucieux de la sécurité, si vous êtes un grand utilisateur de CloudFormation ou si vous souhaitez avoir un contrôle total sur la mise à l'échelle automatique (par opposition à Beanstalk, qui en abstrait certaines facettes tout en vous donnant un accès complet aux paramètres de mise à l'échelle), utilisez un VPC. Ce site article de blog fait un excellent travail en résumant les avantages et les inconvénients. Quelques points saillants de l'article de blog (écrit par kiip.me ) :

Qu'est-ce qui ne va pas avec EC2 ?

Tous les nœuds sont adressables par Internet. Cela n'a pas beaucoup de sens pour les nœuds qui n'ont aucune raison d'exister sur l'internet mondial. Par exemple, un nœud de base de données ne devrait pas avoir de nom d'hôte/IP public sur Internet.

Tous les nœuds sont sur un réseau partagé, et sont adressables les uns aux autres. Cela signifie qu'un nœud EC2 lancé par un utilisateur "Bob" peut accéder à n'importe quel nœud EC2 lancé par un utilisateur "Fred". Notez que par défaut, les groupes de sécurité interdisent ce type d'accès, mais il est assez facile d'annuler cette protection, surtout si vous utilisez des groupes de sécurité personnalisés.

Pas d'interface publique ou privée. Même si vous vouliez désactiver tout le trafic sur le nom d'hôte public, vous ne le pourriez pas. Au niveau de l'interface réseau, chaque instance EC2 ne possède qu'une seule interface réseau. Les noms d'hôtes publics et les IP Elastic sont acheminés sur le réseau "privé".

Ce qui est génial avec le VPC

Tout d'abord, VPC offre un niveau de sécurité incroyable par rapport à EC2. Les nœuds lancés dans un VPC ne sont pas adressables via l'Internet mondial, par EC2 ou par tout autre VPC. Cela ne signifie pas que vous pouvez oublier la sécurité, mais cela fournit un point de départ beaucoup plus sain par rapport à EC2. En outre, cela facilite grandement les règles de pare-feu, puisque les nœuds privés peuvent simplement dire "autoriser tout trafic provenant de notre réseau privé". Le délai entre le lancement d'un nœud et la mise en place d'un serveur Web entièrement opérationnel est passé de 20 minutes à environ 5 minutes, uniquement en raison du temps gagné pour éviter de propager les changements de pare-feu.

Les ensembles d'options DHCP vous permettent de spécifier le nom de domaine, les serveurs DNS, les serveurs NTP, etc. que les nouveaux nœuds utiliseront lorsqu'ils seront lancés dans le VPC. Cela facilite grandement la mise en œuvre d'un DNS personnalisé. Dans EC2, vous devez lancer un nouveau nœud, modifier la configuration DNS, puis redémarrer les services réseau pour obtenir le même effet. Nous exécutons notre propre serveur DNS chez Kiip pour la résolution des nœuds internes, et les jeux d'options DHCP rendent cela facile (il est beaucoup plus logique de taper east-web-001 dans votre navigateur plutôt que 10.101.84.22).

Et enfin, le VPC fournit tout simplement un environnement de serveur beaucoup plus réaliste. Bien que VPC soit un produit unique à AWS et qu'il semble vous "enfermer" dans AWS, le modèle adopté par VPC ressemble davantage à celui qui consisterait à utiliser votre propre matériel dédié. Le fait d'avoir ces connaissances à l'avance et d'acquérir l'expérience du monde réel qui l'entoure sera inestimable si vous devez passer à votre propre matériel.

Le post énumère également quelques difficultés avec le VPC, qui sont toutes plus ou moins liées au routage : Obtenir une passerelle Internet ou une instance NAT hors du VPC, communiquer entre les VPC, mettre en place un VPN vers votre centre de données. Ces tâches peuvent parfois être assez frustrantes, et la courbe d'apprentissage n'est pas triviale. Néanmoins, les avantages en matière de sécurité valent à eux seuls le coup et l'assistance d'Amazon (si vous êtes prêt à la payer) est extrêmement utile en ce qui concerne la configuration des VPC.

Answer 2

Actuellement, VPC présente quelques avantages utiles par rapport à EC2, tels que :

• plusieurs NICs par instance
• plusieurs IP par NIC
• Règles "deny" dans les groupes de sécurité
• Options DHCP
• des plages IP internes prévisibles
• déplacement des NIC et des IP internes entre les instances
• VPN

On peut supposer qu'Amazon mettra à niveau EC2 avec certaines de ces fonctionnalités également, mais pour l'instant, elles sont réservées aux VPC.

Answer 3

Actuellement, VPC est le seul moyen d'avoir des répartiteurs de charge internes.

Answer 4

Les VPC sont utiles si votre application doit accéder à des serveurs en dehors d'EC2, par exemple si vous avez un service commun qui est hébergé dans votre propre centre de données physique et qui n'est pas accessible via Internet. Si vous comptez placer tous vos serveurs Web et DB sur EC2, il n'y a aucune raison d'utiliser les VPC.

Answer 5

Si vous choisissez RDS pour fournir vos services de base de données, vous pouvez configurer Groupes de sécurité de la DB pour autoriser les connexions aux bases de données à partir d'un Groupes de sécurité EC2 Même si vous avez des adresses IP dynamiques dans votre cluster EC2, le RDS créera automatiquement les règles de pare-feu pour autoriser les connexions. uniquement à partir de vos instances ce qui réduit l'avantage d'un VPS dans ce cas.

Le VPS, quant à lui, est idéal lorsque vos instances EC2 doivent avoir accès à votre réseau local. Connexion VPN entre votre VPS et votre réseau local Il s'agit de contrôler la plage d'adresses IP, les sous-réseaux, les routes et les règles de pare-feu sortant, ce qui, à mon avis, n'est pas ce que vous recherchez.

Je recommande aussi vivement d'essayer le Elastic Beanstalk qui fournira une console permettant de configurer facilement votre cluster EC2 pour les applications PHP, Java et .Net, en permettant à Mise à l'échelle automatique , Équilibreur de charge élastique et le versionnement automatique des applications, qui permet de revenir facilement en arrière en cas de mauvais déploiement.