我们之前讲到了虚拟私有云,也就是VPC。它其实就是客户在AWS上的私有云。客户可以为自己的AWS资源定义IP地址,也可以在上面添加自己所需的服务,例如EC2等。
VPC和子网络
当客户在在VPC上添加AWS资源的时候,还可以把不同资源放到不同的子网络中。这些子网络可以是公开的,也可以是私有的。这些听起来很好了,但是现实生活中的问题总是更复杂一些。
例如,如果公共网络(比方说客户有一个网站)的访问流量过大,应该怎么办呢?或者对于私有子网络,如何实现部分客户访问呢?这就是我们下面要介绍的流量控制方法。
首先,我们来介绍互联网网关(Internet Gateway)。关这个字,本意就是门闩。有些地名里(山海关、函谷关、嘉峪关等)也用到关字,就是管进出的意思。如果KFO餐厅把门关上,那么客人就进不来了。网关也是这个意思,如果把它关上了,那么就没有人能访问VPC。
但是如果我们还希望有一些人能够进入KFO餐厅,那么就可以给这些人“开后门”。在AWS中,可以通过虚拟私有通道(Virtual Private Gateway)让某些特定客户访问私有子网络。通过这种形式,公司本地的数据中心或者公司的内网,就可以和VPC连接起来。
这样的做法类似于学校组织学生们春游,学生们先通过各种交通方式到达学校,然后从学校统一出发,前往目的地。但是这样的做法也有问题。如果路上堵车怎么办?也就是说,尽管车是自己的,但是路还不是自己的,所以依旧有问题。对于VPC而且,也有同样的问题。当有很多人使用网络时,网络也会很拥挤。
所以,要想彻底解决这个问题,就要自己建一条路。这条路上只有你自己,这样就不会拥挤了。于此类似,只要你的网络也是自己的,也就不会有拥挤或者安全的问题了。
在AWS中,这条网络专线叫做AWS直连(AWS Direct Connect)。它可以通过光纤,把客户的数据中心和AWS私密连接。这样的做法不仅解决了网络宽带的问题,还符合一些法律法规的要求。另外,某个VPC可能会连接多种类型的网关,支持这个 VPC 内部不同子网中的多种类型的资源。
