AWS VPC 网络架构

Question

我有以下三种网络架构（类似于https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario3.html），它们将用于基于 Web 的、由数据库驱动的应用程序：

• 有效地增强服务器之间的通信
• 开发安全
• 网络策略确保节点安全有序

记下每个 VPC 和每个子网的 CIDR。每个子网的访问由路由表和网络访问控制列表控制，为简单起见，图中未显示。所有子网都不同，有些是公共的，有些是私有的，有些需要与其他一些交互，如箭头所示。

问题：

1. VPC 架构 2 是对 VPC 架构 1 的增强吗？
2. VPC 架构 3 是对 VPC 架构 2 的增强吗？ （注意每个 VPC CIDR 是相同的 10.0.0.0/20）
3. VPC 架构 3 是否存在或可能存在与 10.0.0.0/20 相同的 VPC CIDR 的惩罚？
   • 如果我决定桥接 vpc-4 和 vpc-5 会怎样？
4. 如果这些架构都不适合我的 web-db 网络需求，您能否提供或指出好的网络架构指南？

非常感谢您的想法。

Answer 1

VPC 架构 2 是对 VPC 架构 1 的增强吗？

出于所有实际目的，VPC 插图 1 更适合您的用例，还可以避免任何区域间或跨区域 VPC 对等管理/成本。

VPC 架构 3 是对 VPC 架构 2 的增强吗？ （笔记 每个VPC CIDR如何相同10.0.0.0/20）

不，这不是增强的情况。事实上，无论您是否在您的账户中进行 VPC 对等互连，您都不应该在 VPC 之间有重叠的 CIDR 范围

VPC 架构 3 是否存在或可能存在惩罚 与 10.0.0.0/20 相同的 VPC CIDR？如果我决定桥接 vpc-4 和 vpc-5？

是的，您不应创建另一个具有重叠或匹配 CIDR 范围的 VPC

如果这些架构都不适合我的 web-db 网络 需要，您能否提供或指出我对良好的网络架构 指导方针？

对于此用例的所有实际需求，插图 1 适合初学者

Answer 2

谢谢@Raunak-Jhawar。 VPC 架构 1 非常适合初学者，您说得对。但是随着越来越多的节点被添加到 VPC 中，这个架构将变得更加复杂和难以管理。

我所有的 VPC 网络架构设计都是正确的，并且可以根据您的需要工作。不过，我想分享一些 AWS Support 的大佬们给我的信息。

VPC 架构 1：

这个架构非常简单。一切都会像一个 魅力。您可以在公共子网和数据库中部署应用程序服务器 私有子网中的服务器（如果您不希望授予对 来自互联网的数据库服务器）。该架构将易于管理和 这种类型的产品将满足您的所有要求 建筑。

VPC 架构 2：

我可以看到在 VPC2 中，CIDR 块给出的是 10.0.0.0/20 为我们提供从 10.0.0.0 到 10.0.15.255 的 IP 范围。但是，VPC3 有 以 10.0.2.0/20 形式给出的 CIDR 块，其范围也与 VPC 2 个 IP 地址。因此，架构 2 和架构 3 变得相同 在这里。我相信，您想在 VPC 2 中显示非重叠 CIDR 范围 3. 根据我的假设，我想通知你，这 也可以使用架构。客户使用这种架构 当他们有多个最终客户时。而这些终端客户也 希望通过 VPC 对等互连相互通信。 VPC 对等互连 当 VPC 的子网不重叠时是可能的。

VPC 架构 3：

这种架构也可以工作，但是 VPC 对等/桥接是 在这种情况下不可能。因为 VPC 4 和 5 具有相同的 CIDR ip 范围。因此，如果您想制作，这不是一个有效的架构 VPC 4 和 5 相互通信。

这是很好的信息。