VPC Fundamentals
Amazon VPC คือ logical network ที่คุณกำหนดเองบน AWS คล้าย network ใน data center แต่สร้างและควบคุมผ่าน API ได้
Amazon VPC คืออะไร
Amazon Virtual Private Cloud หรือ Amazon VPC ช่วยให้คุณ launch AWS resources ใน virtual network ที่แยกจาก network ของลูกค้าคนอื่น คุณกำหนด CIDR, Subnet, Route, Gateway, Security control และ DNS behavior ของระบบเอง
CIDR planning
CIDR คือช่วง IP ของ VPC และ Subnet เช่น 10.0.0.0/16 สำหรับ VPC และ 10.0.1.0/24
สำหรับ Subnet การวาง CIDR ต้องเผื่อ growth และหลีกเลี่ยงการทับกับ on-premises, VPN, peering หรือ VPC อื่น
| CIDR | ตัวอย่างการใช้ | ข้อควรคิด |
|---|---|---|
10.0.0.0/16 | VPC หลัก | ใหญ่พอสำหรับหลาย subnet และหลาย environment |
10.0.1.0/24 | Public subnet | AWS reserve 5 IP ต่อ subnet |
10.0.11.0/24 | Private app subnet | ใช้กับ EC2/ECS app tier |
10.0.21.0/24 | Private database subnet | ไม่ควร route ออก Internet โดยตรง |
Gateway และ public IPv4 cost
- Internet Gateway: เชื่อม VPC กับ Internet สำหรับ public subnet
- NAT Gateway: ให้ private resources เริ่ม connection ออก Internet โดยไม่รับ inbound จาก Internet
- Elastic IP: public IPv4 คงที่ ใช้กับ NAT Gateway หรือ resource ที่ต้องมี static public endpoint
DHCP Option Set
DHCP Option Set ใช้กำหนดค่า network บางอย่างให้ resource ใน VPC เช่น domain name server หรือ domain name ใน Lab ทั่วไปมักใช้ค่า default แต่ควรรู้ว่ามีผลกับ DNS resolution ภายใน VPC
Common mistakes
- เลือก CIDR เล็กเกินไปจนเพิ่ม subnet ไม่พอ
- ใช้ CIDR ทับกับ office network แล้วเชื่อม VPN/peering ยาก
- วาง database ใน public subnet เพราะสร้างง่าย
- ลืมว่า public IPv4 และ NAT Gateway มีค่าใช้จ่าย
Review questions
- อธิบายได้ว่า VPC เป็น logical network boundary อย่างไร
- วาง CIDR โดยหลีกเลี่ยง overlap กับ network อื่นได้
- แยก Internet Gateway, NAT Gateway และ Elastic IP ได้
- VPC ช่วยแยก network boundary อย่างไร?
- ทำไม CIDR overlap เป็นปัญหาเมื่อเชื่อม network?
- NAT Gateway ต่างจาก Internet Gateway อย่างไร?