何时应将资源拆分到 VPC 中的单独子网的一般规则是什么?
我在 Internet 上找到的大多数文章都围绕公共/私有子网展开,但都不是太深入。例如,您可能会认为有很多东西是私有的:ELB 后面的 ec2(s)、数据库……以及您可能认为公共的东西:ELB(s)、NAT 实例、Bastion(s)……
他们都应该进入 1 个大型公共子网和 1 个大型私有子网吗?如果不是,推荐的方法是什么?
【问题讨论】:
标签: amazon-web-services amazon-vpc subnet
首先,每个可用区都需要一个子网。如果没有至少两个可用区(最好三个),我不会部署生产环境。
其次,我会使用子网将您的应用程序划分为粗略的“层”。至少公共子网和私有子网(每个 AZ 一个)。公共子网中面向公众的负载均衡器,私有子网中的服务器。如果您想获得更细粒度,您可以像传统网络(公共、Web DMZ、数据库)那样划分为更多层。
我要记住的一件事是增长将如何影响事物。 Auto Scaling 组可以变得非常大。如果您在 VPC 中使用 Lambda 函数,您可以轻松地让数千个并发 Lambda 占用您子网中的 IP。使用 EKS 的容器网络会消耗大量 IP。如果您在同一子网中将 Lambda 与 Auto Scaling 组混合使用,可能会发生严重的冲突。
【讨论】: