VPC、子网和可用区
配置您的AWS VPC以将 Qlik 集成到您的环境中。
虚拟私有云 (VPC) 是一个逻辑隔离的网络,使您能够控制 AWS 资源(如数据库和计算实例)如何相互连接以及如何连接互联网。每个 VPC 都在一个 AWS 区域之内创建。
子网是 VPC 的细分区域,用于组织和托管 Amazon EC2 实例之类的资源。子网性质可以是:
-
公用:允许通过互联网网关直接访问互联网。
-
私有:仅限于 VPC 内部通信。出站互联网访问可通过 NAT 网关获得。
每个子网都在一个特定可用性区域内创建。例如,在 us-east-1 区域,可以在 us-east-1a、us-east-1b 和 us-east-1c 中创建子网。
可用区 (AZ) 是区域内物理隔离的数据中心。将资源分配到多个 AZ 可以提高应用程序的可用性和容错性。
VPC、子网和 AZ 之间的关系保证了这一点:
-
VPC 的作用域是单个 AWS 区域,并跨越该区域内的所有可用区。
-
子网同单个可用区绑定,提供跨区分配资源的能力。
-
您可以使用这种结构在 VPC 内的多个 AZ 上部署资源,从而提高可用性和弹性。
信息注释在 VPC 配置中创建的子网必须有提供出站互联网访问权限的有效路由。公用子网需要到互联网网关的路由。专用子网需要到 NAT 网关的路由。
选择公用子网和专用子网
在创建 VPC 之前,请确定哪种子网类型适用于您的部署:
| 使用案例 | 推荐的子网类型 |
|---|---|
| 需要直接 Internet 访问的资源 | 公共子网 |
| 仅限 Internet 服务 | 私有子网 |
| 生产工作负载 | 私有子网 |
| 安全湖仓一体部署 | 私有子网 |
| 测试或演示环境 | 公共或私有子网 |
警告注释除非明确指示,否则请勿在同一部署中混合使用公共和私有子网类型。混合配置可能导致路由不明确和安全配置错误。
创建 VPC
根据您的网络安全要求创建您的 VPC。以下配置作为建议提供。请根据您组织的具体需求进行调整。
信息注释虽然支持公共子网,但 Qlik 建议所有部署都使用私有子网,以确保安全且可用于生产的环境。
Qlik 建议
- 可用区:使用 2 个或更多可用区以确保高可用性和容错性。
- 子网数量:每个可用区至少部署一个子网。
- NAT 网关:对于私有子网,每个可用区使用一个 NAT 网关以实现高可用性。
- 子网大小:大小为 /27 或更小的子网可能会导致意外的系统行为,并阻碍系统可靠地扩展和更新。Qlik 建议最小子网大小为 /24,以确保稳定运行并为未来增长留出空间。
创建具有私有子网的 VPC
将此选项用于安全部署,其中资源不得直接从互联网访问。
-
在 AWS 控制台中,转到 VPC > 您的 VPC。
-
单击创建 VPC。
- 在 创建资源下,选择 VPC 等。
- 配置以下设置:
- 可用区 (AZ):2 个或更多。
公共子网数量:0。
私有子网数量:根据需要。
NAT 网关:根据需要。
-
单击创建 VPC。
- 创建后,验证每个子网:
- 已禁用自动分配公共 IPv4 地址。
- 具有到 NAT 网关 的路由。
- 没有到 Internet 网关的路由。
信息注释私有子网可阻止直接入站互联网访问,同时允许通过 NAT 网关进行出站连接。这是生产工作负载的推荐配置
配置摘要
完成任一选项后,请记录以下内容,以用于后续配置步骤:
- VPC ID
- VPC CIDR 范围
- 子网 ID
- 每个子网的可用区
- 子网指定(公共或私有)