VPC、子網路和可用性區域
設定 AWS VPC 以將 Qlik 整合到您的環境中。
虛擬私人雲端 (VPC) 是邏輯隔離的網路,可讓您控制 AWS 資源 (例如資料庫和運算執行個體) 如何相互連線以及連線到網際網路。每個 VPC 都在單一 AWS 區域內建立。
子網路是 VPC 的細分,用於組織和託管資源,例如 Amazon EC2 執行個體。子網路可以是:
-
公用:允許透過網際網路閘道直接存取網際網路。
-
私人:僅限於 VPC 內的內部通訊。對外網際網路存取可透過 NAT 閘道取得。
每個子網路都在特定的可用區域內建立。例如,在 us-east-1 區域中,您可以在 us-east-1a、us-east-1b 和 us-east-1c 建立子網路。
可用區域 (AZ) 是區域內實際隔離的資料中心。跨越多個可用區域分發資源,可提高應用程式的可用性和容錯能力。
VPC、子網路和 AZ 之間的關係確保:
-
VPC 的範圍限定於單一 AWS 區域,並跨越該區域內的所有可用區域。
-
子網路綁定到各個可用區域,提供跨區域分發資源的能力。
-
您可以使用此結構,以在 VPC 內的多個 AZ 之間部署資源,以增強可用性和彈性。
資訊備註在 VPC 設定中建立的子網路必須具有提供傳出網際網路存取的有效路由。公用子網路需要路由至網際網路閘道。私用子網路需要路由至 NAT 閘道。
選擇公用與私用子網路
在建立 VPC 之前,請判斷哪種子網路類型適合您的部署:
| 使用案例 | 建議的子網路類型 |
|---|---|
| 需要直接網際網路存取的資源 | 公用子網路 |
| 僅限網際網路服務 | 私人子網路 |
| 生產工作負載 | 私人子網路 |
| 安全的資料湖屋部署 | 私人子網路 |
| 測試或示範環境 | 公用或私用子網路 |
警告備註請勿在相同的部署中混合公用和私用子網路類型,除非明確指示。混合組態可能導致不明確的路由和安全性組態錯誤。
建立 VPC
根據您的網路安全性需求建立 VPC。以下組態為建議事項。請根據您組織的特定需求進行調整。
資訊備註雖然支援公用子網路,但 Qlik 建議所有部署都使用私用子網路,以確保安全且可供生產使用的環境。
Qlik 建議
- 可用區域:使用 2 個或更多可用區域,以確保高可用性和容錯。
- 子網路數量:每個可用區域 (AZ) 至少部署一個子網路。
- NAT 閘道:對於私有子網路,每個可用區域 (AZ) 使用一個 NAT 閘道以實現高可用性。
- 子網路大小:大小為 /27 或更小的子網路可能會導致意外的系統行為,並阻礙系統可靠地擴展和更新的能力。Qlik 建議最小子網路大小為 /24,以確保穩定運作並為未來成長預留空間。
建立具有私有子網路的 VPC
將此選項用於安全的部署,其中資源不得直接從網際網路存取。
-
在 AWS 主控台中,前往 VPC > 您的 VPC。
-
按一下建立 VPC。
- 在 要建立的資源下,選取 VPC 和更多。
- 設定下列設定:
- 可用性區域 (AZ):2 個或更多。
公用子網路數量: 0。
私用子網路數量: 視需要。
NAT 閘道: 視需要。
-
按一下建立 VPC。
- 建立後,請驗證每個子網路:
- 已停用自動指派公用 IPv4 位址。
- 具有通往 NAT 閘道 的路由。
- 沒有通往網際網路閘道的路由。
資訊備註私有子網路可防止直接的內送網際網路存取,同時允許透過 NAT 閘道進行外送連線。這是生產工作負載的建議組態
組態摘要
完成任一選項後,記錄下列資訊以用於後續組態步驟:
- VPC ID
- VPC CIDR 範圍
- 子網路 ID
- 每個子網路的可用區域
- 子網路指定 (公用或私用)