Amazon VPC 的网络设计 - 子网配置与 NAT Gateway 优化
介绍公有/私有子网的分离设计、安全组的分层管理以及通过 Gateway VPC 端点降低 NAT Gateway 成本的方法。
VPC 概述
VPC 是在 AWS 上构建逻辑隔离的虚拟网络的服务。通过 CIDR 块定义 IP 地址范围,使用子网、路由表、安全组和网络 ACL 控制网络。通过公有子网和私有子网的分离,建立面向互联网公开的资源与内部资源的安全边界。
子网设计与 NAT Gateway
公有子网具有到互联网网关的路由,放置 ALB 和 NAT Gateway。私有子网没有到互联网的直接路由,放置 EC2、RDS 和 Lambda。NAT Gateway 为私有子网提供出站通信(包更新、API 调用),但会产生按时计费和数据处理费用。对 S3 和 DynamoDB 的访问使用 VPC 端点(网关型,免费),不经过 NAT Gateway 以降低成本。VPC Flow Logs 在 ENI 级别记录网络流量,用于安全分析和故障排除。
安全组与 NACL 的设计
安全组是有状态的实例级防火墙,仅定义允许规则。建议按应用层(ALB)、业务逻辑层(EC2/ECS)、数据层(RDS)分离安全组,层间通信通过安全组 ID 引用。网络 ACL 是无状态的子网级防火墙,可以定义允许和拒绝规则。用于明确阻止特定 IP 范围的访问或子网级的粗粒度控制。启用 VPC Flow Logs 分析被安全组和 NACL 拒绝的流量,检测异常访问模式。
NAT Gateway 的成本优化
NAT Gateway 产生数据处理费(每 GB 约 0.062 美元)和按时计费(约 0.062 美元/小时),在大量出站通信的环境中成本会急剧增加。对 S3 和 DynamoDB 的通信设置 Gateway VPC 端点(免费)不经过 NAT Gateway 是最有效的削减措施。对 ECR、CloudWatch Logs、STS 等频繁访问的 AWS 服务设置接口 VPC 端点,减少 NAT Gateway 的数据处理量。多可用区配置中在每个 AZ 部署 NAT Gateway,避免跨 AZ 数据传输费用。
总结
VPC 是通过子网分离、安全组和网络 ACL 多层确保网络安全的服务。按应用层、业务逻辑层、数据层分离安全组,通过 VPC Flow Logs 分析流量。通过 Gateway VPC 端点建立到 S3/DynamoDB 的免费私有连接,优化 NAT Gateway 的数据处理成本。