您应该将资源拆分到VPC中的单独子网中的一般规则是什么?
我在互联网上发现的大多数文章都围绕着公共/私人子网,但它们并不是太深入 . 例如,你可以考虑私有很多东西:ELB背后的ec2,数据库......以及你可能认为公开的东西:ELB(s),NAT实例,Bastion(s),......
他们应该进入一个大的公共子网和一个大的私有子网吗?如果没有,推荐的方法是什么?
首先,每个可用区域需要一个子网 . 我不会在没有至少两个AZ(最好是三个)的情况下部署 生产环境 环境 .
其次,我会使用子网将您的应用程序划分为粗略的“层” . 公共和私有子网至少(每个AZ一个) . 公共子网中的面向公众的负载 balancer 器,私有子网中的服务器 . 如果你想获得更细粒度,你可以分成更多层,如传统网络(Public,Web DMZ,Database) .
我要记住的一件事是增长会如何影响事物 . 自动缩放组可能会变得非常大 . 如果在VPC中使用Lambda函数,则很容易让数千个并发的Lambdas占用子网中的IP . 与EKS的容器网络消耗大量IP . 如果将Lambda与自动缩放组混合在同一子网中,则可能会发生令人讨厌的冲突 .
1 回答
首先,每个可用区域需要一个子网 . 我不会在没有至少两个AZ(最好是三个)的情况下部署 生产环境 环境 .
其次,我会使用子网将您的应用程序划分为粗略的“层” . 公共和私有子网至少(每个AZ一个) . 公共子网中的面向公众的负载 balancer 器,私有子网中的服务器 . 如果你想获得更细粒度,你可以分成更多层,如传统网络(Public,Web DMZ,Database) .
我要记住的一件事是增长会如何影响事物 . 自动缩放组可能会变得非常大 . 如果在VPC中使用Lambda函数,则很容易让数千个并发的Lambdas占用子网中的IP . 与EKS的容器网络消耗大量IP . 如果将Lambda与自动缩放组混合在同一子网中,则可能会发生令人讨厌的冲突 .