应在VPC内将资源拆分为单独的子网时遵循的一般规则是什么?
我在Internet上找到的大多数文章都是围绕公共/私有子网展开的,但它们并不太深入。例如,您可能认为很多事情是私有的:ELB,数据库等后面的ec2,而您可能认为是公共的事情:ELB,NAT实例,堡垒,...
它们都应该进入1个大型公共子网和1个大型私有子网吗?如果没有,推荐的方法是什么?
答案 0 :(得分:1)
首先,每个可用区需要一个子网。如果没有至少两个可用区(最好是三个),我将不会部署生产环境。
第二,我将使用子网将您的应用程序划分为粗略的“层”。公用和专用子网最少(每个可用区一个)。公共子网中面向公共的负载平衡器,私有子网中的服务器。如果您想获得更细粒度的信息,可以将其划分为更多层次,例如传统网络(公共网络,Web DMZ,数据库)。
我要记住的一件事是成长将如何影响事物。自动伸缩组可能会变得很大。如果在VPC中使用Lambda函数,则很容易使成千上万的并发Lambda吞噬子网中的IP。使用EKS的容器网络消耗大量IP。如果您在同一子网中将Lambda与自动缩放组混合使用,则可能会遇到麻烦。