00:00 Создание сети 00:25 обзор vpc 02:00 создание vpc 04:15 создание GateWay - Internet GateWay - IGW 05:02 Attach IGW to network к созданной vpc тем самым добавили доступ к интернет в нашу сеть созданную vpc ABC Network 05:56 создаем подсети subnet (Public Subnet A, Public Subnet B) 10:30 routing table и igw 13:00 network acl 16:20 создание private subnet - (Private Subnet A, Private Subnet B) 18:58 создание route Table for Private Subnet 21:00 создание (Database Subnet A, Database Subnet B) 22:15 создание route Table for Database Subnet 25:38 разделение NAT Gateway A, B по соответствующим Subnet и редактируем соответствующий rout и в результате получили, что хотели (ну, кроме балансера):
Обычно не комментирую но тут грех не выразить благодарность! Все понятно! Автору респект и уважение! Пересмотрел кучу разных туториалов и на английском в том числе, везде как-то разрозненными кусками, приходилось все в кучу собирать в голове. А тут все, что нужно и все идеально в сравнении с другими авторами.
Вже дивився ці уроки, але зараз повернувся щоб зробити аналогічну структуру мережі за допомогою Terraform (який теж вчу по твоїм урокам). Дуже дякую за контент!
И демонстрация экрана хорошая (подробная), и подробные комментарии Дениса. Можно включить ролик, открыть свой акк на Амазоне, слушать Дениса и всё будет 1 в 1 под его комментарии. :)
4:50 - в 2023 году IGW создался сам сразу после создания VPC 6:20 - в 2023 году также при создании VPC создались 2 public и 2 private подсети 11:40 - route тоже создался при создании VPC
И сейчас похоже есть просто главная Route Table, которая по умолчанию используется для всей сети. Не очень удобно, так из таблицы подсетей не перейдешь в этот Route Table и не посмотришь, что там за правила установлены
Спасибо Вам, очень интересный и полезный материал! Возник вопрос: как то можно прикрепить elastic IP к Bastion хосту чтобы его public IP адрес не менялся каждый раз после перезпуска?
@@ADV-IT Спасибо глянул, сделал тестовую auto scaling group с одним instance (настроил его как Bastion host чтобы перезапускался в двух aviability зонах) и затем присобачил к нему elasticIP. Затем сделал terminate этому instance, после чего автоматически запустился новый instance но уже без elasticIP, возможно ли сделать как то чтобы elasticIP перешел на новый instance перезапускаемый в другой aviability зоне? Или такое не возможно реализовать в рамках auto scaling group? Хотелось бы попробовать настроить Bastion host c постоянным elastic IP чтобы в случае отказа сервера в одной aviability зоне он был доступен в другой aviability зоне с темже elasticIP.
я бы сказал, что Network ACL (access list) обычно конфигурится на роутере (в даном случаи на уровне VPC), дальше есть security group (типа физического фаервола, который ставится непосредственно перед инстансом), ну еще можно на уровне самого инстанса конфугурить iptables. Суть вся в том, на каком этапе нетворк флоу у вас фильтруется трафик и их имплементация.
Есть вопрос по БД в такой VPC. Я правильно понял что у нас 2 БД по одной в каждой Availability Zone? Если да, то как они синхронизируются? Ведь если упадет зона А то БД с зоньі В должна иметь БД полностью аналогичную c A.
NAT это ведь хрень которая переводит прайвит адрес в публичный и наоброт, а NAT gateway это по сути фильтр получается? чтобы нельзя было достучаться до наших прайвит хостов, функции вроде разные почему он называется NAT gateway?
добрый день. может кто-то сталкивался/подскажет. есть vpc 10.0.0.0/16. маршрутизация 10,0,0,0/16 - local есть два инстанса по две сетевые карты на каждом, в разных az. первый инстанс может пинговать оба адреса второго только через первый сетевой интервейс. второй пингует только через первый интерфейс и только один адрес. задача - что б все интерфейсы видели друг друга.
Чтобы восстановить default VPC. Не надо никому звонить или писать . Спасет командная строка - awscli Выберите редион set region -> us-east-2 and run this command :) # aws ec2 create-default-vpc # aws ec2 create-default-subnet --availability-zone us-east-2a aws ec2 create-default-subnet --availability-zone us-east-2b aws ec2 create-default-subnet --availability-zone us-east-2c # in Virginia will be 6 -1a to -1f # in some only us-west-1a and us-west-1d
24:01 - Если мы поставим наш NAT-GW в Private Subnet, то он не сможет выйти в интернет? Я не совсем понял, почему мы поставили его в Public Subnet, NAT ведь нужен в Private Subnet.
KGB-PrivateRouteTableA присоедина к KGB-PrivateSubnet-A KGB-PrivateRouteTableB присоедина к KGB-PrivateSubnet-B KGB-DBRouteTable присоедина к KGB-DBSubnetA и KGB-DBSubnetB KGB-PublicRouteTable присоедина к KGB-PublicSubnet-A и KGB-PublicSubnet-B
В RouteTables - > KGB-PublicRouteTable показывает что Explicitly Associated With 0 Subnets. Это потому что мы В РУЧНУЮ не приаттачивали эту таблицу ни к одной подсети. Это делается автоматически так как эта таблица является MAIN(главной) и присоединяется ко всем подсетям созданным в этой VPC.
добрый день Просмотрел урок, но не совсем понял в чём отличие NAT Gateway от Internet Gateway? - Только в том что IG цепляется ко всей VPC а NG к подсетям?
Public Subnet это там где сервера или другие ресурсы имеют Public IP и они доступны в интернете. Если в Public Subnet сервер с только Private IP, то даже если в Subnet есть маршрут в интернет по умолчанию, это ему не поможет, на него не зайти из интернета, и он ничего не может скачать из интернета, в итоге сервер был запущен не в той subnet где надо.
@@ADV-IT Эмм.. мне кажется это не совсем так. В интерент сервера из Public Subnet ходить могут, но вот ИЗ интернета они не видны. И это при условии, что настроен маршрут для сети с Target'ом IGW или NAT GW, но эти сервера все имеют один Public IP (адрес этого шлюза). При этом из интерента на них не попасть, если только пробросов портов и прочего не настроено. Все таки, термин Public IP обычно вкладывают именно внешний адрес назначенный конкретному устройству (типа EC2 со своим ElasticIP), но это не тот IP за которым сервера из VPC видны в Интернете, вроде адреса IGW, NAT GW.
Если автор ещё тут отвечает на комменты, хотелось бы узнать, почему нат мы раздаём приватному сабнэту, а на схеме он нарисован на публичном сабнэте, кстати купил ваши курсы на Udemy, а оказывается они тут бесплатно ))
помоги пожалуйста решить задачку VPC CIDR 10.0.0.0/16 Там некое количество сабнетов. надо запустить 3000 хостов с 30-ю сетевыми картами(если вам морально будет легче надо запустить 90000 серверов в этом VPC) Как это сделать если /16 = 65535 адресов
Не зря я все стираю в конце уроков. Особенно я показал как стереть и ничего не забыть в уроках VPC. Я кстати тоже забыл LoabBalancer стереть недавно, 11$ набежало. Я покажу в след уроке как сделать Bill Alarm! Очень короткий урок, но напомнит если счет набежит > 5$
ADV-IT скажите пожалуйста, если я не заплачу счет, мне же ничего не грозит? Я смогу открыть новый аккаунт с уже другим имейлом? Допустим могут ли они мне в будущем отказать в сертификации?
00:00 Создание сети
00:25 обзор vpc
02:00 создание vpc
04:15 создание GateWay - Internet GateWay - IGW
05:02 Attach IGW to network к созданной vpc тем самым добавили доступ к интернет в нашу сеть созданную vpc ABC Network
05:56 создаем подсети subnet (Public Subnet A, Public Subnet B)
10:30 routing table и igw
13:00 network acl
16:20 создание private subnet - (Private Subnet A, Private Subnet B)
18:58 создание route Table for Private Subnet
21:00 создание (Database Subnet A, Database Subnet B)
22:15 создание route Table for Database Subnet
25:38 разделение NAT Gateway A, B по соответствующим Subnet и редактируем соответствующий rout
и в результате получили, что хотели (ну, кроме балансера):
Обычно не комментирую но тут грех не выразить благодарность! Все понятно! Автору респект и уважение! Пересмотрел кучу разных туториалов и на английском в том числе, везде как-то разрозненными кусками, приходилось все в кучу собирать в голове. А тут все, что нужно и все идеально в сравнении с другими авторами.
Вже дивився ці уроки, але зараз повернувся щоб зробити аналогічну структуру мережі за допомогою Terraform (який теж вчу по твоїм урокам).
Дуже дякую за контент!
Круто! Все понятно и наглядно. Впервые в жизни с Вами создал сеть🔥🙂 Благодарю Денис! Тебе в карму от меня лично +1000 добра😊👍
Чувак, ты крут. За пол часа разложил по полочкам как настроить сети.
палец вверх не глядя!
+
+
Большое тебе спасибо за твой труд!💟
И демонстрация экрана хорошая (подробная), и подробные комментарии Дениса.
Можно включить ролик, открыть свой акк на Амазоне, слушать Дениса и всё будет 1 в 1 под его комментарии. :)
Приступим, помолясь:)))))))))
Очень доходчиво и простым языком! Спасибо, Денис!
Денис, спасибо за такое подробное объяснение! Ты ТОП учитель)))
Очень помогло данное видео в решении проблемы. Спасибо огромное!!!
Был рад помоч
Спасибо, крутейшая подача материала.
отличный урок, спасибо, дружище!
4:50 - в 2023 году IGW создался сам сразу после создания VPC
6:20 - в 2023 году также при создании VPC создались 2 public и 2 private подсети
11:40 - route тоже создался при создании VPC
И сейчас похоже есть просто главная Route Table, которая по умолчанию используется для всей сети. Не очень удобно, так из таблицы подсетей не перейдешь в этот Route Table и не посмотришь, что там за правила установлены
Спасибо за информацию.
Thank you! Very very good explaining
Thanx!
@ADV-IT
Денис, большое спасибо за детальные уроки, безценный материал!
Подскажите, пожалуйста, в каком редакторе рисуете диаграммы?
Lucichart
@@ADV-IT спасибо!
Получается, что NAT соединяет Private сеть и Public сеть и уже через Public идёт выход в интернет? А не напрямую Private->NAT->Internet?
Так и есть, Private -> Public -> Nat -> IGW
Читал книгу по этой теме, было много пробелов, после видео их стало намного меньше) А создания NAT выходит за пределы free tier ?
Да выходит за пределы
Спасибо Вам, очень интересный и полезный материал! Возник вопрос: как то можно прикрепить elastic IP к Bastion хосту чтобы его public IP адрес не менялся каждый раз после перезпуска?
Смотри урок про Elastic IP
@@ADV-IT Спасибо глянул, сделал тестовую auto scaling group с одним instance (настроил его как Bastion host чтобы перезапускался в двух aviability зонах) и затем присобачил к нему elasticIP. Затем сделал terminate этому instance, после чего автоматически запустился новый instance но уже без elasticIP, возможно ли сделать как то чтобы elasticIP перешел на новый instance перезапускаемый в другой aviability зоне? Или такое не возможно реализовать в рамках auto scaling group? Хотелось бы попробовать настроить Bastion host c постоянным elastic IP чтобы в случае отказа сервера в одной aviability зоне он был доступен в другой aviability зоне с темже elasticIP.
Прикол, это было первым заданием в моём конкурсе th-cam.com/video/E76YJIvq0Zo/w-d-xo.htmlsi=Vrk6urYY3QM5SH-x
Есть видео как я это делал, и лучшие решения участников.
@@ADV-IT спасибо, учту!
я бы сказал, что Network ACL (access list) обычно конфигурится на роутере (в даном случаи на уровне VPC), дальше есть security group (типа физического фаервола, который ставится непосредственно перед инстансом), ну еще можно на уровне самого инстанса конфугурить iptables. Суть вся в том, на каком этапе нетворк флоу у вас фильтруется трафик и их имплементация.
Чувак, ты крут.
Нормас продолжай!
Есть вопрос по БД в такой VPC. Я правильно понял что у нас 2 БД по одной в каждой Availability Zone? Если да, то как они синхронизируются? Ведь если упадет зона А то БД с зоньі В должна иметь БД полностью аналогичную c A.
Используем RDS MultiAZ, смотри урок про RDS
like! spasibo!
@ADV-IT is there any option to add IPs range rather than single IPs such as 20.23.23.208 - 20.23.23.216 in AWS Security Group?
No.
Use Network ACL for this.
Or CIDR block: 20.23.23.0/24
NAT это ведь хрень которая переводит прайвит адрес в публичный и наоброт, а NAT gateway это по сути фильтр получается? чтобы нельзя было достучаться до наших прайвит хостов, функции вроде разные почему он называется NAT gateway?
0:02 Виртульные сети ))))
добрый день.
может кто-то сталкивался/подскажет.
есть vpc 10.0.0.0/16. маршрутизация 10,0,0,0/16 - local
есть два инстанса по две сетевые карты на каждом, в разных az.
первый инстанс может пинговать оба адреса второго только через первый сетевой интервейс.
второй пингует только через первый интерфейс и только один адрес.
задача - что б все интерфейсы видели друг друга.
Приступим помолясь! 😁
Блин, так все круто рассказываешь! но за ACL и нетворк троечка :(
Чтобы восстановить default VPC. Не надо никому звонить или писать .
Спасет командная строка - awscli
Выберите редион
set region -> us-east-2
and run this command :)
#
aws ec2 create-default-vpc
#
aws ec2 create-default-subnet --availability-zone us-east-2a
aws ec2 create-default-subnet --availability-zone us-east-2b
aws ec2 create-default-subnet --availability-zone us-east-2c
# in Virginia will be 6 -1a to -1f
# in some only us-west-1a and us-west-1d
Круто, мне кажется раньше не было этого.
@@ADV-IT тоже самое и Security group есть похожая команда ;)
а что NAT Gateway один для двоих (или всех) AZ сделать нельзя? Работать не будет? Обязательно для каждой AZ?
Можно, но я делал Best Practice и High Availability.
Так делай в Prod, на Dev, Staging одного хватит
24:01 - Если мы поставим наш NAT-GW в Private Subnet, то он не сможет выйти в интернет? Я не совсем понял, почему мы поставили его в Public Subnet, NAT ведь нужен в Private Subnet.
NAT должен иметь Public IP, поэтому мы его ставим в Public Subnet.
@@ADV-IT, ясно, я думал раз у NAT есть Elastic IP ему Public IP из Public Subnet уже не нужен.
@@ralymbetov NAT Gateway должен находится в Subnet где Route в Internet проходит в Internet Gateway.
Смотри дальше, там подробно показываю
а сейчас VPC Wizard-ом все быстрее делается
Немного, наверное, не понимаю сети.
При создании VPC (10.0.0.0/16) создались 4 подсети:
pu1 - 10.0.0.0/20
pu2 - 10.0.16.0/20
pr1 - 10.0.128.0/20
pr2 - 10.0.144.0/20
Пробую вручную еще создать 2, для DBSubnet - не получается, пишет:
CIDR Address overlaps with existing Subnet CIDR: 10.0.0.0/20.
Пробую 10.0.13.0/20 и т.д.
Ну да, нужно уметь делить 10.0.0.0/16 на разные части.
Я пользуюсь этим www.davidc.net/sites/default/subnets/subnets.html
Вот 2 свободные:
10.0.32.0/20
10.0.48.0/20
@@ADV-IT спасибо, буду вечером пробовать заново
ЗЫ и за акцепт в линкедине спасибо)
@@ADV-IT спасибо за линк, подучу эту часть
Thanks.
KGB-PrivateRouteTable не присоединена ни к одной подсети. Спасибо за прекрасный урок!
KGB-PrivateRouteTableA присоедина к KGB-PrivateSubnet-A
KGB-PrivateRouteTableB присоедина к KGB-PrivateSubnet-B
KGB-DBRouteTable присоедина к KGB-DBSubnetA и KGB-DBSubnetB
KGB-PublicRouteTable присоедина к KGB-PublicSubnet-A и KGB-PublicSubnet-B
В RouteTables - > KGB-PublicRouteTable показывает что Explicitly Associated With 0 Subnets.
Это потому что мы В РУЧНУЮ не приаттачивали эту таблицу ни к одной подсети.
Это делается автоматически так как эта таблица является MAIN(главной) и присоединяется ко всем подсетям созданным в этой VPC.
Понял, спасибо за ответ
Можно ли сделать только один NAT Gateway? Ведь инстансы из других AZ смогут выйти через него в интернет, так как общение внутри VPC открыто.
Конечно можно.
Я сделал в каждом AZ для High Availability, если типа один AZ накроется чтобы всё продолжало работать
Так делают в Dev, Staging, в Prod лучше сделать High Availability
Добрый вечер. То что мы делаем это и называется Сетевая карта?
Это называется сеть - VPC - Virtual Private Cloud,,
Сетевая карта это ENI - Elastic Network Interface
@@ADV-IT да спсб. Нашёл в доках
добрый день
Просмотрел урок, но не совсем понял в чём отличие NAT Gateway от Internet Gateway? - Только в том что IG цепляется ко всей VPC а NG к подсетям?
IGW - Internet Gateway даёт доступ твоей VPC в Internet
NAT - Даёт доступ серверам из Private Subnet в Internet
Посмотри дальше, может будет понятнее
Public subnet не получает public (Elastic) IPs. Разница с private лишь в налиции маршрута в интернет по умоланию
Public Subnet это там где сервера или другие ресурсы имеют Public IP и они доступны в интернете.
Если в Public Subnet сервер с только Private IP, то даже если в Subnet есть маршрут в интернет по умолчанию, это ему не поможет, на него не зайти из интернета, и он ничего не может скачать из интернета, в итоге сервер был запущен не в той subnet где надо.
@@ADV-IT Эмм.. мне кажется это не совсем так. В интерент сервера из Public Subnet ходить могут, но вот ИЗ интернета они не видны. И это при условии, что настроен маршрут для сети с Target'ом IGW или NAT GW, но эти сервера все имеют один Public IP (адрес этого шлюза). При этом из интерента на них не попасть, если только пробросов портов и прочего не настроено.
Все таки, термин Public IP обычно вкладывают именно внешний адрес назначенный конкретному устройству (типа EC2 со своим ElasticIP), но это не тот IP за которым сервера из VPC видны в Интернете, вроде адреса IGW, NAT GW.
Если автор ещё тут отвечает на комменты, хотелось бы узнать, почему нат мы раздаём приватному сабнэту, а на схеме он нарисован на публичном сабнэте, кстати купил ваши курсы на Udemy, а оказывается они тут бесплатно ))
NAT нужен для того чтобы сервера из Private Subnets имели доступ в Интернет.
NAT создается в Public Subnet и у него должн быть Public IP
Спасибо за поддержку на Udemy
Денис, в чем схему архитектуры AWS рисуешь? Дай линк пожалуйста! Это фришный продукт?
Lucichart
3 диаграмм сохраняет бесплатно
Не понятно почему в Route Table для Public не приатачены две публичные подсети?
а зачем вы сажаете nat gateway в паблик сети? nat gateway же нужен чтобы private subnet в инет выхадили и темболее эластик аипи назначаете ?
А он там и должен быть, иначе как ?
@@ADV-IT я думал что если нада создать проста сеть где паблик не нужен можна сразу нат использовать.
а почему амазон рекомендует не удалять default vpc?
Чтобы их не заебывали восстановить эту сеть.
@@ADV-IT а у меня может быть сервер с 3мя интерфейсами двое из CIDR 198.168.0.0/16, один из 10.0.0.0/8?
vpc не позволяет
@@sonny23ization может. Только не все instance type поддерживают несколько интерфейсов. Обычно только большие и дорогие поддерживают это
@@ADV-IT мне просто небольшую сеть надо создать, если свободен можно в личку линкдин напишу?
А за создание своих VPC нужно платить?
Нет, только за трафик на NAT Gateway
помоги пожалуйста решить задачку
VPC CIDR 10.0.0.0/16
Там некое количество сабнетов.
надо запустить 3000 хостов с 30-ю сетевыми картами(если вам морально будет легче надо запустить 90000 серверов в этом VPC) Как это сделать если /16 = 65535 адресов
KGB - krasava
Схемма не совсем верная. На практике NAT Gateaway подключался к приватным сетям, а на схеме к публичным
Ка схеме нарисовано где NAT создается
Вы должны были предупредить что за трафик VPC нужно платить. Я создал по вашему уроку и забыл. За месяц набежало 80 долларов!
Не зря я все стираю в конце уроков.
Особенно я показал как стереть и ничего не забыть в уроках VPC.
Я кстати тоже забыл LoabBalancer стереть недавно, 11$ набежало.
Я покажу в след уроке как сделать Bill Alarm!
Очень короткий урок, но напомнит если счет набежит > 5$
Сейчас рендерю 35 урок, как сделать Bill Alarm!
Готов: th-cam.com/users/edit?o=U&video_id=XNeAH4dch0g
ADV-IT скажите пожалуйста, если я не заплачу счет, мне же ничего не грозит? Я смогу открыть новый аккаунт с уже другим имейлом? Допустим могут ли они мне в будущем отказать в сертификации?
Я не знаю даже