Вирус папилломы человека, oпределение ДНК 35 и 45 типов (HPV DNA, Types (35,45)
Вирус папилломы человека (ВПЧ) — широко распространённое инфекционное заболевание мочеполовых органов, которое может стать причиной возникновения рака шейки матки у женщин и плоскоклеточного рака у мужчин.
Различные типы ВПЧ вызывают развитие:
цервикальной, вульвальной, влагалищной дисплазии шейки матки;
преинвазивного и инвазивного рака шейки матки, рака влагалища и перианальной области;
остроконечных кондилом половых органов, мочевых путей;
генитальных кондилом.
Пути распространения инфекции
Основной путь передачи ВПЧ — половой, но описаны случаи бытовой передачи инфекции. Женщины и мужчины подвергаются инфицированию с одинаковой частотой. Приблизительно у 70% обследованных, ВПЧ выявляется у обоих половых партнеров. Возможно внутриутробное инфицирование.
По данным некоторых исследователей, частота инфицирования вирусом прямо пропорциональна числу половых партнёров: при наличии одного партнера, ВПЧ выявляется у 17–20% женщин, при наличии 5 и более партнёров — у 70–80%.
Инкубационный период
Длительность инкубационного периода может длиться от 2 месяцев до 2–10 лет. Для ВПЧ характерно скрытое течение заболевания, при котором отсутствуют клинические проявления и при кольпоскопическом, цитологическом и гистологическом обследовании изменения не выявляются. В 30% случаев, в течение 6–12 месяцев может произойти избавление от вируса. Диагностика скрытой ВПЧ-инфекции осуществляется только методом ПЦР.
Клинические проявления
ВПЧ может по-разному воздействовать на эпителий: способствовать возникновению доброкачественных образований (папиллом, кондилом) или объединению ДНК папиллома-вируса с геном клетки, что приводит к дисплазии и неоплазии, в дальнейшем к раку. Наиболее частая область локализации рака — переходная зоне шейки матки в цервикальный канал.
Клинические формы папилломавирусной инфекции обнаруживают у 40–60% мужчин, являющихся половыми партнёрами инфицированных женщин. Поражения у них вызываются теми же типами ВПЧ, что и у женщин. В 2/3 случаев возникают характерные высыпания на коже и слизистых оболочках половых органов.
Что делать, если у вас обнаружен Вирус папилломы человека (ВПЧ)? Диагностика, лечение, профилактика.
Сейчас часто начали диагностировать у пациентов вирус папилломы человека (ВПЧ) и после этого стал возникать извечный вопрос, что делать?
Для начала, хотелось бы немного рассказать о нем: определение вируса папилломы человека.
Если обобщить, то ВПЧ – инфекция может находиться в следующих формах:
- Латентное течение определяется как персистенция папилломавируса в базальном слое эпителия. При этом вирус находится в эписомальной форме (молекула ДНК вируса не внедрена в молекулу ДНК клетки) и не приводит к патологическим изменениям в клетках. Латентное течение инфекции характеризуется отсутствием клинических проявлений, кольпоскопической, цитологической и гистологической нормой. Наличие ВПЧ-инфекции определяется ДНК-методами (ПЦР).
- Продуктивная инфекция предусматривает клинические проявления инфекции (папилломы, бородавки, кондиломы). При этом вирус, существующий в эписомальной форме, копируется в инфицированных клетках. Одновременно происходит усиленное размножение клеток базального слоя эпителия, что ведет к прогрессированию инфекции и появлению вегетаций (разрастаний). Клинически продуктивная инфекция определяется как бородавки или папилломы. Вирус выявляется методом ПЦР. При гистологическом исследовании определяются явления гиперкератоза (повышенного ороговения, т.е. старения клеток).
- Дисплазия (неоплазия) развивается при интеграции (внедрение) ДНК вируса в геном клетки. При неоплазии происходят изменения в структуре эпителиальных клеток. Наиболее часто поражения локализуются в переходной зоне шейки матки. На стыке многослойного плоского и цилиндрического эпителия базальные клетки, чувствительные к вирусной инфекции, находятся в непосредственной близости к поверхностным слоям, что облегчает контакт с вирусом при инфицировании. ВПЧ-инфекция подтверждается при гистологическом обследовании и кольпоскопии.
- В случае карциномы инвазивной опухоли вирус в клетке существует в интегрированной форме. При этом выявляются измененные, «атипичные» клетки, свидетельствующие о злокачественности процесса. Наиболее частая локализация – переходная зона шейки матки. Выявляется при кольпоскопическом и гистологическом исследовании.
Как проявляется ВПЧ – инфекция?
Основным симптомом инфекции вызванной вирусом папилломы человека является образование так называемых остроконечных кондилом.
Внешне остроконечные кондиломы похожи на обычные бородавки. Они могут иметь небольшие размеры (от нескольких миллиметров до сантиметра), розоватую или телесного цвета окраску, гладкую или слегка бугристую поверхность.
Чаще всего остроконечные кондиломы образуются в области наружных половых органов.
У женщин остроконечные кондиломы могут возникать вблизи клитора, на малых и больших половых губах, во влагалище и на шейке матки. В случае раздражения кондилом, располагающихся близко к входу во влагалище, возможно появление зуда и незначительного кровотечения во время полового акта.
У мужчин остроконечные кондиломы образуются на половом члене и мошонке.
Также кондиломы могут образоваться в области анального отверстия, в мочеиспускательном канале или в любом другом месте на коже (кожа шеи, подмышечные впадины). Несколько расположенных рядом кондилом могут сливаться в одну большую «бородавку».
Как правило, остроконечные кондиломы безболезненны. В некоторых случаях в области кондилом ощущается легкий зуд и дискомфорт.
Когда нужно обратиться к врачу?
Обязательно обратитесь к врачу, если вы заметили у себя на коже образования (бородавки, выросты) похожие на остроконечные кондиломы. Врач назначит вам необходимые обследования, которые помогут установить точную причину болезни и исключить другие заболевания, передающиеся половым путем.
Диагностика ВПЧ?
Для подтверждения диагноза папилломавирусной инфекции используется метод ПЦР (полимеразной цепной реакции), который позволяет определить ДНК вируса и точно установить, каким типом вируса заражен человек.
В современных диагностических лабораториях определяется тип вируса, его количество (вирусная нагрузка) и интеграция вируса в геном. В начале статьи приведена информация, которая показывает, что наиболее опасны ВПЧ высокого онкогенного риска (ВОР). Имеет значение кроме типа вируса, определение и его количества. От этого зависит тактика лечения. Интеграция вируса в геном клетки, к сожалению, в наших лабораториях не определяется. Этот анализ важен в ранней диагностике дисплазии эпителия шейки матки и неинвазивной карциномы.
Очень важно, чтобы все поняли, даже если ПЦР анализ выявит у вас онкогенные формы ВПЧ, это не означает, что у вас уже есть рак шейки матки или что вы неминуемо заболеете им в ближайшее время, так как, далеко не во всех случаях ВПЧ приводит к развитию рака. От момента заражения до появления предрака могут пройти годы.
Для того чтобы определить вызвал ли ВПЧ изменение клеток шейки матки и есть ли риск развития рака нужно обязательно пройти тщательное гинекологическое обследование, которое включает в себя обязательно :
- Кольпоскопию (осмотр шейки матки аппаратом, напоминающим микроскоп и позволяющий осматривать под увеличением от 8 до 20 крат).
- Цитологический мазок (ПАП тест), который используется для определения диспластических изменений в клетках шейки матки.
- Бактериоскопическое исследование выделений из влагалища. Часто ВПЧ-инфекция сочетается с другими инфекциями передающимися половым путем (примерно в 20% случаев), поэтому может быть необходимо дополнительное дообследование для определения хламидиоза, микоплазмоза, уреаплазмоза и трихомониаза.
- Прицельная биопсия – взятие кусочка ткани шейки матки в случаи наличия дисплазии или подозрения на злокачественную опухоль шейки матки.
Лечение ВПЧ
Поскольку полного излечения от папилломавирусной инфекции в настоящее время достичь невозможно (наряду с этим часто наблюдается спонтанное, самопроизвольное излечение), лечат проявления ВПЧ, а не присутствие вируса в организме. При этом эффективность различных методов лечения составляет 50-70 %, а в четверти случаев заболевание вновь проявляет себя уже спустя несколько месяцев после окончания лечения. Вопрос о целесообразности лечения каждой пациентки решается врачом индивидуально. При этом необходимо избегать факторов, снижающих иммунитет (переохлаждение, сильные эмоциональные стрессы, хроническое переутомление, авитаминоз). Существуют исследования, которые говорят о профилактическом эффекте ретиноидов (бета-каротин и витамин А), витамина С и микроэлементов, таких как фолаты, в отношении заболеваний, вызванных ВПЧ.
Среди методов лечения проявлений ВПЧ инфекции (остроконечных кондилом и папиллом) чаще всего используются:
- Деструктивные методы — это местное лечение, направленное на удаление кондилом. Различают физические (криодеструкция, лазеротерапия, диатермокоагуляция, электрохирургическое иссечение) и химические (трихлоруксусная кислота, ферезол, солкодерм) деструктивные методы, а также хирургическое удаление кондилом. Цитотоксические препараты — подофиллин, подофиллотоксин (кондилин), 5-фторурацил. Женщинам детородного возраста на время лечения рекомендуют надежную контрацепцию или отказ от половой жизни.
- Имунологические методы Наиболее часто для лечения ВПЧ-инфекции используются интерфероны (лаферон, лаферобион, альфарекин, реаферон, виферон). Они представляют собой семейство белков, которые вырабатываются клетками иммунной системы в ответ на стимуляцию вирусами. Отдельно стоит препарат Алокин-альфа, который стимулирует выработку собственного интерферона и активирует клеточный иммунитет.
- Специфические противовирусные препараты (цидофовир, панавир, алпиразин). Известный противовирусный препарат ацикловир (зовиракс) не оказывает действие на ВПЧ. Из местных (влагалищных) препаратов противовирусным действием обладает Эпиген интим спрей и Бетадин.
Профилактика ВПЧ
Может быть неспецифическая и специфическая.
Неспецифическая включает предотвращение заражения ВПЧ половым путем, здоровый образ жизни с целью укрепления работы иммунной системы и сбалансированное питание включающее в себя бета-каротин, витамин А, витамина С и фолиевую кислоту.
Специфическая профилактика – вакцинация.
Вакцины для профилактики ВПЧ содержат органические вещества, структура которых похожа на структуру живых вирусов ВПЧ. Эти вещества ни в коем случае не могут вызвать болезнь.
После введения вакцины в организме человека начинают вырабатываться клетки иммунной системы, которые препятствуют внедрению ВПЧ в организм.
В настоящее время существует два типа вакцин против ВПЧ: квадривалентная Гардасил (Gardasil) и бивалентная Церварикс (Cervarix).
Церварикс предотвращает заражения ВПЧ 16 и 18, которые вызывают 70% всех случаев рака шейки матки и рака заднего прохода.
Гардасил, кроме защиты от ВПЧ 16 и 18 типов, предоставляет защиту ещё и от ВПЧ 6 и 11 типов, вызывающих 90% случаев бородавок на половых органах.
Гардасил и Церварикс защищают от заражения людей, которые еще не заражены ВПЧ соответствующего типа. Они не могут устранить вирус из организма человека, если он уже проник в него и не могут вылечить болезни (например, остроконечные кондиломы или дисплазию шейки матки) которые вирус уже успел спровоцировать. Именно по этой причине, прививки против ВПЧ рекомендуется делать в детском и подростковом возрасте, до начала половой жизни.
Таким образом, вакцина Гардасил защищает от заражения ВПЧ 6, 11, 16 и 18 типов и рекомендуется для профилактики рака и дисплазии шейки матки, рака влагалища и наружных половых органов у женщин, а также для профилактики рака заднего прохода и остроконечных кондилом у мужчин и женщин. Вакцина Церварикс защищает от заражения ВПЧ 16 и 18 типов и рекомендуется для профилактики рака и дисплазии шейки матки у женщин и рака заднего прохода у мужчин и женщин.
В 2014 году была выпущена девятивалентная вакцина у которой устранены недостатки предшествующих. Девятивалентная вакцина «Гардасил 9» охватывает дополнительные пять типов вируса высокого онкогенного риска: 31, 33, 45, 52 и 58. В декабре 2014 года «Гардасил 9» был одобрен Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) Минздрава США.
По состоянию на 2013 год вакцины зарегистрирована более, чем в 125 странах мира, почти в 20 странах входят в национальные календари прививок, в мире распространено 111 миллионов доз препарата.
Автор:
Сумцов Дмитрий Георгиевич
Вирус папилломы человека Digene-тест (ВПЧ Digene-тест, метод «гибридного захвата»; Digene HPV Test, Hybrid Capture Technology) — определение ДНК-типов высокого онкогенного риска (16/18/31/33/35/39/45/51/52/56/58/59/68 типы)
Скрининговый тест, использующийся в целях диагностики предраковых состояний и рака шейки матки.
Существует более 100 генотипов вируса папилломы человека. Инфицирование этим вирусом — достаточно распространённое явление. Передаётся инфекция обычно половым путём, в редких случаях возможна вертикальная передача вируса от матери к ребёнку во время родов.
Инфицирование вирусом папилломы может не иметь клинических проявлений, часто наблюдается естественное очищение организма от вируса, особенно в молодом возрасте. Но персистенция вируса в эпителии шейки матки в течение длительного времени может вызывать его патологические изменения.
Рак шейки матки – один из немногих видов злокачественных новообразований, для которых установлена основная причина возникновения заболевания. Многочисленными исследованиями показано, что ДНК вируса папилломы человека обнаруживается практически при всех случаях предраковых состояний и при раке шейки матки. Инфицирование вирусом папилломы предшествует последующей сквамозной (чешуйчатой) интраэпителиальной дисплазии шейки матки. Третья стадия интраэпителиального новообразования шейки матки возникает только при наличии персистирующей инфекции генотипами папилломавируса высокого онкогенного риска. Доказано, что длительная персистенция (5 — 10 лет) папилломавируса генотипов высокого онкогенного риска у женщин старше 30 лет связана со значительным ростом риска развития злокачественных изменений шейки матки. Инфицирование вирусом папилломы генотипов низкого онкогенного риска может клинически проявляться в виде появления остроконечных кондилом.
Digene HPV тест – защищённая международным патентным законодательством молекулярная технология фирмы Digene, направленная на выявление специфических фрагментов ДНК вируса папилломы человека (метод «гибридного захвата»).
Digene HPV тест дает возможность дифференцировать между 2 группами генотипов вируса — высокого и низкого онкориска. В тесте № 394 выявляется наличие ДНК HPV группы генотипов высокого риска (16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 68). В тесте № 395 выявляется наличие ДНК HPV группы генотипов низкого риска (6/11/42/43/44).
Digene HPV тест получил широкое распространение благодаря своей надежности и простоте применения. Чувствительность теста в комбинации с цитологическим исследованием (PAP-тест, в лаборатории ИНВИТРО тест № 517) в обнаружении предраковых изменений шейки матки и рака шейки матки намного выше, чем проведение только цитологического исследования. Считается целесообразным проведение Digene HPV теста при неопределённых результатах PAP-теста. В настоящее время комбинация Digene HPV теста и цитологического PAP-теста становится «золотым стандартом» в этой области диагностики и предлагается для скринингового обследования женщин старше 30 лет. Метод стандартизован. Это единственный тест выявления HPV высокого онкогенного риска, одобренный FDA (Федеральное Управление США по контролю за пищевыми продуктами и лекарствами). Тест получил одобрение ФСНСЗСР (Федеральная служба РФ по надзору в сфере здравоохранения и социального развития).
Digene-тест выявляет клинически значимый уровень инфицирования вирусом папилломы человека, приводящий к развитию неоплазии шейки матки (в отличие от обычных ПЦР-методов, направленных на максимальную чувствительность выявления вирусной ДНК, что не всегда имеет прямые клинические корреляции). Положительный Digene HPV тест у женщин моложе 30 лет служит показанием к повторному тестированию через 9 месяцев, поскольку у молодых женщин инфекция ВПЧ может носить транзиторный характер.
Положительный Digene HPV тест у женщин старше 30 лет может свидетельствовать о персистенции вируса. При соответствующем результате цитологического исследования это означает, что женщина имеет высокий риск развития онкопатологии шейки матки и ей требуется специальная профилактика или лечение. Современные методы лечения позволяют в случае раннего выявления резко снизить заболеваемость раком шейки матки и особенно его инкурабельных случаев. Тестирование на присутствие вируса после проведённого лечения позволяет убедиться в его эффективности.
Вирус папилломы человека: вопросы и ответы
Что такое папилломавирусная инфекция?
Папилломавирусная инфекция — группа вирусных инфекционных заболеваний, характеризующихся развитием папилломатозных (бородавчатых) образований на коже и слизистых оболочках, хроническим рецидивирующим течением, широким распространением, высокой контагиозностью, т.е. способностью легко передаваться от человека к человеку.
Проявления папилломавирусной инфекции (ПВИ, ВПЧ) медикам известны давно. Они описаны еще врачами Древней Греции под названием «кондиломы». Гиппократ называл их также «половыми бородавками».
Вирус папилломы человека (ВПЧ) – это достаточно распространенный вирус, который может вызвать серьезные заболевания вплоть до возникновения онкологических заболеваний.
По эпидемиологическим оценкам в мире инфицировано 10-13% населения или приблизительно 630 млн. человек. При проведении массовых скрининговых исследований ВПЧ обнаруживается у 40-50% сексуально активных мужчин и женщин, но у большинства из них, особенно в молодом возрасте, может исчезнуть без какого- либо лечения.
Как можно заразиться вирусом папилломы человека?
ВПЧ поражает всех – мужчин и женщин — и передается при половых контактах, а также при любых прямых контактах с кожей заражённого человека, однако очень редко метастазирует в отдельные органы и ткани человека.
Не случайно вирус папилломы человека — наиболее сексуально трансмиссивная инфекция. По данным некоторых исследователей, вероятность заражения ВПЧ при половом контакте составляет до 60-70%, частота инфицирования вирусом прямо пропорциональна числу половых партнёров: при наличии одного партнера ВПЧ выявляется у 17-20% женщин, при наличии 5 и более партнёров — у 70-80%.
Клинические формы папилломавирусной инфекции обнаруживают у 40-60% мужчин, являющихся половыми партнёрами инфицированных женщин. Поражения у них вызываются теми же типами ВПЧ, что и у женщин, а примерно в 2/3 случаев возникают характерные высыпания на коже и слизистых оболочках половых органов.
Несмотря на то, что вирус папилломы человека обнаружен в амниотической жидкости, риск заражения плода от матери оценивается как низкий и составляет – до 3%.
К каким заболеваниям может привести наличие у человека вируса папилломы?
На сегодняшний день известно более 300 различных типов вируса папилломы человека. Среди них различают типы ВПЧ высокого, среднего и низкого онкогенного риска. При этом человек может быть инфицирован как одним, так и несколькими типами вируса одновременно.
Различные типы ВПЧ вызывают или принимают участие в развитии:
цервикальной, вульвальной, влагалищной дисплазии шейки матки;
преинвазивного и инвазивного рака шейки матки, рака влагалища и перианальной области;
остроконечных кондилом половых органов, мочевых путей;
генитальных кондилом.
Согласно данным эпидемиологических исследований, частота ПВИ гениталий значительно варьирует в различных этнических и географических регионах. Распространённость вируса папилломы обусловлена многочисленными факторами, а также во многом определяется социально-экономическими, поведенческими и медико-гигиеническими условиями. Так, например, минимальная частота инфицирования ВПЧ (5%) наблюдается в Испании. Эта страна принадлежит к странам с «низким» риском заболевания раком шейки матки. Традиционно «высоким» риском инфицирования ВПЧ считаются страны – Аргентина, Мексика, Бразилия, Марокко. С другой стороны, в США и Канаде, несмотря на высокий социально- экономический уровень, частота выявления ВПЧ составляет от 22 до 26%.
Несмотря на очевидную медико-социальную значимость проблемы, системные исследования по оценке распространенности ПВИ в Российской Федерации практически не проводились. В настоящее время выполняются отдельные, нескоординированные исследования, согласно которым невозможно объективно оценить состояние проблемы в целом и осуществить даже приближённое прогнозирование эпидемиологической ситуации распространенности ВПЧ среди населения.
Как развивается и проявляется папилломавирусная инфекция?
Вирус папилломы человека обитает в коже и слизистых оболочках половых органов. Как показывают медицинские и лабораторные исследования, количество вируса зависит от состояния иммунитета кожи и слизистых — чем выше активность иммунной системы, тем меньшее количество вируса содержится в них. Для того, чтобы вирус мог проявить себя какими-либо симптомами, должно накопиться определенное его количество. А это возможно только при условии снижения иммунитета: после перенесённых инфекций, во время (после) приёма антибиотиков, при беременности, во время сильных стрессов и т. д. Накопившись в достаточной мере на участке кожи или слизистой, вирус папилломы изменяет функцию эпителиальных клеток. В результате они начинают бесконтрольно делиться, что приводит к разрастанию участка кожи и появлению разного рода образований — папиллом и кондилом.
В зависимости от проявлений ПВИ на гениталиях выделяют клиническую, субклиническую и латентную формы.
Клиническая форма инфекции – это в основном генитальные бородавки в виде остроконечных (экзофитных) образований. В редких случаях кондиломы наружных половых органов быстро разрастаются, превращаясь в полузлокачественное гигантское образование – опухоль Бушке — Левеншштейна, с экзо- и эндофитным ростом и способностью к проникновению в соседние ткани.
Субклиническая форма ПВИ проявляется в виде плоских кондилом. Они чаще локализуются на шейке матки, реже во влагалище, и в большинстве случаев не заметны при осмотре.
Латентная форма ПВИ не сопровождается морфологическими изменениями в инфицированной ткани, а ДНК вируса часто определяют, где нет заметных клинических признаков инфекции.
Как диагностировать наличие вируса папилломы человека?
Доказательством наличия вируса папилломы служат:
проявления инфекции ВПЧ;
результаты цитологического исследования (изучения характера клеток под микроскопом), свидетельствующего о дисплазии шейки матки;
выявление ВПЧ методом ПЦР;
выявление в крови антител к ВПЧ (используется только в научных целях).
В лабораторной практике для диагностики ВПЧ используются две методики: ПЦР и гибридизационный анализ (Дайджин — тест). В Независимой лаборатории ИНВИТРО для диагностики вируса папилломы человека используют оба метода.
Наиболее распространенным, доступным и достаточно чувствительным является метод ПЦР. Он позволяет диагностировать субклиническую и латентную формы инфекции и обнаружить от 10 до 100 копий генома ВПЧ и идентифицировать, по крайней мере, 43 различных типа.
Несмотря на высокую чувствительность ПЦР, при бессимптомной инфекции ВПЧ выявить вирус удается далеко не всегда. Это связано с особенностями этой инфекции:
инфекция ВПЧ может неопределенное время находиться в латентном (спящем) состоянии. При этом вирус находится в глубине кожи и слизистых, но на поверхность не выделяется. В таком состоянии его сложно выявить методом ПЦР.
инфекция ВПЧ в большинстве случаев поражает обширные участки кожи. При отсутствии симптомов не совсем ясно, исследование какого участка кожи будет более достоверным.
Дайджин — тест — позволяет выявлять не только 13 типов вируса высокоонкогенного риска и 5 типов низкого онкогенного риска ВПЧ, но и определять клинически значимую концентрацию вируса в ткани. Это помогает выработать дальнейшую тактику врача при ведении пациента. Чувствительность теста в сочетании с цитологическим исследованием в обнаружении дисплазий и рака шейки матки намного выше, чем проведение только цитологического анализа.
При цитологическом исследовании, которое также можно провести в Независимой лаборатории ИНВИТРО, часто используется окрашивание мазков по Папаниколау (PAP – тест).
В настоящее время комбинация Дайджин – теста и PAP –теста является «золотым стандартом» в области диагностики патологии шейки матки и предлагается для скринингового обследования женщин старше 30 лет. Положительный тест у женщин моложе 30 лет служит показанием к повторному тестированию через 9 месяцев, поскольку у молодых инфекция может носить транзиторный характер.
Положительный Дайджин — тест у женщин, старше 30 лет может свидетельствовать о персистенции вируса. При соответствующем результате цитологического исследования это означает, что имеется высокий риск развития онкопатологии шейки матки и это требует специальной профилактики и лечения.
Следует помнить, что диагностика ВПЧ инфекции – является одним из важных методов профилактики рака шейки матки и играет значительную роль в успешном лечении данного заболевания.
Однако выявление папилломавирусных инфекций требует современной технологической базы и высококачественных исследований. Именно это может предложить своим клиентам Независимая лаборатория ИНВИТРО.
сдать анализ на 14 типов (16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68), цены на ПЦР в Москве в Инвитро
Метод определения
ПЦР с детекцией в режиме «реального времени».
Исследуемый материал
Соскоб эпителиальных клеток урогенитального тракта
Доступен выезд на дом
Синонимы: Human papillomavirus DNA, HPV DNA; ДНК Вируса папилломы человека, ДНК ВПЧ.
Количественное определение ДНК ВПЧ 14 типов (16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68) в соскобе эпителиальных клеток урогенитального тракта методом ПЦР с детекцией в режиме реального времени.
Краткая характеристика вируса папилломы человека (ВПЧ)
Вирус папилломы человека (ВПЧ, Human papillomavirus, HPV) относится к малым ДНК-содержащим вирусам, которые инфицируют эпителиальные клетки и индуцируют пролиферативные поражения кожи и слизистых оболочек. В настоящее время известно около ста типов ВПЧ с различным онкогенным потенциалом, которые условно объединяют в группы высокого и низкого онкогенного риска. Более 90% всех цервикальных карцином позитивны к присутствию ВПЧ. Наиболее часто в биоматериале из опухолей шейки матки обнаруживают 16-й и 18-й типы. Выявление ДНК ВПЧ не подтверждает наличие злокачественного процесса, в большинстве (до 90%) случаев в течение 12-36 месяцев происходит элиминация вируса и самоизлечение. При длительной хронической персистенции вируса и в зависимости от его типа повышается риск развития онкологического процесса. Диагностика заболевания требует дополнительного цитологического, гистологического исследования и динамического наблюдения.
С какой целью определяют ДНК ВПЧ в соскобе эпителиальных клеток урогенитального тракта
Количественное определение ДНК ВПЧ позволяет врачу-клиницисту подобрать оптимальную схему лечения для каждого пациента и при необходимости контролировать эффективность терапии.
Что необходимо для получения достоверного результата анализа на ДНК ВПЧ в соскобе эпителиальных клеток урогенитального тракта
Поскольку ВПЧ инфицирует эпителиальные клетки, необходимым условием получения достоверного результата является соблюдение техники взятия соскоба. В состав тестов по диагностике и мониторингу ВПЧ введен специальный параметр – контроль взятия материала (КВМ). КВМ – это тест по определению количества геномной ДНК человека в биоматериале, источником которой служат эпителиальные клетки, попавшие в пробу.
Аналитические показатели: определяемый фрагмент – уникальная последовательность ДНК ВПЧ 16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68 типов. Специфичность определения – 100 %. Чувствительность определения – 100 копий ДНК ВПЧ в образце.
Литература
- Профилактика рака шейки матки: Руководство для врачей. — М.: Изд. «МЕДпресс-информ». 2008:41.
- Заболевания шейки матки и генитальные инфекции. Под ред. проф. В.Н. Прилепской. — М.: Изд. «ГЭОТАР-Медиа». 2016:384.
- Папилломавирусная инфекция. Пособие для врачей. Под ред. проф. д.б.н. В.М. Говоруна. 2009:55.
- Bekkers R., Meijer C., et al. Effects of HPV detection in population-based screening programmers for cervical cancer: a Dutch moment. Gynecologic oncology. 2006;100(3):451-454.
- Khan M. et al. The elevated 10-year risk of cervical precancer and cancer in women with human papillomavirus (HPV) type 16 or 18 and the possible utility of type specific HPV testing in clinical practice. Journal of the National Cancer Institute. 2005; 97:1072-1079.
- Snijders J., Meijer C. The value of viral load in HPV detection in screening. HPV today. 2006;8:8-9.
сдать анализ на 14 типов (16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68 типы), цены на мазок ПЦР в Москве в ИНВИТРО
Метод определения
ПЦР с детекцией в режиме «реального времени».
Исследуемый материал
Соскоб эпителиальных клеток урогенитального тракта
Доступен выезд на дом
Суммарное выявление ДНК вируса папилломы человека 14 типов высокого онкогенного риска (16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68) в соскобе эпителиальных клеток урогенитального тракта методом ПЦР с детекцией в режиме «реального времени».
Вирус папилломы человека (ВПЧ, Human papillomavirus, HPV) относится к малым ДНК-содержащим вирусам, которые инфицируют эпителиальные клетки и индуцируют пролиферативные поражения кожи и слизистых оболочек. В настоящее время известно около ста типов ВПЧ с различным онкогенным потенциалом, которые условно объединяют в группы высокого и низкого онкогенного риска. Более 90% всех цервикальных карцином позитивны к присутствию ВПЧ. Наиболее часто в биоматериале из опухолей шейки матки обнаруживают 16-й и 18-й типы. Выявление ДНК ВПЧ не подтверждает наличие злокачественного процесса, в большинстве (до 90%) случаев в течение 12-36 месяцев происходит элиминация вируса и самоизлечение. При длительной хронической персистенции вируса и в зависимости от его типа повышается риск развития онкологического процесса. Диагностика заболевания требует дополнительного цитологического, гистологического исследования и динамического наблюдения.
Поскольку ВПЧ инфицирует эпителиальные клетки, необходимым условием получения достоверного результата является соблюдение техники взятия соскоба. В состав тестов по диагностике и мониторингу ВПЧ введен специальный параметр – контроль взятия материала (КВМ). КВМ – это тест по определению количества геномной ДНК человека в биоматериале, источником которой служат эпителиальные клетки, попавшие в пробу.
Аналитические показатели:
- определяемый фрагмент – специфичные участки ДНК ВПЧ 16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68 типов;
- специфичность определения – 100%;
- чувствительность определения – 100 копий ДНК ВПЧ 16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68 типов в образце.
Литература
- Профилактика рака шейки матки: Руководство для врачей. — М.: Изд. «МЕДпресс-информ». 2008:41.
- Заболевания шейки матки и генитальные инфекции. Под ред. проф. В.Н. Прилепской. — М.: Изд. «ГЭОТАР-Медиа». 2016:384.
- Папилломавирусная инфекция. Пособие для врачей. Под ред. проф. д.б.н. В.М. Говоруна. 2009:55.
- Bekkers R., Meijer C., et al. Effects of HPV detection in population-based screening programmers for cervical cancer: a Dutch moment. Gynecologic oncology. 2006;100(3):451-454.
- Khan M. et al. The elevated 10-year risk of cervical precancer and cancer in women with human papillomavirus (HPV) type 16 or 18 and the possible utility of type specific HPV testing in clinical practice. Journal of the National Cancer Institute. 2005; 97:1072-1079.
- Snijders J., Meijer C. The value of viral load in HPV detection in screening. HPVtoday. 2006;8:8-9.
Комплексный ПЦР тест нового поколения для определения вируса папилломы человека (ВПЧ)
Лаборатория «Овум» проводит комплексный ПЦР тест нового поколения для определения
Вируса папилломы человека (ВПЧ)
- ВПЧ СКРИН-ТИТР – тест суммарного определения количества ДНК 14-высокоонкогенных типов ВПЧ с дифференцированным определением индивидуальных концентраций наиболее онкогенных 16,18 и 45 генотипов и определением возможной интеграции вируса
Исследование позволяет методом ПЦР в режиме «реального времени» в количественном формате определять:
— суммарное количество ДНК 14-ти высокоонкогенных генотипов ВПЧ (16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68),
— количество ДНК ВПЧ 16 типа,
— количество ДНК ВПЧ 18 типа,
— количество ДНК ВПЧ 45 типа,
— оценить возможность интеграции ДНК ВПЧ 16,18,45 типов в геном клеток человека.
В настоящее время доказана и не подвергается сомнению роль ВПЧ как основной причины в возникновении и развитии рака шейки матки (РШМ) у женщин.
К генотипам ВПЧ высокого онкогенного риска на сегодняшний день относят 14 типов вируса: 16,18,31,33,35,39,45,51,52,56,58,59,66,68; они способны оказывать трансформирующее воздействие на клетки эпителия и приводить к развитию предраковых изменений – тяжелых дисплазий и рака шейки матки.
ВПЧ обнаруживается в 95% случаев РШМ, из них 16, 18, 45 генотипы в совокупности являются причиной 75% плоскоклеточных раков и 94% аденокарцином шейки матки.
Средний возраст возникновения раков при ВПЧ 16, 18, 45 типов – 47 лет, при всех остальных высокоонкогенных типах – 56 лет.
Тест ВПЧ СКРИН-ТИТР определяет только значимые для риска развития рака шейки матки генотипы ВПЧ (тест не определяет генотипы ВПЧ низкого и неопределенного риска).
Количественное исследование ВПЧ отражает степень активности процесса и позволяет оценить клиническую значимость. Тест ВПЧ-СКРИН-ТИТР позволяет определять точное количество вирусной ДНК в единицах измерения — lg ДНК ВПЧ на 100 тыс. клеток эпителия.
Интерпретация результатов для исследуемых образцов:
Концентрация ВПЧ | Клиническая значимость |
менее 3 lg ДНК ВПЧ | Малозначимая |
от 3 до 5 lg ДНК ВПЧ | Значимая |
более 5 lg ДНК ВПЧ | Повышенная |
Развитие РШМ часто ассоциировано с длительным присутствием (персистенцией) в организме и встраиванием ДНК вируса (интеграцией) в геном клеток эпителия человека, наиболее часто интегрируют ВПЧ 16, 18 и 45 генотипы. Определяя различные участки онкогенов вируса методом ПЦР можно косвенно судить о возможности интеграции вируса в геном человека. Интеграция вируса в геном человека — наиболее опасный и прогностически неблагоприятный фактор.
Носительство вируса может возникнуть практически у каждой женщины. Длительная персистенция ВПЧ с большей вероятностью приведет к злокачественной трансформации клетки. В случае получения неудовлетворительных результатов обследования необходима консультация у врача-гинеколога, который выберет оптимальную тактику дальнейшего обследования, наблюдения и лечения.
Тактика регулярного обследования снижает риск развития рака шейки матки в 1000 раз, а раннее начало терапии предотвращает до 80% наблюдений цервикального рака.
Выявление ВПЧ – не приговор, а повод для регулярного наблюдения. Доказано, что при проведении адекватного противовоспалительного лечения, дисплазия шейки матки любой степени способна регрессировать и исчезать совсем.
Исследуемый материал для ПЦР анализа на ВПЧ СКРИН-ТИТР:
- мазки со слизистой оболочки влагалища;
- соскобы эпителия со слизистой оболочки цервикального канала.
Показания к исследованию:
- Скрининг заболеваний шейки матки (цервикальный скрининг) совместно с цитологическим исследованием
- Подозрение на инфицирование ВПЧ
- Неопределенные результаты цитологического исследования
- Различия в результатах цитологического исследования и кольпоскопии
- Контроль эффективности проведенного лечения
Стоимость исследования: 800р.
Вирус папилломы человека, oпределение ДНК 21 типа: 6, 11, 16, 18, 26, 31, 33, 35, 39, 44, 45, 51, 52, 53, 56, 58, 59, 66, 68, 73, 82 + КВМ в соскобе эпителиальных клеток урогенитального тракта
ВПЧ-инфекция, папилломавирусная инфекция (вирус папилломы человека)
ВПЧ — human papillomavirus – вирус папилломы человека. В настоящее время вирусологи описали около 600 штаммов ВПЧ.
ВПЧ подразделяют на типы высокого и низкого онкогенного риска.
ВПЧ высокого онкогенного риска (16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68, 73 и 82) продуцируют белки, вызывающие перерождение инфицированных клеток в раковые (онкобелки Е6 и Е7).
ВПЧ низкого онкогенного риска вызывают образование доброкачественных кондилом или бородавок. Часто встречающимися представителями ВПЧ низкого онкогенного риска являются 6 и 11 типы ВПЧ. Для своевременного выявления ВПЧ рекомендовано сдавать гинекологические мазки на папилломавирусы.
ВПЧ является основным этиологическим фактором, вызывающим рак шейки матки.
К сведению. Рак шейки матки занимает первое место в структуре онкологической патологии женщин репродуктивного возраста. Вероятность развития рака шейки матки зависит от типа ВПЧ, вирусной нагрузки, а также от длительности инфицирования ВПЧ. Рак шейки матки и тяжелую дисплазию могут вызывать 14 типов вируса папилломы человека – ВПЧ высокого канцерогенного риска. К данной группе ВПЧ относят следующие типы вирусов: 16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68, 73, 82. Наиболее канцерогенными являются ВПЧ 16, 18 и 45 типов. Так, 16, 18 и 45 типы в совокупности являются причиной 94% аденокарцином и 75% плоскоклеточных раков.
Прогностически наиболее неблагоприятным фактором является интеграция генетического материала вируса в геном клетки. При этом доказано, что 29 из них обладают онкогенным потенциалом, вызывая рак шейки матки, влагалища, вульвы и заднего прохода, а около 35 — вызывают поражения покровного эпителия и слизистых оболочек половых органов (кондиломы, папилломы, папилломатоз гортани и др.
Скрининг рака шейки матки мы настоятельно рекомендуем пройти каждой женщине, вне зависимости от возраста, ведь всегда существует риск заражения или активизации скрытой ВПЧ-инфекции с последующим развитием предраковых состояний и рака шейки матки.
Цервикальный скрининг — эффективный метод борьбы с папилломавирусной инфекцией. Одним из важнейших направлений цервикального скрининга является программа, основанная на ПЦР-диагностике.
Тест предназначен для массового скрининга. Он позволяет:
— выявить 16 наиболее высоко онкогенных генотипов ВПЧ (16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68, 73, 82)
— провести количественную оценку вирусной нагрузки.
ВПЧ-тест на основе метода ПЦР в количественном формате предоставляет врачу полную информацию о течении инфекции и позволяет осуществлять индивидуализированный мониторинг с учетом данных анамнеза конкретной пациентки.
Ведущий путь передачи ВПЧ — половой. В группу риска входят люди, часто меняющие половых партнеров.
Важно знать! ВПЧ – это единственный вирус, cпособный проходить между латексными частицами презерватива.
Среди лиц, живущих активной половой жизнью, папилломавирусная инфекция с одинаковой частотой поражает как мужчин, так и женщин. Но у женщин она вызывает более серьезные последствия, будучи одной из причин развития рака шейки матки, который остается 2-ой по частоте и 3-ей по уровню смертности формой новообразований у женщин, а пик развития опухолей, по данным Всемирной организации Здравоохранения (ВОЗ), приходится на женщин в возрасте 35-39 лет.
Существуют также:
— вертикальный путь передачи ВПЧ – от матери к плоду. В этом случае от переходит от матери к ребенку во время его прохождения через родовые пути.
— контактно – бытовой путь – через предметы обихода (бритвенные принадлежности, полотенца).
Диагностика ВПЧ включает также:
— Первичный скрининг совместно с цитологическим исследованием (для женщин старше 30 лет)
— Первичный скрининг перед проведением цитологического исследования
— Мониторинг эффективности терапии предраковой патологии шейки матки
— Наличие папилломатозных разрастаний и изменений на слизистых оболочках половых органов
Интерпретация результата:
Биоматериал: соскоб эпителиальных клеток урогенитального тракта
Метод определения: ПЦР с детекцией в режиме «реального времени».
Аналитические показатели:
определяемый фрагмент – специфичные участки ДНК ВПЧ 6,11,16, 18, 21, 26, 31, 33, 35, 39, 44, 45, 51, 52, 56, 58, 59, 66, 68, 73, 82 типов;
специфичность определения – 100%;
чувствительность определения – 100 копий ДНК ВПЧ 16, 18, 31, 33, 35, 39, 45, 51, 52, 56, 58, 59, 66, 68 типов в образце
Формат выдачи результата: количественный
В случае выявления в образце биоматериала любого из 14 вышеуказанных типов ВПЧ указывается количество указанного типа вируса
Контроль взятия материала (КВМ) – это тест по определению количества геномной ДНК человека в биоматериале, источником которой служат эпителиальные клетки, попавшие в пробу. КВМ определяется для определения пригодности пробы биоматериала для анализа: если взятый медицинским работником биоматериал содержит меньше 500 копий ДНК ВПЧ, то он непригоден для ПЦР-исследования, поскольку содержит мало вирусных частиц ВПЧ.
По данным экспертов Всемирной организации здравоохранения (ВОЗ):
Вирус папилломы человека (ВПЧ) представляет собой группу вирусов, чрезвычайно широко распространенных во всем мире.
Существует более 100 типов ВПЧ, из которых как минимум 14 приводят к развитию рака (они известны также как тип вирусов высокого риска).
ВПЧ передается главным образом при сексуальных контактах, и большинство людей инфицируются ВПЧ вскоре после того, как начинают вести половую жизнь.
Рак шейки матки развивается в результате приобретенной половым путем инфекции определенными типами ВПЧ.
Два типа ВПЧ (16 и 18) вызывают 70% всех случаев рака и предраковых поражений шейки матки.
Имеются также фактические данные о связи ВПЧ с раковыми заболеваниями ануса, вульвы, влагалища, пениса и ротоглотки.
Рак шейки матки является четвертым, наиболее распространенным видом рака среди женщин в глобальных масштабах – по оценкам, в 2018 г. произошло 570 000 новых случаев заболевания.
Комплексная борьба с раком шейки матки включает первичную профилактику (вакцинацию против ВПЧ), вторичную профилактику (скрининг и лечение предраковых поражений), третичную профилактику (диагностику и лечение инвазивного рака шейки матки) и паллиативную помощь.
Вакцины, защищающие от ВПЧ 16 и 18, рекомендованы ВОЗ и одобрены для использования во многих странах.
Клинические испытания и пост-маркетинговое наблюдение показали, что вакцины против ВПЧ безопасны и эффективны для профилактики ВПЧ-инфекций.
Скрининг и лечение предраковых поражений у женщин является эффективным с точки зрения затрат способом профилактики рака шейки матки.
Рак шейки матки можно вылечить, если диагностировать его на ранней стадии и начать лечение незамедлительно.
Результат анализа не является диагнозом, необходима консультация специалиста.
Лаборатория «ЦКДЛ» выполняет исследование:
Вирус папилломы человека, oпределение ДНК 21 типа: 6, 11, 16, 18, 26, 31, 33, 35, 39, 44, 45, 51, 52, 53, 56, 58, 59, 66, 68, 73, 82 + КВМ в соскобе эпителиальных клеток урогенитального тракта (8.07.0006)
Обзор сети
VPC | Google Cloud
Сеть виртуального частного облака (VPC) — это виртуальная версия физической сети,
реализовано внутри производственной сети Google с использованием
Андромеда.
Сеть VPC обеспечивает следующее:
Проекты могут содержать несколько сетей VPC. Если вы не создадите
организационная политика, которая запрещает это, новые проекты начинаются с
сеть по умолчанию (сеть VPC с автоматическим режимом), в которой есть один
подсеть (подсеть) в каждом регионе.
Важно: На этой странице описаны сетей VPC , которые
отличается от устаревших сетей. Устаревшие сети не могут
больше не должны создаваться, и не рекомендуется для производства , потому что они не
поддержка расширенных сетевых функций. Чтобы просмотреть тип существующей сети, см.
Просмотр сетей.
Технические характеристики
Сети
VPC обладают следующими свойствами:
сетей VPC, включая связанные с ними маршруты и межсетевой экран
правила, являются
глобальные ресурсы.Это , а не , связанные с каким-либо конкретным регионом или зоной.Подсети — это региональные ресурсы.
Каждая подсеть определяет диапазон IP-адресов.Трафик к экземплярам и обратно можно контролировать с помощью сетевого брандмауэра
правила. Правила реализованы на самих виртуальных машинах, поэтому
трафик можно контролировать и регистрировать только при его выходе или прибытии на виртуальную машину.Ресурсы в сети VPC могут связываться с одним
другой — с использованием внутренних IPv4-адресов, в зависимости от применяемой сети.
правила брандмауэра.Для получения дополнительной информации см. Общение в
сеть.Экземпляры с внутренними IP-адресами могут связываться с API Google и
Сервисы. Для дополнительной информации,
см. Параметры частного доступа к службам.Сетевое администрирование можно защитить с помощью
Роли управления идентификацией и доступом (IAM).Организация
может использовать общий VPC, чтобы
Сеть VPC в общем хост-проекте. Авторизованный
Члены IAM из других проектов в той же организации могут
создавать ресурсы, использующие подсети общей сети VPC.Сети VPC могут быть подключены к другим VPC
сетей в разных проектах или организациях, используя
Пиринг сети VPC.Сети VPC могут быть безопасно подключены в гибридных средах
с помощью Cloud VPN или
Cloud Interconnect.Поддержка сетей VPC
GRE
трафик, включая трафик в Cloud VPN и Cloud Interconnect.
Сети VPC не поддерживают GRE для Cloud NAT или для
правила пересылки для балансировки нагрузки
и пересылка протокола.Поддержка GRE
позволяет прекращать трафик GRE на виртуальной машине из Интернета (внешний IP-адрес
адрес) и Cloud VPN или Cloud Interconnect (внутренний IP
адрес). Затем декапсулированный трафик может быть перенаправлен на доступный
место назначения. GRE позволяет использовать такие службы, как Secure Access Service.
Edge (SASE) и SD-WAN.Примечание. Поддержка GRE для VPN и межсоединений была протестирована только с GRE версии 0.
Кроме того, поддержка трафика GRE не включает поддержку
из Google Cloud для устранения неполадок в вашей оверлейной сети.Сети VPC поддерживают IPv4
одноадресные адреса.
Сети VPC также поддерживают внешние одноадресные IPv6-адреса в
некоторые регионы. Для получения дополнительной информации о поддержке IPv6 см.
Адреса IPv6. Сети VPC поддерживают , а не
транслировать
или многоадресная передача
адреса в пределах сети.
Терминология сети и подсети
Термины подсеть и подсеть являются синонимами. Они используются
взаимозаменяемо в Google Cloud Console, командах gcloud,
и API
документация.
Подсеть — это , а не , это то же самое, что и сеть (VPC).
Сети и подсети — это различных типов объектов в Google Cloud.
Сети и подсети
Каждая сеть VPC состоит из одного или нескольких полезных диапазонов IP-адресов.
разделы, называемые подсетями. Каждая подсеть связана с
область. Сети VPC не
иметь связанные с ними диапазоны IP-адресов. Диапазоны IP-адресов
определены для подсетей.
Перед использованием в сети должна быть хотя бы одна подсеть.Автоматический режим
Сети VPC автоматически создают подсети в каждом регионе. Обычай
режим сети VPC без подсетей, что дает вам полный контроль
над созданием подсети. Вы можете создать более одной подсети для каждого региона. Для
информация о различиях между автоматическим режимом и пользовательским режимом
Сети VPC, см. Типы сетей VPC.
Когда вы создаете ресурс в Google Cloud, вы выбираете сеть и
подсеть. Для ресурсов, отличных от шаблонов экземпляров, вы также выбираете
зона
или регион. При выборе зоны неявно выбирается ее родительский регион.Потому что
подсети — это региональные объекты, регион, который вы выбираете для ресурса.
определяет подсети, которые он может использовать:
Процесс создания
пример включает в себя выбор
зона, сеть и подсеть. Доступные для выбора подсети:
ограничено теми, кто находится в выбранном регионе. Google Cloud назначает
экземпляр IP-адреса из диапазона доступных адресов в подсети.Процесс создания управляемого экземпляра
группа
включает в себя выбор зоны или региона, в зависимости от типа группы, и
шаблон экземпляра.Для выбора доступны следующие шаблоны экземпляров:
ограничено теми, чьи определенные подсети находятся в том же регионе, выбранном для
группа управляемых экземпляров.- Шаблоны экземпляров — это глобальные ресурсы. Процесс создания
шаблон экземпляра
предполагает выбор сети и подсети. Если вы выберете авто
режим сети VPC, вы можете использовать автоматические подсети для отсрочки
выбор подсети к той, которая доступна в выбранном регионе любого
группа управляемых экземпляров, которая будет использовать шаблон.Автоматический режим
Сети VPC по определению имеют подсети в каждом регионе.
- Шаблоны экземпляров — это глобальные ресурсы. Процесс создания
Процесс создания контейнера Kubernetes
кластер
предполагает выбор зоны или региона (в зависимости от типа кластера),
сеть и подсеть. Доступные для выбора подсети ограничены
в выбранном регионе.
Режим создания подсети
Google Cloud предлагает два типа сетей VPC, определенных
по их режиму создания подсети :
Когда автоматический режим сеть VPC
создана, по одной подсети от каждого региона
автоматически создается в нем.Эти автоматически созданные подсети используют
набор предопределенных диапазонов IP-адресов, которые соответствуют10.128.0.0/9
Блок CIDR. По мере того, как становятся доступными новые регионы Google Cloud, новые подсети в
эти регионы автоматически добавляются в сети VPC с автоматическим режимом
используя диапазон IP-адресов из этого блока. В дополнение к автоматически созданным
подсети, вы можете добавить больше подсетей вручную
для автоматического режима сетей VPC в регионах, которые вы выбираете с помощью
Диапазон IP вне10.128.0.0/9
.Когда настраиваемый режим сети VPC
созданы, подсети не созданы
создается автоматически.Этот тип сети дает вам полный контроль
по подсетям и диапазонам IP-адресов. Вы сами решаете, какие подсети создавать в регионах
которые вы выбираете, используя указанные вами диапазоны IP-адресов.
Вы можете переключить сеть VPC из автоматического режима в пользовательский.
режим.
Это одностороннее преобразование; сети VPC в настраиваемом режиме не могут быть
перешел в автоматический режим сетей VPC. Чтобы помочь вам решить, какой
тип сети соответствует вашим потребностям, см.
рекомендации для сетей VPC с автоматическим режимом.
Сеть по умолчанию
Если вы не решите отключить его, каждый новый проект запускается с сетью по умолчанию.Сеть по умолчанию — это сеть VPC в автоматическом режиме с
предварительно заполненные правила брандмауэра IPv4.
В сети по умолчанию нет предварительно заполненных правил брандмауэра IPv6.
Вы можете отключить создание сетей по умолчанию, создав организацию
политика
с compute.skipDefaultNetworkCreation
ограничение.
У проектов, наследующих эту политику, не будет сети по умолчанию.
Рекомендации для сетей VPC в автоматическом режиме
Сети VPC с автоматическим режимом
просты в настройке и использовании, и они
хорошо подходит для случаев использования с этими атрибутами:
Полезно иметь автоматически создаваемые подсети в каждом регионе.
Предопределенные диапазоны IP-адресов подсетей не перекрываются с IP-адресами.
диапазоны, которые вы бы использовали для разных целей (например,
Подключения Cloud VPN к локальным ресурсам).
Однако сети VPC с настраиваемым режимом более гибкие и
лучше подходит для производства. Следующие атрибуты выделяют варианты использования, в которых
Рекомендуются или требуются сети VPC с настраиваемым режимом:
Нет необходимости в автоматическом создании одной подсети в каждом регионе.
Автоматическое создание новых подсетей по мере появления новых регионов
может перекрываться с IP-адресами, используемыми вручную созданными подсетями или статическими
маршруты или могут помешать общему планированию сети.Вам нужен полный контроль над подсетями, созданными в вашем
Сеть VPC, включая регионы и используемые диапазоны IP-адресов.Вы планируете подключать сети VPC с помощью
Сетевой пиринг VPC или Cloud VPN. Потому что подсети
каждая сеть VPC в автоматическом режиме использует один и тот же предопределенный диапазон IP-адресов.
адреса, вы не можете подключить сети VPC в автоматическом режиме к одной
Другая.
Важно: Производственные сети следует планировать заранее. Мы рекомендуем
вы используете сети VPC в настраиваемом режиме в производственной среде.
Диапазоны подсети
При создании подсети необходимо определить диапазон ее первичных IP-адресов . В
первичные внутренние адреса для следующих ресурсов поступают из подсети
основной диапазон: экземпляры виртуальных машин, внутренние балансировщики нагрузки и внутренний протокол.
пересылка. При желании вы можете добавить вторичных диапазонов IP-адресов в подсеть,
которые используются только псевдонимами диапазонов IP.Однако вы можете
настроить псевдонимы диапазонов IP-адресов для экземпляров из основного или дополнительного диапазона
подсеть.
Каждый первичный или вторичный диапазон IP-адресов для всех подсетей в VPC
сеть должна быть уникальным допустимым блоком CIDR. Обратитесь к per
сетевые ограничения на количество вторичных IP
диапазоны, которые вы можете определить.
Ваши подсети не должны формировать предопределенный непрерывный блок CIDR, но вы можете
сделайте это, если хотите. Например, сети VPC в автоматическом режиме создают
подсети, которые соответствуют заранее определенному диапазону IP-адресов автоматического режима.
Для получения дополнительной информации см. Работа с подсетями.
Допустимые диапазоны
Диапазоны первичных и вторичных IP-адресов подсети являются внутренними региональными IP-адресами.
адреса. В следующей таблице описаны допустимые диапазоны.
Диапазон | Описание |
---|---|
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 | Частные IP-адреса RFC 1918 |
100.64.0.0 / 10 | Общее адресное пространство RFC 6598 |
192.0.0.0/24 | Назначение протокола IETF RFC 6890 |
192.0.2.0/24 (TEST-NET-1) 198.51.100.0/24 (TEST-NET-2) 203.0.113.0/24 (TEST-NET-3) | Документация RFC 5737 |
192.88.99.0/24 | Ретрансляция IPv6 в IPv4 (устарело) RFC 7526 |
198.18.0.0 / 15 | Тестирование производительности RFC 2544 |
240.0.0.0/4 | Зарезервировано для использования в будущем (класс E), как указано в Некоторые операционные системы не поддерживают использование этого диапазона, поэтому убедитесь, что |
Общедоступные IP-адреса, используемые в частном порядке | Включает IP-адреса, не входящие в диапазоны RFC, перечисленные в этом Если вы импортировали общедоступные IP-адреса в Google с помощью Для пиринга сети VPC, подсеть |
Диапазоны подсети имеют следующие ограничения:
Диапазоны подсети не могут совпадать, быть уже или шире, чем ограниченный
диапазон. Например,169.0.0.0/8
не является допустимой подсетью.
диапазон, потому что он перекрывается с локальным диапазоном канала169.254.0.0/16
(RFC
3927), что является ограниченным диапазоном.диапазоны подсети не могут охватывать диапазон RFC (описанный в предыдущей таблице)
и диапазон публичных IP-адресов, используемых в частном порядке. Например,172.16.0.0/10
— это
недействительный диапазон подсети, потому что он перекрывается с RFC 1918 и общедоступным IP
адреса.Диапазоны подсети не могут охватывать несколько диапазонов RFC. Например,
192.0.0.0/8
недопустимый диапазон подсети, потому что он включает192.168.0.0/16
(из RFC
1918) и192.0.0.0 / 24
(из RFC 6890). Однако вы можете создать две подсети
с разными первичными диапазонами, один с192.168.0.0/16
и один с
192.0.0.0/24
. Или вы можете использовать оба этих диапазона в одной подсети, если
вы делаете один из них второстепенным.
Ограниченные диапазоны
Ограниченные диапазоны включают общедоступные IP-адреса Google и часто зарезервированные RFC.
диапазоны, как описано в следующей таблице. Эти диапазоны нельзя использовать для
диапазоны подсети.
Диапазон | Описание |
---|---|
Общедоступные IP-адреса для API и служб Google, включая Сетевые блоки Google Cloud. | Вы можете найти эти IP-адреса на https://gstatic.com/ipranges/goog.txt. |
199.36.153.4/30 и 199.36.153.8/30 | Частные виртуальные IP-адреса для доступа к Google |
0,0.0.0/8 | Текущая (локальная) сеть RFC 1122 |
127.0.0.0/8 | Локальный хост RFC 1122 |
169.254.0.0/16 | Локальная ссылка RFC 3927 |
224.0.0.0/4 | Multicast (класс D) RFC 5771 |
255.255.255.255/32 | Ограниченный широковещательный адрес назначения RFC 8190 и RFC 919 |
Зарезервированные IP-адреса в подсети
Каждая подсеть имеет четыре зарезервированных IP-адреса в основном диапазоне IP-адресов.Есть
нет зарезервированных IP-адресов во вторичных диапазонах IP-адресов.
Зарезервированный IP-адрес | Описание | Пример |
---|---|---|
Сеть | Первый адрес в основном диапазоне IP-адресов для подсети | 10.1.2.0 дюйм 10.1.2.0/24 |
Шлюз по умолчанию | Второй адрес в основном диапазоне IP-адресов для подсети | 10.1.2.1 в 10.1.2.0 / 24 |
предпоследний адрес | предпоследний адрес в основном диапазоне IP-адресов подсети, зарезервировано Google Cloud для потенциального использования в будущем | 10.1.2.254 дюйм 10.1.2.0/24 |
Радиовещание | Последний адрес в основном диапазоне IP-адресов для подсети | 10.1.2.255 дюйм 10.1.2.0/24 |
Примечание. Программно-определяемая сеть Google Cloud резервирует виртуальный шлюз.
IP-адрес для основных диапазонов IP-адресов каждой подсети в VPC
сеть.Однако виртуальные шлюзы не отвечают на трафик ICMP или .
уменьшить заголовки IP TTL.
Вторичные IP-диапазоны подсети не имеют зарезервированного IP-адреса виртуального шлюза.
Таким образом, шлюз по умолчанию не отвечает на ping
и не появляется, когда вы
запустите traceroute
из экземпляра виртуальной машины.
Инструменты, которые проверяют связь с IP-адресом шлюза, должны быть настроены
чтобы они не считали невозможность проверить связь с виртуальным шлюзом как
состояние отказа.
Автоматический режим IP-диапазоны
В этой таблице перечислены диапазоны IP-адресов для автоматически созданных подсетей в автоматическом режиме.
режим сети VPC. Диапазоны IP-адресов для этих подсетей помещаются в
10.128.0.0/9
Блок CIDR. Сети VPC в автоматическом режиме построены с
одна подсеть на регион во время создания и автоматически получать новые подсети в
новые регионы. Неиспользованные части 10.128.0.0/9
зарезервированы на будущее
Использование Google Cloud.
Регион | Диапазон IP (CIDR) | Шлюз по умолчанию | Используемые адреса (включительно) |
---|---|---|---|
азия-восток1 | 10.140.0.0 / 20 | 10.140.0.1 | 10.140.0.2 к 10.140.15.253 |
азия-восток2 | 10.170.0.0/20 | 10.170.0.1 | 10.170.0.2 к 10.170.15.253 |
азия-северо-восток1 | 10.146.0.0/20 | 10.146.0.1 | 10.146.0.2 к 10.146.15.253 |
азия-северо-восток2 | 10.174.0.0/20 | 10.174.0.1 | 10.174.0.2 к 10.174.15.253 |
азия-северо-восток3 | 10.178.0.0/20 | 10.178.0.1 | 10.178.0.2 к 10.178.15.253 |
азия-юг2 | 10.160.0.0/20 | 10.160.0.1 | 10.160.0.2 к 10.160.15.253 |
азия-юг3 | 10.190.0.0/20 | 10.190.0.1 | 10.190.0.2 к 10.190.15.253 |
азия-юго-восток1 | 10.148.0.0 / 20 | 10.148.0.1 | 10.148.0.2 к 10.148.15.253 |
азия-юго-восток2 | 10.184.0.0/20 | 10.184.0.1 | 10.184.0.2 к 10.184.15.253 |
Австралия-Юго-Восток1 | 10.152.0.0/20 | 10.152.0.1 | 10.152.0.2 к 10.152.15.253 |
австралия-юго-восток2 | 10.192.0.0/20 | 10.192.0.1 | 10.192.0.2 к 10.192.15.253 |
центральная европа2 | 10.186.0.0/20 | 10.186.0.1 | 10.186.0.2 к 10.186.15.253 |
Европа-Север2 | 10.166.0.0/20 | 10.166.0.1 | 10.166.0.2 к 10.166.15.253 |
европа-запад1 | 10.132.0.0/20 | 10.132.0.1 | 10.132.0.2 к 10.132.15.253 |
европа-запад2 | 10.154.0.0 / 20 | 10.154.0.1 | 10.154.0.2 к 10.154.15.253 |
европа-запад3 | 10.156.0.0/20 | 10.156.0.1 | 10.156.0.2 к 10.156.15.253 |
европа-запад4 | 10.164.0.0/20 | 10.164.0.1 | 10.164.0.2 к 10.164.15.253 |
европа-запад6 | 10.172.0.0/20 | 10.172.0.1 | 10.172.0.2 к 10.172.15.253 |
Северная Америка-Северо-Восток1 | 10.162.0.0/20 | 10.162.0.1 | 10.162.0.2 к 10.162.15.253 |
Северная Америка-Северо-Восток2 | 10.188.0.0/20 | 10.188.0.1 | 10.188.0.2 к 10.188.15.253 |
Юго-Восток1 | 10.158.0.0/20 | 10.158.0.1 | 10.158.0.2 к 10.158.15.253 |
центральный сша1 | 10.128.0.0 / 20 | 10.128.0.1 | 10.128.0.2 к 10.128.15.253 |
восток сша1 | 10.142.0.0/20 | 10.142.0.1 | 10.142.0.2 к 10.142.15.253 |
восток сша 4 | 10.150.0.0/20 | 10.150.0.1 | 10.150.0.2 к 10.150.15.253 |
Запад США1 | 10.138.0.0/20 | 10.138.0.1 | 10.138.0.2 по 10.138.15.253 |
запад-сша2 | 10.168.0.0/20 | 10.168.0.1 | 10.168.0.2 к 10.168.15.253 |
запад-сша3 | 10.180.0.0/20 | 10.180.0.1 | 10.180.0.2 к 10.180.15.253 |
Запад США4 | 10.182.0.0/20 | 10.182.0.1 | 10.182.0.2 к 10.182.15.253 |
IPv6-адреса
Вы можете включить внешний IPv6 на
поддерживаемые подсети.Когда вы включаете IPv6 для подсети, уникальный
Глобальная одноадресная передача
Адрес
Диапазон с длиной подсети /64
назначается в дополнение к диапазону IPv4.
При включении IPv6 для
ВМ, ВМ
выделяется диапазон адресов IPv6 /96
. Первый IP-адрес в этом диапазоне —
назначается первичному интерфейсу с помощью DHCPv6.
Адреса IPv6, назначенные подсетям и виртуальным машинам, являются внешними адресами. Они могут
могут использоваться для обмена данными между виртуальными машинами, а также маршрутизируются в Интернете.К
контролировать выход в Интернет и вход из Интернета, настраивать брандмауэр
правила или иерархический брандмауэр
политики. Чтобы отключить маршрутизацию IPv6 в Интернет
полностью удалите IPv6 по умолчанию
маршрут в VPC
сеть.
Примечание. Подключение к API и службам Google с использованием внешних адресов IPv6 является
в настоящее время нет
поддерживается.
Следующие ресурсы поддерживают адреса IPv6, если они подключены к подсети.
с включенным IPv6:
Кроме того, внешняя балансировка нагрузки HTTP (S) поддерживает глобальный внешний IPv6.
адреса при настройке на премиум-уровне.Ты не можешь
используйте IPv6-адрес, назначенный подсети для балансировки нагрузки HTTP (S).
Вместо этого вы резервируете IP
адрес.
Подсети, поддерживающие IPv6
Вы можете включить IPv6 на следующих
типы подсетей в сети VPC. Вы не можете включить IPv6 на
устаревшая сеть.
Вы можете включить IPv6 в новых или существующих подсетях в настраиваемом режиме
Сеть VPC.Вы можете включить IPv6 в подсетях, которые вы добавили в автоматический режим
Сеть VPC (включая сеть по умолчанию).Невозможно включить IPv6 в подсетях, которые автоматически создаются в автоматическом режиме.
режим сети VPC (включая сеть по умолчанию).Если преобразовать автоматический режим сети в пользовательский
режим, вы можете включить IPv6 на любом
подсетей в этой сети.
Регионы, поддерживающие IPv6
Поддержка IPv6 для подсетей и экземпляров виртуальных машин доступна в следующих регионах:
-
азия-восток1
-
азия-юг2
-
европа-запад2
-
сша-запад2
Маршруты и правила брандмауэра
Маршруты
Маршруты определяют пути для пакетов, покидающих экземпляры (исходящий трафик).Маршруты в
Google Cloud делятся на две категории: генерируемые системой и
обычай.
Каждая новая сеть начинается с двух типов маршрутов, генерируемых системой:
Маршрут по умолчанию определяет путь
для выхода трафика из сети VPC. Он обеспечивает общие
доступ в Интернет к виртуальным машинам, которые соответствуют доступу в Интернет
требования. Он также предоставляет типичный путь для
Частный доступ к Google.Маршрут подсети создается для каждого IP-адреса.
диапазоны
связанный с подсетью.Каждая подсеть имеет хотя бы один маршрут подсети для своего
основной диапазон IP-адресов. Дополнительные маршруты подсети создаются для подсети, если вы
добавить к нему вторичные диапазоны IP-адресов. Маршруты подсети определяют пути для трафика к
доступ к виртуальным машинам, использующим подсети. Вы не можете удалить маршруты подсети вручную.
Примечание: Если ваша сеть VPC подключена к локальной сети
с помощью Cloud VPN или Cloud Interconnect проверьте эту подсеть
диапазоны не конфликтуют с локальными IP-адресами. Маршруты подсети
с приоритетом в первую очередь, поэтому трафик к месту назначения
диапазон остается в вашей сети VPC, даже если он мог быть
предназначен для локальной сети.
Пользовательские маршруты — это либо статические маршруты, которые вы создаете вручную, либо динамические.
маршруты, автоматически поддерживаемые одним или несколькими облачными маршрутизаторами. Для
дополнительную информацию см. в настраиваемых маршрутах.
Для получения полной информации о маршрутизации в Google Cloud см.
обзор маршрутов.
Режим динамической маршрутизации
Каждая сеть VPC имеет связанный режим динамической маршрутизации , который
контролирует поведение всех своих
Облачные маршрутизаторы.
Облачные маршрутизаторы обмениваются маршрутами к вашей сети VPC и
изучать настраиваемые динамические маршруты из подключенных сетей при подключении
Из сети VPC в другую сеть с помощью
Облачный VPN-туннель, использующий динамический
маршрутизация, или с помощью
Выделенное межсоединение
или
Partner Interconnect.
Региональная динамическая маршрутизация — значение по умолчанию. В этом режиме маршруты к
локальные ресурсы, полученные данным облачным маршрутизатором в
Сеть VPC применяется только к подсетям в том же регионе.
как облачный маршрутизатор. Если не изменено пользовательскими рекламными объявлениями, каждый
Cloud Router использует только маршруты к подсетям в своем регионе с
его локальный аналог.Глобальная динамическая маршрутизация изменяет поведение всех
Облачные маршрутизаторы в сети, позволяющие маршрутизировать локальные сети.
ресурсы, которые они изучают, доступны во всех подсетях в
Сеть VPC вне зависимости от региона.Если не изменено по индивидуальному заказу
рекламы, каждый облачный маршрутизатор разделяет маршруты для всех подсетей в
сеть VPC с ее локальным аналогом.
Для получения информации о том, как набор маршрутов, совместно используемых облачным маршрутизатором, может
быть настроенным, см. индивидуальные рекламные объявления.
Режим динамической маршрутизации можно установить при создании или изменении VPC.
сеть. Вы можете изменить режим динамической маршрутизации с регионального на
глобально и наоборот без ограничений. Инструкции см.
Изменение режима динамической маршрутизации.
Осторожно: Изменение режима динамической маршрутизации может привести к прерыванию
трафик внутри сети или включение или отключение маршрутов неожиданными способами.
Внимательно изучите роль каждого облачного маршрутизатора, прежде чем менять
режим динамической маршрутизации.
Правила межсетевого экрана
Правила брандмауэра применяются как к исходящему (исходящему), так и к входящему (входящему) трафику в
сеть. Правила брандмауэра контролируют трафик, даже если он полностью находится в пределах
сеть, включая обмен данными между экземплярами виртуальных машин.
В каждой сети VPC есть межсетевой экран.
правила; два подразумеваемых брандмауэра IPv4
правил, и если IPv6 включен, два подразумеваемых брандмауэра IPv6
правила. Подразумеваемые правила исходящего трафика разрешают большую часть исходящего трафика, а подразумеваемые
Правила входа запрещают весь входящий трафик. Вы не можете удалить подразумеваемые правила, но
вы можете переопределить их своими собственными правилами.
Google Cloud всегда блокирует некоторый трафик, независимо от правил брандмауэра; для
подробнее см. заблокированный трафик.
Чтобы узнать, какое правило брандмауэра разрешает или запрещает конкретное соединение, см.
Ведение журнала правил межсетевого экрана.
Связь и доступ
Связь внутри сети
Сгенерированные системой маршруты подсети определяют пути для отправки трафика между
экземпляры в сети с использованием внутренних IP-адресов. Для одного
экземпляр, чтобы иметь возможность общаться с другим, соответствующие правила брандмауэра должны
также должны быть настроены, потому что каждая сеть имеет подразумеваемый брандмауэр запрета
правило для входящего трафика.
За исключением сети по умолчанию, вы должны явно создать более высокий приоритет
правила входящего брандмауэра
чтобы позволить экземплярам общаться друг с другом.Сеть по умолчанию включает
несколько правил брандмауэра в дополнение к подразумеваемым,
включая правило default-allow-internal
, которое разрешает от экземпляра к экземпляру
общение внутри сети. Сеть по умолчанию также имеет вход
правила, разрешающие такие протоколы, как RDP и SSH.
Правила, которые поставляются с сетью по умолчанию, также представлены как варианты для вас.
для применения к новым сетям VPC в автоматическом режиме, которые вы создаете с помощью
Облачная консоль.
Требования к доступу в Интернет
Следующие критерии должны быть удовлетворены для того, чтобы экземпляр имел исходящие
доступ в интернет:
В сети должен быть действующий интернет-шлюз по умолчанию маршрут или настраиваемый маршрут
чей диапазон IP-адресов назначения является наиболее общим (0.0,0.0 / 0
). Этот маршрут
определяет путь в Интернет. Для получения дополнительной информации см.
Маршруты.Правила брандмауэра должны разрешать исходящий трафик от экземпляра. Если не отменено
по правилу с более высоким приоритетом подразумевается разрешающее правило для разрешений исходящего трафика
исходящий трафик со всех экземпляров.Должно выполняться одно из следующего:
Экземпляр должен иметь внешний IP-адрес. Внешний IP-адрес может
быть назначенным экземпляру, когда он
созданный
или после того, как это было
созданный.Экземпляр должен иметь возможность использовать Cloud NAT или
прокси на основе экземпляра, который является целью для статического маршрута0.0.0.0/0
.
Связь и доступ для App Engine
Правила брандмауэра
VPC применяются к ресурсам, работающим в
Сеть VPC, например виртуальные машины Compute Engine. Для
Экземпляры App Engine, правила брандмауэра работают следующим образом:
Стандартная среда App Engine:
К входящему трафику применяются только правила брандмауэра App Engine.Потому что
Экземпляры стандартной среды App Engine не работают внутри
ваша сеть VPC, правила брандмауэра VPC не
обращаться к ним.Гибкая среда App Engine:
К входу применяются правила как App Engine, так и брандмауэра VPC.
движение. Входящий трафик разрешен, только если он разрешен обоими типами
правила брандмауэра. Для исходящего трафика применяются правила брандмауэра VPC.
Дополнительные сведения об управлении доступом к App Engine.
экземпляров, см. Безопасность приложений.
Traceroute до внешних IP-адресов
По внутренним причинам Google Cloud увеличивает счетчик TTL пакетов.
которые пересекают следующие переходы в сети Google. Такие инструменты, как traceroute
и mtr
может дать неполные результаты, потому что TTL не истекает на некоторых из
хмель. Хопы, которые находятся внутри и вне сети Google, могут быть скрыты в
эти обстоятельства:
При отправке пакетов из экземпляров Compute Engine на внешний IP-адрес
адреса, включая внешние IP-адреса других Google Cloud
ресурсы или направления в Интернете.Когда вы отправляете пакеты на внешний IP-адрес, связанный с
Экземпляр Compute Engine или другой ресурс Google Cloud.
Количество скрытых переходов зависит от уровней сетевых служб экземпляра,
регион и другие факторы. Если есть всего несколько прыжков, это возможно для всех
из них нужно скрыть. Отсутствующие переходы в результатах поиска traceroute
или mtr
не учитываются.
означают, что исходящий трафик отброшен.
Для этой ситуации нет обходного пути.Вы должны принять это во внимание, если вы
настроить сторонний мониторинг, который подключается к внешнему IP-адресу
связанный с виртуальной машиной.
Важно: Статистика потерь зонда — это компонент тестов traceroute, но будьте осторожны.
необходимо принимать при анализе результатов испытаний. traceroute
и mtr
по умолчанию
использовать зондирование на основе ICMP. Генерация ответа на зонд ICMP обычно
ограничена (или отключена) в маршрутизаторах, которые находятся на сетевом пути вашего
зондирования и может привести к отсутствию ответов зонда.Когда это происходит,
вы можете увидеть потерю зонда в промежуточных переходах маршрутизации, но это не должно отражать
сквозная производительность. Если вы ищете потерю пакетов, единственный переход, который
обычно имеет значение — это переход к месту назначения.
Пределы исходящей пропускной способности
Информация о пропускной способности сети доступна на
Страница пропускной способности сети в Compute Engine
документация.
Размер пакета
Информация о размере пакета указана в максимальной единице передачи.
раздел.
Пример сети VPC
В следующем примере показана сеть VPC в настраиваемом режиме с
три подсети в двух регионах:
Пример сети VPC (нажмите, чтобы увеличить)
- Подсеть 1 определяется как
10.240.0.0/24
в регионе us-west1.- В этой подсети находятся два экземпляра ВМ в зоне us-west1-a. Их IP
Оба адреса берутся из доступного диапазона адресов в подсети 1 .
- В этой подсети находятся два экземпляра ВМ в зоне us-west1-a. Их IP
- Подсеть 2 определяется как
192.168.1.0 / 24
в регионе us-east1.- В этой подсети находятся два экземпляра ВМ в зоне us-east1-a. Их IP
Оба адреса берутся из доступного диапазона адресов в subnet2 .
- В этой подсети находятся два экземпляра ВМ в зоне us-east1-a. Их IP
- Подсеть 3 определяется как
10.2.0.0/16
, также в регионе us-east1.- Один экземпляр ВМ в зоне us-east1-a и второй экземпляр в зоне
Зона us-east1-b находится в subnet3 , каждая из которых получает IP-адрес от своего
доступный диапазон.Поскольку подсети являются региональными ресурсами, экземпляры могут
имеют свои сетевые интерфейсы, связанные с любой подсетью в одной и той же
регион, содержащий их зоны.
- Один экземпляр ВМ в зоне us-east1-a и второй экземпляр в зоне
Максимальный блок передачи
Сети
VPC имеют максимальную единицу передачи по умолчанию
(MTU)
из 1460
байт. Однако вы можете настроить свои сети VPC на
иметь MTU 1500
байт.
MTU — это размер в байтах самого большого пакета, поддерживаемого сетью.
протокол уровня, включая заголовки и данные.В Google Cloud вы устанавливаете
MTU для каждой сети VPC и экземпляры ВМ, которые используют это
сеть также должна быть настроена на использование этого MTU для своих интерфейсов. В
настройка MTU сети передается виртуальной машине, когда эта виртуальная машина запрашивает IP-адрес.
адрес с использованием DHCP. Параметр DHCP 26 содержит MTU сети.
MTU влияет как на трафик UDP, так и на TCP:
- Если отправленный UDP-пакет больше, чем адресат может получить
или что превышает MTU на некотором сетевом канале на пути к
назначения, то пакет отбрасывается, если установлен флаг Don’t-Fragment.
установленный.Когда он сбрасывается, ICMP-пакет типа
Требуется фрагментация
отправляется обратно отправителю. Для получения дополнительной информации о
открытие пути, см.
PMTUD. - Если отправленный UDP-пакет больше, чем адресат может получить
или что превышает MTU на некотором сетевом соединении в направлении
пункт назначения, то он (как правило) фрагментируется, еслиDon't-Fragment
флаг не установлен. Эта фрагментация выполняется там, где есть несоответствие.
обнаружено: это может быть промежуточный маршрутизатор или даже отправитель
сам, если отправленный пакет превышает MTU. - TCP согласовывает максимальный размер сегмента (MSS) во время установки соединения
время.
Затем пакеты сегментируются на меньший размер MTU обеих конечных точек
связь.
Настройки виртуальных машин и MTU
виртуальных машин Linux на основе образов ОС, предоставленных Google
автоматически устанавливают MTU интерфейса равным MTU VPC
сети при их создании. Если на виртуальной машине есть
несколько сетевых интерфейсов, каждый
интерфейс установлен на MTU подключенной сети. Если вы измените MTU
VPC, на котором запущены виртуальные машины, необходимо остановить, а затем запустить эти виртуальные машины.
забрать новый MTU.Когда виртуальные машины снова запускаются, измененный сетевой MTU равен
общался с ними от DHCP.
Виртуальные машины Windows
не настраивают автоматически свои интерфейсы для использования
MTU сети VPC при запуске. Вместо этого на основе виртуальных машин Windows
в образах ОС, предоставленных Google, настроены с
фиксированный MTU 1460
. Чтобы настроить виртуальные машины Windows на основе образов ОС, предоставленных Google,
MTU 1500
, выполните следующие действия на каждой виртуальной машине Windows:
Командная строка
- Откройте командную строку (cmd.exe) в качестве администратора.
Выполните следующую команду, чтобы определить индекс интерфейса, который вы
хочу обновить:интерфейс netsh ipv4 показать интерфейс
Обновить интерфейс:
netsh interface ipv4 set interface INTERFACE_INDEX mtu = 1500 store = persistent
Перезапустите сервер, чтобы изменения вступили в силу:
выключение / об / т 0
PowerShell
- Откройте PowerShell от имени администратора.
Выполните следующую команду:
Set-NetIPInterface -InterfaceAlias INTERFACE_NAME -AddressFamily IPv4 -NlMtu 1500
Перезапустите сервер, чтобы изменения вступили в силу:
Перезагрузка-Компьютер-Force
Эту процедуру также можно использовать для установки MTU пользовательских виртуальных машин Windows либо на
1460
или 1500
, в зависимости от сети.
Проверьте настройки MTU на всех виртуальных машинах, использующих пользовательские образы.это
возможно, что они могут соблюдать MTU сети VPC, но это
также возможно, что их MTU могут быть установлены на фиксированное значение.
Инструкции см.
Изменение MTU сети.
Перенос сервисов в другую сеть MTU
Вы можете решить перенести свои службы на новые виртуальные машины в новой сети.
чем изменение MTU вашей существующей сети. В таком случае у вас может быть
сервер, такой как сервер базы данных, который должен быть доступен для всех виртуальных машин во время
миграция.Если это так, следующий общий подход может помочь вам перенести
чисто:
- Создайте новую сеть с
новый MTU. - Создайте все необходимые правила и маршруты брандмауэра в новой сети.
- Создать виртуальную машину с несколькими сетями
интерфейсы
в старой сети. Один интерфейс подключается к новой сети с помощью нового
MTU, а другой подключается к старой сети, используя старый MTU. - Настройте эту новую виртуальную машину в качестве вторичного сервера для существующего.
- Переключите первичный сервер на вторичный.
- Перенести виртуальные машины на новую
сеть или
создавать новые виртуальные машины в новой сети. Если вы создаете новые виртуальные машины, вы можете их создавать
с нуля, из существующего изображения или путем создания
снимок существующих виртуальных машин и
используя это для заполнения новых постоянных дисков. - Настройте эти виртуальные машины для использования рабочего сервера в этой сети.
- Перенести трафик на новые виртуальные машины.
- Если вы собираетесь удалить старую сеть, создайте новый сервер в новой
сети, синхронизируйте его с существующим сервером и переключитесь на него. - Удалите старый сервер и старую сеть.
Последствия несоответствия MTU
Несоответствие MTU определяется как два взаимодействующих экземпляра виртуальных машин, которые имеют
разные настройки MTU. В ограниченном числе случаев это может вызвать
проблемы с подключением. Конкретные случаи включают использование экземпляров в качестве маршрутизаторов.
и использование Kubernetes внутри виртуальных машин.
В наиболее распространенных сценариях TCP-соединения устанавливаются между экземплярами с
разные MTU успешны из-за согласования MSS, когда оба конца
соединение согласится использовать меньшее из двух MTU.
Это применимо независимо от того, находятся ли две виртуальные машины в одной сети или в одноранговых сетях.
разницы MTU с Cloud VPN
Для получения информации о Cloud VPN и MTU см. Туннель.
MTU.
Различия MTU с Cloud Interconnect
Cloud Interconnect может иметь MTU 1440
или 1500
.
Если у взаимодействующих виртуальных машин есть MTU 1500
и соединение Interconnect
имеет MTU 1440
, ограничение MSS уменьшает MTU TCP-соединений до 1440
и трафик TCP продолжается.
Ограничение MSS не влияет на UDP-пакеты, поэтому, если сеть VPC
имеет MTU 1500
и соединение Interconnect имеет MTU 1440
, то
Дейтаграммы UDP с более чем 1412 байт данных (1412 байт данных UDP + 8 байт
Заголовок UDP + 20-байтовый заголовок IPv4 = 1440) отбрасываются. В таком случае вы можете
выполните одно из следующих действий:
- Уменьшите MTU подключенной сети VPC до 1460.
- Настройте приложение для отправки пакетов UDP меньшего размера.
- Создайте новое соединение Interconnect размером 1500 байт
Для получения дополнительной информации о Cloud Interconnect и MTU см.
Cloud Interconnect
MTU.
Производительность сети
Задержка
Можно найти измеренную межрегиональную задержку для сетей Google Cloud.
в нашей жизни
щиток приборов.
На панели управления отображается средняя межрегиональная задержка Google Cloud и
показатели производительности и методология воспроизведения этих результатов с использованием
Тестер PerfKit.
Google Cloud обычно измеряет задержку приема-передачи менее 55 мкс при
50-й процентиль и задержка хвоста менее 80 мкс на 99-м процентиле между экземплярами виртуальных машин c2-standard-4 в одной и той же зоне.
Google Cloud обычно измеряет задержку приема-передачи менее 45 мкс на
50-й процентиль и задержка хвоста менее 60 мкс на 99-м процентиле
между экземплярами ВМ c2-standard-4 в одной сети с малой задержкой (политика «компактного» размещения). Компактное размещение
политика
снижает сетевую задержку, гарантируя, что виртуальные машины расположены физически
в той же сети с малой задержкой.
Методология: Внутризонная задержка отслеживается с помощью пробы черного ящика.
что постоянно работает
netperf
Тест TCP_RR между парой виртуальных машин типа c2 в каждой зоне
доступны экземпляры c2. Он собирает результаты P50 и P99 для настройки с
и без политики компактного размещения. Тестовые меры TCP_RR
производительность запроса / ответа путем измерения скорости транзакции. Если твой
приложения требуют максимально возможной задержки, рекомендуется использовать экземпляры c2.
Потеря пакетов
Google Cloud отслеживает межрегиональную потерю пакетов путем регулярного измерения
потеря туда и обратно между всеми регионами.Мы ориентируемся на средний мировой показатель
измерения должны быть ниже 0,01%.
Методология: Зонд с виртуальным ящиком из черного ящика отслеживает потерю пакетов для
каждая пара зон использует пинги и объединяет результаты в одну глобальную потерю
метрическая. Этот показатель отслеживается с однодневным окном.
Что дальше
Попробуйте сами
Если вы новичок в Google Cloud, создайте учетную запись, чтобы оценить, как
VPC работает в реальном мире
сценарии.Новые клиенты также получают 300 долларов в качестве бесплатных кредитов для запуска, тестирования и
развертывать рабочие нагрузки.
Попробуйте VPC бесплатно
Понимание процесса выборов vPC
Введение
В этом документе описывается процесс выбора роли виртуального канала порта (vPC) на коммутаторах серии Nexus.
Предварительные требования
Требования
Cisco рекомендует ознакомиться со следующими темами:
- vPC на коммутаторах серии Nexus
- Протокол связующего дерева (STP)
Используемые компоненты
Информация в этом документе основана на платформе коммутатора Nexus серии 9000.
Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией.Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.
Технология виртуального порта и канала
Virtual PortChannels (vPC) позволяет ссылкам, физически подключенным к двум различным коммутаторам Cisco, отображаться как один PortChannel для третьего устройства. Третье устройство может быть коммутатором, сервером или любым другим сетевым устройством, поддерживающим IEEE 802.3ad PortChannels. vPC также позволяет создавать PortChannels уровня 2, которые охватывают два коммутатора.В настоящее время vPC реализован на платформах Cisco Nexus серий 9000, 7000, 5000 и 3000 (с или без удлинителей фабрики Cisco Nexus серии 2000).
Примечание : Программные виртуальные компьютеры Cisco NX-OS и системы виртуальной коммутации (VSS) Cisco Catalyst используют схожие технологии. Для технологии Cisco EtherChannel термин Multi -ssis EtherChannel (MCEC) взаимозаменяемо относится к любой технологии.
Роль vPC
Хотя оба коммутатора vPC выглядят как один коммутатор для нижестоящего устройства, между собой два коммутатора vPC имеют четко определенные роли vPC: vPC Primary и vPC Secondary.
ролей vPC не являются вытесняющими, что означает, что устройство может быть настроено как первичное vPC, но работать как вторичное одноранговое устройство vPC. Это может произойти в следующем сценарии:
- При выходе из строя исходного первичного устройства вторичное устройство vPC становится новым первичным устройством.
- Когда система восстанавливается, прежнее первичное устройство становится вторичным и наоборот.
Роль vPC определяет, какое из двух одноранговых устройств vPC обрабатывает блоки данных протокола моста (BPDU) и отвечает на запросы протокола разрешения адресов (ARP).Роль vPC также определяет набор действий, которые должны выполняться первичным и вторичным vPC в ответ на ситуацию разрыва однорангового соединения vPC.
Приоритет роли vPC
Вы также можете использовать с приоритетом роли в команде режима домена vPC, чтобы повлиять на процесс выбора vPC. Диапазон значений от 1 до 65636, значение по умолчанию — 32667. Меньшее значение означает, что у этого коммутатора больше шансов стать основным vPC.
Изменение приоритета одноранговых устройств vPC может привести к тому, что интерфейсы в вашей сети будут работать вверх и вниз.Если вы хотите снова настроить приоритет роли, чтобы сделать одно устройство vPC основным устройством, настройте приоритет роли как на основном устройстве vPC с более низким значением приоритета, так и на дополнительном устройстве vPC с более высоким значением. Затем отключите одноранговую связь vPC на обоих устройствах, введя команду shutdown, и, наконец, снова включите порт-канал на обоих устройствах, введя команду no shutdown.
Изменение роли Hitless vPC
Функция беспрепятственного изменения ролей vPC предоставляет платформу для переключения ролей vPC между одноранговыми узлами vPC, не влияя на потоки трафика.Смена ролей vPC выполняется на основе значения приоритета роли устройства в домене vPC. Одноранговое устройство vPC с более низким приоритетом роли выбирается в качестве основного устройства vPC при выполнении команды vpc role preempt .
Дополнительные сведения см. В разделе «Сценарий использования для беспроблемного изменения роли vPC».
Поведение систем vPC при отключении однорангового соединения vPC
Когда одноранговый канал vPC не работает, а канал поддержки активности однорангового соединения vPC все еще работает, вторичное одноранговое устройство vPC выполняет следующие операции:
- Приостанавливает свои порты-участники vPC.
- Выключает SVI, связанный с vPC VLAN.
Это защитное поведение vPC перенаправляет весь трафик с юга на север на основное устройство vPC.
Обратите внимание, что когда одноранговый канал vPC не работает, оба одноранговых устройства vPC больше не могут синхронизироваться друг с другом, поэтому разработанный механизм защиты приводит к изоляции одного из одноранговых устройств (в случае вторичного однорангового устройства) от пути данных.
vPC Master Sticky Bit
vPC Master Sticky bit — это запрограммированный механизм защиты , введенный для предотвращения ненужной смены ролей (которая потенциально может вызвать нарушение работы сети) при неожиданной перезагрузке первичного коммутатора.Главный залипающий бит vPC позволяет активному коммутатору закрепить на своей ПЕРВИЧНОЙ роли, когда неработающий коммутатор возвращается в рабочий режим или когда изолированный коммутатор интегрируется обратно в домен VPC.
Переключение мастер-битов vPC:
1. В этом сценарии значение ведущего бита vPC установлено на TRUE:
- Когда текущий vPC Primary перезагружается и коммутатор с поддержкой vPC переключает свою роль с vPC Secondary на vPC Operational Primary .Бит залипания не устанавливается, если роль меняется с vPC Operational Secondary на vPC Primary .
- Когда коммутатор с поддержкой vPC переключает свою роль с None, установите на vPC Primary , когда таймер восстановления перезагрузки (по умолчанию 240 секунд) истечет.
2. Значение залипающего бита мастера vPC установлено в FALSE в следующих сценариях:
- При перезагрузке коммутатора с поддержкой vPC (Примечание. Бит залипания по умолчанию установлен на ЛОЖЬ).
- При изменении или повторном вводе приоритета роли vPC.
Мастер-бит vPC Sticky сообщается в структуре компонентов программного обеспечения vPC Manager и может быть проверен с помощью этой команды режима exec NX-OS.
Campus_N7K2-VPC # показать внутреннюю информацию vpcm системы global | включить липкий регистр игнорирования Sticky Master: ИСТИНА Campus_N7K2-VPC №
Восстановление задержки vPC
После перезагрузки однорангового устройства vPC и его восстановления протоколу маршрутизации требуется время для повторного схождения. На участке восстановления vPC может быть маршрутизирован трафик «черная дыра» от доступа к агрегации / ядру до тех пор, пока не будет восстановлено соединение уровня 3 по восходящей линии связи.
Функция
vPC Delay Restore задерживает включение ветки vPC на восстанавливающееся одноранговое устройство vPC. vPC Delay Restore позволяет протоколам маршрутизации уровня 3 сойтись, прежде чем разрешить любой трафик на ветке vPC. Это приводит к более плавному восстановлению и нулевой потере пакетов на этапе восстановления (трафик по-прежнему перенаправляется на работающее одноранговое устройство vPC). Эта функция включена по умолчанию с таймером восстановления vPC по умолчанию, равным 30 секундам. Таймер можно настроить в соответствии с конкретным базовым уровнем конвергенции уровня 3 от 1 до 3600 секунд.
Интерфейс восстановления задержки vPC Vlan
Чтобы отложить подключение интерфейсов VLAN на восстановленном одноранговом устройстве vPC, используйте параметр interfaces-vlan команды delay restore . Эта функция включена по умолчанию с таймером восстановления vPC по умолчанию, равным 10 секундам.
vPC Delay Restore при использовании Scaled SVI Setup 4000 SVI
Добавлена новая команда delay restore interface-VLAN batch <1-4094> для настройки кардиостимулятора для подключения интерфейсов VLAN или домена моста в пакете из 200 SVI за раз.Для команды таймера восстановления задержки vPC delay restore <значение тайм-аута> следует настроить значение, превышающее сумму всех настроенных пакетных таймеров. Это сделано для того, чтобы ветвь VPC была активирована только после того, как все SVI полностью подошли, чтобы избежать любой черной дыры трафика.
Пример: 4000 Vlan, 200 пакетов, задержка 15 секунд
задержка восстановления> (4000/200) x 15
Процесс выборов vPC
В системе vPC одно одноранговое устройство vPC определяется как первичное vPC, а одно — как вторичное vPC, на основе этих параметров и в этом порядке
- Ведущий бит залипания vPC установлен в 0 или 1.
- Определяемый пользователем приоритет роли vPC (программное обеспечение Cisco NX-OS использует наименьшее числовое значение для выбора основного устройства).
- Системное значение Mac-адреса (программное обеспечение Cisco NX-OS использует наименьший MAC-адрес для выбора основного устройства).
Эта блок-схема (изображение 1) суммирует шаги, которые проходят оба одноранговых устройства vPC во время процесса выбора первичного коммутатора vPC.
- Первый проверяемый параметр между двумя устройствами во время процесса первичного выбора vPC — это главный залипающий бит vPC.Если одноранговое устройство vPC побеждает в этом сравнении , оно становится основным vPC независимо от настроенного значения приоритета роли vPC или системных MAC-адресов, которые имеют оба одноранговых узла.
- Если оба одноранговых коммутатора vPC имеют одинаковое значение Sticky Bit, процесс выбора переходит к следующему шагу для сравнения определяемого пользователем приоритета роли vPC.
- Если обе роли vPC настроены на одно и то же значение, процесс выбора продолжается для сравнения MAC-адресов системы.
Изображение 1
Как показано на изображении, когда на коммутаторе vPC главный бит закрепления vPC установлен на 1 (условие ИСТИНА), а его партнер с битом закрепления установлен на 0 (условие ЛОЖЬ), сторона ИСТИНА побеждает на выборах и берет на себя роль vPC. Начальный.
липкий бит vPC Peer 1 установлен на 1 | Бит фиксации узла vPC 2 установлен на 1 | Основной виртуальный компьютер |
Ложь (0) | Ложь (0) | Галстук |
Истинный (1) | Ложь (0) | одноранговый узел vPC 1 |
Ложь (0) | Истинный (1) | Узел vPC 2 |
Истинный (1) | Истинный (1) | Галстук |
Сценарий восстановления vPC
Нельзя недооценивать важность понимания процесса выбора vPC, особенно в сценариях восстановления vPC.
Изображение 2 показывает типичную настройку VPC, Nexus-01 — это первичный VPC, а Nexus-02 — вторичный VPC. У них обоих по умолчанию для липких битов установлено значение FALSE.
Изображение 2
Как показано на этом изображении, в Nexus-01 отключено электричество, и он изолирован от сети. Nexus-02 повысил себя до уровня vPC Primary и установил для vPC Sticky Bit значение TRUE.
И Nexus-02 теперь становится рабочим, и бит фиксации теперь установлен на ИСТИНА.
Изображение 3
Как показано на этом изображении, когда Nexus-01 возвращается в сеть после восстановления отключения электроэнергии, Nexus-02 сохраняет операционную ПЕРВИЧНУЮ роль независимо от приоритета своей роли (потому что у него есть липкий бит ИСТИНА), а Nexus-02 принимает ВТОРИЧНАЯ роль, когда дело доходит до онлайн. Только Nexus-01 начинает процесс инициализации VPC, тогда как N7K-02 остается основным и перенаправляет трафик как обычно. Следовательно, сбоя сети не наблюдается .
Есть два таймера, связанных с процессом инициализации vPC на Nexus-01, который теперь является рабочим дополнительным устройством vPC:
- задержка восстановления SVI (по умолчанию 10 секунд)
- задержка восстановления (по умолчанию 30 секунд)
В результате вы можете ожидать 40-секундное время восстановления на Nexus-01 после того, как Nexus-01 будет повторно введен в сеть в качестве вторичного устройства vPC. Однако, поскольку Nexus-02 берет на себя основную роль, весь трафик теперь проходит через Nexus-01, как упоминалось выше, сбоев в сети не наблюдается.
Изображение 4
Пример сбоя сети из-за неправильной установки липкого бита
Отказ сети вызван НЕПРАВИЛЬНО установленным битом залипания, когда изолированный коммутатор (Nexus-02) возвращается в домен VPC
Однако сбой сети может произойти после того, как изолированный коммутатор будет возвращен в домен VPC, если липкие биты не установлены правильно на обоих коммутаторах Nexus. Прежде чем изолированный коммутатор будет возвращен в домен VPC, его бит фиксации должен быть установлен в FALSE.(Процедуры замены корпуса N7K см. Https://www.cisco.com/c/en/us/support/docs/interfaces-modules/nexus-7000-series-supervisor-1-module/119033-technote- nexus-00.html # anc11)
Как показано на рисунке 5, Nexus-01 настроен с более высоким приоритетом роли VPC, чем Nexus-02, а для Nexus-02 бит фиксации установлен на TRUE. Каналы E1 / 1 и E1 / 2 Nexus-01 находятся в состоянии пересылки, тогда как E1 / 1 и E1 / 2 в состоянии выключения.
Изображение 5
Когда PKA и Peer Link восстанавливаются, Nexus-02 принимает ПЕРВИЧНУЮ роль независимо от его приоритета роли (потому что у него есть липкий бит ИСТИНА) и заставляет Nexus-01 стать ВТОРИЧНЫМ, и процесс инициализации VPC начинается на Nexus-01.Поэтому связь E1 / 1 и E1 / 2 Nexus-01 приостанавливается VPC и подключается к сети после истечения таймеров восстановления реле (по умолчанию 40 секунд). В этом случае, , 40-секундный сбой сети виден после восстановления PKA и Peer Link, как показано на изображении 6.
Изображение 6
Примечание : Когда Nexus повторно вводится в домен vPC, необходимо убедиться, что на активном устройстве vPC нет изменения роли vPC. Чтобы избежать изменения роли vPC, когда биты фиксации обоих переключателей установлены на одно и то же значение, активное устройство vPC должно иметь более высокий приоритет роли, чтобы оно сохраняло свою ПЕРВИЧНУЮ роль.Пожалуйста, обратитесь к изображению 1 в этом документе для получения дополнительной информации о процессе выбора роли VPC.
No. 256 — VPC 45 U | |
Система ЧПУ | Sinumerik One | 2940/1600/900 [мм] |
Скоростной ход по X / Y / Z | 30/30/25 [м / мин] |
Поверхность сцепления прибл. | 3200 x 1500 [мм] (с дополнительными фиксированными столами 2 x 900 x 1500 мм + RTA 6) |
Поворотный стол | RTA 6-TF, Ø 1600 мм, система прямого измерения, +/- 5 мин. .40 [кВт] (при 40% постоянного тока) — привод № 111 |
Крутящий момент шпинделя | макс. 191 [Нм] (при 40% ПВ) |
Конус шпинделя | SK 40, DIN 69871 A |
Емкость для хранения инструмента | 36 гнезд для инструментов (цепной магазин с макс. 72 гнезда для инструментов подготовлено ) |
Внешнее охлаждение | Кольцо с 6 регулируемыми соплами охлаждения |
Охлаждающая жидкость через шпиндель | до 30 бар, вкл.ленточный фильтр с внешней емкостью 600 л |
Транспортер стружки | выгрузка правая, высота выгрузки прибл. 1200 мм, 2 точки фланца |
Покрытие | Герметизация рабочего пространства |
Цветное покрытие | светло-серый / серо-серый (RAL 7035/7015) |
Дополнительные функции | |
VPC Networking — eksctl
По умолчанию eksctl create cluster
создаст выделенный VPC для кластера.Это сделано для того, чтобы избежать вмешательства в существующие ресурсы для
по множеству причин, включая безопасность, но также и потому, что сложно определить все настройки в существующем VPC.
CIDR VPC по умолчанию, используемый eksctl
, — 192.168.0.0/16
. Он разделен на 8 (/19
) подсетей (3 частные, 3 общедоступные и 2 зарезервированные).
Начальная группа узлов создается в общедоступных подсетях с отключенным доступом по SSH, если не указано --allow-ssh
.Группа узлов по умолчанию разрешает входящий трафик из группы безопасности уровня управления на порты 1025–65535.
Примечание
В us-east-1
eksctl по умолчанию создает только 2 общедоступные и 2 частные подсети.
Важно
Начиная с eksctl
версии 0.17.0
и более поздних, в общедоступных подсетях будет включено свойство MapPublicIpOnLaunch
и
свойство AssociatePublicIpAddress
отключено в группе автоматического масштабирования для групп узлов.Это означает, что когда
создание новой группы узлов на кластере , созданном с использованием более ранней версии из eksctl
, группа узлов должна быть либо частной
или имеют MapPublicIpOnLaunch
, включенные в своих общедоступных подсетях. Без одного из них у новых узлов не будет доступа к
в Интернете и не сможет загрузить базовые дополнения (плагин CNI, kube-proxy и т. д.). Чтобы помочь настроить
подсети правильно для старых кластеров вы можете использовать новую команду eksctl utils update-legacy-subnet-settings
.
Если функциональность по умолчанию вам не подходит, в настоящее время доступны следующие параметры.
Изменить VPC CIDR
Если вам нужно настроить пиринг с другим VPC или просто нужен больший или меньший диапазон IP-адресов, вы можете использовать флаг --vpc-cidr
для
Измени это. См. Руководства по выбору блоков CIDR, разрешенных для использования в AWS VPC, в документации AWS.
Использовать частные подсети для начальной группы узлов
Если вы предпочитаете изолировать начальную группу узлов от общедоступного Интернета, вы можете использовать флаг --node-private-network
.При использовании вместе с флагом --ssh-access
доступ к порту SSH возможен только изнутри VPC.
Примечание
Использование флага --node-private -etwork
приведет к тому, что исходящий трафик будет проходить через шлюз NAT, используя его
Эластичный IP. С другой стороны, если узлы находятся в общедоступной подсети, исходящий трафик не будет проходить через
Шлюз NAT и, следовательно, исходящий трафик имеет IP-адрес каждого отдельного узла.
Использовать существующий VPC: совместно с kops
Вы можете использовать VPC существующего кластера Kubernetes, управляемого kops.Эта функция предназначена для облегчения миграции и / или
пиринг кластера.
Если вы ранее создали кластер с помощью kops, например используя команды, подобные этой:
экспорт KOPS_STATE_STORE = s3: // kops
kops create cluster cluster-1.k8s.local --zones = us-west-2c, us-west-2b, us-west-2a --networking = weave --yes
Вы можете создать кластер EKS в тех же зонах доступности, используя одни и те же подсети VPC (ПРИМЕЧАНИЕ: требуется как минимум 2 зоны доступности / подсети):
eksctl create cluster --name = cluster-2 --region = us-west-2 --vpc-from-kops-cluster = cluster-1.k8s.local
Использовать существующий VPC: другая настраиваемая конфигурация
eksctl
обеспечивает некоторую, но не полную гибкость для настраиваемых топологий VPC и подсетей.
Вы можете использовать существующий VPC, предоставив частные и / или общедоступные подсети с помощью флагов --vpc-private-subnets
и --vpc-public-subnets
.
Вы должны убедиться, что используемые подсети правильно классифицированы, поскольку нет простого способа проверить, является ли подсеть на самом деле частной или
общедоступный, потому что конфигурации различаются.
Учитывая эти флаги, eksctl create cluster
автоматически определит идентификатор VPC, но не будет создавать таблицы маршрутизации или другие
ресурсы, такие как шлюзы Интернета / NAT. Однако он создаст выделенные группы безопасности для начальной группы узлов и элемента управления.
самолет.
Вы должны обеспечить как минимум 2 подсетями в разных зонах доступности . Существуют и другие требования, которым вам нужно будет следовать (перечисленные ниже), но это
полностью решать вам.(Например, тегирование не является строго необходимым, тесты показали, что можно создать
функциональный кластер без каких-либо тегов, установленных в подсетях, однако нет гарантии, что это всегда будет выполняться, и тегирование
рекомендуется.)
Стандартные требования:
- все указанные подсети должны находиться в одном VPC в одном блоке IP-адресов
- доступно достаточное количество IP-адресов, исходя из потребностей
- достаточное количество подсетей (минимум 2), исходя из потребностей
- имеют как минимум следующие теги:
-
кубернетов.Тег io / cluster /
установлен наобщий
илипринадлежащий
-
kubernetes.io/role/internal-elb
тег установлен на1
для частных подсетей -
kubernetes.io/role/elb
тег установлен на1
для общедоступных подсетей
-
- правильно настроенные шлюзы Интернета и / или NAT
- имеют правильные записи, и сеть работает
- NEW : во всех общедоступных подсетях должно быть включено свойство
MapPublicIpOnLaunch
(т.е.е.Автоматическое назначение общедоступного IPv4-адреса
в консоли AWS)
Подсети
Таблицы маршрутизации
EKS или Kubernetes могут предъявлять и другие требования, и вы полностью должны быть в курсе любых требований и / или
рекомендации и выполняйте их по мере необходимости / по возможности.
Параметры группы безопасности по умолчанию, применяемые eksctl
, могут или не могут быть достаточными для совместного использования доступа с ресурсами в другой системе безопасности
группы. Если вы хотите изменить правила входа / выхода для групп безопасности, вам может потребоваться другой инструмент для автоматизации
изменения или сделать это через консоль EC2.
В случае сомнений не используйте пользовательский VPC. Использование eksctl create cluster
без каких-либо флагов --vpc- *
всегда будет настраивать кластер
с полнофункциональным выделенным VPC.
Примеры
Создайте кластер с использованием настраиваемого VPC с 2 частными и 2 общедоступными подсетями:
eksctl создать кластер \
--vpc-private-subnets = подсеть-0ff156e0c4a6d300c, подсеть-0426fb4a6073 \
--vpc-public-subnets = подсеть-0153e560b3129a696, подсеть-009fa0199ec203c37
или используйте следующий эквивалентный файл конфигурации:
apiВерсия: eksctl.io / v1alpha5
вид: ClusterConfig
метаданные:
имя: мой-тест
регион: us-west-2
vpc:
id: "vpc-11111"
подсети:
частный:
us-west-2a:
id: "subnet-0ff156e0c4a6d300c"
us-west-2c:
id: "подсеть-0426fb4a6073"
общественность:
us-west-2a:
id: "подсеть-0153e560b3129a696"
us-west-2c:
id: "подсеть-009fa0199ec203c37"
nodeGroups:
- название: нг-1
Создайте кластер с использованием настраиваемого VPC с 3 частными подсетями и заставьте начальную группу узлов использовать эти подсети:
eksctl создать кластер \
--vpc-private-subnets = подсеть-0ff156e0c4a6d300c, подсеть-0549cdab573695c03, подсеть-0426fb4a6073 \
--node-private -etwork
или используйте следующий эквивалентный файл конфигурации:
apiВерсия: eksctl.io / v1alpha5
вид: ClusterConfig
метаданные:
имя: мой-тест
регион: us-west-2
vpc:
id: "vpc-11111"
подсети:
частный:
us-west-2d:
id: "subnet-0ff156e0c4a6d300c"
us-west-2c:
id: "подсеть-0549cdab573695c03"
us-west-2a:
id: "подсеть-0426fb4a6073"
nodeGroups:
- название: нг-1
privateNetworking: правда
Создание кластера с использованием настраиваемых общедоступных подсетей VPC 4x:
eksctl создать кластер \
--vpc-public-subnets = subnet-0153e560b3129a696, subnet-0cc9c5aebe75083fd, subnet-009fa0199ec203c37, subnet-018fa0176ba320e45
apiВерсия: eksctl.io / v1alpha5
вид: ClusterConfig
метаданные:
имя: мой-тест
регион: us-west-2
vpc:
id: "vpc-11111"
подсети:
общественность:
us-west-2d:
id: "подсеть-0153e560b3129a696"
us-west-2c:
id: "subnet-0cc9c5aebe75083fd"
us-west-2a:
id: "подсеть-009fa0199ec203c37"
us-west-2b:
id: "подсеть-018fa0176ba320e45"
nodeGroups:
- название: нг-1
Дополнительные примеры можно найти в репо примеров
dir:
Пользовательская топология подсети
eksctl
версия 0.32.0
ввела дополнительную настройку топологии подсети с возможностью:
- Список нескольких подсетей для каждой зоны доступности в конфигурации VPC
- Укажите подсети в конфигурации группы узлов
В более ранних версиях настраиваемые подсети должны были предоставляться зоной доступности, что означало, что в списке могла быть указана только одна подсеть на каждую зону доступности.
Начиная с 0.32.0
идентификационные ключи могут быть произвольными.
впк:
id: "vpc-11111"
подсети:
общественность:
public-one: # произвольный ключ
id: "подсеть-0153e560b3129a696"
public-two:
id: "subnet-0cc9c5aebe75083fd"
us-west-2b: # или список по Аризоне
id: "подсеть-018fa0176ba320e45"
частный:
частный-один:
id: "подсеть-0153e560b3129a696"
частный-два:
id: "subnet-0cc9c5aebe75083fd"
Важно
Если в качестве ключа идентификации используется AZ, значение az
можно не указывать.
Если в качестве ключа идентификации используется произвольная строка, как указано выше, либо:
-
id
должен быть установлен (az
иcidr
опционально) - или
az
должны быть установлены (cidr
опционально)
Если пользователь указывает подсеть по AZ без указания CIDR и ID, подсеть
в этой зоне доступности будет выбираться из VPC произвольно, если несколько таких подсетей
существовать.
Примечание
Должна быть предоставлена полная спецификация подсети, т.е.как общедоступная конфигурация
, так и частная конфигурация
заявлено в спецификации VPC.
Группы узлов могут быть ограничены именованными подсетями через конфигурацию.
При указании подсетей в конфигурации группы узлов используйте идентификационный ключ, указанный в спецификации VPC , а не в качестве идентификатора подсети.
Например:
впк:
id: "vpc-11111"
подсети:
общественность:
общедоступный:
id: "подсеть-0153e560b3129a696"
... # спецификация подсети продолжение
nodeGroups:
- название: нг-1
instanceType: m5.xlarge
желаемая емкость: 2
подсети:
- общедоступный
Примечание
В конфигурации группы узлов может быть указана только одна из подсетей
или availabilityZones
.
При размещении групп узлов внутри частной подсети для privateNetworking
должно быть установлено значение true
в группе узлов:
впк:
id: "vpc-11111"
подсети:
общественность:
частный-один:
id: "подсеть-0153e560b3129a696"
... # спецификация подсети продолжение
nodeGroups:
- название: нг-1
instanceType: m5.xlarge
желаемая емкость: 2
privateNetworking: правда
подсети:
- частный-один
См. Здесь полный
пример конфигурации.
DNS-адрес настраиваемого кластера
Существует два способа перезаписи IP-адреса DNS-сервера, используемого для всех внутренних и внешних DNS-запросов. Этот
является эквивалентом флага --cluster-dns
для kubelet
.
Первый — через поле clusterDNS
. Файлы конфигурации принимают строку , поле
с именем
clusterDNS
с IP-адресом используемого DNS-сервера.Он будет передан кубелету
, который, в свою очередь, передаст его модулям через файл /etc/resolv.conf
.
apiVersion: eksctl.io/v1alpha5
вид: ClusterConfig
метаданные:
имя: кластер-1
регион: ес-север-1
nodeGroups:
- название: нг-1
clusterDNS: 169.254.20.10
Обратите внимание, что эта конфигурация принимает только один IP-адрес. Чтобы указать более одного адреса, используйте
kubeletExtraConfig
параметр:
apiВерсия: eksctl.io / v1alpha5
вид: ClusterConfig
метаданные:
имя: кластер-1
регион: ес-север-1
nodeGroups:
- название: нг-1
kubeletExtraConfig:
clusterDNS: ["169.254.20.10", "172.20.0.10"]
Пользовательская группа безопасности общего узла
eksctl
создаст и будет управлять группой безопасности общего узла, которая обеспечивает связь между
неуправляемые узлы, а также плоскость управления кластером и управляемые узлы.
Если вместо этого вы хотите предоставить свою собственную группу безопасности, вы можете переопределить sharedNodeSecurityGroup
поле в конфигурационном файле:
впк:
sharedNodeSecurityGroup: sg-0123456789
По умолчанию при создании кластера eksctl
добавит правила в эту группу безопасности, чтобы разрешить обмен данными с и
из группы безопасности кластера по умолчанию, которую создает EKS.Группа безопасности кластера по умолчанию используется обоими
плоскость управления EKS и группы управляемых узлов.
Если вы хотите самостоятельно управлять правилами группы безопасности, вы можете запретить eksctl
создавать правила.
установив manageSharedNodeSecurityGroupRules
на false
в файле конфигурации:
впк:
sharedNodeSecurityGroup: sg-0123456789
manageSharedNodeSecurityGroupRules: false
Шлюз NAT
Шлюз NAT для кластера можно настроить на Отключено
, Одиночный
(по умолчанию) или Высокодоступный
.Вариант HighlyAvailable
развернет шлюз NAT в каждой зоне доступности региона, так что если
зона доступности недоступна, узлы в других зонах доступности по-прежнему смогут подключаться к Интернету.
Его можно указать с помощью флага --vpc-nat-mode
CLI или в файле конфигурации кластера, как в примере ниже:
впк:
нац:
шлюз: HighlyAvailable # другие параметры: Disable, Single (по умолчанию)
См. Полный пример здесь.
Примечание : указание шлюза NAT поддерживается только во время создания кластера и не затрагивается во время кластера
Обновить. В будущем планируется поддержка переключения между различными режимами при обновлении кластера.
Управление доступом к конечным точкам сервера API Kubernetes
Создание кластера EKS по умолчанию открывает доступ к серверу API Kubernetes публично, но не напрямую изнутри
Подсети VPC (public = true, private = false). Трафик, предназначенный для сервера API из VPC, должен сначала выйти из
Сети VPC (но не сеть Amazon), а затем повторно войдите, чтобы достичь сервера API.
Доступ к конечной точке сервера API Kubernetes для кластера может быть настроен для общего и частного доступа при создании
кластер, используя файл конфигурации кластера. Пример ниже:
впк:
clusterEndpoints:
publicAccess: <истина | ложь>
privateAccess: <истина | ложь>
При настройке доступа к конечной точке Kubernetes API есть несколько дополнительных предостережений:
- EKS не позволяет создавать или обновлять кластер без хотя бы одного частного или публичного доступа.
включено. - EKS позволяет создать конфигурацию, которая разрешает только частный доступ, но eksctl не позволяет
поддерживайте его во время создания кластера, поскольку он не позволяет eksctl подключать рабочие узлы к кластеру. - Обновление кластера для обеспечения доступа к конечной точке API Kubernetes только для частных лиц означает, что команды Kubernetes по умолчанию,
(например,kubectl
), а такжеeksctl delete cluster
,eksctl utils write-kubeconfig
и, возможно, команда
eksctl utils update-kube-proxy
необходимо запустить в кластере VPC.Это требует внесения некоторых изменений в различные AWS.
Ресурсы. Видеть:
Руководство пользователя EKS
Пользователь может выбрать предоставление vpc.extraCIDR, которые будут добавлять дополнительные диапазоны CIDR в ControlPlaneSecurityGroup,
позволяя подсетям за пределами VPC достигать конечной точки API Kubernetes.
Ниже приведен пример того, как можно настроить доступ к конечной точке API Kubernetes с помощью подкоманды utils
:
eksctl utils update-cluster-endpoints --name = --private-access = true --public-access = false
Чтобы обновить настройку с помощью файла ClusterConfig
, используйте:
eksctl utils update-cluster-endpoints -f config.yaml - одобрять
Обратите внимание, что если вы не передадите флаг, он сохранит текущее значение. Если вас устраивают предлагаемые изменения,
добавьте флаг Approve
, чтобы внести изменения в работающий кластер.
Ограничение доступа к конечной точке EKS Kubernetes Public API
При создании кластера EKS по умолчанию сервер Kubernetes API становится общедоступным. Чтобы ограничить доступ к общедоступному API
конечная точка для набора CIDR при создании кластера, установите поле publicAccessCIDRs
:
впк:
publicAccessCIDRs: ["1.1.1.1 / 32 "," 2.2.2.0/24 "]
Чтобы обновить ограничения для существующего кластера, используйте:
eksctl utils set-public-access-cidrs --cluster = 1.1.1.1/32,2.2.2.0/24
Чтобы обновить ограничения с помощью файла ClusterConfig
, установите новые CIDR в vpc.publicAccessCIDRs
и запустите:
eksctl utils set-public-access-cidrs -f config.yaml
Примечание
Эта функция применима только к общедоступной конечной точке.В
Параметры конфигурации доступа к конечной точке сервера API
не изменится, и у вас по-прежнему будет возможность отключить общедоступную конечную точку, чтобы ваш кластер был недоступен из
интернет. (Источник: https://github.com/aws/containers-roadmap/issues/108#issuecomment-552766489)
Примечания по реализации: https://github.com/aws/containers-roadmap/issues/108#issuecomment-552698875
О шлюзе Azure VPN | Документы Microsoft
- Читать 8 минут
В этой статье
VPN-шлюз — это особый тип шлюза виртуальной сети, который используется для отправки зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет.Вы также можете использовать VPN-шлюз для отправки зашифрованного трафика между виртуальными сетями Azure по сети Microsoft. В каждой виртуальной сети может быть только один VPN-шлюз. Однако вы можете создать несколько подключений к одному и тому же шлюзу VPN. Когда вы создаете несколько подключений к одному и тому же шлюзу VPN, все туннели VPN совместно используют доступную пропускную способность шлюза.
Что такое шлюз виртуальной сети?
Шлюз виртуальной сети состоит из двух или более виртуальных машин, развернутых в определенной вами подсети, которая называется подсетью шлюза .Виртуальные машины шлюза виртуальной сети содержат таблицы маршрутизации и запускают определенные службы шлюза. Эти виртуальные машины создаются при создании шлюза виртуальной сети. Вы не можете напрямую настроить виртуальные машины, которые являются частью шлюза виртуальной сети.
При настройке шлюза виртуальной сети вы настраиваете параметр, определяющий тип шлюза. Тип шлюза определяет, как будет использоваться шлюз виртуальной сети, и действия, которые он выполняет. Тип шлюза «Vpn» указывает, что тип созданного шлюза виртуальной сети является «шлюзом VPN».Это отличает его от шлюза ExpressRoute, который использует другой тип шлюза. Виртуальная сеть может иметь два шлюза виртуальной сети; один шлюз VPN и один шлюз ExpressRoute. Для получения дополнительной информации см. Типы шлюзов.
Создание шлюза часто может занять 45 минут или больше, в зависимости от выбранного номера SKU шлюза. При создании шлюза виртуальной сети виртуальные машины шлюза развертываются в подсети шлюза и настраиваются с указанными вами параметрами. После создания VPN-шлюза вы можете создать туннельное соединение IPsec / IKE VPN между этим VPN-шлюзом и другим VPN-шлюзом (VNet-to-VNet) или создать межсетевое соединение IPsec / IKE VPN-туннеля между VPN-шлюзом и локальное устройство VPN (Site-to-Site).Вы также можете создать VPN-соединение типа «точка-сеть» (VPN через OpenVPN, IKEv2 или SSTP), которое позволит вам подключаться к вашей виртуальной сети из удаленного места, например, с конференции или из дома.
Настройка VPN-шлюза
Соединение через VPN-шлюз использует несколько ресурсов, для которых заданы определенные параметры. Большинство ресурсов можно настроить отдельно, хотя некоторые ресурсы необходимо настраивать в определенном порядке.
Конструкция
Важно знать, что для подключений через VPN-шлюз доступны разные конфигурации.Вам необходимо определить, какая конфигурация лучше всего соответствует вашим потребностям. Например, соединения «точка-сеть», «сеть-сеть» и сосуществующие соединения ExpressRoute / Site-to-Site имеют разные инструкции и требования к конфигурации. Для получения информации о конструкции и для просмотра схем топологии соединений см. Дизайн.
Стол для планирования
Следующая таблица поможет вам выбрать лучший вариант подключения для вашего решения.
Точка-точка | Между площадками | ExpressRoute | |
---|---|---|---|
Поддерживаемые службы Azure | Облачные службы и виртуальные машины | Облачные службы и виртуальные машины | Список услуг |
Типичная ширина полосы | На основе шлюза SKU | Обычно <1 Гбит / с в совокупности | 50 Мбит / с, 100 Мбит / с, 200 Мбит / с, 500 Мбит / с, 1 Гбит / с, 2 Гбит / с, 5 Гбит / с, 10 Гбит / с |
Поддерживаемые протоколы | Протокол туннелирования защищенных сокетов (SSTP), OpenVPN и IPsec | IPsec | Прямое подключение через VLAN, технологии VPN NSP (MPLS, VPLS ,…) |
Маршрутизация | RouteBased (динамический) | Мы поддерживаем PolicyBased (статическая маршрутизация) и RouteBased (динамическая маршрутизация VPN). | BGP |
Устойчивость соединения | активно-пассивный | активно-пассивный или активно-активный | активный-активный |
Типичный вариант использования | Безопасный доступ к виртуальным сетям Azure для удаленных пользователей | Сценарии разработки / тестирования / лаборатории и рабочие нагрузки малого и среднего масштаба для облачных сервисов и виртуальных машин | Доступ ко всем службам Azure (проверенный список), критически важным рабочим нагрузкам корпоративного класса, резервному копированию, большим данным, Azure как площадке аварийного восстановления |
SLA | SLA | SLA | SLA |
Стоимость | Стоимость | Стоимость | Стоимость |
Техническая документация | Документация по VPN-шлюзу | Документация по VPN-шлюзу | Документация ExpressRoute |
FAQ | Часто задаваемые вопросы о VPN-шлюзе | Часто задаваемые вопросы о VPN-шлюзе | ExpressRoute: часто задаваемые вопросы |
Настройки
Параметры, выбранные для каждого ресурса, имеют решающее значение для создания успешного подключения.Для получения информации об отдельных ресурсах и настройках VPN-шлюза см. Раздел «О настройках VPN-шлюза». В статье содержится информация, которая поможет вам разобраться в типах шлюзов, их SKU, типах VPN, типах подключений, подсетях шлюза, шлюзах локальной сети и различных других параметрах ресурсов, которые вы, возможно, захотите рассмотреть.
Инструменты развертывания
Вы можете начать создание и настройку ресурсов с помощью одного инструмента настройки, например портала Azure. Позже вы можете решить переключиться на другой инструмент, такой как PowerShell, для настройки дополнительных ресурсов или изменения существующих ресурсов, когда это применимо.В настоящее время вы не можете настроить все ресурсы и параметры ресурсов на портале Azure. Инструкции в статьях для каждой топологии подключения указывают, когда требуется конкретный инструмент настройки.
Артикул шлюза
При создании шлюза виртуальной сети вы указываете SKU шлюза, который хотите использовать. Выберите SKU, который соответствует вашим требованиям, исходя из типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания.
SKU шлюза по туннелю, подключению и пропускной способности
VPN Шлюз Поколение | Артикул | S2S / VNet-to-VNet Туннели | P2S Соединения SSTP | P2S Соединения IKEv2 / OpenVPN | Совокупный Контрольный показатель пропускной способности | BGP | Резервирование зоны |
---|---|---|---|---|---|---|---|
Поколение1 | Базовый | Макс.10 | Макс. 128 | Не поддерживается | 100 Мбит / с | Не поддерживается | № |
Поколение1 | ВпнГв1 | Макс. 30 * | Макс. 128 | Макс. 250 | 650 Мбит / с | Поддерживается | № |
Поколение1 | ВпнГв2 | Макс. 30 * | Макс. 128 | Макс. 500 | 1 Гбит / с | Поддерживается | № |
Поколение1 | ВпнГв3 | Макс.30 * | Макс. 128 | Макс. 1000 | 1,25 Гбит / с | Поддерживается | № |
Поколение1 | ВпнГв1АЗ | Макс. 30 * | Макс. 128 | Макс. 250 | 650 Мбит / с | Поддерживается | Есть |
Поколение1 | ВпнГв2АЗ | Макс. 30 * | Макс. 128 | Макс. 500 | 1 Гбит / с | Поддерживается | Есть |
Поколение1 | ВпнГв3АЗ | Макс.30 * | Макс. 128 | Макс. 1000 | 1,25 Гбит / с | Поддерживается | Есть |
Поколение2 | ВпнГв2 | Макс. 30 * | Макс. 128 | Макс. 500 | 1,25 Гбит / с | Поддерживается | № |
Поколение2 | ВпнГв3 | Макс.30 * | Макс. 128 | Макс. 1000 | 2,5 Гбит / с | Поддерживается | № |
Поколение2 | ВпнГв4 | Макс. 30 * | Макс. 128 | Макс. 5000 | 5 Гбит / с | Поддерживается | № |
Поколение2 | ВпнГв5 | Макс. 30 * | Макс. 128 | Макс. 10000 | 10 Гбит / с | Поддерживается | № |
Поколение2 | ВпнГв2АЗ | Макс.30 * | Макс. 128 | Макс. 500 | 1,25 Гбит / с | Поддерживается | Есть |
Поколение2 | ВпнГв3АЗ | Макс. 30 * | Макс. 128 | Макс. 1000 | 2,5 Гбит / с | Поддерживается | Есть |
Поколение2 | ВпнГв4АЗ | Макс. 30 * | Макс. 128 | Макс. 5000 | 5 Гбит / с | Поддерживается | Есть |
Поколение2 | ВпнГв5АЗ | Макс.30 * | Макс. 128 | Макс. 10000 | 10 Гбит / с | Поддерживается | Есть |
(*) Используйте виртуальную глобальную сеть, если вам нужно более 30 туннелей S2S VPN.
Изменение размера SKU VpnGw разрешено в рамках одного поколения, за исключением изменения размера базового SKU. Базовый номер SKU является устаревшим и имеет ограничения функций. Чтобы перейти с базового номера SKU на другой VpnGw, необходимо удалить шлюз VPN с базовым номером SKU и создать новый шлюз с желаемой комбинацией поколения и размера SKU.
Эти ограничения на количество подключений являются отдельными. Например, у вас может быть 128 подключений SSTP, а также 250 подключений IKEv2 на SKU VpnGw1.
Информацию о ценах можно найти на странице цен.
SLA (Соглашение об уровне обслуживания) информацию можно найти на странице SLA.
В одном туннеле может быть достигнута максимальная пропускная способность 1 Гбит / с. Сравнительный анализ совокупной пропускной способности в приведенной выше таблице основан на измерениях нескольких туннелей, агрегированных через один шлюз.Сравнительный тест совокупной пропускной способности для VPN-шлюза — это комбинация S2S + P2S. Если у вас много соединений P2S, это может отрицательно повлиять на соединение S2S из-за ограничений пропускной способности. Тест совокупной пропускной способности не является гарантированной пропускной способностью из-за условий интернет-трафика и поведения вашего приложения.
Чтобы помочь нашим клиентам понять относительную производительность SKU с использованием различных алгоритмов, мы использовали общедоступные инструменты iPerf и CTSTraffic для измерения производительности.В таблице ниже приведены результаты тестов производительности для SKU VpnGw поколения 1. Как видите, наилучшая производительность достигается при использовании алгоритма GCMAES256 как для шифрования IPsec, так и для обеспечения целостности. Мы получили среднюю производительность при использовании AES256 для шифрования IPsec и SHA256 для целостности. Когда мы использовали DES3 для шифрования IPsec и SHA256 для целостности, мы получили самую низкую производительность.
Поколение | Артикул | Используемые алгоритмы | Пропускная способность наблюдается | Пакетов в секунду на туннель наблюдается |
---|---|---|---|---|
Поколение1 | ВпнГв1 | GCMAES256 AES256 и SHA256 DES3 и SHA256 | 650 Мбит / с 500 Мбит / с 120 Мбит / с | 58,000 50,000 50,000 |
Поколение1 | ВпнГв2 | GCMAES256 AES256 и SHA256 DES3 и SHA256 | 1 Гбит / с 500 Мбит / с 120 Мбит / с | 90 000 80 000 55 000 |
Поколение1 | ВпнГв3 | GCMAES256 AES256 и SHA256 DES3 и SHA256 | 1.25 Гбит / с 550 Мбит / с 120 Мбит / с | 105 000 90 000 60 000 |
Поколение1 | ВпнГв1АЗ | GCMAES256 AES256 и SHA256 DES3 и SHA256 | 650 Мбит / с 500 Мбит / с 120 Мбит / с | 58,000 50,000 50,000 |
Поколение1 | ВпнГв2АЗ | GCMAES256 AES256 и SHA256 DES3 и SHA256 | 1 Гбит / с 500 Мбит / с 120 Мбит / с | 90 000 80 000 55 000 |
Поколение1 | ВпнГв3АЗ | GCMAES256 AES256 и SHA256 DES3 и SHA256 | 1.25 Гбит / с 550 Мбит / с 120 Мбит / с | 105 000 90 000 60 000 |
Зоны доступности
Шлюзы
VPN можно развернуть в зонах доступности Azure. Это обеспечивает отказоустойчивость, масштабируемость и более высокую доступность шлюзов виртуальных сетей. Развертывание шлюзов в зонах доступности Azure физически и логически разделяет шлюзы в пределах региона, одновременно защищая подключение локальной сети к Azure от сбоев на уровне зоны. см. Сведения о шлюзах виртуальной сети с резервированием в зонах доступности Azure.
Стоимость
Вы платите за две вещи: почасовые затраты на вычисления для шлюза виртуальной сети и передачу исходящих данных из шлюза виртуальной сети. Информацию о ценах можно найти на странице цен. Для получения информации о ценах на SKU устаревшего шлюза см. Страницу цен на ExpressRoute и перейдите к разделу Virtual Network Gateways .
Затраты на вычисления виртуального сетевого шлюза
Каждый виртуальный сетевой шлюз имеет почасовые затраты на вычисления. Цена зависит от SKU шлюза, который вы указываете при создании шлюза виртуальной сети.Стоимость указана для самого шлюза и добавляется к передаче данных, которые проходят через шлюз. Стоимость активно-активной настройки такая же, как и активно-пассивная.
Стоимость передачи данных
Стоимость передачи данных рассчитывается на основе исходящего трафика от исходного шлюза виртуальной сети.
- Если вы отправляете трафик на свое локальное VPN-устройство, оно будет взиматься с учетом исходящей скорости передачи данных в Интернете.
- Если вы отправляете трафик между виртуальными сетями в разных регионах, цены зависят от региона.
- Если вы отправляете трафик только между виртуальными сетями, находящимися в одном регионе, плата за передачу данных не взимается. Трафик между виртуальными сетями в одном регионе бесплатный.
Дополнительные сведения о SKU шлюза для шлюза VPN см. В разделе SKU шлюза.
FAQ
Ответы на часто задаваемые вопросы о VPN-шлюзе см. В FAQ по VPN-шлюзу.
Что нового?
Подпишитесь на RSS-канал и просмотрите последние обновления функций VPN-шлюза на странице обновлений Azure.
Следующие шаги
Развитие вульвы
Амброс, В. (1999). Зависимое от клеточного цикла секвенирование решений судьбы клеток в клетках-предшественниках Caenorhabditis elegans вульвы. Разработка 126 , 1947–1956.
Абстрактный
Антошечкин И., Хан М. (2002). Ген C. elegans evl-20 является гомологом малой GTPase ARL2 и регулирует динамику цитоскелета во время цитокинеза и морфогенеза.Dev.
Ячейка 2 , 579–591.
Абстрактный
Статья
Ароян Р.В., Штернберг П.В. (1991). Множественные функции let-23 , гена рецепторной тирозинкиназы Caenorhabditis elegans , необходимого для индукции вульвы. Генетика 128 , 251–267.
Абстрактный
Батту, Г., Хойер Э.Ф. и Хайнал А. (2003). Рецептор SRA-13, связанный с G-белком C. elegans , ингибирует передачу сигналов RAS / MAPK во время обоняния и развития вульвы. Разработка 130 , 2567–2577.
Абстрактный
Статья
Бейтель, Г.Дж., Кларк, С.Г., и Хорвиц, Х.Р. (1990). Caenorhabditis elegans ген ras let-60 действует как переключатель на пути индукции вульвы.Природа 348 , 503–509.
Абстрактный
Статья
Бейтель, Дж. Дж., Так, С., Гринвальд, И., и Хорвиц, Х. Р. (1995). Ген Caenorhabditis elegans lin-1 кодирует белок ETS-домена и определяет ветвь пути индукции вульвы. Genes Dev. 9 , 3149–3162.
Абстрактный
Статья
Бернинсоне, П., Hwang, H.Y., Земцева, I., Horvitz, H.R., и Hirschberg, C.B. (2001). SQV-7, белок, участвующий в эпителиальной инвагинации и раннем эмбриогенезе Caenorhabditis elegans , транспортирует UDP-глюкуроновую кислоту, UDP-N-ацетилгалактозамин и UDP-галактозу.
Proc. Natl. Акад. Sci. USA 98 , 3738–3743.
Абстрактный
Статья
Берсет Т., Хойер, Э.Ф., Батту, Г., Каневаскини, С., и Хайнал, А. (2001). Notch ингибирование передачи сигналов RAS через MAP-киназу
фосфатаза LIP-1 во время развития вульвы C. elegans . Наука 291 , 1055–1058.
Абстрактный
Статья
Боксем, М., Сринивасан, Д.Г., и ван ден Хеувел, С. (1999). Ген Caenorhabditis elegans ncc-1 кодирует cdc2-родственную киназу, необходимую для M фазы в мейотических и митотических делениях клеток, но не для S фазы.Разработка
126 , 2227–2239.
Абстрактный
Боксем, М., и ван ден Хеувел, С. (2001). lin-35 Rb и cki-1 Cip / Kip взаимодействуют в онтогенетической регуляции прогрессии G1 у C. elegans . Разработка 128 , 4349–4359.
Абстрактный
Боксем, М., и ван ден Хеувел, С. (2002). C. elegans синтетические гены поливульвы класса B действуют в регуляции G (1). Curr. Биол. 12 , 906–911.
Абстрактный
Статья
Бродай Л., Колотуев И., Дидье К., Бхумик А., Гупта Б. П., Штернберг П. В., Подбилевич Б. и Ронаи З. (2004). В
small ubiquitin-like modifier (SUMO) необходим для морфогенеза гонад и маточно-вульвы у Caenorhabditis elegans .Genes Dev. 18 , 2380–2391.
Абстрактный
Статья
Бруинсма, Дж. Дж., Джиракулапорн, Т., Муслин, А. Дж., И Корнфельд, К. (2002). Ионы цинка и белки, способствующие диффузии катионов
регулируют Ras-опосредованную передачу сигналов. Dev. Ячейка 2 , 567–578.
Абстрактный
Статья
Булик, Д.А., Роббинс П. (2002). Гены Caenorhabditis elegans sqv и функции протеогликанов в развитии. Биохим. Биофиз. Acta 1573 , 247–57.
Булик, Д.А., Вэй, Г., Тойода, Х., Киношита-Тойода, А., Уолдрип, В.Р., Эско, Д.Д., Роббинс, П.В., и Селлек, С. (2000).
sqv-3 , -7 и -8 , набор генов, влияющих на морфогенез у Caenorhabditis elegans , кодируют ферменты, необходимые для биосинтеза гликозаминогликанов.Proc. Natl. Акад. Sci. USA 97 , 10838–10843.
Статья
Бурдин Р.Д., Бранда К.С. и Стерн М.Дж. (1998). Экспрессия EGL-17 (FGF) координирует влечение мигрирующего пола
миобласты с индукцией вульвы у C. elegans . Разработка 125 , 1083–1093.
Абстрактный
Цеол, К.J., Horvitz, H.R. dpl-1 DP и efl-1 E2F действуют с lin-35 Rb, чтобы противодействовать передаче сигналов Ras в развитии вульвы C. elegans . Мол. Мобильный 7 , 461–473.
Статья
Чемберлин, Х.М., Палмер, Р.Э., Ньюман, А.П., Штернберг, П.В., Бейли Д.Л., Томас, Дж. (1997). Ген PAX egl-38 обеспечивает формирование паттерна развития у Caenorhabditis elegans .Разработка 124 , 3919–3928.
Абстрактный
Чанг, К., Хоппер, Н.А., Стернберг, П.В. (2000). Caenorhabditis elegans SOS-1 необходим для множественных сигналов развития, опосредованных RAS. EMBO J. 19 , 3283–3294.
Абстрактный
Статья
Чанг, К., Ньюман А.П., Стернберг П.В. (1999). Реципрокная передача сигналов EGF обратно в матку от индуцированной вульвы C. elegans координирует морфогенез эпителия. Curr. Биол. 9 , 237–246.
Абстрактный
Статья
Чен, Н., и Гринвальд, И. (2004). Латеральный сигнал для LIN-12 / Notch в развитии вульвы C. elegans включает избыточные секретируемые и трансмембранные белки DSL.Dev. Ячейка 6 , 183–192.
Абстрактный
Статья
Cinar, H.N., Sweet, K.L, Hosemann, K.E., Earley, K., and Newman, A.P. (2001). Пресенилин SEL-12 опосредует индукцию
судьба пи-клеток матки Caenorhabditis elegans . Dev. Биол. 237 , 173–182.
Абстрактный
Статья
Кландинин, Т.Р., Кац, В.С., Штернберг, П.В. (1997). Caenorhabditis elegans Гены HOM-C регулируют ответ клеток-предшественников вульвы на индуктивный сигнал. Dev. Биол 182 , 150–161.
Абстрактный
Статья
Кларк, С. (1992). Межклеточные сигнальные и гомеотические гены, необходимые во время развития вульвы у C. elegans .Докторская диссертация, Массачусетский технологический институт.
Кларк, С.Г., Чисхолм, А.Д., и Хорвиц, Х.Р. (1993). Контроль клеточных судеб в центральной области тела C. elegans с помощью гена гомеобокса lin-39 . Мобильный 74 , 43–55.
Абстрактный
Статья
Кларк, С.Г., Лу, X., и Хорвиц, Х.Р. (1994). Локус Caenorhabditis elegans lin-15 , негативный регулятор пути передачи сигналов тирозинкиназы, кодирует два разных белка. Генетика 137 , 987–997.
Абстрактный
Кларк, С.Г., Стерн, М.Дж., и Хорвиц, Х.Р. (1992). Сигнальный ген клеток C. elegans sem-5 кодирует белок с доменами Sh3 и Sh4.Природа 356 , 340–344.
Абстрактный
Статья
Кларк, С.Г., Стерн, М.Дж., и Хорвиц, Х.Р. (1992). Гены, участвующие в двух сигнальных путях клеток Caenorhabditis elegans . Харб Холодного источника. Symp. Quant. Биол. 57 , 363–373.
Абстрактный
Колавита, А.и Тесье-Лавин М. (2003). Белок, родственный нейрексину, BAM-2, завершает ветви аксонов в C. elegans . Наука 302 , 293–296.
Абстрактный
Статья
Цуй, М., Фэй, Д.С., и Хан, М. (2004). lin-35 / Rb взаимодействует с комплексом SWI / SNF для контроля развития личинок Caenorhabditis elegans .Генетика 167 , 1177–1185.
Абстрактный
Статья
Цуй, М., и Хан, М. (2003). Цис-регуляторные требования для специфической для клеток вульвы экспрессии гена фактора роста фибробластов Caenorhabditis elegans egl-17 . Dev. Биол. 257 , 104–116.
Абстрактный
Статья
Дальпе, Г., Браун, Л., Кулотти, Дж. (2005). Морфогенез вульвы включает привлечение первичного элемента, экспрессирующего плексин 1.
клетки вульвы к семафорину 1a, последовательно экспрессируемому по средней линии вульвы. Девелопмент 132 , 1387–1400.
Статья
Дешпанде Р., Иноуэ Т., Присс Дж. Р. и Хилл Р. Дж. (2005). lin-17 / Frizzled и lin-18 регулируют локализацию POP-1 / TCF-1 и спецификацию типа ячейки в течение C.elegans развитие вульвы. Dev. Биол. 278 , 118–129.
Статья
Датт, A., Canevascini, S., Froehli-Hoier, E., and Hajnal, A. (2004). Распространение сигнала EGF во время развития вульвы C. elegans опосредовано ромбовидом ROM-1. PLoS Biol. 2 , E334.
Абстрактный
Статья
Эйзенманн, Д.М., Ким С.К. (2000). Выступающие мутанты вульвы идентифицируют новые локусы и сигнальные факторы Wnt, которые функционируют.
в течение развитие Caenorhabditis elegans вульвы. Генетика 156 , 1097–1116.
Абстрактный
Эйзенманн, Д.М., Малуф, Дж. Н., Симске, Дж. С., Кеньон, К., и Ким, С. К. (1998). Гомолог бета-катенина BAR-1 и LET-60 Ras
координировать регуляцию гена Hox lin-39 во время развития вульвы Caenorhabditis elegans .Разработка 125 , 3667–3680.
Абстрактный
Эулинг, С., Амброс, В. (1996). Обращение определения судьбы клеток в развитии вульвы Caenorhabditis elegans . Разработка 122 , 2507–2515.
Абстрактный
Юлинг, С., и Амброс, В. (1996). Гетерохронные гены контролируют ход клеточного цикла и способность к развитию клеток-предшественников вульвы C. elegans . Мобильный 8 , 667–676.
Статья
Фэй, Д.С., и Хан, М. (2000). Мутации в cye-1 , Caenorhabditis elegans cyclin E, выявляют координацию между контролем клеточного цикла и развитием вульвы.Разработка 127 , 4049–4060.
Абстрактный
Фергюсон, Э.Л., и Хорвиц, Х.Р. (1985). Идентификация и характеристика 22 генов, влияющих на клоны клеток вульвы
нематоды Caenorhabditis elegans . Генетика 110 , 17–72.
Абстрактный
Фергюсон, Э.Л., и Хорвиц, Х.Р. (1989). Фенотип поливулвы некоторых мутантов Caenorhabditis elegans является результатом дефектов двух функционально дублирующих путей. Генетика 123 , 109–121.
Абстрактный
Фергюсон, Э.Л., Штернберг, П.В., и Хорвиц, Х.Р. (1987). Генетический путь спецификации клонов клеток вульвы
из Caenorhabditis elegans .Природа 326 , 259–67. Исправление в: Nature 327 , 82.
Абстрактный
Статья
Фишер, Дж., Питерман, Н., Хаббард, Э. Дж., Стерн, М., Дж., Харел, Д. (2005). Вычислительный анализ развития вульвы Caenorhabditis elegans . Proc. Natl. Акад. Sci. США 102 , 1951–1956.
Статья
Фрейд, Г., Ким, С.К., и Хорвиц, Х.Р. (1990). Новый богатый цистеином мотив и гомеодомен в продукте гена клеточной линии Caenorhabditis elegans lin-11 . Природа 344 , 76–879.
Абстрактный
Глисон, Дж. Э., Корсваген, Х. К., и Эйзенманн, Д. М. (2002). Активация сигнализации Wnt обходит требования для RTK / Ras
сигнализация в течение C.elegans индукция вульвы. Genes Dev. 16 , 1281–1290.
Абстрактный
Статья
Грант, К.А., Ханна-Роуз, В., и Хан, М. (2000). sem-4 способствует определению судьбы клеток вульвы у Caenorhabditis elegans посредством регуляции lin-39 hox. Dev. Биол. 224 , 496–506.
Абстрактный
Статья
Гринвальд, И., и Сейду, Г. (1990). Анализ мутаций увеличения функции гена lin-12 Caenorhabditis elegans . Природа 346 , 197–199.
Статья
Гринвальд, И.С., Штернберг, П.В., и Хорвиц, Х.Р. (1983). Локус lin-12 определяет судьбы клеток в Caenorhabditis elegans . Мобильный 34 , 435–444.Абстрактный
Статья
Гупта Б.П., Штернберг П.В. (2002). Тканевая регуляция гена гомеобокса LIM lin-11 во время развития системы яйцекладки Caenorhabditis elegans . Dev. Биол. 247 , 102–115.
Абстрактный
Статья
Гупта, Б.П., Ван М., Штернберг П. В. (2003). Ген гомеобокса C. elegans LIM lin-11 определяет судьбы нескольких клеток во время развития вульвы. Девелопмент 130 , 2589–2601.
Абстрактный
Статья
Хайнал, А. (2002). Тонкая настройка пути передачи сигналов RAS: Zn (2+) имеет значение. Мол. Мобильный 9 , 927–928.Статья
Хайнал, А., Уитфилд, К. В., Ким, С. К. (1997). Ингибирование индукции вульвы Caenorhabditis elegans gap-1 и let-23 рецепторной тирозинкиназой. Genes Dev. 11 , 2715–2728.
Абстрактный
Хан, М., Ароян Р.В., Штернберг П.В. (1990). Локус let-60 контролирует переключение между судьбами вульвальных и невульвальных клеток у Caenorhabditis elegans . Генетика 126 , 899–913.
Хан, М., Голден, А., Хан, Ю., и Штернберг, П.В. (1993). C. elegans lin-45 ген raf участвует в let-60 ras-стимулированной дифференцировке вульвы.Природа 363 , 133–140.
Абстрактный
Статья
Хан, М., и Штернберг, П.В. (1990). let-60 , ген, который определяет судьбы клеток во время индукции вульвы C. elegans , кодирует белок ras. Мобильный 63 , 921–931.
Абстрактный
Статья
Хан, М., и Штернберг, П. (1991). Анализ доминантно-отрицательных мутаций гена Caenorhabditis elegans let-60 ras. Genes Dev. 5 , 2188–2198.
Ханна-Роуз, В., и Хан, М. (1999). COG-2, белок домена sox, необходимый для установления функциональной связи вульвы и матки
в Caenorhabditis elegans . Разработка 126 , 169–179.Абстрактный
Ханна-Роуз, В., и Хан, М. (2002). Белок Caenorhabditis elegans EGL-26 опосредует морфогенез клеток вульвы. Dev. Биол. 241 , 247–258.
Абстрактный
Статья
Хеджекок, Э.М., Герман Р. (1995). Ген ncl-1 и генетическая мозаика Caenorhabditis elegans . Генетика 141 , 989–1006.
Абстрактный
Герман, Р.К., и Хеджекок, Е.М. (1990). Ограничение размера зачатка вульвы у Caenorhabditis elegans экспрессией lin-15 в окружающей гиподерме. Природа 348 , 169–171.Абстрактный
Статья
Герман Т., Хартвиг Э. и Хорвиц Х. Р. (1999). sqv мутанты Caenorhabditis elegans являются дефектными в отношении инвагинации вульвы эпителия. Proc. Natl. Акад. Sci. СОЕДИНЕННЫЕ ШТАТЫ АМЕРИКИ. 96 , 968–973.
Абстрактный
Статья
Герман, Т., и Хорвиц, Х.Р. (1999). Три белка, участвующие в инвагинации вульвы Caenorhabditis elegans , сходны с компонентами пути гликозилирования. Proc. Natl. Акад. Sci. СОЕДИНЕННЫЕ ШТАТЫ АМЕРИКИ. 96 , 974–979.
Статья
Хилл Р.Дж., Штернберг П.В. (1992). Ген lin-3 кодирует индуктивный сигнал развития вульвы в C.elegans . Природа 358 , 470–476.
Абстрактный
Статья
Хонг, Ю., Рой, Р., Амброс, В. (1998). Регуляция развития ингибитора циклин-зависимой киназы контролирует постэмбриональный
Развитие клеточного цикла у Caenorhabditis elegans . Разработка 125 , 3585–3597.
Абстрактный
Хоппер, Н.А., Ли, Дж., И Штернберг, П.В. (2000). ARK-1 ингибирует передачу сигналов EGFR у C. elegans . Мол. Ячейка 6 , 65–75.
Абстрактный
Статья
Хорвиц, Х.Р., Штернберг, П.В. (1991). Множественные межклеточные сигнальные системы контролируют развитие вульвы Caenorhabditis elegans . Природа 351 , 535–541.Абстрактный
Статья
Хорвиц, Х.Р., Салстон, Дж. Э. (1980). Выделение и генетическая характеристика мутантов клеточного происхождения нематоды Caenorhabditis elegans . Генетика 96 , 435–454.
Абстрактный
Хоскинс, Р., Хайнал, А.Ф., Харп, С.А., Ким, С.К. (1996). Ген индукции вульвы C. elegans lin-2 кодирует член семейства белков межклеточных соединений MAGUK. Девелопмент 122 , 97–111.
Абстрактный
Хуанг, Л.С., Цзоу, П., и Штернберг, П.В. (1994). Локус lin-15 кодирует два негативных регулятора развития вульвы Caenorhabditis elegans .Мол. Биол. Мобильный 5 , 395–411.
Абстрактный
Hwang, H.Y., и Horvitz, H.R. (2002a). Декарбоксилаза SQV-1 UDP-глюкуроновой кислоты и переносчик нуклеотидов-сахаров SQV-7
может действовать в аппарате Гольджи, влияя на морфогенез и эмбриональное развитие Caenorhabditis elegans вульвы. Proc. Natl. Акад. Sci. USA 99 , 14218–14223.Абстрактный
Статья
Hwang, H.Y., и Horvitz, H.R. (2002b). Ген морфогенеза вульвы Caenorhabditis elegans sqv-4 кодирует UDP-глюкозодегидрогеназу, которая регулируется во времени и пространстве. Proc. Natl. Акад. Sci. USA 99 , 14224–14229.
Абстрактный
Статья
Хван, Х.Ю., Олсон, С.К., Эско, Д.Д., и Хорвиц, Х.Р. (2003a). Caenorhabditis elegans Ранний эмбриогенез и морфогенез вульвы требуют биосинтеза хондроитина. Природа 423 , 439–443.
Абстрактный
Статья
Хванг, Х.Ю., Олсон, С.К., Браун, Дж. Р., Эско, Д. Д., и Хорвиц, Х. Р. (2003b). Гены Caenorhabditis elegans sqv-2 и sqv-6 , необходимые для морфогенеза вульвы, кодируют гликозаминогликан-галактозилтрансферазу II и ксилозилтрансферазу.Дж.
Биол. Chem. 278 , 11735–11738.
Абстрактный
Статья
Хван Б.Дж., Штернберг П.В. (2004). Клеточно-специфический энхансер, который определяет экспрессию lin-3 в якорной клетке C. elegans для развития вульвы. Девелопмент 131 , 143–151.
Статья
Иноуэ, Т., Оз, Х.С., Виланд, Д., Гариб, С., Дешпанде, Р., Хилл, Р.Дж., Кац, В.С., и Штернберг, П.В. (2004). C. elegans LIN-18 является ортологом Ryk и функционирует параллельно с LIN-17 / Frizzled в передаче сигналов Wnt. Мобильный 118 , 795–806.
Абстрактный
Статья
Иноуэ, Т., Шервуд, Д.Р., Аспок, Г., Батлер, Д.А., Гупта, Б.П., Кируак, М., Ван, М., Ли, П.Ю., Крамер, Дж. М., Хоуп, И.,
Бурглин, Т.Р., Штернберг, П.В. (2002). Маркеры экспрессии генов клеток вульвы Caenorhabditis elegans . Мех. Dev. 119 , S203 – S209.
Абстрактный
Статья
Иноуэ Т., Ван М., Рири Т.О., Фернандес Дж.С. и Штернберг П.В. (2005). Транскрипционная сеть, лежащая в основе развития вульвы Caenorhabditis elegans .Proc. Natl. Акад. Sci. Соединенные Штаты Америки
Джейкобс, Д., Бейтель, Дж. Дж., Кларк, С. Г., Хорвиц, Х. Р., Корнфельд, К. (1998). Мутации с усилением функции в гене Caenorhabditis elegans lin-1 ETS идентифицируют С-концевой регуляторный домен, фосфорилируемый киназой ERK MAP. Генетика 149 , 1809–1822.
Абстрактный
Джонгуард, Г.Д., Кландинин Т.Р., Штернберг П.В. (1995). Sli-1 , отрицательный регулятор передачи сигналов, опосредованной let-23 , в C. elegans . Генетика 139 , 1553–1566.
Абстрактный
Kaech, S.M., Whitfield, C.W., Kim, S.K. (1998). Комплекс LIN-2 / LIN-7 / LIN-10 обеспечивает локализацию базолатеральной мембраны.
из C.elegans EGF рецептор LET-23 в эпителиальных клетках вульвы. Мобильный 94 , 761–771.
Кац, В.С., Хилл, Р.Дж., Кландинин, Т.Р., и Штернберг, П.В. (1995). Различные уровни LIN-3 фактора роста C. elegans способствуют определенным судьбам предшественников вульвы. Мобильный 82 , 297–307.
Абстрактный
Статья
Кац, В.С., Леса, Г.М., Яннукакос, Д., Кландинин, Т.Р., Шлессингер, Дж., И Штернберг, П.В. (1996). Точечная мутация в
внеклеточный домен активирует LET-23, гомолог рецептора эпидермального фактора роста Caenorhabditis elegans . Мол. Cell Biol. 16 , 529–537.
Абстрактный
Кимбл, Дж. (1981). Изменения в клеточном клоне после лазерной абляции клеток соматической гонады Caenorhabditis elegans .Dev. Биол. 87 , 286–300.
Абстрактный
Статья
Кируак М., Штернберг П.В. (2003). цис-регуляторный контроль трех генов, специфичных для клеточной судьбы, в органогенезе вульвы
из Caenorhabditis elegans и C. briggsae . Dev. Биол. 257 , 85–103.
Абстрактный
Статья
Кишор, Р.С., Сундарам М.В. (2002). ced-10 Rac и mig-2 действуют дублированно и действуют с трио unc-73 , чтобы контролировать ориентацию делений и миграции клеток вульвы у Caenorhabditis elegans . Dev. Биол. 241 , 339–348.
Статья
Кога, М., и Охшима, Ю. (1995). Мозаичный анализ функции гена let-23 в индукции вульвы Caenorhabditis elegans .Разработка 121 , 2655–2666.
Абстрактный
Кох К., Бернштейн Ю. и Сундарам М.В. (2004). Транслокация nT1 отделяет регуляторные элементы вульвы от генов фактора GATA egl-18 и elt-6 . Dev. Биол. 267 , 252–263.
Абстрактный
Статья
Кох, К., Пейро, С.М., Вуд, К.Г., Вагмайстер, Дж. А., Мадуро, М. Ф., Эйзенманн, Д. М., и Ротман, Дж. Х. (2002). Судьбы клеток и
слияние в зачатке вульвы C. elegans регулируется факторами EGL-18 и ELT-6 GATA, очевидными прямыми мишенями для белка Hox LIN-39.
Разработка 129 , 5171–5180.
Абстрактный
Квон, Дж.Ю., и Ли, Дж. (2001). Биологическое значение универсально консервативного медиатора транскрипции в развитии многоклеточных животных.
сигнальные пути. Разработка 128 , 3095–3104.
Абстрактный
Лакнер, М.Р., Корнфельд, К., Миллер, Л.М., Хорвиц, Х.Р., Ким, С.К. (1994). Гомолог MAP киназы, mpk-1 , участвует в ras-опосредованной индукции судьбы вульвальных клеток у Caenorhabditis elegans .Genes Dev. 8 , 160–173.
Ли Дж., Джонгуард Г.Д. и Штернберг П.В. (1994). unc-101 , ген, необходимый для многих аспектов развития и поведения Caenorhabditis elegans , кодирует клатрин-связанный белок. Genes Dev. 8 , 60–73.
Абстрактный
Леса, Г.М., Штернберг П. (1997). Положительная и отрицательная тканеспецифическая передача сигналов эпидермального фактора роста нематод
рецептор. Мол. Биол. Мобильный 8 , 779–793.
Левитан Д., Гринвальд И. (1998). Экспрессия и локализация белка LIN-12 во время развития вульвы у C. elegans . Девелопмент 125 , 3101–3109.
Ли, К.и Чалфи М. (1990). Органогенез в C. elegans : расположение нейронов и мышц в системе яйцекладки. Нейрон 4 , 681–695.
Статья
Лу X., Хорвиц Х. Р. (1998). lin-35 и lin-53 , два гена, которые противодействуют пути C. elegans Ras, кодируют белки, подобные Rb и его связывающему белку RbAp48.Ячейка 95 , 981–991.
Абстрактный
Статья
Малуф, Дж. Н., Кеньон, К. (1998). Ген Hox lin-39 необходим во время индукции вульвы C. elegans для выбора результата передачи сигналов Ras. Развитие 125 , 181–190.
Абстрактный
Мелендес, А., и Гринвальд, I. (2000). Caenorhabditis elegans lin-13 , член класса LIN-35 Rb генов, участвующих в развитии вульвы, кодирует белок с цинковыми пальцами и LXCXE.
мотив. Генетика 155 , 1127–1137.
Абстрактный
Миллер, Л.М., Гальегос, М.Э., Мориссо, Б.А., Ким, С.К. (1993). lin-31 , Caenorhabditis elegans HNF-3 / гомолог фактора транскрипции головы вилки, определяет три альтернативные клеточные судьбы в развитии вульвы.Genes Dev. 7 , 933–947.
Миллер, Л.М., Гесс, Х.А., Дорокес, Д.Б., и Эндрюс, Н.М. (2000). Нулевые мутации в гене lin-31 указывают на две функции во время развития вульвы Caenorhabditis elegans . Генетика 156 , 1595–1602.
Абстрактный
Могал, Н., Гарсия, Л.Р., Хан, Л.А., Ивасаки, К., и Стернберг, П.В. (2003). Модуляция опосредованного рецептором EGF развития вульвы
гетеротримерным G-белком Galphaq и возбудимыми клетками у C. elegans . Разработка 130 , 4553–4566.
Абстрактный
Статья
Mohler, W.A., Shemer, G., del Campo, J.J., Valansi, C., Опоку-Серебуох, Э., Скрэнтон, В., Ассаф, Н., Уайт, Дж. Г., Подбилевич,
Б. (2002). Мембранный белок типа I EFF-1 необходим для слияния клеток в процессе развития. Dev. Ячейка 2 , 355–362.
Абстрактный
Статья
Майерс, Т.Р., Гринвальд, И. (2005). lin-35 Rb действует в основной подкожной клетчатке, препятствуя ras-опосредованной индукции вульвы при C.elegans . Dev. Клетка. 8 , 117–123.
Абстрактный
Статья
Ньюман, А.П., Эктон, Г.З., Хартвиг, Э., Хорвиц, Х.Р., Штернберг, П.В. (1999). Фактор транскрипции домена lin-11 LIM необходим для морфогенеза маточных клеток C. elegans . Разработка 126 , 5319–5326.
Абстрактный
Ньюман, А.П., Штернберг П. (1996). Скоординированный морфогенез эпителия во время развития связи между маткой и вульвой Caenorhabditis elegans . Proc. Natl. Акад. Sci. США 93 , 9329–9333.
Абстрактный
Статья
Ньюман А.П., Иноуэ Т., Ван М. и Штернберг П.В. (1999). Гетерохронный ген Caenorhabditis elegans lin-29 координирует вульвально-маточно-эпидермальные связи.Curr. Биол. 10 , 1479–1488.
Абстрактный
Статья
Ньюман А.П., Уайт Дж. Г., Стернберг П. (1995). Ген Caenorhabditis elegans lin-12 опосредует индукцию вентральной специализации матки якорной клеткой. Разработка 121 , 263–271.
Абстрактный
Ньюман, А.П., Уайт Дж. Г., Штернберг П. В. (1996). Морфогенез матки гермафродита C. elegans . Разработка 122 , 3617–3626.
Абстрактный
Палмер Р.Э., Иноуэ Т., Шервуд Д.Р., Цзян Л.И. и Штернберг П.В. (2002). Caenorhabditis elegans cog-1 Локус кодирует гомеодоменные белки GTX / Nkx6.1 и регулирует множество аспектов развития репродуктивной системы.Dev. Биол.
252 , 202–213.
Абстрактный
Статья
Romagnolo, B., Jiang, M., Kiraly, M., Breton, C., Begley, R., Wang, J., Lund, J., Kim, S.K. (2002). Последующие цели
let-60 Ras в Caenorhabditis elegans . Dev. Биол. 247 , 127–136.
Абстрактный
Статья
Зальсер, С.Дж., Лоер, К.М., Кеньон, К. (1993). Множественные взаимодействия генов HOM-C определяют судьбы клеток центральной нервной системы нематод.
система. Genes Dev. 7 , 1714–1724.
Абстрактный
Сава, Х., Лобель, Л., и Хорвиц, Х.Р. (1996). Ген Caenorhabditis elegans lin-17 , который необходим для определенных асимметричных клеточных делений, кодирует предполагаемый семи-трансмембранный белок, подобный завитому белку Drosophila .Genes Dev. 10 , 2189–2197.
Абстрактный
Сейду, Г., Сэвидж, К., и Гринвальд, И. (1993). Выделение и характеристика мутаций, вызывающих аномальный выворот
вульва — Caenorhabditis elegans . Dev. Биол. 157 , 423–436.
Абстрактный
Статья
Шарма-Кишор, Р., Уайт, Дж. Г., Саутгейт, Э. и Подбилевич, Б. (1999). Формирование вульвы у Caenorhabditis elegans : парадигма органогенеза. Разработка 126 , 691–699.
Абстрактный
Шэй, Д. Д., и Гринвальд, И. (2002). Опосредованное эндоцитозом подавление LIN-12 / Notch при активации Ras у Caenorhabditis elegans . Природа 420 , 686–690.Статья
Шемер Г., Кишор Р. и Подбилевич Б. (2000). Образование кольца управляет инвагинацией вульвы у Caenorhabditis elegans : Ras, слияние клеток и миграция клеток определяют судьбу структур. Dev. Биол. 221 , 233–248.
Статья
Шемер, Г.и Подбилевич Б. (2002). lin-39 / Hox запускает деление клеток и подавляет EFF-1 / фузоген-зависимое слияние клеток вульвы. Genes Dev. 16 , 3136–3141.
Абстрактный
Статья
Шен К., Баргманн К. (2003). Белок суперсемейства иммуноглобулинов SYG-1 определяет расположение конкретных синапсов.
в С.elegans . Мобильный 112 , 619–630.
Абстрактный
Статья
Шен К., Феттер Р. Д., Баргманн К. И. (2004). Синаптическая специфичность создается синаптическим направляющим белком SYG-2 и
его рецептор, SYG-1. Мобильный 116 , 869–881. Ошибка в: Cell (2004). 117 , 553.
Абстрактный
Статья
Шервуд, Д.Р., Штернберг П. (2003). Инвазия якорных клеток в эпителий вульвы у C. elegans . Dev. Ячейка 5 , 21–31.
Абстрактный
Статья
Шибата, Ю., Браницки, Р., Ландаверде, И.О., Хекими, С. (2003). Редокс-регуляция развития зародышевой линии и вульвы у Caenorhabditis elegans . Наука 302 , 1779–1782.Абстрактный
Статья
Шим Дж. И Стернберг П. В., Ли Дж. (2000). Четкие и повторяющиеся функции средних цепей mu1 клатрин-ассоциированного AP-1
белковый комплекс нематоды Caenorhabditis elegans . Мол. Биол. Ячейка 11 , 2743–2756.
Абстрактный
Симске, Дж.С., Каеч, С.М., Харп, С.А., Ким, С.К. (1996). Локализация рецептора LET-23 белком межклеточного соединения LIN-7 во время
C. elegans индукция вульвы. Ячейка 85 , 195–204.
Статья
Симске, Дж.С., Ким, С.К. (1995). Последовательная передача сигналов во время индукции вульвы Caenorhabditis elegans . Природа 375 , 142–146.Абстрактный
Статья
Сингх Н. и Хан М. (1995). sur-2 , новый ген, функционирует поздно в let-60 ras-опосредованном сигнальном пути во время индукции вульвы Caenorhabditis elegans . Genes Dev. 9 , 2251–65.
Абстрактный
Солари, Ф.и Аринджер Дж. (2000). Гены комплекса NURD противодействуют Ras-индуцированному развитию вульвы у Caenorhabditis elegans . Curr. Биол. 10 , 223–226.
Абстрактный
Статья
Штернберг, П. (1988). Боковое ингибирование во время индукции вульвы у Caenorhabditis elegans . Природа 335 , 551–554.
Абстрактный
Статья
Штернберг, П.W. (2004). Биология развития. Образец точности. Наука 303 , 637–638.
Абстрактный
Статья
Штернберг, П.В., и Хорвиц, Х.Р. (1982). Постэмбриональные негонадные клеточные линии нематоды Panagrellus redivivus : описание и сравнение с таковыми Caenorhabditis elegans . Dev. Биол. 93 , 181–205.
Абстрактный
Статья
Штернберг, П.В., и Хорвиц, Х.Р. (1986). Формирование рисунка во время развития вульвы у C. elegans . Мобильный 44 , 761–772.
Абстрактный
Статья
Штернберг, П.В., и Хорвиц, Х.Р. (1988). lin-17 мутации Caenorhabditis elegans нарушают определенные асимметричные деления клеток. Dev. Биол. 130 , 67–73.
Абстрактный
Статья
Штернберг, П.В., и Хорвиц, Х.Р. (1989). Комбинированное действие двух межклеточных сигнальных путей определяет три клеточных пути.
судьбы во время индукции вульвы в C.elegans . Мобильный 58 , 679–693.
Абстрактный
Статья
Салстон, Дж. Э., и Хорвиц, Х. Р. (1977). Постэмбриональные линии клеток нематоды Caenorhabditis elegans . Dev. Биол. 56 , 110–156.
Абстрактный
Статья
Салстон, Дж.Э., и Хорвиц, Х.Р. (1981). Аномальные клеточные линии у мутантов нематоды Caenorhabditis elegans . Dev. Биол. 82 , 41–55.
Абстрактный
Статья
Салстон, Дж. Э., Уайт, Дж. Дж. (1980). Регуляция и клеточная автономия во время постэмбрионального развития Caenorhabditis elegans . Dev. Биол. 78 , 577–597.Абстрактный
Статья
Сундарам, М. (2004). Развитие вульвы: битва между Расом и Нотчем. Curr. Биол. 14 , R311 – R313.
Абстрактный
Статья
Тан, П.Б., Лакнер, М.Р., Ким, С.К. (1998). Специфичность передачи сигналов киназы MAP, опосредованная транскрипцией LIN-1 Ets / LIN-31 WH
факторный комплекс во время индукции вульвы C. elegans . Мобильный 93 , 569–580.
Абстрактный
Статья
Tax, F.E., Thomas, J.H., Ferguson, E.L., and Horvitz, H.R. (1997). Идентификация и характеристика взаимодействующих генов
с lin-12 в Caenorhabditis elegans .Генетика 147 , 1675–1695.
Абстрактный
Томас, Дж. Х., и Хорвиц, Х. Р. (1999). Ген C. elegans lin-36 действует клеточно автономно в пути lin-35 Rb. Разработка 126 , 3449–3459.
Абстрактный
Томас, Дж.Х., Стерн, М.Дж., и Хорвиц, Х.Р. (1990). Клеточные взаимодействия координируют развитие системы яйцекладки C. elegans . Мобильный 62 , 1041–1052.
Абстрактный
Статья
Так, С., и Гринвальд И. (1995). lin-25 , ген, необходимый для индукции вульвы у Caenorhabditis elegans . Genes Dev. 9 , 341–357.Абстрактный
Ван М. и Штернберг П. (1999). Компетентность и приверженность клеток-предшественников вульвы Caenorhabditis elegans . Dev. Биол. 212 , 12–24.
Абстрактный
Статья
Ван, М., и Штернберг, П. (2000). Формирование паттерна линии вульвы C. elegans 1 степени по RAS и Wnt путям. Разработка 127 , 5047–5058.
Абстрактный
Ян Л., Сим М. и Кеньон К. (2005). Роли двух ортологов ко-фактора C. elegans HOX в миграции клеток и развитии вульвы. Девелопмент 132 , 1413–1428.Абстрактный
Статья
Йохем Дж., Уэстон К. и Гринвальд И. (1988). Ген lin-12 Caenorhabditis elegans кодирует трансмембранный белок с общим сходством с Drosophila Notch. Природа 335 , 547–550.
Абстрактный
Статья
Йода, А., Коуике, Х., Окано, Х., и Сава, Х. (2005). Компоненты комплекса транскрипционного медиатора необходимы для
асимметричное деление клеток у C. elegans . Девелопмент 132 , 1885–1893.
Статья
Йодер, Дж. Х., Чонг, Х., Гуань, К. Л., Хан, М. (2004). Модуляция активности KSR в Caenorhabditis elegans ионами Zn, киназой PAR-1 и фосфатазой PP2A.EMBO J. 23 , 111–119.
Абстрактный
Статья
Ю, А.С., Байс, К., и Гринвальд, И. (2004). Перекрестные помехи между путями EGFR и LIN-12 / Notch в развитии вульвы C. elegans . Наука 303 , 663–666.
Абстрактный
Статья
Юн, К.Х., Чанг, К., Хоппер, Н.А., Леза, Г.М., и Штернберг, П.В. (2000). Требования нескольких доменов SLI-1, a
Caenorhabditis elegans , гомолог c-Cbl, и ингибирующий тирозин в LET-23 в регуляции дифференцировки вульвы. Мол. Биол. Ячейка 11 , 4019–4031.
Абстрактный
Юн, Ч., Ли, Дж., Джонгуард, Дж.Д., Штернберг П. (1995). Сходство SLI-1 , регулятора развития вульвы у C. elegans , с протоонкогеном млекопитающих c-cbl. Наука 269 , 1102–1105.
Абстрактный
Шпаргалка по
AWS VPC — Обучение цифровому облаку
Главная »Шпаргалки по сертификации AWS» Шпаргалки для сертифицированных архитекторов решений AWS »Сети AWS и доставка контента» Шпаргалки по AWS VPC
AWS VPC Cheat Sheet для экзамена AWS Certified Solutions Architect Associate (SAA-C02).Эта шпаргалка по AWS содержит подробные сведения о конкретных экзаменах, которые помогут вам сдать экзамен AWS Certified Solutions Architect.
Amazon VPC позволяет вам выделить логически изолированный раздел облака Amazon Web Services (AWS), где вы можете запускать ресурсы AWS в виртуальной сети, которую вы определяете.
Аналогично наличию собственного ЦОД внутри AWS.
Обеспечивает полный контроль над виртуальной сетевой средой, включая выбор диапазонов IP-адресов, создание подсетей и настройку таблиц маршрутизации и шлюзов.
VPC логически изолирован от других VPC на AWS.
Возможно подключение корпоративного ЦОД к VPC с помощью аппаратной VPN (site-to-site).
VPC действуют по всему региону.
VPC по умолчанию создается в каждом регионе с подсетью в каждой зоне доступности.
По умолчанию вы можете создать до 5 VPC на регион.
Вы можете определить выделенную аренду для VPC, чтобы гарантировать запуск экземпляров на выделенном оборудовании (переопределяет конфигурацию, указанную при запуске).
VPC по умолчанию автоматически создается для каждой учетной записи AWS при первом выделении ресурсов Amazon EC2.
В VPC по умолчанию есть общедоступные подсети.
Общедоступные подсети — это подсети, в которых есть:
- «Автоматически назначать общедоступный IPv4-адрес» установлено на «Да».
- К таблице маршрутов подсети подключен интернет-шлюз.
Экземпляры в VPC по умолчанию всегда имеют как общедоступный, так и частный IP-адрес.
Имена
зон доступности привязаны к разным зонам для разных пользователей (т.е. AZ «ap-southeast-2a» может отображаться в другую физическую зону для другого пользователя).
Компоненты VPC:
- Виртуальное частное облако: Логически изолированная виртуальная сеть в облаке AWS. Вы определяете пространство IP-адресов VPC из выбранных вами диапазонов.
- Подсеть: Сегмент диапазона IP-адресов VPC, в котором можно размещать группы изолированных ресурсов (отображается в зоне доступности, 1: 1).
- Интернет-шлюз: Сторона Amazon VPC для подключения к общедоступному Интернету.
- Шлюз NAT: Управляемая высокодоступная служба преобразования сетевых адресов (NAT) для ваших ресурсов в частной подсети для доступа в Интернет.
- Аппаратное соединение VPN: Аппаратное соединение VPN между вашим Amazon VPC и вашим центром обработки данных, домашней сетью или объектом совместного размещения.
- Виртуальный частный шлюз: Сторона Amazon VPC для VPN-подключения.
- Клиентский шлюз: Ваша сторона VPN-соединения.
- Маршрутизатор: Маршрутизаторы соединяют подсети и направляют трафик между интернет-шлюзами, виртуальными частными шлюзами, шлюзами NAT и подсетями.
- Пиринговое соединение: Пиринговое соединение позволяет маршрутизировать трафик через частные IP-адреса между двумя одноранговыми VPC.
- Конечные точки VPC: Обеспечивает частное подключение к сервисам, размещенным в AWS, из вашего VPC без использования интернет-шлюза, VPN, устройств преобразования сетевых адресов (NAT) или прокси-серверов брандмауэра.
- Интернет-шлюз только на выходе: Шлюз с отслеживанием состояния, обеспечивающий только исходящий доступ для трафика IPv6 от VPC в Интернет.
Варианты подключения к VPC:
- VPN на аппаратной основе.
- Прямое подключение.
- VPN CloudHub.
- Программный VPN.
Хотите узнать, как создать VPC на практике? В видеоуроке AWS Hands-On Labs ниже мы покажем вам, как создать собственное виртуальное частное облако Amazon (VPC) на AWS.Вы также узнаете, как создавать подсети, таблицы маршрутизации и Интернет-шлюзы. Мы запускаем несколько экземпляров EC2 в новом VPC и тестируем возможность подключения.
Маршрутизация
Маршрутизатор VPC выполняет маршрутизацию между зонами доступности в пределах региона.
Маршрутизатор VPC соединяет вместе разные зоны доступности и подключает VPC к Интернет-шлюзу.
В каждой подсети есть таблица маршрутов, которую маршрутизатор использует для пересылки трафика в VPC.
Таблицы маршрутов также содержат записи для внешних пунктов назначения.
До 200 таблиц маршрутов на один VPC.
До 50 записей маршрутов в таблице маршрутов.
Каждая подсеть может быть связана только с одной таблицей маршрутизации.
Может назначить одну таблицу маршрутизации нескольким подсетям.
Если таблица маршрутов не указана, подсеть будет назначена основной таблице маршрутов во время создания.
Невозможно удалить основную таблицу маршрутов.
Вы можете вручную настроить другую таблицу маршрутов, чтобы она стала основной таблицей маршрутов.
Существует правило по умолчанию, которое разрешает всем подсетям VPC связываться друг с другом — его нельзя удалить или изменить.
Маршрутизация между подсетями всегда возможна из-за этого правила — любые проблемы при обмене данными, скорее всего, связаны с группами безопасности или NACL.
Подсети и размер подсети
Типы подсети:
- Если трафик подсети направляется на интернет-шлюз, эта подсеть называется общедоступной подсетью .
- Если подсеть не имеет маршрута к интернет-шлюзу, эта подсеть называется частной подсетью .
- Если в подсети нет маршрута к интернет-шлюзу, но трафик направляется на виртуальный частный шлюз для VPN-подключения, эта подсеть называется подсетью только для VPN.
VPC создается с диапазоном главных адресов (блок CIDR, может быть от 16 до 28 бит), и диапазоны подсетей создаются в пределах этого диапазона.
Новые подсети всегда связаны с таблицей маршрутов по умолчанию.
После создания VPC вы не можете изменить блок CIDR.
Вы не можете создавать дополнительные блоки CIDR, которые перекрываются с существующими блоками CIDR.
Вы не можете создавать дополнительные блоки CIDR в другом диапазоне RFC 1918.
Невозможно создать подсети с перекрывающимися диапазонами IP-адресов.
Первые 4 и последний 1 IP-адреса в подсети зарезервированы.
Подсети создаются в зонах доступности (AZ).
Каждая подсеть должна полностью находиться в одной зоне доступности и не может охватывать зоны.
Зоны доступности
— это отдельные местоположения, которые спроектированы таким образом, чтобы быть изолированными от сбоев в других зонах доступности.
Зоны доступности
связаны с низкой задержкой, высокой пропускной способностью и сетью с высокой степенью резервирования.
Может создавать частные, общедоступные или VPN-подсети.
Подсети сопоставляют 1: 1 с зонами доступности и не могут охватывать зоны доступности.
К настраиваемому VPC можно подключить только один интернет-шлюз.
Все
IPv6-адресов являются общедоступными, а диапазон выделяется AWS.
Интернет-шлюзы
Интернет-шлюз — это горизонтально масштабируемый, избыточный и высокодоступный компонент VPC, который обеспечивает связь между экземплярами в вашем VPC и Интернетом.
Интернет-шлюз служит двум целям:.
- Для предоставления цели в таблицах маршрутов VPC для маршрутизируемого из Интернета трафика.
- Для выполнения преобразования сетевых адресов (NAT) для экземпляров, которым были назначены общедоступные адреса IPv4.
Интернет-шлюзы (IGW) должны быть созданы, затем подключены к VPC, добавлены в таблицу маршрутов и затем связаны с соответствующими подсетями.
Нет риска доступности или ограничений полосы пропускания.
Если ваша подсеть связана с маршрутом в Интернет, то это общедоступная подсеть.
В VPC не может быть нескольких интернет-шлюзов.
IGW имеет горизонтальное масштабирование, резервирование и высокую доступность.
IGW выполняет NAT между частными и общедоступными адресами IPv4.
IGW поддерживает IPv4 и IPv6.
Перед удалением необходимо отсоединить
IGW.
Может одновременно подключать к VPC только 1 IGW.
Терминология шлюза:
- Интернет-шлюз (IGW) — сторона AWS VPC для подключения к общедоступному Интернету.
- Виртуальный частный шлюз (VPG) — конечная точка VPC на стороне AWS.
- Клиентский шлюз (CGW) — представление клиентской стороны соединения.
Чтобы включить доступ в Интернет или из Интернета для экземпляров в подсети VPC, необходимо выполнить следующие действия:
- Подключите интернет-шлюз к своему VPC.
- Убедитесь, что таблица маршрутов вашей подсети указывает на Интернет-шлюз (см. Ниже).
- Убедитесь, что экземпляры в вашей подсети имеют глобально уникальный IP-адрес (общедоступный IPv4-адрес, эластичный IP-адрес или IPv6-адрес).
- Убедитесь, что правила группы безопасности и контроля доступа к сети позволяют соответствующему трафику проходить к вашему экземпляру и от него.
Необходимо обновить таблицу маршрутов подсети, чтобы указать на IGW, либо:
- По всем направлениям, например 0.0.0.0/0 для IPv4 или :: / 0 для IPv6.
- На определенные общедоступные адреса IPv4, например общедоступные конечные точки вашей компании за пределами AWS.
Интернет-шлюз только на выходе:
- Обеспечивает исходящий доступ в Интернет для экземпляров с адресом IPv6.
- Запрещает входящий доступ к этим экземплярам IPv6.
- уникальны в глобальном масштабе и поэтому по умолчанию являются общедоступными.
- Stateful — перенаправляет трафик от экземпляра в Интернет, а затем отправляет ответ.
- Необходимо создать собственный маршрут для :: / 0 к выходному Интернет-шлюзу.
- Используйте только исходящий интернет-шлюз вместо NAT для IPv6.
IPv6-адреса
Мастер VPC
VPC с одной общедоступной подсетью:
- Ваши экземпляры работают в частной изолированной части облака AWS с прямым доступом к Интернету.
- Списки управления доступом к сети и группы безопасности могут использоваться для обеспечения строгого контроля над входящим и исходящим сетевым трафиком для ваших экземпляров.
- Создает сеть / 16 с подсетью / 24. Экземпляры общедоступной подсети используют эластичные IP-адреса или общедоступные IP-адреса для доступа в Интернет.
VPC с общедоступными и частными подсетями:
- В дополнение к общедоступной подсети эта конфигурация добавляет частную подсеть, экземпляры которой не могут быть адресованы из Интернета.
- Экземпляры в частной подсети могут устанавливать исходящие подключения к Интернету через общедоступную подсеть с помощью преобразования сетевых адресов (NAT).
- Создает сеть / 16 с двумя подсетями / 24.
- Публичные экземпляры подсети используют эластичные IP-адреса для доступа в Интернет.
- Экземпляры частной подсети получают доступ к Интернету через преобразование сетевых адресов (NAT).
VPC с общедоступными и частными подсетями и аппаратным доступом к VPN:
- Эта конфигурация добавляет соединение IPsec Virtual Private Network (VPN) между вашим Amazon VPC и вашим центром обработки данных, эффективно расширяя ваш центр обработки данных до облака, а также обеспечивая прямой доступ к Интернету для общедоступных экземпляров подсети в вашем Amazon VPC.
- Создает сеть / 16 с двумя подсетями / 24.
- Одна подсеть напрямую подключена к Интернету, а другая подсеть подключена к вашей корпоративной сети через туннель IPsec VPN.
VPC только с частной подсетью и аппаратным доступом к VPN:
- Ваши экземпляры работают в частном изолированном разделе облака AWS с частной подсетью, к экземплярам которой нельзя обращаться из Интернета.
- Вы можете подключить эту частную подсеть к корпоративному центру обработки данных через туннель IPsec Virtual Private Network (VPN).
- Создает сеть / 16 с подсетью / 24 и предоставляет туннель IPsec VPN между вашим Amazon VPC и корпоративной сетью.
Экземпляры NAT
экземпляров NAT управляются вами.
Используется для разрешения экземплярам частной подсети доступа в Интернет.
Экземпляр
NAT должен находиться в общедоступной подсети с маршрутом к Интернет-шлюзу.
Частные экземпляры в частных подсетях должны иметь маршрут к экземпляру NAT, обычно в качестве пункта назначения маршрута по умолчанию 0.0,0.0 / 0.
При создании экземпляров NAT всегда отключайте проверку источника / назначения на экземпляре.
экземпляров NAT должны находиться в одной общедоступной подсети.
экземпляров NAT необходимо назначить группам безопасности.
Группы безопасности для экземпляров NAT должны разрешать входящий HTTP / HTTPS из частной подсети и исходящий для 0.0.0.0/0.
Для работы необходим маршрут от частной подсети к экземпляру NAT.
Объем трафика, который может поддерживать экземпляр NAT, зависит от типа экземпляра.
Использование экземпляра NAT может привести к возникновению узких мест (не HA).
HA может быть достигнуто с помощью групп Auto Scaling, нескольких подсетей в разных зонах доступности и сценария для автоматизации аварийного переключения.
Производительность зависит от размера экземпляра.
Может увеличивать размер экземпляра или использовать расширенные возможности сети.
Может масштабироваться за счет использования нескольких NAT в нескольких подсетях.
Может использоваться как бастионный (прыжковый) хозяин.
Может отслеживать показатели трафика.
Не поддерживается для IPv6 (используйте только исходящий Интернет-шлюз).
Шлюзы NAT
AWS управляет
шлюзами NAT, для вас.
Полностью управляемая служба NAT, которая заменяет инстансы NAT на EC2.
Должен быть создан в публичной подсети.
Использует эластичный IP-адрес для общедоступного IP-адреса.
Частные экземпляры в частных подсетях должны иметь маршрут к экземпляру NAT, обычно это пункт назначения маршрута по умолчанию 0.0.0.0/0.
Создан в указанной зоне доступности с резервированием в этой зоне.
Для резервирования в нескольких зонах доступности создайте шлюзы NAT в каждой зоне доступности с маршрутами для частных подсетей для использования локального шлюза.
Пропускная способность до 5 Гбит / с с возможностью масштабирования до 45 Гбит / с.
Невозможно использовать шлюз NAT для доступа к пирингу VPC, VPN или прямому подключению, поэтому обязательно укажите определенные маршруты в таблице маршрутов.
Шлюзы
NAT имеют высокую доступность в каждой зоне доступности, в которой они развернуты.
Им отдают предпочтение предприятия.
Не нужно патчить.
Не связан ни с одной группой безопасности.
Автоматически назначается общедоступный IP-адрес.
Не забудьте обновить таблицы маршрутов и указать на свой шлюз.
Более безопасный (например, вы не можете получить доступ по SSH и нет групп безопасности, которые нужно поддерживать).
Нет необходимости отключать проверки источника / назначения.
Интернет-шлюзы, работающие только на выходе, работают на IPv6, тогда как шлюзы NAT работают на IPv4.
Переадресация портов не поддерживается.
Использование шлюза NAT в качестве хост-сервера Bastion не поддерживается.
Показатели трафика не поддерживаются.
В таблице ниже показаны основные различия между обоими типами шлюзов:
Хотите узнать, как настроить шлюз NAT? В приведенном ниже видеоруководстве по AWS Hands-On Labs вы узнаете об использовании шлюзов NAT в ваших VPC AWS. Через 10 минут мы расскажем: Узнайте, что такое NAT-шлюз и его преимущества; Настройте шлюз NAT, чтобы разрешить доступ в Интернет для ваших инстансов Amazon EC2 в частных подсетях; Настройте группы безопасности и таблицы маршрутов.
Группы безопасности
Группы безопасности действуют как брандмауэр на уровне экземпляра.
В частности, группы безопасности работают на уровне сетевого интерфейса.
Может назначать разрешающие правила только в группе безопасности, не может назначать запрещающие правила.
В конце группы безопасности есть неявное правило отказа.
Все правила оцениваются до тех пор, пока не будет обнаружено разрешение, или продолжаются до неявного отказа.
Может контролировать входящий и исходящий трафик.
Группы безопасности отслеживают состояние.
По умолчанию в настраиваемых группах безопасности нет разрешающих правил для входящего трафика (по умолчанию весь входящий трафик запрещен).
По умолчанию группы безопасности по умолчанию имеют разрешающие правила для входящего трафика (разрешающие трафик изнутри группы).
Весь исходящий трафик разрешен по умолчанию в пользовательских группах безопасности и группах безопасности по умолчанию.
Вы не можете удалить группу безопасности, созданную по умолчанию в VPC.
Вы можете использовать имена групп безопасности в качестве источника или назначения в других группах безопасности.
Имя группы безопасности можно использовать в качестве источника в собственных правилах для входящих подключений.
Члены группы безопасности могут находиться в любой зоне доступности или в любой подсети в VPC.
Членство в группе безопасности
можно изменить во время работы экземпляров.
Любые внесенные изменения вступают в силу немедленно.
К каждому интерфейсу экземпляра EC2 можно добавить до 5 групп безопасности.
Нет ограничений на количество экземпляров EC2 в группе безопасности.
Вы не можете заблокировать определенные IP-адреса с помощью групп безопасности, вместо этого используйте NACL.
Сетевой ACL
Функция
Network ACL на уровне подсети.
Маршрутизатор VPC выполняет функцию сетевого ACL.
С NACL вы можете иметь разрешающие и запрещающие правила.
Сетевые ACL
содержат пронумерованный список правил, которые оцениваются в порядке от наименьшего числа до явного отказа.
Рекомендуется оставлять пробелы между номерами сетевых ACL.
Сетевые ACL
имеют отдельные правила для входящего и исходящего трафика, и каждое правило может разрешать или запрещать трафик.
Сетевые ACL
не имеют состояния, поэтому ответы подчиняются правилам направления трафика.
NACL
применяются только к входящему или исходящему трафику в подсеть, но не к трафику внутри подсети.
VPC автоматически поставляется с сетевым ACL по умолчанию, который разрешает весь входящий / исходящий трафик.
Пользовательский NACL по умолчанию запрещает весь входящий и исходящий трафик.
Все подсети должны быть связаны с сетевым ACL.
Вы можете создавать собственные сетевые ACL.По умолчанию каждый настраиваемый сетевой ACL запрещает весь входящий и исходящий трафик, пока вы не добавите правила.
Каждая подсеть в вашем VPC должна быть связана с сетевым ACL. Если вы не сделаете это вручную, он будет связан с сетевым ACL по умолчанию.
Вы можете связать сетевой ACL с несколькими подсетями; однако подсеть может быть связана только с одним сетевым ACL за раз.
Сетевые списки ACL
не фильтруют трафик между экземплярами в одной подсети.
NACL
являются предпочтительным вариантом для блокировки определенных IP-адресов или диапазонов.
Группы безопасности нельзя использовать для блокировки определенных диапазонов IP-адресов.
NACL — это первая линия защиты, группа безопасности — вторая линия.
Также рекомендуется установить программные брандмауэры на ваших экземплярах.
Изменения в NACL вступают в силу немедленно.
Подключение VPC
Существует несколько способов подключения к VPC. К ним относятся:
- AWS Managed VPN.
- AWS Прямое подключение.
- AWS Direct Connect плюс VPN.
- AWS VPN CloudHub.
- Программный VPN.
- Транзитный VPC.
- Пиринг VPC.
- AWS PrivateLink.
- конечных точек VPC.
Каждый из них будет более подробно описан ниже.
AWS Managed VPN
VPN-сети
отличаются быстротой, простотой развертывания и экономичностью.
На стороне AWS требуется виртуальный частный шлюз (VGW).
Клиентский шлюз необходим на стороне клиента.
На схеме ниже показана конфигурация AWS Managed VPN:
На клиентском шлюзе требуется IP-адрес с маршрутизацией через Интернет.
Два туннеля на каждое соединение должны быть настроены для резервирования.
В AWS нельзя использовать шлюз NAT для клиентов, входящих через VPN.
Для распространения маршрута вам необходимо указать таблицы маршрутов вашей подсети только для VPN на VGW.
Должен определять префиксы IP, которые могут отправлять / получать трафик через VGW.
VGW не маршрутизирует трафик, предназначенный за пределами полученных объявлений BGP, записей статических маршрутов или присоединенных к нему CIDR VPC.
Не удается получить доступ к эластичным IP-адресам на вашем VPC через VPN — эластичные IP-адреса можно подключать только через Интернет.
AWS Прямое подключение
AWS Direct Connect упрощает создание выделенного подключения из локальной сети к Amazon VPC.
Используя AWS Direct Connect, вы можете установить частное соединение между AWS и вашим центром обработки данных, офисом или совместной средой.
Это частное соединение может снизить сетевые расходы, увеличить пропускную способность и обеспечить более стабильную работу в сети, чем Интернет-соединения.
AWS Direct Connect позволяет устанавливать выделенные сетевые соединения (или несколько соединений) со скоростью 1 или 10 Гбит / с между сетями AWS и одним из местоположений AWS Direct Connect.
Он использует стандартные сети VLAN для доступа к инстансам Amazon Elastic Compute Cloud (Amazon EC2), работающим в Amazon VPC, с использованием частных IP-адресов.
AWS Direct Connect не шифрует передаваемый трафик.
Вы можете использовать параметры шифрования для сервисов, которые проходят через AWS Direct Connect.
См. Полную статью об AWS Direct Connect здесь.
На схеме ниже показана конфигурация AWS Direct Connect:
AWS Direct Connect Plus VPN
AWS Direct Connect plus VPN позволяет объединить одно или несколько выделенных сетевых подключений AWS Direct Connect с Amazon VPC VPN.
Эта комбинация обеспечивает частное соединение с шифрованием IPsec, которое также снижает затраты на сеть, увеличивает пропускную способность и обеспечивает более согласованное взаимодействие с сетью, чем соединения VPN на основе Интернета.
AWS Direct Connect можно использовать для установления выделенного сетевого соединения между вашей сетью, чтобы создать логическое соединение с общедоступными ресурсами AWS, такими как конечная точка IPsec виртуального частного шлюза Amazon.
Это решение сочетает в себе преимущества решения VPN под управлением AWS с низкой задержкой, увеличенной пропускной способностью, более последовательными преимуществами решения AWS Direct Connect и сквозным безопасным соединением IPsec.
На схеме ниже показана конфигурация AWS Direct Connect плюс VPN:
AWS VPN CloudHub
AWS VPN CloudHub работает по простой модели «звездочка», которую можно использовать как с VPC, так и без него.
Используйте эту конструкцию, если у вас есть несколько филиалов и существующие подключения к Интернету, и вы хотите реализовать удобную, потенциально недорогую модель «звездочка» для основного или резервного подключения между этими удаленными офисами.
VPN CloudHub используется для аппаратных VPN и позволяет настроить филиалы для перехода в VPC, а затем подключить его к корпоративному DC (топология концентратора и луча с AWS в качестве концентратора).
По умолчанию может иметь до 10 туннелей IPSec на VGW.
Использует eBGP.
Филиалы могут взаимодействовать друг с другом (и обеспечивают избыточность).
Может иметь прямые подключения.
Почасовая оплата плюс плата за исходящие данные.
На схеме ниже показана конфигурация AWS VPN CloudHub:
Программное обеспечение VPN
Amazon VPC предлагает гибкость для полного управления обеими сторонами подключения к Amazon VPC, создавая VPN-соединение между вашей удаленной сетью и программным VPN-устройством, работающим в вашей сети Amazon VPC.
Этот вариант рекомендуется, если вам необходимо управлять обоими концами VPN-соединения либо в целях соответствия, либо для использования шлюзовых устройств, которые в настоящее время не поддерживаются решением VPN Amazon VPC.
На схеме ниже изображена программная конфигурация VPN:
Транзитный VPC
Опираясь на упомянутый выше проект программного обеспечения VPN, вы можете создать глобальную транзитную сеть на AWS.
Транзитный VPC — это распространенная стратегия для соединения нескольких географически разнесенных VPC и удаленных сетей с целью создания глобального сетевого транзитного центра.
Транзитный VPC упрощает управление сетью и сводит к минимуму количество подключений, необходимых для подключения нескольких VPC и удаленных сетей.
На схеме ниже показана конфигурация транзитного VPC:
Пиринг VPC
Пиринговое соединение VPC — это сетевое соединение между двумя VPC, которое позволяет маршрутизировать трафик между ними, используя частные адреса IPv4 или IPv6.
Экземпляры в любом VPC могут взаимодействовать друг с другом, как если бы они находились в одной сети.
Вы можете создать пиринговое соединение VPC между своими собственными VPC или с VPC в другой учетной записи AWS.
VPC могут находиться в разных регионах (также называемых межрегиональным пиринговым соединением VPC).
Данные, передаваемые между VPC в разных регионах, зашифрованы (взимается плата за трафик).
Для межрегионального пиринга VPC есть некоторые ограничения:
- Невозможно создать правило группы безопасности, которое ссылается на одноранговую группу безопасности.
- Не удается включить разрешение DNS.
- Максимальный MTU составляет 1500 байт (без поддержки jumbo-кадров).
- Ограниченная региональная поддержка.
AWS использует существующую инфраструктуру VPC для создания пирингового соединения VPC.
Это ни шлюз, ни соединение VPN, и он не зависит от отдельного физического оборудования.
Нет единой точки отказа для связи или узких мест в полосе пропускания.
Пиринговое соединение VPC помогает упростить передачу данных.
Может иметь только одно пиринговое соединение между любыми двумя VPC одновременно.
Может взаимодействовать с другими учетными записями (в пределах или между регионами).
Не может быть перекрывающихся диапазонов CIDR.
Одноранговое соединение VPC — это взаимно однозначное отношение между двумя VPC.
Вы можете создать несколько пиринговых соединений VPC для каждого VPC, которым вы владеете, но транзитивные пиринговые отношения не поддерживаются.
У вас нет пиринговых отношений с VPC, с которыми ваш VPC не связан напрямую.
Ограничения: 50 одноранговых узлов VPC на один VPC, до 125 по запросу.
DNS поддерживается.
Необходимо обновить таблицы маршрутов для настройки маршрутизации.
Необходимо обновить правила для входящего и исходящего трафика для группы безопасности VPC, чтобы они ссылались на группы безопасности в одноранговом VPC.
При создании пирингового соединения VPC с другой учетной записью необходимо ввести идентификатор учетной записи и идентификатор VPC из другой учетной записи.
Необходимо принять ожидающий запрос доступа в одноранговом VPC.
Пиринговое соединение VPC может быть добавлено в таблицы маршрутизации — отображается как цель, начинающаяся с «pcx-».
AWS PrivateLink
AWS PrivateLink упрощает безопасность данных, совместно используемых с облачными приложениями, устраняя доступ к данным в общедоступный Интернет.
AWS PrivateLink обеспечивает безопасное частное подключение между VPC, сервисами AWS и локальными приложениями в сети Amazon.
AWS PrivateLink упрощает подключение сервисов для разных учетных записей и VPC, что значительно упрощает сетевую архитектуру.
В таблице ниже приведены дополнительные сведения об AWS PrivateLink и о том, когда его использовать:
СОВЕТ ДЛЯ ЭКЗАМЕНА: Узнайте разницу между AWS PrivateLink и ClassicLink. ClassicLink позволяет связать экземпляры EC2-Classic с VPC в вашей учетной записи в том же регионе. EC2-Classic — это старая платформа, созданная до того, как были введены VPC, и она недоступна для учетных записей, созданных после декабря 2013 года. Однако ClassicLink может появляться в экзаменационных вопросах как возможный (неправильный) ответ, поэтому вам нужно знать, что это такое.
Конечные точки VPC
Конечная точка интерфейса использует AWS PrivateLink и представляет собой эластичный сетевой интерфейс (ENI) с частным IP-адресом, который служит точкой входа для трафика, предназначенного для поддерживаемой службы.
Используя PrivateLink, вы можете подключить свой VPC к поддерживаемым сервисам AWS, сервисам, размещенным в других аккаунтах AWS (сервисы конечных точек VPC), и поддерживаемым партнерским сервисам AWS Marketplace.
Доступ к AWS PrivateLink через межрегиональный пиринг VPC:
- Приложения в AWS VPC могут безопасно получать доступ к конечным точкам AWS PrivateLink в регионах AWS с помощью межрегионального пиринга VPC.
- AWS PrivateLink позволяет получать частный доступ к сервисам, размещенным на AWS, с высокой доступностью и масштабируемостью, без использования общедоступных IP-адресов и без необходимости прохождения трафика через Интернет.
- Клиенты могут подключаться к сервису в частном порядке, даже если конечная точка сервиса находится в другом регионе AWS.
- Трафик, использующий межрегиональный пиринг VPC, остается в глобальной магистрали AWS и никогда не проходит через общедоступный Интернет.
Конечная точка шлюза — это шлюз, который является целью для указанного маршрута в таблице маршрутов и используется для трафика, предназначенного для поддерживаемого сервиса AWS.
Интерфейсная конечная точка VPC (конечная точка интерфейса) позволяет подключаться к сервисам на базе AWS PrivateLink.
В таблице ниже представлена основная информация об обоих типах конечных точек:
По умолчанию пользователи IAM не имеют разрешения на работу с конечными точками.
Вы можете создать политику пользователя IAM, которая предоставляет пользователям разрешения на создание, изменение, описание и удаление конечных точек.
Существует длинный список служб, которые поддерживаются конечными точками интерфейса.
Конечные точки шлюза
доступны только для:
- Amazon DyanmoDB
- Amazon S3
СОВЕТ ДЛЯ ЭКЗАМЕНА: Узнайте, какие службы используют конечные точки интерфейса и конечные точки шлюза. Самый простой способ запомнить это — конечные точки шлюза предназначены только для Amazon S3 и DynamoDB.
VPC с общими службами
Вы можете разрешить другим учетным записям AWS создавать свои ресурсы приложений, такие как экземпляры EC2, базы данных службы реляционных баз данных (RDS), кластеры Redshift и функции Lambda, в общие, централизованно управляемые виртуальные частные облака Amazon (VPC).
Совместное использование
VPC позволяет использовать подсети совместно с другими учетными записями AWS в рамках одной организации AWS. Преимущества включают:
- Разделение обязанностей: централизованно управляемая структура VPC, маршрутизация, выделение IP-адресов.
- Владельцы приложений продолжают владеть ресурсами, учетными записями и группами безопасности.
- Участники совместного использования VPC могут ссылаться на идентификаторы групп безопасности друг друга.
- Эффективность: более высокая плотность подсетей, эффективное использование VPN и AWS Direct Connect.
- Жестких ограничений можно избежать, например, 50 VIF на одно соединение AWS Direct Connect за счет упрощенной сетевой архитектуры.
- Расходы можно оптимизировать за счет повторного использования шлюзов NAT, оконечных точек интерфейса VPC и трафика внутри зоны доступности.
Вы можете создать отдельные Amazon VPC для каждой учетной записи, при этом владелец учетной записи будет отвечать за подключение и безопасность каждого Amazon VPC.
Благодаря совместному использованию VPC ваша ИТ-команда может владеть и управлять вашими VPC Amazon, а разработчикам приложений больше не нужно управлять или настраивать Amazon VPC, но они могут получать к ним доступ по мере необходимости.
также может совместно использовать Amazon VPC, чтобы использовать неявную маршрутизацию в VPC для приложений, которым требуется высокая степень взаимодействия и которые находятся в пределах одних и тех же границ доверия.
Это уменьшает количество VPC, которые необходимо создавать и управлять, при этом вы по-прежнему получаете выгоду от использования отдельных учетных записей для выставления счетов и управления доступом.
Заказчики могут еще больше упростить сетевые топологии, соединяя общие виртуальные ПК Amazon с помощью функций подключения, таких как AWS PrivateLink, AWS Transit Gateway и пиринг Amazon VPC.
Также можно использовать с AWS PrivateLink для защиты доступа к общим ресурсам, например к приложениям, находящимся за балансировщиком сетевой нагрузки.
Журналы потоков VPC
Журналы потоков фиксируют информацию об IP-трафике, идущем на сетевые интерфейсы и от них в VPC.
Данные журнала потоков хранятся с помощью Amazon CloudWatch Logs.
Журналы потоков могут быть созданы на следующих уровнях:
- VPC.
- Подсеть.
- Сетевой интерфейс.
Вы не можете включить журналы потоков для VPC, которые связаны с вашим VPC, если одноранговый VPC не находится в вашей учетной записи.
Вы не можете пометить журнал потока.
Вы не можете изменить конфигурацию журнала потоков после его создания.
После того, как вы создали журнал потоков, вы не можете изменить его конфигурацию (вам нужно удалить и создать заново).
Отслеживается не весь трафик, например исключен трафик:
- Трафик, идущий на Route53.
- Трафик, генерируемый для активации лицензии Windows.
- Трафик на 169.254.169.254 и обратно (метаданные экземпляра).
- Трафик между 169.254.169.123 и обратно для службы Amazon Time Sync.
- DHCP-трафик.
- Трафик на зарезервированный IP-адрес для маршрутизатора VPC по умолчанию.
Подходы к сети с высокой доступностью
Создавая подсети в доступных зонах доступности, вы создаете присутствие в нескольких зонах доступности для своего VPC.
Рекомендуется создать как минимум два туннеля VPN в ваш виртуальный частный шлюз.
Direct Connect не является HA по умолчанию, поэтому вам необходимо установить вторичное соединение через другое Direct Connect (в идеале с другим провайдером) или использовать VPN.