VPC, subnets & security groups
Тема дорожной карты · DevOps Engineer
VPC (виртуальная приватная сеть) и группы безопасности являются ключевыми элементами инфраструктуры AWS для обеспечения изоляции и защиты ресурсов. Они предоставляют DevOps-инженерам гибкий и надежный способ управления сетевыми ресурсами, что особенно важно для больших и сложных систем. Используйте aws ec2 create-vpc для создания VPC и aws ec2 create-security-group для создания группы безопасности.
Как это работает
VPC, подсети и группы безопасности предоставляют на-demand вычисления, хранилище, сети и managed-сервисы, заменяющие собственный датацентр. В глобальном масштабе доминируют AWS, GCP, Azure; в России Yandex Cloud и VK Cloud (бывший Mail.ru) — основные резидентные варианты для организаций, подпадающих под закон о локализации данных. Каждое облако предоставляет API для виртуальных машин (EC2 / Compute Engine), объектного хранилища (S3 / GCS), managed-баз данных, Kubernetes (EKS / GKE / Yandex MKS) и управления идентификацией (IAM). DevOps-инженеры используют эти инструменты через Terraform providers, cloud CLI или SDK для автоматизации и управления инфраструктурой.
Когда применять
Выбирайте VPC, подсети и группы безопасности вместо on-prem, когда нужны эластичность, географическая избыточность или managed-сервисы (БД, очереди, ML-пайплайны), которые в инженеро-часах дороже, чем cloud-наценка. Multi-cloud редко стоит сложности для малого/среднего бизнеса — выберите одно облако хорошо. Для российских B2B и B2C платформ под 152-ФЗ Yandex Cloud или self-hosted обязательны для персональных данных; иностранные облака возможны для read-only/non-PII нагрузок.
Типичные ошибки
Ловушки облака: cost-сюрпризы (незаостановленные GPU VM, egress-трафик, часы NAT Gateway); over-provisioned reserved instances; lock-in через проприетарные сервисы (Lambda, DynamoDB, BigQuery — сложно мигрировать); игнорирование IAM least-privilege (политики *, которые никогда не сужают); открытые публичные S3-бакеты (всё ещё #1 вектор утечек); неправильная настройка VPC peering и routing (cross-AZ трафик накапливается). Настройте billing alerts в первый же день.