VPC ใน AWS คืออะไร?

Question

VPC ใน AWS คืออะไร?

Accepted Answer

**VPC** (Virtual Private Cloud) คือ **เครือข่ายเสมือนที่แยกอิสระ** ของคุณเองภายใน AWS — ที่ซึ่งคุณ launch resources (เช่น EC2 instances) โดยมีอำนาจควบคุมช่วง IP, subnets, routing และความปลอดภัย เป็นรากฐานด้านเครือข่ายสำหรับ resources ของ AWS

## VPC คืออะไร

```text
A VPC is a logically ISOLATED virtual network in AWS that YOU control:
  → define your IP address range (CIDR block, e.g. 10.0.0.0/16)
  → divide it into SUBNETS; control ROUTING and security
  → your resources (EC2, RDS, etc.) live inside it, isolated from other networks
→ Like having your own private network in the cloud.
```

## องค์ประกอบสำคัญ

```text
SUBNET → a segment of the VPC's IP range, placed in one Availability Zone:
  PUBLIC subnet  → has a route to the internet (via an Internet Gateway) — for
    public-facing resources (web servers, load balancers)
  PRIVATE subnet → NO direct internet route — for backend resources (databases, app
    servers) that shouldn't be publicly reachable
INTERNET GATEWAY → connects the VPC to the internet (for public subnets)
NAT GATEWAY → lets PRIVATE subnet resources reach OUT to the internet (e.g. updates)
  without being reachable FROM the internet
ROUTE TABLES → control where traffic goes
SECURITY GROUPS / NACLs → firewalls controlling traffic to resources/subnets
```

## สถาปัตยกรรมโดยทั่วไป

```text
VPC (10.0.0.0/16)
  ├─ PUBLIC subnet  → load balancer, bastion (internet-facing)
  └─ PRIVATE subnet → app servers, DATABASE (no direct internet access — more secure)
→ Public subnet handles incoming traffic; private subnet protects backend resources.
```

## ทำไมจึงสำคัญ

การเข้าใจ VPC มีความสำคัญ เพราะเป็น **รากฐานด้านเครือข่าย** สำหรับ resources ของ AWS — แทบทุกอย่างรันอยู่ภายใน VPC — จึงเป็นความรู้พื้นฐานที่จำเป็นเกี่ยวกับ AWS สำหรับการ deploy resources อย่างปลอดภัย

VPC ให้ **เครือข่ายเสมือนที่แยกอิสระ** ของคุณเองใน AWS ที่ซึ่งคุณควบคุมช่วง IP, subnets, routing และความปลอดภัย ทำให้คุณสามารถออกแบบเครือข่ายเหมือนเครือข่ายแบบ on-premises แต่อยู่ในคลาวด์

การเข้าใจ **องค์ประกอบสำคัญ** มีความจำเป็นต่อการ deploy resources อย่างถูกต้อง: **subnets** (ส่วนย่อยของเครือข่าย ที่สำคัญคือถูกแบ่งเป็น subnet แบบ **public** ที่มีการเข้าถึงอินเทอร์เน็ตสำหรับ resources ที่หันสู่สาธารณะ และ subnet แบบ **private** ที่ไม่มีการเข้าถึงอินเทอร์เน็ตโดยตรงสำหรับ backend resources), **internet gateways** (เชื่อมต่อกับอินเทอร์เน็ต), **NAT gateways** (ให้ private resources เข้าถึงออกไปได้โดยไม่สามารถถูกเข้าถึงจากภายนอก), route tables และ security groups/NACLs (firewalls)

**ความแตกต่างระหว่าง public/private subnet มีความสำคัญเป็นพิเศษด้านความปลอดภัย**: การวาง backend resources (โดยเฉพาะฐานข้อมูล) ใน **private subnets** — ได้รับการปกป้องจากการเข้าถึงอินเทอร์เน็ตโดยตรง ในขณะที่ resources ที่หันสู่สาธารณะ (load balancers, web servers) จัดการ traffic ขาเข้าใน public subnets — เป็นสถาปัตยกรรมความปลอดภัยพื้นฐานที่ป้องกันการเปิดเผยระบบ backend ที่ละเอียดอ่อนโดยตรง

การเข้าใจสถาปัตยกรรมโดยทั่วไปนี้ (public subnet สำหรับองค์ประกอบที่หันสู่อินเทอร์เน็ต, private subnet ที่ปกป้องฐานข้อมูลและ app servers) สะท้อนถึงการออกแบบเครือข่ายที่ดีและปลอดภัย

เนื่องจาก resources ของ AWS เกือบทั้งหมดรันภายใน VPC และสถาปัตยกรรมเครือข่ายที่เหมาะสม (โดยเฉพาะการแยก public/private subnet) เป็นสิ่งจำเป็นสำหรับความปลอดภัย และเนื่องจากการเข้าใจ VPC, subnets และองค์ประกอบต่าง ๆ เป็นสิ่งจำเป็นต่อการ deploy resources ของ AWS อย่างถูกต้องและปลอดภัย การเข้าใจพื้นฐาน VPC จึงเป็นความรู้พื้นฐานที่จำเป็นเกี่ยวกับ AWS — เลเยอร์เครือข่ายที่รองรับการ deploy ของ AWS และเป็นหัวข้อที่รูปแบบความปลอดภัย public/private subnet โดยเฉพาะมีความสำคัญต่อการปกป้อง backend resources ทำให้เป็นความรู้สำคัญสำหรับทุกคนที่ออกแบบสถาปัตยกรรมโครงสร้างพื้นฐานของ AWS