AWS 开发人员工具
| 开发人员工具 | 描述 |
|---|---|
| Web 控制台 | Amazon Web Services 的简单 Web 界面 |
| 命令行工具 | 通过命令行控制您的 AWS 服务并通过脚本自动进行服务管理 |
| 集成开发环境 (IDE) | 使用熟悉的集成开发环境 (IDE) 在 AWS 上编写、运行、调试和部署应用程序 |
| 软件开发工具包 (SDK) | 使用针对 AWS 服务的特定于语言的抽象 API 简化编码 |
| 基础设施即代码 | 使用熟悉的编程语言定义云基础设施 |
AWS基础知识 - 安全性
在云中采取零信任的方式保证系统的安全性时涉及的三个重要概念:
- Identity and Access Management (IAM)
- 网络安全
- 数据加密
Identity and Access Management (IAM)
IAM 是负责跟踪系统中身份和访问的服务。AWS 上的 IAM 服务就负责这部分功能。访问则通过 IAM 策略得到管理。这些策略对 AWS 内的代理划定访问边界。IAM 策略包含三个基本组成部分:
- 主体指定向谁授予权限
- 操作指定要执行的操作 -- 使用的 Amazon Resource Name (ARN) 格式
- 资源指定要访问的属性
网络安全
对网络安全采取零信任的方式涉及一种深度防御方法,该方法将安全控制应用于网络的所有层(而不只是最外层)。
网络级别的安全性
AWS 中基本的网络级基元是 Amazon Virtual Private Cloud (VPC)。这是一个逻辑网络,您可以定义该逻辑网络并将为其预置资源。
以下是 VPC 的一些组成部分:
- 子网:VPC 中的一个 IP 地址范围
- 路由表:一组决定流量导向哪里的规则
- 互联网网关:允许 VPC 内部资源与互联网之间进行通信的组件
为了保护 VPC 中的流量,您可以将资源分为面向公众的资源和内部资源。为了减少攻击面,您可以使用诸如 Application Load Balancer (ALB) 之类的代理服务,来处理所有面向互联网的流量。然后,可以在内部子网中预置所有内部服务,例如服务器和数据库,这些内部子网与直接的公共互联网访问是断开的。
除了 VPC,您还可以使用 AWS Web 应用程序防火墙 (WAF) 进一步限制进入您网络的流量。
资源级别的安全性
单个 AWS 资源也具有您可以配置的网络安全控制。最常见的控制称为安全组。安全组是虚拟防火墙,可以用来控制流入和流出资源的流量。
Amazon Virtual Private Cloud (Amazon VPC) 让您能够全面地控制自己的虚拟网络环境,包括资源放置、连接性和安全性。首先在 AWS 服务控制台中设置 VPC。然后,向其中添加资源,例如 Amazon Elastic Compute Cloud (EC2) 和 Amazon Relational Database Service (RDS) 实例。最后,您可以定义 VPC 相互之间以及跨账户、可用区或 AWS 区域通信的方式。
有很多资源可以和 Virtual Private Cloud (VPC) 结合使用:
- AWS Transit Gateway 通过中央枢纽连接 Amazon Virtual Private Cloud (VPC) 和本地网络。这简化了您的网络,并且结束了复杂的对等关系。它用作云路由器 - 每个新连接都只进行一次。
- AWS PrivateLink 可在 VPC、AWS 服务和您的本地网络之间提供专用连接,不会将您的流量公开暴露到公共互联网。AWS PrivateLink 让您可以在不同账户和不同 VPC 之间轻松连接各种服务,大幅简化网络架构。
AWS PrivateLink 使用案例
本地应用程序可以通过 AWS Direct Connect 或 AWS VPN 连接到 Amazon VPC 中的服务终端节点。服务终端节点会通过 AWS PrivateLink 将流量传输到 AWS 服务,同时保持网络流量处于 Amazon 网络内。AWS PrivateLink 使 SaaS 提供商能够提供如同直接托管在私有网络上一样的服务。这些服务可以从云中和本地通过 AWS Direct Connect 和 AWS VPN 以高度可用并且可扩展的方式安全地访问。
- AWS Network Firewall 是一项托管服务,可使您轻松地为所有 Amazon Virtual Private Cloud (VPC) 部署必要的网络保护。
- AWS 虚拟私有网络由两种服务组成:AWS Site-to-Site VPN 和 AWS Client VPN。AWS Site-to-Site VPN 可在您的网络与 Amazon Virtual Private Cloud 或 AWS Transit Gateway 之间建立加密隧道。要管理远程访问,AWS Client VPN 可使用 VPN 软件客户端将您的用户连接到 AWS 或本地资源。
- NAT 网关是一种网络地址转换 (NAT) 服务。您可以使用 NAT 网关,以便私有子网中的实例可以连接到 VPC 外部的服务,但外部服务无法启动与这些实例的连接。
AWS WAF 是一种 Web 应用程序防火墙,可以将 AWS WAF 作为 CDN 解决方案的一部分部署到 Amazon CloudFront 上,也可以将其部署到位于 Web 服务器或来源服务器(运行于 EC2 上)之前的 Application Load Balancer、适用于您的 REST API 的 Amazon API Gateway 或者是适用于您的 GraphQL API 的 AWS AppSync 上。
Application Load Balancing (ALB) 负载均衡器充当客户端的单一接触点。负载均衡器在多个可用区中的多个目标 (例如 EC2 实例) 间分配应用程序的传入流量。这将提高应用程序的可用性。可以向您的负载均衡器添加一个或多个侦听器。
AWS基础知识 - 性能效率
在 AWS 上,选择最符合工作负载需要的服务的能力。
典型的工作负载通常需要在 AWS 的四个主要服务类别中进行选择,包括计算、存储、数据库和网络。
- 计算是处理数据的服务(例如,虚拟机)
- 存储是数据的静态存储(例如,对象存储)
- 数据库是数据的有组织存储(例如,关系数据库)
- 网络处理您的数据的移动(例如,内容交付网络)
扫一扫
215
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
