AWS基础知识Training Notes (Phase Ⅳ)
Amazon AWS Cloud Practitioner Essentials
联网
Amazon Virtual Private Cloud(Amazon VPC)
- Amazon Virtual Private Cloud(Amazon VPC):是AWS中属于您自己的私有网络。通过VPC,可以在AWS云中预置一个 逻辑隔离 部分,可以在其中定义的一个虚拟网络中启动AWS资源。这些资源可以是公开的,它们可以访问互联网,也可以是私有的,没有互联网访问权限。这通常适用于 数据库或应用程序服务等后端服务 。
资源的公有和私有分组称为子网。它们是VPC中IP地址段。
可以将EC2实例和ELB之类的资源放入VPC中,资源进入VPC之后,还需要把它们放入不同的子网中。
某些VPC中可能包含公众应该能够通过互联网来访问的资源,e.g. 公共网络。但是在其他情况下,可能有一些只有登录到私有网络的用户才能访问的资源。e.g.内部服务,人力资源应用程序或后端数据库。 - 网关
一个VPC可能会连接多种类型的网关,用来支持这个VPC内部不同子网中的多种类型的资源。
可以通过一些方式控制进入VPC的流量:
互联网网关:允许来自互联网的公共流量访问VPC。
互联网网关是VPC和互联网之间的连接。可以将互联网网关看成顾客用于进入咖啡店的大门。没有互联网网关,任何人都无法访问您的VPC中的资源。
虚拟私有网关: 限制只有特定的流量能够访问VPC中的私有资源。
把互联网看成从家里通往咖啡店的道路。假设您在这条路上行走时带了保镖来保护自己。您仍然走在其他顾客行走的路上,但是多了一层保护,保镖就像虚拟私有网络(VPN)连接,对您的互联网流量进行加密(或保护),使其免受周围所有其它请求的影响。
虚拟私有网关这种组件可以允许受保护的互联网流量进入VPC。即使您在前往咖啡店的路上多了一层保护,您还是可能会遇到交通堵塞,因为您走的走上还有其他顾客。
借助虚拟私有网关,可以在VPC和私有网络(如本地数据中心或企业内部网络)之间建立虚拟私有网络(VPN)连接。 - AWS Direct Connect: 能够建立一条完全私有的专用光纤连接,将您的数据中心与AWS相连。提供了一条物理线路,将您的网络连接到您的AWS VPC。可以帮助满足较高的监管和合规需求,并避免发生任何潜在的带宽问题。
假如有一栋公寓大楼,它的走廊直接将大楼与咖啡店相连。只有公寓大楼里面的住户才能穿过这个走廊。这个走廊就与AWS Direct Connect性质相同。
AWS Direct Connect提供的私有连接可以帮忙降低网络成本,同时增加通过网络传输的带宽。
- IT策略
- 网络强化
- 应用程序安全
- 用户身份
- 身份验证和授权
- 分布式拒绝服务防护
- 数据完整性
- 加密
网络强化
- 网络访问控制列表(网络ACL):
系统会根据 网络访问控制列表 检查每个跨越子网边界的数据包,这个列表简称 网络ACL。
此项检查的目的是根据数据包的发送者,以及它尝试通信的方式来确定该数据包是否有权离开或进入子网。就像护照检查站人员。
但是它只会评估数据包是否能够跨越子网边界进出,它不会评估数据包是否会到达一个特定的EC2实例。 - 安全组
为了解决实例级访问问题。
每个EC2实例在启动时会自动加入安全组。默认情况下,安全组不允许任何流量进入实例。
安全组就是大楼的门卫,大楼就是EC2实例。 - 网络ACL VS 安全组
安全组是有状态的,意思就是,它可以在某种程度上记住允许哪些对象进入或离开。
网络ACL是无状态的,它不记得任何内容。
它们都是虚拟防火墙。
全球联网
- Route 53
AWS的域名服务,也就是DNS服务。具有很高的可用性和可扩展性。
DNS(域名系统):将网站名称翻译成计算机可以读取的IP地址,也就是互联网协议地址。
DNS解析需要使用与Web服务器通信的DNS服务器。
Route 53还可以使用不同的路由策略将流量引导到不同的终端节点。
还可以使用Route 53来注册域名
路由策略有:- 基于延迟的路由
- 地理位置DNS:根据客户所在的位置来引导流量
- 地理位置临近度路由
- 加权轮询
499
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
