AWS 10 VPC Fundamentals

VPC–速成班
•对于AWS认证的解决方案，您应该深入了解VPC建筑师助理兼AWS认证系统运营管理员

•在AWS认证的开发人员级别，您应该了解：
•专有网络、子网、互联网网关和NAT网关
•安全组、网络ACL（NACL）、专有网络流量日志
•VPC对等、VPC端点
•站点到站点VPN和直接连接

•我只会给你一个概述，在你的考试中回答不到一两个问题。
•在本课程的后面部分，我将强调VPC概念何时有用
--------------------------------------------------------------------------
VPC与子网入门

•VPC：用于部署您的网络的专用网络资源（区域资源）
•子网允许您对网络进行分区VPC内部的网络（可用区域资源）
•公共子网是指可从互联网访问
•专用子网是指非专用子网不能从互联网访问
•定义对互联网的访问和在子网之间，我们使用路由表。

Internet网关和NAT网关
•互联网网关有助于我们的专有网络(VPC)实例连接到internet
•公共子网有通往互联网网关。
•NAT网关（AWS管理）& NAT实例（自我管理）
允许你的私人子网中的实例访问互联网保留私有的。
--------------------------------------------------------------------------

网络ACL和安全组
•NACL (Network ACL)
•控制进出流量的防火墙子网
•可以有允许和拒绝规则
•在子网级别连接
•规则仅包括IP地址

•安全小组
•防火墙，用于控制进出网络的流量
从以太网网络接口 ENI（ethernet networking interface） / an EC2 Instance
•只能有允许规则
•规则包括IP地址和其他安全性组

VPC流量日志
•捕获有关进入接口的IP流量的信息：
•专有网络流量日志
•子网流量日志
•弹性网络接口流量日志
•帮助监控和解决连接问题。例子：
•子网到互联网
•子网到子网
•互联网到子网
•还从AWS管理的接口捕获网络信息：弹性负载平衡器、ElastiCache、RDS、Aurora等…
•VPC流量日志数据可以进入S3/CloudWatch日志
--------------------------------------------------------------------------

VPC对等 VPC peeer
•连接两个专有网络，私人使用AWS网络
•让他们表现得像是在同一个网络中
•不得有重叠的CIDR（IP地址范围）
•VPC对等连接不可用传递的（必须为每个VPC都需要相互交流）

VPC端点 Endpoints
•端点允许您连接到AWS使用专用网络而不是公共www网络
•这可以增强安全性，降低成本访问AWS服务的延迟
•VPC端点网关：S3和DynamoDB
•VPC端点接口：其余 eni（epc endpoint interface） to cloudwatch
•仅在专有网络内使用

站点到站点VPN和直接连接
•站点到站点VPN (Virtual Private Network)
•将本地VPN连接到AWS
•连接自动加密
•通过公共互联网

•直接连接（DX）
•在内部部署和AWS之间建立物理连接
•连接私密、安全且快速
•通过专用网络
•至少需要一个月的时间来建立

•注：站点到站点VPN和直接Connect无法访问VPC端点

VPC闭幕评论
•VPC：虚拟私有云
•子网：连接到专有网络的AZ网络分区
•互联网网关：在专有网络级别，提供互联网接入
•NAT网关/实例：为专用子网提供互联网接入
•NACL：入站和出站的无状态子网规则
•安全组：有状态，在EC2实例级别或ENI上运行
•VPC对等：连接两个IP范围不重叠、不可传输的VPC
•VPC端点：提供对VPC内AWS服务的私人访问
•VPC流量日志：网络流量日志
•站点到站点VPN：本地DC和AWS之间通过公共互联网的VPN
•直接连接：与AWS的直接私人连接
--------------------------------------------------------------------------

EC2上的灯组
•Linux：用于EC2实例的操作系统
•Apache：运行在Linux（EC2）上的Web服务器
•MySQL：RDS上的数据库
•PHP：应用程序逻辑（在EC2上运行）
•可以添加Redis/Memcached（ElastiCache）以包含缓存技术
•存储本地应用程序数据和软件：EBS驱动器（根）