[AWS] AWS 迁移 VPC 知识点

ACL，路由表，安全组的顺序是什么

在AWS VPC中，网络流量的处理顺序涉及到网络ACL（Network Access Control List），路由表（Route Table）和安全组（Security Group）。下面是它们之间的处理顺序：

1. 首先，流量到达VPC边界，根据目标IP地址和子网掩码进行路由查找。
2. 路由表确定流量的下一跳目标，指定流量要前往的子网。
3. 一旦流量到达目标子网，将进一步应用与该子网关联的网络ACL。
4. 网络ACL按照规则编号从小到大的顺序对流量进行匹配和评估，根据规则的允许或拒绝条件处理流量。
5. 一旦流量通过网络ACL，它将进入目标子网中的EC2实例或其他资源。
6. 在进入或离开每个EC2实例的网络接口之前，将应用与该实例关联的安全组规则。
7. 安全组规则按照规则编号从小到大的顺序进行评估，根据规则的允许或拒绝条件处理流量。
8. 安全组规则可以基于协议、端口和IP地址等条件限制流量。

总结起来，处理流量的顺序如下：

入站流量：路由表 --> 网络ACL --> 安全组

在出站方向上，处理顺序相同：

出站流量：安全组 --> 网络ACL --> 路由表

需要注意的是，网络ACL和安全组都用于控制和过滤流量，但它们的功能和范围略有不同。网络ACL是在子网级别操作的，而安全组是在实例级别操作的。因此，网络ACL可以对多个实例应用相同的规则，而安全组是针对每个实例进行配置的。同时，网络ACL可以控制子网内进出流量的整体规则，而安全组则更加关注实例本身的入站和出站规则。

不同vpc的ip重叠还可以用对等连接吗

• 不同 VPC 的 IP 地址重叠是不允许使用 VPC 对等连接的。VPC 对等连接要求连接的 VPC 之间的 IP 地址范围不能重叠，即每个 VPC 的 IP 地址子网必须是唯一的。
• 当 VPC 之间存在 IP 地址重叠时，对等连接将无法正常工作，因为路由无法正确地确定要发送到哪个 VPC 的目标 IP 地址。
• 如果你的 VPC 存在 IP 地址重叠的情况，你需要考虑进行 IP 地址重新规划或者使用其他方法来实现 VPC 之间的通信，例如使用 NAT 网关、VPN 连接或 AWS 提供的其他网络解决方案。
• 确保每个 VPC 的 IP 地址范围唯一是建立可靠的 VPC 对等连接的先决条件。在设计和规划网络架构时，要确保避免 IP 地址重叠的情况，以便能够使用 VPC 对等连接或其他网络连接方式来实现 VPC 之间的通信。

为什么不能在同一个 VPC 中移动数据库实例到不同的子网组呢?

事实上,这个限制主要是出于 AWS 数据库服务 (RDS) 的设计考虑。RDS 要求数据库实例和它所在的子网组必须位于不同的 VPC 中,这是出于以下几个原因:

• 安全性: 将数据库实例与其子网组分隔在不同的 VPC 中可以增强安全性。这样可以更好地控制数据库实例的网络访问,限制潜在的跨 VPC 攻击。
• 隔离性: 不同 VPC 之间是完全隔离的网络环境,这可以帮助您更好地管理和隔离不同的应用程序或环境。
• 灵活性: 将数据库实例与其子网组分开可以提高系统的灵活性。例如,您可以在不同的 VPC 中部署其他资源,并通过 VPC 对等连接进行通信。
• 尽管这个限制可能会带来一些额外的配置和管理工作,但它有助于提高您 AWS 基础设施的安全性和灵活性。

Amazon Linux安装 mysql

sudo wget https://dev.mysql.com/get/mysql80-community-release-el9-1.noarch.rpm 
sudo dnf install mysql80-community-release-el9-1.noarch.rpm -y
sudo rpm --import https://repo.mysql.com/RPM-GPG-KEY-mysql-2023
sudo dnf install mysql-community-client -y
sudo dnf install mysql-community-server -y

修改 ec2 的 ssh 端口

编辑安全组:

1. 登录 AWS 管理控制台,进入 EC2 服务。
2. 找到您的 EC2 实例,并选择关联的安全组。
3. 编辑该安全组,添加一条新的入站规则:
   1. 类型: 自定义 TCP
   2. 端口范围: 22222
   3. 源: 0.0.0.0/0 (或者您需要连接的特定 IP 地址/网段)

修改 EC2 的 SSH 服务的配置:

1. 通过 SSH 登录到您的 EC2 实例。
2. 编辑 SSH 服务的配置文件,通常位于 /etc/ssh/sshd_config。
3. 找到 Port 配置项,将其修改为 22222。
4. 保存配置文件并重启 SSH 服务:
   1. 对于 Linux 系统,可以使用 sudo systemctl restart sshd

测试 SSH 连接:

1. 尝试使用新的端口号 22222 连接您的 EC2 实例,例如:
   1. ssh -p 22222 your-username@your-ec2-instance.amazonaws.com
2. 确保能够成功通过新的端口号进行 SSH 连接。

AWS 批量解析以.gz格式存到s3桶里的vpc流日志

全手动方式：使用 Glue 和 Athena 分析 AWS VPC 服务日志

操作手册 / 参考文章：

• https://aws.amazon.com/cn/blogs/china/using-glue-and-athena-to-analyze-aws-service-logs/
  使用 Apache Parquet 格式的 VPC 流日志优化性能并降低网络分析成本
• https://aws.amazon.com/cn/blogs/china/deliver-vpc-flow-logs-in-apache-parquet-for-optimized-querying/
  基于 VPC Flow Logs 的 NAT Gateway 网络流量分析与可视化方案
• https://aws.amazon.com/cn/blogs/china/nat-gateway-network-traffic-analysis-and-visualization-scheme-based-on-vpc-flow-logs/
  利用VPC Flow Logs统计EC2网络流量信息
• https://aws.amazon.com/cn/blogs/china/vpc-flow-logs/

Centralized Logging with OpenSearch

因为分析vpc等日志的需求很常见，所以AWS原厂开发了日志分析打包方案，名字是：Centralized Logging with OpenSearch
支持一键部署后自动出分析图：