VPC ( Virtual Private Cloud )
– 私有网络部署云上服务器,一个VPC是无法跨region的,所以VPC都是在region level
Subnets
– 允许在 VPC 内对网络进行分区, 基本都是一个AZ一个subnet
Public Subnet
– 允许外网访问的subnet
– 需要链上Internet Gateway才能链接外网
Private Subnet
– 不允许外网访问,只能内网访问的subnet而已
Internet Gateway
– 有了这个才能够链接外网
NAT Gateway
– 有了这个,和链接Internet Gateway才能够让Private subnet的服务器上网
Route Tables
– 每个VPC可以关联一个或多个Route Table
– 定义subnet之间对互联网的访问,就需要用到route table
– 可以绑定NAT Gateway和Internet Gateway让所属的subnet能够访问外网
Security Group
– 虚拟防火墙, 可以定义允许特定的端口inbound和outbound
– 多个EC2可以绑定到同一个Security Group
– stateful
Network Access Control List (NACL)
– 可以绑定在subnet底下所有的服务器
– 支持允许特定的端口,和拒绝特定的端口
– stateless
VPC Peering
– 让不同的VPC通过Aws内网得到互相链接
– 必须确保VPC底下subnet的CIDR没有冲突才能互相链接
– 以下图的VPC B和VPC C必须建立peering才能连接上。如果B和C不peering的话,是无妨VPC C是无法通过VPC A链接到VPC B的
VPC Flow Log
- AWS VPC Flow Logs是一项用于监控和分析虚拟私有云(VPC)中网络流量的服务。
- 它记录了通过VPC的网络流量事件,并为每个网络接口或子网创建一个日志流。
- 每个日志流包含了详细的网络流量信息,如源IP地址、目标IP地址、使用的协议、端口号和数据包数量等。
- 它还可以包含其他有用的元数据,如时间戳和流量事件的状态。
- VPC Flow Logs对于进行网络流量监控、分析和故障排查非常有帮助。
- 通过分析VPC Flow Logs,您可以了解网络流量模式、通信来源和目标之间的交互。
- 您可以将VPC Flow Logs日志流定向到Amazon S3存储桶、Amazon CloudWatch日志组或Amazon Elasticsearch Service中,以进行进一步的处理和分析。
- 这些日志数据可以帮助您进行安全审计、网络性能优化和故障排除。
- 使用适当的工具和技术,您可以搜索、查询和可视化VPC Flow Logs数据,从而更好地管理和保护您的VPC网络。
VPC Endpoint
- AWS VPC Endpoint是一种功能,它为您的VPC提供了一种直接访问AWS服务的方式,无需通过公网连接。
- 它允许您在VPC内部与AWS的特定服务进行通信,如S3存储桶、DynamoDB数据库等。
- VPC Endpoint通过在VPC内部创建一个虚拟设备来实现,该设备充当您的应用程序和目标AWS服务之间的桥梁。
- 使用VPC Endpoint,您可以避免将数据流量发送到公共Internet,从而提高安全性,并减少与AWS服务之间的延迟。
- VPC Endpoint在VPC的子网中进行配置,以便您可以选择与哪些AWS服务建立直接的私有连接。
- 它们提供了一个更可靠和可控的连接方式,使您的应用程序能够安全地访问所需的AWS服务,同时减少了与外部Internet的交互。
- 通过使用VPC Endpoint,您可以将数据保持在VPC的安全环境中,并利用AWS服务的功能和弹性,而无需面临与公共Internet连接相关的风险和限制。
- VPC Endpoint是一种提供方便、安全和高效的方式,使您的应用程序能够直接与AWS服务进行通信,提升了您的云架构的性能和安全性。
AWS PrivateLink ( VPC Endpoint Services )
– 举例如果你有个应用在自己的AWS VPC当中,但是你需要暴露给1000个VPC而且需要用到私人访问到你的VPC当中,这使用无需做那么多的VPC peering,用这个服务就可以了
– 无需使用VPC peering, NAT, internet gateway, route table
– 需要使用到Network Load Balancer和Elastic Network Interface
Site To Site VPN
– 使用公网把数据进行加密,然后从自己服务器或本地连接到云上的VPC
– 方便部署
– 本地必须部署Customer gateway和云端VPC当中必须部署Virtual Private Gateway,那么才能够使用Site to Site VPN连接
Direct Connect
– 和VPN很类似,但是并不是使用公网,而是部署一个物理的网线从你本地连接至AWS VPC,需要花时间部署
– 相对VPN更加的安全和private一点
AWS Client VPN
– 允许本机电脑使用这服务通过外网访问到AWS VPC当中
– 如果VPC底下有 private subnet 的服务器也能够访问
– 如果这个VPC同时有使用 Site to Site VPN 连接本地机群的话,也能够一并连接
AWS Transit Gateway
– 一对多的概念,所有的VPC连接到这个服务的都能互相访问
– 包括了使用DirectConnect或是Site to Site VPN连接到这个服务的本地机群
经验分享:
– NetworkAccessControlList(NACL)是把空subnet的交通规则,能够设置 allow和deny
– SecurityGroup (SG) 是EC2的防火墙,是控制虚拟机的,只能设置allow的port,无法设置deny
– SecurityGroup是stateful的所以验证过一次了之后,第二次就不会再进行验证
