01介紹

學(xué)習(xí)目標(biāo)：

• 描述網(wǎng)絡(luò)的基本概念。
• 描述公網(wǎng)絡(luò)和私網(wǎng)的區(qū)別。
• 請(qǐng)使用真實(shí)場(chǎng)景解釋虛擬專用網(wǎng)關(guān)。
• 用一個(gè)真實(shí)的場(chǎng)景來解釋一個(gè)虛擬專用網(wǎng)(VPN)。
• 描述AWS直接連接的好處。
• 描述混合部署的好處。
• 描述IT策略中使用的安全層。
• 描述客戶用于與AWS全球網(wǎng)絡(luò)交互的服務(wù)。

02連接到AWS

Amazon Virtual Private Cloud (Amazon VPC)

想象一下使用AWS服務(wù)的數(shù)百萬客戶。另外，想象一下這些客戶已經(jīng)創(chuàng)建了數(shù)百萬個(gè)資源，比如Amazon EC2實(shí)例。如果所有這些資源沒有邊界，網(wǎng)絡(luò)流量將能夠在它們之間不受限制地流動(dòng)。

Amazon Virtual Private Cloud (Amazon VPC)是一種網(wǎng)絡(luò)服務(wù)，可以用來在AWS資源周圍建立邊界。

通過“Amazon VPC”，可以實(shí)現(xiàn)AWS云的隔離發(fā)放。在這個(gè)隔離的部分中，您可以啟動(dòng)您定義的虛擬網(wǎng)絡(luò)中的資源。在VPC中，您可以將VPC中的資源劃分為不同的子網(wǎng)。子網(wǎng)是VPC的一部分，可以包含Amazon EC2實(shí)例等資源。

網(wǎng)關(guān)

當(dāng)internet上的公網(wǎng)流量需要訪問您的VPC時(shí)，您需要為VPC綁定internet網(wǎng)關(guān)。

internet網(wǎng)關(guān)是VPC與internet之間的網(wǎng)關(guān)。你可以把互聯(lián)網(wǎng)網(wǎng)關(guān)想象成類似于顧客用來進(jìn)入咖啡店的門口。在沒有internet網(wǎng)關(guān)的情況下，用戶不能訪問VPC內(nèi)的資源。

Virtual private gateway

當(dāng)您需要訪問VPC中的私有資源時(shí)，可以使用虛擬私有網(wǎng)關(guān)。
下面是虛擬專用網(wǎng)關(guān)工作原理的一個(gè)例子。

你可以把互聯(lián)網(wǎng)想象成你家和咖啡店之間的路。假設(shè)你在這條路上，有一個(gè)保鏢保護(hù)你。您仍然使用與其他客戶相同的道路，但有一個(gè)額外的保護(hù)層。

保鏢就像一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)連接，它加密(或保護(hù))您的互聯(lián)網(wǎng)流量不受周圍所有其他請(qǐng)求的影響。

虛擬私有網(wǎng)關(guān)是允許受保護(hù)的internet流量進(jìn)入VPC的組件。即使你和咖啡店的連接有額外的保護(hù)，交通堵塞也是可能的，因?yàn)槟愫推渌櫩褪褂猛粭l路。

虛擬私有網(wǎng)關(guān)用于在VPC和私有網(wǎng)絡(luò)(如本地?cái)?shù)據(jù)中心、企業(yè)內(nèi)部網(wǎng)絡(luò))之間建立VPN連接。虛擬私有網(wǎng)關(guān)只允許來自審批通過的網(wǎng)絡(luò)的流量進(jìn)入VPC。

AWS Direct Connect

AWS Direct Connect是一項(xiàng)服務(wù)，用于在自己的數(shù)據(jù)中心和VPC之間建立專用的私有連接。

假設(shè)有一幢公寓樓，有一條走廊直接連接到咖啡館。只有公寓大樓的居民才能通過這條走廊。

此私人走廊提供與AWS直接連接相同類型的專用連接。居民不需要與其他顧客共用公共道路就可以進(jìn)入咖啡店。

AWS Direct Connect提供的私有連接可以幫助您降低網(wǎng)絡(luò)成本，并增加可以通過網(wǎng)絡(luò)傳輸?shù)膸捔俊?/p>

03子網(wǎng)和網(wǎng)絡(luò)訪問控制列表

要了解子網(wǎng)在VPC中的作用，請(qǐng)參考咖啡店中的示例。

首先，顧客把他們的訂單交給收銀員。然后收銀員把菜單傳給咖啡師。這個(gè)過程使線路在更多顧客進(jìn)來時(shí)保持平穩(wěn)運(yùn)行。

假設(shè)一些顧客試圖跳過收銀臺(tái)，直接把他們的訂單給咖啡師。這擾亂了流量，導(dǎo)致顧客進(jìn)入咖啡店的一部分，這是限制他們。

為了解決這個(gè)問題，咖啡店的老板通過將收銀員和咖啡師放在不同的工作站來劃分柜臺(tái)區(qū)域。收銀臺(tái)面向公眾，設(shè)計(jì)用于接待顧客。咖啡師的區(qū)域是私密的。咖啡師仍然可以接受收銀員的訂單，但不能直接接受顧客的訂單。

這類似于如何使用AWS網(wǎng)絡(luò)服務(wù)來隔離資源并準(zhǔn)確確定網(wǎng)絡(luò)流量如何流動(dòng)。

在咖啡店中，您可以將柜臺(tái)區(qū)域看作VPC。柜臺(tái)區(qū)分為兩個(gè)獨(dú)立的區(qū)域，分別是收銀員工作站和咖啡師工作站。在VPC中，子網(wǎng)是一個(gè)獨(dú)立的區(qū)域，用于將不同的資源組合在一起。

Subnets

子網(wǎng)是VPC的一部分，可以根據(jù)安全需要或操作需要對(duì)VPC中的資源進(jìn)行分組。子網(wǎng)分為公有子網(wǎng)和私有子網(wǎng)。

• 公共子網(wǎng)包含需要公眾訪問的資源，如在線商店的網(wǎng)站。
• 私有子網(wǎng)包含應(yīng)該只能通過您的私有網(wǎng)絡(luò)訪問的資源，例如包含客戶個(gè)人信息和訂單歷史記錄的數(shù)據(jù)庫。

在VPC中，子網(wǎng)之間可以互通。例如，您可能有一個(gè)應(yīng)用程序，它涉及公共子網(wǎng)中的Amazon EC2實(shí)例，與位于私有子網(wǎng)中的數(shù)據(jù)庫通信。

Network traffic in a VPC

當(dāng)客戶從AWS Cloud中托管的應(yīng)用程序請(qǐng)求數(shù)據(jù)時(shí)，該請(qǐng)求將作為數(shù)據(jù)包發(fā)送。數(shù)據(jù)包是通過因特網(wǎng)或網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)單位。

通過internet網(wǎng)關(guān)進(jìn)入VPC。在報(bào)文進(jìn)入或退出子網(wǎng)之前，它會(huì)檢查是否有權(quán)限。這些權(quán)限指示誰發(fā)送了數(shù)據(jù)包，以及數(shù)據(jù)包如何試圖與子網(wǎng)中的資源通信。

VPC中的ACL (network access control list)組件用于檢查子網(wǎng)的報(bào)文權(quán)限。

Network access control lists (ACLs)

ACL (network access control list)是一種虛擬防火墻，在子網(wǎng)級(jí)別控制流量的進(jìn)出。

例如，走出咖啡店，想象你在機(jī)場(chǎng)。在機(jī)場(chǎng)，旅客正試圖進(jìn)入一個(gè)不同的國家。您可以將旅行者看作信息包，而將護(hù)照控制官員看作網(wǎng)絡(luò)ACL。當(dāng)旅客進(jìn)出該國時(shí)，護(hù)照檢查人員要檢查他們的證件。如果旅客在批準(zhǔn)的名單上，他們就可以通過。然而，如果他們不在批準(zhǔn)的名單上或明確在禁止入境的名單上，他們就不能入境。

個(gè)AWS帳戶都有一個(gè)默認(rèn)的網(wǎng)絡(luò)ACL。在配置VPC時(shí)，可以使用帳號(hào)默認(rèn)的網(wǎng)絡(luò)ACL，也可以自定義創(chuàng)建網(wǎng)絡(luò)ACL。

默認(rèn)情況下，您的帳戶的默認(rèn)網(wǎng)絡(luò)ACL允許所有入站和出站流量，但您可以通過添加自己的規(guī)則來修改它。對(duì)于自定義網(wǎng)絡(luò)acl，所有入站和出站流量都會(huì)被拒絕，直到您添加規(guī)則來指定允許哪些流量為止。此外，所有的網(wǎng)絡(luò)acl都有一個(gè)顯式的拒絕規(guī)則。該規(guī)則確保如果報(bào)文沒有匹配列表中的任何其他規(guī)則，該報(bào)文將被拒絕。

Stateless packet filtering

網(wǎng)絡(luò)ACLs是一種無狀態(tài)的包過濾。它們什么都不記得，并檢查各個(gè)方向跨越子網(wǎng)邊界的包:入站和出站。

回想一下前面的例子，一個(gè)旅行者想要進(jìn)入一個(gè)不同的國家。這類似于從Amazon EC2實(shí)例向internet發(fā)送請(qǐng)求。

當(dāng)對(duì)該請(qǐng)求的包響應(yīng)返回到子網(wǎng)時(shí)，網(wǎng)絡(luò)ACL不記得您之前的請(qǐng)求。網(wǎng)絡(luò)ACL根據(jù)它的規(guī)則列表檢查數(shù)據(jù)包的響應(yīng)，以決定是允許還是拒絕。

包進(jìn)入子網(wǎng)后，必須對(duì)子網(wǎng)內(nèi)的資源(如Amazon EC2實(shí)例)評(píng)估其權(quán)限。

為Amazon EC2實(shí)例檢查報(bào)文權(quán)限的VPC組件稱為安全組。

Security groups

安全組是一個(gè)虛擬防火墻，用于控制Amazon EC2實(shí)例的入站和出站流量。

缺省情況下，安全組拒絕所有入方向的流量，允許所有出方向的流量。您可以添加自定義規(guī)則來配置允許或拒絕哪些流量。

對(duì)于本例，假設(shè)您在一棟公寓樓中，有一個(gè)在大廳迎接客人的門衛(wèi)。您可以把客人看作小包，把門房看作一個(gè)安全組。當(dāng)客人到達(dá)時(shí)，門服務(wù)員檢查名單以確保他們能進(jìn)入大樓。然而，當(dāng)客人離開大樓時(shí)，門服務(wù)員不會(huì)再檢查名單。

如果在一個(gè)子網(wǎng)中有多個(gè)Amazon EC2實(shí)例，可以將它們與相同的安全組關(guān)聯(lián)起來，或者為每個(gè)實(shí)例使用不同的安全組。

Stateful packet filtering

安全組執(zhí)行有狀態(tài)包過濾。它們記住以前為傳入數(shù)據(jù)包所做的決定。

考慮從Amazon EC2實(shí)例向internet發(fā)送請(qǐng)求的相同示例。

當(dāng)對(duì)該請(qǐng)求的包響應(yīng)返回到實(shí)例時(shí)，安全組將記住您之前的請(qǐng)求。無論入站安全組規(guī)則如何，安全組都允許響應(yīng)繼續(xù)進(jìn)行。

通過使用網(wǎng)絡(luò)acl和安全組，可以對(duì)VPC中的流量設(shè)置自定義規(guī)則。隨著您繼續(xù)學(xué)習(xí)有關(guān)AWS安全和組網(wǎng)的更多信息，請(qǐng)確保理解網(wǎng)絡(luò)acl和安全組之間的區(qū)別。

04 全球網(wǎng)絡(luò)

Domain Name System (DNS)

假設(shè)AnyCompany在AWS云上托管了一個(gè)網(wǎng)站?？蛻粼跒g覽器中輸入網(wǎng)址，就可以訪問該網(wǎng)站。這是因?yàn)橛蛎到y(tǒng)(DNS)的解析。DNS解析涉及客戶DNS解析器與公司DNS服務(wù)器之間的通信。

你可以把DNS看作是互聯(lián)網(wǎng)上的電話簿。DNS解析是將域名轉(zhuǎn)換為IP地址的過程。

例如，假設(shè)您想訪問AnyCompany的網(wǎng)站：

1. 當(dāng)您在瀏覽器中輸入域名時(shí)，此請(qǐng)求被發(fā)送到客戶DNS解析器。
2. 客戶DNS解析器向公司DNS服務(wù)器查詢AnyCompany網(wǎng)站對(duì)應(yīng)的IP地址。
3. 公司DNS服務(wù)器響應(yīng)，提供AnyCompany網(wǎng)站的IP地址192.0.2.0。

Amazon Route 53

Amazon Route 53是一個(gè)DNS web服務(wù)。它為開發(fā)者和企業(yè)提供了一種可靠的方式，將終端用戶路由到托管在AWS中的互聯(lián)網(wǎng)應(yīng)用程序。

Amazon Route 53將用戶請(qǐng)求連接到運(yùn)行在AWS中的基礎(chǔ)設(shè)施(比如Amazon EC2實(shí)例和負(fù)載均衡器)。它可以將用戶路由到AWS之外的基礎(chǔ)設(shè)施。

Route 53的另一個(gè)特性是能夠管理域名的DNS記錄。你可以直接在Route 53中注冊(cè)新的域名。您也可以為其他域名注冊(cè)商管理的已有域名傳遞DNS記錄。這使您能夠在一個(gè)位置管理您的所有域名。

在上一個(gè)模塊中，您了解了內(nèi)容交付服務(wù)Amazon CloudFront。下面的例子描述了Route 53和Amazon CloudFront如何一起向客戶交付內(nèi)容。

例如:Amazon Route 53和Amazon CloudFront如何提供內(nèi)容

假設(shè)AnyCompany的應(yīng)用程序運(yùn)行在幾個(gè)Amazon EC2實(shí)例上。這些實(shí)例位于附加到應(yīng)用程序負(fù)載均衡器的自動(dòng)伸縮組中。文章來源地址http://www.zghlxwxcb.cn/news/detail-412018.html

1. 客戶通過訪問AnyCompany的網(wǎng)站從應(yīng)用程序請(qǐng)求數(shù)據(jù)。
2. Amazon Route 53使用DNS解析來識(shí)別AnyCompany.com對(duì)應(yīng)的IP地址192.0.2.0。此信息被發(fā)送回客戶。
3. 客戶的請(qǐng)求通過Amazon CloudFront發(fā)送到最近的邊緣位置。
4. Amazon CloudFront連接到應(yīng)用程序負(fù)載均衡器，它將傳入的數(shù)據(jù)包發(fā)送到Amazon EC2實(shí)例。

到了這里，關(guān)于【AWS云從業(yè)者基礎(chǔ)知識(shí)筆記】——模塊4：網(wǎng)絡(luò)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！