开发者学堂课程【高校精品课-长安大学 -基于混合式教学的云计算课程建设:3.3.1网络服务 亚马逊 AWS】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1073/detail/15477
3.3.1网络服务 亚马逊 AWS
内容介绍
一、Amazon VPC
二、IP
三、VPC 联网
四、活动
一、Amazon VPC
1.VPC 简介
学习了 IAAS 的计算服务和存储服务,现在来学习网络服务。在网络服务这一部分,主要学习 AWS 的 Amazon VPC ,还有阿里云的专有网络 VPC 以及 OpenStack Neutron 。
首先来看一下亚马逊的 VPC ,它是一项服务,可以让用户在 AWS 云中预置一个逻辑上的隔离部分,它称作 Virtual private cloud 或者叫 VPC ,用户可以在其中启动自己的 AWS 资源。 VPC 可以让用户控制虚拟网络资源,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关,还可以在 VPC 中同时使用 IPV4 和 IPV6 ,实现资源和应用程序的安全访问。亚马逊的 VPC ,还可以自定义 VPC 的网络设置,例如,可以为可访问公有互联网的 web 服务创建一个公有的子网,可以将后端系统,比如数据库或者应用程序的服务器,放在不能访问公有互联网的私有磁网中。亚马逊 VPC 可以使用多个安全层,包括安全组和网络访问控制列表( ACL ),帮助控制对每一个子网中的 EC2 实例的访问。
2.VPC 和子网
通过亚马逊 VPC ,我们可以预置 VPC 。它从逻辑上与 AWS 云中的其他虚拟网络隔离,是专属于用户的账户, VPC 属于单个的区域但是可以跨多个可用区。这些内容我们在之前也介绍过了。我们创建了一个 VPC 之后,可以将它划分为一个或多个子网,子网就是 VPC中的一个 IP 地址范围,它属于一个单个的可用区,可以在不同的可用区内创建子网。这样,就可以实现这种高可用。子网可以分为公有子网或私有子网,公有子网可以直接访问互联网,但是私有子网不可以。
二、IP
1.IP 寻址
IP 寻址。 IP 地址是 VPC 中的资源,能够互相通信并与互联网上的资源通信。创建VPC的时候,会为其分配一个 IPV4 的 CIDR 块。创建 VPC 之后,是无法更改地址范围的,所以在创建的时候,要谨慎的选择。这个 CIDR 块儿,它最大的就是16,相当于有6536个地址,最小的就是28,相当于可以有16个地址。子网的 CIDR 块可以与 VPC 的 CIDR 块相同,在这种情况下,VPC 和子网的大小就是一样的。此外,子网的 CIDR ,它也可以是VPC 的 CIDR 的一个子集。这样,就可以定义多个子网,如果要在 VPC 中创建多个子网,子网的 CIDR 块是不能重叠的,同一个 VPC中不能有重复的 IP 地址。在创建子网的时候,他有自己的 CIDR 块,但是,对于指定的 CIDR 块, AWS 都会有一个预留的五个 IP 地址,这些地址是不可以使用的。如上图所示,有五个网络地址,然后10.0.0.1是内部通信的,10.0.0.2是做 DNS 解析的,10.0.0.3是被留着用于未来使用的,10.0.0.255是网络的广播地址。如图所示,我们有一个 CIDR 块的24的 IP 地址,现在我们有256个地址,除去这五个,我们就有251个地址是可以用的。
2.公有 IP 地址类型
创建VPC 的时候,该 VPC 中的每个实例都会自动获得一个私有的 IP 地址。我们可以通过修改子网的自动分配公有 IP 地址属性,来请求在创建实例的时候,分配公有的 IP 地址。那么弹性 IP 地址是与 AWS 账户相关联的,可以将弹性的 IP 地址与账户中的任意 VPC 的任何实例或者网络接口相关联。借助弹性的 IP 地址,我们可以迅速的将地址重新映射到 VPC 中的其他实例,从而屏蔽实例的故障。弹性 IP 地址可能会产生一些额外的费用,如果是在不需要的时候,可以将它释放。
3.弹性网络接口
现在看一下弹性网络接口。弹性网络接口,它是一种虚拟的网络接口,可以将它连接到 VPC 中的实例,或者从其中分离。当网络接口重新连接到一个实例的时候,它的属性也会随之附加到新实例。当将一个网络接口从一个实例移到另一个实例的时候,网络流量也会重定向到这个新的实例。 VPC 中的每个实例都有一个默认的网络接口,即主网络接口,系统会为该接口在 VPC 的 IPV4 地址范围内,指定一个私有的 IPV4 地址。虽然无法将主网络接口从实例中分离,但是可以创建其他网络接口,并将其连接到 VPC 中的任何实例。
4.路由表和路由
路由表是用于定向来自子网的网络流量。每个路由都会指定一个目的地和一个目标。目的地是要将子网中的流量发送到目标的 CIDR 块,而目标是目的地流量流经的目标。在默认情况下,创建的每个路由表都包含用于在 VPC 内部进行通信的本地路由,我们可以通过添加路由来定义路由表,而不能删除用于内部通讯的本地路由的条目。 VPC 中的每个子网都必须以一个路由表相关联,主路由表是会自动分配到VPC 的路由表,它控制位于任何其他路由表显示关联的所有子网的路由。一个子网一次只能与一个路由表关联,但可以将多个子网与同一个路由表关联。现在已经了解了 VPC 基本组件,可以来看路由流量了。
三、VPC 联网
1.VPC 联网-互联网网关
现在来学习 VPC 的不同的联网选项。首先看一下它的互联网网关。互联网网关,它是一种可扩展且高度可用的冗余的 VPC 组建,它可以允许 VPC 中的实例和和互联网进行通信。互联网网关,它有两个用途,一个是在 VPC 路由表中,为互联网可路由流量提供目标;另一个是为已经分配了公有 IPV4 地址的实例,执行网络地址转换。如果要将子设置为公有,比如要将一个子网设置为公有,那么可以将一个互联网网关连接到 VPC ,然后将这个路由添加到路由表,这样就可以通过互联网网关,将非本地流量发送到互联网。
2.VPC 联网-网络地址转换( NAT )网关
另一个联网的就是网络地址转换,也就是 NET 网关。利用这个网络地址转换 NET 网关,私有子网中的实例可以连接到互联网或其他的AWS 服务,但是它会阻止互联网发起与这些实例的连接。如果我们要创建一个 NET 网关,就必须指定 NET 网关所处的公有网络,同时,还必须在创建 NET 网关时指定与该网关关联的弹性 IP 地址。创建 NET 网关以后,必须更新一个或者多个私有的子网关联的路由表,要更新它的路由表,以便将互联网绑定的流量指向该 NET 网关。这样,私有子网中的实例就可以和这个互联网进行通信了。也可以在 VPC 的公有网络中,使用 NET 实例,而不是这个 NET 网关。但是,因为 NET 网关是一个托管的 NET 服务,可以提供更高的可用性和带宽,同时减少管理工作。对一般的使用案例, AWS 还是建议使用NET 网关,而不是一个 NET 实例。
3.VPC 联网- VPC 对等连接
再看一下VPC 的对等连接。VPC对等连接是两个 VPC 之间的网络连接,可以私下在他们之间路由流量。这两个 VPC 中的实例可以彼此通信,就像是位于同一个网络中,可以在自己的 VPC 之间创建VPC 的对等网络,也可以与其他 AWS 账户中的 VPC 建立连接,也可以与其他 AWS 区域中的 VPC 建立连接。在设置对等连接的时候,可以在路由表中创建规则,以允许 VPC 通过对等资源相互通信。
举个例子,假设我们有两个 VPC.,在 VPCA 的路由表中,可以将目的地址呢,可以将目的地址设为 VPCB 的 IP 地址,将目标设置为对等资源 ID 。我们在 VPCB 的路由表中,可以将这个路由地址/目的地址,设置为 PCA 的 IP 地址,将目标设置为对等资源 ID 。但是这个 VPC 对等连接也有一些限制,比如说它的 IP 空间是不能重叠的,它不支持传递,然后相同的两个 VPC 之间只能有一个对等资源。
4.VPC 联网- AWS 站点到站点 VPN
再看一下 AWS 站点到站点的 VPN 。默认情况下,在 VPC中启动的实例是无法和远程的网络通信的,那么要将 VPC 连接到远程的网络,也就是要创建虚拟专用网络或者用 VPN 链接。它的大致步骤如下,我们先创建一个新的虚拟网关设备,并将它连接到 VPC ,然后定义这个虚拟专用网络,也就是 VPN 的设备或者客户网关的配置,接下来我们要创建一个自定义的路由表,然后将数据中心绑定的流量设置一个路由让它指向 VPN 的网关,同时,还需要更新安全组,然后建立一个 AWS 站点到站点 VPN 的连接,那么两个系统就可以连接在一块了。然后,配置路由就可以通过该连接传递流量了。
四、活动
1.标记此网络图
下面,请根据前面学的这个内容将打问号的地方填写上,
2.解决方案
下图为参考答案可查看填写情况
