3.3.1网络服务 亚马逊 AWS|学习笔记

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: 快速学习3.3.1网络服务 亚马逊 AWS

开发者学堂课程【高校精品课-长安大学 -基于混合式教学的云计算课程建设3.3.1网络服务 亚马逊 AWS】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/1073/detail/15477


3.3.1网络服务 亚马逊 AWS


内容介绍

一、Amazon VPC

二、IP

三、VPC 联网

四、活动


一、Amazon VPC

1.VPC 简介

学习了 IAAS 的计算服务和存储服务,现在来学习网络服务。在网络服务这一部分,主要学习 AWS 的 Amazon VPC ,还有阿里云的专有网络 VPC 以及 OpenStack Neutron 。

首先来看一下亚马逊的 VPC ,它是一项服务,可以让用户在 AWS 云中预置一个逻辑上的隔离部分,它称作 Virtual private cloud 或者叫 VPC ,用户可以在其中启动自己的 AWS 资源。 VPC 可以让用户控制虚拟网络资源,包括选择自己的 IP 地址范围、创建子网以及配置路由表和网络网关,还可以在 VPC 中同时使用 IPV4 和 IPV6 ,实现资源和应用程序的安全访问。亚马逊的 VPC ,还可以自定义 VPC 的网络设置,例如,可以为可访问公有互联网的 web 服务创建一个公有的子网,可以将后端系统,比如数据库或者应用程序的服务器,放在不能访问公有互联网的私有磁网中。亚马逊 VPC 可以使用多个安全层,包括安全组和网络访问控制列表( ACL ),帮助控制对每一个子网中的 EC2 实例的访问。

2.VPC 和子网

image.png

通过亚马逊 VPC ,我们可以预置 VPC 。它从逻辑上与 AWS 云中的其他虚拟网络隔离,是专属于用户的账户, VPC 属于单个的区域但是可以跨多个可用区。这些内容我们在之前也介绍过了。我们创建了一个 VPC 之后,可以将它划分为一个或多个子网,子网就是 VPC中的一个 IP 地址范围,它属于一个单个的可用区,可以在不同的可用区内创建子网。这样,就可以实现这种高可用。子网可以分为公有子网或私有子网,公有子网可以直接访问互联网,但是私有子网不可以。


二、IP

1.IP 寻址

image.png

IP 寻址。 IP 地址是 VPC 中的资源,能够互相通信并与互联网上的资源通信。创建VPC的时候,会为其分配一个 IPV4 的 CIDR 块。创建 VPC 之后,是无法更改地址范围的,所以在创建的时候,要谨慎的选择。这个 CIDR 块儿,它最大的就是16,相当于有6536个地址,最小的就是28,相当于可以有16个地址。子网的 CIDR 块可以与 VPC 的 CIDR 块相同,在这种情况下,VPC 和子网的大小就是一样的。此外,子网的 CIDR ,它也可以是VPC 的 CIDR 的一个子集。这样,就可以定义多个子网,如果要在 VPC 中创建多个子网,子网的 CIDR 块是不能重叠的,同一个 VPC中不能有重复的 IP 地址。在创建子网的时候,他有自己的 CIDR 块,但是,对于指定的 CIDR 块, AWS 都会有一个预留的五个 IP 地址,这些地址是不可以使用的。如上图所示,有五个网络地址,然后10.0.0.1是内部通信的,10.0.0.2是做 DNS 解析的,10.0.0.3是被留着用于未来使用的,10.0.0.255是网络的广播地址。如图所示,我们有一个 CIDR 块的24的 IP 地址,现在我们有256个地址,除去这五个,我们就有251个地址是可以用的。

2.公有 IP 地址类型

创建VPC 的时候,该 VPC 中的每个实例都会自动获得一个私有的 IP 地址。我们可以通过修改子网的自动分配公有 IP 地址属性,来请求在创建实例的时候,分配公有的 IP 地址。那么弹性 IP 地址是与 AWS 账户相关联的,可以将弹性的 IP 地址与账户中的任意 VPC 的任何实例或者网络接口相关联。借助弹性的 IP 地址,我们可以迅速的将地址重新映射到 VPC 中的其他实例,从而屏蔽实例的故障。弹性 IP 地址可能会产生一些额外的费用,如果是在不需要的时候,可以将它释放。

3.弹性网络接口

现在看一下弹性网络接口。弹性网络接口,它是一种虚拟的网络接口,可以将它连接到 VPC 中的实例,或者从其中分离。当网络接口重新连接到一个实例的时候,它的属性也会随之附加到新实例。当将一个网络接口从一个实例移到另一个实例的时候,网络流量也会重定向到这个新的实例。 VPC 中的每个实例都有一个默认的网络接口,即主网络接口,系统会为该接口在 VPC 的 IPV4 地址范围内,指定一个私有的 IPV4 地址。虽然无法将主网络接口从实例中分离,但是可以创建其他网络接口,并将其连接到 VPC 中的任何实例。

4.路由表和路由

路由表是用于定向来自子网的网络流量。每个路由都会指定一个目的地和一个目标。目的地是要将子网中的流量发送到目标的 CIDR 块,而目标是目的地流量流经的目标。在默认情况下,创建的每个路由表都包含用于在 VPC 内部进行通信的本地路由,我们可以通过添加路由来定义路由表,而不能删除用于内部通讯的本地路由的条目。 VPC 中的每个子网都必须以一个路由表相关联,主路由表是会自动分配到VPC 的路由表,它控制位于任何其他路由表显示关联的所有子网的路由。一个子网一次只能与一个路由表关联,但可以将多个子网与同一个路由表关联。现在已经了解了 VPC 基本组件,可以来看路由流量了。

image.png


三、VPC 联网

1.VPC 联网-互联网网关

现在来学习 VPC 的不同的联网选项。首先看一下它的互联网网关。互联网网关,它是一种可扩展且高度可用的冗余的 VPC 组建,它可以允许 VPC 中的实例和和互联网进行通信。互联网网关,它有两个用途,一个是在 VPC 路由表中,为互联网可路由流量提供目标;另一个是为已经分配了公有 IPV4 地址的实例,执行网络地址转换。如果要将子设置为公有,比如要将一个子网设置为公有,那么可以将一个互联网网关连接到 VPC ,然后将这个路由添加到路由表,这样就可以通过互联网网关,将非本地流量发送到互联网。

image.png

2.VPC 联网-网络地址转换( NAT )网关

另一个联网的就是网络地址转换,也就是 NET 网关。利用这个网络地址转换 NET 网关,私有子网中的实例可以连接到互联网或其他的AWS 服务,但是它会阻止互联网发起与这些实例的连接。如果我们要创建一个 NET 网关,就必须指定 NET 网关所处的公有网络,同时,还必须在创建 NET 网关时指定与该网关关联的弹性 IP 地址。创建 NET 网关以后,必须更新一个或者多个私有的子网关联的路由表,要更新它的路由表,以便将互联网绑定的流量指向该 NET 网关。这样,私有子网中的实例就可以和这个互联网进行通信了。也可以在 VPC 的公有网络中,使用 NET 实例,而不是这个 NET 网关。但是,因为 NET 网关是一个托管的 NET 服务,可以提供更高的可用性和带宽,同时减少管理工作。对一般的使用案例, AWS 还是建议使用NET 网关,而不是一个 NET 实例。

image.png

3.VPC 联网- VPC 对等连接

image.png

再看一下VPC 的对等连接。VPC对等连接是两个 VPC 之间的网络连接,可以私下在他们之间路由流量。这两个 VPC 中的实例可以彼此通信,就像是位于同一个网络中,可以在自己的 VPC 之间创建VPC 的对等网络,也可以与其他 AWS 账户中的 VPC 建立连接,也可以与其他 AWS 区域中的 VPC 建立连接。在设置对等连接的时候,可以在路由表中创建规则,以允许 VPC 通过对等资源相互通信。

举个例子,假设我们有两个 VPC.,在 VPCA 的路由表中,可以将目的地址呢,可以将目的地址设为 VPCB 的 IP 地址,将目标设置为对等资源 ID 。我们在 VPCB 的路由表中,可以将这个路由地址/目的地址,设置为 PCA 的 IP 地址,将目标设置为对等资源 ID 。但是这个 VPC 对等连接也有一些限制,比如说它的 IP 空间是不能重叠的,它不支持传递,然后相同的两个 VPC 之间只能有一个对等资源。

4.VPC 联网- AWS 站点到站点 VPN

再看一下 AWS 站点到站点的 VPN 。默认情况下,在 VPC中启动的实例是无法和远程的网络通信的,那么要将 VPC 连接到远程的网络,也就是要创建虚拟专用网络或者用 VPN 链接。它的大致步骤如下,我们先创建一个新的虚拟网关设备,并将它连接到 VPC ,然后定义这个虚拟专用网络,也就是 VPN 的设备或者客户网关的配置,接下来我们要创建一个自定义的路由表,然后将数据中心绑定的流量设置一个路由让它指向 VPN 的网关,同时,还需要更新安全组,然后建立一个 AWS 站点到站点 VPN 的连接,那么两个系统就可以连接在一块了。然后,配置路由就可以通过该连接传递流量了。

image.png


四、活动

1.标记此网络图

下面,请根据前面学的这个内容将打问号的地方填写上,

image.png

2.解决方案

下图为参考答案可查看填写情况

image.png

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
20天前
|
Ubuntu 网络安全 图形学
Ubuntu学习笔记(二):ubuntu20.04解决右上角网络图标激活失败或者消失,无法连接有线问题。
在Ubuntu 20.04系统中解决网络图标消失和无法连接有线网络问题的方法,其中第三种方法通过检查并确保Windows防火墙中相关服务开启后成功恢复了网络连接。
168 0
Ubuntu学习笔记(二):ubuntu20.04解决右上角网络图标激活失败或者消失,无法连接有线问题。
|
5天前
|
Docker 容器
docker swarm启动服务并连接到网络
【10月更文挑战第16天】
10 5
|
6天前
|
负载均衡 网络协议 关系型数据库
docker swarm 使用网络启动服务
【10月更文挑战第15天】
13 4
|
7天前
|
Docker 容器
docker swarm 在服务中使用网络
【10月更文挑战第14天】
9 2
|
19天前
|
存储 安全 网络安全
云端盾牌:云计算时代的网络安全守护在数字化浪潮中,云计算以其高效、灵活的特性成为企业转型的加速器。然而,伴随其迅猛发展,网络安全问题亦如影随形,成为悬在每个组织头顶的达摩克利斯之剑。本文旨在探讨云计算服务中的网络安全挑战,分析信息安全的重要性,并提出相应对策,以期为企业构建一道坚实的云端防护网。
在当今这个数据驱动的时代,云计算已成为推动创新与效率的关键力量。它允许用户随时随地访问强大的计算资源,降低了企业的运营成本,加速了产品上市时间。但随之而来的网络威胁也日益猖獗,尤其是对于依赖云服务的企业而言,数据泄露、身份盗用等安全事件频发,不仅造成经济损失,更严重损害品牌信誉。本文深入剖析云计算环境中的安全风险,强调建立健全的信息安全管理机制的重要性,并分享一系列有效策略,旨在帮助企业和个人用户在享受云服务带来的便利的同时,也能构筑起强有力的网络防线。
|
2月前
|
机器学习/深度学习 安全 网络安全
云端盾牌:云计算时代的网络安全守护在这个数字脉搏加速跳动的时代,云计算以其高效、灵活的特性,成为推动企业数字化转型的强劲引擎。然而,正如每枚硬币都有两面,云计算的广泛应用也同步放大了网络安全的风险敞口。本文旨在探讨云计算服务中网络安全的关键作用,以及如何构建一道坚不可摧的信息防线,确保数据的安全与隐私。
云计算作为信息技术领域的革新力量,正深刻改变着企业的运营模式和人们的生活。但在享受其带来的便利与效率的同时,云服务的安全问题不容忽视。从数据泄露到服务中断,每一个安全事件都可能给企业和个人带来难以估量的损失。因此,本文聚焦于云计算环境下的网络安全挑战,分析其根源,并提出有效的防护策略,旨在为云服务的安全使用提供指导和参考。
64 8
|
18天前
|
机器学习/深度学习 人工智能 安全
|
18天前
|
机器学习/深度学习 数据可视化 Linux
Seaborn可视化学习笔记(一):可视化神经网络权重分布情况
这篇文章是关于如何使用Seaborn库来可视化神经网络权重分布的教程,包括函数信息、测试代码和实际应用示例。
25 0
|
2月前
|
云安全 安全 网络安全
探索云计算与网络安全的共生之道在数字化浪潮席卷全球的今天,云计算作为信息技术的一大革新,正重塑着企业的运营模式与服务交付。然而,随着云服务的普及,网络安全与信息安全的挑战也日益凸显,成为制约其发展的关键因素。本文旨在深入探讨云计算环境下的网络安全问题,分析云服务、网络安全及信息安全之间的相互关系,并提出相应的解决策略,以期为构建一个更安全、可靠的云计算生态系统提供参考。
本文聚焦于云计算环境中的网络安全议题,首先界定了云服务的基本概念及其广泛应用领域,随后剖析了当前网络安全面临的主要威胁,如数据泄露、身份盗用等,并强调了信息安全在维护网络空间秩序中的核心地位。通过对现有安全技术和策略的评估,包括加密技术、访问控制、安全审计等,文章指出了这些措施在应对复杂网络攻击时的局限性。最后,提出了一系列加强云计算安全的建议,如采用零信任架构、实施持续的安全监控与自动化响应机制、提升员工的安全意识教育以及制定严格的合规性标准等,旨在为云计算的安全可持续发展提供实践指南。
70 0