# 竞赛总结

## 内容复习总结：
- 安全组分层：cloudfront-》ALBASG(安全组中允许公网访问)-》EC2（在私有vpc子网中构建，不允许外面直接访问）-》RDS（多可用区私有子网）
- 实例创建服务自启动可以用amazon特有的`user data`，也可以通过systemctl进行设置自启动
- 创建key-pair
- iam ec2-role附加
- 共有子网和私有子网的不同仅仅在于路由表中有没有igw
- 多帐号可以有多个不同的vpc，但很有可能属于同一个区域（region）,不同的vpc可以通过vpc peering或者transit gateway进行通信
- 一个区域有多个az（可用区，可用区之间的属于同一个vpc的子网可以直接通信)

# 20241210架构完善
- 安全组分层：cloudfront-》ALBASG(安全组中允许公网访问)-》EC2（在私有vpc子网中构建，不允许外面直接访问）-》RDS（多可用区私有子网）
- 自启动服务两种方式，一种`user data`,一种systemctl start service

# 20241211故障排除
- SSM登录方式
- iam权限
- vpc，子网，nacl，安全组
    - 可以针对子网创建nacl，一个nacl可以关联多个子网，比如：
        - app-subnet1，app-subnet2，可以创建app的nacl
        - backend-subnet1，backend-subnet2，可以创建backend的nacl
        - db-subnet1，db-subnet2，可以创建db的nacl
    - nacl可以设置入站和出站规则（inbound, outbound,以索引号从到大的顺序建立优先级）
    - 防火墙是更高一级的（子网或vpc级别），安全组是实例级别的进站和入站规则，安全组可以层次级联（从而不用显示定义ip）
    - endpoint和transit gateway好像还没有接触到
- backup和恢复
- lambda和iam，api gateway

![alt text](./figures/subnets.png.png)

vpc-06b4cc6c1b35d3c6d / Jam  IPv4 CIDR 10.0.0.0/16

![alt text](./figures/nacl-inbound-rules.png)

![alt text](./figures/nacl-outbound-rules.png)

![alt text](./figures/nacl-subnets-association.png)

## 需继续强化的知识点
- iam
    - role policy user group（问题，很强大的权限系统如何快速熟练掌握，公有云平台上有哪些共同点和差异）


## 薄弱知识点
- 专门课程操作演练介绍并形成文档笔记
    - linux系统操作基础介绍
    - docker镜像container服务
    - 数据库服务（RDS，DynomoDB）



## 学习实践经验不足总结
- 采用同步实操训练，统一协调以便更加沉浸式的集体学习讨论