联网

IP寻址

IP地址和邮寄信件一样,标识网络通信寄件人地址和收件人地址 IPv4:172.31.2.15 网段(172.31) + 主机 (2.15)

10.22.0.0/16(无类域间路由,CIDR)

alt text

VPC

  • VPC云端的重要概念,子网,互联网网关,NAT网关,路由表

  • VPC(Virtual Private Cloud)

    • 区域级别的服务,根据范围不同,global如IAM(global级别的服务),绝大多数aws的服务是区域级的,区域层面的隔离

    • vpc,私有IP地址,跨所有的可用区

    • vpc内计算资源ec2,先创建子网,从vpc中划出的更小的网络(子网可用区级别的服务,属于VPC)

      • 172.31.0.0/16 (1024-251)

        • 172.31.0.0/20

        • 172.31.16.0/20

        • 172.31.32.0/20

        • 172.31.48.0/20

      • 公有子网

        • 创建互联网网关(门),vpc上互联网的唯一出口,共有子网的机器有可能上网

        • 路(公有路由表)ec2发出的包如何到达门,非本地路由全部指向互联网网关

          • 0.0.0.0/0->igw-****

          • 172.31.0.0/16 -》本地(内部机器)

        • 机器暴露在互联网路上

      • 私有子网

        • 172.31.32.0/16 -》本地(内部机器)

        • 没有非本地路由

alt text

弹性IP地址和NAT网关

  • 每台ec2带有虚拟网卡,ec2防火墙设备,代理设备,多个网卡。创建虚拟网卡,一台虚拟机上有多个网卡。模拟管理网络和数据网络的分离。

  • 每张网卡所附带的信息:公有IP,私有IP,MAC地址,ENI(Elastic Netwrok Interface)

  • 私有子网的机器安全,访问互联网,NAT(network address translation)网关

    • 家庭网络,路由器(家里好多设备,设备上的IP地址,大概率私有IP地址,没办法在互联网上路由)

    • 私有地址转成光猫上的公网地址(外面不能访问内部机器),可以私有设备上网,外部流量不能主动发起内部的连接

    • NAT网关放在公有子网里,通过互联网网关访问互联网

    • 私有路由表

      • 非本地路由指向nat网关:0.0.0.0/0-》nat****

  • vpc的高可用

    • 同一个vpc内选择了两个可用区(两个子网,没一个可用区一个子网,每个子网分公有子网和应用程序子网

    • 不同副本放到可用区里

    • elb放在两个可用区之间,elb是区域级别的服务,跨多个可用区,放在公有子网里,接受互联网请求,分配到不同可用区的副本里

alt text

VPC流量安全

NACL

每一个子网有一个NACL(Access Control List)

公有子网,私有子网有不同的NACL

alt text

NACL里边有出站入站的规则设置

  • 作用在子网边界上

  • 既可以做白名单,也可以做黑名单

  • 有顺序的规则,基于顺序的优先级

  • 无状态的防火墙(stateless firewall),

Security Group

跟NACL作用的对象不一样,作用在每一台EC2实例,每一张NCI上,控制每一台机器的流量,而不是整个子网

安全组是有状态的防火墙,流量进入的ec2,回包的流量就不做检查

新的安全组,有一些默认的规则,默认拒绝所有入方向的流量(明确开放一个一个的端口在ec2上),默认放通所有出。

alt text

只能做白名单 源(IP地址段,可以通过安全组相互引用,把另外一个安全组作为源)

alt text

尽量使用安全组之间的相互应用(安全组的链式允许)

web安全组:0.0.0.0/0所有流量都能进来 应用层安全组:(运行http 80端口),源:web安全组(只允许使用web安全组的机器,指定的web服务器,不需要写固定的ip地址) 数据安全组:允许TCP端口3306入站,源:应用程序安全组(不用上面的机器的IP地址段)

入方向:互联网网关,路由表(子网),网络ACL,安全组 出方向:安全组,子网(路由是否),网络ACL,互联网网关

alt text

alt text

vpc,区域和可用区的理解

在云计算中,区域(Region)、可用区(Availability Zone, AZ) 和 虚拟私有云(Virtual Private Cloud, VPC) 是重要的基础概念,它们相互关联,共同构成了云服务的网络和计算架构。

  1. 区域(Region) 定义:区域是云服务提供商在全球范围内设立的独立地理位置的数据中心集合。每个区域通常位于不同的国家或城市,目的是为用户提供低延迟的服务,并满足数据主权和合规要求。 特点: 每个区域彼此独立,数据和资源在不同区域之间不会自动复制。 区域内的资源通常具有较低的网络延迟,但跨区域访问可能会有较高的延迟。

  2. 可用区(Availability Zone, AZ) 定义:可用区是区域内的独立数据中心,具备单独的电力、网络和冷却系统。每个区域通常包含多个可用区(通常为2个或更多)。 特点: 同一区域内的可用区通过低延迟的网络相互连接。 可用区之间的隔离性提供了更高的容灾能力。即使一个可用区发生故障,其他可用区仍可正常工作。 用户可以将应用部署到多个可用区以提高高可用性。

  3. 虚拟私有云(VPC) 定义:虚拟私有云是用户在云上创建的隔离网络环境,可以配置子网、路由表、网络ACL等。VPC允许用户在云中运行其资源(如虚拟机、数据库等)并控制网络通信。 特点: VPC与区域的关系:VPC是区域级的,意味着一个VPC只能覆盖一个区域内的所有可用区。 VPC与可用区的关系:VPC中的子网通常与具体的可用区关联。一个子网只能属于一个可用区,但一个VPC可以包含多个子网,跨多个可用区。

同一区域内的可用区通过低延迟的网络相互连接。一般是通过光纤实现的高效连接。