AWS 学习笔记之 VPC

VPC

  • 把 VPC 想象成一个逻辑上的数据中心
  • 包含一个 IGW (Internet Gateway)或者 Virtual Private Gateway,Route Tables,Network ACLs,Subnets,Security Groups
  • 1 个 Subnet = 1 个可用区
  • Security Group 是有状态的,Network ACL 是无状态的
  • VPC 可以连接(peer)起来,甚至可以连接不同 AWS 账号的 VPC
  • 不能 transitive peer!如果 A 和 B 相连,B 和 C 相连,A 和 C 是联通的,必须手动连接 A 和 C

NAT Instance

  • 创建 NAT instance 的时候要关掉 Source/Destination Check
  • NAT instance 必须放在 public subnet 里
  • 必须有一个 Elastic IP
  • 必须有一个从 private subnet 到 NAT instance 的路由
  • NAT instance 支持的流量取决于 instance size,如果不够用只能增加 instance size
  • 如果要 HA,可以利用 Autoscaling Group 为不同 AZ 的 subnet 创建 NAT instance

NAT Gateway

  • 很新,很可能不出现在考试中
  • 可以自动伸缩,最大支持 10Gbps
  • 不用管补丁
  • 不用管 security group
  • 不用手工禁用 Source/Destination Check
  • 自动分配 IP 地址
  • 记得要更新 Route table

Network ACLs

  • VPC 创建的时候会自动创建一个 default network ACL,允许所有 outbound 和 inbount 流量
  • 你可以创建自定义的 network ACL,默认情况下,新创建的 network ACL 阻止所有连接(为了安全考虑)
  • VPC 里的每个 subnet 必须要指定一个 network ACL,如果你没有显式的指定 network ACL,那就是用 default network ACL
  • 一个 subnet 只能指定一个 network ACL;但 network ACL 可以被指定给多个 subnet。注意,当你把一个 network ACL 指定给某个 subnet 的时候,subnet 之前设定的 network ACL 就被挤掉了,不能共存(以上两点和 Route table 很相似)
  • Network ACL 的每条 rule 都有一个序号,序号决定了 rule 执行的循序
  • Network ACL 包含两张表:inbound rules 和 outbound rules,每个 rule 可以是 allow 或者 deny
  • Network ACL 是无状态的。也就是说,对允许进入的流量也可能会被拒绝出去,反之亦然(区别于 security group)
  • 可以用 Network ACL 来 block 某些 IP 地址(段),security group 则不行

NAT vs Bastions

  • NAT 用来给 private subnet 里的机器提供 internet 访问
  • Bastion 用来安全地管理 private subnet 里的机器,也可以称为跳板机

容灾架构

  • 如果你想保证容灾性,至少保证 2 个 public subnets 和 2 个 private subnets,保证它们不在一个可用区
  • 保证 ELB 横跨你的多个可用区
  • 对于 Bastion instance,把它放在 autoscaling group 里,保证至少有 2 个节点工作,用 Route53 来做 fail over
  • NAT instance 就比较麻烦了,每个 public subnet 里需要放一个,各自分配一个 IP 地址,而且你要写一个脚本来做 fail over。如果可能的话,用 NAT gateway 来代替

VPC Flow Logs

用来监控 VPC 里的网络流量。