第十四章 联网 Networking

Lepiaoxue2022-10-26云计算152
与 AWS 连接
Amazon Virtual Private Cloud (Amazon VPC)
VPC 全称是 Virtual Private Cloud,虚拟私有云。通过 VPC,您可以在 AWS 云中预置一个逻辑隔离部分,您可以在其中定义的一个虚拟网络中启动 AWS 资源,比如,EC2 实例和 ELB 。
VPC 可以进一步划分为不同的子网,子网是 VPC IP 地址池的子集,可以将您的资源分组,我们可以控制在每个子网当中的资源是公开资源还是私有资源。
互联网网关/Internet Gateway
面向公众的资源允许来自于公共互联网的流量进出您的 VPC,您需要借助互联网网关(Internet Gateway - IGW)。互联网网关是 VPC 和互联网之间的连接。
虚拟私有网关/Virtual Private Gateway
通过虚拟私有网关,可以允许特定的网络访问您的 VPC,而互联网用户无法通过私有网关访问这个 VPC。虚拟私有网关让您能够将本地数据中心或者企业内部网等私有网络与 VPC 建立 VPN 链接。
VPN 链接虽然是私有连接,但仍然基于互联网。使用互联网的人众多,他们共享带宽,所以 VPN 会有抖动、速度慢等一系列问题。
AWS Direct Connect
Direct Connect 让您能够建立一条完全私有的链接,将您的数据中心与 AWS 相连。您可以和所在区域的 Direct Connect 合作伙伴建立这种链接。AWS Direct Connect 可以提供一条物理链路,将您的网络连接到您的 VPC,这可以帮助您满足较高的监管和合规性要求并避免发生任何潜在的带宽问题。
子网和网络访问控制列表
子网
子网是 VPC 的一部分,您可以在其中根据安全性或操作需求对资源进行分组。子网可以是公有子网,也可以是私有子网。
公有子网包含需要能够公开访问的资源,例如在线商店的网站。
私有子网包含只能通过私有网络访问的资源,例如包含客户个人信息和订单历史记录的数据库。 
在 VPC 中,子网可以相互通信。例如,对于您的应用程序,公有子网中的 Amazon EC2 实例可以与私有子网中的数据库进行通信。
VPC 中的网络流量
当客户向 AWS 云中托管的应用程序请求数据时,该请求会作为数据包发送。数据包(packet)是通过互联网或网络发送的一个数据单元。 
它通过互联网网关进入 VPC。数据包进入子网或离开子网之前,需要检查权限。这些权限可以表明数据包的发送者(发送者IP地址),它如何与子网中的资源进行通信(端口)。
检查子网数据包权限的 VPC 组件是网络访问控制列表 (NACL)
网络访问控制列表 (NACL)
网络访问控制列表 (ACL) 是一种虚拟防火墙,用于在子网级别控制入站和出站流量
每个 AWS 账户都包含一个默认网络 ACL。配置 VPC 时,您可以使用账户的默认网络 ACL,也可以创建自定义网络 ACL。 
  • 默认情况下,您账户的默认网络 ACL 会允许所有入站和出站流量,但您可以通过添加自己的规则对其进行修改。

  • 自定义网络 ACL 会拒绝所有入站和出站流量,除非您添加规则,指定允许哪些流量。

  • 此外,所有网络 ACL 都有一条显式拒绝规则。该规则可以确保拒绝不符合列表中的任何其他规则的数据包。

无状态(Stateless)数据包筛选
网络 ACL 会执行无状态数据包筛选。它们什么都不会记住,并会检查通过入站和出站两种方式跨越子网边界的数据包。 
当该请求的数据包响应返回子网时,网络 ACL 不会记得之前的请求。网络 ACL 会对照规则列表检查数据包响应,以确定是允许还是拒绝。
数据包进入子网后,系统必须评估其对子网内的资源(例如 Amazon EC2 实例)拥有的权限。 
检查数据包的 Amazon EC2 实例权限的 VPC 组件是安全组
安全组
安全组是一种虚拟防火墙,用于控制 Amazon EC2 实例的入站和出站流量。
默认情况下,安全组会拒绝所有入站流量并允许所有出站流量。您可以添加自定义规则来配置允许或拒绝哪些流量。
如果您的一个子网中有多个 Amazon EC2 实例,您可以将它们与同一安全组关联,也可以为每个实例使用不同的安全组。
有状态(Stateful)数据包筛选
安全组会执行有状态数据包筛选。它们可以记住之前对传入数据包的处理方式。
还是以将请求从 Amazon EC2 实例发送到互联网为例。 
当该请求的数据包响应返回实例时,安全组会记得之前的请求。安全组会允许响应进入,而不考虑入站安全组规则。
通过网络 ACL 和安全组,您可以为 VPC 中的流量配置自定义规则。
Global Networking
域名系统 (DNS)
Route 53 是 AWS 的域名服务,也就是 DNS 服务,具有很高的可用性和可扩展性。可以把DNS 看成一种翻译服务,它将网站名称翻译成计算机可以读取的 IP 地。
Route 53 还可以使用不同的路由策略将流量引导到不同的终端节点。例如,基于延迟的路由、地理位置 DNS、邻近度和加权轮询,采用地理位置 DNS 指的是根据客户所在的位置来引导流量。比如,来自北美的流量会被路由到俄勒冈区域,来自爱尔兰的流量会被路由到都柏林区域。
您还可以使用 Route 53 来注册域名,因此您可以直接在 AWS 上购买和管理自己的域名。
Amazon Route 53
Amazon Route 53 是一项 DNS服务。它为开发人员和企业提供了一种可靠的方式,可以将最终用户路由到 AWS 中托管的互联网应用程序。 
Amazon Route 53 可以将用户请求连接到在 AWS 中运行的基础设施(例如 Amazon EC2 实例和负载均衡器)。它可以将用户路由到 AWS 以外的基础设施。Route 53 的另一项功能是管理域名的 DNS 记录。您可以直接在 Route 53 中注册新域名。您也将在其他域名注册机构管理的现有域名的 DNS 记录转移到 Route 53 中。这让您能够在一个位置管理所有域名。
Amazon CloudFront
Amazon CloudFront是一种容分发网络(Content Delivery Network - CDN),目的是加快网站内容分发给客户的速度 。
边缘站点,在尽可能靠近客户的位置向客户传输内容.实现这个功能的就是内容分发网络(Content Delivery Network - CDN)。以北美和爱尔兰为例。假设我们的用户位于西雅图,他们想要访问一个网站,为了加快访问速度,我们把这个网站托管在俄勒冈区域,并把图片和 GIF 等静态网站内容部署在北美的 CloudFront 中。这样,当用户访问该网站时,内容会从尽可能靠近他们的位置分发给他们,也就是从北美分发。但对于爱尔兰用户来说,从俄勒冈区域分发这些内容就是不合理的做法,因为延迟很高。因此,我们把这些静态内容部署到了都柏林区域中的 CloudFront 中。这意味着他们可以从距离自己更近的地方访问这些内容,并且更近的距离会降低延迟。
以下示例说明了 Route 53 和 Amazon CloudFront 如何将内容协同分发给客户。
假设 AnyCompany 的应用程序在多个 Amazon EC2 实例上运行。这些实例位于附加到 Application Load Balancer 的 Auto Scaling 组中。
  • 客户访问 AnyCompany 的网站,请求应用程序中的数据。

  • Amazon Route 53 利用 DNS 解析来识别 AnyCompany.com 对应的 IP 地址,即 192.0.2.0。系统将这一信息发送给客户。

  • 客户的请求通过 Amazon CloudFront 发送到最近的边缘站点。

  • Amazon CloudFront 连接到 Application Load Balancer,后者将传入的数据包发送到 Amazon EC2 实例。


版权归乐飘雪所有!

本文链接:http://lepiaoxue.com/post/20.html

返回列表

上一篇:第十三章 边缘站点(Edge Location)

没有最新的文章了...

相关文章

第一章 AWS云计算简介

第一章 AWS云计算简介

AWS 为每个企业都提供了非常广泛的服务,从基本要素,例如计算、存储和网络安全工具;到复杂的解决方案,例如区块链、机器学习或人工智能;以及机器人开发平台,再到非常专业的工具集,例如视频制作管理系统和可...

第二章 云计算部署模式

第二章 云计算部署模式

选择云策略时,企业必须考虑所需的云应用程序组件、首选资源管理工具以及传统 IT 基础设施的要求等因素。三种云计算部署模式:云端部署 - Cloud-based deployment本地部署 - On-...

第四章 计算

第四章 计算

服务器的作用是帮助您托管应用程序并提供满足您业务需求的计算能力,当你使用 AWS 时,这些服务器都是虚拟化的,而提供虚拟化服务器的服务,就是 EC2。与在自己的数据中心当中运行物理服务器相比,使用 E...

第六章 Amazon EC2 实例类型

第六章 Amazon EC2 实例类型

每种实例类型都归属于一个实例系列,并针对特定类型的任务进行了优化。实例类型提供了 CPU、内存、存储和网络容量的不同组合,使您能够灵活地为应用程序选择适当的资源组合。EC2 中不同的实例系列分别为通用...

第七章 Amazon EC2 定价模式

第七章 Amazon EC2 定价模式

使用 Amazon EC2 时,您只需为使用的计算时间付费。Amazon EC2 针对不同使用案例提供了多种定价选项。按需实例/On-deman按需实例非常适合不能中断的短期无规律工作负载。没有前期成...

第八章 EC2的扩展/Scaling

第八章 EC2的扩展/Scaling

AWS 的另一个主要优势——可扩展性和弹性。换句话说就是容量如何基于业务需求增长和缩减。本地数据中心面临的困境:如果您的企业和世界上 99% 的企业一样,那么您的客户工作负载也会随着时间而变化。也许变...