19、AWS网络相关技术与评估解析

AWS网络相关技术与评估解析

1. 虚拟私有云网络

在虚拟私有云（VPC）网络中，有多种组件可供选择，包括网络、子网、路由、互联网网关、NAT网关、仅出站网关、弹性网络接口（ENI）、VPC端点、VPC对等连接、网络访问控制列表（NACLs）和安全组等。
- 路由机制 ：在IPv4中，路由通过NAT网关或实例执行；而在IPv6中，则使用仅出站网关。
- VPC CIDR ：VPC的无类别域间路由（CIDR）一旦创建就无法更改，因此在确定CIDR大小时，需要考虑当前和未来应用程序的需求。
- IP地址使用 ：IPv4在公共或弹性IP与子网IP之间使用1:1的网络地址转换（NAT），而IPv6地址可直接访问。
- 网关与端点 ：网关通过路由将流量从AWS服务引导至私有网络，而接口端点则通过附加到VPC的私有IP直接连接到VPC。
- 网络配置示例 ：可以在VPC B中实现代理，将流量从A传递到C。创建一个VPC，并创建8个子网，其中三对私有子网位于不同可用区（AZ），用于每个私有应用层；一对公共子网用于Web应用。子网之间仅在第3层进行通信。为SQS服务创建VPC端点，以便私有子网能够与SQS通信。

2. VPC网络安全

VPC网络安全主要涉及安全组和NACLs的配置。
- NACL配置 ：如果NACL仅允许传入流量，则需要打开所有必需的端口以允许传出流量。
- 防火墙设置 ：不建议使用 ufw disable 禁用防火墙服务，应咨询Linux管理员，获取打开所需端口的命令。
- 流量阻塞问题 ：当输出中出现 REJECT 操作时，表明NACL或安全组正在阻止流量。
- WAF架构 ：采用WAF三明治架构方法，添加负载均衡器，并将EC2实例放入自动扩展组，以确保实例能够在流量高峰时进行扩展。对于已知IP范围，在未确定流量是否合法之前，不应直接进行阻止。为网站实施CloudFront分发，并使用AWS Shield - Standard进行保护。

3. 本地与AWS的连接

本地与AWS的连接涉及多种技术和配置。
- IP地址特性 ：IPv4私有网络默认定义为私有，而IPv6使用单播寻址，默认情况下本质上是公共的。
- 连接选项 ：可以选择较低成本的连接方式，如使用自治系统、IPSec、1.25 Gbps带宽、BGP及MD5 BGP认证、1000BASE - LX或10GBASE - LR光纤连接器、802.1Q VLAN封装等。也可以使用1Gbps DirectConnect实现低延迟，并在其上使用IPSec VPN进行加密。如果对带宽、延迟等没有特定要求，VPN是一个不错的选择，因为它有两个隧道，具有高可用性。

4. 使用ELB管理和保护服务器

弹性负载均衡器（ELB）用于在多个实例之间分配流量。
- 负载均衡器类型 ：包括应用程序负载均衡器（ALB）和网络负载均衡器（NLB）。
- 功能限制 ：NLB不能通过对等VPC连接传递流量。
- 安全相关 ：可以使用AWS证书管理器和AWS Shield来增强安全性。

5. 使用CloudFront管理和保护内容分发

CloudFront可用于管理和保护内容分发。
- HTTP操作支持 ：支持所有HTTP方法类型的配置，以及读、写、更新和删除等HTTP操作。
- 缓存优化 ：可以为定义了默认缓存行为的应用程序增加生存时间（TTL）。
- 安全防护 ：使用AWS Shield Advanced和WAF规则进行保护，还可以使用签名URL、AWS证书管理器和Lambda@Edge等功能。

6. 管理和保护Route 53域名系统

Route 53是AWS的域名系统服务。
- 管理机制 ：管理入口点是一个API，它将DNS信息存储在极快的数据库层，服务级别协议（SLA）为100%，支持路由和健康检查。
- 路由策略 ：可以使用地理位置路由、故障转移路由等策略。例如，构建网站的S3静态副本，并在发生重大故障时使用Route 53故障转移路由切换到S3存储桶。
- 记录配置 ：创建包含所有节点IP的DNS记录，并基于TCP端口443进行健康检查。如果端口不可达，Route 53服务将从响应中移除该节点。
- 域名管理 ：将域名转移到Route 53并启用域名转移锁定，使用Route 53多值记录进行集群管理，并使用健康检查确定健康节点。同时，需要向注册商提供NS名称，以便将DNS切换到Route 53。

7. 管理和保护API网关

API网关用于管理和保护API。
- API类型 ：支持REST和WebSocket。
- 资源策略 ：创建资源策略，仅允许来自任何开发IP或端点的流量。
- 认证方式 ：如果第三方支持，可以使用IAM或Cognito进行联合认证；如果不支持，则可以实现Lambda授权器来检查API请求中的认证数据。
- 证书使用 ：为API网关和ELB使用ACM，为EC2实例使用自签名证书、私有CA或公共CA。
- 客户端连接 ：将客户端连接到API网关，为移动客户端请求使用API密钥，并将后端请求直接发送到DynamoDB。为防止DynamoDB过度使用，可以实施使用计划来限制每个用户的请求。

8. 监控和故障排除AWS网络

监控和故障排除AWS网络需要使用多种工具和方法。
- 监控级别 ：包括标准、详细和自定义监控级别。
- 日志管理 ：日志会永久保存。
- 计费告警 ：使用计费告警，当预算超过50%、80%和100%时创建警报，并通过SNS订阅通知开发人员。
- 故障排查 ：如果安全组或NACL拒绝流量到实例，需要检查相关配置。如果操作系统未启动，等待五分钟后再尝试，如果仍无响应，则检查安全组和NACL。当记录的TTL设置过高时，需要降低TTL并让客户端刷新解析器缓存。

9. 使用CloudFormation进行网络自动化

CloudFormation可用于网络自动化。
- 模板格式 ：支持JSON和YAML格式。
- 资源依赖 ：可以使用 DependsOn 属性来定义资源之间的依赖关系。
- 变更部署 ：在现有堆栈上执行变更集即可部署变更。
- 子网删除 ：在删除子网之前，需要确保子网中没有EC2实例或其他服务在使用。
- 配置优化 ：避免硬编码定义的值，始终使用引用，并使用映射将特定资源映射到区域。CloudFormation可以帮助在部署到生产环境之前测试和确保配置符合PCI标准。

10. 模拟测试解析

通过模拟测试可以检验对AWS网络知识的掌握程度。以下是部分模拟测试题的解析：
| 问题编号 | 答案 | 解释 |
| ---- | ---- | ---- |
| 1 | B | VGW提供两个隧道端点以实现高可用性，无需二级链路。 |
| 2 | D | AWS不支持GRE，需要自定义解决方案连接到GRE隧道VPN网络。 |
| 3 | C | AWS负责确保互联网网关的高可用性。 |
| 4 | B | NACLs是无状态的，对于每个入站规则，都需要创建出站规则以允许访问。 |
| 5 | A | 要建立初始VPN连接，只需从本地站点发起流量。 |
| 6 | A | AWS直接连接合作伙伴可以帮助建立从托管机房到本地环境的专用光纤或MPLS链路。 |
| 7 | C | DynamoDB支持网关VPC端点，选择该选项是最简单的解决方案。 |
| 8 | C | DirectConnect始终优先于备份VPN，双向转发检测可帮助检测故障并实现平滑故障转移。 |
| 9 | B | VPC对等连接要求VPC具有唯一的IP范围，任何重叠都会阻止建立对等连接。 |
| 10 | D | 生产子网的地址应具有 /24 后缀，如 10.0.0.0/24 和 10.0.1.0/24 。 |

通过以上对AWS网络相关技术和评估的介绍，我们可以更全面地了解AWS网络的配置、安全、连接、管理和自动化等方面的知识，为实际应用提供有力的支持。

graph LR
    A[虚拟私有云网络] --> B[VPC网络安全]
    B --> C[本地与AWS的连接]
    C --> D[使用ELB管理和保护服务器]
    D --> E[使用CloudFront管理和保护内容分发]
    E --> F[管理和保护Route 53域名系统]
    F --> G[管理和保护API网关]
    G --> H[监控和故障排除AWS网络]
    H --> I[使用CloudFormation进行网络自动化]
    I --> J[模拟测试解析]

11. 模拟测试解析（续）

继续对模拟测试题进行解析，帮助大家更深入理解AWS网络知识。
| 问题编号 | 答案 | 解释 |
| ---- | ---- | ---- |
| 11 | B | 使用RDS DNS可在主实例故障时实现流量自动故障转移，比其他选项更便捷。 |
| 12 | C | 可以使用ENI连接到VPC中的二级网络，其他选项存在错误或不适用情况。 |
| 13 | C | 最便宜的加速网站的方法是使用CloudFront分发，选择价格等级100可节省请求费用。 |
| 14 | A | 可以使用变更集在CloudFormation中管理已部署堆栈的版本。 |
| 15 | C | 2xlarge实例存在计算能力瓶颈，使用三个xlarge实例更高效。 |
| 16 | B | AWS Shield Advanced是最全面的DDoS防护机制，可保护多种AWS服务。 |
| 17 | D | 将MTU设置为9000，在集群放置组内的实例使用巨型帧可实现最大网络吞吐量。 |
| 18 | D | 实例关闭时公共IP会改变，使用弹性IP是更好的选择。 |
| 19 | A | 10.0.0.121 实例尝试SSH连接 10.0.1.121 实例的22端口，但连接被拒绝。 |
| 20 | A, C | 可以在A中代理流量从B到C，或者将B和C进行对等连接，其他选项不可行。 |
| 21 | B | 创建VPC对等连接后，需要在两个VPC中为对方VPC创建路由。 |
| 22 | A | 直接连接不加密数据，访问S3时使用HTTPS可加密传输中的数据，且性能关键。 |
| 23 | D | 如果每个私有子网使用不同的路由表，则需要为S3网关端点添加条目。 |
| 24 | C, D | 要确保了解EC2网络性能，并启用增强型网络。 |
| 25 | B | 集群放置组可确保EC2实例之间的最佳网络性能。 |
| 26 | D | 路由表中最具体的条目将决定使用哪条路由。 |
| 27 | D | ELB具有高可用性，为满足端到端加密要求不应卸载SSL，其他配置也符合高可用性和加密要求。 |
| 28 | A | Route 53的基于延迟的路由可实现蓝绿部署模型，通过调整权重转移流量。 |
| 29 | C | CloudFormation堆栈中的所有资源并行构建，使用 Depends - On 条件可确定依赖资源的顺序。 |
| 30 | B, C | 为使主Direct Connect连接具有高可用性，需要备份VPN或Direct Connect连接。 |
| 31 | D | 仅与认证VPC进行VPC对等连接可跨账户和区域工作，且满足需求。 |
| 32 | B | 通过ACM向ELB添加证书是最省力、最便宜的解决方案，且无需重新配置EC2。 |
| 33 | C | 即使通过Direct Connect传输，从AWS传出的数据也会产生费用。 |
| 34 | A, C, F | 要在每个级别选择合适的安全工具，利用AWS和其他工具，减少应用程序的入口点以降低攻击面。 |
| 35 | B | Web应用防火墙（WAF）可通过限制请求者IP范围和允许的正则表达式来保护应用程序免受注入攻击。 |
| 36 | A | 创建合并账单时，所有费用将汇总到主账单账户。 |
| 37 | A, B, E | 客户路由器需要支持单模光纤连接，使用VLAN和BGP。 |
| 38 | C | 在Direct Connect链路上使用VPN加密连接，使用私有VIF连接到VPC。 |
| 39 | B | 需要第三方数据包分析器进行深度数据包检查。 |
| 40 | A | 私有子网未连接IGW，不支持弹性IP。 |
| 41 | D | 不能删除VPC的默认IPv4范围。 |
| 42 | A | 如果ECS容器启用了VPC，它有自己的ENI，可以使用VPC流日志诊断流量。 |
| 43 | B | 仅出站互联网网关在IPv6中可实现与NAT网关在IPv4中相同的功能，允许私有网络的出站流量到互联网。 |
| 44 | A, E | 对于IPSec VPN，需要打开UDP端口500并允许协议50（ESP）。 |
| 45 | A, C, D | Lambda可以部署在VPC中访问私有资源，需要使用DynamoDB VPC端点或NAT网关来访问DynamoDB。 |
| 46 | C | 可以使用对等默认设置将新创建的VPC与现有VPC进行对等连接。 |
| 47 | A | 使用查看器策略将HTTP流量重定向到HTTPS，并设置源策略与查看器匹配，可确保仅使用HTTPS通信。 |
| 48 | B, C | 创建私有VIF需要Direct Connect链路的VLAN ID和VGW的虚拟专用网关ID。 |
| 49 | D | 可以使用字段级加密和SSL卸载来提高应用程序性能，同时保持敏感数据加密。 |
| 50 | B, F | 需要将实例子网保持为私有，使用VPC端点并在默认VPC路由表中创建到VPC端点的路由，无需额外安全配置。 |
| 51 | B | CloudFront可以通过缓存和在边缘终止传入连接来加速应用程序性能。 |
| 52 | A | ALIAS记录可将域名顶点记录指向AWS资源，类似于CNAME，但支持顶点条目。 |
| 53 | B | Direct Connect合作伙伴将在设备放入托管机架后建立交叉连接。 |
| 54 | D | 使用Direct Connect时，前缀需要汇总到100以下才能正常工作。 |
| 55 | C | 403错误表示已到达存储桶但没有访问权限。 |
| 56 | C | 部署复杂基础设施时，可以将堆栈输出值导出到下一个堆栈。 |
| 57 | A, E | 应用程序需要部署在三个可用区，以确保状态确定正确，并非所有区域都支持三个可用区。 |
| 58 | A | VPN CloudHub可以轻松连接多个VPN站点。 |
| 59 | C | 市场解决方案在单个实例上运行时不具有高可用性，需要部署另一个实例。 |
| 60 | C | AWS VPC中不允许广播和多播。 |

12. 模拟测试2解析

模拟测试2进一步检验对AWS网络知识的综合运用能力。
| 问题编号 | 答案 | 解释 |
| ---- | ---- | ---- |
| 1 | A, D | 如果组织已有另一个Direct Connect链路，合作伙伴可以提供托管连接和托管虚拟接口。 |
| 2 | D | AWS不允许混杂模式，扫描流量时需要将VPC中的所有流量路由到单独的VPC进行监控。 |
| 3 | B | 使用WAF三明治方法可使WAF部署具有高可用性。 |
| 4 | B | VPC对等连接可用于与其他账户通信和认证。 |
| 5 | C | NAT实例需要禁用源/目标检查，因为它需要在源或目标不是自身时发送和接收流量。 |
| 6 | B | 需要在AWS中设置一个虚拟专用网关，连接两个来自客户网关的Direct Connect链路以实现高可用性。 |
| 7 | A | 简单AD可以将VPC中的请求转发到Amazon DNS服务器。 |
| 8 | C | 要确保允许Route 53的健康检查流量到实例。 |
| 9 | C | VPC支持最大9000的巨型帧，但VPN支持的MTU为1500。 |
| 10 | C | 使用带有公共VIF的Direct Connect是将S3数据传输到数据中心最有效的方法，可降低传输成本。 |
| 11 | B | 可以向VPC添加额外的IPv6地址范围，但不能分离主IPv4块。 |
| 12 | D | 当VPN链路和Direct Connect链路通告相同前缀时，AWS优先选择Direct Connect，可在Direct Connect链路故障时故障转移到VPN链路。 |
| 13 | B | 可以将EC2实例添加到VPC DHCP选项集，创建转发器将请求转发到本地服务器。 |
| 14 | D | 此设置是安全的，无需额外操作。 |
| 15 | A | 使用签名URL可以从公共资源中提供私有内容，是最简单的访问特定文件的方法。 |
| 16 | A | 可以通过启用VPC流日志并检查数据包流来验证策略配置，查看 ACCEPT OK 和 REJECT OK 确定允许和拒绝的数据包。 |
| 17 | D | 需要使用第三方工具在AWS中进行数据包分析。 |
| 18 | B | ENI可以连接到同一可用区内的多个子网。 |
| 19 | E | 虚拟路由和转发（VRF）可帮助路由器维护两个重叠的路由表，以连接到具有重叠IP的两个不同VPC。 |
| 20 | D | NAT网关应创建在具有弹性IP的公共子网中，否则无法访问互联网。 |
| 21 | C | NLB允许最大网络性能，可处理每秒数千万个请求。 |
| 22 | B | 要托管在第三方注册的域名，可以使用公共托管区域，也可以将注册转移到AWS。 |
| 23 | A | 在托管VIF上，账户仅需支付传出传输费用，主账户支付Direct Connect链路小时费用。 |
| 24 | C | 可以使用CloudFormation脚本添加资源，通过自定义资源请求向Lambda函数发出请求以更新现有子网路由配置。 |
| 25 | B, C | VPC A和VPC B需要相互为对方网络创建路由。 |
| 26 | A, C | 选择支持增强型网络的实例并启用它，可获得25 Gbps及以上的带宽。 |
| 27 | D | IPv6实例需要 ::/0 默认路由才能与互联网通信。 |
| 28 | B | VPN连接有两个隧道以实现高可用性，如果只有一个隧道连接，AWS会定期通知VPN链路不冗余。 |
| 29 | B | 通过VPN从S3传出数据会产生标准数据传输费用。 |
| 30 | C | 通过Direct Connect链路从S3传出数据可降低数据传输费用。 |
| 31 | C | 可以在ALB前实现带有弹性IP的网络负载均衡器，以便在白名单中使用NLB的弹性IP。 |
| 32 | D | 使用VPC对等连接将所有VPC连接到中央VPC，并将流量路由到中央VPC中的第三方设备进行数据包扫描。 |
| 33 | B | API网关为应用程序提供统一的API接口以交换信息。 |
| 34 | D | PrivateLink允许供应商使用ENI连接到客户的VPC，它基于接口VPC端点。 |
| 35 | D | 通过公共VIF连接时，公共IP通过BGP通告，可被任何具有公共IP的实例访问。 |
| 36 | A, B, C, F | 需要考虑EC2实例、S3存储、NAT实例运行时间和NAT实例处理的数据量。 |
| 37 | D | 网络VPC一旦创建就不能更改。 |
| 38 | B | CloudTrail可以记录所有针对AWS的API调用，并捕获安全组和NACLs的任何更改。 |
| 39 | A | 可以通过自助服务门户在AWS Artifact中访问所有AWS合规报告。 |
| 40 | A | 由于部署到EC2，市场解决方案有AMI，可以在CloudFormation模板中指定AMI ID。 |
| 41 | C | 需要使用私有VIF连接到VPC。 |
| 42 | D | 可以使用CloudFormation实现基础设施即代码的方法来部署网络。 |
| 43 | B | 很可能是第二个实例允许ICMP，而第一个实例不允许。 |
| 44 | B | 创建CloudFront分发时，使用 GET 、 HEAD 、 OPTION 、 POST 、 PUT 、 UPDATE 和 DELETE 选项，可使CloudFront终止所有HTTP调用方法。 |
| 45 | A, C, D, F | 为使网站尽可能安全和快速，应始终将其部署在CloudFront分发之后。 |
| 46 | C | 只有VPC子网的IP范围可以用于对等VPC的安全组。 |
| 47 | B | 实现IP阻止NACL规则是最简单的解决方案。 |
| 48 | D | 任何ELB都不支持UDP。 |
| 49 | A | 10.0.0.0/28 是最小的CIDR，在此设置中只能部署一个 10.0.0.0/28 子网。 |
| 50 | B | VPC对等连接中IP地址范围不应重叠。 |
| 51 | B, E, F | 一个VPC中只能创建一个二级IPv6范围，默认情况下一个VPC中最多可创建200个子网，使用CIDR表示法可创建更多。 |
| 52 | A | 可以使用 AWS::EC2::NetworkInterface 属性分配IP地址。 |
| 53 | C | 该代码片段在VPC中创建一个NACL。 |
| 54 | B | 子网始终与一个可用区绑定。 |
| 55 | C | 创建VGW时可以选择两个不同的自治系统编号（ASNs）。 |
| 56 | C | TLS可用于加密传输到AWS所有服务的数据。 |
| 57 | E | 使用Direct Connect需要BGP，BGP中不存在封装协议。 |
| 58 | C | 只创建一个互联网网关，因为IGW具有高可用性。 |
| 59 | B | 通过VGW的AWS VPN可以满足所有这些要求。 |
| 60 | B | 部署静态S3网站副本是最具成本效益和简单的解决方案。 |

graph LR
    A[模拟测试解析（续）] --> B[模拟测试2解析]
    B --> C{总结}
    C --> D[知识巩固]
    C --> E[实际应用]

通过对这些模拟测试题的详细解析，我们可以更好地理解AWS网络的各种概念、配置和应用场景。在实际应用中，我们可以根据这些知识进行合理的网络规划、安全配置和故障排除，以确保AWS网络的高效、稳定和安全运行。同时，不断学习和实践这些知识，有助于提升我们在AWS网络领域的专业技能和解决实际问题的能力。