在學(xué)習(xí)AWS基本操作的時(shí)候做的一點(diǎn)小筆記，僅供參考

EC2

Amazon EC2： Amazon Elastic Compute Cloud
AWS ： Amazon Web Services

通過(guò)使用 Amazon EC2，可以根據(jù)自身需要啟動(dòng)任意數(shù)量的虛擬服務(wù)器、配置安全和網(wǎng)絡(luò)以及管理存儲(chǔ)
Amazon EC2 可以提供

• 虛擬計(jì)算環(huán)境 — 實(shí)例
• 實(shí)例的預(yù)配置模板— Amazon 系統(tǒng)映像 (AMI)，包含服務(wù)器需要的程序包（包括操作系統(tǒng)和其他軟件）
• 實(shí)例 CPU、內(nèi)存、存儲(chǔ)和網(wǎng)絡(luò)容量的多種配置，也稱為實(shí)例類型
• 使用密鑰對(duì)的實(shí)例的安全登錄信息（AWS 存儲(chǔ)公有密鑰，自己存儲(chǔ)存儲(chǔ)私有密鑰）
• 臨時(shí)數(shù)據(jù)（停止或終止實(shí)例時(shí)會(huì)刪除這些數(shù)據(jù)）的存儲(chǔ)卷，也稱為實(shí)例存儲(chǔ)卷
• 使用 Amazon Elastic Block Store (Amazon EBS) 的數(shù)據(jù)的持久性存儲(chǔ)卷，也稱為 Amazon EBS 卷。
• 用于存儲(chǔ)資源的多個(gè)物理位置，例如實(shí)例和 Amazon EBS 卷，也稱為區(qū)域 和可用區(qū)
• 防火墻
• 用于動(dòng)態(tài)云計(jì)算的靜態(tài) IPv4 地址，稱為彈性 IP 地址
• 元數(shù)據(jù)，也稱為標(biāo)簽，可以創(chuàng)建元數(shù)據(jù)并分配給您的 Amazon EC2 資源
• 可以創(chuàng)建虛擬網(wǎng)絡(luò)，這些網(wǎng)絡(luò)與其余 AWS 云在邏輯上隔離，并且可以選擇連接到您自己的網(wǎng)絡(luò)，也稱為 Virtual Private Cloud (VPC)，可以簡(jiǎn)單理解為集群(虛擬私有云)

1.EC2 設(shè)置

注冊(cè)AWS
創(chuàng)建密鑰對(duì) ：需要在創(chuàng)建的時(shí)候自行保存私鑰
創(chuàng)建安全組 ：需要使用本地計(jì)算機(jī)的公有 IPv4 地址;也可以使用 CIDR 表示法指定計(jì)算機(jī)的公有 IPv4 地址或網(wǎng)絡(luò)

2.入門(mén)

啟動(dòng)實(shí)例 : 啟動(dòng)實(shí)例的時(shí)候會(huì)使用默認(rèn)的VPC來(lái)創(chuàng)建實(shí)例，如果需要更換注意在配置實(shí)例詳細(xì)信息里修改使用的VPC

連接到Linux實(shí)例 :

需要私鑰文件, 可以使用PuTTY或SSH 客戶端 (如果是pem文件需要先通過(guò)puttygen轉(zhuǎn)換成ppk文件

創(chuàng)建彈性ip并關(guān)聯(lián)到實(shí)例上

通過(guò)Putty進(jìn)行連接 ， 連接方式 用戶名@公有DNS名或者 用戶名@IPv4公有IP
注意: 對(duì)于 Amazon Linux 2 或 Amazon Linux AMI，用戶名稱是 ec2-user。
對(duì)于 CentOS AMI，用戶名稱是 centos。我用的是Red Hat,用戶名就是ec2-user
想通過(guò)Putty連接對(duì)應(yīng)的實(shí)例，其安全組必須擁有允許 SSH 訪問(wèn) (適用于 Linux 實(shí)例) 的入站規(guī)則。如果僅想通過(guò)其中一臺(tái)跳板機(jī)連接到該機(jī)器，可以將SSH訪問(wèn)的入站規(guī)則源IP指定為跳板機(jī)實(shí)例的安全組ID
安全組規(guī)則引用

對(duì)于源IP:可以使用本地網(wǎng)絡(luò)中的特定 IP 地址或 IP 地址范圍（采用 CIDR 塊表示法）或者實(shí)例的安全組 ID

網(wǎng)絡(luò)接口:包含IP地址等的虛擬網(wǎng)絡(luò)接口，可以與實(shí)例關(guān)聯(lián)，也可以將其與實(shí)例分離

VPC

什么是 Amazon VPC？

Amazon Virtual Private Cloud (Amazon VPC) 允許在已定義的虛擬網(wǎng)絡(luò)內(nèi)啟動(dòng) AWS 資源。相當(dāng)于是自己定義的一個(gè)相對(duì)隔離的集群環(huán)境

• Virtual Private Cloud (VPC) — 僅適用于 AWS 賬戶的虛擬網(wǎng)絡(luò)。
• 子網(wǎng) — VPC 內(nèi)的一個(gè) IP 地址范圍。
• 路由表 — 一組稱為“路由”的規(guī)則，它們用于確定將網(wǎng)絡(luò)流量發(fā)送到何處。
• 互聯(lián)網(wǎng)網(wǎng)關(guān) — 連接到 VPC 的網(wǎng)關(guān)，用于啟用 VPC 中的資源與互聯(lián)網(wǎng)之間的通信。
• VPC 終端節(jié)點(diǎn) — 能夠?qū)?VPC 私密地連接到支持的 AWS 服務(wù)和 VPC 終端節(jié)點(diǎn)服務(wù)（由 PrivateLink 提供支持），而無(wú)需使用互聯(lián)網(wǎng)網(wǎng)關(guān)、NAT 設(shè)備、VPN 連接或 AWS Direct Connect 連接。VPC 中的實(shí)例無(wú)需公有 IP 地址便可與服務(wù)中的資源通信。VPC 和其他服務(wù)之間的通信不會(huì)離開(kāi) Amazon 網(wǎng)絡(luò)。

VPC和子網(wǎng)

Virtual Private Cloud (VPC) 在邏輯上與 AWS 云中的其他虛擬網(wǎng)絡(luò)隔絕?？稍?VPC 中啟動(dòng) AWS 資源，如 Amazon EC2 實(shí)例
子網(wǎng)是 VPC 內(nèi)的 IP 地址范圍?？梢栽谥付ㄗ泳W(wǎng)內(nèi)啟動(dòng) AWS 資源。對(duì)必須連接互聯(lián)網(wǎng)的資源使用公有子網(wǎng)，而對(duì)將不會(huì)連接到互聯(lián)網(wǎng)的資源使用私有子網(wǎng)。

如需保護(hù)每個(gè)子網(wǎng)中的 AWS 資源，可以使用多安全層，包括安全組和訪問(wèn)控制列表 (ACL)。

在創(chuàng)建 VPC 時(shí)，必須以CIDR塊的形式為 VPC 指定 IPv4 地址范圍；例如，10.0.0.0/16。 一個(gè)VPC會(huì)有多個(gè)可用區(qū)，在創(chuàng)建 VPC 之后，可以在每個(gè)可用區(qū)中添加一個(gè)或多個(gè)子網(wǎng)。在創(chuàng)建子網(wǎng)時(shí)，需要指定子網(wǎng)的 CIDR 塊，它是 VPC CIDR 塊的子集。每個(gè)子網(wǎng) CIDR 塊中的前四個(gè) IP 地址和最后一個(gè) IP 地址無(wú)法提供使用，而且無(wú)法分配到一個(gè)實(shí)例(保留地址)。

公有子網(wǎng)和私有子網(wǎng)區(qū)別: 看一個(gè)子網(wǎng)的流量是否有通向 Internet 網(wǎng)關(guān)的路由

向VPC添加CIDR塊規(guī)則:

• 允許的塊大小在 /28 網(wǎng)絡(luò)掩碼與 /16 網(wǎng)絡(luò)掩碼之間。
• 該 CIDR 塊不得與 VPC 所關(guān)聯(lián)的任何現(xiàn)有 CIDR 塊重疊。
• 可以使用的 IPv4 地址范圍是有限制的。
• 不能增加或減少現(xiàn)有 CIDR 塊的大小。

子網(wǎng)路由

每個(gè)子網(wǎng)都必須關(guān)聯(lián)一個(gè)路由表，這個(gè)路由表可指定允許出站流量離開(kāi)子網(wǎng)的可用路由。創(chuàng)建的每個(gè)子網(wǎng)都會(huì)自動(dòng)關(guān)聯(lián) VPC 的主路由表。

子網(wǎng)安全性

AWS 提供了可以用于在 VPC 中提高安全性的兩個(gè)功能：安全組 和網(wǎng)絡(luò) ACL(網(wǎng)絡(luò)訪問(wèn)控制列表)。安全組可以控制實(shí)例的入站和出站數(shù)據(jù)流，網(wǎng)絡(luò) ACL 可以控制子網(wǎng)的入站和出站數(shù)據(jù)流。多數(shù)情況下，安全組即可滿足需要；但是，如果需要為 VPC 增添額外一層安全保護(hù)，也可以使用網(wǎng)絡(luò) ACL。
創(chuàng)建的每個(gè)子網(wǎng)均自動(dòng)與 VPC 的默認(rèn)網(wǎng)絡(luò) ACL 關(guān)聯(lián)

路由表

路由表包含一組稱為“路由”的規(guī)則，它們用于確定將網(wǎng)絡(luò)流量從 VPC 發(fā)送到何處。可以將子網(wǎng)與特定路由表顯式關(guān)聯(lián)。否則，子網(wǎng)將與主路由表隱式關(guān)聯(lián)。

基本概念

• 主路由表 — 隨 VPC 自動(dòng)生成的路由表。它控制未與任何其他路由表顯式關(guān)聯(lián)的所有子網(wǎng)的路由。
• 自定義路由表 — 我們自己為 VPC 創(chuàng)建的路由表。
• 邊緣關(guān)聯(lián) - 用于將入站 VPC 流量路由到設(shè)備的路由表。需要將路由表與互聯(lián)網(wǎng)網(wǎng)關(guān)或虛擬私有網(wǎng)關(guān)相關(guān)聯(lián)，并將設(shè)備的網(wǎng)絡(luò)接口指定為 VPC 流量的目標(biāo)。
• 路由表關(guān)聯(lián) — 路由表與子網(wǎng)、互聯(lián)網(wǎng)網(wǎng)關(guān)或虛擬私有網(wǎng)關(guān)之間的關(guān)聯(lián)。
• 網(wǎng)關(guān)路由表 — 與互聯(lián)網(wǎng)網(wǎng)關(guān)或虛擬私有網(wǎng)關(guān)關(guān)聯(lián)的路由表。
• 本地網(wǎng)關(guān)路由表 — 與 Outposts 本地網(wǎng)關(guān)相關(guān)聯(lián)的路由表。
• 目的地 — 希望流量傳輸?shù)降?IP 地址范圍（目的地 CIDR）
• 傳播 - 路由傳播允許虛擬私有網(wǎng)關(guān)自動(dòng)將路由傳播到路由表。這意味著不需要將 VPN 路由手動(dòng)輸入到路由表
• 目標(biāo) — 用于發(fā)送目的地流量的網(wǎng)關(guān)、網(wǎng)絡(luò)接口或連接，例如互聯(lián)網(wǎng)網(wǎng)關(guān)。
• 本地路由 — VPC 內(nèi)通信的默認(rèn)路由。

可以使用路由表來(lái)控制網(wǎng)絡(luò)流量的流向。 VPC 中的每個(gè)子網(wǎng)必須與一個(gè)路由表關(guān)聯(lián)，該路由表控制子網(wǎng)的路由（子網(wǎng)路由表）
一個(gè)子網(wǎng)一次只能與一個(gè)路由表關(guān)聯(lián)，但可以將多個(gè)子網(wǎng)與同一子網(wǎng)路由表關(guān)聯(lián)。

路由

每個(gè)路由指定一個(gè)目的地和一個(gè)目標(biāo)

路由的目的地為 0.0.0.0/0，表示所有 IPv4 地址。目標(biāo)是連接到 VPC 的互聯(lián)網(wǎng)網(wǎng)關(guān)。

上圖路由解釋: 流向具有 172.31.0.0/20 CIDR 塊的子網(wǎng)的流量將路由到特定網(wǎng)絡(luò)接口。流向 VPC 中所有其他子網(wǎng)的流量使用本地路由。
網(wǎng)關(guān)路由表僅支持目標(biāo)為 local（默認(rèn)本地路由）或網(wǎng)絡(luò)接口的路由

如果不清楚網(wǎng)關(guān)應(yīng)該怎么設(shè)置，可以參考這個(gè)示例路由選項(xiàng)

NAT網(wǎng)關(guān) 使用 NAT 設(shè)備允許私有子網(wǎng)中的實(shí)例連接到 Internet（例如，為了進(jìn)行軟件更新）或其他 AWS 服務(wù)，但阻止 Internet 發(fā)起與實(shí)例的連接。NAT 設(shè)備相當(dāng)于是一個(gè)中轉(zhuǎn)站，作為實(shí)例和Internet溝通的橋梁。

大體流程:

創(chuàng)建VPC–>創(chuàng)建子網(wǎng)—>創(chuàng)建網(wǎng)關(guān)–>創(chuàng)建自定義路由表–>將路由表和子網(wǎng)關(guān)聯(lián)(控制子網(wǎng)的流量路由方式)
如果一個(gè)實(shí)例不想通過(guò)外網(wǎng)直接訪問(wèn)，但是希望可以進(jìn)行下載更新，可以設(shè)置NAT網(wǎng)關(guān)的路由(注意創(chuàng)建NAT網(wǎng)關(guān)時(shí)需要選擇公有子網(wǎng)，即可以與Internet通信的子網(wǎng))

帶有NAT的VPC的最佳實(shí)踐

負(fù)載均衡器

AWS有自己的負(fù)載均衡器,支持三種類型的負(fù)載均衡器：Application Load Balancer、Network Load Balancer
和 Classic Load Balancer。
應(yīng)用負(fù)載均衡器的原理圖如下:

通過(guò)Listener定義的規(guī)則將負(fù)載均衡器如何將請(qǐng)求路由到已注冊(cè)目標(biāo)上(target可以是ec2實(shí)例)

參考資料:
VPC指南
EC2指南

總結(jié)

以上是生活随笔為你收集整理的AWS 用户指南笔记的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。