DEV Community
·
关于AWS网络的面试问题:VPC、子网和安全组
💡
原文英文,约1200词,阅读约需5分钟。
📝
内容提要
虚拟私有云(VPC)是AWS中的逻辑隔离网络,用户可定义IP地址、子网和安全设置。子网分为公共和私有,互联网网关连接VPC与互联网,路由表和网络ACL控制流量。安全组作为实例的虚拟防火墙,NAT网关支持私有子网访问互联网。VPC对接和负载均衡器提升可用性,流量日志监控网络活动,可用区确保高可用性,AWS Transit Gateway简化多个VPC的连接。
🎯
关键要点
- 虚拟私有云(VPC)是AWS中的逻辑隔离网络,用户可定义IP地址、子网和安全设置。
- 子网分为公共子网和私有子网,公共子网可从互联网访问,私有子网不可访问。
- 互联网网关(IGW)连接VPC与互联网,支持双向流量。
- 路由表决定网络流量在VPC内的路径,网络ACL(NACL)在子网级别控制进出流量。
- 安全组是实例的虚拟防火墙,状态是有状态的,返回流量自动允许。
- VPC的关键组件包括子网、路由表、互联网网关、NAT网关、安全组和网络ACL。
- NAT网关允许私有子网中的实例访问互联网,同时防止来自互联网的入站连接。
- 公共IP是自动分配的,弹性IP是静态的,可以分配给AWS账户并与实例关联。
- VPC对接连接允许两个VPC之间的直接网络连接,无需经过公共互联网。
- 负载均衡器分配传入的应用流量到多个目标,以提高可用性和容错能力。
- VPC端点允许私密连接VPC与支持的AWS服务,无需IGW、NAT网关或公共IP。
- 使用安全组和NACL控制流量,启用VPC流日志监控网络流量,使用IAM策略限制资源访问。
- 可用区是区域内的隔离数据中心,VPC子网在特定可用区中创建,以设计容错架构。
- 排查VPC连接问题时,检查路由表、验证安全组和NACL规则,使用VPC可达性分析器。
- AWS Transit Gateway是连接多个VPC和本地网络的网络传输中心,支持大规模架构的集中管理。
- 启用VPC流日志捕获网络接口的IP流量,使用CloudWatch分析日志,集成第三方工具进行高级监控。
❓
延伸问答
什么是AWS中的虚拟私有云(VPC)?
虚拟私有云(VPC)是AWS中的逻辑隔离网络,用户可以在其中定义IP地址、子网和安全设置。
VPC中的子网有什么类型?
子网分为公共子网和私有子网,公共子网可从互联网访问,而私有子网不可访问。
安全组和网络ACL有什么区别?
安全组是实例的虚拟防火墙,状态是有状态的;而网络ACL是无状态的,需明确规则控制流量。
如何使用NAT网关?
NAT网关允许私有子网中的实例访问互联网,同时防止来自互联网的入站连接。
AWS Transit Gateway的作用是什么?
AWS Transit Gateway是连接多个VPC和本地网络的网络传输中心,支持大规模架构的集中管理。
如何监控VPC流量?
可以启用VPC流日志捕获网络接口的IP流量,并使用CloudWatch分析日志。
➡️
