在學習AWS基本操作的時候做的一點小筆記，僅供參考

EC2

Amazon EC2： Amazon Elastic Compute Cloud
AWS ： Amazon Web Services

通過使用 Amazon EC2，可以根據(jù)自身需要啟動任意數(shù)量的虛擬服務(wù)器、配置安全和網(wǎng)絡(luò)以及管理存儲
Amazon EC2 可以提供

• 虛擬計算環(huán)境 — 實例
• 實例的預(yù)配置模板— Amazon 系統(tǒng)映像 (AMI)，包含服務(wù)器需要的程序包（包括操作系統(tǒng)和其他軟件）
• 實例 CPU、內(nèi)存、存儲和網(wǎng)絡(luò)容量的多種配置，也稱為實例類型
• 使用密鑰對的實例的安全登錄信息（AWS 存儲公有密鑰，自己存儲存儲私有密鑰）
• 臨時數(shù)據(jù)（停止或終止實例時會刪除這些數(shù)據(jù)）的存儲卷，也稱為實例存儲卷
• 使用 Amazon Elastic Block Store (Amazon EBS) 的數(shù)據(jù)的持久性存儲卷，也稱為 Amazon EBS 卷。
• 用于存儲資源的多個物理位置，例如實例和 Amazon EBS 卷，也稱為區(qū)域 和可用區(qū)
• 防火墻
• 用于動態(tài)云計算的靜態(tài) IPv4 地址，稱為彈性 IP 地址
• 元數(shù)據(jù)，也稱為標簽，可以創(chuàng)建元數(shù)據(jù)并分配給您的 Amazon EC2 資源
• 可以創(chuàng)建虛擬網(wǎng)絡(luò)，這些網(wǎng)絡(luò)與其余 AWS 云在邏輯上隔離，并且可以選擇連接到您自己的網(wǎng)絡(luò)，也稱為 Virtual Private Cloud (VPC)，可以簡單理解為集群(虛擬私有云)

1.EC2 設(shè)置

注冊AWS
創(chuàng)建密鑰對 ：需要在創(chuàng)建的時候自行保存私鑰
創(chuàng)建安全組 ：需要使用本地計算機的公有 IPv4 地址;也可以使用 CIDR 表示法指定計算機的公有 IPv4 地址或網(wǎng)絡(luò)

2.入門

啟動實例 : 啟動實例的時候會使用默認的VPC來創(chuàng)建實例，如果需要更換注意在配置實例詳細信息里修改使用的VPC

連接到Linux實例 :

需要私鑰文件, 可以使用PuTTY或SSH 客戶端 (如果是pem文件需要先通過puttygen轉(zhuǎn)換成ppk文件

創(chuàng)建彈性ip并關(guān)聯(lián)到實例上

通過Putty進行連接 ， 連接方式 用戶名@公有DNS名或者 用戶名@IPv4公有IP
注意: 對于 Amazon Linux 2 或 Amazon Linux AMI，用戶名稱是 ec2-user。
對于 CentOS AMI，用戶名稱是 centos。我用的是Red Hat,用戶名就是ec2-user
想通過Putty連接對應(yīng)的實例，其安全組必須擁有允許 SSH 訪問 (適用于 Linux 實例) 的入站規(guī)則。如果僅想通過其中一臺跳板機連接到該機器，可以將SSH訪問的入站規(guī)則源IP指定為跳板機實例的安全組ID
安全組規(guī)則引用

對于源IP:可以使用本地網(wǎng)絡(luò)中的特定 IP 地址或 IP 地址范圍（采用 CIDR 塊表示法）或者實例的安全組 ID

網(wǎng)絡(luò)接口:包含IP地址等的虛擬網(wǎng)絡(luò)接口，可以與實例關(guān)聯(lián)，也可以將其與實例分離

VPC

什么是 Amazon VPC？

Amazon Virtual Private Cloud (Amazon VPC) 允許在已定義的虛擬網(wǎng)絡(luò)內(nèi)啟動 AWS 資源。相當于是自己定義的一個相對隔離的集群環(huán)境

• Virtual Private Cloud (VPC) — 僅適用于 AWS 賬戶的虛擬網(wǎng)絡(luò)。
• 子網(wǎng) — VPC 內(nèi)的一個 IP 地址范圍。
• 路由表 — 一組稱為“路由”的規(guī)則，它們用于確定將網(wǎng)絡(luò)流量發(fā)送到何處。
• 互聯(lián)網(wǎng)網(wǎng)關(guān) — 連接到 VPC 的網(wǎng)關(guān)，用于啟用 VPC 中的資源與互聯(lián)網(wǎng)之間的通信。
• VPC 終端節(jié)點 — 能夠?qū)?VPC 私密地連接到支持的 AWS 服務(wù)和 VPC 終端節(jié)點服務(wù)（由 PrivateLink 提供支持），而無需使用互聯(lián)網(wǎng)網(wǎng)關(guān)、NAT 設(shè)備、VPN 連接或 AWS Direct Connect 連接。VPC 中的實例無需公有 IP 地址便可與服務(wù)中的資源通信。VPC 和其他服務(wù)之間的通信不會離開 Amazon 網(wǎng)絡(luò)。

VPC和子網(wǎng)

Virtual Private Cloud (VPC) 在邏輯上與 AWS 云中的其他虛擬網(wǎng)絡(luò)隔絕。可在 VPC 中啟動 AWS 資源，如 Amazon EC2 實例
子網(wǎng)是 VPC 內(nèi)的 IP 地址范圍。可以在指定子網(wǎng)內(nèi)啟動 AWS 資源。對必須連接互聯(lián)網(wǎng)的資源使用公有子網(wǎng)，而對將不會連接到互聯(lián)網(wǎng)的資源使用私有子網(wǎng)。

如需保護每個子網(wǎng)中的 AWS 資源，可以使用多安全層，包括安全組和訪問控制列表 (ACL)。

在創(chuàng)建 VPC 時，必須以CIDR塊的形式為 VPC 指定 IPv4 地址范圍；例如，10.0.0.0/16。 一個VPC會有多個可用區(qū)，在創(chuàng)建 VPC 之后，可以在每個可用區(qū)中添加一個或多個子網(wǎng)。在創(chuàng)建子網(wǎng)時，需要指定子網(wǎng)的 CIDR 塊，它是 VPC CIDR 塊的子集。每個子網(wǎng) CIDR 塊中的前四個 IP 地址和最后一個 IP 地址無法提供使用，而且無法分配到一個實例(保留地址)。

公有子網(wǎng)和私有子網(wǎng)區(qū)別: 看一個子網(wǎng)的流量是否有通向 Internet 網(wǎng)關(guān)的路由

向VPC添加CIDR塊規(guī)則:

• 允許的塊大小在 /28 網(wǎng)絡(luò)掩碼與 /16 網(wǎng)絡(luò)掩碼之間。
• 該 CIDR 塊不得與 VPC 所關(guān)聯(lián)的任何現(xiàn)有 CIDR 塊重疊。
• 可以使用的 IPv4 地址范圍是有限制的。
• 不能增加或減少現(xiàn)有 CIDR 塊的大小。

子網(wǎng)路由

每個子網(wǎng)都必須關(guān)聯(lián)一個路由表，這個路由表可指定允許出站流量離開子網(wǎng)的可用路由。創(chuàng)建的每個子網(wǎng)都會自動關(guān)聯(lián) VPC 的主路由表。

子網(wǎng)安全性

AWS 提供了可以用于在 VPC 中提高安全性的兩個功能：安全組 和網(wǎng)絡(luò) ACL(網(wǎng)絡(luò)訪問控制列表)。安全組可以控制實例的入站和出站數(shù)據(jù)流，網(wǎng)絡(luò) ACL 可以控制子網(wǎng)的入站和出站數(shù)據(jù)流。多數(shù)情況下，安全組即可滿足需要；但是，如果需要為 VPC 增添額外一層安全保護，也可以使用網(wǎng)絡(luò) ACL。
創(chuàng)建的每個子網(wǎng)均自動與 VPC 的默認網(wǎng)絡(luò) ACL 關(guān)聯(lián)

路由表

路由表包含一組稱為“路由”的規(guī)則，它們用于確定將網(wǎng)絡(luò)流量從 VPC 發(fā)送到何處。可以將子網(wǎng)與特定路由表顯式關(guān)聯(lián)。否則，子網(wǎng)將與主路由表隱式關(guān)聯(lián)。

基本概念

• 主路由表 — 隨 VPC 自動生成的路由表。它控制未與任何其他路由表顯式關(guān)聯(lián)的所有子網(wǎng)的路由。
• 自定義路由表 — 我們自己為 VPC 創(chuàng)建的路由表。
• 邊緣關(guān)聯(lián) - 用于將入站 VPC 流量路由到設(shè)備的路由表。需要將路由表與互聯(lián)網(wǎng)網(wǎng)關(guān)或虛擬私有網(wǎng)關(guān)相關(guān)聯(lián)，并將設(shè)備的網(wǎng)絡(luò)接口指定為 VPC 流量的目標。
• 路由表關(guān)聯(lián) — 路由表與子網(wǎng)、互聯(lián)網(wǎng)網(wǎng)關(guān)或虛擬私有網(wǎng)關(guān)之間的關(guān)聯(lián)。
• 網(wǎng)關(guān)路由表 — 與互聯(lián)網(wǎng)網(wǎng)關(guān)或虛擬私有網(wǎng)關(guān)關(guān)聯(lián)的路由表。
• 本地網(wǎng)關(guān)路由表 — 與 Outposts 本地網(wǎng)關(guān)相關(guān)聯(lián)的路由表。
• 目的地 — 希望流量傳輸?shù)降?IP 地址范圍（目的地 CIDR）
• 傳播 - 路由傳播允許虛擬私有網(wǎng)關(guān)自動將路由傳播到路由表。這意味著不需要將 VPN 路由手動輸入到路由表
• 目標 — 用于發(fā)送目的地流量的網(wǎng)關(guān)、網(wǎng)絡(luò)接口或連接，例如互聯(lián)網(wǎng)網(wǎng)關(guān)。
• 本地路由 — VPC 內(nèi)通信的默認路由。

可以使用路由表來控制網(wǎng)絡(luò)流量的流向。 VPC 中的每個子網(wǎng)必須與一個路由表關(guān)聯(lián)，該路由表控制子網(wǎng)的路由（子網(wǎng)路由表）
一個子網(wǎng)一次只能與一個路由表關(guān)聯(lián)，但可以將多個子網(wǎng)與同一子網(wǎng)路由表關(guān)聯(lián)。

路由

每個路由指定一個目的地和一個目標

路由的目的地為 0.0.0.0/0，表示所有 IPv4 地址。目標是連接到 VPC 的互聯(lián)網(wǎng)網(wǎng)關(guān)。

上圖路由解釋: 流向具有 172.31.0.0/20 CIDR 塊的子網(wǎng)的流量將路由到特定網(wǎng)絡(luò)接口。流向 VPC 中所有其他子網(wǎng)的流量使用本地路由。
網(wǎng)關(guān)路由表僅支持目標為 local（默認本地路由）或網(wǎng)絡(luò)接口的路由

如果不清楚網(wǎng)關(guān)應(yīng)該怎么設(shè)置，可以參考這個示例路由選項

NAT網(wǎng)關(guān) 使用 NAT 設(shè)備允許私有子網(wǎng)中的實例連接到 Internet（例如，為了進行軟件更新）或其他 AWS 服務(wù)，但阻止 Internet 發(fā)起與實例的連接。NAT 設(shè)備相當于是一個中轉(zhuǎn)站，作為實例和Internet溝通的橋梁。

大體流程:

創(chuàng)建VPC–>創(chuàng)建子網(wǎng)—>創(chuàng)建網(wǎng)關(guān)–>創(chuàng)建自定義路由表–>將路由表和子網(wǎng)關(guān)聯(lián)(控制子網(wǎng)的流量路由方式)
如果一個實例不想通過外網(wǎng)直接訪問，但是希望可以進行下載更新，可以設(shè)置NAT網(wǎng)關(guān)的路由(注意創(chuàng)建NAT網(wǎng)關(guān)時需要選擇公有子網(wǎng)，即可以與Internet通信的子網(wǎng))

帶有NAT的VPC的最佳實踐

負載均衡器

AWS有自己的負載均衡器,支持三種類型的負載均衡器：Application Load Balancer、Network Load Balancer
和 Classic Load Balancer。
應(yīng)用負載均衡器的原理圖如下:

通過Listener定義的規(guī)則將負載均衡器如何將請求路由到已注冊目標上(target可以是ec2實例)

參考資料:
VPC指南
EC2指南

總結(jié)

以上是生活随笔為你收集整理的AWS 用户指南笔记的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。