AWS联网服务

网络服务总览

网络基础：Amazon VPC(opens in a new tab)、AWS Transit Gateway(opens in a new tab)、AWS PrivateLink(opens in a new tab)
肴杂毗连：AWS Direct Connect(opens in a new tab)、AWS Site-to-Site VPN(opens in a new tab)、AWS Client VPN(opens in a new tab)、AWS Cloud WAN(opens in a new tab)
边沿联网：Amazon CloudFront(opens in a new tab)、Amazon Route 53(opens in a new tab)、AWS Global Accelerator(opens in a new tab)
应用程序联网：AWS App Mesh(opens in a new tab)、Amazon API Gateway(opens in a new tab)、AWS Cloud Map(opens in a new tab)
联网安全：AWS Shield(opens in a new tab)、AWS WAF(opens in a new tab)、AWS Network Firewall(opens in a new tab)、AWS Firewall Manager

AWS 还提供以下方面的指导：

• AWS Well-Architected Framework(opens in a new tab) 用于为应用程序和工作负载构建安全、性能精彩、有弹性且高效的网络。该框架围绕六大支柱构建：
  
  
  
  • 杰出运营
    
  • 安全性
    
  • 可靠性
    
  • 性能服从
    
  • 本钱优化
    
  • 可持续性
    
  
  

Well-Architected Framework 让客户与相助搭档可以通过一致的方式评估架构并实行可扩缩的设计。

• AWS 责任共担模型(opens in a new tab)用于为网络和环境添加定义的安全管理。在 AWS 中，安全性与合规性是您与 AWS 的共同责任。概括来讲，AWS 负责云自己的安全，而您负责云内部的安全，此中包罗您在 AWS 中的数据、应用程序和网络流量。
  
  责任共担模型是指 AWS 怎样明确哪些体系安全范畴属于他们，哪些由您（客户）负责。
  

规划网络设计和添加本钱优化
AWS Well-Architected Framework 的第五大支柱，即本钱优化支柱(opens in a new tab)，建议对基础设施进行丈量和监控。
这一步十分关键，因为随着网络规模的扩大，您的环境也在变化。您需要制定措施来监控和衡量利用环境和本钱。 
数据传输费在您的设计中经常被忽略，您必须在设计决议中考虑数据传输费以节流本钱。全部区域中跨全部服务的入站数据传输均不收取任何费用。但从 AWS 到互联网的数据传输是按服务收费的，详细费率根据发起区域而定。
定义您的指标、设定目标、定义和执行您的标签添加策略(opens in a new tab)、利用本钱分配标签，并确保您定期检察是否有任何变化。如许可以帮助您跟踪本钱并添加本钱优化。AWS 提供 AWS Cost Explorer(opens in a new tab)、AWS 账单和管理控制台(opens in a new tab)、AWS Budgets(opens in a new tab) 和 AWS Trusted Advisor(opens in a new tab) 服务来跟踪付出和利用环境。
整个框架和肴杂网络概览(opens in a new tab)提供了一致的网络评估方式，并提供了实行可随时间随网络扩缩的设计指导。


联网安全 
责任共担模型利用网络控制、配置等方式遍历网络，从而可以平衡网络敏捷性与进步数据安全性的需求。
要详细了解责任共担模型的每一层，请选择每个带编号的标记。

AWS 提供联网和内容分发服务，以运行您的网络和应用程序工作负载。借助这些服务，您能够以最高级别的安全性、可靠性和性能优化通信和数据传输。 

如果您将 Amazon VPC 与当地数据中心做对比，便会立即看到硬件本钱方面的节流。在 AWS 中，您只需按实际利用量付费。但是，由于您可以按需增加服务，如果利用的账户策略不合适，本钱也会敏捷增加。利用这种弹性方案，容量规划变得更简朴，客户无需提交采购订单或期待路由器、互换机和服务器交付、进行机架安装和配置。下面我们来深入了解 AWS 中的更多网络选项。

AWS 拥有大型环球网络结构，提供多种毗连类型和用于构建肴杂网络的联网服务。AWS 还提供毗连，以在当地和无线环境中运行 AWS 服务。
(opens in a new tab)如许一来，无论您在那里毗连 AWS 服务，都可以通过工具满意每个要求、应用程序和业务目标的特定需求。如果您的网络是在 Amazon VPC 中配置、在当地运行或利用网络边沿，则可以利用 AWS 联网选项。

AWS中的OSI

环球基础设施

环球基础设施(opens in a new tab)旨在通太过散在环球各个地理位置的冗余硬件和毗连实现弹性和高可用性。AWS 具有多个区域(opens in a new tab)、多个可用区、当地域域(opens in a new tab)和多个边沿站点(opens in a new tab)，有助于设计具有弹性和高可用性的体系。
AWS 创建的环球基础设施集合了位于环球各地的单独基础设施。AWS 在环球范围提供区域、可用区、当地域域和边沿站点。 

一、软件定义网络（SDN）与AWS VPC

• SDN焦点概念
  
  
  
  • 控制平面与数据平面分离，通过软件（控制器/API）管理底层网络基础设施。
    
  • AWS VPC是大规模SDN实践：通过软件服务（如路由表、安全组、子网）构建虚拟网络，简化配置并降低运营本钱，用户无需关注底层硬件。
    
  
  

• VPC基础组件
  
  
  
  • 公有子网：通过互联网网关（IGW）毗连公网，资源需分配公网IP。
    
  • 私有子网：通过NAT网关（出向流量）或PrivateLink（私有毗连）与外部通信，无公网直接访问。
    
  • CIDR块：定义VPC的IP地址范围，支持辅助CIDR扩展（需与主CIDR同属一个RFC1918范围或可公开路由的非RFC1918块）。
    
  
  

二、私有毗连技术

• AWS PrivateLink
  
  
  
  • 功能：在VPC间、VPC与AWS服务/第三方服务间建立私有毗连，无需IGW、NAT或公网IP，减少暴露风险（如暴力破解）。
    
  • 与VPC终端节点的关系：PrivateLink是技术框架，VPC终端节点是实现私有毗连的入口点（如创建终端节点服务供其他VPC访问）。
    
  
  

• 毗连选项对比
  
  
  
  • 公有毗连：IGW、公网IP（实用于面向公众的服务）。
    
  • 私有毗连：PrivateLink、VPC对等毗连、Direct Connect（实用于敏感数据传输，提升安全性）。
    
  
  

三、安全与责任共担模型

• 责任划分
  
  
  
  • AWS职责：掩护基础设施（如数据中心、硬件）和托管服务的安全。
    
  • 客户职责：配置VPC、安全组、网络ACL（NACL），掩护自身数据和应用程序（如子网隔离、访问策略）。
    
  
  

• 访问控制层
  
  
  
  • 安全组：资源级ACL，控制入站/出站流量（状态化，允许响应流量主动返回）。
    
  • 网络ACL：子网级ACL，无状态，需显式允许入站/出站规则（优先级高于安全组）。
    
  
  

四、高可用性与架构设计

• 区域与可用区（AZ）
  
  
  
  • 区域：地理分布的基础设施集群（如北美、欧洲），用于部署主/备VPC实现多区域容灾。
    
  • 可用区：区域内隔离的独立数据中心集群，故障不互通，通过在多个AZ部署资源实现高可用性（如负载平衡器跨AZ分布）。
    
  
  

• 典型架构示例（三层Web架构）
  
  
  
  • 第一层（公有子网）：负载平衡器（LB），路由表配置默认路由（0.0.0.0/0 → IGW），允许公网访问。
    
  • 第二层（私有子网）：Web服务器，路由表配置默认路由（0.0.0.0/0 → NAT网关），支持出站流量（如软件更新）。
    
  • 第三层（私有子网）：数据库，路由表仅含当地路由（同VPC子网互通），通过PrivateLink或VPC对等毗连实现私有通信。
    
  
  

五、流量控制与路由

• 路由表焦点功能
  
  
  
  • 每个子网必须关联路由表，控制子网内流量走向（目的地→目标，如IGW、NAT网关、VPC对等毗连）。
    
  • 默认当地路由：主动添加，允许同VPC子网间通信（10.0.0.0/8 → 当地）。
    
  
  

• 设计留意事项
  
  
  
  • 避免VPC间CIDR块重叠，否则无法创建对等毗连/Direct Connect。
    
  • 负载平衡器子网需利用≥/27的CIDR，确保足够IP地址用于扩展。
    
  
  

六、肴杂毗连与跨环境集成

• 当地到AWS毗连：Direct Connect（专用物理毗连）、托管式VPN/自管理VPN（加密隧道）、Transit Gateway（会合式路由枢纽，简化多毗连管理）。
  
• 跨VPC毗连：VPC对等毗连（直接互通）、PrivateLink（通过终端节点服务私有访问）。
  

总结

AWS VPC通过SDN理念简化网络部署，团结私有毗连技术、分层安全控制和高可用架构，帮助用户高效构建安全、可扩展的云端网络。焦点设计原则包罗：**子网隔离、路由精准控制、责任共担安全、跨区域/可用区冗余**。


联网网关

VPC 对等毗连

AWS Transit Gateway

AWS PrivateLink

留意事项

1、AWS 为 网络基础、 肴杂毗连、 边沿联网、 应用程序联网和网络安全提供了联网和内容分发服务。
2、 VPC 是一种联网基础服务(opens in a new tab)， 您可以通过此服务完全控制虚拟联网环境，包罗资源置放、毗连和安全。
AWS Cloud Map 和 AWS App Mesh 是应用程序联网服务。
AWS Direct Connect 是一种肴杂毗连联网服务。
3、AWS Direct Connect是一种肴杂毗连服务(opens in a new tab)，是访问 AWS 资源的最短路径。网络流量传输时会停留在 AWS 环球网络中，绝不会进入公共互联网。
Amazon VPC 是网络基础联网服务。
Amazon API Gateway 是一种应用程序联网服务。
AWS Global Accelerator 是一种边沿联网服务。
4、网络设计文档和示意图能够将网络的各个组件可视化，包罗路由器、防火墙和设备，还会表现这些组件之间的交互方式。
将整个网络可视化。跟踪网络流量路由。辨认安全漏洞。
5、通信协议决定了通过网络传输数据所利用的格式和规则。这实用于硬件和软件。通信协议还会处理身份验证和错误检测，以及为使模仿和数字通信正常进行所必须服从的语法、同步和语义。

网络管理协议定义用于监控、管理和维护网络的策略和程序。这有助于确保网络实现稳固通信并达到最佳性能，而且可以将这些协议应用于网络中的全部设备（计算机、互换机、路由器和服务器）。管理协议可以帮助： 

• 排查主机与客户端设备之间的毗连故障。 
  
• 提供毗连状态、可用性、数据包或数据丢失等与网络毗连运行状况相关的信息。
  

网络安全协议可以确保网络中数据流量的安全。这些协议定义了网络怎样掩护数据免受恶意攻击，掩护数据，避免未授权用户、服务或设备访问您的网络数据。网络安全协议依赖加密和暗码来掩护数据。

网络设计协议和网络配置协议是网络管理、通信和安全协议的组合。
6、互联网协议 (IP) 规定了设备如安在 AWS 中通信以及怎样通过互联网通信。有两种互联网协议：互联网协议版本 4 (IPv4) 和互联网协议版本 6 (IPv6)。 

 Secure Shell 协议 (SSH) 是一种加密网络协议，用于在非安全网络上安全地运行网络服务。

 传输控制协议 (TCP) 是定义怎样建立和维护应用程序可用来互换数据的网络对话的标准。TCP 与互联网协议 (IP) 共同利用，定义了计算机怎样相互发送数据包。

用户数据报协议 (UDP) 是一种通信协议，主要用于在互联网上的应用程序之间建立低延迟和容错毗连。UDP 在吸收方同意传输之前就开始数据传输，可以加快传输速率。

7、OSI 模型是一种逻辑模型，通过将通信过程划分为更小、更简朴的组件来描述通信体系的功能。 TCP/IP 模型设计用于标准协议，是 OSI 模型的一个子部门。该模型将 OSI 模型的 7 层结构归并为四层。

TCP/IP 模型和 OSI 模型是最常用的通信网络协议。两个模型的主要区别是，OSI 是概念性模型，它定义了应用程序怎样通过网络进行通信。TCP 和 IP 模型则用于描述 TCP 和 IP 协议如安在网络中建立链路以及怎样进行交互。
TCP/IP 协议制定了创建互联网的标准，而 OSI 模型则提供了通信准则。 

传输层安全 (TLS) 和 Secure Shell (SSH) 不会融入 OSI 模型或 TCP/IP 模型的任何一层。TLS 位于网络安全协议之下，在一些可靠的传输协议（如 TCP）之上运行。它向更高层添加了加密功能，这通常是表示层的功能。 

AWS Key Management System (AWS KMS) 是一种安全的弹性服务，它利用已颠末 FIPS 140-2 验证或正在担当验证的硬件安全模块来掩护您的密钥。AWS KMS 可与 AWS CloudTrail 集成，从而为您提供全部密钥的日志记载，满意您对监管和合规性的需求。

8、AWS 创建的环球基础设施(opens in a new tab)集合了位于环球各地的单独基础设施。因此，AWS 在环球范围提供区域、可用区、 当地域域和边沿站点。 

子网是 VPC 中的一系列 IP 地址。您可以在特定子网中启动 AWS 资源，比方 Amazon EC2 实例。

AWS 数据中心部署在环球各地。

AWS 确实可以提供当地服务。但这些服务基于环球网络运行，可以是区域、环球或可用区性服务。AWS 中的服务是环球、区域和可用区性服务。

9、AWS 可以帮助为您的应用程序构建安全、高性能、弹性和高效的基础设施，并提供访问控制和安全组，以在需要的环境下添加精确的安全功能。

网络访问控制列表（网络 ACL）是 VPC 的可选安全层，用作控制进出一个或多个子网的流量的防火墙。

安全组起着虚拟防火墙的作用，控制允许到达和离开与其关联的资源的流量。比方，当您将安全组与一个 EC2 实例关联后，它将控制该实例的入站和出站流量。

AWS 不支持数据包嗅探。而 AWS 允许对某些服务进行渗透测试 ，AWS明确禁止协议、端口和哀求泛洪。

Amazon CloudWatch 是一种监控和可观察性服务，为您提供数据和富有实用代价的见解，用于监控应用程序、响应体系范围的性能变化，以及优化资源利用率。CloudWatch 以日志、指标和变乱的情势收集监控和运维数据。

Amazon Simple Storage Service (Amazon S3) 是一种对象存储服务，可以提供行业领先的可扩缩性、数据可用性、安全性和性能。

10、随着您的环境在环球范围内的扩展，您的设计的另一部门应为与 AWS 服务的安全私有毗连。AWS PrivateLink 可以在 Amazon VPC、AWS 服务和您的当地部署网络之间提供私有毗连，而不会将流量暴露到公共互联网。由于您的数据不会暴露在互联网上（在互联网上可能会遭受攻击），您可以放心迁移和利用更多 AWS 服务，并确保流量的安全。您不必在利用服务和向互联网公开关键数据之间做出选择。

AWS Direct Connect 云服务是访问 AWS 资源的最短路径。网络流量传输时会停留在 AWS 环球网络中，绝不会进入公共互联网。如许可以降低碰到瓶颈或延迟意外增加的概率。

AWS Site-to-Site VPN 是一种完全托管式服务，可以利用互联网安全协议 (IPSec) 隧道在您的数据中心或分公司与 AWS 资源之间建立安全毗连。利用 Site-to-Site VPN 时，您可以同时毗连到 Amazon Virtual Private Cloud (Amazon VPC) 和 AWS Transit Gateway，而且每个毗连利用两个隧道，以增加冗余。

VPC 对等毗连是两个 VPC 之间的联网毗连，使您可以利用私有 IPv4 地址或 IPv6 地址在这两个 VPC 之间路由流量。任一 VPC 中的实例都可以相互通信，就像它们在同一个网络中一样。您可以在自己的 VPC 之间创建 VPC 对等毗连，也可以与其他 AWS 账户中的 VPC 创建对等毗连。VPC 可以位于不同区域（也称为区域间 VPC 对等毗连）。

AWS Transit Gateway 提供的中心辐射式设计作为完全托管式服务毗连 Amazon VPC 和当地网络，不需要您对 Cisco 云服务路由器 (CSR) 等虚拟设备进行预置。不需要 VPN 覆盖，由 AWS 管理高可用性和可扩展性。

NAT 网关是一种网络地址转换 (NAT) 服务。您可以利用 NAT 网关，使私有子网中的实例可以毗连到 VPC 以外的服务，但外部服务不能发起与这些实例的毗连



实用链接

要了解本课程中所涵盖主题的详细信息，请参阅以下链接。 

• (opens in a new tab)(opens in a new tab)AWS reost(opens in a new tab)
  
• 联网基础(opens in a new tab)
  
• 肴杂毗连(opens in a new tab)
  
• 边沿联网(opens in a new tab)
  
• 应用程序联网(opens in a new tab)
  
• 互联网号码分配机构 (IANA)(opens in a new tab)
  
• 地址块(opens in a new tab)
  
• 私有地址 RFC1918(opens in a new tab)
  
• (opens in a new tab)了解 IP 寻址和 CIDR 图表
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。