- VPC是在Region中创建的,包含不同的AZ,每个AZ中有若干instance。
- VPC中的IGW负责控制private Subnet 与Internet的通信。VGW负责控制private Subnet中instance与本地数据中心的本地通信(即云instance与操作的这个主机的通信)。
- IGW中的路由表中会有一条路由为0.0.0.0/0,此路由使得私网内所有的instance数据流都可以流向该IGW网关,由它进行转发。拥有该IGW路由表的Subnet就变成了公有子网(公有子网其实就是能与Internet进行直接通信的Subnet)。
- NAT(Network Address Translation)实例是一种EC2的instance,只是它关闭了一个功能,就是“源/目的地检查”( 源/目的地检查是指,检查instance收到的数据流的地址是不是自己的ip,如果不是的话,那就直接丢弃,扔掉。),关闭了这个功能,就是使得需要通过NAT中转的数据流可以进得来,然后将数据流转到公网Internet。
- EC2中的IP地址分两种,Public IP和Elastic IP。Public IP是在EC2启动之后就动态生成的,在instance停止和启动时会动态的变化;而Elastic IP是分配给账户的固定的共有的IP,可以与EC2的instance建立或解除匹配。
- 安全组其实就是控制数据流的网关配置,分别设置允许出站和入站的IP地址和端口号,只有允许的才能入站或出站,且如果某一数据流入站或者出战之后,它所对应反方向的响应数据流,也可以流通,不受限制。
- 网络ACL设置相较于安全组而言,更加的细致,因为他在出站和入站规则中标记了许多IP地址和对应端口,标记了他们的允许和拒绝。(此处有疑问1)
- VPC的对等连接其实就是一张表,表中记录了不同的VPC的子网IP的一对一关系,但不存在传递性,即已知A->B,B->C,不可得A->C(A,B,C均为VPC子网划分),所以,表中的IP地址需要各不相同,即各个VPC的子网IP划分(CIDR)不重复。(此处疑问2)
- VPC中所有子网自由通信。
- AWS中可以连接到EC2的块存储分为两个,EBS和实例存储。EBS具有不易失性,意思是在instance停止或者重启时,不会丢失数据,只有在os确定删除数据才行。而实例存储不一样,更加现实,具有易失性,只要instance停止或者重启,就会导致数据的丢失。 实例存储又叫S3存储实例。
- EBS快照这个东西使得数据复制很灵活,只需要把某个EC2中的EBS做出一个EBS快照就行,这个快照是存在S3中的,所有区域级别的instance都可以通过S3中的EBS快照实现还原(创建)EBS。
- 置放群组其实就是一个特殊的处理机,在这个处理机里面的instance可以实现信息传输更快,唯一的缺点就是牺牲了冗余,所以使用置放群组的时候还是需要谨慎。
- 专用实例其实就是付钱,然后独占一台物理主机。
- 通过EC2数据中用户数据可以实现指定instance首次启动时要安装的指定的软件或服务。
- 将对象上传到S3的时候,S3会自动将此对象复制到三个数据中心,保证了安全性。
- S3的存储类有两种,标准类和低冗余类。标准类存储的持久性很强,低冗余类的持久性较弱,所以适用于允许丢失的数据,因为低冗余类存储容易丢失数据,反正要丢失,倒不如把允许丢失的数据用低冗余类存储,成本更低!
疑问
- 由于各个子网的ACL设置中指定了某个ip地址及端口可以入栈或出栈,所以如果出现一个入栈的IP地址,该IP地址不在允许或拒绝的列表内,那ACL会对此IP地址做何操作?例如:入栈规则中明确ip_a允许;ip_b拒绝,则ip_c能入栈吗?
- VPC对等连接可以一对多吗?
以上为今日的收获和疑问,烦请大家指正。
![【网络篇】第五篇——网络套接字编程(一)(socket详解)socket编程LINUX下socket程序的演示[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)