在學習AWS基本操作的時候做的一點小筆記，僅供參考

EC2

Amazon EC2： Amazon Elastic Compute Cloud
AWS ： Amazon Web Services

通過使用 Amazon EC2，可以根據自身需要啟動任意數量的虛擬服務器、配置安全和網絡以及管理存儲
Amazon EC2 可以提供

• 虛擬計算環境 — 實例
• 實例的預配置模板— Amazon 系統映像 (AMI)，包含服務器需要的程序包（包括操作系統和其他軟件）
• 實例 CPU、內存、存儲和網絡容量的多種配置，也稱為實例類型
• 使用密鑰對的實例的安全登錄信息（AWS 存儲公有密鑰，自己存儲存儲私有密鑰）
• 臨時數據（停止或終止實例時會刪除這些數據）的存儲卷，也稱為實例存儲卷
• 使用 Amazon Elastic Block Store (Amazon EBS) 的數據的持久性存儲卷，也稱為 Amazon EBS 卷。
• 用于存儲資源的多個物理位置，例如實例和 Amazon EBS 卷，也稱為區域 和可用區
• 防火墻
• 用于動態云計算的靜態 IPv4 地址，稱為彈性 IP 地址
• 元數據，也稱為標簽，可以創建元數據并分配給您的 Amazon EC2 資源
• 可以創建虛擬網絡，這些網絡與其余 AWS 云在邏輯上隔離，并且可以選擇連接到您自己的網絡，也稱為 Virtual Private Cloud (VPC)，可以簡單理解為集群(虛擬私有云)

1.EC2 設置

注冊AWS
創建密鑰對 ：需要在創建的時候自行保存私鑰
創建安全組 ：需要使用本地計算機的公有 IPv4 地址;也可以使用 CIDR 表示法指定計算機的公有 IPv4 地址或網絡

2.入門

啟動實例 : 啟動實例的時候會使用默認的VPC來創建實例，如果需要更換注意在配置實例詳細信息里修改使用的VPC

連接到Linux實例 :

需要私鑰文件, 可以使用PuTTY或SSH 客戶端 (如果是pem文件需要先通過puttygen轉換成ppk文件

創建彈性ip并關聯到實例上

通過Putty進行連接 ， 連接方式 用戶名@公有DNS名或者 用戶名@IPv4公有IP
注意: 對于 Amazon Linux 2 或 Amazon Linux AMI，用戶名稱是 ec2-user。
對于 CentOS AMI，用戶名稱是 centos。我用的是Red Hat,用戶名就是ec2-user
想通過Putty連接對應的實例，其安全組必須擁有允許 SSH 訪問 (適用于 Linux 實例) 的入站規則。如果僅想通過其中一臺跳板機連接到該機器，可以將SSH訪問的入站規則源IP指定為跳板機實例的安全組ID
安全組規則引用

對于源IP:可以使用本地網絡中的特定 IP 地址或 IP 地址范圍（采用 CIDR 塊表示法）或者實例的安全組 ID

網絡接口:包含IP地址等的虛擬網絡接口，可以與實例關聯，也可以將其與實例分離

VPC

什么是 Amazon VPC？

Amazon Virtual Private Cloud (Amazon VPC) 允許在已定義的虛擬網絡內啟動 AWS 資源。相當于是自己定義的一個相對隔離的集群環境

• Virtual Private Cloud (VPC) — 僅適用于 AWS 賬戶的虛擬網絡。
• 子網 — VPC 內的一個 IP 地址范圍。
• 路由表 — 一組稱為“路由”的規則，它們用于確定將網絡流量發送到何處。
• 互聯網網關 — 連接到 VPC 的網關，用于啟用 VPC 中的資源與互聯網之間的通信。
• VPC 終端節點 — 能夠將 VPC 私密地連接到支持的 AWS 服務和 VPC 終端節點服務（由 PrivateLink 提供支持），而無需使用互聯網網關、NAT 設備、VPN 連接或 AWS Direct Connect 連接。VPC 中的實例無需公有 IP 地址便可與服務中的資源通信。VPC 和其他服務之間的通信不會離開 Amazon 網絡。

VPC和子網

Virtual Private Cloud (VPC) 在邏輯上與 AWS 云中的其他虛擬網絡隔絕?？稍?VPC 中啟動 AWS 資源，如 Amazon EC2 實例
子網是 VPC 內的 IP 地址范圍?？梢栽谥付ㄗ泳W內啟動 AWS 資源。對必須連接互聯網的資源使用公有子網，而對將不會連接到互聯網的資源使用私有子網。

如需保護每個子網中的 AWS 資源，可以使用多安全層，包括安全組和訪問控制列表 (ACL)。

在創建 VPC 時，必須以CIDR塊的形式為 VPC 指定 IPv4 地址范圍；例如，10.0.0.0/16。 一個VPC會有多個可用區，在創建 VPC 之后，可以在每個可用區中添加一個或多個子網。在創建子網時，需要指定子網的 CIDR 塊，它是 VPC CIDR 塊的子集。每個子網 CIDR 塊中的前四個 IP 地址和最后一個 IP 地址無法提供使用，而且無法分配到一個實例(保留地址)。

公有子網和私有子網區別: 看一個子網的流量是否有通向 Internet 網關的路由

向VPC添加CIDR塊規則:

• 允許的塊大小在 /28 網絡掩碼與 /16 網絡掩碼之間。
• 該 CIDR 塊不得與 VPC 所關聯的任何現有 CIDR 塊重疊。
• 可以使用的 IPv4 地址范圍是有限制的。
• 不能增加或減少現有 CIDR 塊的大小。

子網路由

每個子網都必須關聯一個路由表，這個路由表可指定允許出站流量離開子網的可用路由。創建的每個子網都會自動關聯 VPC 的主路由表。

子網安全性

AWS 提供了可以用于在 VPC 中提高安全性的兩個功能：安全組 和網絡 ACL(網絡訪問控制列表)。安全組可以控制實例的入站和出站數據流，網絡 ACL 可以控制子網的入站和出站數據流。多數情況下，安全組即可滿足需要；但是，如果需要為 VPC 增添額外一層安全保護，也可以使用網絡 ACL。
創建的每個子網均自動與 VPC 的默認網絡 ACL 關聯

路由表

路由表包含一組稱為“路由”的規則，它們用于確定將網絡流量從 VPC 發送到何處?？梢詫⒆泳W與特定路由表顯式關聯。否則，子網將與主路由表隱式關聯。

基本概念

• 主路由表 — 隨 VPC 自動生成的路由表。它控制未與任何其他路由表顯式關聯的所有子網的路由。
• 自定義路由表 — 我們自己為 VPC 創建的路由表。
• 邊緣關聯 - 用于將入站 VPC 流量路由到設備的路由表。需要將路由表與互聯網網關或虛擬私有網關相關聯，并將設備的網絡接口指定為 VPC 流量的目標。
• 路由表關聯 — 路由表與子網、互聯網網關或虛擬私有網關之間的關聯。
• 網關路由表 — 與互聯網網關或虛擬私有網關關聯的路由表。
• 本地網關路由表 — 與 Outposts 本地網關相關聯的路由表。
• 目的地 — 希望流量傳輸到的 IP 地址范圍（目的地 CIDR）
• 傳播 - 路由傳播允許虛擬私有網關自動將路由傳播到路由表。這意味著不需要將 VPN 路由手動輸入到路由表
• 目標 — 用于發送目的地流量的網關、網絡接口或連接，例如互聯網網關。
• 本地路由 — VPC 內通信的默認路由。

可以使用路由表來控制網絡流量的流向。 VPC 中的每個子網必須與一個路由表關聯，該路由表控制子網的路由（子網路由表）
一個子網一次只能與一個路由表關聯，但可以將多個子網與同一子網路由表關聯。

路由

每個路由指定一個目的地和一個目標

路由的目的地為 0.0.0.0/0，表示所有 IPv4 地址。目標是連接到 VPC 的互聯網網關。

上圖路由解釋: 流向具有 172.31.0.0/20 CIDR 塊的子網的流量將路由到特定網絡接口。流向 VPC 中所有其他子網的流量使用本地路由。
網關路由表僅支持目標為 local（默認本地路由）或網絡接口的路由

如果不清楚網關應該怎么設置，可以參考這個示例路由選項

NAT網關 使用 NAT 設備允許私有子網中的實例連接到 Internet（例如，為了進行軟件更新）或其他 AWS 服務，但阻止 Internet 發起與實例的連接。NAT 設備相當于是一個中轉站，作為實例和Internet溝通的橋梁。

大體流程:

創建VPC–>創建子網—>創建網關–>創建自定義路由表–>將路由表和子網關聯(控制子網的流量路由方式)
如果一個實例不想通過外網直接訪問，但是希望可以進行下載更新，可以設置NAT網關的路由(注意創建NAT網關時需要選擇公有子網，即可以與Internet通信的子網)

帶有NAT的VPC的最佳實踐

負載均衡器

AWS有自己的負載均衡器,支持三種類型的負載均衡器：Application Load Balancer、Network Load Balancer
和 Classic Load Balancer。
應用負載均衡器的原理圖如下:

通過Listener定義的規則將負載均衡器如何將請求路由到已注冊目標上(target可以是ec2實例)

參考資料:
VPC指南
EC2指南

總結

以上是生活随笔為你收集整理的AWS 用户指南笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。