--- tags: 大話AWS雲端架構 --- # Chapter 3 - VPC ### <font color="#5662F6">講者：Andrew ### 日期：2021/08/11</font>  ## 3.1 、 3.2  ### 3.2.1 公司網路環境、Gateway、路由、防火牆、網段、伺服器 - 人類世界跟資訊世界很相似 - 封包從外面進來→透過Gateway存取到公司的網路環境→透過裡面的防火牆&路由設計進入公有網段→再轉進私有網段→進入伺服器 > **<font color="#f00">本地怎麼做，雲端怎麼做</font>** - 本地的機房，為了保持產品之間的資訊獨立，會為產品個別做一個獨立的網路環境。 - AWS也是這樣，提供了VPC(Virtual Private Cloud)服務，確保網路獨立，每個產品都會使用一個VPC來做準備。 ## 3.3 Virtual Private Cloud - AWS的網路環境組成 ### 3.3.1 VPC、IGW、Route Table、NACL、Public Subnet、Instance(Server)  1. 網路封包透過Internet Gateway進入了VPC 2. 透過Route Table<font color="#f00">找到</font>Public Subnet 3. 通過NACL防火牆過<font color="#286090">進入</font>Public Subnet 4. 最後轉發至外網不能直接連入的Private Subnet，再進入Instance(Server) ## 3.4 VPC的四大類服務對接方式 ### 3.4.1 私有網段連外網 - NAT Gateway  - VPC內部有多個公與私網段，私網段預設狀況是不能對外連線的 - 若私網段內的server想要連外網，就需要由AWS設計的NAT Gateway，將私網段的流量導流至公網段、再轉發到外網。 ### 3.4.2 VPC以內網方式操作其他AWS服務 - VPC Endpoint  ### 3.4.3 VPC串接VPC - Peering Connection  - 公司會有多個產品分別用獨立的VPC，有時需要進行資料共享，預設下兩個VPC會透過外網進行溝通。 - 若要讓不同VPC能用內網的方式溝通，可透過AWS設計的Peering Connection進行串接，串接後彼此就能使用對方的私有IP進行溝通。 ### 3.4.4 VPC串接本地網路環境 - VPN Connection > 就是VPN的概念 - 由本地網路與VPC溝通預設下會走外網，若要透過私有IP且加密的情況下溝通，可透過AWS設計的VPN Connection ### 3.4.5 監控VPC的網路流量 - VPC Flow Logs > 監控進出VPC的網路流量 - 網路世界經常面臨網路攻擊，所以需要對於通過VPC的網路流量進行監控。 - VPC提供了Flow Logs，協助我們監控。 ## 3.5 考題解析與思路延伸 ### 3.5.1  ### 3.5.2  ### 3.5.3  ## 3.6 VPC整體架構圖  ## 3.7 相關名詞 ... ... ... ## 3.8 小結 > ### **建置軟體應用時** > - **本地端**會透過網段作為存取權限的管理。 > - **雲端經營**則會為了確保產品的資料安全，使用VPC為產品做網路規劃。 --- > ### **核心要件** > 1. 準備一個Internet Gateway讓Instance(Server)能夠將網路拋到外部網路 > 2. 用Route Table對裡面的Subnet作公開或私有化 > 3. 封包存取往段時，還會透過**NACL**這個靜態防火牆，作流量的篩選 - VPC內部的Instance，想透過**私有網路**存取AWS的服務 👉 使用**VPC Endpoint**來完成串接 - 產品與產品之間透過**私有網路**進行溝通 👉 使用**Peering Connection**進行串接 - 本地機房使用**私有IP**與VPC進行溝通 👉 **VPN Connection**