# AWS Certified Cloud Practitioner 講義筆記：單元四 - 連網（Networking） > AWS Certified Cloud Practitioner（CLF-C02） > 這是[AWS Cloud Practitioner Essentials](https://explore.skillbuilder.aws/learn/course/internal/view/elearning/134/aws-cloud-practitioner-essentials)的課程筆記 ## 一、學習目標 在本單元中，您將學會： - 說明網路連結的基本概念 - 說明公有與私有網路資源的差異 - 運用實例說明虛擬私有閘道 (VGW) - 運用實例說明虛擬私人網路 (VPN) - 說明 AWS Direct Connect 的優勢 - 說明混合部署的優勢 - 說明 IT 策略中使用的安全層級 - 說明客戶如何與 AWS 全球網路互動 --- ## 二、核心概念 ### 1. Amazon VPC（Virtual Private Cloud）虛擬私有雲 VPC，即 Virtual Private Cloud，基本上就是您在 AWS 中專屬的私有網路。VPC 允許您為 AWS 資源定義私有 IP 範圍，且您會在 VPC 中放置 EC2 執行個體和 ELB 等內容，您必須把資源放進不同的子網路中。子網路是您 VPC 中的 IP 地址區塊讓您可將資源分組。子網路以及我們稍後會再介紹的網路連結規則，會控制資源是否以公有或私有的方式提供使用。其實是有辦法控制哪些流量可以進入您的 VPC。意思是，您可能會有一些網際網路對向的資源，以供大眾存取，例如公有網站。 - VPC 是在 AWS 中邏輯上隔離的網路區段，您可以在其中啟動 AWS 資源。 - 可設定自己的 IP 位址範圍、子網路（Subnet）、路由表、網路閘道。 - **子網路可分為公有與私有**： * 公有子網路：可連接到 Internet Gateway。 * 私有子網路：僅可透過 VPN 或 Direct Connect 存取。 想像一下，使用 AWS 服務的客戶有數百萬人。再想像一下這些客戶已建立的數百萬個資源，例如 Amazon EC2 執行個體。如果這些資源的周邊沒有界限，網路流量將會不受限制地在當中流動。 可用於在 AWS 資源周邊建立界限的網路服務是 [Amazon Virtual Private Cloud (Amazon VPC)](https://aws.amazon.com/vpc/)。 Amazon VPC 可讓您佈建 AWS 雲端的分隔區段。在這個分隔區段中，您可以在自己定義的虛擬網路中啟動資源。在 Virtual Private Cloud (VPC) 中，您可以將資源組織成子網路。子網路是 VPC 的一個區段，當中可包含 Amazon EC2 執行個體等資源。  您可以將咖啡店的櫃檯區域視為 VPC。櫃檯區分成兩個不同的區域，一個是收銀員的工作站，一個是咖啡師的工作站。在 VPC 中，子網路是用來將資源各自分組的個別區域。 子網路是 VPC 的一個區段，您可以根據安全性或操作需求將資源分組到區段中。子網路可以設為公有或私有。 ### 2. 公有與私有網路連線方式 - **Internet Gateway (IGW)**：允許公有子網路內的資源與網際網路雙向溝通。（For公開資源，像是咖啡廳的正門） - **虛擬私有閘道 (VGW)**：允許企業內部網路透過 VPN 加密連線進入 VPC。（私有的公車路線，雖然是自己的但還是要跟別人共用馬路，還是會塞車） - **AWS Direct Connect**：透過專屬實體光纖與 AWS 直連，提供更穩定、安全、低延遲的連線。（魔法傳送門，最快） #### Internet Gateway (IGW)  #### 虛擬私有閘道 (VGW)  #### AWS Direct Connect  ### 3. 子網路安全控制元件 NACL 當第一層粗略篩選，Security Group 當第二層細部守門人  - **網路ACL（Access Control List）**：子網路層級的無狀態防火牆，會針對所有流量（進入與離開）做評估，是用於檢查封包的子網路權限的 VPC 元件。網路 ACL 會執行**無狀態封包篩選**。這項功能會忽略所有規則，一律檢查往來跨越子網路邊界的傳入和傳出封包。（類似海關檢查人員，出入境都檢查） - **安全群組（Security Group）**：EC2 層級的具狀態防火牆，記得封包是否獲准，可根據連接埠與來源位址控制存取（像是大樓保全，會檢查進來的人不會檢查出去的人）。 #### 網路ACL 執行**無狀態封包篩選**   #### 安全群組（Security Group）NSG 執行**有狀態封包篩選**，群組會記住先前針對傳入封包所做的決定   | 項目 | 網路 ACL（NACL） | 安全群組（Security Group） | | ---- | -------------- | -------------------- | | 層級 | 子網層級 | EC2 層級 | | 狀態性 | 無狀態（Stateless） | 有狀態（Stateful） | | 適用對象 | 所有子網中的資源 | 指定的 EC2 實例 | | 控制方向 | 入站＋出站需分別設規則 | 入站規則為主，出站可自動回應 | | 適合用途 | 大範圍封包篩選 | 精細資源存取控制 | ### 4. 封包傳輸流程範例 1. 用戶端發出請求。 2. 經過 DNS（如 Route 53）轉換成 IP 地址。 3. 經由 Internet Gateway 進入 VPC。 4. 通過網路 ACL → 安全群組 → EC2 執行個體。 5. 回應封包回傳時再次經過 ACL 與安全群組檢查（視具狀態與否）。 --- ## 三、全球網路連線與內容交付 ### 1. Route 53 - AWS 的 DNS 服務。 - 將網域名稱轉換為 IP 位址，並根據使用者位置進行智能路由（例如地理位置導向、延遲導向）。 - 支援網域註冊與管理。 ### 2. Amazon CloudFront - AWS 的內容傳遞網路（CDN）。 - 透過全球節點就近提供靜態或快取內容。 - 可搭配 Route 53 使用，加快網頁讀取速度並降低延遲。  假設 AnyCompany 的應用程式在數個 Amazon EC2 執行個體上執行。這些執行個體所在的 Auto Scaling 群組連接到 Application Load Balancer。 1. 客戶前往 AnyCompany 的網站以便請求應用程式的資料。 1. Amazon Route 53 使用 DNS 解析來識別 AnyCompany.com 的相應 IP 地址 192.0.2.0。這個資訊會再傳回給客戶。 1. 客戶的請求會透過 Amazon CloudFront 傳送到最近的節點。 1. Amazon CloudFront 會連接到 Application Load Balancer，後者會將傳入的封包傳送到 Amazon EC2 執行個體。  --- ## 四、混合雲與網路安全策略 ### 1. 混合部署（Hybrid Deployment） - 將本地資料中心與 AWS VPC 結合。 - 常見情境：資料敏感性高、需要緩慢遷移到雲端等。 - 工具：VPN、Direct Connect、Transit Gateway。 ### 2. 安全防護層級（Defense in Depth） - 包含： - 網路 ACL（子網路級） - 安全群組（執行個體級） - IAM 身份與權限管理 - DDoS 防護、加密與日誌紀錄等 - 多層級保護機制，確保雲端架構安全性。 --- ## 五、重點整理表 | 概念 | 說明 | | ----------------------- | ------------------------- | | VPC | 在 AWS 中建立邏輯隔離的虛擬網路環境 | | 子網路（Subnet） | 將 VPC 分區，可為公有或私有 | | Internet Gateway | 提供公有子網路存取網際網路的能力 | | Virtual Private Gateway | 提供私有網路連接 AWS 的能力（VPN） | | AWS Direct Connect | 提供企業資料中心與 AWS 之間的專屬連線 | | Network ACL | 子網路層級的無狀態防火牆 | | Security Group | EC2 層級的具狀態防火牆 | | Route 53 | DNS 服務，將網域名稱轉換為 IP，支援流量導向 | | CloudFront | 全球 CDN，降低延遲、加速內容交付 | --- ## 六、延伸閱讀與建議練習 - 練習設計一個有公私子網路、Route 53、CloudFront、VPN 的 VPC 架構。 - 嘗試在 AWS 免費帳戶中建立簡單的 VPC 並配置網路 ACL 與安全群組。 - 了解混合雲部署的真實案例，例如企業如何透過 Direct Connect 進行資料中心連線。 --- 下一單元將探討 AWS 儲存和資料庫，歡迎繼續學習。