AWS 网络知识的核心是理解资源如何隔离、互联和对外访问。
Region 选择
选择 Region 时常考虑:
- 合规要求
- 离用户的距离
- 服务可用性
- 成本差异
高可用架构
高可用通常通过多 AZ 部署实现。多个可用区彼此隔离,可以降低单点故障风险。
多 Region 架构可以进一步提升灾备能力,但成本和复杂度更高。
边缘站点
边缘站点用于把内容缓存到离用户更近的位置。CloudFront 是 AWS 的 CDN 服务。
VPC
VPC 是 AWS 中的虚拟私有网络。你可以在 VPC 中创建子网、路由表、网关和安全规则。
子网
Public Subnet 通常可以通过 Internet Gateway 访问互联网。
Private Subnet 通常不直接暴露给互联网,需要通过 NAT Gateway 出站访问。
网关
Internet Gateway:让 VPC 连接互联网。
Virtual Private Gateway:连接本地网络和 VPC。
Transit Gateway:连接多个 VPC 和本地网络。
NAT Gateway:让私有子网访问互联网,但不允许互联网主动访问私有资源。
安全组与网络 ACL
安全组是实例级别、有状态防火墙。
网络 ACL 是子网级别、无状态防火墙。
安全组通常更常用,网络 ACL 更适合做子网级的粗粒度控制。