美文网首页
VPC test 知识点

VPC test 知识点

作者: K1024 | 来源:发表于2018-10-13 23:07 被阅读64次

    VPC test 知识点

    1

    1. Nat gateway 不能直接与vpc endpoints、vpn connections、AWS Direct Connect或者vpc peering connection进行流量互通,如果你的实例在private subnet中需要通过vpc endpoint、vpn、AWS Direct Connect连接,可以直接用private subnet的路由表直接路由到这设备上;
    2. 你不能直接从NAT gateway上通过VPC PEER/VPN/DC进行路由。NAT GATEWAY不能被这些连接的另一端直接使用;

    2

    1. 任何的route table的local route不能被编辑或者删除;

    3

    1. 无论任何时候一个subnet创建的时候,默认的都会与一个main route table关联,如果不同的路由表需要关联到一个subnet,我们需要显式的指定;
    2. 如果创建一个新的route table并设置了igw,那么只有与subnet关联,subnet中的instance才能访问网络;

    4

    1. Endpoints只能在同样的区域被支持,你不能在vpc和managed service之间创建一个在不同region的endpoint

    5

    1. Vpc endpoint有一个默认的policy允许所有的操作行为在S3上。我们可以限制访问特定的S3 bucket基于特定的策略。在这种场景下,对于访问新的bucket操作,VPC endpoints策略需要根据情况修改;
    2. 对于AWS IAM 的role/user 被用来访问S3 bucket需要进行IAM policy授权。如果IAM ROLE/USER不是一个管理员或者FULL S3权限,新的S3 bucket必须被加到IAM POLICY上。
    3. 在同一个region中,每个VPC ENDPOINT只有一个route table,这个route负责定义VPC endpoint访问S3的请求。

    6

    1. 一个ACL会包含一组规则,这些规则是按照编号由小到大顺序排列。这些规则按照最小数字编号的规则生效,如果后续高数字编号的规则针对相同的地址/协议/端口进行设置,那么将被忽略;

    7

    1. NAT GATEWAY必须创建在public subnet中,同时这个public subnet必须能连到internet上;
    2. NAT GATEWAY创建的时候自带elastic ip
    3. 你不能将一个SG关联一个NAT GATEWAY。你只能将SG与instance关联,控制他们的流量出入;

    8

    1. 堡垒机Bastion一般部署在public subnet,用户访问不直接对外提供访问的instance;

    9

    1. 堡垒机Bastion部署在云端的manage VPC的public subnet中,在自己公司的网络中可以通过vpn访问云端manage vpc中的堡垒机。管理vpc可以和application的VPC做peering连接,管理application vpc的private subnet中的instance;

    10

    1. 安全组Security Group是有状态的,in/out只需要设置一个规则;SG是和instance关联的;
    2. ACL是无状态的,in/out规则都要设置才能生效;ACL是和subnet关联的;

    11

    1. 安全组SG是有状态的,如果inbound和outbound设置的 source和destination规则不同,只要有一个符合访问请求规则就可以访问了。
    2. ACL是按照规则编号大小来看生效的顺序的,如果两个编号针对同一个协议端口进行设置,编号100的规则优于编号200的规则先生效;

    12

    1. 默认的ACL是允许所有入站和出站的流量,与subnet关联
    2. 如果没有明确subnet与ACL关联,那么subnet将与默认的subnet关联
    3. 一个ACL可以与多个subnet关联,但是当删除subnet的时候,关联将被删除
    4. 可以自定义ACL,这类ACL默认是拒绝所有进出流量;
    5. ACL没有状态,入站出站需要分别定义规则,同时是按照数字编号由小到大的顺序排序,规则编号小的先生效;
    6. IPV4的每个ACL有一个编号为星*的规则,此规则确保数据包不匹配任何其他规则数据时拒绝该数据包;我们可以删除或者修改这个规则;
    7. IPV6的每个ACL有一个编号为星*的规则,这个规则不允许删除和修改,这个规则确保数据包不匹配任何规则的情况下流量被拒绝;
    8. 对于出站规则,发起请求的客户端会选择临时端口范围。根据客户端的操作系统不同,范围也随之更改。许多 Linux 内核 (包括 Amazon Linux 内核) 使用端口 32768-61000。生成自 Elastic Load Balancing 的请求使用端口 1024-65535。Windows 操作系统通过 Windows Server 2003 使用端口 1025-5000。Windows Server 2008 及更高版本使用端口 49152-65535。NAT 网关使用端口 1024 - 65535。例如,如果一个来自 Internet 上的 Windows XP 客户端的请求到达您的 VPC 中的 Web 服务器,则您的网络 ACL 必须有相应的出站规则,以支持目标为端口 1025-5000 的数据流。
    9. 对于HTTPS 443的入站规则被允许,但是出站的端口不是443,如上所述是需要使用临时的端口。所以设置出站端口443是错误的;

    13

    1. VPC endpoint在VPC外部不被支持;
    2. VPC Endpoint不能被VPC的外部继承,外部的一般指 vpc peering、VPN、Direct connection、Classlink Connection

    14

    1. SG的默认规则是允许outbound流量的,但是如果你指定了outbound的流量规则限制,流量将无法流出。
    2. 对于一个gateway endpoint,如果SG指定了outbound的流量被限制,你必须添加一个规则允许目标服务的前缀被访问,才能正常的进行流量输出;
    3. ACL也可以限制outbound的流量;

    15

    1. 在VPC peering中不支持使用其他VPC中的NAT GATEWAY

    16

    1. 创建一个SecurityGroup默认是支持所有outbound流量,但是没有inbound流量规则,所以来自其他instance的请求默认是不会被允许的;
    2. VPC peering支持跨region构建,走的都是AWS内部网络,只是在部分region支持。跨区构建才会有timeout这种场景出现。如果是ACL或者SG不允许访问,直接就是connect failed了。

    17

    1. AWS默认针对每个subnet都保留了5个ip,如10.0.0.0-10.0.0.3和最后一个IP10.0.0.255
      1. 10.0.0.0:Network address
      2. 10.0.0.1:for VPC router
      3. 10.0.0.2:for DNS Server
      4. 10.0.0.3:for future use
      5. 10.0.0.255:network broadcast address

    18

    1. Custom VPC不支持DNS HOSTNAME ENABLE,当你在这个VPC创建一个EC2的时候不会带private DNS name。你需要修改VPC的属性,设置dns hostname被设置为enable。
    2. DNS resolution是一个解决DNS HOSTNAME在AWS内部生效的能力,是通过AWS的DNS server。感觉有点类似我们管理host表;
    3. 自动赋予public IP这个事情如果是在public subnet中可以在操作的时候设定。如果是在private subnet中创建EC2,默认是disabled的;

    19

    1. AWS的VPC支持增加第二个CIDR,同时CIDR一旦被创建就不能被修改。
    2. 使用VPC的第二个CIDR可以将VPC中的所有instance放到一个subnet中,就可以保证他们可以互相通讯了;

    20

    1. 我们可以创建新的route table,并将其设置为主Route table。后续所有新创建的subnet就会默认关联新的主route table;

    21

    1. VPC flow logs可以捕获VPC内网络接口的进出流量,Flow log被存储在Amazon Cloudwatch logs中。
    2. flow logs可以查看信息:<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>

    22

    1. 在vpc peering中两个vpc中的subnet关联的路由必须构建指向对方CIDR的路由规则;

    23

    1. SG中针对同一个来源如果设定了允许所有的tcp流量,那么额外设置80端口这类就属于重复设置了。

    24

    1. IPV4 VPC支持构建第二个CIDR,默认的target 是local;
    2. VPC PEERING的target是 pcx-xxx;
    3. VPN connection的target是vgw-xxx;
    4. Direct Connection的target一般包含的是vgw-xxx;

    25

    1. VPC FLOW logs捕获vpc内的进出流量,flow logs data被使用amazon Cloudwatch log存储,你可以再cloudwatch log中查看日志;
    2. 同时我们可以为一个vpc、一个subnet或者一个network interface创建flow log;这样方便我们定位具体问题;

    相关文章

      网友评论

          本文标题:VPC test 知识点

          本文链接:https://www.haomeiwen.com/subject/hzvaaftx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|VPC test 知识点|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!