Global Infrastructure
官方介紹:---------------------------------------------------------
AWS 雲端遍及全球 18 個地理區域內的 55 個可用區域和 1 個當地區域,而且已宣布計劃在巴林、開普敦、香港特別行政區、斯德哥爾摩增加 15 個可用區域和五個 AWS 區域,以及在美國增加第二個 GovCloud 區域。
---------------------------------------------------------
圖片來源:https://aws.amazon.com/about-aws/global-infrastructure/?nc1=h_ls
筆記:
AWS Regions and Availability Zones
AWS 雲端基礎設施是以區域 (Region) 與可用區域 (Available Zone,簡稱 AZ) 為中心來建置的。AZ 其實就是由 AWS 一或多個個資料中心所組成的,而資料中心的功能即是置放多台實體伺服器的一棟建築。舉上圖來說,可以看到其中亞太地區,新加坡有三個 AZ、東京有四個 AZ,而北京有兩個 AZ。那為什麼每個 Region 都要有那麼多 AZ 呢?試想當我們的 AWS 資源建立在新加坡的 AZ_A 上,但 AZ_A 好死不死出現了跳電、網路斷線或者是設備壞損時該怎麼辦,這時 AZ_B, AZ_C 就變成了救援。後面會在介紹什麼是 High Availibility。
|
Virtual Private Cloud (VPC)
官方介紹:---------------------------------------------------------
Amazon Virtual Private Cloud (Amazon VPC) 允許您在 AWS 雲端佈建一個在邏輯上隔離的部分,並在自己定義的虛擬網路中啟動 AWS 資源。您可以完全掌控虛擬聯網環境,包括選擇自己的 IP 地址範圍、建立子網路,以及配置路由表和網路閘道。您可以在 VPC 中同時使用 IPv4 與 IPv6 來安全且輕鬆地存取資源和應用程式。 您可以輕鬆自訂 Amazon VPC 的網路配置。例如,您可以為可存取網際網路的 Web 伺服器建立公有子網路,而將資料庫或應用程式伺服器等後端系統放在不能存取網際網路的私有子網路。您可以利用安全群組和網路存取控制清單等多種安全層,對各個子網路中 Amazon EC2 執行個體的存取進行控制。 此外,您也可以在公司資料中心和 VPC 之間建立硬體虛擬專用網路 (VPN) 連線,利用 AWS 雲端來擴展公司資料中心。
---------------------------------------------------------
筆記:
看完 Global Infrastructure 後,想像其就是一朵 AWS Cloud 大雲,而 VPC 則是用戶在這朵大雲中可以佈建的多個小雲,我們可以在這朵小雲裡,使用許多 AWS 資源。
階層範例如下:
AWS Cloud
|__Asia_Pacific
| |__AZ_A
| | |__ VPC_1
| | |__ VPC_2
| | |__ ...
| |__AZ_B
| | |__ VPC_1
| | |__ VPC_2
| | |__ ...
| |__AZ_C
|__China
| |__AZ_1
| |__AZ_2
|__ ...
Elastic Compute Cloud (EC2)
官方介紹:---------------------------------------------------------
Amazon Elastic Compute Cloud (Amazon EC2) 是一種 Web 服務,可在雲端提供安全、可調整大小的運算容量。該服務旨在降低開發人員進行 Web 規模雲端運算的難度。 Amazon EC2 的 Web 服務界面非常簡單,您可以輕鬆獲取和配置容量。使用本服務,您可以完全控制運算資源,並在成熟的 Amazon 運算環境中執行。Amazon EC2 讓獲取與啟動新伺服器執行個體所需的時間縮短至幾分鐘,如此一來,當您的運算要求發生變化時,便能快速擴展運算容量。Amazon EC2 按您實際使用的容量收費,從而改變了成本結算方式。Amazon EC2 還為開發人員提供了建置故障恢復應用程式以及排除常見故障情況的工具。
---------------------------------------------------------
筆記:
基本上,可以視為一個 EC2 即是一台 server,而我們可以在同一個 VPC 裡,根據需求而建立許多個 EC2。
VPCs and Subnets
官方介紹:
---------------------------------------------------------
Amazon Elastic Compute Cloud (Amazon EC2) 是一種 Web 服務,可在雲端提供安全、可調整大小的運算容量。該服務旨在降低開發人員進行 Web 規模雲端運算的難度。 Amazon EC2 的 Web 服務界面非常簡單,您可以輕鬆獲取和配置容量。使用本服務,您可以完全控制運算資源,並在成熟的 Amazon 運算環境中執行。Amazon EC2 讓獲取與啟動新伺服器執行個體所需的時間縮短至幾分鐘,如此一來,當您的運算要求發生變化時,便能快速擴展運算容量。Amazon EC2 按您實際使用的容量收費,從而改變了成本結算方式。Amazon EC2 還為開發人員提供了建置故障恢復應用程式以及排除常見故障情況的工具。
---------------------------------------------------------
---------------------------------------------------------
Amazon Elastic Compute Cloud (Amazon EC2) 是一種 Web 服務,可在雲端提供安全、可調整大小的運算容量。該服務旨在降低開發人員進行 Web 規模雲端運算的難度。 Amazon EC2 的 Web 服務界面非常簡單,您可以輕鬆獲取和配置容量。使用本服務,您可以完全控制運算資源,並在成熟的 Amazon 運算環境中執行。Amazon EC2 讓獲取與啟動新伺服器執行個體所需的時間縮短至幾分鐘,如此一來,當您的運算要求發生變化時,便能快速擴展運算容量。Amazon EC2 按您實際使用的容量收費,從而改變了成本結算方式。Amazon EC2 還為開發人員提供了建置故障恢復應用程式以及排除常見故障情況的工具。
---------------------------------------------------------
筆記:
我。
Bastion Host
Bastion host 基本上就是一台 Proxy Server,用來存取私有網路,例如 DB Server 等等。簡單來說,我要對 DB Server 做操作,我得連進這台 Proxy Server,在連進 DB Server 對其 做操作。這樣設計的好處是,我們可以透過限定 SSH 連線,降低 Proxy Server 被攻擊的風險。
Network Address Translation (NAT)
官方介紹:
---------------------------------------------------------
您可以使用 NAT 裝置來使私有子網路中的執行個體連線到網際網路 (例如進行軟體更新) 或其他 AWS 服務,但防止網際網路初始化與執行個體的連線。NAT 裝置會將流量從私有子網路中的執行個體轉送至網際網路或其他 AWS 服務,然後將回應送回執行個體。當流量傳向網際網路時,來源 IPv4 地址會替換為 NAT 裝置的地址;同樣,當回應流量傳向這些執行個體時,NAT 裝置會將地址轉換為這些執行個體的私有 IPv4 地址。 NAT 裝置不支援 IPv6 流量,而是使用僅限傳出的網際網路閘道。如需更多詳細資訊,請參閱 輸出限定網際網路閘道。 注意 我們在此文件中使用 NAT 以遵循通用 IT 實務,但是 NAT 裝置的實際角色同時包含地址轉換和連接埠地址轉換 (PAT)。 AWS 提供兩種 NAT 裝置:「NAT 閘道」和「NAT 執行個體」。建議您使用 NAT 閘道,因為相較於 NAT 執行個體,NAT 閘道可提供較佳的可用性和頻寬。NAT 閘道服務也是一種受管服務,不需要您管理。NAT 執行個體從 NAT AMI 啟動。您可以選擇將 NAT 執行個體用於特別用途。---------------------------------------------------------
筆記:
以上面提到的 Bastion Host 為例,因為 DB Server 位於 Private Subnet 中,沒有與網際網路連線的能力,若今天需要透過網際網路來連外更新軟體,但仍不允許從外部網際網路連入該 DB Server,這時就可以架設 NAT 達成,所有 DB Server 對外連線的請求,都將透過 NAT。設定 NAT 有兩種方式,一種是新建一個 NAT (EC2) Instance,或是新建一 NAT Gateways。
NAT Gateways
官方介紹:
---------------------------------------------------------
您可以使用網路位址轉譯 (NAT) 閘道讓私有子網路中的執行個體連線至網際網路或其他 AWS 服務,但防止網際網路啟動與這些執行個體的連線。如需 NAT 的詳細資訊,請參閱「NAT」。
您將需要為您帳戶中建立及使用的 NAT 閘道支付費用。適用的費率為 NAT 閘道的每小時用量率及資料處理率。同時也適用 Amazon EC2 資料傳輸費。
如需詳細資訊,請參閱「Amazon VPC 定價」。 NAT 閘道不支援 IPv6 流量,而是使用僅限輸出的網際網路閘道。如需更多詳細資訊,請參閱 輸出限定網際網路閘道。
---------------------------------------------------------
---------------------------------------------------------
您可以使用網路位址轉譯 (NAT) 閘道讓私有子網路中的執行個體連線至網際網路或其他 AWS 服務,但防止網際網路啟動與這些執行個體的連線。如需 NAT 的詳細資訊,請參閱「NAT」。
您將需要為您帳戶中建立及使用的 NAT 閘道支付費用。適用的費率為 NAT 閘道的每小時用量率及資料處理率。同時也適用 Amazon EC2 資料傳輸費。
如需詳細資訊,請參閱「Amazon VPC 定價」。 NAT 閘道不支援 IPv6 流量,而是使用僅限輸出的網際網路閘道。如需更多詳細資訊,請參閱 輸出限定網際網路閘道。
---------------------------------------------------------
沒有留言:
張貼留言