AWS VPC 核心笔记(小白向)

发布于:2025-05-15 ⋅ 阅读:(15) ⋅ 点赞:(0)

AWS VPC 核心笔记(小白向)

一、核心组成:VPC = 云上的“私有网络”

组件名 类比 说明
VPC 小区 你在 AWS 上自定义的私有网络范围
子网(Subnet) 小区里的楼 子网是 VPC 的一个切分区域,决定资源的网络分布(公有/私有)
ENI(弹性网卡) 网线插口 每个 EC2 实例都有 ENI,决定它连在哪个子网上、IP 是多少
CIDR 门牌号规则 IP 地址的划分标准,例:192.168.16.0/24 表示 256 个地址(.0 到 .255)

二、访问公网的三件套

想让 EC2 实例访问互联网,你需要配齐这三样:

必要项 类比 说明
1. Internet Gateway(IGW) 小区出入口 没它就连不出 VPC
2. 路由表配置 导航指示牌 子网的流量需要指向 IGW (0.0.0.0/0 → IGW)
3. 公网 IP(Public IP / EIP) 门外显示的地址 没公网 IP,出得去别人也回不来

默认路由 = 0.0.0.0/0,代表“所有不在 VPC 内的地址”。

三、网络访问控制机制(SG vs NACL)

特性 安全组(SG) 网络 ACL(NACL)
是否状态检测 ✅ 是 ❌ 否
控制对象 EC2 实例(ENI) 子网
方向配置 默认双向(出=入) 必须单独配置入和出
规则数量 限制较少 规则数较多
使用场景 更细粒度控制(推荐) 粗粒度隔离

四、NAT:让私有子网访问公网(但不被访问)

类型 说明 特点
NAT Gateway(托管) AWS 管的,性能高,推荐 ✅ 自动扩展,需公网 IP,必须在公有子网
NAT Instance(自管) 自己建 EC2 做 NAT ❌ 需手动配置(需关掉 ENI 的 source/dest check)

为什么 NAT 网关不能和 EC2 在同一子网?
→ 因为 NAT 要放在公有子网里,用来“代理”私有子网的访问。

五、VPC Peering:VPC 与 VPC 之间通信的桥梁

特性 说明
是否跨 region 默认不行,需 inter-region peering
是否自动路由 ❌ 需手动为双方设置路由
安全组是否生效 ✅ 要显式配置对方 IP 段
是否支持转发 ❌ 不支持转发(无“中转”功能)

要点记忆:

  • Peering 是点对点桥梁
  • 双向通信 = 双向路由 + 安全组放行

六、其他概念快速扫盲

概念 说明
EIP(弹性 IP) 固定公网 IP,可绑定给任意 ENI
Main Route Table 子网若未明确绑定路由表,则默认用这个
VPN 跨 region 安全连接方式,流量加密
Direct Connect 和 AWS 机房直接拉一根网线,不加密
Transit Gateway 多 VPC/VPN 连接汇总器,支持中转、跨 region 通信
Blackhole Route 阻断某段地址的访问(有这条,但目标资源不存在)

高频考题总结速查表

题型 正确答案 理由
Default route 的目标? A. 0.0.0.0/0 表示所有非本地地址
新建子网绑定的路由表? A. Main route table 默认绑定主路由表
没公网 IP 的实例能 SSH 吗? A. 否 没公网 IP 无法从外部连入
运行中实例如何加公网 IP? B. 分配 EIP → 绑定 ENI 这是唯一可行方案
状态检测过滤的组件? A. SG, C. AWS Network Firewall 记住 SG 是 stateful
NAT Gateway 必须与 EC2 不同子网? ✅ 是 一个公有子网代理一个私有子网
VPC peering 要实现通信? A + D 双向路由 + 安全组

🧭 图示类比:VPC 是个小区

VPC = 小区
  ├─ 公有子网(靠近小区大门)
  │   └─ EC2 + 公网 IP → 可出入
  ├─ 私有子网(靠后,靠 NAT 网关)
  │   └─ EC2 + 无公网 IP → 只能出不能进
  ├─ IGW(Internet Gateway) = 小区大门
  ├─ 路由表 = 导航系统
  └─ Security Group = 每户门禁

建议记忆口诀

“出得去靠 IGW,进得来靠 IP;要通信先路由,安全组要放行。”

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布