我已经看了好几个小时的教程,读到眼睛都要流血了,但我似乎无法理解 Amazon VPC 是如何工作的。我按照教程多次创建和删除了带有 EC2 实例的整个 VPC 环境,但是一旦我去创建一个没有教程的环境,我就迷路了。
我试图提出一个类比来帮助我更好地理解。我到目前为止是这样的:
VPC就像一个Club。在俱乐部的前面,您有一个 入口,即IGW。在俱乐部内部,您有不同的区域;一般区域是公共子网, 管理区域是私有子网。
在一般区域内,您将有一个舞池/酒吧,相当于一个EC2 实例和一个接收区,管理人员可以在其中接收来自外部世界的交付和诸如此类的东西,即NAT。
然后在Management Area中,您将拥有一个Office、另一个EC2 Instance和您的Inventory,就像您的RDS一样。
到目前为止,我认为这是一个有点准确的类比,但是一旦我开始尝试在 SG、NACL、RT 等方面工作,我意识到我并没有完全掌握。
谁能帮我完成这个类比或提供一个更好的类比?我无计可施。
让我们使用您在家中已有的网络,而不是使用类比。
在您的家中,您可能有一个路由器和连接到路由器的各种设备。它们可能通过以太网电缆直接连接(例如 PC),也可能通过 wifi 连接(例如平板电脑、手机、Alexa)。您的家庭网络就像一个 VPC。您的各种设备连接到网络,所有设备都可以相互通信。
您还有某种盒子可以将您的路由器连接到Internet。这可能是电缆调制解调器、光纤路由器或(在过去)电话连接。这些盒子将您的网络 (VPC) 连接到 Internet,并且在功能上类似于Internet 网关。如果没有这些盒子,您的网络将无法与 Internet 通信。同样,没有 Internet 网关,VPC 也无法与 Internet 通信。
除了普通网络之外,一些家庭路由器还允许您广播访客网络。这是一个您可以为客人提供密码的网络,但他们无法访问您的整个网络——这对安全性有好处,因为他们无法窥探您的网络以试图窃取您的数据。这在概念上类似于拥有一个单独的子网——有两个网络,但路由规则 (NACL) 会阻止它们之间的流量以提高安全性。
家用路由器通常会阻止对您设备的传入访问。这意味着 Internet 上的人无法访问您的计算机、打印机、设备等。这很好,因为 Internet 上的许多机器人总是试图侵入您网络上的设备。但是,家庭路由器允许从您的设备到 Internet(例如网站)的出站请求,并且它足够智能,可以让响应返回到网络中。这相当于一个安全组,它具有确定允许哪些入站和出站请求的规则。安全组是有状态的,这意味着即使没有特别列出,它们也会自动允许返回流量。不同之处在于路由器充当安全组,而在 Amazon VPC 中,可以为每个单独的资源分配一个安全组(例如在每个资源上都有一个路由器)。
这并未涵盖 Amazon VPC 的所有功能,但它应该让您了解网络的实际行为方式。