VPC test 知识点

2018-10-13  本文已影响64人  K1024

VPC test 知识点

1

  1. Nat gateway 不能直接与vpc endpoints、vpn connections、AWS Direct Connect或者vpc peering connection进行流量互通,如果你的实例在private subnet中需要通过vpc endpoint、vpn、AWS Direct Connect连接,可以直接用private subnet的路由表直接路由到这设备上;
  2. 你不能直接从NAT gateway上通过VPC PEER/VPN/DC进行路由。NAT GATEWAY不能被这些连接的另一端直接使用;

2

  1. 任何的route table的local route不能被编辑或者删除;

3

  1. 无论任何时候一个subnet创建的时候,默认的都会与一个main route table关联,如果不同的路由表需要关联到一个subnet,我们需要显式的指定;
  2. 如果创建一个新的route table并设置了igw,那么只有与subnet关联,subnet中的instance才能访问网络;

4

  1. Endpoints只能在同样的区域被支持,你不能在vpc和managed service之间创建一个在不同region的endpoint

5

  1. Vpc endpoint有一个默认的policy允许所有的操作行为在S3上。我们可以限制访问特定的S3 bucket基于特定的策略。在这种场景下,对于访问新的bucket操作,VPC endpoints策略需要根据情况修改;
  2. 对于AWS IAM 的role/user 被用来访问S3 bucket需要进行IAM policy授权。如果IAM ROLE/USER不是一个管理员或者FULL S3权限,新的S3 bucket必须被加到IAM POLICY上。
  3. 在同一个region中,每个VPC ENDPOINT只有一个route table,这个route负责定义VPC endpoint访问S3的请求。

6

  1. 一个ACL会包含一组规则,这些规则是按照编号由小到大顺序排列。这些规则按照最小数字编号的规则生效,如果后续高数字编号的规则针对相同的地址/协议/端口进行设置,那么将被忽略;

7

  1. NAT GATEWAY必须创建在public subnet中,同时这个public subnet必须能连到internet上;
  2. NAT GATEWAY创建的时候自带elastic ip
  3. 你不能将一个SG关联一个NAT GATEWAY。你只能将SG与instance关联,控制他们的流量出入;

8

  1. 堡垒机Bastion一般部署在public subnet,用户访问不直接对外提供访问的instance;

9

  1. 堡垒机Bastion部署在云端的manage VPC的public subnet中,在自己公司的网络中可以通过vpn访问云端manage vpc中的堡垒机。管理vpc可以和application的VPC做peering连接,管理application vpc的private subnet中的instance;

10

  1. 安全组Security Group是有状态的,in/out只需要设置一个规则;SG是和instance关联的;
  2. ACL是无状态的,in/out规则都要设置才能生效;ACL是和subnet关联的;

11

  1. 安全组SG是有状态的,如果inbound和outbound设置的 source和destination规则不同,只要有一个符合访问请求规则就可以访问了。
  2. ACL是按照规则编号大小来看生效的顺序的,如果两个编号针对同一个协议端口进行设置,编号100的规则优于编号200的规则先生效;

12

  1. 默认的ACL是允许所有入站和出站的流量,与subnet关联
  2. 如果没有明确subnet与ACL关联,那么subnet将与默认的subnet关联
  3. 一个ACL可以与多个subnet关联,但是当删除subnet的时候,关联将被删除
  4. 可以自定义ACL,这类ACL默认是拒绝所有进出流量;
  5. ACL没有状态,入站出站需要分别定义规则,同时是按照数字编号由小到大的顺序排序,规则编号小的先生效;
  6. IPV4的每个ACL有一个编号为星*的规则,此规则确保数据包不匹配任何其他规则数据时拒绝该数据包;我们可以删除或者修改这个规则;
  7. IPV6的每个ACL有一个编号为星*的规则,这个规则不允许删除和修改,这个规则确保数据包不匹配任何规则的情况下流量被拒绝;
  8. 对于出站规则,发起请求的客户端会选择临时端口范围。根据客户端的操作系统不同,范围也随之更改。许多 Linux 内核 (包括 Amazon Linux 内核) 使用端口 32768-61000。生成自 Elastic Load Balancing 的请求使用端口 1024-65535。Windows 操作系统通过 Windows Server 2003 使用端口 1025-5000。Windows Server 2008 及更高版本使用端口 49152-65535。NAT 网关使用端口 1024 - 65535。例如,如果一个来自 Internet 上的 Windows XP 客户端的请求到达您的 VPC 中的 Web 服务器,则您的网络 ACL 必须有相应的出站规则,以支持目标为端口 1025-5000 的数据流。
  9. 对于HTTPS 443的入站规则被允许,但是出站的端口不是443,如上所述是需要使用临时的端口。所以设置出站端口443是错误的;

13

  1. VPC endpoint在VPC外部不被支持;
  2. VPC Endpoint不能被VPC的外部继承,外部的一般指 vpc peering、VPN、Direct connection、Classlink Connection

14

  1. SG的默认规则是允许outbound流量的,但是如果你指定了outbound的流量规则限制,流量将无法流出。
  2. 对于一个gateway endpoint,如果SG指定了outbound的流量被限制,你必须添加一个规则允许目标服务的前缀被访问,才能正常的进行流量输出;
  3. ACL也可以限制outbound的流量;

15

  1. 在VPC peering中不支持使用其他VPC中的NAT GATEWAY

16

  1. 创建一个SecurityGroup默认是支持所有outbound流量,但是没有inbound流量规则,所以来自其他instance的请求默认是不会被允许的;
  2. VPC peering支持跨region构建,走的都是AWS内部网络,只是在部分region支持。跨区构建才会有timeout这种场景出现。如果是ACL或者SG不允许访问,直接就是connect failed了。

17

  1. AWS默认针对每个subnet都保留了5个ip,如10.0.0.0-10.0.0.3和最后一个IP10.0.0.255
    1. 10.0.0.0:Network address
    2. 10.0.0.1:for VPC router
    3. 10.0.0.2:for DNS Server
    4. 10.0.0.3:for future use
    5. 10.0.0.255:network broadcast address

18

  1. Custom VPC不支持DNS HOSTNAME ENABLE,当你在这个VPC创建一个EC2的时候不会带private DNS name。你需要修改VPC的属性,设置dns hostname被设置为enable。
  2. DNS resolution是一个解决DNS HOSTNAME在AWS内部生效的能力,是通过AWS的DNS server。感觉有点类似我们管理host表;
  3. 自动赋予public IP这个事情如果是在public subnet中可以在操作的时候设定。如果是在private subnet中创建EC2,默认是disabled的;

19

  1. AWS的VPC支持增加第二个CIDR,同时CIDR一旦被创建就不能被修改。
  2. 使用VPC的第二个CIDR可以将VPC中的所有instance放到一个subnet中,就可以保证他们可以互相通讯了;

20

  1. 我们可以创建新的route table,并将其设置为主Route table。后续所有新创建的subnet就会默认关联新的主route table;

21

  1. VPC flow logs可以捕获VPC内网络接口的进出流量,Flow log被存储在Amazon Cloudwatch logs中。
  2. flow logs可以查看信息:<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>

22

  1. 在vpc peering中两个vpc中的subnet关联的路由必须构建指向对方CIDR的路由规则;

23

  1. SG中针对同一个来源如果设定了允许所有的tcp流量,那么额外设置80端口这类就属于重复设置了。

24

  1. IPV4 VPC支持构建第二个CIDR,默认的target 是local;
  2. VPC PEERING的target是 pcx-xxx;
  3. VPN connection的target是vgw-xxx;
  4. Direct Connection的target一般包含的是vgw-xxx;

25

  1. VPC FLOW logs捕获vpc内的进出流量,flow logs data被使用amazon Cloudwatch log存储,你可以再cloudwatch log中查看日志;
  2. 同时我们可以为一个vpc、一个subnet或者一个network interface创建flow log;这样方便我们定位具体问题;
上一篇下一篇

猜你喜欢

热点阅读