亚马逊 利用AWS VPC和IAM服务搭建高度安全的云环境
更新时间:2023-09-04 18:56:01 阅读量: 教育文库 文档下载
- 亚马逊官网推荐度:
- 相关推荐
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
利用AWS VPC和IAM服务搭建高度安全的云环境
DamonDeng 邓明轩
AWS 高级解决方案架构师
mingxuan@http://www.77cn.com.cn
©http://www.77cn.com.cn, Inc. and its affiliates. All rights reserved.
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
AWS全球基础设施
11 区域(Region) 30 可用区(AZ) 53 边缘站点
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
基础设施级别的高可用架构
Availability Zone 可用区
_ 每个region区域至少有两个可用区 _ 每个可用区都由多个数据中心组成
_ 可用区之间地理与网络都是独立设计与运营 _ 可用区直接网络延时保持在3ms以下 _ 可用区内延迟保持在0.5ms以下
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
gg336x280();0_0_0_0_0_0_1080_607.5-1080-0-28005-1080.jpg" alt="亚马逊 利用AWS VPC和IAM服务搭建高度安全的云环境" />
Deployment & Management
Application Services
Foundation Services
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
VPC介绍
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
什么是 Amazon VPC?
Virtual Private Cloud:虚拟私有云 在AWS上的私有隔离的网络空间 用户可以自定义虚拟网络拓扑
全面控制云上的网络资源(子网、路由、ACL、防火墙、VPN等)
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
VPC 基本组件
Amazon VPC
Virtual private
gateway Elastic network
interface
Subnet
VPN connection
Elastic IP
Router
Customer
gateway Internet
gateway
Direct Connect
Route table
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
VPC
Availability Zone A
Availability Zone B
VPC CIDR: 10.1.0.0 /16
VPC = Virtual Private Cloud 在AWS上的虚拟数据中心 自定义虚拟数据中心的地址段 (RFC 1918)
可以包含多个可用区(AZ) 如果没有自建VPC,AWS提供Default VPC
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
VPC 子网
在VPC内部划分子网段 一个子网只能在一个AZ中 通过安全控制列表(ACL)实现子网安全 子网路由
Default VPC 提供了一个默认子网
是否自动分配公网地址开关: 如果开启,此子网中的EC2实例在创建时可以自动分配动态公网IP
公有子网和私有子网
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
虚拟路由器 Virtual router
VPC CIDR: 10.1.0.0 /16
默认设置下(ACL不做限制),子网之间彼此互通
子网之间彼此互通是由一个虚拟路由器实现的,虚拟路由器连接所有子网并转发流量
在EC2虚拟机中,可以看到DHCP分配的默认网关地址是.1
虚拟路由器不需要配置
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
互联网网关 Internet gateway
AWS Public API Endpoints
Internet IGW = Internet Gateway VPC连接Internet的逻辑出口 Default VPC包含了一个IGW
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
路由表 Route table
AWS Public API Endpoints
Internet 包含有一系列的转发规则,即路由条目,用于决定流量的转发 一个子网关联一个路由表
控制子网路由,比如决定是否可以向互联网网关(IGW)或VPN网关(VGW)转发流量
一个路由表可以关联多个子网 一个子网只能关联一个路由表
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
弹性网卡 Elastic network interface
AWS Public API Endpoints
Internet ENI是EC2的虚拟网卡
在一个VPC中,默认设置下,每个EC2实例会有ENI,一个默认的 eth0 接口
ENI包含MAC地址,私有IP,以及关联的动态公网IP或EIP 非默认ENI可以变更关联到同一AZ的另一个EC2实例
通过ENI能实现什么?
–一个EC2实例连接两个子网 –多网卡、多IP –简单的HA
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
弹性IP (Elastic IP)
AWS Public API Endpoints
Internet EIP = 弹性IP 静态公网IP地址 可申请,可释放
释放后不保证能再申请到同一IP
在同一个Region内,EIP可以关联给任意一个EC2实例的网卡(ENI) 一个实例可以有多块网卡 一个网卡可以有多个IP
关联后,私有IP与EIP一一映射
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
网络访问控制列表
Network access control list
VPC Subnet with ACL
NACL = network access control list
实现子网的安全控制
无状态,流量控制需要编写出入双向规则
执行有顺序,按照规则编号
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
安全组 Security group
Security Group
安全组相当于EC2实例的防火墙
一个EC2实例最多可以关联5个安全组
安全组是实例级别的,不是子网级的
与防火墙一样,安全组是有状态的,只需要规定流量发起一侧的端口限制,出入向设置都支持
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
Network ACLs vs. security groups
应用于子网
无状态
Allow(白名单)(黑名单) 顺序执行 Security groups
Elastic Network interface
Security Group
应用到实例的 ENI
有状态
Allow only (白名单) 规则总体应用,无序
在一个VPC中,一个安全组可以依赖另一个安全组,实现嵌套
NACLs
and deny
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
VPN connection
VPN over the Internet
VGW = virtual private gateway VGW是一个逻辑的VPN网关,用于与物理数据中心建立VPN连接
也可以用于建立Direct Connect专线连接
在“CSDN线下沙龙广州站——亚马逊AWS云计算研讨会之云中的安全部署与开发运维”中, 邓明轩亚马逊AWS解决方案架构师,分享如何利用AWS云平台提供的一系列工具,如VPC虚拟专用网络、联合身份验证IAM等服务,设计、实施和管理一个高度安全的云端环境,保障应用系统在一个安全可控的环境中稳定运行。观众将会了解到使用AWS的VPC和IAM服务的一系列最佳实践方法。
VPC 安全控制
正在阅读:
亚马逊 利用AWS VPC和IAM服务搭建高度安全的云环境09-04
15S909 消防给水及消火栓系统技术规范规-图示11-21
综合练习题(答案版)02-29
新人教版初中物理(包含八年级上下册、九年级全一册)全册导学案04-06
仓库风险控制制度11-25
土地增值税试题及答案解析12-21
ARCGIS软件应用案例11-25
你不懂我,我不怪你11-03
- exercise2
- 铅锌矿详查地质设计 - 图文
- 厨余垃圾、餐厨垃圾堆肥系统设计方案
- 陈明珠开题报告
- 化工原理精选例题
- 政府形象宣传册营销案例
- 小学一至三年级语文阅读专项练习题
- 2014.民诉 期末考试 复习题
- 巅峰智业 - 做好顶层设计对建设城市的重要意义
- (三起)冀教版三年级英语上册Unit4 Lesson24练习题及答案
- 2017年实心轮胎现状及发展趋势分析(目录)
- 基于GIS的农用地定级技术研究定稿
- 2017-2022年中国医疗保健市场调查与市场前景预测报告(目录) - 图文
- 作业
- OFDM技术仿真(MATLAB代码) - 图文
- Android工程师笔试题及答案
- 生命密码联合密码
- 空间地上权若干法律问题探究
- 江苏学业水平测试《机械基础》模拟试题
- 选课走班实施方案
- 亚马逊
- 搭建
- 高度
- 利用
- 环境
- 安全
- 服务
- AWS
- VPC
- IAM
- 员工离职申请表(模版)
- 二级圆柱齿轮减速器设计计算说明书
- 新北师大版小学数学四年级上册《四 运算律:练习四》 优质课教学设计_1
- 易制爆化学品防盗抢防恐袭应急预案
- 加威46#抗磨液压油MSDS
- 党委选举选票标准及制作
- 标准军训SOP
- 地理商务星球版新版八年级下 《中国四大地理区域划分》习题
- 进气歧管绝对压力传感器的检测
- 昆山市企业职工录用备案花名册
- 人教版九年级数学上册第二十一章过关自测卷(含答案)
- 熊海虹主编《高等学校研究生英语综合教程 下》课后练习答案
- 第三篇 仪态礼仪修养
- 手术后标本病理学检查的有关规定及流程考核试题
- 几个C语言小程序
- 中级眼镜验光员理论知识综合练习(一)
- 广西大学成人高等教育教育毕业设计(论文)封面和任务书------
- 申请医师变更执业注册授权委托书(申请人不能来办理需提交)
- 压力容器型式说明
- 对组织部意见和建议