云网络开发人员指南

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/BOA207-A_developer_s_guide_to_cloud_networking-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 如今，网站的可访问性取决于强大的云网络。本讲座将为开发人员提供深入见解，帮助他们清楚地了解亚马逊云科技网络的基本原理，防止出现可怕的 "无法访问此网站 "错误信息。探索 VPC、子网、路由和安全组等亚马逊云科技重要组件，了解它们在云网络中的重要性。掌握构建可访问、可用的云应用程序和网站的方法和工具。架构师、开发人员和技术决策者都能从中获得启发，确保网站在云中保持可访问性。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1200字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 亚马逊云科技的全球基础设施 - Amazon Virtual Private Cloud（VPC）及安全基础知识 - 连接VPC资源的方法 - 混合连接技术 - 亚马逊云科技网络的可视化工具 在第一次投票中，德万询问观众每天大约花费多少时间在排查网络问题上。大部分人的回答是不到10%的时间。德万指出，这说明他们可能在背后有一个强大的网络工程团队来处理复杂的网络问题。 接下来，他简要介绍了亚马逊云科技的全球基础设施，这些基础设施可以用于部署应用程序和资源。亚马逊云科技在全球范围内拥有32个地理区域，并且还在不断新增更多地区。通过这些地区，客户可以将资源物理地放置在离用户较近的地方，从而实现较低的延迟。例如，针对欧洲用户的业务，将在法兰克福地区部署应用程序。 在每个亚马逊云科技地理区域中，包含多个隔离的位置，被称为可用区。截至目前，全球共有102个可用区，其中大多数地区至少有3个区域。可用区由一个或多个数据中心组成，以确保有弹性的、容错的基础设施。即使某个数据中心出现故障，其他数据中心仍能正常运行。 最后，亚马逊云科技拥有全球600多个服务点，用于支持诸如CloudFront、Route 53和Global Accelerator等内容交付服务。 提供更多信息,一个区域被定义为独特的地理区域，至少包含三个独立的可用性区域。当在像亚马逊云科技这样的平台上构建时，例如VPC，它会根据客户选择的区域来创建。VPC在整个区域范围内分布，而子网则存在于单个可用性区域中。为了实现高可用性，Amazon EC2实例可以被策略性地启动到多个可用性区域的子网中。如果一个可用性区域中的实例出现故障，流量可以路由到其他可用性区域的实例。 转向亚马逊VPC和安全基础，德瓦恩建议在利用VPC内的资源时要使用私有的RFC1918 IP地址。然而，公共亚马逊服务，如[Amazon Simple Storage Service](https://aws.amazon.com/cn/s3/?trk=cndc-detail) (S3)和[Amazon DynamoDB](https://aws.amazon.com/cn/dynamodb/?trk=cndc-detail)使用通过互联网可达的公共IP。因此，在没有显式配置的情况下，VPC无法访问互联网或亚马逊公共服务。这种隔离默认提供了一个安全的环境。 亚马逊VPC的一个关键好处是使用多个IPv4和IPv6 CIDR块的能力。这为大型部署（如Kubernetes集群）提供了足够的IP地址。创建子网时，可以选择仅使用IPv4、同时包含IPv4和IPv6的双栈，或者仅使用IPv6。IPv6子网会从亚马逊那里获得标准的/56地址块，提供超过250万亿个IP。 德瓦恩还涵盖了关于IP地址的重要细节。每个子网都有五个预留的IP地址用于内部目的，剩下的IP地址可供实例使用。这些预留地址包括标识子网的网络地址、VPC路由器、Route 53 DNS解析器、一个亚马逊预留地址和一个广播地址。与需要在每个子网之间添加路由器的传统网络不同，VPC具有一个主路由表，使所有子网能够在无需额外配置的情况下进行通信。安全组，而不是子网，主要控制实例级别的访问。 谈到访问互联网，需要三个组件。首先，一个互联网网关必须连接到VPC。一个VPC只能有一个互联网网关，而一个网关可以连接到只有一个VPC。其次，实例需要有分配的公共IPv4或IPv6地址。第三，路由表需要一个到互联网网关的路由。 互联网网关执行1:1 IPv4地址转换，将实例的私有IP映射到公共IP。对于IPv6，实例已经有唯一的全球地址，可以从互联网访问。 1. 为实例分配公共IP地址。 2. 配置安全组以允许所需的通信。 3. 确保网络ACL允许到子网的流量。 4. 将互联网网关附加到VPC。 5. 将公共子网路由表添加到互联网网关。 接下来，他谈到了VPC端点。这些端点提供了一种从VPC内部访问亚马逊云科技服务的私人通道，而不使用互联网网关、NAT网关或VPN。存在两种类型的VPC端点：网关端点和接口端点。 网关端点目前支持S3和DynamoDB。它们使用进入网关端点的条目来允许私有IP通信，同时消除VPC之间和S3之间的数据传输费用。 接口端点利用了亚马逊云科技的PrivateLink技术。它们在您的子网内为每个服务创建一个具有私有IP的弹性网络接口。这使得与超过200个亚马逊云科技服务（如CloudWatch）进行通信成为可能，而无需穿越公共互联网。 关于VPC之间的连接，Dewan推荐使用了亚马逊云科技的Transit Gateway来管理数千个VPC和内部网络的连接。Transit Gateway支持最多5000个VPC附件和每个可用区100 Gbps。他还指出，PrivateLink还可以实现在跨账户和VPC的服务上的单向使用。 对于混合连接，Dewan概述了使用VPN网关、亚马逊云科技Direct Connect和Transit Gateway的方法。VPN网关附接到一个VPC并建立一个到内部网络的加密站点到站点VPN隧道。Direct Connect通过合作伙伴提供专用的私人连接。Transit Gateway通过集中化VPN和Direct Connect链接简化了管理混合网络。 最终，德万从研究解决故障挑战开始，涉及到了网络可视性。安全组和网络访问控制列表成为了最大的难题。接着，他阐述了两种流量检测方法——VPC流日志和VPC流量镜像。流日志记录了来源、目的地、端口和协议等元数据，以便分析网络模式和主要对话者。流量镜像将实际数据包复制到其它工具中，以便在高速达100Gbps的每个弹性网络接口上进行深入检查。可达性分析器通过模拟网络路径来验证预期的连接。总的来说，德万总结道，他的目标是为开发者、工程师和架构师在亚马逊云科技上的云计算网络提供简化方案。他讨论了基础设施、VPC连接性、混合链接以及开发人员在亚马逊云科技上成功部署应用程序所需的视觉工具。 **下面是一些演讲现场的精彩瞬间：** 1的地址转换，使具有私有IPv4地址的实例可以使用公共IP地址通过互联网进行通信。  亚马逊云科技支持的能力分析器可以帮助您诊断问题并添加路由以启用互联网通信。  ## 总结 一位演讲者正向开发者阐述亚马逊云科技的云计算网络理念。首先，他对全球的亚马逊云科技基础设施进行了概括，包括各个区域、可用区以及边缘节点。接着，他详细解释了[Amazon VPC](https://aws.amazon.com/cn/vpc/?trk=cndc-detail)的核心概念，如子网、路由、安全组和网络访问控制列表。同时，也探讨了连接互联网以及在VPC之间建立连接的方法，包括了NAT网关、VPC对等互联和传输网关等技术。在讨论混合连接时，他还分析了VPN、Direct Connect和传输网关等选择方案。最后，他介绍了一些用于监控网络流量的工具，例如VPC流日志和流量镜像等功能。核心要点在于利用区域/可用区的优势来实现高可用性，运用安全组来保障实例的安全性，通过路由控制实现公共/私密的访问，以及利用各种工具进行故障排查和监控。目的是简化云计算网络，让开发人员能够更专注于应用程式的开发。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")