AWS SOLUTION ARCHITECT ASSOCIATE (SAA-C03) 證照課程-VPC

by NickChi
AWS-Saa-C03

基本核心名詞

VPC核心名詞

如果一個外面的人要連進去你的EC2主機,會先經過第一道防火牆NACL,然後再經過第二道防火牆Security Group,才可以進入你的機器EC2。

NACL & Security Group 示意圖

我們會透過四個方向來探討VPC

  1. 搭建 (要如何建立 VPN)
  2. 連入 (外面的人要如何連入?)
  3. 連外的類型 (有哪些連線類型)
  4. 監控 (要如何監控)

搭建

  1. Global
  2. Region
  3. Availability Zone

在建立VPC的時候可以看到AWS的是個世界地圖(Global),並在世界地圖上可以看到很多地區(Region),這些地區上會有許多的機房(Availability Zone)。

AWS 的世界地圖

可以理解成有三大機房(Data Center)

真實業務狀況

在有些公司我們可以看到如果機器是在AZ1中,資料庫在AZ2中,這時候伺服器要跟Az2上的資料庫拿資料的時候,這流量就會收取費用,但如果把資料庫安裝置AZ1中,這時候拿資料就不會收取費用

口訣:同一個AZ之間不用錢,但跨AZ要開始收費

連入

第一代連入方式

第二代是透過瀏覽器的方式連入

這方法AWS 稱作 EC2 Instance Connect

第二代連入方式
第二代連入私網段方法

聯外

AWS主要提共的服務有兩種類型,第一種是在VPC裡面的服務譬如:EC2,這類型服務有個特色是資源是有上限的,第二種類型是VPC外面的(Out of VPC) 譬如:S3,這類型服務資源是無上限的有錢就好。

VPC內的服務要連到Out of VPC的服務可以透過VPC Endpoints

VPC內的服務要連到外面世界的網路服務則可透過NAT Gateway

VPC內的服務要連到別人的VPC服務則可透過Peering Connection

VPC內的服務要連到本地端的雲服務有兩種方式,第一種是透過VPC Connection,第二種是透過Direct Connect

聯外架構圖

考題解析

  1. An instance is launched into a VPC subnet with the network ACL configured to allow all inbound traffic and deny all outbound traffic. The instance’s security group is configured to allow SSH from any IP address and deny all outbound traffic. What changes need to be made to allow SSH access to the instance?
    1. The outbound security group needs to be modified to allow outbound traffic.
    2. The outbound network ACL needs to be modified to allow outbound traffic.
    3. Nothing, it can be accessed from any IP address using SSH.
    4. Both the outbound security group and outbound network ACL need to be modified to allow outbound traffic.

Security Group 出的時候不會阻擋,所以依照題目的設定應該把NACL的禁止出改成允許出。

相關文章

You may also like

Leave a Comment