干得好。自从我本月开始在 AWS 上工作以来,已经过去了六个月。我只参与了一次设计和构建任务,因此我尝试创建一个多可用区基础架构作为审查。
详情点击这里↓
一边检查控制台画面上的各设定项目,一边理解意思,并且打算构筑,
对于有经验的工程师来说,这是正确的设置吗?我设置错了吗?我很担心。
所以我请了一位资深工程师,他有丰富的工程师经验,专攻AWS。
这是我们审查的内容的摘要。我也会保留你的问题的答案作为纪念品。 (本文为个人文章,如果觉得奇怪,请指出。)
关于多可用区配置
这是我创建的配置。从 Internet 网关到 ALB,我们使用了堡垒服务器并将实例放置在两个 AZ 的私有子网中。
配置审查
→ 如果安装 ALB,则不需要垫脚石服务器。跳板的存在理由是用来将私有EC2从PC进入跳板和从跳板。
多可用区配置也不错,但三可用区配置更好。这是因为 AZ 是数据中心,所以如果一个 AZ 发生故障,负载将集中在另一个实例上。如果您考虑最坏的情况,最好具有三种配置。
ALB 和 RDS 数据库子网的三个可用区配置相同。
关于网络设置
关于安全组临时端口
使用自定义 TCP 将其设置为 1024-65535。我没有过多考虑教材中的内容就进行了设置,但这是一个可怕的错误。
→1024~65535的端口范围设置有点粗略。不是基于最小特权原则。
使用哪个端口由软件决定。如果要进入Windows服务器,请以RDP为协议,3389为端口号连接。对于 Linux,协议是 SSH,端口 22。
(虽然它不在捕获中)如果源类型是“任何地方”,则它是完全开放的,您可以从世界任何地方进入。 .如果您只想使用PC登录,则需要将其设置为“自定义TCP”并设置您家庭Wi-Fi的GIP。
基本上,不要将其设置为“任意设置”。这就像晚上睡觉时打开前门和窗户一样危险。因此,您应该只打开必要的端口号。
EC2设置相关
关于实例密钥对
→有两个密钥对。有 RSA 和 ED25519,但 ED25519 的加密强度更强。顺便说一句,对 Teraterm 使用 .pem,对 (Linux) ppk 使用 WinScp 和 PuTTY。 (视窗)
* 其他,字符表示法
计算机→CPU
AMD→AMD
手臂→手臂
关于安装在公共子网中的 EC2 的公共 IP
→ 如果不直接暴露EC2,或者想通过ALB、cloudfront等,设置EC2公网IP为自动分配。 (每次启动 EC2 时自动分配 AWS。)
如果您直接发布到 EC2,请将 EIP 分配给 EC2。
关于 EC2 路由表
这是私有子网的路由表。在路由表中,设置了其他 EC2 的地址,以便可以路由到其他 EC2。
→ 如果目的地选择VPC,则无需设置EC2所属的EC2的IP地址,因为目的地的IP地址已包含在VPC中。
此外,私有子网的路由表没有 Internet 网关路由。如果设置,请在公共子网的路由表中设置。因此,以下三个路线是不必要的。 (互联网网关,2 个 EC2 地址)
我不太明白加密/解密中“解密”的含义......
→解密的含义是使用密钥来解密代码。既然是解密返回纯文本的工作,那这个工作就叫做“解密”。解密不使用“启用”。 (本质上是扁平化的文化)
我不太明白S3和RDS处理的数据有什么区别,这是什么?
RDS 代表关系数据库服务。在需要数据库(MySQL、Postgres 等)时使用。
S3 就像一个存储文件的地方。 Google 的 Drive,或 Microsoft 的 OneDrive,充当类似于 Dropbox 的文件共享工具。
顺便说一句,如果您想在 AWS 上发挥 RDS 的性能,请选择 Aurora。
ACM 的具体作用是什么?
通常用作服务器证书。证书可以由证书颁发机构免费颁发。
它是人类的驾驶执照,是身份验证文件。服务器端显示它以确定它是可疑站点还是真实站点。
示例:cloudinfra 域不是假的。这是一个证明它是真实的。
httpsはリクエストとリクエストの中身を暗号化する時に証明書が使われます。怪しいサイトの場合はアドレスバーが真っ赤になるのでACMをつけたALBが身分証明書を出しているのと同じ役割をします。
关于域和子域注册
向 ACM 注册会注册原始域。同时注册“*.〇〇.com”。 * 表示所有子域,因此最好在注册原始域时注册它们。
关于 ALB 设置
和RDS的子网组一样,这里最好也配置3个AZ。另外,由于目标组中使用的端口是用于内部通信的,因此基本上使用http协议端口80。
一般情况下,目标组不使用 https 协议端口 443。 (来自 Internet 网关的 ALB 是 https 安全的。)
使用 ALB 和使用垫脚石有什么区别?
跳板的存在理由是用于将私有EC2从PC进入跳板和从跳板。使用 ALB 时,您不需要垫脚石。
使用跳板时使用端口22,使用ALB时ALB使用端口80或443,所以首先使用目的不同。
ALB 用于分支点以分配负载。当客户端发出请求时,目标是设置 ALB 时选择的 AZ 子网。
另外,在配置图中放置ALB图标时,至少要选择两个AZ,所以在两个AZ中放置两个图标。
如果您设置了 ALB 重定向并且它使用 https 进行重定向,那么从一开始就将其设置为 https 会更好吗?
您可以在 ALB 设置中从一开始就使用 HTTPS 设置侦听器。但是,如果用户使用 https 搜索会很好,但大多数用户不会这样做,即使他们使用 http 搜索,他们也会收到错误屏幕。
在大多数情况下,如果您通过链接或收藏进行搜索,则会使用 https 进行请求,因此没有什么特别的问题。但是,如果你直接在地址栏中点击域,则默认会通过http搜索。因此,最好使用 http 端口进行 ALB 并设置重定向。
关于为 Route53 创建托管区域
关于域和托管区域,我正在考虑 Route53。
・域名=公司名称
・域名提供者=法人注册地法务局
・名称服务器=电话号码
・主机区=发行电话号码的公司,例如NTT
→ 这有点不同。
托管区域就像电话簿或地址簿。管理托管区域的名称服务器。您将成为 NTT 等的电话簿和地址簿的管理员。
将 NS 类型记录的域视为公司名称,以及管理该公司名称的电话簿的四个名称服务器。
具有子域的记录(A 类记录的域)是大阪分公司、分公司和办事处。并且有四个名称服务器管理整个公司的电话号码。
<我自己的解释>
在法务局(域名提供者)申请公司名称(域名),创建名称服务器(电话簿管理器),并注册电话簿管理器,因为法务局(域名提供者)必须配合。需要。
完成此操作后,您可以使用主机区域(电话簿)中的 A 记录为每个区域分配 IP 地址。这是为每个分支机构分配电话号码的图像。
非常感谢!
如果只是书籍和教材,我觉得我知道。 .但是,当我这次构建它并收到评论时,我注意到了很多事情。
基本的东西,依稀记得每个服务的作用,以及控制台屏幕上的每个项目都做了什么样的设置←这是最大的事情。每天只有勤奋!
这次配合审稿的工程师用非常通俗易懂的方式教我。非常感谢! !
我也写了这篇文章!请阅读!
相关文章
参考网站
原创声明:本文系作者授权爱码网发表,未经许可,不得转载;
原文地址:https://www.likecs.com/show-308628793.html