AWS高級網路官方學習指南

涵蓋AWS高級網路認證的考試目標： ● 使用AWS設計、開發和部署基於雲的解決方案 ● 根據架構更佳實踐實施核心AWS服務 ● 為所有AWS服務設計和維護網路架構 ● 利用工具自動化AWS網路任務 ● 大規模設計和實施混合IT網路架構 ● 設計和實施AWS網路 ● 自動化AWS任務 ● 配置與應用程式服務的集成網路 ● 為保證安全及規範而進行設計和實施 ● 管理、最佳化和排除網路故障。

1.1 AWS全球基礎設施 1

1.1.1 區域 2

1.1.2 可用性區域 2

1.1.3 邊緣節點 3

1.2 Amazon虛擬私有雲 3

1.2.1 Amazon VPC的運作機制 3

1.2.2 Amazon VPC以外的服務 4

1.3 AWS網路服務 5

1.3.1 Amazon彈性計算雲 5

1.3.2 Amazon虛擬私有雲 6

1.3.3 AWS直連 6

1.3.4 彈性負載均衡 6

1.3.5 Amazon Route 53 6

1.3.6 Amazon CloudFront 6

1.3.7 GuardDuty 7

1.3.8 AWS WAF 7

1.3.9 AWS Shield 7

1.4 本章小結 7

1.5 複習資源 7

1.6 考試要點 8

1.7 練習 8

1.8 複習題 9

2.1 Amazon VPC簡介 13

2.2 子網 16

2.3 路由表 18

2.4 IP位址訪問 19

2.4.1 IPv4地址 19

2.4.2 IPv6地址 20

2.5 安全組 21

2.6 網路訪問控制列表(ACL) 23

2.7 網際網路網關 24

2.8 網路地址轉換(NAT)實例與NAT網關 25

2.8.1 NAT實例 26

2.8.2 NAT網關 26

2.9 單出口網際網路網關 27

2.10 虛擬私有網關、客戶網關以及虛擬私有網路 28

2.11 VPC端點 29

2.12 VPC夥伴連線 30

2.13 置放組 32

2.14 彈性網路接口 33

2.15 DHCP選項集 33

2.16 Amazon DNS伺服器 34

2.17 VPC流日誌 34

2.18 本章小結 36

2.19 複習資源 38

2.20 考試要點 38

2.21 練習 40

2.22 複習題 42

3.1 VPC端點 45

3.1.1 VPC端點與安全 46

3.1.2 VPC 端點策略 46

3.2 VPC端點概述 46

3.2.1 網關VPC端點 46

3.2.2 接口VPC端點 47

3.3 網關VPC端點 47

3.3.1 Amazon S3端點 47

3.3.2 Amazon DynamoDB端點 49

3.3.3 在遠程網路上訪問網關端點 49

3.3.4 保護網關VPC端點 50

3.4 接口VPC端點 50

3.4.1 針對客戶與合作夥伴服務的AWS私有連結 51

3.4.2 比較AWS私有連結與VPC夥伴網路 52

3.4.3 AWS私有連結服務商考慮事項 53

3.4.4 AWS私有連結服務消費者考慮事項 54

3.4.5 訪問共享服務VPC 54

3.5 轉遞路由 55

3.6 IP選址功能 58

3.6.1 調整VPC大小 58

3.6.2 VPC調整考慮事項 59

3.6.3 IP位址功能 60

3.6.4 跨賬戶網路接口 60

3.7 本章小結 61

3.8 考試要點 61

3.9 複習資源 62

3.10 練習 63

3.11 複習題 68

4.1 VPN簡介 73

4.2 站點對站點VPN 74

4.2.1 使用VGW作為VPN終止端點 74

4.2.2 將EC2實例用作VPN終止端點 80

4.2.3 戶區域網路絡的VPN終止端點(客戶網關) 87

4.3 客戶端到站點(client-to-site)VPN 88

4.4 設計方案 90

4.5 本章小結 92

4.6 考試要點 93

4.7 複習資源 94

4.8 練習 95

4.9 複習題 98

5.1 AWS直連概述 101

5.2 物理連線 102

5.2.1 AWS直連地點 102

5.2.2 專用連線 102

5.2.3 準備流程 103

5.2.4 AWS直連合作夥伴 105

5.3 邏輯連線 106

5.4 彈性連線 109

5.4.1 單連線 109

5.4.2 雙連線：單個地點 110

5.4.3 單連線：雙地點 110

5.4.4 雙連線：雙地點 111

5.4.5 虛擬接口配置 111

5.4.6 雙向轉發檢測 112

5.4.7 VPN與AWS直連 112

5.5 計費 115

5.5.1 連線埠-小時 115

5.5.2 數據傳輸 115

5.6 本章小結 116

5.7 考試要點 117

5.8 複習資源 117

5.9 練習 117

5.10 複習題 119

6.1 域名系統與負載均衡簡介 121

6.2 域名系統 121

6.2.1 DNS概念 122

6.2.2 DNS解析步驟 124

6.2.3 記錄類型 125

6.3 Amazon EC2 DNS服務 127

6.3.1 Amazon EC2 DNS與Amazon Route 53 129

6.3.2 Amazon EC2 DNS與VPC夥伴網路 129

6.3.3 與簡單活動目錄一起使用DNS 129

6.3.4 自定義DNS解析器 130

6.4 Amazon Route 53 131

6.4.1 域名註冊 132

6.4.2 轉移域名 133

6.4.3 域名系統服務 133

6.4.4 託管區 134

6.4.5 支持的記錄類型 135

6.4.6 路由策略 135

6.4.7 簡單路由策略 135

6.4.8 權重路由策略 136

6.4.9 基於延遲的路由策略 136

6.4.10 故障轉移路由策略 136

6.4.11 地理位置路由策略 137

6.4.12 多值應答路由策略 138

6.4.13 路由DNS的數據流 139

6.4.14 地理鄰近路由策略(僅針對數據流) 139

6.4.15 關於健康檢查的更多知識 140

6.5 彈性負載均衡 142

6.5.1 負載均衡器的類型 143

6.5.2 彈性負載均衡的概念 148

6.5.3 彈性負載均衡器的配置 149

6.6 本章小結 153

6.7 考試要點 154

6.8 複習資源 156

6.9 練習 156

6.10 複習題 160

7.1 Amazon CloudFront簡介 163

7.2 內容分發網路簡介 163

7.3 AWS CDN：Amazon CloudFront 164

7.3.1 Amazon CloudFront基礎 164

7.3.2 Amazon CloudFront如何分發內容 165

7.3.3 Amazon CloudFront邊緣節點 168

7.3.4 Amazon CloudFront區域邊緣快取 168

7.3.5 Web配送 169

7.3.6 動態內容以及高級功能 169

7.3.7 HTTPS 173

7.3.8 Amazon CloudFront與AWS證書管理器 174

7.3.9 失效對象(僅適用於Web配送) 174

7.3.10 Amazon CloudFront與AWS Lambda@Edge 175

7.3.11 Amazon CloudFront欄位級加密 175

7.4 本章小結 176

7.5 考試要點 176

7.6 複習資源 177

7.7 練習 177

7.8 複習題 180

8.1 監管 184

8.1.1 AWS組織 184

8.1.2 AWS CloudFormation 184

8.1.3 AWS服務目錄 185

8.2 數據流安全 186

8.2.1 邊緣節點 186

8.2.2 邊緣節點與區域 189

8.2.3 區域 193

8.3 AWS安全服務 198

8.3.1 Amazon GuardDuty 198

8.3.2 Amazon檢查器 198

8.3.3 Amazon Macie 198

8.4 檢測與回響 199

8.4.1 SSH登錄嘗試 199

8.4.2 網路數據流分析 201

8.4.3 IP信譽度 203

8.5 本章小結 204

8.6 複習資源 205

8.7 考試要點 207

8.8 練習 208

8.9 複習題 210

9.1 網路性能基礎 213

9.1.1 頻寬 213

9.1.2 延遲 214

9.1.3 抖動 214

9.1.4 吞吐量 214

9.1.5 數據包丟失 214

9.1.6 每秒數據包數 214

9.1.7 傳輸單元 215

9.2 Amazon EC2網路特點 215

9.2.1 實例網路 215

9.2.2 增強型網路 216

9.3 性能最佳化 218

9.3.1 增強型網路 218

9.3.2 巨型幀 218

9.3.3 網路信用 218

9.3.4 實例頻寬 219

9.3.5 數據流性能 219

9.3.6 負載均衡器性能 219

9.3.7 VPN性能 219

9.3.8 AWS直連性能 220

9.3.9 VPC中的服務質量(QoS) 220

9.4 示例套用 220

9.4.1 高性能計算 221

9.4.2 實時媒體 221

9.4.3 數據處理、攝入以及備份 221

9.4.4 戶內數據傳輸 222

9.4.5 網路設備 223

9.5 性能測試 223

9.5.1 Amazon CloudWatch度量 224

9.5.2 測試方法 225

9.6 本章小結 226

9.7 複習資源 226

9.8 考試要點 227

9.9 練習 228

9.10 複習題 233

10.1 自動化網路簡介 239

10.2 基礎設施即代碼 239

10.2.1 模板與堆疊 240

10.2.2 堆疊依賴 242

10.2.3 錯誤與回滾 245

10.2.4 模板參數 247

10.2.5 通過變更集驗證更改 249

10.2.6 保留資源 249

10.2.7 配置非AWS資源 250

10.2.8 安全實踐 251

10.2.9 配置管理 252

10.2.10 持續遞送 252

10.3 網路監控工具 254

10.3.1 監控網路健康度量 254

10.3.2 為異常事件創建報警 256

10.3.3 收集文本日誌 257

10.3.4 將日誌轉換為度量 259

10.4 本章小結 259

10.5 考試要點 260

10.6 複習資源 261

10.7 練習 261

10.8 複習題 266

11.1 服務要求簡介 269

11.2 彈性網路接口 269

11.3 AWS Cloud服務及其網路要求 269

11.3.1 Amazon WorkSpaces 269

11.3.2 Amazon AppStream 2.0 270

11.3.3 AWS Lambda (在VPC中) 270

11.3.4 Amazon EC2容器服務(Amazon ECS) 271

11.3.5 Amazon EMR 272

11.3.6 Amazon關係型資料庫服務(Amazon RDS) 273

11.3.7 AWS資料庫遷移服務(AWS DMS) 273

11.3.8 Amazon Redshift 273

11.3.9 AWS Glue 274

11.3.10 AWS Elastic Beanstalk 274

11.4 本章小結 275

11.5 考試要點 276

11.6 複習資源 276

11.7 練習 277

11.8 複習題 279

12.1 混合架構簡介 283

12.2 套用架構 284

12.2.1 三層Web應用程式 284

12.2.2 活動目錄 286

12.2.3 域名系統(DNS) 287

12.2.4 需要持續網路性能的套用 287

12.2.5 混合操作 288

12.2.6 遠程套用：Amazon工作區 289

12.2.7 套用存儲訪問 289

12.2.8 套用網際網路訪問 292

12.3 在AWS直連上訪問VPC端點以及客戶託管端點 292

12.4 在混合IT中使用轉遞路由 295

12.4.1 轉遞VPC架構考量 296

12.4.2 轉遞VPC場景 299

12.5 本章小結 301

12.6 考試要點 303

12.7 複習資源 304

12.8 練習 304

12.9 複習題 307

13.1 網路故障排除簡介 311

13.2 故障排除方法 311

13.3 網路故障解決工具 312

13.3.1 傳統工具 312

13.3.2 AWS自帶工具 312

13.4 故障排除常見場景 314

13.4.1 網際網路連線 314

13.4.2 VPN 314

13.4.3 IKE階段1和IKE階段2故障排除 315

13.4.4 AWS直連 316

13.4.5 安全組 316

13.4.6 網路訪問控制列表(ACL) 316

13.4.7 路由 317

13.4.8 VPC夥伴連線 317

13.4.9 AWS Cloud服務相關的連線 318

13.4.10 Amazon CloudFront連線 318

13.4.11 彈性負載均衡功能 319

13.4.12 域名系統 319

13.4.13 達到服務限制 320

13.5 本章小結 320

13.6 考試要點 320

13.7 複習資源 321

13.8 練習 322

13.9 複習題 324

14.1 計費簡介 327

14.1.1 服務或連線埠小時費用 328

14.1.2 數據傳輸類型 329

14.1.3 場景 331

14.2 本章小結 334

14.3 考試要點 334

14.4 複習資源 335

14.5 練習 335

14.6 複習題 336

15.1 一切從威脅建模開始 339

15.1.1 規範與範圍 340

15.1.2 審計報告和其他檔案 340

15.2 所有者模型與網路管理角色 341

15.3 控制對AWS的訪問 341

15.3.1 AWS組織 343

15.3.2 Amazon CloudFront配送中心 343

15.4 加密選項 343

15.4.1 AWS API調用與網際網路API端點 343

15.4.2 選擇加密套件 344

15.4.3 AWS環境傳輸過程中的加密 344

15.4.4 在負載均衡器和Amazon CloudFront PoP中進行加密 345

15.5 網路活動監控 345

15.5.1 AWS CloudTrail 345

15.5.2 AWS Config 346

15.5.3 Amazon CloudWatch 347

15.5.4 Amazon CloudWatch日誌 347

15.5.5 Amazon VPC流日誌 348

15.5.6 Amazon CloudFront 348

15.5.7 其他日誌源 349

15.6 惡意活動檢測 349

15.6.1 AWS Shield以及反DDoS手段 349

15.6.2 AWS VPC流日誌分析 350

15.6.3 Amazon CloudWatch報警以及AWS Lambda 351

15.6.4 AWS套用市場以及其他第三方產品 351

15.6.5 Amazon Inspector 352

15.6.6 其他合規檢查工具 352

15.7 滲透測試以及脆弱性評估 353

15.7.1 滲透測試授權範圍和例外 353

15.7.2 申請和接收滲透測試授權 353

15.8 本章小結 355

15.9 考試要點 355

15.10 複習資源 356

15.11 練習 357

15.12 複習題 360

16.1 場景和參考架構簡介 363

16.2 混合網路場景 363

16.3 多地點彈性恢復 366

16.4 本章小結 369

16.5 複習資源 370

16.6 考試要點 371

16.7 練習 371

16.8 複習題 373

Sidhartha Chauhan，Amazon Web Services解決方案架構師 ，Sidhartha與企業客戶合作，設計高度可擴展的雲架構。他對計算機網路技術有著特殊的愛好，並擁有北卡羅來納州立大學計算機網路碩士學位，以及各種行業領先的認證。在加入Amazon 之前，Sidhartha曾與一家大型電信機構合作設計大型區域網路(LAN)/廣域網(WAN)。在業餘時間，Sidhartha為一支獲獎的紐約印第安樂隊彈吉他，他還喜歡攝影和健身。James Devine，Amazon Web Services解決方案架構師，使用AWS設計解決方案，幫助那些正在改變世界的非營利客戶，這正是讓James保持源動力的原因。他擁有阿勒格尼學院計算機科學學士學位和史蒂文斯理工學院計算機科學碩士學位。在加入AWS之前，James是MITRE 公司(一家非營利政府承包商)的高級基礎設施工程師，他利用自己在基礎設施方面的技能幫助各種政府組織解決一些棘手的問題並從中認識到雲計算的價值。Alan Halachmi，Amazon Web Services解決方案架構高級經理，Alan領導著一支專業解決方案架構師團隊，為公共部門客戶提供支持。這些專家在地理空間信息系統(GIS)、高性能計算(HPC)和機器學習等領域具備深厚的專業知識。Alan在網路和安全領域支持全球的公共部門組織。他持有認證信息系統安全專家(CISSP)證書以及六個AWS認證。他參與了解決方案架構師-助理考試、解決方案架構師-專業考試和高級網路-專項考試的開發。此外，他還撰寫了多篇關於網路和安全融合點的AWS白皮書。在加入Amazon 之前，他曾擔任過多個領導職位，主要負責私營部門中那些已成立公司和創業公司的國土保護和身份識別系統。Alan擁有杜克大學網路通信和信息安全學士學位。在業餘時間，他喜歡家庭生活和擺弄新玩具。Matt Lehwess，Amazon Web Services首席解決方案架構師，Matt在網路服務提供商領域擔任網路工程師多年，在亞太地區和北美建立了大型廣域網，部署數據中心技術及相關網路基礎設施。因此，他主要在家裡對Amazon VPC、AWS直連以及Amazon 其他基礎設施的產品和服務等領域展開工作。Matt也是一名AWS公共演講家，他喜歡花時間幫助客戶使用AWS雲平台解決龐大規模引起的問題。在工作之餘，Matt是狂熱的室內外攀岩愛好者，也是衝浪愛好者。當他懷念家鄉澳大利亞的海浪時，就會從加利福尼亞舊金山的家中去聖克魯斯，這樣很快就能緩解任何想家的感覺。Nick Matthews，Amazon Web Services高級解決方案架構師，Nick領導AWS合作夥伴支持組織的網路部門。他幫助AWS合作夥伴創建新的網路解決方案，並幫助傳統網路產品在AWS上工作。他喜歡幫助AWS客戶設計他們的網路以實現可擴展性和安全性。Nick還在行業活動中演講網路和安全方面的實踐。在加入Amazon 之前，Nick在思科工作了10年，主要從事IP語音(VoIP)、軟體定義網路(SDN)和路由技術(思科認證網際網路專家)。他成立了網路可程式性用戶組(npug.net)，幫助用戶使用SDN和編程網路設備。在業餘時間，他喜歡美食、暢飲和打沙灘排球。Steve Morad，Amazon Web Services解決方案構建者高級經理，Steve擁有伊利諾州惠頓學院(Wheaton College)的計算機科學學士學位和維吉尼亞理工大學(Virginia Tech)的工商管理碩士學位。他從大學畢業後就開始了自己的職業生涯，並參加了馬戲團。此後，他在娛樂、金融服務和技術行業獲得了系統管理、開發和體系結構方面的經驗。Steve作為首席解決方案架構師，為各種規模和成熟度級別的客戶提供了長達五年的支持，並在AWS網路和安全領域擁有次強專項。他幫助開發了解決方案架構師助理、開發人員助理、系統操作助理、解決方案架構師專業、DevOps專業和網路專項等各種考試。Steve也是一名AWS公共演講家，他已經開發了與網路相關的技術文章、白皮書和參考實踐。Steve目前是AWS解決方案構建者部門的高級經理。在工作之外，他喜歡助教足球守門員和觀看孩子們的各種音樂合奏表演。Steve Seymour，Amazon Web Services首席解決方案架構師，Steve是AWS團隊中主要的解決方案架構師和網路專家，覆蓋歐洲、中東和非洲。他利用自己的網路專業知識幫助各種規模的客戶，從快速成長的創業公司到世界大型企業，通過AWS網路技術，滿足並超越業務需求。Steve在企業基礎設施、數據中心實施和複雜IP通信需求的遷移項目方面擁有超過15年的工作經驗。他熱衷於運用這種經驗幫助客戶在AWS上取得成功。Steve喜歡戶外活動， 定期執教划船項目，每次旅行都會參加網路尋寶活動。