一、VPC 基础架构

1. VPC 概述
2. 逻辑隔离的 AWS 网络，类似传统 VLAN。
3. CIDR 范围：/16（65,536 IP）到 /28（16 IP）。

4. 单个区域最多支持 5 个 VPC。

5. 子网（Subnets）

6. 划分 VPC IP 地址范围，必须位于单个可用区（AZ）。
7. 公有子网：关联 Internet Gateway（IGW），支持直接访问互联网。
8. 私有子网：通过 NAT 网关/实例间接访问互联网。

9. 保留 IP：每个子网预留 5 个 IP（首尾地址）。

10. 路由表（Route Table）

11. 定义子网流量路由规则。
12. 每个子网关联一个路由表。

二、安全控制

1. 安全组（Security Group）
2. 层级：实例级别（第一层防御）。
3. 规则：仅支持 ALLOW，有状态（自动允许返回流量）。

4. 限制：一个实例可关联多个安全组。

5. 网络 ACL（NACL）

6. 层级：子网级别（第二层防御）。
7. 规则：支持 ALLOW/DENY，无状态（需显式允许入站/出站）。
8. 默认 NACL：允许所有流量，禁止修改（应创建自定义 NACL）。

三、网络扩展与连接

1. VPC 对等连接（Peering）
2. 连接不同 VPC（跨账户/区域），无传递性（A↔B + B↔C ≠ A↔C）。

3. 需手动更新路由表和安全组引用。

4. VPC 端点（Endpoints）

5. 私有访问 AWS 服务（无需互联网）：
   • 网关端点：免费，仅支持 S3/DynamoDB。
   • 接口端点：基于 PrivateLink（收费），支持多数服务。

6. S3 访问建议：优先选网关端点（除非需本地/VPC 跨区访问）。

7. 流量镜像（Traffic Mirroring）

8. 复制 VPC 流量到安全设备，用于威胁监控/故障排查。
9. 支持同 VPC 或跨 VPC（需 Peering）。

四、互联网与混合云连接

1. Internet Gateway（IGW）
2. 提供 VPC 与互联网的双向通信。

3. 一个 VPC 仅关联一个 IGW。

4. NAT 服务

5. NAT 网关：AWS 托管，高可用，推荐用于生产。

6. NAT 实例：手动配置，需禁用源/目标检查，适用小流量。

7. Direct Connect（DX）

8. 本地数据中心到 AWS 的专用物理连接。
9. 关键组件：DX Location（物理接入点）、CGW（客户网关）、VGW（虚拟网关）。

10. 高可用：主备 DX 或 VPN 备份（故障切换需 1 个月+部署）。

11. 站点到站点 VPN

12. IPSec 加密连接（VGW ↔ CGW）。
13. ECMP 路由：多 VPN 连接叠加带宽（等价多路径）。

五、高级网络服务

1. Transit Gateway
2. 中心化路由枢纽，连接 VPC/VPN/DX，支持跨区域/账户共享（RAM）。

3. 支持 IP 组播和流量镜像。

4. Route 53（DNS 服务）

5. 路由策略：
   • 权重路由（Weighted）：按比例分配流量。
   • 故障转移（Failover）：主备健康检查切换。
   • 延迟路由（Latency）：就近访问资源。
6. 别名记录（Alias）：映射 AWS 资源（如 ALB），无 TTL。
7. 健康检查：支持公有资源监控，触发 DNS 故障转移。

六、运维与监控

1. VPC 流日志（Flow Logs）
2. 捕获 IP 流量数据，发送至 S3/CloudWatch。

3. 用于连接问题排查，可通过 Athena 或 CloudWatch Insights 分析。

4. 堡垒主机（Bastion Host）

5. 部署在公有子网的跳板机，用于 SSH 访问私有子网实例。

关键区别总结

建议：安全组用于实例细粒度控制，NACL 用于子网级全局策略（如阻断特定 IP）。