AWS为客户的本地网络如数据中心网络 到 AWS VPC之间提供了多种连接的方式，如VPN 、AWS Direct Connect等等，为客户提供了在可靠、弹性、高性价比的情况下访问AWS的资源，那么如何利用这些连接的方式，创建客户的本地网络与AWS间的高可用互联网络呢？这就是我们这个课时讨论的内容。

连接高可用

要做到客户的本地网络 到 AWS VPC间连接的高可用，首先要避免连接的单点故障。

我们就拿之前的这个架构图举个例子，假设本地网络连接到AWS采用的是单个Direct Connect连接，如果这个连接或者设备故障了，那么本地网络和AWS间通信就中断了,这样的话如果您的业务是基于本地网络到AWS间通信的 ，那么就会受到影响。

所以，在方案设计时，就需要考虑连接的高可用，来规避单点故障后带来的影响。

在成本允许的情况下，如连接两端应采用双设备、双线路，这样无论是单设备和单线路故障都会有额外的资源进行冗余；还有尽量采用多服务提供商，不同的连接服务提供商可能使用的不一样的物理线路及设备，因此能减少同时出现问题的概率。

还有一点是连接尽量使用动态路由协议，它能够动态监测路由状态，当有故障发生时可以自动切换到可行的路径，对业务的影响相对较小，避免了当故障发生时静态路由还需要人为干预。

接下来我们就来看几个例子。

第一个案例是冗余的Active/Active VPN连接。

左侧为AWS VPC，右侧是本地客户的两个数据中心，这两个数据中心间通过内部专线连接互联。
每个本地数据中心都有一个客户网关， 并分别与VPC内的VGW建立基于IPSec的Site to Site VPN连接。

这样的话，当我们创建了Active/Active VPN连接之后，当其中一个VPN连接出现故障时，比如数据中心1和VPC的VGW的VPN连接出现问题时，数据中心2访问VPC不受影响，且数据中心1的服务器仍然可以通过与数据中心2的内部连接，然后通过数据中心2到VPC的VPN连接访问AWS 的VPC资源。

如果数据中心1和数据中心2之间的内部连接出现问题时（也就是这个蓝色的线表示），两个数据中心间的通信，如数据中心1访问数据中心2，是可以采用CloudHub模式，通过VGW进行中转访问数据中心2，达到另一个层面的连接高可用。

好的，上面这种方式虽然你可以选择不同的ISP所提供的因特网线路来分担线路同时出现故障的概率，但是Internet是不稳定的线路，抖动很大，而且能够提供的带宽有限，需要根据实际的业务的情况，如果对于带宽稳定性等要求不高，可以采用这个方案。

双AWS Direct Connect连接的冗余设计

与前面的基于互联网的VPN连接相比， AWS Direct Connect提供了更稳定，更高的带宽，更小的延迟以及更安全的线路。

在不考虑成本预算的情况下，本地和AWS的连接的高可用最好的做法就是采用双AWS Direct Connect连接的冗余设计。

我们来看一下这个架构，数据中心1和2分别通过DX连接连接到不同的Direct Connect数据中心。客户本地通过多个连接，连接到不同的Direct Connect数据中心，这样可以降低线路以及设备同时故障的风险。

而且同前面的案例一样，数据中心1和2间有内部的线路互联，当其中一个DX线路或者DX数据中心出现问题，我们都有另外的冗余，通过数据中心1和2的内部连接访问AWS资源。

AWS Direct Connect (DX)专线和VPN方案

如果预算有限无法搭建两条DX线路，但是想利用DX专线的稳定性及高带宽等优势，那么可以采取一种折中的方案：一条AWS Direct Connect (DX)专线，和一条跑在Internet上的VPN线路。这样的话既能利用专线带来的安全性，高带宽和速度的优势，还能避免单点故障，保持高可用。

我们看下这个架构，数据中心1通过VPN与VPC建立连接，数据中心2通过DX与VPC建立连接。
在正常情况下，数据中心1和数据中心2访问AWS资源都是优先通过DX连接来访问，因为DX连接更可靠、拥有更大的带宽、更小的延迟以及更安全的线路；

而当DX线路出现问题时就可以自动路障转移，数据中心1和数据中心2通过VPN连接来访问AWS的资源。

这是AWS Direct Connect (DX) 为主，VPN线路为备用的连接方案。

好的，这节课我们讨论了AWS与本地网络间的高可用连接方案，介绍了如何设计本地数据中心和AWS连接的高可用，希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

AWS Direct Connect是做什么的呢？

它是一种网络服务，使用 AWS Direct Connect，之前通过 Internet 传输的数据现在可以借助 AWS 与您的数据中心或公司网络之间的私有网络连接进行传输。Direct Connect通过专线将您的内部网络比如办公室或者本地数据中心连接到AWS。

Direct Connect是从您的内部网络连接到 AWS Direct Connect 位置，一端连接到您的数据中心的路由器，另一端连接到AWS Direct Connect Location的路由器。

比如现在很多组织都是采用混合云的架构，对外的业务分别运行在组织的本地数据中心以及AWS，比如前端和数据库，需要在这两个网络间进行通信，在这种场景下就可以使用Direct Connect，将本地数据中心和AWS通过专线建立连接。

Direct Connect比VPN的解决方案的成本更高一些，但通过Direct Connect将本地数据中心和AWS连接起来后，专线提供了更稳定的网络通信，且让您可以在本地数据中心通过私有网络访问AWS的服务以及VPC的资源。

这就意味着本地数据中心和AWS相互间的通信绕过了ISP而使用专用线路，优势是：1、降低网络通讯的成本 2、拥有更多的网络带宽 3、提升网络质量以及稳定性。 4、相互通信通过私有网络。

还有一点要注意的是，在默认的情况下，Direct Connect不是冗余的，专线或者设备故障通信就会全中断，如果需要冗余连接，我们就要在建立一个DX或VPN来作为冗余连接，我们在本课时的后面会讨论这部分内容。

AWS Direct Connect 虚拟接口

我们先看一下如何通过AWS Direct Connect 将您的本地数据中心和AWS 区域通过专线连接起来。

右侧是本地数据中心，左侧是AWS的Region，创建 Direct Connect连接后实际上是通过AWS合作伙伴，建立一个从您的网络到 AWS Direct Connect location的您或者合作伙伴的路由器的专线连接，然后在通过 Direct Connect location的 合作伙伴到AWS Region的专线接入AWS 。

创建Direct Connect连接后，必须创建 Direct Connect虚拟接口，也就是VIF，才能开始使用Direct Connect连接。

所以接下来讨论下AWS Direct Connect 虚拟接口的内容。

可以创建三种类型的虚拟接口：

【1】第一种是公共虚拟接口，在图中绿色的箭头表示，公共虚拟接口是做什么的呢，本地数据中心可以通过 Direct Connect通过公共虚拟接口访问AWS的公共服务，如S3，Glacier等等。

【2】另一种是私有虚拟接口，在图中蓝色的箭头表示，私有虚拟接口是用于本地数据中心通过 Direct Connect访问VPC资源的，如EC2实例，ELB等等。

这里大家一定要牢记，考试中会遇到虚拟接口的考点，您的VPC内的资源是需要通过私有虚拟接口来访问；而所有拥有公有域名AWS的服务，比如S3等等这些服务，是需要通过公共虚拟接口来访问。

【3】最后一种是Transit虚拟接口，用于连接VPC的Transit gateway。

好的，在这里还有一点提醒大家注意，VPC终端节点是无法通过私有虚拟接口来访问的，在这种场景下本地的网络是可以通过公共虚拟接口直接访问AWS的公共服务，如S3等。无法通过私有虚拟接口来访问VPC终端节点。

接下来我们讨论AWS Direct Connect 连接的类型。

我们前面讨论过，您可通过 AWS Direct Connect 建立一个连接您的本地网络与 AWS Direct Connect Location的专线连接，有两种类型的连接：

【1】首先是专用连接，可以选择1 Gbps 和 10 Gbps带宽,它是一个与单个客户关联的物理以太网连接,客户可以通过AWS Direct Connect 控制台、CLI 或 API 请求专用连接，然后AWS批准后由Direct Connect 合作伙伴来完成后续工作。

【2】另一种是托管连接，对于托管连接，可以选择的带宽为 50Mbps、100Mbps、200Mbps….到 10Gbps。请注意，只有已满足特定要求的合作伙伴可以创建 1Gbps、2Gbps、5Gbps 或 10Gbps 托管连接。客户是通过与 AWS Direct Connect 合作伙伴联系来请求托管连接。托管连接为客户提供了更多的带宽容量选择。

最后，无论是专用连接还是托管连接，因为可能会涉及一些物理专线的工作，基本上从申请创建连接到完成都需要差不多1个月以上时间。所以有一些考题要注意，比如像传输多大的数据使用什么方案类似的题目，要记得Direct Connect是需要1个月以上的准备时间的。

AWS Direct Connect 加密

默认情况下，使用 Direct Connect传输数据是在传输过程中是没有进行加密的，这一点要注意，但是因为是通过私有专线来传输，在一定的程度上也保障了数据在传输过程中的安全性。

如果您需要额外的安全性，可以使用 Direct Connect结合VPN的方式，在专线上对传输数据通过IPsec进行加密。

这里有一个例子，在本地建立Direct Connect连接后，在本地和Direct Connect之间在通过VPN连接来确保传输数据过程中加密。

如果大家对这部分内容感兴趣，可以访问这个链接，这是一个介绍通过 AWS Direct Connect 连接建立 AWS VPN的视频。

我们继续

链接汇聚组

链接汇聚组，您可以理解它是一个逻辑接口，它的作用是将多根连接汇聚成一个逻辑接口。
比如在本地数据中心和Direct Connect Location之间建立了多个连接，通过链接汇聚组，汇聚多个连接后，就会将这些连接视为一个托管连接进行管理，

这样的话就将多个连接汇聚成一个更大或者说是更高带宽的连接，且为连接增加了冗余性。

LAG 中最多可汇聚4 个连接，且LAG 中的所有连接以主动/主动模式运行。
您可从现有连接创建 LAG，也可配置新连接，就是说您可以随时将连接添加到LAG中以增加总带宽。

不过要注意LAG的一些使用限制：
LAG 中的所有连接都必须使用相同的带宽
LAG 中的所有连接都必须连接到同一 AWS Direct Connect 终端节点
另外，可以配置LAG的最小连接数量，作用是连接小于这个配置数量的话LAG就不在工作，这个值是可以设置为0的。

好，我们看一个例子，在这个场景下有两个用户数据中心，分别通过了两个不同的Direct Connect Location连接到了AWS VPC。

在上面的这个用户数据中心，通过两个连接连接到了Direct Connect Location 1，我们可以将这两个连接配置成LAG，合并成一个逻辑的连接，这个逻辑的连接合并了连接1和连接2的带宽。

同样可以将第二个用户数据中心到Direct Connect Location 2的连接配置成LAG，同上。不过要注意的下面的这两个连接，连接到了不同的Direct Connect Location，所以不能将这4个连接配置成1个LAG。

我们继续。

Direct Connect 网关

Direct Connect 网关，如果您想通过本地数据中心建立的Direct Connect连接，访问不同AWS区域的一个或多个VPC，那么就可以使用 Direct Connect 网关。

我们看一下这个架构图，用户本地的数据中心的网络连接到了 Direct Connect的虚拟接口，然后Direct Connect虚拟接口在连接到Direct Connect 网关，然后通过Direct Connect网关的配置，就可以让我们在本地数据中心访问不同AWS区域的不同VPC的资源。

这里需要注意的是，用户数据中心访问这些VPC资源是要使用的是私有虚拟接口，前面讨论过，在这里在强调下，如果要访问VPC相关的资源是需要通过私有虚拟接口来访问的，牢记牢记。

当本地网络需要通过Direct Connect访问多区域多VPC的场景时，记得这是Direct Connect 网关的适用场景。

Direct Connect 网关是可以关联到Transit Gateway上的，可以通过Transit Gateway将您的多个VPC以及 Direct Connect 网关连接起来成为一个星型网络结构。

好的，以上就是我们这个课时的内容， Direct Connect的内容在考试中出现的频率非常非常高，希望大家掌握这部分内容

希望本课时能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

什么是VPC 终端节点服务？

我们在前面的课时讨论过VPC终端节点，无论是接口终端节点还是网关终端节点，他们都是用于我们连接AWS的服务的，如S3、EC2等等。

那VPC 终端节点服务是做什么的呢，您可以在 VPC 中创建自己的应用程序，并将其配置为终端节点服务，然后，其他 AWS 用户可以使用VPC 接口终端节点，在他们的 VPC 和您的终端节点服务之间创建连接。通过接口终端节点使用AWS的私有网络访问您的应用程序或服务。您是服务提供商，而创建与您的服务之间的连接的 AWS用户是服务使用者。

VPC 终端节点服务提供了一种最安全、高度的可扩展性的方式，可将我们想要对外的应用程序提供给上千个VPC访问，这些VPC既可以是您的AWS账号下的，也可以是其他AWS账号下的VPC。

通过VPC 终端节点服务，不需要与这些VPC创建VPC对等连接，不需要NAT、互联网网关，也不需要配置路由表，配置好VPC 终端节点服务后，其他的用户只能通过创建VPC接口终端节点，然后通过接口终端节点访问我们的服务，这种方式比使用互联网访问服务更加的安全，且通过AWS私有网络访问，网络的质量更能得到保障。

使用终端节点服务的场景

我们看一个例子，这是计划对外提供服务的VPC，而且已经创建好了计划对外的应用程序，我们后面把他叫做“服务VPC”，我们希望让其他的AWS账户的用户能够访问这个应用程序。

比如这是一个用户的VPC，VPC内运行着应用程序客户端，我们希望让这个“用户VPC”访问“服务VPC”内的应用程序。

当然可以在这两个VPC之间创建VPC对等连接，然后“用户VPC”就可以访问“服务VPC”的应用程序了。但VPC对等连接的问题是：

首先，建立对等连接之后，从网络层面来讲，等于我们提供服务的VPC和“客户VPC”网络全部打通了，“服务VPC”内的资源完全暴露给用户的VPC而不仅仅是这个应用程序，这么做可能会带来未知的安全风险；

其次，如果提供的应用程序是给非常多的用户使用，比如有上百、上千个VPC，我们不可能为每个VPC都手动建立VPC对等连接，然后还要维护上百上千个路由表；

再者，我们知道建立VPC对等连接，“服务VPC”和用户的VPC的CIDR块不能重叠，这个我们更保证不了用户端的CIDR配置。

当然也可以将应用程序暴露在互联网，然后用户通过互联网访问，但是这样会带来额外的安全风险，尤其是当应用程序提供一些重要数据服务时。

所以在我们这个场景下，就可以使用VPC 终端节点服务。

创建终端节点服务的步骤

我们看下创建终端节点服务的一般步骤：

首先，在提供服务的VPC中创建一个网络负载均衡器，配置将请求路由到应用程序。然后，创建终端节点服务，并关联网络负载均衡器。这样的话我们的应用程序就可以通过网络负载均衡器来访问。

这是服务VPC的配置。

在用户VPC侧，创建一个用于访问应用程序的VPC接口终端节点，会创建一个终端节点网络接口也就是ENI；

然后“服务VPC”接受接口终端节点连接请求后，AWS PrivateLink就创建完成了，“用户VPC”的ENI和“服务VPC”的网络负载均衡器之间就通过AWS的私有网络建立了连接。

当“用户VPC”访问“服务VPC”的应用程序时，会通过接口终端节点的ENI，然后ENI转发请求到“服务VPC”的网络负载均衡器，然后网络负载均衡器在转发请求到我们的应用程序。

VPC终端节点服务是具有高度可扩展性的，所以通过一个网络服务均衡器可为上千个用户VPC提供服务。

如果您将应用程序部署在多个可用区，并配置网络负载均衡器在多个可用区路由流量，然后您可以在“用户VPC”的多个可用区创建多个接口终端节点，这样的话，您的这个架构就是具有容错性的高可用的架构。

通过终端节点服务集中化进行Web过滤的解决方案

接下来我们讨论一个使用VPC 终端节点服务的解决方案—通过终端节点服务集中化进行Web过滤的解决方案。

先介绍下这个解决方案的背景以及能解决什么问题。

很多企业都会通过自行搭建代理的方式监控和控制VPC中的实例访问互联网的WEB流量，如果有多个账户和VPC，每个都要部署代理的话会增加架构的复杂性，增加管理成本和资源成本。

所以，就可以通过设置一个共享服务VPC，然后在这个VPC中统一部署代理服务，互联网网关等等，然后让所有访问互联网的流量都通过这些代理服务，在通过互联网网关访问互联网，这样的话我们就可以在这些代理服务上做一些WEB过滤，访问控制等工作，但是要注意这个方案只适用于显示代理模式。

另外其他的VPC我们希望是通过接口终端节点的方式访问我们的共享服务VPC，通过VPC的代理访问互联网，因为这种方式接入简单，管理方便，且两个VPC之间的通信是通过AWS的私有网络。

所以，我们首先先要在共享服务VPC中创建一个网络负载均衡器，配置好将请求转发到代理服务，然后配置好终端节点服务并关联网络负载均衡器；

用户VPC需要访问互联网，就在这个用户的VPC创建一个接口终端节点并配置好连接我们创建的终端节点服务，这样的话用户VPC的接口终端节点就和共享服务VPC的网络负载均衡器建立了AWS私有连接。

然后通过配置后，用户VPC的实例访问互联网，就会将流量发送到接口终端节点，然后转发到共享服务VPC的网络负载均衡器，网络负载均衡器在将流量转发到我们的代理服务，进行WEB过滤及访问控制等管理工作，最后集中通过共享服务VPC访问互联网。

好的，希望能过通过这个解决方案，让大家更深入的了解VPC终端节点服务的使用场景。

以上就是我们今天的课程内容，希望本课时能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

随着在AWS上运行的工作负载越来越多，我们可能会将网络扩展至多个VPC，跨多个AWS账户才能满足需求。另外很多组织还需要将本地数据中心与VPC的网络打通，采用了混合云的架构将资源分布放置在VPC及本地数据中心。

那么，有没有一个将多个VPC之间，以及和本地数据中心的网络全部打通，进行相互通讯的解决方案呢？

其中一种方式就是通过Transit VPC。

Transit VPC

Transit VPC 通常可以理解成是通过部署软件VPN的方式。
所以Transit VPC不是AWS提供的服务，只是解决打通多VPC及本地网络的场景AWS推荐和建议采用的架构，另外在2016年的时候，AWS推荐了基于CISCO等厂商的基于实例路由的Transit VPC解决方案。

不过目前有一个更新、更好的解决方案，Transit gateway，这节课我们也会讨论。

我们先来看一下Transit VPC，Transit VPC解决方案的核心是通过设置一个中心VPC，然后通过配置软件VPN，通过互联网使用VPN通道连接各个VPC和本地网络。

这是一个Transit VPC的解决方案，我们在这个中心的Transit VPC中，启动EC2后并在上面配置一个VPN服务器程序；然后分别将这个架构中的各个VPC以及本地数据中心，通过Transit VPC的软件VPN， 通过互联网使用VPN通道全部连接起来，这样的话我们连接的这些网络，包括各个VPC以及本地网络，就可以通过Transit VPC，相互间进行通信。

可以通过配置让这些网络间的通信只能通过Transit VPC，然后我们就可以在Transit VPC上进行更复杂的访问控制，比如通过配置更复杂的路由，甚至做一些网络层的包过滤规则等等来实现更高复杂、更高安全级别的访问控制。

Transit VPC方案因为软件VPN是运行在EC2实例上，所以我们可以在这台实例上去做这些控制，拥有完全的控制权。

那么Transit VPC的解决方案缺点是什么呢？可能很多同学已经想到了，它是通过在EC2上自行搭建软件VPN的方式，所以，VPN服务器的高可用需要我们自行负责，否则这台EC2挂了这个网络就基本上瘫痪了。还有，随着接入VPC网络的增加，我们还需要考虑这台EC2的带宽，处理能力是否足够等等，这些管理任务都是需要我们来负责的。所以AWS推出了一个新的解决方案，Transit gateway。

Transit gateway

在开始讨论Transit gateway前，我们先看一个典型的网络拓扑架构，这个架构在很多组织中都很常见。

架构中包括很多VPC，而且这些VPC相互间需要通信，所以就创建很多个VPC对等连接；然后又配置了用户网关，用于某些网络的VPN连接需求，还使用Direct Connect gateway将本地数据中心与多个AWS区域建立连接。

可以看到这个架构图，各种不同类型的连接相互交错，看着就有点乱。而且随着后面规模越来越大，比如VPC越来越多，网络的复杂性随着规模会逐渐增加。您必须在每个 VPC 内维护路由表，新增VPC时创建和维护对等连接，或者创建VPN连接等等。所以这个架构会变的越来越复杂，越来越难以维护，管理任务会越来越重。

所以呢，随着我们的网络规模越来越大，AWS账户数量越来越多，我们需要一个更简单，更方便的解决方案来解决网络拓扑越来越复杂的问题，所以就有了前面的解决方案Transit VPC；然而目前我们还有另外的一个可能是更好的选择—Transit gateway，它提供与 Transit VPC 相同的优势，但是它是一种可高可用性的弹性扩展的托管服务。

Transit gateway您可以简单把它理解成一个云路由器，它可以连接上千个VPC，并可以将本地网络、VPN连接、Direct Connect Gateway网络统统连起来，形成一个星型网络拓扑结构。

我们来看一下，使用Transit gateway后的网络拓扑，一个星型结构。Transit gateway位于中心将多个VPC、VPN、Connect Gateway都连接到了一起。

和前一张PPT中未使用Transit gateway的网络拓扑相比较，使用Transit gateway可以将这些网络轻松连接到一个网关中，大大简化了我们的网络，且不在需要我们更新大量的路由表配置和维护复杂的对等关系。

和Transit VPC一样，在这个Transit gateway的星型网络中，所有网络间的通讯都需要通过Transit Gateway，可以通过它的路由表来控制这些来自不同的网络的通信如何进行路由。

Transit gateway是基于AWS区域的资源，但可以通过创建Transit gateway的对等连接将多个Transit gateway连接起来，实现跨AWS区域通信。

可以使用RAM服务跨AWS账户共享Transit gateway。

可以通过Transit gateway的路由表，来限制VPC之间的通信。

Transit gateway除了可以连接VPC，也可以连接Direct Connect Gateway和VPN连接。

支持IP多播，如果您的架构或者应用程序基于IP多播，可以考虑Transit gateway

Transit gateway支持边界到边界的路由，这就意味着，VPC之间通过Transit gateway连接之后，其中一个VPC中的实例，是可以通过Transit gateway，访问另一个VPC的NAT网关，NLB，PrivateLink、EFS这些资源的。这样的话我们就可以设计一些共享VPC架构，实现多VPC共享资源。比如在一个VPC中设置NAT网关，然后其他VPC通过Transit gateway连接起来后都通过这个中心VPC的NAT网关访问互联网。

Transit gateway的AWS架构

在本节课时的最后，我们一起来看一个使用了Transit gateway的AWS架构。

在这个架构中，左边设置一个出站VPC，然后在出站VPC的两个可用区中分别部署了一个NAT网关，这两个NAT网关负责架构图中的其他VPC的访问互联网的集中出站。

通过配置Transit gateway将出站VPC这两个可用区的子网关联后，并通过配置每个可用区设置一个NAT网关，在提升了处理互联网访问能力的同时，又提供了NAT网关的高可用性。

然后我们看右边，Transit gateway连接了两个VPC，App1-VPC以及App2-VPC。然后通过编辑路由表允许这两个VPC内访问互联网的流量通过Transit gateway然后到出站VPC,通过出站VPC的NAT网关访问互联网。

那为什么要多VPC共享NAT网关访问互联网呢？首先，这种星型架构的设计，使我们可以从一个节点安全地管理所有出站Internet通信，使得我们拥有对互联网访问控制有更多的控制权；其次，我们不需要为每个有访问互联网需求的VPC都创建一个Internet网关与NAT网关，因为如果您拥有大量的VPC，多个Internet网关以及NAT网关会增加人工管理和资源的成本。这个架构其他的两个VPC的私有子网的实例 可以通过Transit gateway，通过出站VPC的NAT网关访问互联网，通过AWS Transit Gateway集中出站访问互联网节省了资源的开销。

当然，要实现上述这些通信，我们需要配置路由表，如App2-VPC，需要将0.0.0.0/0的访问指向Transit gateway，然后Transit gateway将0.0.0.0的访问请求发送至下一跳也就是出站VPC的可用区，然后流量通过NAT网关访问互联网，我们需要编辑相关的路由表来实现访问的需求。

另外在这个案例的架构中，这两个VPC之间是不允许通过Transit gateway相互通信的，我们可以看下Transit gateway的路由表中，是没有这两个VPC网络相关的路由条目的，也就是说您可以在Transit gateway中使用多个路由表，然后通过编辑路由来实现VPC和VPC的隔离需求。

所以也就是说，在创建并配置Transit gateway将相关的网络连接起来之后，并不意味这网络间相互就可以通信了，还需要编辑相应的路由表添加相应的路由条目允许网络相互间的通信。

好的，这个架构实现的是多VPC通过Transit gateway共享NAT网关访问互联网，您也可以调整这个架构将其他安全设备替换NAT网关，来实现诸如流量捕获，策略实施，Web过滤之类的任务，只要这些资源能够执行NAT功能并具有所需的路由配置即可。

希望通过这个架构的讨论能够让您更加了解和掌握Transit gateway，这个架构是来自于AWS官方的博客，我把博客的地址放到了PPT中，大家可以抽时间访问博客仔细阅读，博客中有详细的配置流程。

好的，以上就是我们今天的课程内容，希望本课时能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

AWS Client VPN

首先，AWS Client VPN 是AWS基于客户端的托管 VPN 服务，借助AWS Client VPN，您可以使用基于 OpenVPN 的 VPN 客户端，从任何位置访问您的AWS私有子网的资源，让您能够安全地 连接AWS 资源和本地网络中的资源。

我们来看一下，在AWS创建好Client VPN终端节点并配置完成后，客户端比如我的笔记本电脑，就可以使用 OpenVPN的客户端连接到Client VPN终端节点，然后就可以在本地笔记本电脑上使用VPN通道，通过AWS子网的私有IP地址访问子网的资源。

当然创建的VPN连接是使用的Internet网络，一旦创建了VPN连接，本地的笔记本和VPC子网之间就可以通过私有IP，通过VPN通道安全的进行通信，这也是建立VPN的主要的作用。比如关联的子网有一台EC2实例，我们就可以在本地的笔记本电脑上使用EC2实例的私有IP地址通过VPN访问该EC2实例。

在这个架构中，我们可以将VPC通过AWS Site-to-Site VPN和本地数据中心的网络建立连接，这样的话，当我们的笔记本电脑拨通VPN连接后，笔记本电脑就可以直接通过本地数据中心资源的私有IP地址访问本地数据中心的资源。

好的，基本上对于认证考试来讲，AWS Client VPN的内容了解这么多就基本上足够了，在实际的组织中，使用AWS Client VPN的场景还是比较多的，如果您对这部分感兴趣，可以自己做下实验亲自搭建一下。

软件VPN

接下来我们讨论下软件VPN，前面我们讨论过AWS Site-to-Site VPN，AWS Client VPN ，这些都是AWS的托管服务，由AWS管理，我们只管拿来配置好使用即可。

当然您也可以不使用这些托管服务，在本地和EC2上自行搭建软件VPN。如果要自己搭建就要负责所有的配置和管理工作，比如VPN服务器的带宽是否足够，搭建VPN的EC2的安全性，高可用性等等。

我们来看一下。

在VPC的公有子网的EC2，以及本地数据中心的服务器上搭建软件VPN，并建立VPN连接之后，就可以实现本地数据中心以及VPC的私有子网中的实例间通过私有IP地址进行通信。

软件VPN这种方式在设置和路由配置等方面，我们有更多的控制权；但是另一方面如上所述，自行搭建的软件VPN服务器，需要我们负责所有的管理工作，比如带宽是否足够，冗余，VPN服务器的高可用性以及故障迁移等管理工作，会增加很多的管理任务。

多个VPC的VPN连接

那如果有多个VPC，本地数据中心将如何与这些VPC建立VPN连接呢？

AWS建议为每个用户的VPC创建单独的VPN连接。

比如本地数据中心需要和左边的VPC假设是VPC 1建立VPN通信，那我们就会需要创建客户网关、VGW，为其创建一个AWS Site-to-Site VPN；那如果我们有第二个VPC，就需要在为其创建一个AWS Site-to-Site VPN，如果还有第三个VPC，同样要在为其创建一个AWS Site-to-Site VPN。

在这种情况下，随着VPC越来越多，VPN的配置会变得越来越复杂，越来越难以维护，有两种解决方案：

如果您有很多个VPC，AWS建议使用Direct connect，然后使用Direct connect gateway来实现上述的需求。Direct connect的内容我们后面的课时会讨论。
除了这种方式，我们还可以单独创建一个共享服务的VPC。

共享服务VPC

我们来一起来看一下共享服务的VPC。

首先，创建一个用于放置共享服务的VPC。

将这个VPC与本地数据中心之间创建一个AWS Site-to-Site VPN，这样本地和共享服务的VPC就可以通过VPN连接通信了。

然后，我们就可以将本地数据中心的需要共享的服务、应用程序、数据库等等，把这些都在共享服务的VPC做个副本；或者在共享服务VPC部署一批代理服务，将其他VPC直接访问本地的请求，通过代理服务进行代理。

通过这两种方式，让这个共享服务的VPC，有本地数据中心需要共享的所有副本，提供给其他VPC访问；或者通过部署的代理服务，将其他VPC的访问通过代理服务代理至本地数据中心。

这样的话，其他的VPC如果需要访问本地的资源，比如VPC1 、VPC2、VPC3，只需要将这些VPC分别和共享服务VPC创建VPC对等连接；而我们又在共享服务VPC中，通过Site-to-Site VPN复制了本地数据中心的服务，或者架设了代理，所以，VPC1、 VPC2 和VPC3 ，就可以通过访问共享服务VPC访问本地数据中心的资源。

这种在一个VPC中通过复制本地数据中心的数据或服务，或者通过架设代理服务，提供给其他VPC共享资源的方式，是共享服务VPC的实现理念。

共享服务VPC的优势是，并不需要为本地数据中心和所有的VPC都创建VPN连接，只需要在共享服务VPC和本地创建一个VPN连接，然后其他VPC通过与共享服务VPC建立对等连接的方式来实现访问。

然后需要注意的是，在这个架构中，VPC1 VPC2 和VPC3 无法直接与本地数据中心进行通信，因为我们前面讲过VPC对等连接是不支持路由传递的。

其他解决方案（Transit VPC 和 Transit gateway）

要实现多VPC的VPN连接需求，还有一种解决方案是通过Transit VPC。
Transit VPC的内容我们会在后面的课时讨论，我们现在先大致了解下即可。

Transit VPC 是通过在VPC的EC2上自行搭建软件的VPN，然后将所有其他的VPC以及本地数据中心都通过VPN建立连接。通过这种方式建立的连接，路由是可传递的，这也就是说可以通过这种方式打通VPC间，以及VPC和本地数据中心的通信。

Transit VPC 的这种方式相比前面讲的共享服务VPC的优点在于，如果使用共享服务VPC的方式，如果有一些本地的服务或者程序不是非常容易配置复制，那就没有办法在共享服务VPC中提供给其他VPC进行访问，而在这种情况下使用Transit VPC就会非常的容易和方便。

这里需要注意的一点是，不能使用VPC对等连接，因为VPC对等连接不支持路由传递，要建立VPN连接。

当然，我们还可以使用Transit gateway。

可以通过Transit gateway将这一切都连接起来，Transit gateway是实现起来更简单的方式，我们会在后面的课时单独讨论这部分的内容。

好的，以上就是我们今天的课程内容，对于认证考试，你需要熟悉这个课时讨论的这些架构，了解不同架构，不同解决方案的优缺点以及适用的不同的场景，因为在认证考试中会有一些考题会涉及到这些架构的内容。

希望本课时能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

我们开始今天的课程内容。

VPN，也就是虚拟专用网络，是做什么的呢？

它的作用是在公有网络上建立专用网络，然后进行加密通讯。这里的专用网络是指将通讯进行加密后，数据在链路上进行安全传输，就如同专门架设了一个专用网络一样，但是实际上VPN还是使用的是互联网上的公共链路，因此VPN称为虚拟专用网络，在企业网络中有广泛应用。

VPN可通过服务器、硬件、软件等多种方式实现。

什么是AWS Site-to-Site VPN ？

AWS Site-to-Site VPN，是AWS托管的一个VPN的解决方案。

比如公司有一个本地数据中心，以及一个AWS VPC，我们想把他们之间通过互联网建立连接，然后通过私有IP相互进行通信，且通信需要加密，我们就可以使用AWS Site-to-Site VPN。注意AWS Site-to-Site VPN方案的本地数据中心和VPC之间通讯还是使用的互联网链路，支持 Internet 协议安全 (IPsec) VPN 连接，不支持 IPv6 流量。

好，接下来我们来看下如何创建AWS Site-to-Site VPN。

AWS Site-to-Site VPN的基础知识点

首先，在本地公司数据中心网络，您需要配置一个软件或者硬件VPN设备，现在很多硬件防火墙和路由器都支持VPN功能；

这个在本地VPN的外部接口需要有一个可在 Internet 上路由的 IP 地址，需要能够通过公网进行访问，因为VPN是通过公网建立连接的。

现在我们在本地公司数据中心网络有了VPN设备，而且配置了本地数据中心网络分配的公有IP地址，然后我们看下在AWS端需要配置哪些服务。

在AWS端，需要创建一个虚拟专用网关，也就是VGW，您可以理解成虚拟专用网关是 Site-to-Site VPN 连接，在 Amazon 一端的 VPN 集线器。

创建虚拟专用网关后将其附加到要从中创建 Site-to-Site VPN 连接的 VPC，所以VGW是VPC级别的资源。

然后，需要在 AWS 中创建一个客户网关，它表示本地公司数据中心网络中的VPN设备。
创建客户网关时，需要提供本地数据中心VPN设备的信息，如VPN外部接口的 Internet 可路由 IP 地址。

接下来就可以创建本地公司数据中心网络和AWS VPC的Site-to-Site VPN 连接，出于冗余考虑在虚拟私有网关 与本地网络端的VPN 设备之间，会创建两条 VPN 隧道，他们都是使用IPSec进行加密。

每条隧道都会使用一个唯一的虚拟专用网关公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。

当一条隧道无法使用时（例如，因维护而关闭），网络流量会自动路由到指定 Site-to-Site VPN 连接的其他可用隧道。

好，以上就是AWS Site-to-Site VPN的基础知识点。

AWS Site-to-Site VPN的路由配置

我们继续，接下来我们继续深入讨论AWS Site-to-Site VPN的配置，路由配置部分。

我们一起来看一下：

左侧是本地公司数据中心，右侧为AWS VPC，他们的网络CIDR块是非重叠的。

左侧的公司数据中心的客户网关，以及在VPC端的VGW配置完成后，我们在两者之间创建一个AWS Site-to-Site VPN连接，接下来，要使 VPC 中的私有子网的实例可以访问您的本地数据中心的网络，您必须配置私有子网的路由表，将访问公司数据中心的通信，将它们指向您的虚拟私有网关（VGW）

同样，在公司的数据中心，需要配置本地的路由表，将本地数据中心访问VPC私有子网的CIDR通信指向客户网关。

那么，我们有两种方式配置路由表：通过静态路由或动态路由。

通过配置静态路由，这个我们之前做了很多次，比较简单。我们需要分别配置VPC和公司数据中心的路由表，添加相应的路由条目。

在公司数据中心的路由表，我们需要添加一个路由条目：将去往VPC私有子网10.0.0.10/24的通信指向客户网关的路由。

在AWS端，也需要在路由表中添加一个路由条目：将去往公司数据中心10.2.0.0/20的通信指向虚拟专用网关VGW。

这样的话静态路由就配置好了。但使用静态路由如果之后网络有变化，就需要我们再次手动编辑路由表，有的时候这会比较复杂。

我们还有另一种选择，使用动态路由BGP，当然需要您在公司数据中心的客户网关设备支持BGP才可以。

BGP是边界网关协议，主要功能是允许你的网络之间自动交换彼此网络路由信息。

BGP动态路由需要在客户网关以及虚拟专用网关配置ASN，ASN是自治系统编号。

配置为BGP路由后我们就不需要手动配置路由表了，有变动时BGP会为我们自动更新路由表，非常的方便。

AWS Site-to-Site VPN 与 Internet访问

接下来我们看几个AWS Site-to-Site VPN 与 Internet访问的架构，在认证考试中可能会有一些题目涉及到这些内容。

我们先来看下这个架构的组成部分：我们配置了一个VPC，然后在VPC内有一个公有子网，公有子网中配置了一个NAT网关，然后连接了一个Internet网关，通过NAT网关和Internet网关这套组合提供了访问Internet的能力。

然后在公司数据中心端，本地的服务器连接到客户网关，然后客户网关与VPC端的VGW之间，已经创建好了AWS Site-to-Site VPN，或者两端网络使用Direct Connect连接。

好，那么问题来了，在这个架构下，在本地公司数据中心的服务器，能否通过客户网关，然后通过VGW,使用NAT网关和Internet网关，最终成功访问Internet吗？也就是说这个架构是否能够为公司数据中心的服务器提供访问Internet的能力？

这是行不通的。
因为是无法通过 VPC 对等连接、Site-to-Site VPN 连接或 AWS Direct Connect 将流量路由到 NAT 网关的，这些连接另一端的资源，对应我们这个案例是公司数据中心，是不能通过 NAT 网关和Internet网关访问Internet的。

那我们在看另一个架构，这个架构和前面的一样，只是将前面的NAT网关替换成NAT实例，在这种架构下通过配置，在本地公司数据中心的服务器，能否通过客户网关，然后通过VGW,在通过NAT实例和Internet网关，最终成功访问Internet吗？

这是可以的。

因为如果使用NAT实例，我们会比使用NAT网关有更多的控制权，可以登陆到NAT实例进行路由等配置，最终可以实现公司数据中心的服务器，通过中间这一系列连接和服务，在通过AWS的NAT实例访问Internet。

我们继续，看下这个架构，这个正好是和前面的反过来了。

在本地公司数据中心有一个本地NAT设备，提供了访问Internet的能力，那么我们在VPC的私有子网的实例，能否通过VGW，通过AWS Site-to-Site VPN 连接到客户网关，在通过公司数据中心的NAT设备访问Internet呢？

这种方式是可行的。在这种架构下，在AWS是不需要配置NAT网关或者NAT实例的，只需要按照实际情况配置好本地NAT路由表等配置，就可以实现在私有子网的实例通过AWS Site-to-Site VPN 。通过本地数据中心访问Internet。

VPN CloudHub

好的，接下来我们讨论VPN CloudHub，是本节课时最后的内容。

如果您有多个 AWS Site-to-Site VPN 连接，您可以使用 AWS VPN CloudHub 将所有客户网关连接在一起。

比如这个架构，我们有三个分公司，分别在纽约、洛杉矶以及迈阿密，这些分公司的网络都与VPC建立了AWS Site-to-Site VPN连接，我们可以将三个分公司的网络通过 AWS VPN CloudHub 连接到了一起，然后这些分公司的网络除了可以和VPC进行通信，在分公司网络之间也可以相互进行通信。

VPN CloudHub的优势是实施方便、潜在低成本的星型拓扑连接模型。

比如前面这种情况，您有很多分公司的网络，且都可以访问 Internet ，如果您想在这些不同网络之间建立主要或备用连接，实现安全的、低成本的相互访问，则VPN CloudHub会非常的适用。

因为低成本，所以VPN CloudHub可以很好的胜任备用连接这个角色。比如您的迈阿密和洛杉矶两个网络通信使用的是Direct Connect连接，你也可以配置当Direct Connect连接出现问题后，将流量故障转移至由VPN CloudHub建立的VPN连接来保证网络可用性。

VPN CloudHub为网络之间通信提供了安全通讯的通道。

网络之间通信是使用互联网。所有的VPN连接都使用了IPsec加密。

好的，以上就AWS Site-to-Site VPN的内容。本节课就到这里，希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

我们开始今天的课程内容。

CIDR、私有IP、共有IP

首先，我们先看下什么是CIDR，它在配置VPC、路由表、安全组等地方都会使用CIDR。
CIDR是一个按位的、基于前缀的，用于解释IP地址的标准，通过在IP地址后面加上一个/，然后跟上一个数字表示IP地址段范围。

当创建 VPC 时，必须为这个 VPC 指定 IPv4 CIDR 块。VPC允许的CIDR大小介于 /16 网络掩码 (65,536 个 IP 地址) 和 /28 网络掩码 (16 个 IP 地址) 之间。

在AWS很多配置都会使用CIDR块，如安全组、路由表、VPC、子网等等，当然理解CIDR对于通过考试也是非常重要的。

然后私有IP地址，只能在私有网络中通信和访问的IP是私有IP，由RFC1918指定的私有IPv4地址范围为：

• 10.0.0.0 – 10.255.255.255 (10/8 前缀) ，对应大型网络，包含更多的子网和IP地址的大型网络
• 172.16.0.0 – 172.31.255.255 (172.16/12 前缀)，是AWS默认CIDR块。
• 192.168.0.0 – 192.168.255.255 (192.168/16 前缀) 一般小型网络使用的地址范围。

我们在配置网络时可以使用以上这些地址范围作为私有IP地址，当然要注意VPC允许的CIDR块范围是/16和/28之间。

在以上这些范围之外的IP地址，就是公有IP地址，用于访问internet。

VPC、子网、路由表

VPC是 AWS 账户的虚拟网络。它在逻辑上与 AWS 中的其他虚拟网络隔离。可以在 VPC 中启动 AWS 资源，如 EC2 实例。

在创建 VPC 时，您必须以CIDR块的形式为 VPC 指定 IPv4 地址范围，且无法改变。允许的块大小介于 /16 网络掩码 (65,536 个 IP 地址) 和 /28 网络掩码 (16 个 IP 地址) 之间

VPC是您的私有虚拟网络，在创建VPC时，建议您配置私有的IPv4的地址范围CIDR块。

创建 VPC 之后，您可以在每个可用区中添加一个或多个子网，子网位于VPC内，在创建子网时，需要指定子网的 CIDR 块，它是 VPC CIDR 块的子集。

每个子网都必须完全位于一个可用区之内，不能跨越多个可用区。

每个在子网中启动的实例，都会被分配一个基于您定义的子网CIDR块范围内私有IP。

每个子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址无法供您使用，是AWS用于联网目的保留的。

然后是路由表，路由表中包含一组被称为路由的规则，用于决定来自您的子网或网关的网络流量的流向何处。

又分为主路由表以及自定义路由表，与子网进行关联。

在路由选择时，会使用路由表中与流量匹配的最具体的路由条目来路由流量 ，这也是最长前缀匹配原则，我们在后面的课时会在进行讨论。

Internet 网关（IGW）、公有子网、私有子网

Internet 网关（IGW），Internet 网关是一种横向扩展、冗余且高度可用的 VPC 组件，我们可以使用Internet 网关（IGW）将VPC接入internet。

Internet 网关（IGW）为已经分配了公有 IPv4 或IPv6地址的实例 执行网络地址转换 (NAT)，它不会对您的网络流量造成可用性风险或带宽限制。

所以任何子网的关联路由表中，如果包含指向互联网网关的路由，那么该子网中的实例将拥有访问internet的能力，这也是公有子网的定义。

公有子网是指在子网的关联路由表中有一条内容为将0.0.0.0/0的流量发送到internet网关的路由，这条路由的意思是将子网中的 Internet 范围的流量发送到互联网网关。

另外，公有子网实例要访问internet，需要确保您的子网中的实例具有全局唯一 IP 地址 (公有 IPv4 地址、弹性 IP 地址或 IPv6 地址)。

而私有子网是通过NAT实例或者NAT网关访问internet。

NAT网关或NAT实例需要配置到公有子网中，这一点一定要记住。

然后需要配置私有子网的路由表，添加0.0.0.0/0 将所有其他流量路由至您的NAT网关或实例。

以上是internet网关、公有子网、私有子网的内容。

NAT网关、NAT实例

我们继续，来讨论NAT网关和NAT实例的内容。

NAT实例是需要部署在公有子网的一台实例，作用是可让在私有子网中的实例通过NAT实例访问 Internet 或其他 AWS 服务的出站 IPv4 流量，但阻止这些实例接收由 Internet 上的用户发起的入站流量。

使用NAT实例访问internet需要在私有子网的路由表中添加0.0.0.0/0 将所有其他流量路由至您的NAT实例，然后NAT实例会在将流量发送到VPC的互联网网关，然后在到internet。

NAT实例不是高可用的，在出现故障时需要您自行处理故障转移；

它的带宽也是受限的，具体的带宽取决于选择的实例类型的带宽，但是价格可能会便宜一点。

另外一种选择是NAT网关，NAT网关是AWS管理的NAT解决方案，也是AWS建议采用的方式，那么为什么建议使用NAT网关而不是NAT实例呢？

NAT网关的带宽可以自动扩展，费用包括NAT网关的每小时使用费率以及数据处理费率。

NAT网关在每个可用区是高度可用的，就是说在每个可用区中的 NAT 网关都采用冗余方案，当底层硬件出现问题，AWS会管理迁移。但是如果这个可用区出问题了，那么NAT网关就无法在提供服务了。

在这种情况下，可以通过在每个可用区中创建一个 NAT 网关可确保您的架构不依赖于可用区。

NAT网关需要绑定一个弹性IP地址，是通过使用这个弹性 IP 地址作为源 IP 地址，将流量发送到 Internet 网关。在子网实例通过NAT网关访问外部服务时，在外部服务看到的请求的来源会是NAT网关的弹性IP地址。我举个例子，看下右边的图：

这里有个VPC，VPC内包括一个私有子网以及一个公有子网。比如我们在这私有子网中有一台EC2实例，需要访问internet的一个外部的网站。

所以，这台实例就需要通过路由表配置的路由将流量发送到公有子网中的NAT网关或NAT实例，然后NAT网关在通过internet网关将请求的流量发送到internet的外部网站。

正如前面所说，这个NAT网关或者NAT实例需要绑定一个弹性IP地址，在这里是这个弹性IP为198.51.100.4，在实例通过NAT网关访问外部网站时，在外部网站上看到的实例访问请求来源IP地址就会是这个NAT网关的IP地址。

也就是说，假如这个外部网站需要配置访问白名单只允许我们的这个实例的访问，您就需要将NAT网关或NAT实例的弹性IP地址：198.51.100.4，加入外部网站的访问白名单。

网络ACL、安全组

接下来我们看看安全方面的组件：

网络ACL，是在子网级别定义的无状态的防火墙，用来控制子网进出的流量，也就是说子网内的实例，进出子网的流量都需要经过网络ACL，都可以通过它来进行访问控制。

网络 ACL 是无状态的，无状态的意思是对于允许出站请求的返回的流量，也必须在规则中明确允许，反之亦然。

网络ACL支持添加允许和拒绝的规则。当你需要拒绝某个特定IP地址的流量时，可以非常快速的使用网络ACL添加相应的拒绝规则。比如，当发现某个IP对我们的实例发出大量恶意请求时，就可以通过网络ACL添加拒绝规则拒绝此IP的访问。

然后安全组，安全组充当实例的虚拟防火墙以控制入站和出站流量。它运行在实例级别，而非子网级别。

安全组只能添加允许规则，无法添加拒绝规则，这一点要注意。

安全组是有状态的，如果您从实例发出一个出站的请求，则无论入站安全组规则如何，都将允许该请求的响应流量流入。

在配置安全组的规则时，您可以在规则中引用同一区域的其他安全组，也可以引用对等连接中的安全组或者跨账户的安全组，这个特性让我们配置和管理安全组规则非常的方便和灵活。

VPC流日志、堡垒机

VPC 流日志，利用 VPC 流日志您可以捕获有关传入和传出您的 VPC 中网络接口的 IP 流量的信息

可以将VPC流日志数据发布到 Amazon CloudWatch Logs 或 Amazon S3。创建流日志后，可以在您选定的目标中检索和查看其数据。

可以为 VPC、子网或网络接口创建流日志。

当您想了解流量的具体行为时，VPC 流日志就会非常有帮助。当流量没有按照您预期走向时，比如流量被拒绝了，您可以捕获拒绝的日志，查看失败的节点和原因等等。

然后是堡垒机，堡垒机是配置在公有子网的一台EC2实例。当需要SSH私有子网的实例时，可以通过先SSH堡垒机，在通过堡垒机登陆私有子网的实例，一般堡垒机还需要有安全审计的功能。

AWS是没有堡垒机托管服务的，您需要自己配置和管理堡垒机，并自行负责堡垒机的故障迁移和安全性等工作。

当然您也可以使用SSM的会话管理服务登陆并管理实例，而不是通过SSH的方式。这种方式需要在实例上安装SSM代理，关于这部分的内容，我们后面的课时在详细讨论。

IPv6

好，接下来我们看下IPv6的内容。

AWS的VPC是支持IPv6的，EC2实例如果要使用IPv6地址访问internet，大致的流程是这样的：

首先在创建VPC的时候，创建一个IPv6的CIDR块与该VPC关联，然后将互联网网关附加到您的VPC，互联网网关是支持IPv6的。

然后，在公有子网中启动一台EC2实例并分配一个IPv6的地址，并在对应路由表中添加一个路由表条目，内容为将去往::/0的流量发送到互联网网关，将任何去往IPv6的流量发送到互联网网关。这样这台实例就可以通过互联网网关，通过IPv6的流量访问internet。

如果需要允许在这个VPC下的私有子网中的实例，经由 IPv6 到 Internet 的出站通信，并防止 Internet 发起与您的实例的 IPv6 连接，在这种场景下，我们就需要使用类似NAT网关的服务，在公有子网中创建一个 名为“仅出口互联网网关”，它只适用于IPv6的流量。

同样，需要在对应私有子网路由表中添加一条规则，将去往::/0的IPv6流量发送到 “仅出口互联网网关”，这样的话我们在私有子网中的实例，就可以通过IPv6访问，使用“仅出口互联网网关”访问外部的服务。

好的，以上就是VPC基础的内容，概念性的内容比较多，可能会有一些枯燥，不过这些都是基础的知识点，是通过考试必须要掌握的。在后面的课时我会对VPC部分的重点内容展开讨论并进行实操演示。

本节课就到这里，希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

我们开始今天的课程内容。

VPC对等连接是用来连接两个VPC的，两个VPC建立对等连接后，在VPC之间可以使用私有IP地址通信，两个 VPC 中的实例之间的通信就像它们在同一网络中一样。

VPC对等连接关键知识点一

通过对等连接的流量一直处于 AWS 内部网络，不会经过 Internet。

如我们有两个VPC，VPC A 和 VPC B，假如这两个VPC的网络CIDR 块没有重叠，就可以为这两个VPC创建VPC对等连接，然后在更新对应的路由表后，位于VPC A中的实例 就可以通过私有IP地址 通过VPC对等连接 访问VPC B中的实例，反之亦然。

所以我们要知道，创建对等连接的两个VPC不能有重叠的 CIDR 块。

VPC对等连接是两个VPC之间的一对一关系，对等连接是不支持传递的。什么是不支持传递呢，我举个例子，比如VPC A 还需要与另外一个VPC，如VPC C通信，我们就可以将VPC A 和 VPC C 在建立一个VPC对等连接。但在VPC B中的实例 是 无法通过VPC A与VPC C中的实例进行通信的，这是行不通的，因为VPC对等连接是不支持传递的，在这种场景下，如果要使VPC B 访问 VPC C ，就需要在 VPC B 和 C之间在建立一个VPC对等连接。

可以在自己账户下的VPC之间创建VPC对等连接，也可以在自己账户的VPC与其他AWS账户中的VPC之间创建对等连接。

创建VPC对等连接后，还有一项重要的工作是需要手动更新相关的VPC子网的路由表，路由表中要有指向其他要通信的VPC的路由条目，这样在不同VPC下的实例才能够相互间进行通信。

好，我们继续

VPC对等连接关键知识点二

VPC对等连接 支持跨AWS区域和跨AWS账户，不同的AWS区域的VPC之间可以创建VPC对等连接；您的AWS账号下的VPC也可以与其他AWS账户下的VPC创建对等连接。

创建VPC对等连接之后，如果需要，请更新与实例关联的安全组规则以确保进出对等 VPC 的通信不受限制。

在添加安全组规则时，您可以引用另一端的对等 VPC 中的安全组，作为安全组规则中的入向或出向规则的源或目标，即使对等连接另一端的VPC是其他AWS账户下也是同样可以的。这使得我们在通过安全组来限制对等连接访问时能够更加的方便和灵活。

但是要注意，引用对等VPC的安全组，只限于在同一AWS区域下的两个VPC创建对等连接的情况。

最长前缀匹配

最长前缀匹配是路由表的知识点。因为路由表中的每个表项都指定了一个网络，所以一个目的地址可能与多个表项匹配。最明确的一个表项——即子网掩码最长的一个——就叫做最长前缀匹配。之所以这样称呼它，是因为这个表项也是路由表中，与目的地址的高位匹配得最多的表项。流量会选择路由表中与流量最匹配的、最明确的（最长前缀匹配）路由条目，对流量进行路由。

我们来看一个具体的案例，这里一共三个VPC，VPC A 、 VPC B 、 VPC C。
VPC A 分别于VPC B和VPC C之间做了VPC对等连接，通过图中的信息可以看到，VPC B 和 VPC C 具有相同的 CIDR 块，且子网配置的CIDR也是相同的，在这种配置下，VPC B和C之间，是无法创建VPC对等连接的，因为他们的CIDR块相同。但VPC A和B ，以及VPC A 和 VPC C之间的CIDR块都不重叠，所以能够分别创建VPC A 到 B ,VPC A到 C这两个对等连接，这是没有问题的。

假设我们的情况是这样的，在VPC A中的子网A的EC2实例，需要访问VPC B的一台IP为10.0.0.77/32的这个具体IP的实例。对于这台特定IP地址的实例的访问，走左边这条对等连接路由到VPC B ；然后所有以 10.0.0.0/16 IP 地址范围为目标的其他流量都通过这个VPC对等连接去访问 VPC C。

在这种情况下我们就需要配置路由表，将VPC A对这个具体单台实例的访问路由到VPC B，所有其他流量路由到VPC C 。我们来看一下具体的路由表条目。

VPC A的路由表，目的地172.16.0.0/16，这是VPC A本地的地址段，目标为本地。
目的地为10.0.0.77/32，目的地为一个具体的实例的IP地址，访问这个IP的流量，目标为VPC B。

然后，所有以 10.0.0.0/16 IP 地址范围为目标的其他流量都去访问 VPC C。
当有访问10.0.0.77这台实例的流量时，路由表中10.0.0.77/32这条就是一个最明确的、有最长前缀的路由条目，流量会选择此条目将流量路由到VPC B，然后其他的访问10.0.0.0/16流量在通过下一条路由条目路由至VPC C。

好，另外两个VPC的路由条目，除了到本地流量，还分别有一个VPC对等连接的路由条目，没什么特别要说明的。

好，以上就是最长前缀匹配，也就是通常说的优先匹配最具体、最明确的路由条目，对应我们这个案例就是10.0.0.77/32这个路由条目。

不受支持的VPC对等配置

好，接下来的内容，我们一起来看下在VPC对等连接的配置中，有哪些配置是无效的，是不受支持的。

首先，重叠CIDR块。

如果两个VPC使用相同的CIDR块，那么他们之间将无法创建VPC对等连接。

即使VPC 有多个 IPv4 CIDR 块，但只要有任何 CIDR 块重叠，都无法创建 VPC 对等连接

这个限制也适用于具有非重叠 IPv6 CIDR 块的 VPC。即使您打算只将 VPC 对等连接用于 IPv6 通信，如果 VPC 具有匹配或重叠的 IPv4 CIDR 块，您也无法创建 VPC 对等连接。

其次，对等连接是不支持传递的，这个我们前面也讲过。

如果VPC A 和 B ,VPC A和C 分别创建了VPC对等连接， VPC B 是无法通过 VPC A 访问 VPC C的， VPC B如果需要与 VPC C通讯则必须在他们之间创建VPC对等连接。

最后，不支持边界到边界的路由。这是什么意思呢？

我举几个例子，如图，VPC A 和 VPC B建立了对等连接，VPC A 通过VPN或者DX专线连接到了企业的网络，企业的网络流量可以访问VPC A，VPC A可以通过对等连接访问VPC B ，但是来自企业的网络流量是无法通过与VPC A连接的VPN或者DX专线 访问 VPC B的，原因是不支持边界到边界的路由。

同样我们在看一个案例，VPC A 和 VPC B建立了对等连接，VPC A中有一个互联网网关，VPC B是无法通过与VPC A的对等连接，使用VPC A中的互联网网关访问internet的。
可能考试中会有类似的题目，比如组织中设置一个中心的VPC，然后在中心的VPC中配置一个NAT网关和互联网网关，然后在创建多个分支VPC，并与这个中心的VPC分别创建VPC对等连接，然后其他的分支VPC中的实例，能否通过与中心VPC的对等连接，通过中心VPC的NAT网关以及互联网网关访问internet呢，这个方式是否可行？这是一个无效的配置，因为VPC对等连接不支持边界到边界的路由。

所以综上，大家一定要记住，在VPC对等关系中的任一VPC 具有的VPN连接、DX连接、互联网网关、NAT网关、网关终端节点，是无法扩展到另一向对等连接中，因为VPC对等连接是不支持边界到边界的路由的。

例如，如果 VPC A 和 VPC B 建立了对等连接，并且 VPC A 具有以上这些任一连接或资源， VPC B 中的实例是无法使用该对等连接 来访问VPC A中的这些资源的。

好的，以上就是我们今天的VPC对等连接的内容，希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

我们开始今天的课程内容。

终端节点策略：仅允许访问指定存储桶的策略的实例

我们先看一个终端节点策略的示例：
这是一个通过配置终端节点策略，限制所有人仅可访问这个特定的存储桶，除了这个指定的存储桶，其他的存储桶不允许被访问，且只可执行S3的Get和PutObject操作，。

这个场景在组织的实际环境中还是比较常见的 ，如组织可能在同一AWS区域中有很多S3存储桶，负责存储不同业务的重要日志或者数据，但只希望将某业务通过终端节点的访问 限制在对应该业务的存储桶上，不允许访问其他存储桶，这种场景就可以在对应终端节点上通过这个示例的策略内容进行访问控制。

我们这节课的实操演示，就演示这个：通过终端节点访问S3，使用终端节点策略做访问限制，仅允许访问策略中指定S3存储桶，仅可执行允许的动作。

实操演示：终端节点策略

我现在已经创建好了一个用于访问S3的网关终端节点，通过“策略”部分，可以查看这个终端节点当前的策略内容，目前策略是默认的允许所有访问。这就是说，如果我们的一个EC2实例，使用这个网关终端节点访问S3，如果EC2上的IAM角色或S3存储桶策略允许访问存储桶，那么正常情况下策略项是没有问题的，因为目前终端节点的策略是放行所有对于S3的访问。

我们现在就来确认下是不是这样，先切换到S3控制台，可以看到目前在测试的EC2所在的东京区域，一共有两个存储桶，名为endpoints-test001和endpoints-test002。

然后切换到测试的EC2上，我们演示的环境是通过这台EC2，使用刚才的那个终端节点访问S3存储桶。

这台EC2我给其配置了允许访问S3相应IAM权限，IAM策略方面对访问S3没做任何的限制，而当前的终端节点策略我们刚才看到了也是允许所有访问的，所以这台EC2目前应该可以正常访问S3存储桶。

我们现在测试下访问这两个存储桶：
aws s3 ls s3://endpoints-test001
aws s3 ls s3://endpoints-test002
好，可以看到目前可以正常访问这两个存储桶并列出2个存储桶内的对象。

接下来我们就演示，配置一个终端节点策略，通过策略限制只能对策略中指定存储桶进行访问。

需要说明一点，在您自行做实验的时候，要确保EC2上的IAM角色以及存储桶策略都是允许访问S3。

好，我们切换到VPC终端节点，然后通过“策略”，点击编辑策略，选择“自定义”，然后就可以在下方空白处写入终端节点策略。

我已经准备好了策略的内容，我们来看一下：

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:List*"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::endpoints-test001",
                   "arn:aws:s3:::endpoints-test001/*"]
    }
  ]
}       

这是一个简单的终端节点策略，仅允许通过终端节点访问指定的这个存储桶以及执行允许的动作。

对应我们的演示，在终端节点配置这个策略之后，EC2通过终端节点访问S3存储桶，只能够访问endpoints-test001这个指定的存储桶，其他的存储桶如对应前面的endpoints-test002 将无法访问，且只能执行S3的这三个指定的Get PutObjetc及List动作。

我们现在把这个策略复制粘贴到终端节点的策略部分，那么如果一切正常情况下，在策略保存后，我们测试的EC2应该只能够访问endpoints-test001存储桶；之前同样可以访问的test002存储桶，在策略保存后将会无法访问。

点击“保存”，然后我们切换到EC2上测试下是不是这样。

切换到我们之前的EC2上，我们快速验证下终端节点策略是否有效：

我们先输入命令列出test001存储桶的内容：
aws s3 ls s3://endpoints-test001
好，可以正常访问endpoints-test001存储桶。

那我们继续访问下endpoints-test002存储桶：
aws s3 ls s3://endpoints-test002
无法访问提示访问被拒绝，因为在终端节点策略中，只允许通过终端节点访问test001这个指定存储桶，其他存储桶将不允许访问，我们的实操演示成功。

好的，以上我们实操演示了使用终端节点策略，限制通过终端节点访问服务的内容，希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。

VPC 终端节点策略的考点会经常出现在SAP认证考试中，会有一些题目涉及 访问S3 的终端节点的内容，然后让你设计控制S3存储桶的访问，这种场景是可以使用S3 存储桶策略来控制 从特定终端节点 或 特定 VPC 对存储桶进行访问。

好，我们开始今天的课程内容。

在创建终端节点时，可以通过配置终端节点策略，来控制对使用终端节点连接到的AWS服务的访问。通过在策略部分配置相应的策略内容，达到控制通过终端节点访问AWS服务的目的。

另外要注意，并非所有服务都支持终端节点策略。

终端节点策略使用JSON文档来控制服务的访问，我们看个策略的例子：

这是一个 控制Amazon SQS 服务访问的 VPC 终端节点策略，在这个策略中配置了以下内容：

• 可执行操作的委托人，为一个特定IAM用户。
• 可执行的操作，为sqs:SendMessage。
• 可执行操作的资源，为策略中的这个特定的资源。

这个终端节点策略是应用在终端节点上的，意味着只有这个特定的IAM用户，允许通过这个终端节点，访问这个特定的资源，且只可执行sqs:SendMessage动作。

注意，终端节点策略不会覆盖或取代 IAM 用户策略或服务特定策略，如IAM用户同样需要被授权访问SQS服务，您也同样可以在使用服务特定的策略在多加一层控制，如：SQS访问策略或者S3存储桶策略。

终端节点策略是一个单独策略，用于控制从终端节点对指定服务进行的访问，它提供了额外层面的保护，提供了VPC终端节点级别的访问控制。

需要注意，即使配置了上面的终端节点策略，IAM 用户仍可绕过这个终端节点，不通过终端节点而使用公有路由通过公网访问其他 Amazon SQS API 操作，如果访问都没有通过终端节点，自然终端节点策略就起不到作用了。

在这种情况下，就可以在配置一个SQS队列策略，内容为：如果不是来自 VPC 终端节点，则拒绝访问，强制让对SQS的访问都只能通过终端节点；然后在通过终端节点策略在做进一步的访问控制。

接下来我们看2个访问 Amazon S3 的终端节点策略，通过策略示例让大家更深入的理解终端节点策略的作用。

终端节点策略：仅允许访问指定存储桶的策略的示例

我们来看下，这个是通过配置终端节点策略，仅允许访问一个特定的存储桶，就是这个my_secure_bucket 的策略的示例。

这个策略允许任何人，仅可以对my_secure_bucket这个存储桶执行S3的Get和PutObject操作。仅可访问这个特定的存储桶，其他的存储桶不允许访问，如果您的 VPC 中有使用 S3 存储桶的其他 AWS 服务，这会非常有用。

只允许访问Amazon linux的存储库

我们来看另外一个终端节点策略，策略的内容为只允许访问Amazon linux的存储库。

当EC2的Amazon linux系统需要update时，实际上它们是从Amazon负责管理的S3上获取更新包的，这个终端节点策略允许您的EC2使用这个终端节点，通过AWS私有网络访问存储库进行系统的update。

S3存储桶策略基于VPC终端节点的一些常见的访问控制的应用

好，接下来的内容我们讨论下S3存储桶策略基于VPC终端节点的一些常见的访问控制的应用，注意这部分内容非常非常重要，会出现在AWS SAP认证考试中。

在使用终端节点访问S3存储桶的这个应用场景中，还可以使用S3存储桶策略，来控制从 特定终端节点 或 特定VPC 对存储桶的访问，这需要在S3存储桶策略中配置特定的Condition。

只允许从特定的终端节点访问存储桶，是通过Condition的配置 ，使用aws:sourceVpce 条件指定终端节点，后面指定终端节点ID，对应这个例子是3c4d这个终端节点。
Condition: “aws:sourceVpce”: “vpce-1a2b3c4d”

然后我们就可以配置存储桶策略，拒绝所有其他的访问只允许通过这个指定的终端节点访问存储桶，这样就可以通过存储桶策略将访问存储桶的权限只限于通过这个特定的终端节点。

如果您在同一 VPC 中配置了多个终端节点，并且您希望管理所有终端节点到 S3 存储桶的访问，这种情况可以使用 aws:sourceVpc 条件来限制对特定 VPC 的访问的存储桶策略。

但是要注意的是，aws:sourceVpc条件只适用于通过VPC终端节点使用AWS私有网络访问服务的环境，如我们在同一 VPC 中配置了多个终端节点，您希望在存储桶策略中管理所有终端节点的访问。

对于S3存储桶的访问控制，大家可能接触过通过存储桶策略的aws:SourceIp条件限制访问IP；但注意，对于通过 VPC 终端节点向 Amazon S3 发出的请求，是无法在存储桶策略中使用 aws:SourceIp 条件的，在这种场景下，做访问控制不能在策略中将aws:SourceIp配置为终端节点的私有IP地址。

aws:SourceIp 条件只能限制公有IP访问；所以要记住，如果您使用了VPC终端节点，您想基于不同的终端节点做访问限制，请在存储桶策略通过配置Condition指定 特定 VPC 或特定 VPC 终端节点来实现；

如果您是通过公有网络访问S3存储桶，可以使用aws:SourceIp来做来源IP的访问限制。

S3存储桶策略在VPC终端节点场景下应用的存储桶策略的示例

好，接下来看下S3存储桶策略在VPC终端节点场景下应用的存储桶策略的示例。

注意这两个示例都是在S3存储桶上配置的存储桶策略。

左边的策略的内容为仅允许从终端节点 vpce-1a2b3c4d 访问特定存储桶 my_secure_bucket 的 S3 存储桶策略的示例，是通过在策略中配置：禁止任何人对S3的特定存储桶的访问，仅允许这个特定的终端节点访问存储桶。

右边的策略是在存储桶策略上限制对特定VPC的访问。策略的内容为拒绝所有访问，仅允许 VPC vpc-111bbb22 访问 my_secure_bucket存储桶及其对象。

ok，这节课我们讨论了终端节点策略，以及在使用终端节点访问S3的场景下，通过S3的存储桶策略对访问进行控制。

终端节点策略：访问S3故障排查

大家知道还有IAM策略等对用户或者对资源访问控制的服务，所以当访问一个服务或资源时，这些访问控制的点都会决定是否能够成功访问到服务或资源。

那接下来我们就来讨论，如果一个EC2实例，通过网关终端节点使用私有网络访问S3存储桶的这个场景下，当访问出现问题时，可能是哪些节点的问题，也为故障排查提供一个思路。

那我们开始。
首先，要先检查实例的安全组，实例安全组的出站规则要有允许相应的访问出站，安全组不允许出站，访问肯定出不去；

然后，EC2通终端节点访问服务，需要检查对应VPC终端节点上的终端节点策略，是否允许EC2访问S3；

接下来，检查路由表，确认路由表中有通过网关终端节点访问S3的路由条目，如果没有对应的路由EC2就无法知道通过终端节点访问S3，自然就无法访问。

还需要确认VPC的DNS设置，需要启用DNS解析；这些我们前面的课时都讲过。

EC2的访问通过网关终端节点后，还需要确认S3的存储桶策略是否允许EC2访问存储桶。
最后 ，还有IAM权限。在大部分应用场景中，这台EC2可能会附加一个角色，要确认这个IAM角色是否允许访问S3存储桶。

好，大家可以看到，有很多组件和服务的配置会影响EC2访问S3存储桶，理解这些内容将会对于认证考试会很有帮助。

OK，我们今天的课时讨论了VPC终端节点策略的内容，希望本课时能够给大家带来帮助。下节课我们将对此部分进行实操演示。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。