Amazon Virtual Private Cloud (AWS VPC) kompakter Kurs

1. Einführung I: Sie möchten die AWS VPC besser kennenlernen, können sich aber nicht wirklich durch die überwältigende Dokumentation zurechtfinden . Man musste sich andere Lernressourcen ansehen, indem man beachtet. Ich weiß nicht wirklich, ob es für dich als Anfänger sinnvoll ist , 40 Stunden an einem theoretischen Kurs zu arbeiten . Sie fragen sich, ob es jemanden gibt, der das gesamte Thema genau aufschlüsseln kann , damit Sie am Ende etwas daraus bekommen Vielleicht möchten Sie sich sogar auf die AWS Solutions vorbereiten Architekt Associate XM. Und das Thema Networking ist immer noch überwältigend. Herzlichen Glückwunsch, hier ist der richtige Ort für Sie. Ich bin Philip von anständigen Notizen, Cloud Engineer mit mehrjähriger Berufserfahrung und Associate von Berufserfahrung und AWS Solutions Architect. Mein Ziel ist es, Ihnen alle wichtigen Komponenten der AWS VPC in kürzester Zeit zu erklären alle wichtigen Komponenten der AWS VPC in kürzester Zeit zu , damit Sie sie gut verstehen und praktisch sofort nutzen können. Ziel des Kurses ist es, gemeinsam mit Ihnen eine produktionsfertige Cloud-Native VPC von Grund auf neu aufzubauen Ihnen eine produktionsfertige Cloud-Native VPC von Grund auf neu und Ihnen die notwendigen theoretischen und praktischen Tools zu bieten , ist das Ganze speziell entwickelt für Anfänger bis Fortgeschrittene. In diesem Kurs versuchen wir, beim reinen VPC-Service nur dort, wo es wirklich notwendig ist, so sauber wie möglich auszusehen beim reinen VPC-Service nur dort, wo es wirklich notwendig ist, so sauber wie möglich . Wir befassen uns kurz mit anderen AWS-Services. Was ist in diesem Kurs nicht enthalten. Wenn Sie tief in das dynamische Routing mit BGP eintauchen möchten, wenn Sie dreiseitige redundante On-Prem Cloud-Verbindungen aufbauen redundante On-Prem Cloud-Verbindungen 50 Petabyte Daten von Ihrem lokalen Rechenzentrum in die Cloud neu zu graden . Dies ist nicht der richtige Kurs für dich. Wir konzentrieren uns hier auf die reine Cloud-Seite. Wir bleiben vorerst nativ genannt, pure Cloud oder wo auch immer Sie es nennen möchten. Wenn Sie alles lernen möchten, was Sie in der soliden Produktions-VPC in der AWS Cloud wissen der soliden Produktions-VPC in müssen, in kurzer Zeit. Wenn Sie nicht nur theoretische Essenz zum Lernen benötigen, sondern jemanden, der Ihnen alle wesentlichen Komponenten im Detail zeigt , dann ist dies der richtige Ort für Sie. Melde dich schnell an und wir sehen uns in einer Sekunde. Lassen Sie uns zusammen etwas vernetzen. 2. AWS VPC: In dieser ersten Vorlesung möchte ich Ihnen einen kurzen Überblick über dieses gesamte VPC-Thema geben und wie es mit der AWS Cloud zusammenpasst . Die AWS Cloud ist ein gemeinsames Netzwerk. Sie können sich vorstellen, dass es physische Knoten, starreiches Netzteil gibt und es auch ein privates Rückgrat gibt, da Sie alle verschiedenen Rechenzentren auf der ganzen Welt verbinden müssen , die wird bereitgestellt oder die von AWS bereitgestellt werden. Und sie müssen privat verbunden sein. Und das ist der Zweck dieses Rückgrats. Dann haben Sie die VPC und VPC ist dann ein privates Netzwerk. Zum Beispiel nur für Sie, nur Ihr privates Netzwerk in dieser AWS Cloud. Und auf dieser Folie sehen Sie, dass sich in dieser AWS Cloud mehrere VPCs befinden. Zum Beispiel können Kunde a und Kunde B ihre eigenen VPCs aufdrehen. Sie als Kunde können aber auch mehrere VPC starten. Das ist also kein Problem. Und was wirklich wichtig ist , ist , dass es einige globale Dienste von AWS gibt, wie Sie hier auf der linken Seite sehen können. Zum Beispiel ist dies S3. Dies ist also der Speicherservice von AWS oder auch SQS oder dem DynamoDB. Und diese Dienste werden in ihren eigenen VPCs ausgeführt, oder dies ist eine VPC, die von AWS verwaltet wird. Und was wirklich wichtig ist, dass Sie Ihr privates S3-Paket nicht beispielsweise in Ihrer VPC aufdrehen können . In Ihrer privaten VPC. Dies wird immer von AWS bereitgestellt und gewartet. Und Sie müssen sich über unsere Endpunkte mit diesen Diensten verbinden . Wenn Sie jedoch nur einen einfachen EC2-Computer starten möchten, zum Beispiel Ihren eigenen Server. Dies ist etwas, was Sie in Ihrer privaten VPC tun können. Auf dieser Folie sehen Sie eine detailliertere Struktur über die AWS Cloud. Und im Grunde ist es in mehrere Regionen strukturiert. Eine Region ist ein größeres geografisches Gebiet. Zum Beispiel USE Store US West, Frankfurt oder ILM. In einer Region gibt es mehrere Availability Zones. Und eine Availability Zone ist ein Rechenzentrum. Es ist gleich einem Rechenzentrum. Ja. Wie viele Verfügbarkeitszonen es in einer Region gibt, hängt von der Region ab. Manchmal sind es also drei, manchmal sechs. Wenn Sie eine VPC aufdrehen möchten, müssen Sie zuerst die Region auswählen. Willst du dich drehen? In den USA Ost oder in Irland, in Europa? Du musst es auswählen. Sobald Sie es ausgewählt haben, können Sie es erstellen. Und es wird standardmäßig über alle diese Availability Zones in dieser Region erstellt . Und dann können Sie ein Subnetz erstellen. Subnetze. Und Sie können beispielsweise entscheiden, in welcher Availability Zone ich mein Subnetz erstellen möchte. Aber im Grunde genommen die Best Practices , nur ein Subnetz in jeder Availability Zone zu erstellen. Aber wenn Sie zum Beispiel die Anforderung haben, nur eine EC2-Maschine zu und nur ihre ästhetische Website und Sicherheit zu hosten , spielt es keine Rolle. Dann können Sie einfach ein Subnetz in einer Availability Zone erstellen , da es sinnvoller ist, mehrere Subnetze für diese Anforderung zu haben. 3. Ressourcen verwalten: In dieser Vorlesung möchte ich für Sie nur die wichtigsten Ansätze zusammenfassen , wie Sie Ihre Ressourcen in AWS verwalten können. Die erste ist die Verwaltungskonsole. Dies ist so etwas wie grafische Benutzeroberfläche zur Verwaltung Ihrer Ressourcen. Dann haben Sie die AWS CLI und natürlich auch mehrere SDKs. Ich möchte dir nur dieses Leben zeigen. Die Links finden Sie auch hier unten. Und wir gehen zur Managementkonsole. Dies ist, wie ich bereits sagte, der grafische Ansatz zur Verwaltung Ihrer Ressourcen. Und ich wollte hier die VPC auswählen , weil sie heute zu unserem Thema passt. Ja, hier kann ich zum Beispiel Ihre VPCs auswählen und eine VPC erstellen. Und ja, im Grunde ist dies die Hauptkonsole, um Ihre Ressourcen zu verwalten , da Sie in dieser Konsole fast alles tun können . Der andere Ansatz besteht darin, die Befehlszeilenschnittstelle von AWS zu verwenden. Im Grunde müssen Sie dieses Tool nur herunterladen und dann können Sie Ihre Ressourcen während des Terminals, Ihrem Lieblingsterminal, verwalten Ihre Ressourcen während des . Es gibt auch keinen großen Unterschied zwischen der CLI und der Verwaltungskonsole. Manchmal erstellt die Managementkonsole jedoch einige Ressourcen unter der Haube. Und wenn Sie dann Ihre Ressourcen über die Befehlszeilenschnittstelle erstellen, fragen Sie sich, warum es nicht funktioniert. Und dann musst du etwas tiefer in die Ressource eintauchen , die du einrichten möchtest. Weil manchmal nur einige andere abhängige Ressourcen fehlen, die von der Managementkonsole unter der Haube erstellt werden . Und der dritte Ansatz besteht darin, SDKs zu verwenden. Und wie Sie hier sehen können, gibt es für fast jede Programmiersprache ein SDK, weil meine Muttersprache Python ist. Ich möchte Ihnen diesen SDK-Ansatz mit Hilfe von Python zeigen . Also habe ich hier ausgewählt und dann kann ich hier zum Beispiel AWS SDK für Python auswählen . Und dann weißt du hier auf dieser Seite, dass es Foto drei heißt. Sie haben eine Anleitung, wie Sie installieren können, in diesem Fall das Portal drei SDK und Sie haben die Dokumentation hier. Und dann können Sie einfach die Dokumentation durchgehen und wie sie installiert ist und wie Sie sie verwenden können. Am Ende müssen Sie jedoch verstehen, müssen Sie jedoch verstehen welche Ressourcen Sie einrichten möchten. Und das sind nur Werkzeuge, um das zu tun. Ja, Sie können sich entscheiden, dass ich die Konsole benutzen möchte, ich möchte am Ende die CLI oder SDKs verwenden , es spielt keine Rolle. Und es gibt auch einen anderen Ansatz. Aws bietet auch eine API und im Grunde basiert die CLI auf dieser API. Es gibt aber auch Tools wie die Terraform-Infrastruktur als Code. Und normalerweise verwende ich Terraform, also mache ich nicht so viel in der AWS Management Console. Aber für diese Stunde werden wir einen weiteren Kurs für dieses gesamte Terraform-Thema einrichten . In diesem Kurs möchten wir uns auf die AWS-Managementkonsole konzentrieren. Tun Sie es grafisch , weil wir einfach nur verstehen wollen , wie es funktioniert. Aber wir werden auch die CLI installieren , nur um zu wissen, wie das funktioniert. Und wir möchten auch einige Ressourcen sowohl mit der Managementkonsole als auch mit der CLI erstellen einige Ressourcen sowohl mit . 4. Preisgestaltung: Die Themenpreisgestaltung ist insbesondere in der Geschäftswelt ebenfalls sehr wichtig . Ich wollte Ihnen also nur einen kurzen Überblick oder einige grundlegende Regeln geben , die Sie befolgen können , um sich den Überblick über die Kosten zu verschaffen. Und im Prinzip keine zusätzlichen Kosten für die VPC an. Wenn Sie zum Beispiel einen EC2-Computer erstellen und einfach nur diesen Dienst verwenden möchten, diesen Dienst, diesen Dienst, dann ist das Netzwerk bereits enthalten. Es gibt jedoch einige Dienste oder einige Funktionalitäten , bei denen die Wahrscheinlichkeit sehr hoch ist, dass zusätzliche Gebühren anfallen. Dies ist im Grunde genommen die Steuerung und Überwachung der VPC. Jedes Mal, wenn es etwas mit der Überwachung gibt, ist die Chance sehr hoch , zusätzliches Stück zu haben. Auch jedes Mal, wenn sie eine Äußerungsmission sind, zum Beispiel zwischen verschiedenen Regionen oder von einer Region ins Internet und aus dem Internet zurück eine Region oder Availability Zone , in der eine Verbindung stattfindet und Datenübertragung und auch Sicherheit natürlich, zum Beispiel, wenn Sie eine ausgeklügelte Firewall einrichten möchten , dann müssen Sie dafür zusätzliche Gebühren bezahlen. Also das alle Grundregeln. Und in diesem Kurs möchte ich manchmal auch über die Preisgestaltung sprechen , wenn wir die verschiedenen Komponenten erstellen. Die meisten Komponenten, über die wir in diesem Kurs sprechen, sind jedoch ohne zusätzliche Kosten. Aber das sind die Grundregeln. 5. Einen IAM erstellen: In diesem Kapitel möchten wir unser AWS-Konto vorbereiten. Ich weiß nicht, ob Sie bereits ein AWS-Konto haben. Also nehme ich an, dass es bereits ein Hauptkonto gibt. Wenn Sie derzeit kein AWS-Konto haben, können Sie einfach zur AWS-Konsole gehen und dann Ihr Hauptkonto registrieren. Was wir jetzt tun wollen, ist, dass wir einen sogenannten IAM-Benutzer erstellen möchten. Ich weiß nicht, ob Sie den IAM-Service von AWS bereits kennen . Es heißt Identity Access Management. Und im Grunde ist dies nur die Benutzerverwaltung. Wechseln wir also zur Konsole. Sie können es schon hier und da vor kurzem mit den kürzlich besuchten Diensten, dem IAM-Dienst, sehen, weil ich es bereits besucht habe. Und Sie können hier einfach nach dem IAM-Dienst suchen und ihn auswählen. Dann bist du hier. Und dann gehen wir hierher zu den Benutzern und möchten den Benutzer hinzufügen. Dann kannst du ihm einen Namen geben. Ich möchte eine anständige Notiz nennen. Und dann treffen wir den Zugriff auf die AWS Management Console. Dies ist also erforderlich , da wir die Management Console verwenden möchten. Ich möchte dir auch manchmal ein bisschen die CLI zeigen. Deshalb wähle ich Ihnen auch wähle ich Ihnen den Zugriffsschlüssel aus, den programmatischen Zugriff. Aber Sie können entscheiden, ob Sie dies tun möchten oder ob Sie einfach nur zusehen möchten. Wenn ich Ihnen die CLI-Methode zeige , möchte ich hier ein benutzerdefiniertes Passwort angeben. Und ich möchte mein Passwort auch nicht zurücksetzen. Aber ja, am Ende, wenn Sie möchten, wenn Sie wirklich sicher sein möchten, können Sie natürlich die Option für das automatisch generierte Passwort wählen oder Sie können auch ein Passwort erstellen WIOA und Passwort-Manager. Und Sie können hier das Kontrollkästchen auswählen, um das Passwort zurückzusetzen. Dann sind die Berechtigungen der nächste Schritt. Ich will es nicht speichern. Dies ist etwas, das wir für die nächste Vorlesung verschieben. Und dann kannst du ein paar Texte erstellen, einfach ein paar Texte zuweisen. Zum Beispiel wird die Umgebung für mich gebracht oder so ähnlich. Ja. Und dann nur um den Benutzernamen zu überprüfen, sind anständige Notizen. Wir möchten den programmatischen Zugriff und den Zugriff auf die Managementkonsole unterstützen . Wir haben ein benutzerdefiniertes Passwort erstellt und den Benutzer erstellt. Dann sehen Sie hier, dass AWS den Benutzer erstellt hat und auch für den programmatischen Zugriff, den Zugriffsschlüssel und den geheimen Zugriffsschlüssel. Und dieses Wertepaar kann ich hier mit dieser CSV-Datei herunterladen. Ich habe bereits eine CSV-Datei heruntergeladen. Dann haben Sie nur eine CSV-Datei , in der sich die beiden Werte befinden , und wir können sie später verwenden, um die CLI einzurichten. Dann musst du nur hier auf die Schaltfläche „Schließen“ klicken. Und dann haben wir erfolgreich den Benutzer erstellt, in meinem Fall, anständige Notizen. 6. Zuweisen von IAM: Jetzt müssen wir dem AWS IAM-Benutzer die richtigen Berechtigungen zuweisen , die wir in der letzten Vorlesung erstellt haben. Weil dieser Benutzer derzeit keine Berechtigung hat , irgendetwas zu tun. Und wir möchten einige VPC-Ressourcen erstellen, einige Komponenten mit Hilfe dieses Benutzers. Also wechseln wir erneut zur Konsole und wählen erneut den IAM-Dienst aus. Vielleicht bist du schon da. Und wir gehen zu Benutzern und wählen den erstellten Benutzer aus. Und dann sehen Sie hier den Button Berechtigungen hinzufügen und wir klicken auf diese Schaltfläche. Sie haben mehrere Möglichkeiten, wie Sie die Richtlinien oder Berechtigungen auswählen können . Wir möchten bestehende Richtlinien direkt anhängen. Und dann müssen wir nach EC2 suchen. Sie können einfach hier eintippen EC2 und dann EC2 Full xs auswählen. Dann brauchen wir auch VPC, voller Überschuss. Also sucht es einfach hier nach VPC. Und dann wähle ich Amazon VPC, Vollzugriff. Dann benötigen wir auch einen Systemadministratorberechtigungen. Also suche ich nach System und kann dann hier Systemadministrator auswählen. Und am Ende können wir IAM vollen Zugriff zuweisen. Wenn Sie sich fragen, warum wir diesem Benutzer jetzt geben, bin ich Narrenaktionen, weil wir hier im Grunde genommen schwer sind. Und das liegt nur daran, dass ich hier keinen vollständigen IM-Kurs machen möchte. Und einige Ressourcen benötigen einige IAM-Berechtigungen. Ich möchte nicht auswählen oder eingeschränkt sein, sehr spezifisch. Deshalb nutzen wir hier einfach vollen Zugriff. Aber ja, natürlich unterstütze ich immer den am wenigsten privilegierten Ansatz und unterstütze Sie immer , wenn Sie sich hinsetzen und nach den ganz spezifischen IAM-Richtlinien suchen , sind Aussagen, dass die Berechtigungen sind so weit wie möglich eingeschränkt. Ja. Und dann können wir hierher gehen, um zu überprüfen und zu überprüfen, welche Berechtigungen wir zuweisen, welche Richtlinien wir diesem EC2 zugewiesen haben, wir hätten vollen Zugriff als Systemadministratorrechte und ich bin voll x. Und wir können hier auf Berechtigungen hinzufügen klicken. Los geht's. Wir weisen die richtigen Berechtigungen zu. Ich denke, das reicht aus , um das zu tun, was wir tun wollen. Vielleicht haben wir am Ende ein bisschen zwei Kanten, aber hauptsächlich reicht dies um alle VPC-Ressourcen einzurichten, die wir einrichten möchten. 7. AWS Command Line Interface (CLI): Der wirklich letzte Vorbereitungsschritt besteht darin, die CLI zu installieren. Sie können entscheiden, ob Sie die CLI installieren möchten, da wir sie nicht so oft verwenden möchten. Ich möchte nur erwähnen , dass es existiert. Aber ja, unsere Hauptkonsole ist die Managementkonsole, die grafische Benutzeroberfläche, weil wir verstehen wollen, wie sie funktioniert. Wir wollten verstehen, wie wir eine VPC bauen können. Und wir wollen es nicht mit zwei oder drei verschiedenen Ansätzen erstellen . Aber ja, ich möchte dir nur zeigen, wie es funktioniert und ich wollte nur erwähnen, dass die CLI existiert. Also ja, ich wechsle wieder zu meinem Browser. Und Sie können hier die Dokumentation der Befehlszeilenschnittstelle sehen . Sie können nur für die Befehlszeilenschnittstelle AWS googeln oder den Link verwenden, der ebenfalls in unseren Folien enthalten ist. Und alles, was Sie tun müssen, ist hier zu klicken, um sie zu starten und ein Update zu installieren. Und dann müssen Sie Ihr Betriebssystem auswählen. In meinem Fall ist es macOS. Und dann können Sie hier diese Installationsdatei installieren. Ich habe es schon heruntergeladen. Und dann kannst du es einfach installieren, doppelklicken und installieren. Und dann können wir zum Terminal wechseln . Und das erste, was wir bekommen müssen, sind die Anmeldeinformationen. Wenn Sie sich erinnern, haben wir den Benutzer erstellt und dann die CSV-Datei mit dem Zugriffsschlüssel und dem geheimen Zugriffsschlüssel heruntergeladen . Also denke ich, dass es in meinem Download-Ordner ist. Ja, hier ist es. Ich habe gerade diese CSV-Datei geschnitten. Natürlich ist es schlecht , die Swift-Anmeldeinformationen für Dateien zu schneiden , da es in der Geschichte dünn ist. Und Sie möchten Ihren geheimen Zugriffsschlüssel auch nicht mit anderen Benutzern teilen. Aber in diesem Fall ist es nur der Präsentationsmodus. Ich werde diesen anständigen Melts-Benutzer danach löschen. Also bitte verzeihen Sie mir für den vierten Schnitt dieser Anmeldeinformationen. Dann kann ich überprüfen, ob die Installation der AWS CLI erfolgreich war. Und ich mache das mit dem Befehl AWS Dash, Dash Version. Und wie Sie hier sehen können, funktioniert es einwandfrei. Also habe ich die Version 252 erfolgreich installiert. Und jetzt muss ich nur mein AWS-Konto konfigurieren. Ich mache das mit AWS configure. Und dann kopiere ich hier diese Zugriffsschlüssel-ID. Und dann kopiere ich den geheimen Zugriffsschlüssel von AWS. Das ist dieser hier. Einfügen. Und dann muss ich eine Standardregion auswählen. Und wenn wir zum Browser zurückkehren, zur Verwaltungskonsole, können Sie beispielsweise den VPC-Dienst auswählen. Und dann siehst du hier diese Auswahl. Hier alle alle verschiedenen Regionen, die derzeit in Ada in der AWS Cloud verfügbar sind . Ja. Ich mag Irland. Deshalb habe ich mich entschieden, die Standardregion zu verwenden , Sie West One. Im Grunde ist dies Ihre Entscheidung, wo Sie Ihre VPC mit der CLI aufdrehen möchten . Natürlich müssen Sie bei der CLI nur eine Standardregion definieren. Wenn Sie die Region nicht direkt angeben, werden Ihre Ressourcen in die Höhe geschaltet. In Sicht ist diese Standardregion. Darum geht es genau. Ich wähle diese Region Irland hier aus. Wenn ich zurück zum Terminal gehe, kann ich einfach hier eintippen. Du West Eins. Das Standardausgabeformat, das Sie leer lassen können. Ja. Dies ist alles, was wir tun müssen, um die AWS CLI zu konfigurieren 8. Helicopter View Default: Jetzt ist es aufgeregt. Wir möchten über das Thema Standard-VPC sprechen. Was ist die Standard-VPC? Aws erstellt standardmäßig in jeder Region in der Cloud eine Standard-VPC für Sie. Ich denke, dies ist bei allen AWS-Konten der Fall , die nach 2014 erstellt wurden. Ich glaube. Sehr wahrscheinlich wird es auch in Ihrem Konto erstellt. Und auch AWS erstellt in jeder Region, für jede VPC, einige öffentliche Subnetze in jeder Availability Zone , die sich innerhalb der Region befindet. Was ist der Zweck einer Standard-VPC? Der Zweck ist, dass Sie beispielsweise in der Lage sind, sehr schnell zu starten einen EC2-Computer sehr schnell zu starten, auf dem Sie beispielsweise eine statische Website hosten können und nicht um alle Netzwerksachen kümmern möchten. Sie möchten nur sehr schnell Ihre Ressourcen erstellen und sich nur auf die Einrichtung der EC2-Maschine konzentrieren, dann ist die Standard-VPC der richtige Weg für Sie. Ja. Ich wollte Ihnen nur einen kurzen Hubschrauberüberblick geben, was AWS standardmäßig für Sie in jeder Region erstellt. Hier sehen Sie wieder die AWS Cloud und Ihre VPC. Wir befinden uns in einer Region. Und dort finden Sie natürlich die Availability Zones. Und in jeder Availability Zone gibt es ein öffentliches Subnetz. Du siehst es hier. Und AWS erstellt einen DHCP-Optionssatz, der die DNS-Auflösung erfüllt. Dann erstellt es eine sogenannte NaCl, die eine Netzwerkzugriffskontrollliste ist. Es erstellt einen Router, eine Routentabelle. Es schafft auch eine Sicherheitsgruppe, aber dies ist meistens das Gleiche wie die Knuckleheads in der Sicherheitsregion hier. Es schafft ein Internet-Gateway und ja, das war's. Und ich bearbeite hier die EC2-Maschine. Natürlich wird der EC2-Computer nicht standardmäßig erstellt, aber ich möchte Ihnen nur zeigen, wie der Verkehrsfluss das öffentliche Internet sein kann, was Sie hier sehen können. Dies ist der Hubschrauberblick. Was AWS standardmäßig in jeder Region und in jeder Availability Zone erstellt . 9. Übersicht über automatisch erstellte Komponenten in der Default: Ja, jetzt wollen wir alle Komponenten durchgehen, die wir bereits aus der Hubschrauberansicht in der AWS Management Console kennen . Und deshalb wechsle ich zu meinem Browser. Und Sie können hier auf den VPC-Dienst klicken hier auf den VPC-Dienst wenn Sie den Service kürzlich besucht haben. Aber Sie können natürlich auch nach dem VPC-Dienst suchen und hier auswählen. Zuallererst können Sie die Region hier auswählen. In meinem Fall habe ich mich gerade für Irland entschieden, aber ja, es liegt an dir. Sie können sich auch entscheiden, Ihre Ressourcen in us-east1-d zu erstellen . over. Ich weiß es nicht. Hier können Sie also die Region auswählen. Dann haben wir das VPC-Dashboard. Und wie Sie hier sehen können, hat AWS standardmäßig eine Standard-VPC und dann drei Subnetze erstellt . Und das liegt daran, dass für eine ILM drei Availability Zones verfügbar sind. Und dann hast du eine Hauptroutentabelle. Sie haben ein Internet-Gateway, Sie haben die DHCP-Option gesetzt. Sie haben eine Haupt-Netzwerkzugriffskontrollliste und Sie haben eine Hauptsicherheitsgruppe. Natürlich ist jede Komponente, die Sie hier sehen können, völlig kostenlos, daher fallen keine zusätzlichen Kosten an. Hier haben diese Standardressourcen in jeder Region. Ich wollte nur die Komponenten durchgehen , um Ihnen einen kurzen Überblick zu geben, damit Sie nicht alles verstehen müssen, da wir einen tiefen Einblick in all die verschiedenen Komponenten haben werden später einen tiefen Einblick in all die verschiedenen Komponenten haben werden. Yeah. Wie Sie hier sehen können, haben wir einen Standard, VPC. Es hat eine VPC-ID. Der Bundesstaat ist verfügbar. Aws ist standardmäßig konfiguriert, CIDR-Block hier. Der IP-Bereich ist also bereits festgelegt. Und wie Sie hier sehen können, ist bereits ein DHCP-Optionssatz zugewiesen und die Hauptroutentabelle, eine Hauptnetz-ACL. Die Tendenz ist Standard. Und natürlich besagt das Flag hier , dass diese VPC eine Standard-VPC ist. Dann können wir zu Subnetzen gehen. Und du siehst hier, es gibt drei Subnetze. Sie haben verschiedene Subnetze, I, Subnetz-IDs, aber sie sind derselben VPC derselben Standard-VPC zugewiesen , aber sie haben unterschiedliche Blöcke, sodass sie Sperren einrichten, überlappen sich nicht. Und ja, wenn Sie hier den Setup-Block definieren, definieren Sie auch die maximal verfügbaren IP-Adressen. In diesem Fall sind es hier rund viertausend. Dann sehen Sie hier die Availability Zones, C, ABC. Wir können schon ABC hören. Und natürlich wird dieselbe Hauptroutentabelle zugewiesen und auch dieselbe Netzwerk-ACL. Natürlich sind alle drei Subnetze Standardsubnetze. Dann haben Sie eine Hauptroutentabelle. Wir können es einfach hier haben. Schauen Sie sich die Strecken schnell an. Grundsätzlich ist dies der Kern des gesamten Routings aus dem Netzwerkverkehr. Dies ist hier definiert. Jetzt haben wir ein Internet-Gateway. Nichts viel zu sagen ist es nur, Sie erstellen einfach ein Internet-Gateway und dann wird es einer VPC zugewiesen, die in der Region verfügbar ist. Dann ist es bereit zu gehen. Dann haben wir natürlich Zeit die Sicherheit. Es gibt also ein Hauptnetzwerk, ACL. Dies ist allen Subnetzen zugewiesen. Und hier haben Sie eingehende Regeln, ausgehende Regeln und einige Regeln, die Sie hier definieren können, welcher Traffic in unsere VPC gelangen darf, in welchem Datenverkehr nicht. Und das ist das Gleiche. Auch für die Sicherheitsgruppen. Es gibt eine Hauptsicherheitsgruppe und Sie haben auch hier ein - und ausgehende Regeln. Und wir werden später über die Unterschiede sprechen. 10. Grenzen der Default VPC: In diesem letzten Abschnitt, im Kapitel Standard-VPC, möchten wir über die Grenzen der Standard-VPC sprechen. Und wenn Sie sich erinnern, habe ich gesagt, dass die Standard-VPC die richtige VPC für Sie ist. Wenn Sie nur eine EC2-Maschine hochdrehen möchten und sich nicht um das gesamte Netzwerk kümmern möchten. Sie möchten zum Beispiel nur eine Maschine, eine öffentliche Maschine und eine Study Website hosten, dann ist die Standard-VPC der richtige Weg. Aber es gibt mehrere Limits. Und aus meiner Sicht besteht die größte Grenze darin, dass Sie die Netzwerkeinstellungen nicht steuern können . Wenn du dich erinnerst, als wir unseren kleinen Walk-Through gemacht haben. Die CIDR-Blöcke sind von AWS in der Standard-VPC vordefiniert. Aws wählt für Sie beispielsweise den IP-Bereich aus, der mit 172 beginnt. Außerdem konfigurieren sie auch Ihre Größe der VPC und der Subnetze. Wenn Sie sich also erinnern, hat jedes Subnetz einen IP-Adressbereich oder einen maximalen Adressbereich , der dort 4.091 IP-Adressen verfügbar war, denke ich. Und Sie können entscheiden ist, ist es zu viel oder reicht es aus? Aber am Ende kann man es nicht kontrollieren. Dies ist aus meiner Sicht die Hauptgrenze. Und natürlich gibt es so etwas wie ein privates Subnetz. Daher ist jede Ressource, die Sie dort in dieser Standard-VPC drehen möchten, innerhalb des öffentlichen Standardsubnetzes natürlich öffentlich. Der letzte Punkt hier ist, dass die Replikation von Vitaminen nicht so einfach ist. Wenn Sie zum Beispiel taub und Wyoming und die Staging-Umgebung haben , Protonenumgebung, wenn Sie sie mit einer nicht standardmäßigen VPC verwenden, die das nächste Thema ist, das nächste Kapitel. Dann können Sie zum Beispiel einfach CIDR-Block zuweisen, der mit zehn für taub beginnt und mit 110 beginnt um so etwas zu inszenieren und zu kopieren. Relativ einfach. In diesem Fall mit einem Standardwert wäre es zu sehen, es ist nicht so einfach. Ich wollte es nur erwähnen. Und was auch sehr wichtig ist, ist bitte löschen Sie diese Standard-VPC nicht. Denn wenn Sie nur eine EC2-Maschine in der Standardeinstellung erstellen möchten, fahren wir fort, der dann öffentlich ist. Ja, okay. Aber ich denke, du willst etwas tiefer in das gesamte Networking-Zeug eintauchen , weil du dir diesen Kurs hier ansiehst. Deshalb erstellen Sie höchstwahrscheinlich oder erstellen Ihre eigene nicht standardmäßige VPC. Und aber ja, ich wollte nur sagen, dass bitte den Standardwert C so lautet, wie es ist, denn manchmal gibt es einige Probleme oder Probleme die auftreten, wenn Sie die VPC löschen. Ich habe das in der Vergangenheit gemacht und dann hatte ich einige seltsame Probleme weil AWS manchmal auf die steile oder VPC verweist und wenn es nicht verfügbar ist, dann hast du ein Problem. Mein Vorschlag ist, es so zu belassen, wie es ist, und erstellen Sie dann Ihre eigene nicht standardmäßige VPC. Und das ist unser nächstes Kapitel. 11. Vorteile des nicht standardmäßigen AWS VPC: In dieser Vorlesung möchten wir über das Hauptthema, die nicht standardmäßige VPC, sprechen. Das ist sehr wichtig. Das erste Thema sind die Vorteile der Nicht-Depot-VPC. Und vielleicht kannst du das Video jetzt stoppen und über die Vorteile nachdenken. Was sind Ihrer Meinung nach die Vorteile des nicht standardmäßigen We PC. Nur ein kleiner Hinweis. Sehr wahrscheinlich. Dies wird genau das Gegenteil von den Grenzen der nicht standardmäßigen VPC sein. Ja, was sind die Vorteile? Der größte Vorteil ist, dass Sie die volle Kontrolle über alle Netzwerkeinstellungen unterstützen . Und das bedeutet, dass Sie beispielsweise Ihre eigene CIDR-Blockgröße festlegen können, Ihre eigene CIDR-Blockgröße festlegen damit Sie entscheiden können, welchen IP-Bereich es sein soll und wie viele IP-Adressen in Ihrer VPC in Ihrem Subnetz verfügbar sind. Und natürlich können Sie auch Ihre privaten Subnetze erstellen. Und das ist sehr wichtig, besonders wenn Sie einige Geschäftsarchitekturen, einige Produktionsarchitekturen bauen einige Geschäftsarchitekturen, . Weil es nur eine Frage der Sicherheit ist und es gut ist , so viele Ressourcen wie möglich in Ihren privaten Subnetzen zu erstellen und nur ein paar Verbindungen zum weltweiten Web zu haben . Und natürlich ist es in der nicht standardmäßigen VPC auch einfacher, Ihre beispielsweise Dev-Staging - und Prod-Umgebungen zu replizieren . 12. CIDR: Jetzt wollen wir über sehr wichtiges Schlüsselkonzept im gesamten Networking-Bereich sprechen. Und das nennt man das klassenlose Inter-Domain-Routing. Diese Beziehung ist Sitter. Wenn Sie die Dokumentation über das ganze CIDR-Blockzeug lesen , wird es, ich denke ein bisschen überwältigend, aber am Ende ist es wirklich leicht zu verstehen. Wie Sie hier sehen können, haben Sie einige Zahlen hinter dieser Peitsche. Und diese Zahl definiert eine Subnetzmaske , die auf die IP-Adresse angewendet wird, die hier vor dem Schrägstrich steht. Als 0 bedeutet hier, dass Sie Ihre Subnetzmaske anwenden, die 32 Bit hat und alle Bits Nullen sind. In Dezimalzahl ist das o. Und das bedeutet dann am Ende, dass Sie maximal zwei Adressen bis zur Macht von 32 haben . Am Ende sind dies rund 4 Milliarden IP-Adressen, die Sie in einem Subnetz oder Internet verwenden können, das mit einem Sitter Slash 0 definiert ist. Dann können Sie diese Zahl hier erhöhen, bis 3232 bedeutet, dass Sie eine Subnetzmaske mit 32 haben. Und am Ende bedeutet das, dass Sie nur noch eine IP-Adresse übrig haben. Und dies können Sie beispielsweise verwenden, wenn Sie in Ihrer Firewall oder in Ihrer Sicherheitsgruppe definieren möchten Ihrer Firewall oder in Ihrer Sicherheitsgruppe , dass nur Ihre IP-Adresse zulässig ist oder eine andere IP-Adresse. Aber ja, nur wenn Sie eine einzelne IP-Adresse definieren möchten , die im Begriff ist, Ihre VPC einzugeben. Und mein Trick ist, dass ich mich hier an diese Slash-16-Sitter-Definition erinnere. Und das bedeutet, dass Sie zwei bis zur Macht von 16 Möglichkeiten als IP-Adressen haben. Also etwas rund 65 Tausend. Und jedes Mal verringern wir diese Zahl hier hinter dem Schrägstrich. Wenn es also auf 0 geht, erhöht sich das hier. Die maximalen Adressen erhöhen sich also. Jedes Mal, wenn wir hier vom Schrägstrich 16 auf Slash 32 ansteigen . Die IP. Die Anzahl der maximalen Adressen sinkt auf eins. Am Ende hier. Dies ist das ganze Konzept, das Sie verstehen müssen, wenn wir über eine Reihe von Blöcken sprechen. Weil wir die Größe unserer VPC definieren wollen und deshalb brauchen wir dieses Setup-Konzept hier. 13. Angeben der Netzwerkgröße: Jetzt ist die Frage, wie können wir die Netzwerkgröße in AWS angeben? Und es gibt einen Standard namens RFC 1980er Jahre. Und dann ist dieser Standard der Pint, dessen IP-Bereiche für die Verwendung in privaten Netzwerken bevorzugt werden . Im Grunde sind dies drei Bereiche hier. Einer beginnend mit 101, beginnend mit 172161, beginnend mit 192168. Und AWS stellt fest, dass die Mindestgröße einer VPC oder eines Subnetzes mit Schrägstrich 28 definiert ist, was bedeutet, dass die verfügbaren Mindestadressen 16 sind. Und das ist auch sehr wichtig, wenn Sie etwas für die AWS Solutions Architect Associate Zertifizierung lernen möchten etwas für die AWS . Weil wir hier in Frage kommen. Sie fragen, wie groß ist die Mindestgröße? Und das liegt daran, dass AWS fünf IP-Adressen hat , die standardmäßig reserviert sind. Der maximale Schrägstrich 16, also etwa 65 Tausend Adressen. Dies ist das Maximum, das Sie hier in AWS konfigurieren können. Wenn wir uns den Beispielsatz von Blöcken anschauen, können Sie beispielsweise sehen, ob Sie einen Satz von Block im IP-Bereich definieren möchten , der mit zehn beginnt, und Sie möchten einen maximale Größe von 65 Tausend Adressen. Dann kannst du, dann kannst du es hier so definieren. Also 100 und dann schrägst du 16. Dies bedeutet, dass die erste IP-Adresse 100 ist und wir 65 Tausend Adressen haben werden. Dies ist auch bei allen anderen IP-Bereichen der Fall , die hier verfügbar sind. Dies ist das Hauptkonzept, wie es mit den CIDR-Blöcken funktioniert. Und natürlich müssen Sie entscheiden, wie groß Ihr Netzwerk sein wird. Dies hängt davon ab, wie viele Ressourcen Sie starten möchten und was auch hier wichtig ist. haben wir noch eine Folie. Dies ist der dritte hier. Sie können die Größe Ihrer CIDR-Blöcke nicht ändern , wenn sie einmal erstellt werden. Und das bedeutet, dass Sie sich entscheiden müssen bevor Sie Ihre VPC und Ihre Subnetze erstellen, welche Größe sie haben müssen. Und natürlich können Sie es dann ändern, indem die gesamte VPC und die gesamte Subnetzkonstruktion löschen und eine neue erstellen. Aber dies ist natürlich eine sehr schwierige Aufgabe, besonders wenn Sie bereits einige Ressourcen in Ihrer alten VPC gestartet haben, denn dann müssen Sie alle Ihre Ressourcen migrieren. Sie müssen also eine neue VPC mit einem neuen Satz von Blockbereichen erstellen. Und dann musst du alle deine Ressourcen migrieren. Und dann kannst du deine alte BBC in deinem alten Subnetz löschen. Und das ist eine sehr schwierige Aufgabe, besonders wenn Sie bereits mehrere Ressourcen in Ihrer VPC haben. Es ist sinnvoll, dies zu berücksichtigen, bevor Ihre grundlegende Netzwerkarchitektur erstellen. Und natürlich können sich auch die CIDR-Blöcke nicht überlappen. Durch Sie können mehrere CIDR-Blöcke pro VPC zuweisen, sich jedoch nicht überlappen können. Dies ist hier sehr wichtig zu sagen. 14. AWS VPC: Jetzt möchten wir eine nicht standardmäßige VPC erstellen. Ich wollte es nur erwähnen. Jetzt möchten wir alle Komponenten und Ressourcen durchgehen, die erforderlich sind , um Ihre nicht standardmäßige, produktionsfähige Cloud-Native VPC zu erstellen . Und jedes Mal, wenn wir eine neue Ressource erstellen oder eine neue Ressource benötigen, erkläre ich Ihnen den theoretischen Teil davon und erstellen ihn dann praktisch in der Cloud. Das ist also der Plan. Und jetzt können wir zur AWS-Managementkonsole wechseln. Und Sie können hier sehen, dass ich jetzt eingesperrt bin warum sind diese IAM-Benutzer? Also verwende ich jetzt nicht das Hauptkonto. Und wie ich bereits sagte, ist es jedes Mal eine gute Idee , wenn Sie neue Ressourcen erstellen, tun Sie dies mit einem IAM-Benutzer mit dem geringsten Privileg-Ansatz. Ja, ich habe hier bereits die Europa-ILM-Region ausgewählt, die EU-West-Region. Und in dieser Region werden wir unseren ersten nicht standardmäßigen VPC-Walk erstellen. Sie müssen tun, Sie müssen zur Service BBC gehen, ich denke, jetzt ist es auch in Ihrer kürzlich besuchten Liste hier verfügbar . Und du gehst zur VPC und du kannst sehen, dass dies das Dashboard ist. Du gehst zu deinen VPCs. Sie können sehen, dass hier der Standardwert ist. Wir wären C, was wir vorher einige Lektionen erwähnt haben, als wir über die Standard-VPC-Hubschrauberansicht sprachen . Jetzt können wir hier auf die Schaltfläche „VPC erstellen“ klicken. Und es gibt zwei Möglichkeiten. Sie können entweder die Nur-VPC- oder die VPC-Subnetzstruktur erstellen . Aber wir wollen, wir wollen die ganze Architektur verstehen. Und deshalb ist es aus meiner Meinung oder aus meiner Sicht eine gute Idee , dass wir es von Grund auf neu bauen. Hier in diesem ersten Feld können Sie ein Namensschild definieren. Also nenne ich es Prod eins. Du kannst ihm einen besseren Namen geben. Und dann möchten wir hier das Menü, Menü CIDR-Block definieren . Ja, ich denke, es ist eine gute Idee, es mit 100 en slash 16 zu definieren . Dies bedeutet, dass unser P.band-Bereich mit 100 beginnt und rund 65 Tausend mögliche IP-Adressen hat. Wir möchten keinen Satz von Blöcken der IP Version sechs verwenden. Und dann können wir hier auch mehrere Texte zuweisen. Ich mag zum Beispiel den dicken Draht wieder gemeint, er wird mitgebracht. Ja, ich glaube, das war's. Und dann kannst du einfach erstellen, die VPC hier auf die Schaltfläche „VPC erstellen“ klicken. Und dann können Sie hier den VPC-Ball sehen , der erfolgreich erstellt wurde, wir definieren hier den Setup-Block. Und wir haben hier auch ein paar Texte, die Vitamine und den Namen tick. Und wenn wir zur Liste zurückkehren, sehen Sie hier, dass wir den Standard haben, wir wären C und wir haben den Praat auf VPC. Jetzt möchte ich dir zeigen, wie du diese VPC bauen kannst. Auch in der CIA denke ich, dass dies ein gutes Thema ist, um über die CLI zu sprechen , weil es hier relativ einfach zu erstellen ist, diese VPC gibt es nicht viel, gibt nicht viele Einstellungen, die Sie hier zuweisen können. Deshalb möchte ich Ihnen zeigen, wie es mit der CLI funktioniert. Sie können entscheiden, ob Sie möchten. Wenn Sie auch eine VPC mit der CLI erstellen möchten oder einfach nur zusehen möchten. Ja, deswegen brauchen wir zuerst. Zuerst wollen wir den Befehl für die CLI erhalten. Und deshalb habe ich zum Beispiel nach AWS CLI gesucht und VPC erstellt. Und ich denke, dies ist der erste Eintrag hier, create, wir erstellen VBC, und jetzt sind wir hier in der AWS CLI-Befehlsreferenz. Dies hier in Datensätzen ist die Anweisung in Klammern hier sehr wichtig, da dies Ihr Präfix ist. Jedes Mal, wenn Sie einen Befehl in der CLI erstellen, beginnt er natürlich mit AWS, weil dies die Binärdatei ist. Und dann ist der zweite der Namespace. Und das ist in diesem Fall hier ec2. Und deshalb liegt dies daran, dass alle Netzwerksachen von EC2 stammen , weil AWS begonnen hat, seine Dienste basierend auf EC2 zu erstellen. Und der EC2 war der erste Dienst , der ein paar Netzwerksachen erforderte. Deshalb ist dies der EC2-Namespace. Und danach dann. Kommt der Befehl „VPC erstellen“. Am Ende wird es also AWS EC2 geben, die VPC erstellen, und dann können Sie hören, die Zusammenfassung finden. Hier. Hier sind alle definierten Optionen, die Sie auswählen können. Und wir werden den CIDR-Block verwenden, und wir werden die technischen Spezifikationen hier verwenden. Dies waren also die einzigen Optionen, die wir auch in der Managementkonsole festgelegt haben. Fangen wir an. Wir wechseln zum Terminal, und dann können wir mit einem Befehl, AWS EC2, beginnen , VPC erstellen. Und jetzt zurück zum Browser. Wir brauchen das Setup-Block-Flag hier, also kopiere ich es und kann es hier einfügen. Und dann verwenden wir diesen IP-Bereich hier, und dies ist nur ein Beispiel. Also löschen wir die VPC danach, sie soll Ihnen nur zeigen, wie sie mit der CLI funktioniert und dann zurück zur Zeile. Also auch hier brauchen wir die Definition für die technischen Spezifikationen, und das ist nicht so einfach. Wenn Sie also hier zu technischen Spezifikationen gehen, können Sie hier sehen, dass es ist. Es gibt eine anspruchsvolle, überwältigende Struktur. Sie müssen den ersten Ressourcentyp definieren. Und dann können Sie eine Liste von Texten hinzufügen, die am Ende ein Schlüsselwertpaar sind. Aber für mich ist es ein bisschen schwer zu verstehen, wie es hier funktioniert. Und deswegen verwende ich immer ein paar Beispiele. Und ich denke im Beispiel für hier, ja, du kannst ein Beispiel kopieren. Ein Beispiel, wie es für die technischen Spezifikationen funktioniert. Und das werde ich benutzen, ich kopiere es und gehe dann zurück zum Terminal und dann kann ich es hier einfügen. Und dann möchten wir zum Beispiel die Umgebung hier benennen und eine sklavieren, weil wir jetzt eine Protonenumgebung haben. Vielleicht ist es eine gute Idee, uns auch dabei zu helfen, VPC und Besitzer zu inszenieren , die wir nicht brauchen. wir werden dann hier Namen benutzen. Der Name inszeniert auch EUS, der einen als Namen inszeniert, und Wyoming sagt nur, ja, und dann können wir hier eintreten. Wir können unter Ende klicken. Dann wird die VPC erfolgreich erstellt. Wie Sie hier sehen können, haben Sie den CIDR-Blockbereich und Sie haben die Texte und den y-Betrag und den Namen. Und wo wir hier zurück zur Managementkonsole in der VPC gehen. Wenn wir hier auf Refresh klicken, sehen Sie, dass wir jetzt eine VPC und die Staging eine VPC und die verschiedenen CIDR-Blöcke hier mitgebracht haben. Und wenn wir hierher gehen, können Sie in der Standard-VPC-Flexliste sehen der Standard-VPC-Flexliste dass es nur eine Standard-VPC gibt. Dies war diejenige, die von AWS erstellt wurde und wir müssen VPCs kennen oder nicht standardmäßige VPCs. Und jetzt werde ich die Staging-VPC löschen weil wir mit einer Plot-One VPC fortfahren möchten. Vielleicht ist es zu verwirrend , um vorerst zwei wir PCs zu haben. Deshalb lösche ich es hier. Dann können wir fortfahren, unsere Produkt-VPC mit einer detaillierteren Struktur zu erstellen . 15. Übersicht öffentliche Subnets: Wir haben den Nicht-Standardwert wäre C. Und jetzt wollen wir Erkenntnisse erstellen, diese nicht standardmäßige VPC, sogenannte Subnetze. Ich wollte Ihnen einen kurzen Überblick darüber geben , welche verschiedenen Arten von Subnetzen existieren. Und wie Sie hier in dieser Übersicht sehen können, ist ein Typ das öffentliche Subnetz. Und wie Sie hier im Namen sehen können, heißt es öffentliches Subnetz. Alle Ressourcen in diesem Subnetztyp sind öffentlich, verfügbar oder öffentlich verfügbar. Dies bedeutet, wenn Ihr EC2-Computer beispielsweise im öffentlichen Subnetz über eine öffentliche IP-Adresse verfügt, ist er über das weltweite Web erreichbar . Und dann ist ein anderer Typ das private Subnetz. Und jede Ressource in einem privaten Subnetz ist wirklich privat. Im Grunde hat es also keine öffentliche IP-Adresse und ist von außen nicht erreichbar, ist vom Internet aus nicht erreichbar. Dann gibt es einen speziellen Typ und dieser nennt man nur VPN Subnet. Und im Grunde ist dies auch eine Art privates Subnetz. Aber hier hast du noch einen anderen Punkt. Und das ist eine VPN-Verbindung. In der Routing-Tabelle aus einem VPN Subnetz gibt es eine Definition und es ist mit dem VPN-Server verbunden, aber es ist eine Art privates Subnetz. Und die wichtigsten Subnetze sind das öffentliche Subnetz im privaten Subnetz. Dann gibt es ein weiteres Schlüsselkonzept, das AWS-Benutzer und sie zwischen nur IP-Version vier, nur IP Version sechs und dualistischen Subnetzen unterscheiden. Am Ende können Sie diese Typen hier mit diesen Typen kombinieren . Sie können sagen, wir wollten nur ein öffentliches Subnetz mit IP-Version vier erstellen, oder wir möchten ein privates Subnetz mit Dual-Stack usw. erstellen. Sie können dies am Ende kombinieren. Ja, das sind die wichtigsten Arten von Subnetzen. 16. Öffentliche IP-Adressen: Ja, um wirklich gute Cloud-native zu etablieren , die wir mit Subnetzen sehen, ist es auch wichtig zu verstehen welche Art von IP-Adressen unterschiedlich ist, eine Art ist die öffentliche IP-Adresse. Und was das bedeutet, dass AWS einen Pool öffentlicher IP-Adressen bereitstellt, und dies wird von AWS verwaltet. Daher ist es sehr wichtig zu verstehen, dass diese öffentlichen IP-Adressen nicht mit Ihrem AWS-Konto mit Ihrem spezifischen AWS-Konto verknüpft sind mit Ihrem AWS-Konto mit Ihrem spezifischen AWS-Konto verknüpft . Das heißt, wenn Sie eine EC2-Maschine hochdrehen möchten , können Sie sich entscheiden, und dies ist hier in 0.3. Sie können entwerfen, Sie können mit einem Flag in jedem Subnetz entscheiden , ob Sie IP Version vier Adresse zuweisen möchten oder nicht. Und wenn Sie dieses Flag auf „true“ setzen, weist es Ihrem EC2-Computer automatisch eine öffentliche IP-Adresse zu. Dann hebt es sich an, solange Ihre EC2-Maschine in Ihrem Konto aufhebt. Und wenn Sie Ihren EC2-Computer beenden, wird diese IP-Adresse freigegeben. Und dann wird es wieder an den globalen Pool zurückgegeben, der von AWS gepflegt wird. Dies ist also nicht Ihre persönliche IP-Adresse, nicht Ihre persönliche oder öffentliche IP-Adresse. Es ist einfach aus einem Pool ausgeliehen. 17. Elastische IP-Adressen: Bei einer anderen Art von IP-Adressen befindet sich die elastische IP-Adresse. Und das kannst du dir vorstellen. Es handelt sich auch um einen öffentlich gepflegten Pool an elastischen IP-Adressen , der von AWS verwaltet wird. Und Sie können von diesem Pool Ihre statische öffentliche IP-Adresse, elastische IP-Adresse, ausleihen . Und in diesem Fall wird es Ihrem AWS-Konto zugewiesen. Sie können entscheiden, wie lange Sie diese IP-Adresse in Ihrem Konto speichern möchten , und Sie können sie dann zurückgeben, wenn Sie möchten. Es hängt jedoch beispielsweise nicht mit der EC2-Maschine zusammen. Es hat also nichts mit der Erstellung Ihres EC2-Rechners zu tun. Und dann wird die API-Adresse zurückgegeben, wenn der EC2-Computer beendet wird. Dies ist nicht der Fall. Es ist wirklich Ihrem AWS-Konto zugeordnet und HEW Health die Entscheidung, wann Sie es zurückgeben möchten. Sie können hier sehen und 0.3, es ist auch möglich, mehrere private IP-Adressen einer elastischen IP-Adresse zuzuordnen . Und im Grunde ist die Idee zum Beispiel, wenn Sie eine EC2-Maschine hochfahren und diese EC2-Maschine standardmäßig eine öffentliche IP-Adresse und die private IP-Adresse hat . Diese öffentliche IP-Adresse gehört jedoch nicht Ihnen. Wenn also die, wenn die EC2-Maschine beendet ist, dann ist sie natürlich verschwunden. Was Sie beispielsweise tun, wenn die EC2-Maschine ausfällt oder Sie die EC2-Maschine beenden müssen, aber Sie müssen sicherstellen dass sich der Service am Ende weiter hebt. Ein einfaches Konzept ist also, dass Sie einfach eine elastische IP-Adresse aus diesem Pool leihen. Dann haben Sie Ihre feste statische öffentliche IP-Adresse und weisen ihr dann den ersten EC2-Computer zu. Und wenn diese EC2-Maschine ausfällt, können Sie einfach eine neue EC2-Maschine hochdrehen und dann einfach das Ziel von der elastischen IP-Adresse auf den neuen EC2-Computer umschalten das Ziel von der elastischen IP-Adresse . Dies ist also ein einfacher Anwendungsfall. Sie können sich vorstellen, wie dieses elastische IP-Adress-Zeug funktioniert. 18. Öffentliche Subnetze erstellen: Jetzt wollen wir die öffentlichen Subnetze erstellen. Zunächst einmal hier ein kleiner Überblick, was wir in unserer neuen VPC aufbauen möchten. Und wie Sie hier sehen können, haben wir die VPC und den Setup Rock 10016. Und dann wollen wir zwei öffentliche Subnetze erstellen. Und einer heißt Prod Sub One und der andere heißt Prot Sub Two. Und beide befinden sich in einer Verfügbarkeitszone. Das ist also nur ein Beispiel hier. Und ja, deshalb habe ich beschlossen, in einer Availability Zone die öffentlichen Subnetze zu erstellen. Natürlich können Sie auch in jeder Availability Zone in Ihrer Region erstellen . Subnetze. Wichtig ist auch hier der Setup-Sperrbereich für die Subnetze 10024 und für die mitgebrachten Sub zwei ist es 1001024. Wechseln wir zur Verwaltungskonsole. Und wir gehen hier zum VPC-Dienst und wählen dann die Subnetze aus. Wie Sie hier sehen können, haben wir bereits die Standardsubnetze. Wir möchten ein neues Subnetz erstellen. Also klicken wir auf Subnetz erstellen wählen dann die VPC-ID aus. In unserem Fall ist es ein breites. Sie können hier den zugehörigen Setter für die VPC sehen , das ist 100016. Und dann können Sie ihm einen Namen geben, zum Beispiel stolzes Sub One, wie wir ihn in der Übersicht definiert haben. Und dann können wir sagen, dass Availability Zone Test1 ist. Dann können Sie hier den CIDR-Block für das spezifische Subnetz definieren . Und in unserem Fall haben wir uns für 10024 entschieden. Wir werden diesen benutzen. Und Sie können darüber nachdenken, wie viele IP-Adressen dann verfügbar sind. Wenn wir hier den 24. Ja, und dann können wir hier sagen, dass der Name als Tag subone ist. Und wir werden auch Alpha und Wyoming Tag. Und das ist in diesem Fall nicht der Fall. Ja, wir können hier das Subnetz erstellen. Dies ist der erste und dann können wir zurück zur Übersicht wechseln und der zweite wird der Praat Sub zwei sein, und es hat den Satz von Rock 1001024. Bauen wir auch dieses Subnetz wieder auf. Wir klicken auf die Subnetze erstellen. Dann werden wir hier diese stolze auswählen, und dann werden wir es als breit bezeichnen um der EU West auch eine Verfügbarkeitszone zuzuweisen. Und dann sagen wir 1001024. Und natürlich hat auch der weiße Mann mitgebracht. Wir erstellen dieses Subnetz. Und wenn ich hier lösche, diesen Filter, dann kannst du hier sehen, ich kann es ein bisschen bestellen, dass wir ungefähr ein und das zwei Subnetz haben . Und sie sind unserer Produkt-VPC zugeordnet , die Sie hier sehen können. Und wir haben diese beiden Blöcke. Und die maximale Verfügbarkeit oder nein, die verfügbaren Mikrofone erscheinen als 251. Dann ist es auch wichtig, wie Sie hier sehen können, Fleck, um eine öffentliche IP Version vier Adresse automatisch zuzuweisen , auf Nein gesetzt ist, und diese möchten wir ändern. Deshalb wählen wir zuerst das Praat Sub One aus und gehen zu Aktionen und bearbeiten Subnetzeinstellungen. Und dann können Sie hier aktiviert auswählen, öffentliche IP Version vier Adresse automatisch zuweisen. Dies wollen wir für das Subnetz tun, und wir wollen es auch für den Praat sub2 tun. Also nochmal Aktionen und bearbeiten Sie Subnetzeinstellungen und aktivieren Sie dann die äußere Zuweisung öffentlicher IP Version vier Adresse. Dies liegt daran, dass wir in den nächsten Lektionen EC2-Maschinen in beiden Subnetzen starten wollen . Und natürlich wollen wir auch die EC2-Maschinen erreichen, die wir uns mit diesen beiden Maschinen befassen können, ein paar Pings machen und dort ein paar Netzwerksachen machen. Und deshalb brauchen wir eine öffentliche IP-Adresse, da die Instanzen sonst nicht erreichbar sind. 19. EC2-Instanzen im öffentlichen Subnetz: In dieser Lektion erstellen wir ec2-Instanzen in unseren öffentlichen Subnetzen. Und hier siehst du einen kleinen Überblick was wir machen wollen. Wir haben also die Produkte einem Subnetz und wir haben den Prozess bis zum Subnetz. Und dann wollen wir jedes der Subnetze eine EC2-Maschine erstellen. Einer heißt gebracht EC2 eins und L1 heißt gebracht EC2. Um dies zu tun, wechseln wir zu unserer Konsole und wählen den EC2-Dienst aus. Wenn du es hier nicht siehst. Unter den kürzlich besuchten Diensten können Sie natürlich immer nach dem Dienst suchen und auswählen. Ja. Und wie Sie hier sehen können, laufen derzeit keine Instanzen. Und wir wollen unsere erste EC2-Maschine auf den Markt bringen. Und wir können dies erreichen, indem hier auf die Schaltfläche „ Instance starten“ klicken. Und dann haben wir nach einer 12 gesucht, weil wir nur drehen wollen, um keine basierte Maschine zu machen. Ja, 2004 ist okay für uns. Wir wählen es aus. Und dann können wir hier diesen T2-Micro-Instance-Typ verwenden diesen T2-Micro-Instance-Typ da dieser mit einem kostenlosen Kontingent verknüpfbar ist. Dann der nächste. Und hier wählen wir unsere Produkt-VPC aus, und wir wählen die beste in us-east1 aus. Natürlich möchten wir die öffentliche IP-Adresse ändern, weil wir diese Instanz aus dem weltweiten Web erreichen wollen. Ja, ich denke, alle anderen Einstellungen sind vorerst in Ordnung. Wir können Speicher hinzufügen, aber wir brauchen nicht, wir brauchen den Speicher nicht, also ist es in Ordnung, nur den Root-Speicher hier zu haben und dann können wir einige Texte hinzufügen. Und normalerweise weise ich die Technologie und Wyoming zu, die in diesem Fall stolz ist. Ich möchte ihm auch einen Namen geben. Und das hat EC2 eins gebracht. Dann konfiguriere ich die Sicherheitsgruppe. In diesem Fall. Im Moment möchte ich nur die vorhandene Sicherheitsgruppe verwenden , weil wir später, später, später, nur über das Thema Sicherheitsgruppen sprechen möchten . Deshalb ist es vorerst in Ordnung, nur die Standard-VPC-Sicherheitsgruppe zu verwenden. Dann klicke ich auf Review and Launch und kann es starten. Und dann kann ich ein neues Schlüsselpaar erstellen weil ich mich am Ende über SSH mit dem EC2-Computer verbinden möchte . Und deshalb brauche ich ein Schlüsselpaar, und das schaffe ich hier. Ja, ich denke, wie ich es nennen will, ich denke C2 oder was wurde es gebracht? Ec2. Eins zum Beispiel. Dann kann ich dieses Schlüsselpaar herunterladen und dann kann ich die Instance starten. Dann kann ich hier zu Instanzen gehen. Und Sie können hier die Instanz der Staatsausgaben sehen. In der Zwischenzeit können wir die anderen EC2-Maschinen erstellen. Also klicken wir erneut auf Launch Instance. Wir suchen nach der Wunde, um diese 200 zur erneuten Verwendung auszuwählen, die Mikroinstanz hier, Instanz konfigurieren bei, in diesem Fall wählen wir auch das VPC-Plot eins aus, aber jetzt können wir Sub zwei plotten. öffentliche IP-Adresse von Alto San ist ebenfalls aktiviert und der Rest ist in Ordnung. Und die Lagerung ist auch in Ordnung. Wir wollen wieder etwas besteuert hinzufügen, also werden braune Männer mitgebracht. Und natürlich wollen wir ihm auch einen Namen geben. Und das ist in diesem Fall stolz EC2, um die Sicherheitsgruppe zu konfigurieren, wir möchten auch die vorhandene Sicherheitsgruppe erstellen oder auswählen. Dies ist das hier, überprüfen und starten. Launch. Und in diesem Fall würde ich sagen, dass wir einfach das erstellte gesamte vorhandene Schlüsselpaar für den C21 verwenden können . Denn ja, vorerst können wir einfach dasselbe Schlüsselpaar verwenden , um eine Verbindung zu allen EC2-Maschinen herzustellen. Starten Sie dann die Instanz und kehren Sie zur Instanzübersicht zurück. Und dann sieht man hier, dass der erste jetzt läuft und der zweite noch aussteht. Wir können versuchen, uns jetzt mit diesem zuerst mitgebrachten EC2, einer Maschine, zu verbinden . Und deshalb kann ich hier einfach meine öffentliche IP-Adresse kopieren, kopieren und dann können wir zum Terminal gehen. Und wenn wir hier in unseren Download-Ordner schauen , finden wir hier unsere private Schlüsseldatei. Dies hat EC2 1 gebracht. Zuallererst müssen wir die Berechtigungen ändern, da sie ziemlich fehlerhaft sind. Und wir ändern es auf 060 und die Crowd EC2, 13 Uhr. Das ist okay. Und dann können wir versuchen, Kabel zu verbinden ist dieses H mit SSH Dish I. Und dann können wir unseren privaten Schlüssel auswählen. Weil es nicht der Standardwert ist, der sich in unserem Punkt-SSH-Ordner befindet. Dann sagen wir, wir wollen es wieder da der Ubuntu den Benutzer nicht tun wird. Und dann ehre ich einfach, tut mir leid. Jetzt kopiere ich es nochmal. Das alles muss ich zurück zur Konsole wechseln und die IP-Adresse erneut kopieren . Jetzt könnten wir arbeiten. Wie Sie jetzt sehen können, ist es nicht möglich, eine Verbindung zur EC2-Maschine herzustellen, die derzeit vom weltweiten Web aus hergestellt wird. Und warum ist das der Fall. Wir möchten in den kommenden Lektionen über dieses Thema sprechen. 20. Internet-Gateway: Und jetzt ist der erste Grund, warum wir uns nicht mit unseren EC2-Computern verbinden können , das sogenannte Internet-Gateway. Und was ist das Internet-Gateway? Das Internet-Gateway ist eine VPC-Komponente, eine Instanz, die sehr horizontal skalierbar, redundant und hochverfügbar ist . Am Ende behält AWS diesen Service, dieses Internet-Gateway, und verursacht kein Risiko in Bezug auf Verfügbarkeit oder Bandbreitenbeschränkungen. Und was auch wichtig ist zu wissen, es fallen keine zusätzlichen Kosten an. Vielleicht können Sie sich daran erinnern, dass wir es bereits in der Standard-VPC-Übersicht hatten. Dies ist eine Instanz, die automatisch für die Standard-VPC erstellt wird. Und der Zweck dieses Internet-Gateways besteht, wie der Name bereits sagt, darin, dass diese Instanz sicherstellt, dass die Verbindung zum Internet verfügbar ist. Wenn es also kein Internet-Gateway für Ihre VPC gibt, haben Sie definitiv keinen Internetzugang. Und um diesen Internetzugang zu erstellen, muss ich zuerst das Internet-Gateway erstellen und dann die Routingtabellen und Routingtabellen addieren , die wir erhalten werden, wir werden in der nächsten Lektion über die Routingtabellen sprechen. Hier siehst du den kleinen Überblick. Unser derzeitiger Status , dass wir öffentliche Subnetze zeichnen müssen, und die beiden sind zwei Maschinen. Und jetzt fügen wir hier dieses Internet-Gateway hinzu. Daher können wir wieder zur Verwaltungskonsole wechseln, und jetzt müssen wir hier zum VPC-Dienst wechseln. Dann siehst du hier auf der linken Seite Internet-Gateways. Und derzeit haben wir nur das Standardgateway , das der Standard-VPC zugewiesen ist. Wir möchten ein neues Internet-Gateway erstellen. Ich nenne es einfach „Print One“. Dann kann ich sagen, dass auch die Umwelt gebracht wird. Dann kann ich einfach dieses Internet-Gateway erstellen. Dafür gibt es also nicht viel zu sagen. Und dann können Sie hier sehen, dass unser aktueller Status gelöst hat und es hier keine VPC-ID gibt. Am Ende bedeutet dies, dass dieses Internet-Gateway derzeit keiner VPC zugewiesen ist. Deshalb muss ich hier auf Actions klicken und dann an eine VPC anhängen. Und dann kann ich hier die Plot-eine VPC auswählen und das Internet-Gateway an die VPC anschließen. Und das ist alles, was wir hier in dieser Lektion tun müssen. Wir haben das Internet-Gateway erstellt, und dies ist unser Tor zum weltweiten Web von unserer VPC. 21. Route: Ein weiteres wichtiges Konzept ist das Konzept der Routentabelle. Wie Sie hier sehen können, haben wir unsere öffentlichen Subnetze erstellt. Wir haben diese beiden Maschinen erstellt und hier das Internet-Gateway erstellt. Jetzt fügen wir eine sogenannte Routentabelle hinzu. Und diese Routentabelle ist im Grunde nur eine Konfigurations-Map zur Konfiguration des Routers. Und der Router wird standardmäßig mit jeder VPC geliefert. Wenn Sie also eine VPC erstellen, wird hier automatisch ein Router erstellt. Und wie Sie hier sehen können, auf der linken Seite besteht auf der linken Seite eine Routentabelle hauptsächlich aus diesen beiden Spalten. Und eine Spalte ist das Ziel und eine andere das Ziel. In diesem Fall bedeutet dies nur, dass jeder Datenverkehr an das Internet-Gateway x, y, z weitergeleitet wird , wenn Sie möchten. Ja. Wenn Sie die Associate-Ebene von AWS Solutions Architect erreichen möchten , sind diese Regeln hier sehr wichtig. Hier kommen wir also in diesem Exom in Fragen. Jedes Subnetz ist genau einer Routentabelle zugeordnet. Dies bedeutet, dass Sie nur eine Routing-Tabelle pro Subnetz zuweisen können, aber Sie können mehreren Subnetzen eine Routentabelle zuweisen. Wenn Sie sich erinnern, haben wir diese Hauptroutentabelle, die standardmäßig mit VPC geliefert wird. Und dieses können Sie allen Ihren Subnetzen zuweisen. Natürlich können Sie auch einige benutzerdefinierte Routentabellen erstellen. Mit Hilfe dieser benutzerdefinierten Rollentabellen können Sie detailliertere Einstellungen vornehmen. So möchten Sie beispielsweise zwischen privaten Subnetzen und öffentlichen Subnetzen unterscheiden . Und das ist der richtige Weg für dich. Wenn Sie dies tun möchten, können Sie benutzerdefinierte Routing-Tabellen erstellen. Jetzt wollen wir zurück zu unserer Managementkonsole wechseln. Und vielleicht sind Sie hier im Abschnitt Internet-Gateway und können hier einfach die Routentabellen auswählen. Dann können Sie sehen, dass wir zwei Hauptroutentabellen haben, eine für die Standard-VPC und eine für unser nicht standardmäßiges Diagramm, eine VPC. Und ich wollte hier nur diese Routentabellen-ID aus unserer nicht standardmäßigen VPC auswählen . Und dann sehen Sie hier, wir haben die Routen, die Routentabelle hier, das Ziel, das Ziel und den Status. Und im Grunde haben wir hier nur eine Regel. Und das ist die Standardregel. Und jeder Routentabelle muss eine lokale Route haben. Dies bedeutet hier nur, dass jede Instanz, die in unserer VPC erstellt wird jede andere EC2-Maschine oder jede andere Instanz innerhalb unserer VPC erreichen kann . So kann jede Ressource jede andere Ressource in der VPC erreichen. Und das ist der Haupt-CIDR-Block von der VPC. Sie können diese Regel nicht ändern. Wenn Sie also versuchen, eine lokale Regel zu löschen, ist dies nicht möglich. 22. Einrichtung eines internet: Und jetzt wollen wir endlich den Internetzugang etablieren . Was fehlt, um vom Worldwide Web aus auf unsere EC2-Maschine zuzugreifen . Wie Sie hier sehen können, haben wir unser Internet-Gateway. Wir haben für Router mit einer Routentabelle. Und in dieser Routentabelle haben wir nur eine Regel. Und diese Regel besagt, dass jeder Datenverkehr, der sich in unserer VPC befindet , in unserem lokalen Subnetz hierher umgeleitet wird. Jeder lokale Verkehr ist erlaubt. Was wir jetzt tun müssen, ist, dass wir eine weitere Route und eine andere Regel hinzufügen müssen , die besagt, dass jeder Datenverkehr also 0000 Slash o zu unserem Internet-Gateway umgeleitet wird , denn dies ist unsere Instanz, die die Verbindung zum Internet sicherstellt. Das ist es, was wir tun wollen. Und deshalb wechsle ich zurück zur Verwaltungskonsole und wähle dann die angegebene Routentabelle hier aus. Wie Sie hier sehen können, haben wir die Praat One VPC, also wähle ich die zugehörige Tabellen-ID aus. Dann haben wir hier die Routen. Und wie Sie bereits aus der vorherigen Lektion wissen, haben wir hier diese eine Routenregel, die lokale Regel, und wir möchten hier eine neue hinzufügen. Wir gehen zu Routen bearbeiten und fügen eine Route hinzu. Dann sagen wir jeden Datenverkehr und das ist 00000 Slash o. Dann klicke ich hier und dann ist der Vorschlag warm, ein Internet-Gateway zu haben. Und wie Sie hier sehen können, ist dies unser Internet-Gateway , das wir zuvor erstellt haben. Diesen werden wir benutzen. Ja, das war's. Wir müssen nur hier klicken, um Änderungen speichern zu können. Dann sehen Sie, dass wir eine andere Route erstellt haben , die alle unsere Instanzen mit dem Internet-Gateway verbindet . Ja. Und jetzt müssen wir sicherstellen, dass diese Routentabelle allen unseren Subnetzen zugeordnet ist. Also haben wir unsere beiden EC2-Maschinen in den beiden Subnetzen, Prot Sub eins und zwei. Und wenn wir hier nach rechts scrollen, können Sie sehen, dass dies für beide Subnetze dieselbe Zeilentabelle ist . Und wenn ich diese auswähle, diese ID, dann und gehe hier zwei Routen, dann kannst du sehen, dass dies die ist, die wir ändern. Und deshalb denke ich, dass das funktionieren wird. Jetzt. Wir können überprüfen, ob wir endlich auf den EC2-Computer zugreifen können, deshalb gehe ich wieder zur EC2-Konsole und kopiere dann die IP-Adresse. Dann gehen wir wieder zum Terminal. Ssh. Dann glaube ich, es hieß brachte EC2, 13:00 Uhr, die private Schlüsseldatei. Und dann sind wir geboren, um die IP-Adresse hinzuzufügen. Und offensichtlich funktioniert es nicht. Also was könnte es sein? Ja, der Grund, warum es derzeit nicht funktioniert , ist ein anderes Konzept, und das nennt man Sicherheitsgruppen. Und ich möchte es hier in Kürze nur erwähnen , da wir ein eigenes Kapitel für das gesamte Sicherheitsthema haben werden ein eigenes Kapitel für das gesamte Sicherheitsthema haben . Ja. Wir müssen zurück zur Minute zur Managementkonsole wechseln und hier wieder zu den EC2-Computern gehen . Und wenn wir diesen EC2-Computer auswählen , gibt es eine Registerkarte namens Sicherheit. Und hier können Sie sehen, dass hier eine Standardsicherheitsgruppe ist. Die Sicherheitsgruppe, Sie können sich vorstellen, dass es wie eine Firewall ist. Sie können festlegen, welcher Datenverkehr hier als eingehende Regel zulässig ist . Und standardmäßig haben wir hier diese Regel, dass sie den gesamten Datenverkehr von allen Protokollen und dem gesamten Portbereich zulässt . Die Einschränkung besteht jedoch darin, dass nur der gesamte Datenverkehr von Instanzen zugelassen wird, die sich in derselben Sicherheitsgruppe befinden. Also bei Verweisen auf dieselbe Sicherheitsgruppe, und offensichtlich ist mein lokaler PC nicht Teil dieser Sicherheitsgruppe und deshalb funktioniert es nicht. Was wir hier tun müssen, ist, dass wir einfach hier auf Eingehende Regeln bearbeiten klicken und eine Regel hinzufügen können , die SSH-Datenverkehr zulässt. Also auf TCP-Port 22, und wir sagen, dass wir von X's von überall aus zulassen wollen. Und natürlich können Sie hier auch Ihre statische IP-Adresse definieren , wenn Sie eine lokal haben. Und dann, und dann mach einfach diesen Schrägstrich 32, und dann ist das deine, nur deine IP-Adresse, dann ist sie eingeschränkter. Aber im Moment ist es in Ordnung, jeden Datenverkehr hier von SSH zuzuweisen. Wir speichern diese Regel. Und dann können wir hier sehen, dass wir eine weitere Regel als eingehende Regeln hinzugefügt haben. Und das ist der SSH-Verkehr hier. Versuchen wir es also noch einmal. Wir gehen zurück zum Terminal. Und dann habe ich wieder hier angefangen. Wie Sie hier sehen können, kann ich mich jetzt mit meinem EC2-Computer verbinden. So funktioniert es und perfekt haben wir unsere erste Internetverbindung zu unseren EC2-Maschinen hergestellt. Was wir bisher gemacht haben, haben wir einen Nicht-Standardwert erstellt. Wir sehen, dass wir zwei öffentliche Subnetze erstellt haben. Und in jedem der öffentlichen Subnetze haben wir eine EC2-Instanz gestartet. Wir haben ein Internet-Gateway erstellt, das an unsere nicht standardmäßige VPC angeschlossen ist und für alle Subnetze verwendet werden kann , Insight One VPC. Und dann haben wir eine Routentabelle erstellt, mit der wir sicherstellen können , dass jeder Datenverkehr von überall aus mit unserem Internet-Gateway verbinden kann. Dass das Internet-Gateway den Datenverkehr zum weltweiten Web sicherstellen kann . Und dann optimieren wir einfach das Gebot, unsere Sicherheitsgruppe, dass wir die Erlaubnis erhalten , auf unsere EC2-Maschinen zuzugreifen. Und so funktioniert es. Jetzt haben wir erfolgreich die Internetverbindung erstellt. 23. Übersicht private Subnetze: In diesem Kapitel möchten wir über das Subnetz zu Abschnitt sprechen , und dies sind die privaten Subnetze. Und nur einen kurzen Überblick, wo wir uns gerade befinden, haben wir erfolgreich für öffentliche Subnetze erstellt. Und jedes Subnetz hat einen EC2-Computer, der in diesem Subnetz läuft. Und der Internetzugang ist aufgrund der Routentabellen hier verfügbar, da jede Routentabelle hier eine Route zum Internet-Gateway hat. In diesem Fall haben wir nur eine Zeilentabelle, nur diese Hauptroutentabelle aus der VPC. Jetzt möchten wir das öffentliche Sub2-Subnetz in ein privates Subnetz umschalten . Und wie Sie hier sehen können, gibt es standardmäßig keinen Unterschied zwischen öffentlichen Subnetzen und privaten Subnetzen. Das einzige, was anders ist als wird die Definition in der Routentabelle sein. Wenn Sie also ein Subnetz erstellen, können Sie sich nicht entscheiden, es sich um ein öffentliches Subnetz handelt oder ist es ein privates Subnetz? Du erstellst nur ein Subnetz. Und dann können Sie sich basierend auf den Regeln in dieser Routentabelle entscheiden . Wenn es sich um ein öffentliches Subnetz oder ein privates Subnetz oder ein VPN-Subnetz handelt. 24. Private IP-Adressen: Wenn wir über private Subnetze sprechen, dann ist auch das Konzept privater IP-Adressen ein sehr wichtiges Schlüsselkonzept . Hier ein kleiner Überblick über die wichtigsten Dinge, die Sie über private IP-Adressen wissen müssen. Private IP-Adressen sind über das Internet nicht zugänglich. Der Zweck oder das Ziel privater IP-Adressen besteht darin, dass sie die Kommunikation zwischen all Ihren Instanzen innerhalb Ihrer VPC oder Ihrem Subnetz sicherstellen die Kommunikation zwischen all Ihren Instanzen . Wenn Sie beispielsweise einen EC2-Computer starten , geben Sie keine feste IP an, dann weist AWS automatisch eine verfügbare IP-Adresse in Ihrem Subnetzgewicht in Ihrem Subnetzbereich zu. Denken Sie daran, dass dies auf Ihrer CIDR-Blockkonfiguration basiert. Aws wählt nur eine IP-Adresse in diesem Bereich aus. Sie können aber auch, oder was Sie auch tun können, ist, dass Sie Ihre feste IP-Adresse für diesen EC2-Computer angeben können , aber sie muss auch zu Ihrem CIDR-Blockbereich passen. Es ist auch möglich, dass Sie einer EC2-Instanz mehrere private IPs zuweisen können. 25. Grundlagen NAT Gateway: Das letzte Thema, über das wir sprechen müssen, bevor wir zum praktischen Teil wechseln , ist das NAT-Gateway. Deshalb möchte ich Ihnen einen kurzen Überblick über die Grundlagen eines sogenannten NAT-Gateways geben. Was ist das NAT-Gateway? Dies bedeutet nicht, dass Netzwerkadressübersetzung , und es besteht, und es gibt eine Übersetzung zwischen P-Adressen. In diesem Fall ersetzen wir die Quell-IP-Adresse einer Instanz, z. B. Ihren EC2-Computer in Ihrem privaten Subnetz. Diese IP-Adresse wird durch die IP-Adresse des NAT-Gateways ersetzt. Das funktioniert auch umgekehrt. Wenn Sie also Datenverkehr von der Antwort aus dem World Wide Web erhalten , wird die NAT-Gateway-IP-Adresse zurück in Ihre Quell-IP-Adresse übersetzt. Und was auch hier sehr wichtig ist , ist, wenn Sie eine hohe Verfügbarkeit erstellen möchten, dann sollte es in jeder Availability Zone ein separates Gateway geben. Aber wenn Sie keine HA haben möchten oder dies keine Voraussetzung ist, reicht es natürlich aus. Wenn Sie nur ein NAT-Gateway erstellen und es einfach für jeden Zweck verwenden. Auf diese Weise. Es gibt zwei verschiedene Arten von NAT-Gateways. Eine davon ist die Öffentlichkeit und eines ist das private NAT-Gateway. Das öffentliche NAT-Gateway funktioniert so, wie ich es bereits erklärt habe. Es erlaubt also den ausgehenden Datenverkehr von einer Instanz, die in einem privaten Subnetz platziert ist. Dann übersetzt es die IP-Adresse in die IP-Adresse des NAT-Gateways. Dann kann der Traffic ins World Wide Web gehen. Und die Antwort kann auch erneut auf die EC2-Instanz selbst zurückgeleitet werden , und die IP-Adressen werden zurückübersetzt. Um dies zu erreichen, müssen wir erreichen, dass diese elastische IP-Adresse für das öffentliche NAT-Gateway benötigt wird. Sie müssen Ihrem öffentlichen NAT-Gateway eine elastische IP-Adresse zuweisen . Sonst funktioniert es nicht. Ja. Und dann hast du das private NAT-Gateway. Und das private NAT-Gateway funktioniert anders zu sein. Sie benötigen diese elastische IP-Adresse also nicht , da das private NOT-Gate einfach verschiedene VPCs oder andere lokale Netzwerke verbindet . Und du bist immer noch in deinem Privat und Wyoming. Was hier passiert, ist nur, dass die privaten IP-Adressen Ihrer Instanzen durch die privaten IP-Adressen des NAT-Gateways ersetzt werden . Es besteht also keine Notwendigkeit für eine öffentliche IP-Adresse. Und ich möchte hier nur noch einmal die Preise erwähnen denn in diesem Fall verlangt das NAT-Gateway zusätzliche Gebühren. Sie können nur die Preisgestaltung googeln, kein Gateway. Und dann denke ich, dass es stündlich ist und wie viel Traffic durch dieses NAT-Gateway fließt. Aber ja, gelernte Lektionen. Sie können wissen wenn Sie Xs von einem privaten EC2-Computer aus einer privaten Instanz in einem privaten Subnetz abrufen möchten . Wenn Sie dort Zugang zum Internet haben möchten. Denn zum Beispiel möchten Sie vielleicht Ihr Betriebssystem oder ähnliches aktualisieren. Dann brauchst du so etwas wie ein NAT-Gateway. Aufgrund des Internet-Gateways selbst kann das Internet-Gateway nur öffentliche IP-Adressen übersetzen, aber keine privaten IP-Adressen. 26. Ein NAT erstellen: Jetzt bekommt es praktisch das, was wir tun wollen. Wir wollen ein NAT-Gateway erstellen. Deshalb wechsle ich zurück zu meiner Managementkonsole und gehe zum VPC-Dienst. Und ja, jetzt findest du hier die NAT-Gateways. Und wie Sie hier sehen können, haben wir ein Insel-Nr, kein Gateway ist derzeit verfügbar. Und das wollen wir ändern. Wir schaffen hier und kein Gateway. Und sagen wir zum Beispiel, der Name ist in unmittelbarer Nähe. Und dann müssen wir dafür ein geeignetes Subnetz auswählen. Dies ist hier, sehr wichtig zu verstehen. Wir benötigen ein öffentliches Subnetz für das NAT-Gateway, da es die IP-Adressen einfach vom privaten in den öffentlichen Raum übersetzen kann die IP-Adressen einfach vom privaten in den öffentlichen Raum übersetzen , wenn dies der Fall ist, wenn es in öffentlichen Subnetzen platziert wird. Deshalb müssen wir sicherstellen , dass es öffentlich ist. Und aufgrund der Tatsache, dass wir das Plot Sub zwei in ein privates Subnetz umwandeln möchten . Es gibt nur diese Option, um es in das SAP One-Subnetz zu legen. Und wie Sie hier sehen können, haben wir die beiden Konnektivitätstypen, die wir bereits gelernt haben. Es gibt also einen öffentlichen und privaten Konnektivitätstyp. Wir möchten die Öffentlichkeit nutzen, weil wir von unseren privaten Instanzen aus öffentlichen Zugang haben möchten . Und dann brauchen wir eine elastische IP-Adresse. Also kann ich hier sagen, gebe mir eine elastische IP-Adresse zu und AWS weist sie unter der Haube Ihrem Konto oder in diesem Fall meinem Konto zu. Wir haben das sehr reibungslos funktioniert. Und dann gibt es schon hier, schon ein Namensschild mit Protonat eins. Und wir wollen nur noch N Y hinzufügen, ein Haupttag, das prod heißt. Und wir können einfach dieses NAT-Gateway erstellen. Und das ist, das war's. Das ist alles, was wir tun müssen. Wenn wir ein NAT-Gateway erstellen wollen, müssen wir ein wenig warten, da der Status hier derzeit aussteht. Und wenn es fertig ist , erhalten wir auch eine private IP-Adresse. Und dann in der Elastic IP-Adresse hier. Was ich auch erwähnen wollte, ist, dass es auch etwas gibt, das NAT-Instanz genannt wird . Das ist eine Art Vermächtnis. Und dies ist eine weitere Option wie Sie diese Netzwerkadressübersetzung erreichen können. In diesem Fall werden Sie genau eine EC2-Maschine mit NAT-Gateway-Funktionalitäten starten. Und wahrscheinlich werden Sie in den meisten Fällen einfach das NAT-Gateway verwenden. Aber ja, manchmal, wenn Sie umfassende Konfigurationen durchführen möchten , wenn Sie detailliertere Konfigurationen durchführen möchten, dann können Sie vielleicht in Betracht ziehen, eine NAT-Instanz zu drehen. Aber ich denke, in 95% aller Fälle ist das NAT-Gateway hier der richtige Weg. 27. Öffentliche vs. private Subnetze: Ja, und jetzt wollen wir endlich unsere zweiten öffentlichen Subnetze in ein privates Subnetz übersetzen . Hier ist der kleine Überblick. Wir möchten hier diese Routentabelle ändern. Auf diese Weise wird das Plot-Unterzwei-öffentliches Subnetz zu einem privaten Subnetz. Das erste, was wir tun müssen , ist eine weitere Routentabelle zu erstellen, da Sie bereits wissen, dass wir gerade die eine Hauptroutentabelle verwenden. Und die Hauptroutentabelle wird hier für jedes Subnetz verwendet. Wenn wir diese Internet-Gateway-Route hier löschen, wird sie auch für das öffentliche Subnetz gelöscht, und das ist nicht das, was wir tun möchten. Deshalb müssen wir eine weitere Routing-Tabelle erstellen. Und das wollen wir tun, aber bevor wir das tun, zeige ich Ihnen nur , dass die Verbindung derzeit für die zweite EC2-Maschine funktioniert. Diese EC2-Maschine befindet sich derzeit in unserem zweiten öffentlichen Subnetz. Deswegen kopiere ich hier. Sie sind verwandte IP-Adresse. Dann gehe ich zurück zum Terminal und sage SSH Dish. Der Schlüssel heißt gebracht EC2, eine PEM-Datei. Und wir möchten uns mit dieser IP-Adresse verbinden, möchten diese IP-Adresse beenden. Wie Sie hier sehen können, funktioniert dies derzeit, daher kann ich mich derzeit mit dem zweiten EC2-Computer verbinden da er sich immer noch in einem öffentlichen Subnetz befindet. Das ist in Ordnung. Ich beende das hier und gehe zurück zur Managementkonsole. Jetzt wechseln wir zum VPC-Dienst. Dann können wir hier zu den Routentabellen gehen. Es gibt nur diese beiden Hauptroutentabellen für die beiden VPCs. Und ich möchte hier eine neue Routentabelle erstellen , die Proud Private One heißt. Ich möchte die Produkt-VPC auswählen da diese Routentabelle mit unserer Protonen-VPC zusammenhängt. Ich werde hier das y- und y-Element-Tag zuweisen , das auch stolz ist. Und ich erstelle diese Routentabelle. Wie Sie hier sehen können, haben wir hier nur eine Route, nur die lokale Route. Ich habe es bereits erklärt. Was wir jetzt tun müssen, ist, dass wir diese Routentabelle dem zweiten Subnetz hier zuweisen müssen. Und deshalb wählen wir hier einfach Subnetze aus, gehen dann zu den beiden Unteraktionen und bearbeiten die Routentabellenzuordnung. Und dann können Sie hier einfach die Routentabellen-ID auswählen. Und wir wollen die Hauptzeilentabelle nicht verwenden, wir möchten die private Ein-Routentabelle Praat verwenden. Dann hier die Einträge , die sich nur auf den, auf den lokalen Eintrag hier reduziert haben. Und dann kann ich Save sagen. Jetzt hat das zweite Subnetz hier eine andere Routentabelle. Wie Sie hier sehen können, unterscheidet sich die ID von dieser Routentabellen-ID des anderen Subnetzes in unserer VPC. Jetzt können wir das überprüfen. Wir können zurück zum Terminal gehen und versuchen, uns erneut zu verbinden. Und wie Sie hier sehen können, funktioniert es nicht mehr, weil wir nicht die Verbindungsleitung haben, das Internet-Gateway, das ist die, diese Route wird gelöscht. Das ist in Ordnung. Das funktioniert wie erwartet. Und jetzt können wir hier hinzufügen. Wir können zurück zur Routentabelle und zur privaten Routentabelle gehen. Jetzt können wir hier das Internet hinzufügen, das NAT-Gateway-Routen-Ding. Bevor wir das machen wollten, können wir uns hier einen Blick darauf werfen, diesen kleinen Überblick, wie es funktioniert. Was wir also erreichen wollen, möchten wir erreichen, dass diese private EC2-Instanz Zugriff auf das Internet hat, aber der Datenverkehr vom World Wide Web keine Berechtigung hat, auf die C22-Maschine des Produkts zuzugreifen. Und deshalb haben wir dieses NAT-Gateway bereits hier im öffentlichen Subnetz erstellt. Derzeit haben wir jedoch keine Verbindung zu diesem NAT-Gateway von den privaten Ressourcen in diesem privaten Subnetz hier. diesem Grund müssen wir in dieser privaten Routing-Tabelle eine andere Route definieren , die als o slash o to NAT-Gateway definiert ist, was bedeutet, dass jeder Datenverkehr an das NAT-Gateway weitergeleitet wird. Und dann funktioniert es auf diese Weise. Sie haben Ihre EC2-Instanz hier, und dies ist eine private Instanz. Und mit Hilfe dieser Route kann es sich über den Router von der VPC mit unserem NAT-Gateway verbinden . Und dieses NAT-Gateway befindet sich hier in oder in der öffentlichen VPC in unserem öffentlichen Subnetz. Entschuldigung. Dies bedeutet, dass es diesen Routeneintrag hier verwenden kann. Es hat eine IP-Adresse, eine öffentliche IP-Adresse. Und mit Hilfe dieser öffentlichen IP-Adresse kann es die Route verwenden, auf der jeder Datenverkehr an das Internet-Gateway umgeleitet wird . Es kann den Datenverkehr über den Router an das Internet-Gateway weiterleiten . Und über das Internet-Gateway waren es X's zum weltweiten Web. Und so funktioniert es. Aber auch hier funktioniert es nur in eine Richtung und in die andere Richtung nur mit den Antworten. Das bedeutet, dass die EC2-Instanz einige Dinge über das Internet anfordern kann und ihnen auch die Antworten zurückgeben kann. Aber niemand kann diese EC2-Maschine vom weltweiten Web aus erreichen , wenn die EC2-Maschine selbst es nicht will. Also, wenn es keine Anfrage von der EC2-Maschine selbst gibt. Dies ist also die Theorie dahinter. Und jetzt können wir endlich wieder zur Konsole wechseln und hier diese Route hinzufügen. Wenn Sie die Route an der Route bearbeiten, und wieder die Nullen 00. Und dann wählen wir hier anstelle des Internet-Gateways, des NAT-Gateways, wir haben hier unsere Handlung, nicht ein Gateway und speichern die Änderungen. Und so funktioniert es. Das ist alles, was wir vorerst tun müssen. Wenn wir zurück zum Terminal gehen. Natürlich können wir uns auch nicht mit unserer EC2-Maschine verbinden, nicht mit unserer EC2-Maschine verbinden da dies, wie wir bereits erfahren haben, nur eine Richtung ist und wir jetzt unsere private EC2-Maschine und das private Subnetz nicht anfordern können unsere private EC2-Maschine aus dem World Wide Web. Aber das ist erwartetes Verhalten. 28. Bastion Host: Ja. Jetzt, sobald der Schritt fehlt, möchten wir eine Verbindung zu unserem privaten EC2-Computer und unserem privaten Subnetz herstellen. Und wir möchten prüfen, wie die Verbindung zum weltweiten Web funktioniert. Im Grunde wollten wir nur einen Ping für Google machen , nur um sicherzustellen, dass unsere Einstellungen korrekt sind. Und um das zu tun, müssen wir ein Konzept vorstellen , das Bastion Host genannt wird. Und was ist der beste Host, das Beste ist, dass Sie sich wie ein öffentlicher Server vorstellen können, Sie sich wie ein öffentlicher Server vorstellen können das weltweite Web erreicht werden kann und der auch über die Berechtigung zum Herstellen einer Verbindung verfügt der private Server. Wenn Sie sich daran erinnern, haben wir als Sicherheitsgruppe für den, für den öffentlichen EC2-Computer und für den privaten EC2-Computer, dass der SSH-Zugriff erlaubt ist. Also das ist okay. Und auch die Routing-Tabellen von jedem Subnetzversicherer, dass jede Instanz, die in unserem Plot läuft , eine VPC mit jeder anderen Instanz in dieser VPC verbinden kann . Das sollte also in Ordnung sein. Und was wir jetzt tun müssen, ist dass ich hier wenig Befehl gegeben habe. Und das ist ein Befehl, der im Grunde IP-Tunneln durchführt. Hafentunnelbau, tut mir leid. Ja, das kannst du einfach hier kopieren. Und dann wechseln wir zu unserem Terminal. Ich habe mich hier schon vorbereitet nur kommando. Und wie Sie hier sehen können, ist dies nur der Kopierbefehl von der Folie. Wir müssen hier diese private Ressourcen-IP ersetzen, und wir müssen die Veteranen-Host-API ersetzen. Deshalb müssen wir wieder zu unserer Managementkonsole wechseln. Gehen Sie zum EC2-Service, dann zu unserem Plot EC2 eine Maschine. Das ist unser Prop Bastion Gastgeber. Hier brauchen wir also die öffentliche IP-Adresse. Und das beginnt in diesem Fall mit 54. Und das kopiere ich. Dann wechsle ich zurück zum Terminal und dann kann ich es hier einfügen. Und das werde ich auch für die private IP-Adresse tun. Also zurück zur Managementkonsole. Und dann kopiere ich hier. Und wichtig hier ist dass wir hier die private IP-Adresse bekommen müssen. Dies sollte also die private IP-Adresse sein, nicht die öffentliche IP-Adresse, da der öffentliche EC2-Computer die private Instanz über den privaten IP-Adressbereich erreichen muss . Ja, also kopiere das hier und füge es dann ein, und dann sollte es funktionieren. Was wir natürlich tun müssen, ist, dass wir eine PEM-Datei umwandeln , da wir nicht den Standardordner und unseren Punkt-SSH-Ordner verwenden. Ja, jetzt sollte es funktionieren und wie Sie sehen können, ist der Fingerabdruck erforderlich, und jetzt sind wir auf unserer öffentlichen Maschine verbunden. Wie Sie hier sehen können, ist dies der öffentliche EC2-Computer da er hier nicht dieser IP-Adresse entspricht, nämlich der privaten IP-Adresse des privaten EC2-Rechners. Dies ist nur der erste Schritt. In diesem Fall haben wir jetzt den Port 22 von unserer privaten EC2-Maschine zu unserem lokalen Host am Port 20202020 getunnelt unserer privaten EC2-Maschine zu unserem . Dieser EC2-Computer ist jetzt hier verfügbar, diese 22 Ports sind jetzt auf meinem lokalen Host verfügbar. Ein weiterer Hafen, 2222. Jetzt kann ich ein anderes Terminal öffnen , wo es wichtig ist, dass dies die ganze Zeit geöffnet ist. Sie können dieses Terminal also nicht hier schließen , da Sie sonst auch diese Sitzung schließen. Und dann wird der Hafen nicht auf unseren lokalen Host getunnelt. Und das bedeutet, dass Sie eine Verbindung zu Ihrem privaten EC2-Computer herstellen können. Das wird also die ganze Zeit hier geöffnet sein. Dann kann ich mich einfach mit meinem privaten EC2-Computer verbinden und das werde ich dort mit SSH tun. Und dann bemerkt wir das falsche Lagerfeuer. Wir verwenden die Proteine c2, eine PEM-Datei. Dann benutzen wir auch den Benutzer wird nicht regieren. Und jetzt lokaler Host anstelle der IP-Adresse des privaten EC2-Rechners, denn Wie ich bereits sagte, ist er unserem lokalen Host zugeordnet. Und dann müssen wir nur diesen Port 2222 angeben , weil ziemlich fehlerhaft, da H die Leistung von 22 nutzt. Aber das ist unser lokaler 22-Port. Deshalb müssen wir es hier angeben. Und dann führe ich einfach diesen Befehl aus. Fingerabdruck. Ja. Und jetzt sind wir auf unserem privaten EC2-Computer und das können Sie überprüfen, indem Sie hier diese private EC2-IP-Adresse überprüfen. Und das ist in diesem Fall 1001228. Und das können wir auch in unserer Managementkonsole überprüfen. Wenn Sie also hier diesen EC2 im Computer auswählen und sich diese private IP-Adresse hier ansehen, dann ist es in der Tat die 1001228-IP-Adresse. Also sind wir an unserer Maschine. Der letzte Schritt ist, dass wir sicherstellen möchten , dass unsere Einstellungen nicht funktionieren. Deshalb führen wir zum Beispiel einfach einen kleinen Ping für Google aus. Und wie Sie hier sehen können, funktioniert es einwandfrei. Also was, was haben wir gemacht? Wir haben ein öffentliches Subnetz erstellt. Wir haben das private Subnetz erstellt und die Routentabelle wurde geändert. Derzeit können wir keinen Überschuss aus dem weltweiten Web zu unserer privaten EC2-Maschine haben, aber die private EC2-Maschine kann Zugriff auf das weltweite Web haben. Wenn wir zum Beispiel nur ein kleines Update auf diesem privaten EC2-Computer installieren möchten , dann ist dies möglich, während der Net Guide Wire, das NAT-Gateway, aber umgekehrt nicht möglich ist . Das ist also wieder ein großer Meilenstein. Und was wir jetzt tun müssen, ist wir nur alle Ressourcen löschen und stoppen wollen , die zusätzliche Kosten erfordern. Deshalb habe ich hier jetzt den Dienst angehalten, dann wechsle ich zurück zur Managementkonsole und dann sage ich, ich möchte nur diese beiden EC2-Maschinen hier anhalten , weil wir sie vielleicht brauchen. Dann in den nächsten Vorträgen und Kapiteln. Was wir auch tun wollen, ist, dass wir wieder zum VPC-Dienst gehen . Wir möchten das NAT-Gateway löschen. Hier ist es. Aktionen Löschen, NAT-Gateway, Delete. Und jetzt können Sie hier sehen, dass der Status gelöscht wird. Hier können wir nur einen letzten Blick darauf werfen, das VPC-Dashboard. Und ich denke, es gibt keine weiteren Ressourcen, die einige Gebühren erfordern oder die einige Kosten, zusätzliche Kosten verursachen? Nein, das glaube ich nicht. Ich habe fast die Elastic IP-Adresse vergessen. Wenn Sie sich erinnern, mussten wir bei der Erstellung unseres NAT-Gateways auch eine elastische IP-Adresse zuweisen. Und diese IP-Adresse wird nicht gelöscht, wenn Sie das NAT-Gateway löschen. Deshalb gehe ich hier wieder zum EC2-Dienst zurück. Und dann finden Sie unter elastische IP-Adresse hier, unter Netzwerk- und Sicherheitskapitel eins, elastische IP-Adresse. Und ich muss nur zu Aktionen gehen und dann kann ich die Elastic IP-Adresse freigeben. Ich werde das loslassen. Und dann ist das auch erledigt. 29. Sicherheitsgruppen für Einführung: In diesem Kapitel möchten wir über das Thema Sicherheit sprechen . Ich habe viel darüber nachgedacht, wie es richtig ist. Stellen Sie das Sicherheitsthema vor diesen ganzen Kurs oder nicht hier. Aber dann habe ich beschlossen, zuerst die VPC-Architektur und alle funktionalen Dinge zu erstellen die VPC-Architektur und alle funktionalen Dinge und sicherzustellen, dass alles funktioniert. Und jetzt können wir die Sicherheitsschicht hinzufügen. Hier kommt ein kleiner Überblick. Erstens habe ich einen Hinweis für Sie, und der Hinweis erhält von Anfang an eine hohe Priorität der Sicherheit. Aus meiner Erfahrung verirrt man sich. Wenn Sie nicht von Anfang an beginnen , die Sicherheitsschicht hinzuzufügen, Ihre Infrastruktur oder Ihre Architektur wächst und wächst und wächst Ihre Infrastruktur oder Ihre Architektur. Und dann erreichst du den Punkt, an dem du nicht alles aufholen kannst, was du in der Vergangenheit verpasst hast. Genau als Hinweis. Sicherheit, sehr hohe Priorität. Dann müssen Sie zwei verschiedene Arten von Sicherheit in der Cloud haben. Eine davon ist die Sicherheit der Cloud, und dies ist in diesem Fall der Teil von AWS. So zum Beispiel AWS und Hausarbeiten durch Hardware-Firewalls , dass die Cloud sicher ist oder redundante Server bereitstellt , etwa so. Hauptsächlich auf Hardwareebene , aber auch auf Software-Ebene. Und dann gibt es die Sicherheit in der Cloud und das ist der Benutzer. Wie Sie hier unten sehen können. Sie können die Sicherheitsstufe mit einer Hilfe erhöhen, beispielsweise Netzwerkzugriffskontrolllisten. Sie können Sicherheitsgruppen verwenden, Sie können Firewalls verwenden. Und diese drei Punkte sind im Grunde nur einige Software-Firewalls. Am Ende. Sie können, Sie können auch Ihr Sicherheitsniveau erhöhen. Tschüss einfach, wie Sie Ihre VPC in richtige Subnetze wickeln und einfach private Subnetze verwenden. Daher benötigt jede EC2-Instanz, die wir standardmäßig vom Worldwide Web erreicht haben, keine Zugriffskontrollliste oder ähnliches, da sie getrennt ist. Und dann benötigen Sie natürlich aus anderen Gründen Sicherheitsgruppen und Zugriffskontrolllisten. Aber es ist ein erhöhtes Sicherheitsniveau. Wenn Sie hier richtige Subnetze erstellen. Und natürlich ist auch die Überwachung eine Sache, bei der Sie Ihre Sicherheitsstufe erhöhen können , denn wenn Sie nicht wissen, was in Ihrer VPC und Ihrem Subnetz passiert, können Sie Ihr Subnetz nicht sichern. Es besteht auch die Möglichkeit , IAM-Berechtigungen zu verwenden. Eine Sache ist zum Beispiel dieses Ding mit unserem IAM-Benutzer. Wir haben einen IAM-Benutzer erstellt, um unsere VPC-Ressourcen zu erstellen, und dies wird dringend empfohlen. Verwenden Sie dafür also nicht Ihr AWS-Hauptkonto. Das Letzte, was hier ist, ist die Verschlüsselung. So haben Sie beispielsweise die Möglichkeit, Ihre Daten während der Übertragung zu verschlüsseln. Und dies ist auch eine weitere Sicherheitsschicht , die Sie hier anwenden können. Dies ist die kleine Einführung für die Sicherheit. Und in der nächsten Vorlesung werden wir über die Listen der Netzwerkzugriffskontrolle sprechen. 30. Liste der Network (NACL): In dieser Vorlesung möchten wir über Listen zur Netzwerkzugriffskontrolle sprechen , die als Knock-offs bezeichnet werden. Was ist NaCl? Nacl ist eine zusätzliche Sicherheitsschicht und Sie können sich vorstellen, dass sie auf Subnetzebene wie eine Firewall funktioniert. Und wenn Sie sich daran erinnern, dass jede VPC, die erstellt wird, standardmäßig jede VPC, die erstellt wird, über eine Haupt-Netzwerkzugriffskontrollliste verfügt , die standardmäßig den gesamten Datenverkehr zulässt. Also machten wir uns auf den Weg zur Standard-VPC und auch zur nicht standardmäßigen VPC, wir haben nur die VPC erstellt und dann gab es standardmäßig einen Knöchel und der Datenverkehr ist ebenfalls aus. Sie können jedoch auch Ihre benutzerdefinierte Netzwerkzugriffskontrollliste erstellen Ihre benutzerdefinierte Netzwerkzugriffskontrollliste und sie dem gewünschten Subnetz zuweisen. Wenn Sie jedoch eine benutzerdefinierte Netzwerkzugriffskontrollliste erstellen, sind keine Regeln angegeben. Das bedeutet also, dass Sie den Datenverkehr explizit zulassen müssen. Ansonsten ist jeder Verkehr die Nacht. Was hier sehr wichtig ist zu wissen, insbesondere wenn Sie die Zertifizierung für die AWS Solutions Architect Associate Network Access Control List durchführen möchten die AWS Solutions Architect Associate Network Access Control List , ist zustandslos. Was bedeutet diese Tatsache hier , dass es staatenlos ist? Dies bedeutet, dass Sie eine eingehende Regel und dann eine ausgehende Regel definieren müssen, um eine erfolgreiche Datenübertragung erfolgreich zu erreichen. Wenn Sie beispielsweise die Anforderung ausführen und eine eingehende Regel definieren, funktioniert dies. Sie können die Antwort jedoch nicht zurückerhalten, da Sie keine Definition für die ausgehende Regel haben. Und die Netzwerkzugriffskontrollliste kann sich nicht erinnern, wer die Anfrage durchgeführt hat. Das bedeutet also, dass Sie auch die ausgehende Regel definieren müssen. Es gibt keinen Speicher, es gibt keinen Staat. Wichtig ist auch, dass die Regelreihenfolge in diesem Fall hier wichtig ist. Sie haben die Möglichkeit, Regeln von eins bis 32.766 zu erstellen . AWS RECOMB empfiehlt außerdem , Ihre Regeln in Schritten von zehn zu erstellen. So erstellst du zum Beispiel 10203040, solche Sachen. Und das liegt daran, dass Sie, wenn Sie es auf diese Weise tun , sicherstellen können, ob Sie einige Regeln hinzufügen möchten , dann haben Sie etwas später die Möglichkeit, einige Regeln in der Mitte hinzuzufügen. Ansonsten muss man dann die gesamte Regeldatei umstrukturieren . Sehr wichtig ist auch, dass eine Regel innerhalb einer solchen Netzwerkzugriffskontrollliste den Datenverkehr zulassen oder verweigern kann. Dies ist ein Spaziergang, den wir jetzt in der AWS-Konsole überprüfen möchten, wir gehen zuerst, wir wollen den EC2-Computer im Subnetz starten den EC2-Computer im Subnetz weil wir prüfen möchten, ob es wirklich funktioniert. Deshalb fange ich hier wieder mit unserer EC2-Maschine an. Und natürlich wollen wir die EC2-Maschine verwenden und den Prod stoppen, weil wir uns nur direkt mit dieser Maschine verbinden wollen. Wir wollen nicht den Besten und Host verwenden. Wenn ich also den Status hier aktualisiere, steht er aus. Und in der Zwischenzeit können wir zu unserem VPC-Service gehen. Und dann können Sie hierher zu Netzwerk-ACLs gehen. Sie können hier sehen, dass wir immer noch nur die beiden Hauptnetz-ACLs haben. Und wir möchten hier ein neues erstellen, das Prod Subnet One genannt wird weil ich es dem Subnetz zuweisen möchte. Ich wähle hier die Praat One VPC und erstelle dann auch hier Tech und erstelle Netzwerk-ACL. Jetzt können Sie hier sehen, dass es mit keinem Subnetzteil verknüpft ist. Wir haben eine neue ACL-ID und ich kann hier klicken, und Sie können sehen, dass wir standardmäßig eine eingehende Regel haben, die den gesamten Datenverkehr nett ist und wir eine Standard-Outbound-Regel haben eine Standard-Outbound-Regel , die auch den gesamten Datenverkehr verweigert. Und was wir erreichen wollen, ist, dass wir uns wieder mit unserer EC2-Maschine verbinden können , wenn wir hier diese Netzwerk-ACL verwenden. Und zuerst müssen wir diese Netzwerk-ACL unserem Plot-Subnetz zuweisen . Und deshalb können wir es einfach hier auswählen. Gehen Sie dann zu Aktionen und bearbeiten Sie Netzwerk-ACL-ACL-Zuordnung und dann wechseln wir sie einfach hier zum Subnetz und sicher. Ja. Und jetzt können wir zurück zum EC2-Bereich gehen und vielleicht läuft er jetzt. Ja, hier scheint es gut zu sein. Wir können unsere IP-Adresse hier kopieren und dann zum Terminal wechseln. Ja, jetzt können wir hier und SSH mit E machen und unsere EC2 one PEM-Datei erneut verwenden, wir möchten, und wir verwenden hier diese IP-Adresse Enter. Und wir sehen, dass es nicht funktioniert. Und wir haben dieses Verhalten erwartet. Denn wenn wir zu unserem VPC Service zurückkehren, gehen Sie zurück zur Netzwerk-ACL. Wir können sehen, dass hier alles verweigert wird, daher müssen wir einige eingehende und ausgehende Regeln hinzufügen , um sicherzustellen, dass dieser SSH-Datenverkehr unsere EC2-Maschine erreicht. Das erste, was wir hier tun wollen, ist, ups, wir möchten eine eingehende Regel bearbeiten. Ich gebe ihm hier die Nummer zehn zu und wähle SSH von überall aus. Und ich möchte es hier in der ersten Phase zulassen , Änderungen speichern. Dann überprüfe ich es noch einmal. Ich gehe zurück zum Konsolenterminal. Und wie Sie hier sehen können, funktioniert es nicht. Und das liegt daran, dass wir die Antwort von der EC2-Maschine nicht zurückerhalten können . Wieder hier in der AWS-Konsole. Und jetzt möchten wir auch eine ausgehende Regel hinzufügen , ausgehende Regel bearbeiten. Und ich füge hier auch Nummer zehn und auch SSH-Verkehr von überall hinzu. Und ich möchte zulassen, dass es die Änderungen speichert. Und wir gehen auch zurück zu unserem Terminal. Und wie Sie hier sehen können, funktioniert es auch nicht. Und warum funktioniert es nicht. Dies ist ein spezifisches Verhalten des SSH-Protokolls, da das SSH-Protokoll einige hohe Portbereiche benötigt , wenn es um die Antworten geht, jedoch müssen wir für die ausgehenden Regeln definieren, je höher Ports, weil es zufällig einige Ports zwei wählt, senden Sie die Antwort zurück. Dies ist SSH-spezifisch. Und deshalb gehe ich zurück zu Outbound-Regeln. Und dann sage ich, ich möchte die Outbound-Regel noch einmal bearbeiten, nicht erlauben, genau wie sein Alter, ich möchte den ganzen Verkehr wissen. Dann kann ich meine Änderungen wieder in der Konsole speichern. Und jetzt sollte es klappen. Und wie Sie hier sehen können, funktioniert es wirklich. Jetzt. Ich werde diese Verbindung beenden. Dann zeige ich Ihnen oder ich möchte Ihnen zeigen, wie die Reihenfolge der Regeldateien hier die Regeleinträge funktioniert. In diesem Fall bearbeiten wir die eingehende Regel erneut. Und jetzt kann ich sagen, ich möchte eine weitere Regel mit einer Nummer 20 hinzufügen und auch SSH sagen. Und ich möchte das leugnen. Und jetzt kannst du darüber nachdenken, was jetzt passieren wird. Ist es möglich, die EC2-Instance zu erreichen oder nicht mit dieser Konfiguration hier? Ich habe diese Änderung gespeichert. Dann gehe ich zurück zu meinem Terminal. Und wie Sie hier sehen können, funktioniert es so, dass ich mich mit meinem EC2-Computer verbinden kann. Und deshalb haben wir zuerst die Zulassungsregel definiert. Diese Regel spielt hier keine Rolle , da die Reihenfolge wichtig ist. Wenn wir noch einmal zu den eingehenden Regeln gehen und sagen, dass diese Regel hier zum Beispiel nein oder t. Und das ist 30. Das heißt, wenn wir es hier bestellen, leugnen wir zuerst unsere Augen als H-Verkehr und lassen dann unseren SSH-Verkehr zu. Und wenn wir jetzt wieder zum Determiner gehen und die Verbindung überprüfen, sehen wir, dass sie nicht funktioniert. Dies ist ein erwartetes Verhalten. Wir haben die Reihenfolge hier geändert. Und jetzt spielt diese Regel hier keine Rolle, denn wir haben bereits definiert , dass wir den gesamten SSH-Datenverkehr hier verweigern wollen. Ja, ich meine, so funktioniert es. So arbeiten die gesamten Mitarbeiter mit Netzwerk ACS. Und der Zweck dafür ist zum Beispiel, ob Sie sicherstellen möchten, dass Sie Ihre IP-Adresse von Ihrem besten Freunde-Host oder von Ihrem lokalen PC aus anpassen Ihre IP-Adresse von Ihrem möchten. Wenn Sie einen DNS-Dienst oder ähnliches haben, wenn Sie eine statische IP-Adresse haben, können Sie beispielsweise hier feststellen, dass nur Ihr IP-Adressschrägstrich 32 auf Ihren VPC Wire SSH zugreifen darf beispiel. Also ja, Sie haben hier eine wirklich detaillierte Kontrolle , da Sie IP-Adressen und IP-Bereiche verwenden können und Sie auch explizites Verweigern oder eine LLC definieren können. 31. Sicherheitsgruppe: In dieser Lektion werden wir über das Thema Sicherheitsgruppe sprechen . Was ist eine Sicherheitsgruppe? Es ist auch wie eine virtuelle Firewall. Aber in diesem Fall arbeiten wir hier auf Ressourcenebene. Das bedeutet, dass Sie eine Sicherheitsgruppe zuweisen können, z. B. einen EC2-Computer. Und natürlich jede VPC und jedes Subnetz, eine halbe Standardsicherheitsgruppe. Und was wirklich wichtig ist , ist, dass Sicherheitsgruppen stateful sind. Das heißt, wenn Sie beispielsweise eine SSH-Anfrage an einen EC2-Computer stellen , ist die Antwort auch automatisch zulässig. Sie können sich also vorstellen, dass in der Mitte ein wenig Speicher vorhanden ist und die Sicherheitsgruppe sich daran erinnern kann , wer etwas angefordert hat, und die Antwort wird automatisch geladen. Dann am Ende. Für Sicherheitsgruppen können wir nur niedrige Zuweisungen definieren . Diese beiden Aussagen hier sind auch für den Solutions Architect Associate sehr wichtig . Exzellent. Sicherheitsgruppen sind stateful und es gibt nur Zuweisungen zu. In dieser Tabelle sehen Sie jetzt wieder den Unterschied zwischen Sicherheitsgruppen und Netzwerkzugriffssteuerungslisten. Wie bereits erwähnt, arbeitet es für die Sicherheitsgruppe auf Instance-Ebene und unterstützt nur Zulassungsregeln. Es ist stateful, was bedeutet, dass der Rückverkehr automatisch zulässig ist. Sie müssen also keine zusätzlichen ausgehenden Regeln erstellen zusätzlichen ausgehenden Regeln wenn Sie nur eingehenden SSH-Datenverkehr zulassen möchten. Und die Regeln werden alle ausgewertet, bevor AWS beschließt , den Traffic zuzulassen, zu verweigern oder zu verweigern. Und Sie müssen die Sicherheitsgruppe explizit der Instanz zuweisen. Wenn das also die Sache ist, haben Sie die Liste der Netzwerkzugriffskontrolle. Und die Netzwerkzugriffskontrolle. Dies funktioniert auf Subnetzebene. Hier haben Sie, wie wir bereits sagten, Regeln zulassen und Regeln ablehnen. Die NaCl ist staatenlos und die Reihenfolge ist wichtig, wie Sie Ihre Regeln definieren. Wenn Sie sich also daran erinnern, wann Sie ein oder zwei gleiche Regeln erstellen , aber eine nur mit erlauben, eine mit dem Naiven, dann ist es wichtig, was zuerst kommt. Und wenn Sie diese Netzwerkzugriffssteuerungsliste einem Subnetz oder einer VPC zuweisen , wird sie automatisch auf alle EC2-Computer für alle Instanzen in diesem Subnetz oder innerhalb dieser VPC angewendet . Das ist der Unterschied. Ja, machen wir ein paar praktische Sachen. Ich wechsle wieder zu unserer Konsole. Und zuerst gehe ich wieder zum VPC-Dienst. Ich werde überprüfen, wie es hier mit einer Netzwerk-ACLS funktioniert , da wir sicherstellen möchten, dass wir den gesamten Datenverkehr während Ihrer Netzwerk-ACLs zulassen , dass wir die Funktionalität der Sicherheitsgruppen überprüfen können . Deshalb gehe ich wieder hierher zu den Subnetzen. Und ich denke, wir weisen dem Subnetz hier unsere benutzerdefinierte Netzwerkzugriffskontrollliste zu. Deshalb gehe ich wieder hier zu Edit. Und dann ändere ich es hier wieder auf die Standard-ACL. Dass wir sicherstellen können, dass nur der gesamte Datenverkehr erlaubt ist. Verdrahte diese ACLs hier. Also gehe ich hierher, speichere und dann kann ich hier die Sicherheitsgruppen auswählen. Wie Sie hier sehen können, haben wir nur die Reihenfolge, Sicherheitsgruppen für die beiden oder die beiden VPCs zu standardmäßig zu verwenden . Und mein Fall hier klicke ich auf Sicherheitsgruppe erstellen, dann kann ich ihr einen Namen geben. Ich nenne es auch stolzes Subnetz eins und einen niedrigen SSH-, SSH-Zugang. Dann kann ich hier sitzen, ich möchte es mit einem VPC-Plot1 benutzen. Dann kann ich zum Beispiel auch eine SSH-Regel für das TCP-Protokoll und den Portbereich 22 definieren . Und dann kann ich von überall hier sagen und die Beschreibung lautet SSH. Und ich lösche hier alle ausgehenden Regeln. Am Ende haben wir nur eine eingehende Regel mit zulässigem SSH-Datenverkehr. Erstellen Sie die Sicherheitsgruppe. Jetzt kann ich hier zur EC2-Verwaltungskonsole gehen. Und wir haben hier unser Produkt EC2 eine Maschine laufen , die ich ausgewählt habe. Knöchel hier zur Sicherheitsgruppe. Und wie Sie hier sehen können, weisen wir dieser Standardsicherheitsgruppe zu. Diesen wollen wir ändern. Und deshalb gehe ich hier zur Aktionssicherheit und ändere Sicherheitsgruppen. Ja, jetzt kann ich hier unsere Subnetz-Sicherheitsgruppe auswählen , die Sicherheitsgruppe. Und ich kann hier den Standardwert löschen. Und wie Sie hier bereits sehen können, können Sie einem Computer auch mehrere Sicherheitsgruppen zuweisen . In diesem Fall. In unserem Fall wollen wir nur diese Sicherheitsgruppe für Subnetzanleihen haben. Ich klicke auf Speichern und gehe dann wieder zur Sicherheitsgruppe zurück. Und wie Sie hier sehen können, wurde es von AWS geändert, aber Sie können keine eingehende Regel sehen, und ich denke, dass dies hier ein Geld in der Konsole ist. Also werde ich es tun, ich werde mich von dieser Seite auffrischen und zurück zur Sicherheit gehen. Und dann können Sie hier sehen unsere eingehende Regel hier angezeigt wird. Und jetzt können wir prüfen, ob das wirklich funktioniert. Ich kopiere die öffentliche IP-Adresse dieses EC2-Rechners. Dann gehe ich zurück zu meinem Terminal. Ich sage SSH Dish, und dann die PEM-Datei und geboren an und dann unsere IP-Adresse. Wie Sie hier sehen können, funktioniert es einwandfrei. Und nur um sicherzustellen, dass es sich wirklich um diese SSH-Regel handelt, können wir auch hierher zur Sicherheitsgruppe zurückkehren. Klicken Sie auf die Sicherheitsgruppe und „Eingehende Regeln bearbeiten“ und sagen Sie dann, wir möchten diese eingehende Regel hier löschen und klicken auf Speichern. Dann musst du ein paar Sekunden warten damit es propagiert wird, denke ich. Ja, in ein paar Sekunden, aber höchstwahrscheinlich nicht in Echtzeit. Ja. Jetzt gehe ich wieder zurück, gehe hier und versuche es dann noch einmal. Und wie Sie hier sehen können, funktioniert es nicht. Es war also wirklich diese eingehende SSH-Regel. Und auch wichtig ist, dass wir gerade eine eingehende Regel definiert haben. Also haben wir gerade die eingehende SSH-Regel definiert und können eine Verbindung zu diesem EC2-Computer herstellen. Und deshalb ist die Sicherheitsgruppe stateful. Ich habe hier unterbrochen. Und ja, ich glaube, das ist es fast. Und ich möchte hier nur noch etwas erwähnen. Wenn wir erneut zu „ Eingehende Regeln bearbeiten“ und „eta-Regel“ gehen, können wir hier auch Sicherheitsgruppe als Quelle zuweisen. Wenn Sie sich erinnern, haben wir dies auch für unsere Haupt-VPC-Sicherheitsgruppe für die nicht standardmäßige und auch für die Standard-VPC getan. Es gab also eine Regel, bei der der gesamte Datenverkehr alle Instanzen , die derselben Sicherheitsgruppe zugewiesen sind, Forum durfte . Aber ja, ähm, ich bin mir derzeit nicht ganz sicher, was hier die beste Vorgehensweise ist. Manche Leute benutzen das und andere nicht. Ich denke, es liegt sehr, sehr nahe an der Abhängigkeit ****, denn wenn Sie zum Beispiel eine Basissicherheitsgruppe erstellen und dann andere Sicherheitsgruppe erstellen. Und eine andere Sicherheitsgruppe ist mit dieser Basissicherheitsgruppe verbunden. Und dann entscheidest du, ich möchte diese grundlegende Kritikgruppe löschen. Sie können dies im Grunde nicht die Gruppe vor der anderen Sicherheitsgruppe löschen . Nicht die erforderliche Regel, die der Sicherheitsgruppe zugewiesen ist , wird nicht gelöscht. Und wenn Sie dies für viele Fälle mit vielen Sicherheitsgruppen tun , dann sind Sie ja, Sie befinden sich im Dependency Hill. Deshalb schlage ich von meiner Person mit ein paar vor, zum Beispiel eine Sicherheitsgruppe zu erstellen, die SSH-Datenverkehr zum Beispiel von, von überall oder von der VPC aus ermöglicht , von allen IP-Adressen im VPC-Subnetz. Und dann können Sie diese Sicherheitsgruppe einfach auch dem EC2-Computer zuweisen . Und dann erstellen Sie einen anderen, zum Beispiel für den Postgres-Port 5432. Und dann können Sie dies auch allen EC2-Computern zuweisen, auf denen die Postgres-Instanz ausgeführt wird. Zum Beispiel. Ich denke, das ist der bessere Ansatz, aber lassen Sie es mich wissen, wenn Sie eine Meinung dazu haben , und lassen Sie sie in die Kommentare fallen. 32. Netzwerk-Firewall: Um konsistent zu sein, möchte ich in dieser Lektion sehr kurz die Netzwerk-Firewall erwähnen . Netzwerk-Firewall ist der Status, wer wird, und im Grunde kann sie den Datenverkehr in einer VPC filtern, z. B. der Datenverkehr zu oder von einem Internet-Gateway oder nicht Gateway oder MPN ist vorbei. Und es verwendet das Open-Source-Einbruchpräventionssystem IPS mit einem Namen. Klicken Sie also auf Hada. Grundsätzlich kann man sich vorstellen, als wäre es intelligent an einer Wand, die einige Arten von Angriffen verhindern kann . Und es ist eine zweite oder dritte Schicht, eine dritte Sicherheitsschicht. Aber aus meiner Sicht, wenn Sie es mit all den Dingen, die wir zuvor gelernt haben, mit einer Netzwerkzugriffskontrollliste mit den Sicherheitsgruppen richtig zuvor gelernt haben, mit einer Netzwerkzugriffskontrollliste machen. Und wenn Sie Ihre VPC mit privaten Subnetzen und öffentlichen Subnetzen und der Hälfte aller wichtigen Instanzen nur in Ihrem privaten Subnetz strukturieren Ihre VPC mit privaten Subnetzen und öffentlichen Subnetzen und der Hälfte aller wichtigen Instanzen und nur ein paar Verbindungen zur Welt darüber, warum Ihr öffentliches Subnetz. Dann ist dies auch sehr gesichert, sodass Sie diese Netzwerk-Firewall nicht benötigen. Dann kommt es auch mit zusätzlichen Kosten AWS, die Ihnen hier eine weitere Sicherheitsschicht zur Verfügung stellt. Und aus meiner Sicht können Sie an dieser Netzwerk-Firewall zwei in Betracht ziehen. Wenn Sie dann die eigentliche Voraussetzung dafür haben, wollte ich nur erwähnen, dass diese Netzwerk-Firewall hier existiert. Wenn wir hier zur Konsole und zum VPC-Dienst gehen. Dann finden Sie die Netzwerk-Firewall auch hier und dann die Netzwerk-Firewall. Aber wir haben hier derzeit keinen Überschuss mit unserem IAM-Benutzer, da wir nicht hier erstellen und Firewall-Leben erstellen wollten. Ich wollte nur erwähnen, dass Netzwerk-Firewalls auch hier in der VPC-Konsole existieren. 33. AWS VPC – Flow Logs: In diesem Kapitel möchten wir über das Monitoring sprechen. Die Überwachung aus meiner Sicht hängt auch sehr eng mit dem Thema Sicherheit zusammen. Denn wenn Sie nicht überwachen können oder wenn Sie nicht wissen, was in Ihrer VPC, in Ihrem Subnetz passiert, dann ist es auch schwierig, einige Sicherheitspersonal zu machen, sie sind hier sehr wichtig denn die Überwachung ist der Dienst, die sogenannten Service-Flow-Blöcke. Und was unsere Flow Logs. Du kannst dieses kleine Bild hier sehen, also wird es mein Bild bewegen. Flow-Sperren. Kann den gesamten eingehenden und ausgehenden Datenverkehr in Ihrer VPC sperren . Im Grunde basiert es also auf dem Datenverkehr, zu oder von einer Netzwerkschnittstelle kommt. Und das ist hier, die elastische Netzwerkschnittstelle. Und so. Eine elastische Netzwerkschnittstelle ist grundsätzlich, wie eine Netzwerkkarte in Ihrem Hardware-Computer, ähm Jedes Mal, wenn AWS Ihrem EC2-Computer eine IP-Adresse zuweist, gibt es eine elastische Netzwerkschnittstelle beteiligt. Dies ist die Software , die Ihrer Netzwerkkarte entspricht. Flow-Protokolle können Ihnen bei der Diagnose und Überwachung des Datenverkehrs helfen. Und was hier auch wichtig ist zu wissen , dass es sich einen separaten Dienst handelt und sich nicht auf die Bandbreite der Latenz des Datenverkehrs auswirkt. Es ist also wie ein Beobachter. Ups, tut mir leid. Sie können Flow-Protokolle für Ihr gesamtes EPC, für Subnetze oder sogar für einzelne Netzwerkschnittstellen erstellen. Für einzelne elastische Netzwerkschnittstellen, ebenfalls wichtig zu wissen sind, wirken Flow-Logs nicht in Echtzeit, daher gibt es eine kleine Verzögerung und wo Sie Ihre Flow-Protokolle speichern können. Es gibt zwei Möglichkeiten. Einer ist drei, sodass Sie einen S3-Bucket definieren können, in dem die Flow-Logs gespeichert werden können oder Sie schieben sie an CloudWatch. Und wir wollen es mit CloudWatch machen. Also werden wir zu unserem praktischen Teil wechseln. In die Konsole. Schon wieder. Ich verschiebe mein Bild wieder hierher. Und jetzt können wir zwei Subnetze hierher gehen , um die Auswahl des Praat Sub One aufzuheben. Und das ist sehr wichtig, weil wir den Verkehr für unsere öffentliche EC2-Maschine absorbieren wollen . Und unsere öffentliche EC2-Maschine befindet sich offensichtlich in unserem Produktsubnetz. Und dann kann ich hierher gehen, um Logs zu fließen. Und ich habe bereits einen erstellt, also werde ich diesen schnell löschen. Und dann können Sie hierher gehen , um Flow-Log zu erstellen. Wie Sie hier sehen können, gibt es viele Möglichkeiten. Eines ist, welches Feld wir anwenden möchten. Sie können beispielsweise entscheiden, dass Sie nur den gesamten akzeptierten Datenverkehr verfolgen möchten . Oder Sie können einfach den gesamten Datenverkehr verfolgen, der abgelehnt wurde, oder Sie filtern nur den gesamten Datenverkehr. In diesem Fall wollen wir nur alle Filter verwenden und wir möchten hier die einminütige Aggregation und die Wand verwenden. Und dann können wir hier entscheiden , welchen Data Lake wir CloudWatch oder dieses Paket verwenden möchten. In unserem Fall möchten wir die CloudWatch eine Lösung verwenden. Und daher benötigen wir, wie Sie hier sehen können, eine Zielsperrgruppe, in der wir schreiben können oder wo wir unsere Flow-Protokolle verschieben können. Und wir brauchen natürlich auch eine IAM-Rolle, denn jetzt verhält sich dieser Flow-Log-Dienst wie ein Benutzer. Der Dienst selbst benötigt also die Berechtigungen um die Flow-Protokolle in unsere große Gruppe in einen Lock-Stream zu schieben . Deshalb müssen wir zuerst diese Protokollgruppe erstellen, und wir müssen diese IAM-Rolle auch hier erstellen. Deshalb suche ich hier nach CloudWatch. Wechseln Sie zum CloudWatch-Dienst sperren Sie dann Gruppen. Und ich erstelle hier eine neue Log-Gruppe. Ich nenne es Subnet eins, niedrige Sperren. Und ja, ich werde hier eine Aufbewahrungsfrist von sieben Tagen vergeben . Du kannst es nicht tun, aber für dich ist es nicht wirklich erforderlich. Es bedeutet nur, dass es die Sperren der letzten sieben Tage speichert und dann alle Sperren löscht , die älter als sieben Tage sind. Ja. Dann kann ich hier diese Log-Gruppe erstellen. Und dann haben wir unseren ersten Teil beendet. Dann. Ich kann zum IAM-Dienst gehen und dann müssen wir eine Richtlinie und die Rolle erstellen , die wir sie am Ende dem Flow-Log-Dienst zuweisen können . Und deshalb bearbeite ich hier für Sie in den Folien, die URL, damit Sie sie einfach kopieren, kopieren und in Ihren Browser einfügen können. Dann kommen Sie zu dieser Website, veröffentlichten Flow-Logs in CloudWatch-Protokollen. Dann brauchen wir hier diese IAM-Richtlinie. Diese IAM-Richtlinie bedeutet, dass es sich um eine Richtlinie handelt, die es jeder Ressource ermöglicht, eine große Gruppe zu erstellen, einen Log-Stream zu erstellen und auch Sperrereignisse in die Streams einzufügen. Das wollen wir tun. Also haben wir das hier kopiert. Gehen Sie zurück zur Verwaltungskonsole und wir erstellen eine Richtlinie. Zuerst. Erstellen Sie diese Richtlinie. Dann wähle hier Jason und wir, dann können wir einfach unser JSON-Zeug hier in die nächsten beiden Texte einfügen . Ich werde vorerst keine Technologie hinzufügen. Nächste Rezension und dann können wir ihm einen Namen geben. Erstellen Sie zum Beispiel, Produktflusssperren, die Richtlinie. Dann dauert es ein wenig Zeit. Und wie Sie hier sehen können, wurde die Policy stolze Flow Logs erstellt. Wenn Sie sich daran erinnern, benötigen wir eine IAM-Rolle dafür, die wir unseren Flow-Logs zuweisen können. Also erstellen wir hier eine Rolle, erstellen die Zeile. Dann wählen wir hier die benutzerdefinierte Vertrauensrichtlinie aus. Gehen Sie hier zurück zur AWS-Dokumentation, und dann können wir die zweite Anweisung kopieren. Geh hier rüber und dann kann ich es einfügen. Und was bedeutet das hier? Es bedeutet nur, dass wir der Rolle zuweisen , dass nur der VPC Flow Logs-Dienst diese Rolle verwenden kann. Dies ist nur eine weitere Sicherheitsbeschränkung. Und ich kann hier auf Weiter klicken. Dann kann ich die Richtlinien hinzufügen und wir benötigen nur unsere Richtlinie für die erstellten Prot Flow Logs. Also wähle ich es hier aus. Dann kann ich den nächsten Knopf gehen. Und ich gebe ihm auch einen Namen, brachte niedrige Blöcke Rolle. Dann kann ich diese Rolle hier erstellen. Jetzt wurde die Rolle prot Flow Logs Rolle erfolgreich erstellt. Wir können diese Zeile jetzt benutzen. Nett. Dann können wir zu unserem VPC Service zurückkehren. Dies ist das hier, winkeln Sie BAC zwei Subnetze, und dann wählen wir das Subnetz hier und fließen dann Protokolle. Erstellen Sie ein Flow-Log. Und jetzt können wir es zum Beispiel Subnetz, einen Schlag oder alle Aggregation in einminütige CloudWatch Logs nennen zum Beispiel Subnetz, einen Schlag oder alle Aggregation . Und dann kann ich wählen, dass jetzt Produkte in einem Flow Logs erstellt werden. Gruppe sperren. Und ich kann die Rolle des IAM-Rollenplots für Flow-Sperren wählen. Dies bedeutet, dass die Service Flow Logs jetzt den Draht des x haben, diese IAM-Rolle, um Fox-Streams in der Protokollgruppe zu erstellen , um auch die Protokollereignisse in diesen Log-Stream zu platzieren . Dann ist die letzte Auswahl hier , dass Sie entscheiden können, ob Sie ein AWS-Standardformat für die Blockstreams oder das benutzerdefinierte Format haben möchten AWS-Standardformat für die Blockstreams oder das benutzerdefinierte Format haben . Ja, am Ende ist nur eine benutzerdefinierte Formel, die Sie verwenden können. Aber für den Moment ist das AWS-Standardformat in Ordnung. Dann können wir Technologie hinzufügen. Und warum bin ich stolz? Ich kann den Prolog erstellen. Und wie Sie hier sehen können, haben wir unser Flow-Log erfolgreich erstellt. Es hat einen Ausweis. Der Filter ist alles. Cloudwatch Logs ist der Zieltyp. Und hier sehen Sie auch das Ziel, welches die CloudWatch Log Gruppe ist. Dann können wir etwas Traffic in unser Subnetz schieben. Und das wollen wir mit Hilfe unserer stolzen EC2-Maschinen machen. Deshalb wechsle ich zurück zur EC2-Konsole. Dann kann ich hier unsere öffentliche IP-Adresse kopieren, diese. Und dann kann ich zurück zum Terminal gehen und meine Kunden-PEM-Datei SH-befehligen. Und wir werden diese IP-Adresse nicht machen. Und wie Sie hier sehen können, funktioniert es nicht. Warum funktioniert es nicht? Weil wir die SSH-Regel in der Sicherheitsgruppe erneut hinzufügen müssen. Wenn du dich erinnerst, haben wir es gelöscht. Das Ende des Abschnitts der Sicherheitsgruppe. Hier ist keine anzuzeigende Regel. Und deshalb müssen wir hier wieder zum stolzen Subnetz der Sicherheitsgruppe gehen. Ich gehe zu Eingehende Regel bearbeiten und dann müssen wir diese SSH-Regel von überall wieder hinzufügen Beschreibung ist h. Und speichern Sie diese Regel. Jetzt können wir zurück zum Terminal gehen. Ich unterbreche es hier wieder. Und dann los geht's. Wir sind auf dem EC2-Computer und ich kann zwei- oder dreimal einloggen, nur um etwas Traffic zu erzeugen. Ja, so funktioniert es. Und jetzt können wir wieder zu unserem VPC-Service zurückkehren. Und etwas, das wieder ein breites Subnetz ist, ist dieses hier, Flow-Protokolle und dann können wir zum CloudWatch-Dienst zur Protokollgruppe gehen . Und wie Sie hier sehen können, haben wir bereits einen Log-Stream , der automatisch von beiden Flow-Logs-Diensten erstellt wurde . Ich kann hierher gehen und wie Sie hier sehen können, haben wir etwas Verkehr. Ich denke, diese IP-Adresse beginnend mit 79 ist derzeit meine IP-Adresse. Und so funktioniert es. Natürlich. Jetzt können Sie sagen, ich möchte hier in CloudWatch einige Metriken erstellen. Und wenn ein besonderes Ereignis eintritt, möchte ich viel Alarm machen. Aber ja, das ist wieder ein ganz anderes Thema, das ganze CloudWatch-Zeug. Vielleicht erstelle ich dafür auch einen separaten Kurs. Aber ich denke, das reicht vorerst , weil dies das Grundwissen ist. Und ja, das war's für den Abschnitt „Flow Logs“. Was ich vergessen habe zu sagen, ist, dass Sie, wenn Sie bereit sind, Ihre Flow-Logs und Ihre CloudWatch Log-Gruppe und sogar Ihre IAM-Rolle in der von uns erstellten Richtlinie löschen können und Ihre CloudWatch Log-Gruppe . Aber nur die Flow Logs kosten zusätzliches Geld. Es ist okay, wenn Sie Ihre IAM-Rolle dort verlassen. 34. Endpunkte: Jetzt möchten wir über das Konnektivitätsthema sprechen, insbesondere in diesem Fall hier über VPC-Endpunkte. Was unsere VPC-Endpunkte am Ende lösen sie das folgende Problem. Stellen Sie sich also vor, Sie haben Ihren EC2-Computer in Ihrem privaten Subnetz. Und das private Subnetz hat kein NAT-Gateway oder eine Verbindung zum Internet-Gateway über dieses NAT-Gateway. Aber Sie benötigen zum Beispiel auf Ihren EC2-Computern einige Daten von S3. Und wenn Sie sich richtig erinnern, sagte ich zu Beginn dieses Kurses, dass es einige globale AWS-Services gibt, die in verschiedenen VPCs gewartet werden , und Sie können sich nicht entscheiden , dass Sie diesen drei Bucket platzieren zum Beispiel in Ihrer privaten VPC. Es ist also nur ein Verweis auf anderen Namespace auf der AWS-Seite. Genau aus diesem Grund müssen wir VPC-Endpunkte verwenden. In diesem Fall möchten wir uns von unserer EC2-Maschine, die privat ist, mit einer anderen VPC verbinden , die von AWS verwaltet wird. Und dafür wollen wir das weltweite Web nicht nutzen. Das ist wichtig. Wenn wir dies hier mit einer öffentlichen EC2-Maschine tun wollen, ist dies kein Problem, da die öffentliche EC2-Maschine beispielsweise x's kann, die über das World Wide Web drei Endpunkte haben. Dafür braucht es also keinen privaten Tunnel. Aber natürlich ist es besser Ihren Datenverkehr innerhalb von AWS innerhalb der AWS Cloud zu leiten, da er viel sicherer ist. Offensichtlich. Ich glaube, das ist es. Es senkt auch die Kosten, da sich der Datenverkehr nicht außerhalb Ihrer VPC oder der AWS Cloud befindet, sondern in der Cloud selbst verbleibt. Das erste Thema sind die Endpunkte der Schnittstelle. Und die Endpunkte der Schnittstelle. Dies sind eine Art von Endpunkten, die Sie hier in der AWS Cloud konfigurieren können. Und es gibt zwei wichtigste Endpunkte. Einer ist der Endpunkt der Schnittstelle und einer ist das Gateway. Der Gateway-Endpunkt, der danach kommt. Was ist also der Endpunkt der Schnittstelle? Wenn Sie einen Interface-Endpunkt erstellen, erstellen Sie im Grunde eine elastische Netzwerkschnittstelle. Und dies wird von einem AWS-Service aufrechterhalten, der als AWS Private Link bezeichnet wird. Aber ja, darum musst du dich nicht kümmern. Du kannst einfach ja. Ich wollte nur erwähnen, dass es AWS Private Link heißt. Aber dieser Service schafft für Sie unter der Haube und elastische Netzwerkschnittstelle. Und diese elastische Netzwerkschnittstelle können Sie danach verwenden , um diese Verbindung von Ihrem privaten Subnetz zu den globalen Diensten wie einem Drei- oder SQS oder ähnlichem bereitzustellen. Und natürlich, weil wir hier eine zusätzliche Hardware hinzufügen , in diesem Fall diese elastische Netzwerkschnittstelle. Dafür fallen einige zusätzliche Gebühren an, die Sie hier unter diesem Link überprüfen können. Wie viel kostet es für dich. Wir möchten jetzt diesen Interface-Endpunkt erstellen und möchten uns von unserer privaten EC2-Maschine mit dem S3-Dienst verbinden . In unserem Fall möchten wir nur die S3-Buckets auflisten. Und besonders in meinem Fall habe ich in Irland keine S3-Buckets. Deshalb erwarte ich einfach eine leere Liste. Ja, ich wechsle hier zum VPC-Dashboard und gehe zu Subnetzen. Als erstes können wir uns überprüfen, wählen wir Ihnen den Praat SAP zum Subnetz aus. Dann gehe ich hier zum Routentisch. Und wie Sie hier sehen können, haben wir unsere lokale Route und wir haben die NAT-Gateway-Route hier noch, da diese nicht automatisch gelöscht wurde. Also kann ich hier gehen, um die Route und die Routentabelle zu bearbeiten. Nein, das ist nachvollziehbar, tut mir leid. Ich muss hier diese Routentabelle selbst auswählen. Dann Routen, und dann führt es hier. Und wie Sie hier sehen können, ist dies ein Schwarzes Loch, weil dieses NAT-Gateway nicht mehr existiert. Also kann ich hier zu Edit gehen und dann ich. Du kannst diese Zeile einfach hier entfernen. Das heißt, in unserem Fall haben wir jetzt keinen Internetzugang. Nur die Ressourcen, nur die anderen EC2-Instanzen, die sich im selben Subnetz und derselben VPC befinden , können diesen EC2-Computer erreichen. Jetzt möchten wir uns erneut über den besten Host-Draht, den separaten EC2-Computer und unser öffentliches Subnetz mit unserem privaten Computer verbinden erneut über den besten Host-Draht, den separaten EC2-Computer und . Deshalb gehe ich zum EC2-Dienst. Ich muss zuerst die zweite EC2-Maschine hier starten. Also gehe ich hier zum Instanzstatus und starte die Instanz. Dann dauert es eine Weile, bis dieser Instanzstatus hier läuft. Aber in der Zwischenzeit können wir den Befehl vorbereiten, unsere Häfen zu tunneln. So können Sie zurück zu der Folie gehen , wo ich Ihnen das beste und Hostkonzept vorgestellt habe. Und du kannst diesen Befehl einfach noch einmal kopieren. Ich gehe zum Terminal und kopiere dann genau diesen Befehl und füge ihn hier ein. Jetzt müssen wir hier noch einmal unsere IP-Adressen ausfüllen. Die erste ist die IP der privaten Ressource. Dies ist also die aus unserer privaten Instanz. Das ist dieser hier, der zu bearbeitende EC2. Und ich kann hier einfach die private IP Version vier Adresse kopieren . Kopieren Sie, gehen Sie zurück zum Terminal, fügen Sie es hier ein und dann brauchen wir nur die Bastion Host IP. Also die API, die öffentliche IP aus unserer stolzen EC2 One Instance, das ist diese hier. Ich kann hier klicken und die öffentliche IP Version vier Adresse kopieren . Ja. Und dann brauchen wir natürlich unsere PEM-Datei. So funktioniert es hier. Und dann kann ich mich mit meiner Instanz verbinden . Ja. Jetzt sind wir auf unserem Bastions-Host und haben den Hafen 2220 getunnelt, um den 22-Teil von unserer privaten Instanz zum 2322-Port auf unserem lokalen Computer getunnelt zu werden unserer privaten Instanz zum 2322-Port auf unserem . Und jetzt müssen wir uns mit der privaten Instanz verbinden . Und deswegen gehe ich hier rüber. Dann benutze ich wieder oder PEM-Datei. Dann verbinde ich mich, um einen lokalen Host zu wollen. Und der Hafen ist offensichtlich der zweitausend Teil. Ja. Jetzt kann ich hier auf Akzeptieren klicken. Und wie Sie sehen können, funktioniert es nicht. Und jetzt kannst du das Video stoppen und darüber nachdenken, warum es nicht funktioniert. Als kleiner Hinweis gibt es einige Möglichkeiten, warum es nicht funktioniert. Zum Beispiel das ganze Sicherheitsmaterial. Also die Zugriffssteuerungslisten oder Sicherheitsgruppen oder auch die Subnetzkonfiguration der VPC-Konfiguration selbst. Der Grund, warum es nicht funktioniert, ist, wenn wir zurück zur EC2-Maschine gehen. Also zu unserer, zur ersten Maschine, tut mir leid. Dort gehen wir hier zur EC2, eine Maschine hier, Sicherheit. Und wie Sie hier sehen können, haben wir nur eine eingehende Regel, die SSH-Zugriff ermöglicht. Aber was wir jetzt tun wollen, ist wir bereits im besten Spaßhaus sind. Wir sind schon an dieser Maschine hier. Und wir wollen ausgehenden Datenverkehr haben, weil wir die SSH-Anfrage an die EC2-Maschine stellen. Dies ist also der ausgehende Datenverkehr von diesem EC2-Computer, von der EC2 One-Maschine zur EC2-Maschine. Und deshalb brauchen wir hier die Outbound-Regeln. Dies ist ein netter Anwendungsfall hier, um Ihnen zu erklären, warum wir im Abschnitt Sicherheitsgruppe auch ausgehende Regeln benötigen. Wenn wir also vom World Wide Web diese EC2-Maschine anfordern , reicht die eingehende Regel hier aus. Wenn wir jedoch noch weiter gehen, möchten wir die Anfrage vom besten Host an einen anderen EC2-Computer oder zu einem anderen Ziel stellen, dann müssen wir die ausgehenden Regeln verwenden. Deshalb wähle ich hier die Sicherheitsgruppe aus. Und dann gehe ich zu Eingehende Regeln bearbeiten, nein, eingehende Regel, tut mir leid. Ausgehende Regeln bearbeiten natürlich ausgehende Regeln und dann kann ich hier auswählen ist dieses H und von überall und vielleicht bringen Beschreibung SSH und sichern Sie den Raum. Jetzt sollte das klappen. Dann. Ich kann es nochmal versuchen. Und jetzt wissen wir, dass wir einen kleinen Fingerabdruckfehler bekommen. Also habe ich geholfen, in meinen SSH-Ordner zu gehen und dann kann es in meine bekannte Hosts-Datei schauen. Und ich denke, es gibt hier einen Eintrag, es ist lokaler Gastgeber. Ich lösche das hier. Und dann gehe ich zurück zu Downloads. Dann feuere ich diesen Befehl hier wieder ab. Und jetzt sollte es klappen. Jetzt sind wir an unserer Maschine. Was müssen wir als Nächstes tun? Wir möchten die AWS CLI auf diesem Computer installieren. Und warum wollen wir das machen. Wenn Sie sich erinnern, möchten wir eine Verbindung zu einer Drei herstellen und wir möchten uns über Endpunkte mit SQL verbinden. Warum sind wir EPC Endpunkte? Und es gibt mehrere Möglichkeiten, dies zu tun. Sie können beispielsweise den API-Endpunkten suchen und dann beispielsweise einfach die curl-post-Befehle ausführen Befehle ausschneiden oder abrufen. Und einfach, ja, mach die Anfrage an die API-Endpunkte. Aber ja, aus meiner Sicht ist es viel einfacher zu bedienen, ist es viel einfacher zu bedienen, nur die AWS CLI und die AWS CLI I unter der Haube verwenden auch die API-Endpunkte. Ja, deshalb möchte ich hier auf diesem Computer auch die AWS CLI installieren und wir haben es bereits auf unserem lokalen Computer gemacht, also könnte es kein Problem sein. Zuallererst möchte ich meinen Computer aktualisieren. Und wie Sie hier sehen können, funktioniert das Update nicht. Schon wieder. Du kannst das Video stoppen und du kannst darüber nachdenken. Warum diese zu aktualisierende App nicht funktioniert. Ich habe hier unterbrochen. Dies ist jetzt ein Netzwerkproblem , da es in unserer alten Tabelle nur eine Regel gibt. Und nur der Datenverkehr in meinem Subnetz in meiner VPC ist hier erlaubt. Es besteht also keine Verbindung zum Internet, da wir auch unser NAT-Gateway gelöscht haben. Der beste Weg oder der sicherste Weg ist es jetzt, das NAT-Gateway erneut zu erstellen und dann die Routing-Tabellenregel erneut zu erstellen. Dann können wir die CLI aktualisieren und installieren. Und dann können wir die Regel und die Routentabelle löschen. Und dann können wir auch das NAT-Gateway und auch die Elastic IP löschen , die mit dem NAT-Gateway erstellt wird. Aber das ist mir jetzt zu kompliziert , weil ich dir nur zeigen möchte, wie es funktioniert. Und deshalb wähle ich den einfachsten Weg. Und was ist der einfachste Weg? Am einfachsten ist es, wieder zum VPC-Dienst zu gehen. Und ich wähle das Subnetz und den Prozess bis hier aus. Und dann habe ich gerade den Routentabelle gemacht und benutze hier einfach zur Hauptroutentabelle. Und damit schalte ich das private Subnetz zurück ins öffentliche Subnetz. Wie Sie hier sehen können, haben wir wieder diese Internet-Gateway-Routentabelle, hier diese Regel. Und deshalb haben wir Internetzugang. Ich kann zurückgehen und dann kann ich das Update hier machen. Und jetzt funktioniert es. Das ist in Ordnung. Und dann kann ich, wenn das hier fertig ist, die AWS CLI installieren. Ganz dieser Befehl hier, sudo apt installiert die AWS CLI. Also werde ich es installieren, ja. Und dann müssen wir eine Weile warten. Und wenn dieser Installationsvorgang hier abgeschlossen ist, können wir die Routentabelle erneut wechseln. Das war hier also nur eingeschüchtert, nur um die AWS CLI zu installieren. Jetzt ist es fertig. Ich gehe hierher zurück und werde dann wieder den privaten, privaten Routentisch sicher zuweisen . Und wenn ich jetzt wieder ein Update mache, funktioniert es nicht. Jetzt ist es also wieder im privaten Modus. Ja. Und jetzt gibt es ein anderes Konzept, wie wir X's zu unseren AWS-Ressourcen bringen können. Und wenn Sie sich erinnern, haben wir unsere Anmeldeinformationen festgelegt , als wir sie auf unserem lokalen Computer installiert haben . Wir haben dort den AWS-Zugriffsschlüssel und den geheimen Schlüssel erstellt. Also haben wir diese AWS konfiguriert, als wir die AWS CLI auf unserem lokalen Computer installieren . Dies ist ein Ansatz, den Sie tun können. Der bessere Weg ist es jedoch, Ihrem EC2-Computer und Ihrer IAM-Rolle zuzuweisen. Diese IAM-Rolle gibt dem EC2-Computer die Berechtigungen zur Verbindung mit drei oder zwei SQS oder was auch immer. Dies ist der bessere Weg. Und deshalb werden wir jetzt eine IAM-Rolle schaffen, um dies zu tun. Wenn du mit mir nicht vertraut bist. Das ist das Gleiche. Wir haben auch den Flow-Protokollen gefolgt. Die Flow Logs waren auch ein Service und wir müssen eine IAM-Richtlinie anhängen, dass die Flow-Logs die Log-Streams an CloudWatch weiterleiten können . Das ist also nur eine Berechtigungssache. Deshalb gehe ich hier zum Artikel. Dann sage ich hier, ich möchte zum Artikel gehen. Ich möchte hier eine Rolle erstellen. Deshalb kann ich hier Zeile erstellen. Und wir nutzen den AWS-Service hier. Wir müssen in diesem Fall die benutzerdefinierte Vertrauensrichtlinie nicht verwenden, in diesem Fall die benutzerdefinierte Vertrauensrichtlinie da AWS hier bereits für Sie vorbereitet hat. Die häufigen Anwendungsfälle und ein sehr, sehr häufiger Anwendungsfall als EC2. Deshalb können wir es einfach hier mit einer Radiobox auswählen. Dann klicke ich hier auf Weiter. Und dann muss ich die Berechtigungen über die Richtlinien hier anhängen . Und ich suche einfach hier nach uns drei und füge Amazon S3 vollen Zugriff an. Und dann suche ich noch einmal oder SQS. Dann wähle ich alle Amazon SQS Vollzugriffsrichtlinien aus. Dann klicke ich auf Weiter. Und dann möchte ich ihm einen Namen geben, in diesem Fall stolze EC2, T2, weil wir diese Richtlinie der zweiten EC2-Maschine zuweisen möchten . Und wie Sie hier sehen können, bearbeitet AWS hier automatisch diese vertrauenswürdige Entität EC2. Und jetzt kann ich auf Rolle erstellen klicken und die Rolle erstellen. Und es war erfolgreich. Jetzt können wir diese IAM-Rolle hier verwenden. Deshalb können wir zur EC2-Maschine zurückkehren. Und dann können wir dieser EC2-Maschine zuweisen hier klicke ich hier. Und Aktionen und Sicherheit ändern die IAM-Rolle. Und dann kann ich hier das EC2 zur IAM-Rolle zuweisen und speichern. Jetzt haben wir erreicht , dass unsere AWS CLI, die in der Umgebung auf diesem privaten EC2-Computer die Berechtigung hat , auf S3 und SQS zuzugreifen. Dies ist also ein anderer Ansatz , als mit einem Flugzeug-Anmeldeinformationen wie dem Zugriffsschlüssel und dem überschüssigen geheimen Schlüssel. Ja. Ich gehe zurück zum Terminal. Und jetzt möchte ich zum Beispiel versuchen, hier die SQS-Listen anzufordern. Mit anderen Worten, ich möchte nur eine Liste erhalten, die SQS-Warteschlangen derzeit in meiner Region vorhanden sind. Ich muss hier wechseln, um einen zu verschwenden. Ich muss hier eine Region auswählen. Ich kann diesen Befehl ausführen, und wie Sie hier sehen können, funktioniert es nicht. Und ja, das ist keine Überraschung, denn wir haben nur die einzige Route, die Signal-Routenregel dort, was bedeutet, dass sich nur Ressourcen in unserem privaten Subnetz in der VPC gegenseitig erreichen können und derzeit gibt es keinen Internetzugang. Jetzt wollen wir den Endpunkt der Schnittstelle erstellen. Und deshalb gehen wir wieder zur VPC, wählen den VPC-Dienst aus und gehen hier zwei Endpunkte. Jetzt können wir einen Endpunkt erstellen, den Endpunkt vorerst stolze SQS und AWS-Service nennen , das ist es. Und dann kann ich hier nach SQS suchen. Und ich wähle den Dienstnamen aus. Du warst nur ein SQS. Dann kann ich hier diese Radiobox klicken. Und wie Sie hier sehen können, ist es ein Interface-Typ. Dann muss ich die VPC auswählen. Dann verwende ich einfach alle verfügbaren Sicherheitsgruppen und gebe diesem Endpunkt volle X's, damit es keine weiteren Einschränkungen gibt. Und dann kann ich auch noch einmal das Häkchen und das Kabel hinzufügen. Und dann kann ich diesen Endpunkt erstellen. Wie Sie hier sehen können, funktioniert es nicht, weil unsere VPC nicht vorbereitet ist. Ippc muss die DNS-Unterstützung und auch den DNS-Hostnamen aktivieren. Deshalb müssen wir zurück. Also scrolle ich hier und gehe dann zur VPC. Wählen Sie unsere Plot-One VPC-Aktionen aus und bearbeiten Sie dann DNS-Hostnamen. Hier sehen Sie, dass dies deaktiviert ist, dieses Kontrollkästchen, also muss ich es aktivieren und die Änderungen speichern. Und dann kann ich wieder zwei Endpunkte zurückgehen und das Gleiche noch einmal machen. So breite SQS- und AWS-Services und dann SQS Radio Box Check Betrug. Dann hier die Subnetze. Oh, wir haben das letzte Mal vergessen, also musst du hier natürlich das richtige Subnetz auswählen. Also klicke ich hier auf die eine, eine Availability Zone. Und dann habe ich natürlich geholfen, das Subnetz auszuwählen , weil unsere private Instanz, die draußen sein muss, Zugriff auf S3 oder SQS haben wollen. Es befindet sich in unserem Sub-2-Subnetz. Deshalb müssen wir es hier auswählen. Und dann werde ich jede Sicherheitsgruppe verwenden, die voll x verfügbar ist , wieder Wyman Tech. Und jetzt sollte es klappen. Hoffentlich ja. Jetzt wurde erfolgreich VPC-Endpunkt erstellt. Und wie Sie hier sehen können, steht der Status noch aus. Es dauert also eine Weile, bis das fertig ist. Und was jetzt unter der Haube und einer anderen Haube passiert, erstellt AWS Private Link für Sie die elastische Netzwerkschnittstelle. Wenn wir also hierher gehen, können Sie sehen dass es bereits erstellt wurde und es sei denn, dicke Netzwerkschnittstelle. Also können wir hier klicken. Und dann kommen wir wieder zur EC2-Konsole. Und offensichtlich kann man hier sehen, dass es eine weitere separate Azteken-Netzwerkschnittstelle gibt. Wenn ich dieses Foto hier lösche, sehen Sie, dass wir jetzt drei dieser Schnittstellen haben. Wie ich bereits sagte, wenn Sie eine EC2-Maschine erstellen und eine elastische Netzwerkschnittstelle automatisch erstellt wird, da der EC2-Computer andernfalls keine IP-Adressen haben kann, der private und öffentliche IP-Adressen. Dies ist also die Netzwerkschnittstelle für die EC2-Maschinen. Und dann haben wir hier die dritte, unsere VPC-Endpunkt-Schnittstelle. Wir können uns auch hier in die Beschreibung einhalten und es gibt eine VPC-Endpunkt-Schnittstelle. Das passiert unter der Haube. Ja, Private Link und Kirche dann verbinden die private Verbindung die private Verbindung von unserem privaten Subnetz zu den AWS-Services von unserem privaten Subnetz zu den AWS-Services zu den globalen Diensten diese elastische Netzwerkschnittstelle. Wir können hierher zurückkehren und auffrischen und vielleicht nein, es steht noch aus, also müssen wir eine Weile warten, bis dieser hier fertig ist. Ja. Wie Sie hier sehen können, ist der Status verfügbar. So können wir versuchen, unseren neu erstellten, frisch erstellten neuen VPC-Endpunkt zu verwenden. Und ich wechsle zurück ja oder nein. Ich kann diesen Befehl erneut ausführen. Und jetzt habe ich eine leere Liste erhalten. Die Antwort ist leer. Um sicherzustellen, dass es wirklich funktioniert, kann ich nicht zur Konsole zurückkehren und dann den SQS-Dienst auswählen. So zum Beispiel der Simple Queue Service, und erstellen Sie eine neue Warteschlange. Und ich wollte es nur benennen, testen und alles andere. Ich gehe so wie es ist. Dann erstelle ich die Warteschlange. Wenn ich jetzt hier in meine Liste schaue, habe ich nur einen Test Q. Und dann kann das hier wieder wechseln. Und dann dauert es manchmal eine Weile, bis es hier verfügbar ist. Wir können wieder hingerichtet werden. Und wie Sie hier sehen können, haben wir SQS-Warteschlange. Wir rufen einfach Test in unserer Liste hier an. Die Verbindung funktioniert also. Wenn es nicht funktioniert, ist es sehr wahrscheinlich der Fall, dass Sie eine AWS CLI-Versionsanleihe installiert haben . Und das kann passieren, wenn Sie sich fragen, dass Version das App-Paket für die AWS CLI-Version enthalten hat , einen Punkt X. Aber wie Sie hier in diesem kleinen Tutorial sehen können, senden Sie eine Nachricht an einen Amazon SQS Warteschlange von Amazon VPC. Es gibt einige Legacy-Endpunkte , und die Legacy-Endpunkte von Ligand sind zum Beispiel q dot Amazon AWs.com oder US East bis zum Regionspunkt Q-Punkt Amazon AWs.com. Und die Version, die AWS CLI-Version one dot X, implementiert diese Legacy-Endpunkte, sodass sie den neuen Endpunkt nicht erreichen kann , der hier in diesem Format ist, SQS-Punkt und dann Region und dann Amazon AWs.com punkten. Wir brauchen die lange Geschichte kurz, wir brauchen die AWS CLI-Version zwei Punkt x. Wenn dieser Befehl nicht für Sie funktioniert, wenn Sie Ihre SQS-Liste nicht sehen können, können Sie es einfach tun. Zum Beispiel AWS Dash, Dash-Version. Sie können Ihre AWS CLI-Version sehen. Und wenn es eine Zahl gibt, die unter zwei liegt, dann funktioniert es nicht. Was kannst du tun? Sie können einfach noch einmal zu diesem Tutorial zur AWS Command Line Interface gehen, in dem AWS erklärt, wie Sie ein Update Ihrer AWS CLI-Version installieren können . Und sie empfehlen zuerst, die alte Version zu deinstallieren. Da es sonst nicht unterscheiden kann , welche Version Sie ausführen möchten, und höchstwahrscheinlich wird es die erste Version ausführen, die Sie installiert haben. Und das ist wieder deine One Dot X Version. Vielleicht ist es eine gute Idee, es zuerst zu installieren oder zu deinstallieren und dann neue AWS CLI zu installieren, ich wünsche mir hier durch. Und Sie können diese drei Befehle einfach kopieren. Locke einfach diese Zip-Datei und du musst sie entpacken. Und dann kannst du es über sudo installieren. Und dann installiert Ihr AWS hier einen Befehl. Dann sollte es klappen. Da dieses neue AWS hier ist, wünsche ich mir, wie ich bereits sagte, das neue URL-Format hier implementiert zu haben. 35. Gateway Endpoints: Jetzt wollen wir über die Gateway-Endpunkte sprechen. Die Gateway-Endpunkte. Wenn wir über die Gateway-Endpunkte sprechen, sprechen wir davon, nur einige Routen in einer Routentabelle zu erstellen. Es wird also keine zusätzlichen Hardwareanforderungen geben. müssen wir nicht. An einigen Aztec-Netzwerkschnittstellen möchten wir nur einen Routing-Tabelleneintrag erstellen. Und diese Art von Gateway-Endpunkt ist derzeit nur für den AWS-Service und für den AWS DynamoDB-Service verfügbar . Weil es nur eine Regel und die Routentabelle ist. Es hat keine zusätzlichen Kosten. Dies ist also ein kostenloser Service von AWS, aber nur ein Wavetable Leiten Sie dies an Services a Three und DynamoDB weiter. Und jetzt wollen wir es etablieren. Praktisch. Wir wechseln zurück zu unseren VPC-Konsolenendpunkten und erstellen jetzt einen anderen Typ. Wir erstellen den Gateway-Endpunkt. Also nennen wir das hier. Hier sind drei. Und dann kann ich in diesem Fall nach S3 suchen. Und wir werden den ersten nehmen, nur den einfachen S3-Dienst hier. Wie Sie hier sehen können, stehen für S3 die beiden Endpunkttypen zur Verfügung. Gateway-Schnittstelle. Und in unserem Fall möchten wir die Gateway-Schnittstelle verwenden , da dies keine zusätzlichen Gebühren und Historie gibt. Der beste Weg hier, um für uns zu gehen. Und dann wähle ich das Praat One-Subnetz aus, das Problem VPC, tut mir leid, dann muss ich es der richtigen Routentabelle zuweisen. Dies bedeutet also diese Auswahl, die AWS der privaten Ein-Routentabelle hinzufügen wird. Dieser Eintrag. Wieder auch Fool x's und ich wollen auch den Reimann prot erstellen. Dann gehe ich hierher, um den Endpunkt zu erstellen. Und wie Sie hier sehen können, ist es so. Es ist jetzt ein weites Niveau, also sind wir einfach sehr schnell. Deshalb Orangen, weil wir nur diesen einen Routentabellen-Regeleintrag hinzufügen. Jetzt können wir versuchen, wie das funktioniert. Also gehen wir zurück zum Terminal und dann können wir hier einen Befehl wie diesen verwenden. Auch hier sind wir immer noch auf unserer privaten EC2-Maschine. Ich habe mich nicht ausgeloggt. Also benutze ich einfach die gleiche Sitzung hier. Wir können uns mit diesem Befehl hier mit S3 verbinden, AWS oder drei RP - und Listen-Taschen. Dies stammt nur aus der AWS-Dokumentation, der Dokumentation. Und dann müssen wir noch einmal die Region hinzufügen, die in unserem Fall die schlechteste ist. Und dann klicke ich hier Enter. Und dann können wir sehen, dass es in dieser Region II eine leere Liste von S3-Paketen gibt, die nach Westen liegen. So funktioniert es und jetzt können wir zurückgehen , um sicherzustellen, dass es wirklich dieser Endpunkt ist. Dann können wir diesen Endpunkt erneut löschen. Ich lösche es perfekt. Wir können hierher zurück zum Terminal gehen und wieder ausführen. Und wie Sie hier sehen können, funktioniert es nicht. Es war also wirklich dieser EPC Gateway Endpunkt , der uns diese Verbindung ermöglichte. Das ist relativ einfach wie es funktioniert, ich ja, und ich habe vergessen, Ihnen zu zeigen, wie es in der Routentabelle funktioniert. Wenn wir hier zur breiten privaten Routentabelle gehen, wählen Sie diese hier aus. Wir haben derzeit keine Route hier bis zum Wochenende. Am Endpunkt erstelle ich diesen Endpunkt erneut. S3 und S3, dieses, Gateway, VPC-Problem. Diese Routentabelle. Erstellen Sie diesen Endpunkt. Wenn ich hierher zurückgehe, um die Routentabelle auszuwählen. Dann sehen wir hier den anderen Eintrag, das sind drei Endpunkte. So können wir hier zum Beispiel zum Ziel PL sechs und so weiter gehen. Und dann Präfix-Listenname hier. Und das ist genau der S3-Dienst. So funktioniert es am Ende. Jetzt können wir also wieder löschen. Dieser S3-Endpunkt hier verschiebt sich, um ihn zu lesen, und so funktioniert es. Wenn Sie Ihren breiten SQS-Endpunkt noch nicht gelöscht haben, können Sie dies auch tun. Nein. 36. AWS VPC Peering: Ja, jetzt sind wir bereit mit unserem praktischen Teil bei. Ich wollte nur einige anspruchsvollere, fortschrittlichere Konnektivitätsprobleme erwähnen, die Sie möglicherweise wissen müssen, wenn Sie dies tun möchten, insbesondere den AWS-Lösungsarchitekten Associate Prüfung. Aber ja, das sind keine so häufig auftretenden Fragen. Aber ich wollte es hier nur erwähnen. Der erste ist das sogenannte WPC-Peering. Und wenn Sie VPC-Peering machen, verbinden Sie grundsätzlich verschiedene VPCs miteinander. Wenn Sie dies tun, ist keine zusätzliche Hardwareressource erforderlich. Sie können es einfach durch eine Routentabellen SU tun, wie wir es auch für die Gateway-Endpunkte tun, wenn Sie sich erinnern. Was hier zu wissen ist, ist, dass man so etwas wie Sternentopologie nicht tun kann. Es gibt also nichts Besseres als einen zentralen Hub. Wenn Sie mehrere VPCs haben, zum Beispiel drei oder vier oder fünf, und jede VPC muss Xs untereinander haben. Dann musst du jede VPC mit jeder anderen VPC verbinden. Es gibt also keinen zentralen Hub. Sie müssen es manuell verbinden. Am Ende haben Sie dort mehrere Verbindungen. Wenn Sie weiter über VPC-Peering erfahren möchten , können Sie dies tun. Ich habe hier erstellt, ich bearbeite hier diesen Link. Wenn Sie ein VPC-Peering erstellen möchten, können Sie dies auch tun. Sie können einfach zu Ihrer VPC-Konsole wechseln. Dann gibt es Abschnitt-VPC-Peering. Und dann können Sie entscheiden, was die reichste Quelle ist, VPC, bei der es sich um eine gezielte VPC handelt, und dann verbinden Sie sie. Und dann müssen Sie diese Verbindung nur zulassen , da es manchmal der Fall ist , dass sich die andere VPC in einem anderen AWS-Konto befindet und dann das andere AWS-Konto diese Verbindung zulassen muss . Deshalb gibt es einen zusätzlichen Sicherheitsschritt. Das ist die Sache mit VPC-Peering. 37. AWS VPC Transit Gateway: Ja, und dann sind die VPC-Trends bei Gateway eine weitere sehr interessante Ressource . Wenn Sie ein Transit-Gateway einbauen, ist dies eine echte zusätzliche Ressource. Sie müssen also ein Gateway erstellen. Es ist nicht wie das VPC-Peering, sondern nur ein Eintrag in der Routentabelle. Es ist eine separate Ressource. Was Sie mit diesem Transit-Gateway machen können, können Sie Ihre VPCs verbinden, die sich bereits in der AWS Cloud befinden. Sie können auch VPN-Gateways verbinden und AWS Direct Connect-Endpoints verbinden. Und das bedeutet, dass Sie mit Hilfe der Trends bei Gateway Ihre lokalen Netzwerke mit der AWS Cloud verbinden können . Darüber hinaus ist dieses Transit-Gateway der sogenannte transitive Router, was bedeutet, dass Sie mit Hilfe des Transit-Gateways sogenannte Hub- und Speichen-Topologien erstellen können mit Hilfe des Transit-Gateways sogenannte Hub- und Speichen-Topologien erstellen . Und das ist jetzt so etwas wie eine Star-Topologie. Wenn Sie nicht die Verbindungen zwischen allen VPCs herstellen müssen , können Sie einfach eine Verbindung von jeder VPC zu diesem Transit-Gateway herstellen. Und natürlich können Sie sich auch mit den VPN-Gateways und Ihren lokalen Netzwerken verbinden . Es ist jedoch nur eine Verbindung von jeder VPC zu Ihrem Transit-Gateway erforderlich. Und das ist alles, was Sie über Trends wissen müssen. Es Gateways. 38. VPN Subnet: Nun, nicht zuletzt das BPM. Und zu diesem Thema gibt es nicht viel zu sagen. Sie können einfach Ihr VPN-Gateway hier in Ihrer VPC erstellen und dann eine VPN-Verbindung zu Ihrem Client herstellen. Sie können dieses VPN-Gateway auch durch ein Transit-Gateway ersetzen . Wie wir bereits erfahren haben, können Sie sich mit dem Transit-Gateway, VPCs und VPN-Verbindungen sowie mit AWS Direct Connect-Verbindungen verbinden. Dies ist auch ein Ansatz, dies zu tun. Wir können einfach zurück zu unserer VPC-Konsole wechseln. Und hier in dieser Rubrik findest du sie. Ihrem Virtual Private Gateway können Sie beispielsweise eines starten, wenn Sie möchten, und dann können Sie beispielsweise eine Site-zu-Site-VPN-Verbindung zu Ihren lokalen Netzwerken erstellen eine Site-zu-Site-VPN-Verbindung zu . Ja, so funktioniert es und ist alles, was Sie zu diesem gesamten Verbindungsthema wissen müssen , besonders wenn Sie dies nur tun möchten, AWS Solutions Architect, Associate, exome. Und wie ich bereits sagte, wenn Sie tiefer in dieses Thema eintauchen möchten, in diese ganze Verbindung zu On-Prem-Netzwerken Thema. Dann, ja, Sie können mehr in der Dokumentation lesen oder dafür einen weiteren Fortgeschrittenenkurs absolvieren. 39. Outro / Abmoderation: Leider ist dies das Ende unseres VPC-Kurses. Herzlichen Glückwunsch. Ich glaube, du hast viel gelernt. Zusammenfassend haben wir ein öffentliches Subnetz erstellt. Wir haben ein privates Subnetz erstellt und einige EC2-Maschinen in jedes der Subnetze platziert . Dann haben wir einen Internetzugang für das öffentliche Subnetz erstellt, wir haben auch warum Ihr NAT-Gateway erstellt. Eine Richtung Internet-Zugang. Und wir haben über Sicherheitsgruppen und Netzwerkzugriffskontrolllisten gesprochen . Wir haben über Überwachung und auch über ein paar fortgeschrittene Verbindungssachen gesprochen . Ja, am Ende können Sie auf diese Weise Ihre produktionsfähige Cloud Native, AWS, VPC erstellen . Und ich hoffe, du hast viel gelernt. Ich hoffe, du kannst deine eigenen Sachen in der Cloud kennen. Du kannst dort herumspielen und du hast ein Verständnis, wie die Grundlagen funktionieren. Was wir jetzt tun wollen, ist, dass wir alle unsere Ressourcen erneut durchgehen wollen und alle Dinge löschen wollen, die hier übrig sind. Zuerst möchte ich dieses VPC-Dashboard erneut durchgehen. Und natürlich können wir hier sehen, dass wir jetzt zwei laufende Instanzen haben. Also werde ich zuerst diese beiden Instanzen hier beenden, sie beenden. Dann haben wir in diesem EC2-Dienst hier, ich denke nichts mehr. Wir haben je elastisches Stück. Wir haben bereits gelöscht. Ich glaube, ich glaube, das war's. So können wir zur VPC-Verwaltungskonsole zurückkehren, dann können wir zu Ihren VPCs gehen und dann die Praat One VPC löschen. Löschen Sie also VPC und es ist nicht in der Lage. Aus diesem Grund müssen wir warten, bis der EC2-Computer hier unten ist , da diesem Computer eine elastische Netzwerkschnittstelle zugewiesen ist, und deshalb wird die Kopie derzeit gelöscht. So können wir zurück zum EC2-Dashboard gehen. Jetzt sind die Staaten gekündigt, beide. Also können wir es noch einmal versuchen. Lösche die VPC, Okay, jetzt funktioniert es. Wie Sie hier sehen können. Wir löschen jetzt auch das Internet-Gateway wird die Routentabelle und auch die Subnetze und die ACL und eine Sicherheitsgruppe leiten die Routentabelle und auch . Jetzt wird dies gelöscht und wir haben nur unsere Standard-VPC hier übrig. Und wenn wir zu Subnetzen gehen, haben wir nur den Standard - oder die Subnetze von der Standard-VPC. Wir haben eine Routentabelle, wir haben hier ein Internet-Gateway. Keine elastischen erscheinen Address Know-Endpoints mehr. Wir haben keine Lücke, kein NAT-Gateway. Und ich glaube, das war's. Sicherheitsgruppen, nur eine Sicherheitsgruppe und ACL sind auch nur eine ACL. Ja. Dann können wir zu dem wechseln, was wir hier haben, das Sie zum VPC Service sehen. Jetzt können wir uns den CloudWatch-Dienst ansehen, weil wir auch eine Protokollgruppe erstellt haben den CloudWatch-Dienst ansehen, weil , aber ich denke, wir haben sie bereits gelöscht. Ja, es wird gelöscht, also gibt es hier nichts mehr zu tun. Und dann hast du vielleicht auch SQS-Warteschlange erstellt. Ja, das ist immer noch da, damit ich diese SQS-Warteschlange löschen kann. Dies war in unserem Abschnitt zum Endpunkt der Schnittstelle. Wenn du dich erinnerst. Damals können wir unsere IAM-Konsole auch ein wenig bereinigen . Also denke ich unsere, ich weiß es nicht. Ich bin mir nicht sicher, ob ich es schon nicht brauchte. Ja, ich habe schon gelöscht. Aber vielleicht haben Sie hier Ihre Rolle für den EC2-Computer, weil wir dem privaten EC2-Computer die Rolle zugewiesen haben, die Berechtigungen zum Herstellen einer Verbindung mit S3, SQS in unserem Abschnitt VPC-Endpunkte. Vielleicht musst du deine IAM-Rolle hier löschen. Ich denke, wir haben auch keine Richtlinien , die von uns erstellt wurden. Ja, ich glaube, das war's. Wir haben alles aufgeräumt und ja, das war's. Nun, wir wissen es zu schätzen , dass Sie an diesem Kurs teilgenommen haben und ich hoffe, dass er Ihnen sehr geholfen hat. Vor allem, wenn Sie diesen AWS Solutions Architect, Associate XM, machen möchten diesen AWS Solutions Architect, Associate XM, sind Sie im Sinne des gesamten Networking-Materials gut vorbereitet . Ich denke, das ist eine gute Basis dafür. Ja, herzlichen Glückwunsch nochmal. Vielleicht sehen wir uns in einem anderen Kurs und haben eine wirklich tolle Zeit. Zeichnet am besten deinen Film auf.