Curso compacto da Amazon Virtual Private Cloud (AWS VPC)

1. Introdução I: Você quer conhecer melhor a AWS VPC, mas não consegue encontrar o caminho através da documentação esmagadora. Você tinha que olhar para outros recursos de aprendizado por meio de atenção. Não sei se faz sentido para você, como iniciante passar 40 horas trabalhando em um curso teórico. Você se pergunta se há alguém por aí que pode dividir todo o tópico no ponto para que você obtenha algo fora dele no final, talvez você queira até se preparar para as Soluções da AWS Associado arquiteto XM. E o tópico da rede ainda é esmagador. Parabéns, este é o lugar certo para você. Sou Philip de notas decentes, engenheiro de nuvem com vários anos de experiência profissional e associado do AWS Solutions Architect. Minha ambição é explicar todos os componentes importantes da AWS VPC para você no menor tempo possível para que você os entenda bem e possa usá-los praticamente imediatamente. O objetivo do curso é construir junto com você uma VPC nativa da nuvem pronta para produção a partir do zero, e para fornecer as ferramentas teóricas e práticas necessárias , a coisa toda foi projetada especificamente para iniciantes ao nível intermediário. Neste curso, tentamos parecer o mais limpo possível no serviço VPC puro somente onde for realmente necessário. Analisamos brevemente outros serviços da AWS. O que não está incluído neste curso. Se você quiser mergulhar profundamente no roteamento dinâmico com o BGP, se quiser criar conexões redundantes em nuvem On-Prem em regrade 50 petabytes de dados do seu data center local para a nuvem. Este não é o curso correto para você. Nós nos concentramos no lado puro da nuvem aqui. Nós ficamos chamados de nativos por enquanto, nuvem pura ou onde você quiser chamá-lo. Se você quiser aprender tudo o que precisa saber em toda a sólida VPC de produção na Nuvem AWS em um curto período de tempo. Se você não precisa apenas de essência teórica para aprender, mas de alguém que mostre todos os componentes essenciais em detalhes, então este é o lugar para você estar. Inscreva-se rapidamente e te vejo em um segundo. Vamos fazer algumas redes juntos. 2. Definição AWS VPC: Nesta primeira palestra, quero lhe dar uma breve visão geral sobre todo esse tópico da VPC e como ele se encaixa com a Nuvem AWS. A Nuvem AWS é uma rede compartilhada. Você pode imaginar como se houvesse nós físicos, alimentação rica em estrelas e também há uma espinha dorsal privada porque você precisa conectar todos os diferentes data centers ao redor do mundo, o que é fornecido ou que são fornecidos pela AWS. E eles precisam estar conectados de forma privada. E esse é o propósito dessa espinha dorsal. Em seguida, você tem a VPC, e a VPC é então uma rede privada. Por exemplo, apenas para você, apenas sua rede privada dentro desta Nuvem AWS. E neste slide aqui, você pode ver que existem várias VPCs dentro desta Nuvem AWS. Por exemplo, o Cliente a e o Cliente B podem criar suas próprias VPCs. Mas você, como cliente, também pode criar várias VPC. Portanto, isso não é um problema. E o que é realmente importante saber é que existem alguns serviços globais da AWS, como você pode ver aqui no lado esquerdo. Por exemplo, este é o S3. Portanto, este é o serviço de armazenamento da AWS ou também do SQS ou do DynamoDB. E esses serviços estão sendo executados em suas próprias VPCs, ou esta é uma VPC que é mantida pela AWS. E o que é realmente importante saber, você não pode ativar seu pacote S3 privado, por exemplo, dentro de sua VPC. Em sua VPC privada. Isso sempre é fornecido e mantido pela AWS. E você precisa se conectar por nossos endpoints a esses serviços. Mas se você quiser iniciar apenas uma máquina EC2 básica, por exemplo, seu próprio servidor. Isso é algo que você pode fazer em sua VPC privada. Neste slide, você pode ver uma estrutura mais detalhada sobre a Nuvem AWS. E basicamente está estruturado em várias regiões. Uma região é uma área geográfica maior. Por exemplo, USE armazene Oeste dos EUA, Frankfurt ou ILM. Dentro de uma região, existem várias zonas de disponibilidade. E uma zona de disponibilidade é um datacenter. É igual a um data center. Sim. Quantas zonas de disponibilidade existem em uma região dependem da região. Então, às vezes são três, às vezes seis. Se você quiser criar uma VPC, primeiro você precisa selecionar a região. Você quer girar? No Leste dos EUA ou na Irlanda, na Europa? Você precisa selecioná-lo. Depois de selecioná-lo, você pode criá-lo. E ele é criado por padrão em todas essas zonas de disponibilidade dentro dessa região. E então você pode criar sub-rede. Sub-redes. E você pode decidir, por exemplo, em qual zona de disponibilidade eu quero criar minha sub-rede. Mas basicamente as melhores práticas apenas para criar uma sub-rede em cada zona de disponibilidade. Mas, por exemplo, se você tiver a exigência apenas de criar uma máquina EC2 e apenas hospedar seu site estético e a segurança não importa. Então você pode simplesmente criar uma sub-rede em uma zona de disponibilidade porque faz mais sentido ter várias sub-redes para esse requisito. 3. Gerenciar recursos: Nesta palestra, eu só quero resumir para você as principais abordagens, como você pode gerenciar seus recursos na AWS. O primeiro é o console de gerenciamento. Isso é algo como interface gráfica do usuário para gerenciar seus recursos. Em seguida, você tem a AWS CLI e, claro, também vários SDKs. Só quero te mostrar essa vida. Você também pode encontrar os links aqui abaixo. E vamos para o console de gerenciamento. Essa é, como eu já disse, a abordagem gráfica para gerenciar seus recursos. E eu queria selecionar aqui a VPC porque ela se encaixa no nosso tópico hoje. Sim, aqui por exemplo, posso selecionar suas VPCs e posso criar uma VPC. E sim, basicamente, esse é o console principal para gerenciar seus recursos porque você pode fazer quase tudo neste console. A outra abordagem é usar a interface de linha de comando da AWS. Então, basicamente, você só precisa baixar essa ferramenta e , em seguida, você pode gerenciar seus recursos enquanto o terminal, seu terminal favorito. Também não há muita diferença entre a CLI e o console de gerenciamento. Mas às vezes o console de gerenciamento cria alguns recursos sob o capô. E então, quando você cria seus recursos por meio da interface de linha de comando, você se pergunta por que isso não funciona. E então você tem que mergulhar um pouco mais fundo no recurso que deseja configurar. Porque às vezes apenas alguns, alguns outros recursos dependentes estão faltando, que são criados sob o capô pelo console de gerenciamento. E a terceira abordagem é usar SDKs. E como você pode ver aqui, para quase todas as linguagens de programação há um SDK porque minha língua materna é Python. Quero mostrar essa abordagem do SDK com a ajuda do Python. Então eu selecionei aqui e, em seguida, posso selecionar, por exemplo, aqui, o AWS SDK para Python. E então, você sabe aqui deste lado que se chama foto três. Você tem uma instrução sobre como você pode instalar, neste caso o portal três SDK e você tem a documentação aqui. E então você pode simplesmente passar pela documentação e como ela está instalada e como você pode usá-la. Mas, no final, você precisa entender quais recursos deseja configurar. E isso são apenas ferramentas para fazer isso. Sim, você pode decidir por meio de eu quero usar o console, quero usar a CLI ou SDKs no final, isso não importa. E também há outra abordagem. AWS também fornece uma API e, basicamente, a CLI é baseada nessa API. Mas também existem ferramentas como a infraestrutura do Terraform como código. E normalmente uso o Terraform, então não faço tantas coisas no console de gerenciamento da AWS. Mas por esta hora vamos configurar outro curso para todo esse tópico do Terraform. Neste curso, queremos nos concentrar no console de gerenciamento da AWS. Faça isso graficamente porque só queremos entender como funciona. Mas também instalaremos a CLI apenas para saber como isso funciona. E também queremos criar alguns recursos com o console de gerenciamento e a CLI. 4. Precificação: O preço do tópico também é muito importante, especialmente no mundo dos negócios. Então, eu só queria dar uma breve visão geral ou algumas regras básicas que você pode seguir para obter a visão geral sobre os custos. E, em princípio, não há custos adicionais para a VPC. Então, se você, por exemplo, criar uma máquina EC2 e quiser apenas usar esse serviço, esse serviço, serviço, então a rede já está incluída. Mas existem alguns serviços ou algumas funcionalidades em que a chance é muito alta de haver taxas adicionais. Isso é basicamente controle e monitoramento da VPC. Então, toda vez que há algo com monitoramento, a chance é muito alta de ter uma peça adicional. Além disso, toda vez que eles são missão de enunciados, por exemplo, entre diferentes regiões ou de uma região para a Internet e da Internet de volta para uma região ou zona de disponibilidade a cada quando a conexão acontece e transmissão de dados e também segurança, é claro, por exemplo, se você quiser configurar um firewall sofisticado, então sim, você tem que pagar taxas adicionais por isso. Então, essas são todas as regras básicas. E neste curso, também quero falar às vezes sobre os preços quando criamos os diferentes componentes. Mas a maioria dos componentes de que estamos falando neste curso não tem custos adicionais. Mas essas são as regras básicas. 5. Crie um usuário DO IAM: Neste capítulo, queremos preparar nossa conta da AWS. Não sei se você já tem uma conta da AWS. Então, presumo que já exista uma conta principal. Se você não tiver uma conta da AWS atualmente, basta acessar o console da AWS e registrar sua conta principal. O que queremos fazer agora é que queremos criar um chamado usuário do IAM. Não sei se você já conhece o serviço do IAM da AWS. É chamado de Gerenciamento de Acesso de Identidade. E, basicamente, isso é apenas o gerenciamento de usuários. Então, vamos mudar para o console. Você pode vê-lo aqui e ali recentemente com os serviços visitados recentemente, o serviço IAM, porque eu já visitei. E você pode procurar aqui o serviço do IAM e selecioná-lo. Então você está aqui. E então vamos aqui para os usuários e queremos adicionar o usuário. Então você pode dar um nome a ele. Quero citar notas decentes. E, em seguida, atendemos ao acesso ao console de gerenciamento da AWS. Portanto, isso é necessário porque queremos usar o Management Console. Eu também quero mostrar a vocês às vezes um pouco a CLI. É por isso que eu também seleciono a chave de acesso, o acesso programático. Mas você pode decidir se quer fazer isso ou se você quer apenas assistir. Se eu mostrar o método CLI , quero dar aqui uma senha personalizada. E também não quero redefinir minha senha. Mas sim, no final, se você quiser, se você quiser ser realmente seguro, é claro que você pode escolher a opção de senha gerada automaticamente ou também pode criar uma senha WIOA e gerenciador de senhas. E você pode selecionar aqui, caixa de seleção para redefinir a senha. Em seguida, o próximo passo são as permissões. Não quero salvá-lo. Isso é algo que adiamos para a próxima palestra. E então você pode criar alguns textos, basta atribuir alguns textos. Por exemplo, o ambiente é trazido para mim ou algo assim. Sim. E, em seguida, apenas para rever o nome de usuário são notas decentes. Queremos ajudar o programático e o acesso ao console de gerenciamento. Criamos uma senha personalizada, criamos o usuário. Em seguida, você pode ver aqui que a AWS criou o usuário e também para o acesso programático, a chave de acesso e a chave de acesso secreta. E esse par de valores eu posso baixar aqui com este arquivo CSV. Já baixei o arquivo CSV. Então você tem apenas um arquivo CSV onde os dois valores estão dentro e podemos usá-los mais tarde para configurar a CLI. Então você só precisa clicar aqui no botão Fechar. E então criamos com sucesso o usuário, no meu caso, notas decentes. 6. Atribuir permissões do IAM: Agora temos que atribuir as permissões corretas ao usuário do AWS IAM, que criamos na última palestra. Porque atualmente esse usuário não tem permissões para fazer nada. E queremos criar alguns recursos da VPC, alguns componentes com a ajuda desse usuário. Então, alternamos novamente para o console e selecionamos novamente o serviço do IAM. Talvez você já esteja lá. E vamos aos usuários e selecionamos o usuário criado. E então você pode ver aqui o botão Adicionar permissões e clicamos nesse botão. Você tem várias possibilidades de como selecionar as políticas ou as permissões. Queremos anexar políticas existentes diretamente. E então temos que procurar o EC2. Você pode simplesmente digitar aqui EC2 e, em seguida, selecionar EC2 full xs. Então também precisamos de VPC, excesso total. Então, basta procurar aqui por VPC. E, em seguida, seleciono Amazon VPC, acesso total. Em seguida, também precisamos de permissões de administrador do sistema. Então eu procuro o sistema e, em seguida, posso selecionar aqui administrador do sistema. E, no final, podemos atribuir acesso total do IAM. Se você se pergunta por que damos a esse usuário agora, sou promoções tolas porque é basicamente aqui que pesamos. E isso é só porque eu não quero fazer um curso completo de mensagens instantâneas aqui. E alguns recursos exigem algumas permissões do IAM. Não quero selecionar ou restringir, muito específico. É por isso que usamos aqui o acesso total. Mas sim, é claro que eu sempre apoio a abordagem de menor privilégio e sempre lhe apoio se você se sentar e procurar as políticas do IAM muito específicas são declarações que as permissões são restritos o máximo possível. Sim. E então podemos ir aqui para revisar e apenas revisar quais permissões atribuímos, quais políticas atribuímos a este EC2, teríamos acesso total C do que os direitos de administrador do sistema e eu sou x's completo. E podemos clicar aqui em Adicionar permissões. Aqui vamos nós. Atribuímos as permissões corretas. Acho que isso é suficiente para fazer o que queremos fazer. Talvez tenhamos duas arestas um pouco no final, mas principalmente isso é suficiente para configurar todos os recursos da VPC que queremos configurar. 7. Interface de linha de comando (CLI): A última etapa de preparação é instalar a CLI. Você pode decidir se deseja instalar a CLI porque não queremos usá-la com tanta frequência. Só quero mencionar que ele existe. Mas sim, nosso console principal é o console de gerenciamento, a interface gráfica do usuário, porque queremos entender como ele funciona. Queríamos entender como podemos criar uma VPC. E não queremos criá-lo com duas ou três abordagens diferentes. Mas sim, eu só quero mostrar como funciona e eu só queria mencionar que a CLI existe. Então, sim, eu mudo novamente para o meu navegador. E você pode ver aqui a documentação da interface da linha de comando. Você pode apenas o Google para interface de linha de comando AWS ou usar o link que também está incluído em nossos slides. E tudo o que você precisa fazer é clicar aqui para iniciá-los e instalar uma atualização. E então você precisa selecionar seu sistema operacional. No meu caso, é macOS. E então você pode instalar aqui, esse arquivo do instalador. Já o baixei. E então você pode simplesmente instalá-lo, basta clicar duas vezes e instalá-lo. E então podemos mudar para o terminal. E a primeira coisa que temos que obter são as credenciais. Se você se lembrar, criamos o usuário e, em seguida, baixamos o arquivo CSV com a chave de acesso e a chave de acesso secreta. Então, acho que está na minha pasta de downloads. Sim, aqui está. Acabei de cortar esse arquivo CSV. É claro que é uma má prática cortar as credenciais do Swift de arquivos porque ela é fina no histórico. E você também não quer compartilhar sua chave de acesso secreta com outros usuários. Mas, neste caso, apenas, é apenas o modo de apresentação. Eu excluirei esse usuário decente derrets depois. Então, por favor, perdoe-me pelo quarto corte deste arquivo de credenciais. Em seguida, posso verificar se a instalação da AWS CLI foi bem-sucedida. E eu faço isso com o comando AWS dash, versão dash. E como você pode ver aqui, funciona perfeitamente. Então, instalei com sucesso a versão 252. E tudo o que preciso fazer agora é ter que configurar minha conta da AWS. Eu faço isso com a AWS configure. E então eu copio aqui esse ID da chave de acesso. E então eu copio a chave de acesso secreta da AWS. Este é este aqui. Colar. E então eu tenho que selecionar uma região padrão. E quando voltarmos para o navegador, para o console de gerenciamento, você pode selecionar, por exemplo, o serviço VPC. E então você pode ver aqui esta seleção. Aqui, todas, todas as diferentes regiões, as que estão disponíveis atualmente em Ada na Nuvem AWS. Sim. Gosto da Irlanda. É por isso que decidi usar a região padrão, você West. Basicamente, essa é a sua decisão onde você deseja ativar sua VPC com a CLI. Claro, com a CLI, é só você precisa definir uma região padrão. Se você não especificar diretamente a região , ela gera seus recursos. À vista, esta região padrão. Isso é exatamente o que se trata. Vou selecionar esta região da Irlanda aqui. Quando eu voltar para o terminal, posso digitar aqui. Você West um. O formato de saída padrão que você pode deixar vazio. Sim. Isso é tudo o que precisamos fazer para configurar a AWS CLI 8. Helicóptero vPC: Agora está ficando animado. Queremos falar sobre o tópico VPC padrão. Qual é a VPC padrão? A AWS cria por padrão em todas as regiões da nuvem, uma VPC padrão para você. Acho que esse é o caso de todas as contas da AWS criadas após 2014. Acho que. Muito provável que ele também seja criado em sua conta. E também a AWS cria em todas as regiões, para cada VPC, algumas sub-redes públicas em todas as zonas de disponibilidade que estão dentro da região. Qual é o propósito de uma VPC padrão? O objetivo é que você seja capaz, por exemplo, iniciar uma máquina EC2 muito rápida , onde você, por exemplo, pode hospedar um site estático e você não quer se preocupar com todas as coisas de rede. Você só quer criar seus recursos muito rápidos e você só quer se concentrar na configuração da máquina EC2, então a VPC padrão é o caminho a seguir para você. Sim. Eu só queria dar uma breve visão geral do helicóptero o que AWS cria por padrão para você em todas as regiões. Aqui você pode ver novamente a Nuvem AWS e sua VPC. Estamos dentro de uma região. E lá você pode encontrar, é claro, as zonas de disponibilidade. E em cada zona de disponibilidade há uma sub-rede pública. Você pode vê-lo aqui. E a AWS cria um conjunto de opções DHCP, que faz a resolução de DNS. Em seguida, ele cria um chamado NaCl, que é a lista de controle de acesso à rede. Ele cria um roteador, uma tabela de rotas. Ele também cria um security group, mas isso é principalmente o mesmo que os knuckleheads na região de segurança aqui. Ele cria um gateway da Internet e sim, é isso. E eu edito aqui a máquina EC2. Claro, a máquina EC2 não é criada por padrão, mas eu só quero mostrar como o fluxo de tráfego pode ser para a Internet pública, o que você pode ver aqui. Esta é a vista do helicóptero. O que a AWS cria por padrão em todas as regiões, em todas as zonas de disponibilidade. 9. Visão geral de componentes criados automaticamente no VPC padrão: Sim, agora queremos passar por todos os componentes que já conhecemos na visualização do helicóptero no console de gerenciamento da AWS. E, portanto, mudo para o meu navegador. E você pode clicar aqui no serviço VPC se você visitou o serviço recentemente. Mas você pode, é claro, também procurar o serviço VPC e selecionar aqui. Primeiro de tudo, você pode selecionar a região aqui. No meu caso, acabei de selecionar a Irlanda, mas sim, é sobre você. Você também pode decidir criar seus recursos em us-east1-d. over. Eu não sei. Então, aqui você pode selecionar a região. Em seguida, temos o painel da VPC. E, como você pode ver aqui, AWS criou por padrão, uma VPC padrão e, em seguida, três sub-redes. E isso ocorre porque um ILM, existem três zonas de disponibilidade disponíveis. E então você tem uma tabela de rotas principal. Você tem um gateway da Internet, você tem a opção DHCP definida. Você tem uma lista principal de controle de acesso à rede e tem um grupo de segurança principal. Claro, todos os componentes, que você pode ver aqui, são completamente gratuitos, portanto, não há custos adicionais. Ter aqui esses recursos padrão em todas as regiões. Eu só queria passar pelos componentes apenas para lhe dar uma breve visão geral para que você não precise entender tudo, porque teremos um mergulho profundo em todos os diferentes componentes mais tarde. Sim. Então, como você pode ver aqui, temos uma VPC padrão. Ele tem uma VPC ID. O estado está disponível. A AWS configurada por padrão, bloco CIDR aqui. Portanto, o intervalo de IP já está fixo. E, como você pode ver aqui, há uma opção DHCP definida já atribuída e a tabela de rotas principal, uma ACL de rede principal. A tendência é padrão. E, claro, o sinalizador aqui diz que essa VPC é uma VPC padrão. Então podemos ir para sub-redes. E você pode ver aqui, há três sub-redes. Eles têm sub-redes diferentes, I, IDs de sub-rede, mas são atribuídas à mesma VPC, à mesma VPC padrão, mas têm um conjunto diferente de blocos, então eles configuram bloqueios não se sobrepõem. E sim, quando você define aqui o bloco de configuração, então você também define o, o máximo de endereços IP disponíveis. Neste caso aqui, é em torno de 4 mil. Então você pode ver aqui as zonas de disponibilidade, C, ABC. Já podemos ouvir o ABC. E, claro, a mesma tabela de rotas principal é atribuída e também a mesma ACL de rede. Claro, todas as três sub-redes são sub-redes padrão. Então você tem uma tabela de rotas principal. Podemos apenas ter aqui. Dê uma olhada rápida nas rotas. Basicamente, esse é o núcleo de todo o roteamento a partir do tráfego de rede. Isso é definido aqui. Agora temos um gateway de Internet. Nada muito a dizer aqui é apenas, basta criar um gateway da Internet e, em seguida, ele atribuído a uma VPC que está disponível na região. Então ele está pronto para ir. Então, é claro, temos o período da segurança. Portanto, há uma rede principal, a ACL. Isso é atribuído a todas as sub-redes. E aqui você tem regras de entrada, regras de saída e algumas regras que você pode definir aqui qual tráfego entrar em nossa VPC em que o tráfego não. E isso é o mesmo. Também para os grupos de segurança. Há um grupo de segurança principal e você também tem aqui regras de entrada e saída. E falaremos sobre as diferenças mais tarde. 10. Limites da AWS VPC padrão: Nesta última seção, no capítulo, VPC padrão, queremos falar sobre os limites da VPC padrão. E se você se lembrar, eu disse que a VPC padrão é a VPC correta para você. Se você quiser apenas criar uma máquina EC2 e não quiser se preocupar com todo o material de rede. Você só quer criar uma máquina, uma máquina pública e hospedar o site de estudo, por exemplo, então a VPC padrão é o caminho a seguir. Mas existem vários limites. E do meu ponto de vista, o maior limite é que você não pode controlar as configurações de rede. Se você se lembra, quando fizemos nosso pequeno passo a passo. Os blocos CIDR são predefinidos pela AWS na VPC padrão. AWS seleciona para você, por exemplo, o intervalo de IP começando com 172. E também, eles também configuram seu tamanho da VPC e das sub-redes. Então, se você se lembrar, cada sub-rede tem intervalo de endereços IP ou intervalo máximo de endereços, que estava disponível lá de 4.091 endereços IP, eu acho. E você pode decidir é, é demais ou é suficiente? Mas, no final, você não pode controlá-lo. Este é o limite principal do meu ponto de vista. E, claro, não há algo como uma sub-rede privada. Portanto, todos os recursos que você deseja girar lá dentro dessa VPC padrão, dentro da sub-rede pública padrão, é claro, público. O último ponto aqui é que a replicação de vitaminas não é tão fácil. Por exemplo, se você tiver surdo e Wyoming e o ambiente de preparação, ambiente prótons, quando você usá-lo com uma VPC não padrão, que é o próximo tópico, o próximo capítulo. Então você pode, por exemplo, apenas atribuir o bloco CIDR começando com dez para surdos e começando com 110 para preparar algo assim e copiá-lo. Relativamente fácil. Nesse caso, com um padrão seria vê-lo, não é tão fácil. Só queria mencionar. E o que também é muito importante é, por favor, não exclua essa VPC padrão. Porque, obviamente, se você quiser apenas criar uma máquina EC2 no padrão, prosseguimos, que é público então. Sim, ok. Mas eu acho que você quer mergulhar um pouco mais fundo em toda a rede porque você está assistindo a este curso aqui. É por isso que você provavelmente ou cria sua própria VPC não padrão. E, mas sim, eu só queria dizer que, por favor, deixe o padrão seria C como está, porque às vezes há alguns problemas ou alguns problemas que aparecem quando você exclui a VPC. Eu fiz isso no passado e depois tive alguns problemas estranhos porque a AWS às vezes faz referência ao íngreme ou à VPC e quando não está disponível, você tem um problema. Minha sugestão é deixá-lo como está e, em seguida, criar sua própria VPC não padrão. E este é nosso próximo capítulo. 11. Vantagens do AWS VPC não padrão: Nesta palestra, queremos falar sobre o tópico principal, o VPC não padrão. Isso é muito importante. O primeiro tópico são as vantagens da VPC não Depot. E talvez você possa parar o vídeo agora e pensar nas vantagens. Quais são, na sua opinião, as vantagens do não padrão nós PC. Só uma pequena dica. Muito provável. Eles serão exatamente o oposto dos limites da VPC não padrão. Sim, quais são as vantagens? A maior vantagem é que você ajuda o controle total sobre todas as configurações de rede. E isso significa que você pode, por exemplo, definir seu próprio tamanho de bloco CIDR para decidir qual intervalo de IP ele deve ser e quantos endereços IP estão disponíveis em sua VPC, em sua sub-rede. E, claro, você também pode criar suas sub-redes privadas. E isso é muito importante, especialmente se você construir algumas arquiteturas de negócios, algumas arquiteturas de produção. Porque é apenas uma questão de segurança e é bom criar tantos recursos quanto possível em suas sub-redes privadas, privadas e ter apenas algumas conexões com a web mundial. E, claro, na VPC não padrão, também é mais fácil replicar, por exemplo, ambientes de preparação e prod de desenvolvimento. 12. Blocos CIDI: Agora queremos falar sobre conceito-chave muito principal em todo o espaço de rede. E isso é chamado de roteamento entre domínios sem classe. Essa relação é babá. Se você ler a documentação sobre todo o material do bloco CIDR, isso se torna, eu acho um pouco avassalador, mas no final é realmente fácil de entender. Como você pode ver aqui, você tem alguns números por trás desse chicote. E esse número define uma máscara de sub-rede que será aplicada ao endereço IP, que vem antes da barra aqui. Como 0 aqui significa que você aplica sua máscara de sub-rede, que tem 32 bits e todos os bits são zeros. Em decimal, isso é o. E isso significa, então, no final, que você tem um máximo de endereços de dois para o poder de 32. No final, são cerca de 4 bilhões de endereços IP que você pode usar em uma sub-rede ou internet, que é definida com uma barra de sitter 0. Então você pode aumentar esse número aqui até 3232 significa que você tem uma máscara de sub-rede com 32. E no final, isso significa que você tem apenas um endereço IP restante. E isso você pode usar, por exemplo, se quiser definir em seu firewall ou em seu security group que apenas seu endereço IP é permitido ou outro endereço IP. Mas sim, apenas se você quiser definir um único endereço IP que está prestes a entrar na sua VPC. E meu truque é que eu me lembro dessa definição de sitter slash 16 aqui. E isso significa que você tem duas ao poder de 16 possibilidades como endereços IP. Então, algo em torno de 65 mil. E toda vez que diminuímos esse número aqui atrás da barra. Então, quando ele vai para 0 , isso aqui aumenta. Portanto, os endereços máximos aumentam. Toda vez que aumentamos aqui da barra 16 para a barra 32. O IP. O número máximo de endereços diminui para um. Aqui no final. Esse é todo o conceito que você precisa entender quando falamos de conjunto de blocos. Porque queremos definir o tamanho da nossa VPC e é por isso que precisamos desse conceito de configuração parece aqui. 13. Especificar tamanho de rede: Agora a pergunta é como podemos especificar o tamanho da rede na AWS? E há um padrão chamado RFC 1980. E então esse padrão, é o pint, cujos intervalos de IP são preferidos para o uso em redes privadas. Basicamente, são três intervalos aqui. Um começando com 101, começando com 172161, começando com 192168. E a AWS descobre que o tamanho mínimo de uma VPC ou sub-rede é definido com barra 28, que significa que os endereços mínimos disponíveis são 16. E isso também é muito importante se você quiser aprender algo para a certificação de associado do AWS Solutions Architect. Porque é aqui que entramos em questão. Eles perguntam, qual é o tamanho mínimo? E isso ocorre porque AWS tem cinco endereços IP que são reservados por padrão. O tamanho máximo barra 16, portanto, cerca de 65 mil endereços. Esse é o máximo que você pode configurar aqui na AWS. Quando olhamos aqui para o exemplo de conjunto de blocos, você pode ver, por exemplo, se quiser definir um conjunto de blocos no intervalo de IP começando com dez, e você deseja ter um tamanho máximo de 65 mil endereços. Então você pode, então você pode defini-lo assim aqui. Então 100 e depois corte 16. Isso significa que o primeiro endereço IP é 100 e teremos 65 mil endereços. Este também é o caso do, para todos os outros intervalos de IP que estão disponíveis aqui. Este é o conceito principal, como ele funciona com os blocos CIDR. E, claro, você tem que decidir o tamanho da sua rede. Isso depende de quantos recursos você deseja lançar e do que também é importante aqui. Temos outro slide para isso. Este é o terceiro aqui. Você não pode alterar o tamanho dos blocos CIDR quando eles são criados uma vez. E isso significa que você precisa decidir antes de criar sua VPC e suas sub-redes, que tamanho elas precisam ter. E, claro, você pode alterá-lo, excluindo toda a VPC e toda a construção da sub-rede e criando uma nova. Mas, claro, essa é uma tarefa muito difícil, especialmente se você já lançou alguns recursos em sua VPC antiga, porque então você precisa migrar todos os seus recursos. Então você precisa criar uma nova VPC com um novo conjunto de intervalos de blocos. E então você precisa migrar todos os seus recursos. E então você pode excluir sua antiga BBC em sua sub-rede antiga. E essa é uma tarefa muito difícil, especialmente se você já tiver vários recursos em sua VPC. Faz sentido considerar isso antes de criar sua arquitetura de rede básica. E, claro, também os blocos CIDR não podem se sobrepor. Por você pode atribuir vários blocos CIDR por VPC, mas eles não podem se sobrepor. Isso é muito importante aqui para dizer. 14. Crie um AWS VPC não padrão: Agora queremos criar uma VPC não padrão. Eu só queria mencionar. Agora, queremos percorrer todos os componentes e os recursos necessários para criar sua VPC nativa em nuvem pronta para produção não padrão. E toda vez que criamos um novo recurso ou precisamos de um novo recurso, explicarei a parte teórica disso e, em seguida, criaremos isso praticamente na Nuvem. Então esse é o plano. E agora podemos mudar para o console de gerenciamento da AWS. E você pode ver aqui, estou bloqueado agora por que esses usuários do IAM são? Portanto, não uso agora a conta principal. E como eu já disse, é uma boa ideia toda vez que você cria novos recursos, faça isso com um usuário do IAM com abordagem de menor privilégio. Sim, eu já selecionei aqui a região da Europa ILM, a UE West. E nesta região, vamos criar nossa primeira caminhada de VPC não padrão. Você tem que fazer, você tem que ir ao Serviço BBC, acho que agora também está disponível em sua lista visitada recentemente aqui. E você vai para a VPC e pode ver que este é o painel. Você vai para suas VPCs. Você pode ver que aqui é o padrão. Seríamos C, que mencionamos algumas lições antes quando falamos sobre a visualização padrão do helicóptero VPC. Agora podemos clicar aqui no botão Criar VPC. E há duas opções. Você pode criar somente a estrutura de sub-rede VPC ou VPC. Mas queremos, queremos entender toda a arquitetura. E é por isso que é uma boa ideia da minha opinião ou do meu ponto de vista que a construímos do zero. Aqui nesta primeira caixa, você pode definir uma tag de nome. Então, vou chamá-lo de prod um. Você pode dar um nome melhor. E então queremos definir aqui o menu, menu CIDR block. Sim, acho que é uma boa ideia defini-lo com 100 en slash 16. Isso significa que nosso intervalo p.band começa com 100, e tem cerca de 65 mil endereços IP possíveis. Não queremos usar o conjunto de blocos da versão IP seis. E então também podemos atribuir aqui vários textos. Eu gosto, por exemplo, o fio grosso significava novamente, ele é trazido. Sim, acho que é isso. E então você pode simplesmente criar, criar a VPC aqui, clicar no botão Criar VPC. E então você pode ver aqui a bola VPC criada com sucesso, definimos o bloco de configuração aqui. E também temos alguns textos aqui, as vitaminas e o nome carrapato. E quando voltarmos para a lista, então você pode ver aqui que temos o padrão, seríamos C e temos o Praat na VPC. Agora eu quero mostrar a você como você pode criar essa VPC. Também na CIA, acho que este é um bom tópico para falar sobre a CLI porque é relativamente fácil de criar aqui, esta VPC, não há muito, há muitas configurações que você pode atribuir aqui. É por isso que quero mostrar como funciona com a CLI. Você pode decidir se você quer. Se você também quiser criar uma VPC com a CLI ou se você quiser apenas assistir. Sim, é por isso que precisamos primeiro. Primeiro, queremos obter o comando para a CLI. E é por isso que acabei de pesquisar, por exemplo, AWS CLI e crio VPC. E acho que esta é a primeira entrada aqui, criar, criamos VBC e agora estamos aqui na referência de comandos da AWS CLI. Isso aqui nos registros, a instrução entre parênteses aqui é muito importante porque esse é o seu prefixo. Portanto, toda vez que você cria um comando na CLI, ele começa com a AWS, claro, porque esse é o binário. E então o segundo é o namespace. E este neste caso aqui é ec2. E é por isso que isso ocorre porque todas as coisas de rede vêm do EC2 porque a AWS começou a criar seus serviços com base no EC2. E o EC2 foi o primeiro serviço que exigiu algumas coisas de rede. É por isso que esse é o namespace do EC2. E depois então. Vem o comando Criar VPC. Então, no final, haverá AWS EC2 create VPC e, em seguida, você poderá ouvir, encontrar a sinopse. Aqui. Aqui estão todas as opções definidas que você pode escolher. E usaremos o bloco CIDR e usaremos as especificações técnicas aqui. Portanto, essas foram as únicas opções que também definimos no console de gerenciamento. Vamos começar. Nós mudamos para o terminal e, em seguida, podemos começar com um comando, AWS EC2, criar VPC. E agora volte para o navegador. Precisamos do sinalizador de bloco de configuração aqui, então eu vou copiá-lo, e posso colá-lo aqui. E então usamos esse intervalo de IP aqui, e isso é apenas um exemplo. Então, excluiremos a VPC depois, é apenas para mostrar como ela funciona com a CLI e depois voltar para a linha. Então, novamente, precisamos da definição para as especificações técnicas, e isso não é tão fácil. Então, se você for aqui para as especificações técnicas, então você pode ver aqui está. Há uma estrutura sofisticada e esmagadora. Você precisa definir o primeiro tipo de recurso. E então você pode adicionar uma lista de textos que é um par de valores-chave no final. Mas para mim é um pouco difícil entender como funciona aqui. E é por isso que eu sempre uso alguns exemplos. E acho que no exemplo aqui, sim, você pode copiar um exemplo. Um exemplo de como funciona para as especificações técnicas. E este eu vou usar, copio-o e depois volto para o terminal e então posso colá-lo aqui. E então, por exemplo, queremos nomear o ambiente aqui, escravizando um porque temos um ambiente de prótons agora, talvez seja uma boa ideia também nos ajudar a encenar VPC e proprietário que não precisamos, usaremos então aqui o nome. O nome também está preparando EUS encenando um como nome e Wyoming apenas afirmando, sim, e então podemos entrar aqui. Podemos clicar em End. Em seguida, a VPC é criada com sucesso. Como você pode ver aqui, você tem o intervalo de blocos CIDR e você tem os textos e a quantidade e o nome. E onde voltamos para o console de gerenciamento na VPC aqui. Quando clicamos aqui em Atualizar, você pode ver que agora trouxemos uma VPC e a preparação uma VPC e os diferentes blocos CIDR aqui. E quando chegamos aqui, você pode ver na lista flexível de VPC padrão aqui há apenas uma VPC padrão. Este foi o que foi criado pela AWS e precisamos saber ou VPCs não padrão. E agora vou excluir a VPC de teste porque queremos prosseguir com um gráfico de uma VPC. Talvez seja muito confuso ter dois PCs por enquanto. É por isso que eu o excluo aqui. Em seguida, podemos continuar a construir nosso produto VPC, com uma estrutura mais detalhada. 15. Visão subredes públicas: Temos o não-padrão seria C. E agora queremos criar insights, essa VPC não padrão, as chamadas sub-redes. Eu queria lhe dar uma breve visão geral sobre quais diferentes tipos de sub-redes existem. E, como você pode ver aqui nesta visão geral, um tipo é a sub-rede pública. E como você pode ver aqui no nome, ele é chamado de sub-rede pública. Todos os recursos neste tipo de sub-rede são públicos, disponíveis ou disponíveis em público. Isso significa que se sua máquina EC2, por exemplo, na sub-rede pública tiver endereço IP público, ela poderá ser acessada pela Web mundial. E, em seguida, outro tipo é a sub-rede privada. E todos os recursos em uma sub-rede privada são realmente privados. Então, basicamente, não tem endereço IP público, e não é acessível de fora, não é acessível a partir da Internet. Depois, há um tipo especial e isso é chamado de sub-rede somente VPN. E, basicamente, isso também é um tipo de sub-rede privada. Mas aqui você tem outro ponto. E isso é conexão VPN. Na tabela de rotas de uma sub-rede somente VPN, há uma definição e ela está conectada ao servidor VPN, mas é uma espécie de sub-rede privada. E as sub-redes mais importantes são a sub-rede pública na sub-rede privada. Depois, há outro conceito-chave que os usuários da AWS e eles diferenciam apenas entre IP versão quatro , apenas IP versão seis e sub-redes dualísticas. Então, no final, você pode combinar esses tipos aqui com esses tipos. Você pode dizer que queríamos construir uma sub-rede pública apenas com IP versão quatro, ou queremos criar uma sub-rede privada com pilha dupla e assim por diante. Você pode combinar isso no final. Sim, estes são os tipos mais importantes de sub-redes. 16. Addresses IP públicas: Sim, para estabelecer realmente um bom nativo da nuvem que vemos com sub-redes, também é importante entender o tipo diferente de endereços IP é, um tipo é o endereço IP público. E o que isso significa, significa que a AWS fornece um pool de endereços IP públicos, e isso é mantido pela AWS. Portanto, é muito importante entender que esses endereços IP públicos não estão associados à sua conta da AWS, com sua conta específica da AWS. Então isso significa que se você quiser girar uma máquina EC2, então você pode decidir, e isso está aqui em 0,3. Você pode projetar, você pode decidir com um sinalizador em cada sub-rede, se você deseja atribuir o endereço da versão IP quatro ou não. E se você definir esse sinalizador como true, ele atribuirá automaticamente endereço IP público à sua máquina EC2. Em seguida, ele se levanta, desde que sua máquina EC2 levante em sua conta. E se você encerrar sua máquina EC2, esse endereço IP será liberado. E, em seguida, ele é devolvido ao pool global novamente, que é mantido pela AWS. Portanto, este não é o seu endereço IP pessoal, nem seu endereço IP pessoal ou público. É apenas emprestado de uma piscina. 17. Addresses IP elástico: Em outro tipo de endereços IP está o endereço IP elástico. E você pode imaginar assim. Também é um pool público mantido de endereços IP elásticos, mantido pela AWS. E você pode emprestar desse pool seu endereço IP público estático, endereço IP elástico. E, nesse caso, ele será atribuído à sua conta da AWS. Você pode decidir por quanto tempo deseja manter esse endereço IP em sua conta e, em seguida , devolvê-lo se quiser. Mas não está relacionado à máquina EC2, por exemplo. Portanto, não tem nada a ver com a criação de sua máquina EC2. E, em seguida, o endereço da API é devolvido quando a máquina EC2 é encerrada. Este não é o caso. Ele é realmente atribuído à sua conta da AWS e à saúde da HEW a decisão quando você deseja devolvê-la. Você pode ver aqui e 0.3, também é possível mapear vários endereços IP privados para um endereço IP elástico. E, basicamente, a ideia é, por exemplo, se você girar uma máquina EC2 e essa máquina EC2 tiver, por padrão, um endereço IP público e o endereço IP privado. Mas esse endereço IP público não é seu. Então, se a máquina EC2 for encerrada, claro que ela desapareceu. Por exemplo, o que você fará se a máquina EC2 falhar ou você tiver que encerrar a máquina EC2, mas você precisa garantir que o serviço se levante ainda mais no final. Então, um conceito simples é que você apenas pegue emprestado um endereço IP elástico desse pool. Em seguida, você tem seu endereço IP público estático fixo e, em seguida, atribui a ele a primeira máquina EC2. E quando esta máquina EC2 falha, você pode facilmente girar uma nova máquina EC2 e, em seguida, basta mudar o alvo do endereço IP elástico para a nova máquina EC2. Portanto, este é um caso de uso simples. Você pode imaginar como esse material de endereço IP elástico funciona. 18. Crie subredes públicas: Agora queremos criar as sub-redes públicas. Primeiro de tudo, aqui está uma pequena visão geral do que queremos criar em nossa nova VPC. E como você pode ver aqui, temos a VPC e a configuração rock 10016. E então queremos criar duas sub-redes públicas. E um é chamado prod sub um, e o outro é chamado prot sub dois. E ambos estão em uma zona de disponibilidade. Então, este é apenas um exemplo aqui. E sim, é por isso que decidi criar em uma zona de disponibilidade, as sub-redes públicas. Mas é claro que você também pode criar em todas as zonas de disponibilidade da sua região. Sub-redes. Também importante aqui é o intervalo de bloqueio de configuração para o, para as sub-redes, uma é 10024, e para as subduas trazidas é 1001024. Vamos mudar para o console de gerenciamento. E vamos aqui para o serviço VPC e, em seguida, selecionamos as sub-redes. Como você pode ver aqui, já temos as sub-redes padrão. Queremos criar uma nova sub-rede. Então, clicamos em Criar sub-rede e, em seguida, selecionamos o ID da VPC. No nosso caso, é amplo. Você pode ver aqui o setter associado para a VPC, isso é 100016. E então você pode dar um nome, por exemplo, sub um orgulhoso como o definimos na visão geral. E então podemos dizer que a zona de disponibilidade é Test1. Em seguida, você pode definir aqui o bloco CIDR para a sub-rede específica. E no nosso caso, decidimos ir para 10024. Usaremos este. E você pode pensar em quantos endereços IP estão disponíveis. Se definirmos aqui o 24. Sim, e então podemos dizer aqui que o nome é sub-um como uma tag. E também iremos alfa e Wyoming tag. E isso não é neste caso. Sim, podemos criar aqui a sub-rede. Este é o primeiro e então podemos voltar para a visão geral e o segundo será o Praat sub dois, e ele tem o conjunto de rock 1001024. Vamos construir novamente também essa sub-rede. Clicamos nas sub-redes de criação. Em seguida, selecionaremos aqui este orgulhoso e, em seguida, vamos nomeá-lo amplamente procurado também atribuir à zona de disponibilidade do Oeste da UE. E então dizemos 1001024. E, claro, também o homem branco trouxe. Criamos essa sub-rede. E se eu excluir aqui, este filtro, então você pode ver aqui, posso encomendar um pouco que tenhamos aproximadamente uma e a duas sub-redes. E eles são atribuídos ao nosso produto VPC, que você pode ver aqui. E nós temos esses dois conjuntos de blocos. E a disponibilidade máxima ou não, os microfones disponíveis aparecem como 251. Então também é importante, como você pode ver aqui, o Fleck para atribuir automaticamente um endereço de versão IP pública quatro está definido como não, e este que queremos alterar. É por isso que selecionamos primeiro o sub Praat acessamos Ações e editamos configurações de sub-rede. E então você pode selecionar aqui habilitado atribuir automaticamente IP público versão quatro endereços. Isso queremos fazer para a sub-rede, e também queremos fazê-lo para o Praat sub2. Então, novamente, ações e edite configurações de sub-rede e, em seguida, habilite o endereço externo atribuir o IP público versão quatro. Isso ocorre porque queremos lançar nas próximas lições, máquinas EC2 em ambas as sub-redes. E, claro, também queremos alcançar as máquinas EC2 que podemos olhar para isso, essas duas máquinas e fazer alguns pings e fazer algumas coisas de rede lá. E, portanto, precisamos de um endereço IP público porque caso contrário, as instâncias não são acessíveis. 19. Insta EC2 na subrede pública: Nesta lição, vamos criar instâncias ec2 em nossas sub-redes públicas. E aqui você pode ver uma pequena visão geral do que queremos fazer. Portanto, temos os produtos uma sub-rede e temos o processo até a sub-rede. E, em seguida, cada uma das sub-redes, queremos criar uma máquina EC2. Um é chamado de EC2 um e L1 é chamado de EC2 trazido. Para isso, queremos fazer, mudamos para nosso console e selecionamos o serviço EC2. Se você não puder vê-lo aqui. Sob os serviços visitados recentemente , é claro que você sempre pode procurar o serviço e selecionar. Sim. E, como você pode ver aqui, atualmente não há instâncias em execução. E queremos lançar nossa primeira máquina EC2. E podemos conseguir isso clicando aqui no botão Launch Instance. E então procuramos por um 12 porque só queremos girar não vai fazer máquina baseada. Sim, 2004 está bem para nós. Nós o selecionamos. E então podemos usar aqui esse tipo de microinstância T2 porque isso é vinculável de nível gratuito. Em seguida, o próximo. E aqui selecionamos nosso produto VPC, e selecionamos o principal em us-east1-d. claro, queremos alterar atribuir o endereço IP público porque queremos acessar essa instância a partir da web mundial. Sim, acho que todas as outras configurações estão bem por enquanto. Podemos adicionar armazenamento, mas não precisamos, não precisamos do armazenamento, então é bom ter o armazenamento raiz aqui e, em seguida, podemos adicionar alguns textos. E geralmente eu atribuo a tecnologia e o Wyoming, que se orgulha neste caso. Eu também quero dar um nome a ele. E isso trouxe o EC2 um. Em seguida, configuro o security group. Neste caso. Por enquanto, eu só quero usar o security group existente, porque só queremos falar sobre o tópico security groups mais tarde, mais tarde. É por isso que, por enquanto , não há problema em usar o security group da VPC padrão. Em seguida, clico em Review and Launch, e posso iniciá-lo. E então eu posso criar um novo par de chaves porque quero me conectar à máquina EC2 e, no final, via SSH. E, portanto, preciso de um par de chaves, e isso é o que eu crio aqui. Sim, eu acho que como quero nomeá-lo, eu acho que C2 ou o que foi trazido? Ec2. Um por exemplo. Em seguida, posso baixar esse par de chaves e, em seguida, posso executar a instância. Então eu posso ir aqui em instâncias. E você pode ver aqui os gastos do estado da instância. Enquanto isso, podemos criar as outras máquinas EC2. Então, clicamos novamente em Launch Instance. Buscamos a ferida para selecionar este 200 para uso novamente, a microinstância aqui, Configurar Instância em, neste caso, também selecionamos o gráfico VPC um, mas agora podemos traçar subdois. endereço IP público Alto San também está ativado e o resto está bem. E o armazenamento também está bom. Queremos adicionar algo tributado novamente, então homens pardos são trazidos. E é claro que também queremos dar um nome a ele. E neste caso, orgulhoso EC2 para configurar o security group, também queremos criar ou selecionar o security group existente. Este é este, revise e inicie. Lançamento. E neste caso, eu diria que podemos usar o par de chaves criado para o C21. Porque sim, por enquanto, podemos usar o mesmo par de chaves para conectar-se a todas as máquinas EC2 aqui. Em seguida, execute a instância, volte para a visão geral da instância. E então você pode ver aqui que o primeiro está sendo executado agora e o segundo ainda está pendente. Podemos tentar nos conectar agora a esta primeira vez trouxe EC2, uma máquina. E, portanto, posso copiar aqui meu endereço IP público, copiá-lo e, em seguida, podemos ir para o terminal. E se olharmos aqui para nossa pasta Downloads, aqui, podemos encontrar nosso arquivo de chave privada. Isso trouxe o EC2 1. Primeiro de tudo, temos que alterar as permissões porque elas são muito culpadas em abrir. E mudamos para 060 e a multidão EC2, 13h. Tudo bem. E então podemos tentar conectar fio é este H com SSH prato I. E então podemos selecionar nossa chave privada. Porque não é o padrão que está localizado em nossa pasta SSH de pontos. Então dizemos, queremos que ele volte, pois o Ubuntu não fará usuário. E então eu apenas honro, desculpe. Agora eu copio novamente. Tudo isso preciso voltar para o console e copiar o endereço IP novamente. Agora poderíamos trabalhar. Como você pode ver agora, não é possível conectar-se à máquina EC2 atualmente a partir da web mundial. E por que esse é o caso. Nós, queremos falar sobre esse tópico nas próximas lições. 20. Gateway (IGW): E agora a primeira razão pela qual temos que considerar por que não podemos nos conectar às nossas máquinas EC2 é o chamado gateway da Internet. E o que é o gateway da Internet? O gateway da Internet é um componente VPC, uma instância que é altamente dimensionável horizontalmente, redundante e altamente disponível. Portanto, no final, AWS mantém esse serviço, esse gateway da Internet, e não causa nenhum risco em termos de disponibilidade ou limitações de largura de banda. E o que também é importante saber, não há custos adicionais. Talvez você possa se lembrar, já o tínhamos na visão geral padrão da VPC. Esta é uma instância que é criada automaticamente para a VPC padrão. E o objetivo desse gateway da Internet, como o nome já diz, é que essa instância garanta que a conexão com a Internet esteja disponível. Portanto, se não houver gateway de Internet para sua VPC, você definitivamente não terá acesso à Internet. E para criar esse acesso à Internet, você precisa, eu crio o gateway da Internet primeiro e, em seguida, somo as tabelas de roteamento e as tabelas de roteamento que obteremos, falaremos sobre as tabelas de roteamento na próxima lição. Aqui você pode ver a pequena visão geral. Então, nosso status atual que temos que traçar sub-redes públicas e as duas são duas máquinas. E agora adicionamos aqui este gateway da Internet. Portanto, podemos alternar novamente para o console de gerenciamento, e agora temos que mudar para o serviço VPC aqui. Então você pode ver aqui no lado esquerdo, gateways de internet. E atualmente temos apenas o gateway padrão atribuído à VPC padrão. Queremos criar um novo gateway da Internet. Vou chamá-lo apenas imprima um. Então posso dizer que também o ambiente é trazido. Então eu posso simplesmente criar esse gateway da Internet. Portanto, não há muito a dizer para isso. E então você pode ver aqui que nosso status atual foi desanexado e não há ID de VPC aqui. No final, isso significa que esse gateway da Internet não está atribuído a nenhuma VPC atualmente. É por isso que tenho que clicar aqui em Ações e depois anexar a uma VPC. E então eu posso selecionar aqui o gráfico de uma VPC e anexar o gateway da Internet à VPC. E isso é tudo o que temos que fazer aqui nesta lição. Criamos o gateway da Internet, e este é o nosso portão para a web mundial a partir de nossa VPC. 21. Tabelas de rota: Outro conceito importante é o conceito de tabela de rotas. Como você pode ver aqui, criamos nossas sub-redes públicas. Criamos essas duas máquinas e criamos o gateway da Internet aqui. Agora adicionamos uma chamada tabela de rotas. E essa tabela de rotas é basicamente apenas um mapa de configuração para configurar o roteador. E o roteador vem por padrão com cada VPC. Portanto, se você criar uma VPC, então, automaticamente, um roteador também será criado aqui. E como você pode ver aqui, no lado esquerdo, uma tabela de rotas consiste principalmente nessas duas colunas aqui. E uma coluna é o destino e outra o alvo. Neste caso aqui, isso significa apenas que todo tráfego será roteado para o gateway da Internet x, y, z. se você quiser. Sim. Se você quiser alcançar o nível de associado do AWS Solutions Architect , essas regras aqui são muito importantes. Então, é aqui que entramos em perguntas neste exoma. Cada sub-rede é atribuída a exatamente uma tabela de rotas. Isso significa que você pode apenas atribuir uma tabela de rotas por sub-rede, mas você pode atribuir uma tabela de rotas a várias sub-redes. Se você se lembrar, temos esta tabela de rotas principal que vem por padrão com a VPC. E este você pode atribuir a todas as suas sub-redes. Mas, claro, você também pode criar algumas tabelas de rotas personalizadas. Com a ajuda dessas tabelas de função personalizadas, você pode fazer configurações mais detalhadas. Por exemplo, você quer distinguir entre sub-redes privadas e sub-redes públicas. E este é o caminho a seguir para você. Se você quiser fazer isso, você pode criar tabelas de rotas personalizadas. Agora queremos voltar para o nosso console de gerenciamento. E talvez você esteja aqui na seção Gateway da Internet e você pode simplesmente selecionar aqui as tabelas de rotas. Então você pode ver que temos duas tabelas de rotas principais, uma para a VPC padrão e outra para nosso gráfico não padrão, uma VPC. E eu só queria selecionar aqui esse ID da tabela de rotas da nossa VPC não padrão. E então você pode ver aqui, temos as rotas, a tabela de rotas aqui, o destino, o destino e o status. E basicamente temos apenas uma regra aqui. E essa é a regra padrão. E toda tabela de rotas tem que ter uma rota local. Isso significa aqui apenas que todas as instâncias criadas em nossa VPC podem acessar qualquer outra máquina EC2 ou qualquer outra instância dentro de nossa VPC. Portanto, todos os recursos podem alcançar qualquer outro recurso na VPC. E este é o bloco CIDR principal da VPC. Você não pode alterar essa regra. Então, se você tentar excluir uma regra local, isso não é possível. 22. Estabelecer acesso à internet: E agora queremos estabelecer finalmente, o acesso à Internet. O que falta para acessar nossa máquina EC2 da Worldwide Web. Como você pode ver aqui, temos nosso gateway de Internet. Temos para roteador com uma tabela de rotas. E dentro desta tabela de rotas, só temos uma regra. E essa regra diz que todo tráfego que está dentro da nossa VPC é redirecionado aqui em nossa sub-rede local. Todo tráfego local é permitido. O que temos que fazer agora é que temos que adicionar outra rota e outra regra que diz que cada tráfego para que 0000 slash o seja 0000 slash o seja redirecionado para o nosso gateway de Internet com, porque isso é nossa instância que garante a conexão com a Internet. Isso é o que queremos fazer. E, portanto, volto para o console de gerenciamento e, em seguida, seleciono a tabela de rotas fornecida aqui. Como você pode ver aqui, temos o Praat one VPC, então eu seleciono o ID da tabela relacionado. Então temos aqui as rotas. E como você já sabe da lição anterior, temos essa regra de rota aqui, a regra local, e queremos adicionar uma nova aqui. Vamos para Editar rotas e adicionamos uma rota. Então dizemos que todo tráfego e isso é 00000 barra o. Então eu clico aqui e , em seguida, a proposta é quente para ter um gateway da Internet. E como você pode ver aqui, este é o nosso gateway de Internet que criamos antes. Este que usaremos. Sim, é isso. Só temos que clicar aqui para salvar alterações. Então você pode ver que criamos outra rota que conecta todas as nossas instâncias ao gateway da Internet. Sim. E agora temos que garantir que essa tabela de rotas seja atribuída a todas as nossas sub-redes. Então, temos nossas duas máquinas EC2 nas duas sub-redes, prot sub um e até duas. E se rolarmos aqui para a direita, você poderá ver que esta é a mesma tabela de linhas para ambas as sub-redes. E quando eu seleciono este, esse ID, então e vou aqui duas rotas, então você pode ver que esta é a que nós, nós modificamos. E então acho que isso funcionará. Agora. Podemos verificar se conseguimos acessar a máquina EC2 finalmente, então é por isso que irei para o console do EC2 novamente e, em seguida, copiarei o endereço IP. Então vamos para o terminal novamente. Ssh. Então eu acho que foi chamado de EC2, 01:00 PM, o arquivo de chave privada. E então nascemos para adicionar o endereço IP. E, obviamente, não está funcionando. Então, o que poderia ser? Sim, a razão pela qual ele não funciona atualmente é outro conceito, e isso é chamado de security groups. E eu só quero mencioná-lo aqui muito em breve porque teremos um capítulo separado para todo o tópico de segurança. Sim. Temos que voltar ao minuto para o console de gerenciamento e ir para as máquinas EC2 novamente aqui. E se selecionarmos esta máquina EC2, haverá uma guia chamada segurança. E aqui você pode ver aqui está um security group padrão. O grupo de segurança, você pode imaginar que é como um firewall. Você pode definir qual tráfego é permitido aqui como uma regra de entrada. E, por padrão, temos aqui essa regra que permite todo o tráfego de todos os protocolos e todo o intervalo de portas. Mas a restrição aqui é que ele só permite todo o tráfego de instâncias que estão no mesmo security group. Então, em referências ao mesmo security group, e obviamente meu PC local não faz parte desse security group e é por isso que ele não funciona. O que temos que fazer aqui é que podemos clicar aqui em Editar regras de entrada e adicionar uma regra que permita o tráfego SSH. Então, na porta TCP 22, e dizemos que queremos permitir de x's de todos os lugares. E é claro que você também pode definir aqui seu endereço IP estático se você tiver um localmente. E então, e então, basta fazer essa barra 32, e então este é o seu, apenas o seu endereço IP, então é mais restrito. Mas, por enquanto, não há problema em atribuir todos os tráfego aqui do SSH. Nós salvamos essa regra. E então podemos ver aqui, adicionamos outra regra como regras de entrada. E este é o tráfego SSH aqui. Então, vamos dar outra tentativa. Voltaremos para o terminal. E então comecei aqui novamente. Como você pode ver aqui, posso me conectar agora à minha máquina EC2. É assim que funciona e perfeitamente criamos nossa primeira conexão com a Internet com nossas máquinas EC2. Então, o que fizemos até agora, criamos um não-padrão. Vemos que criamos duas sub-redes públicas. E em cada uma das sub-redes públicas, executamos uma instância do EC2. Criamos um gateway da Internet que está conectado à nossa VPC não padrão e pode ser usado para todas as sub-redes, insight uma VPC. E então criamos uma tabela de rotas que podemos garantir que todo tráfego de todos os lugares possa se conectar ao nosso gateway da Internet. Que o gateway da Internet possa garantir o tráfego para a web mundial. E então nós apenas ajustamos o lance, nosso grupo de segurança que obtemos permissão para acessar nossas máquinas EC2. E é assim que funciona. Agora criamos com sucesso a conexão com a internet. 23. Visão geral de subredes privadas: Neste capítulo, queremos falar sobre a sub-rede para seção, e essas são as sub-redes privadas. E apenas uma breve visão geral onde estamos atualmente, criamos com sucesso para sub-redes públicas. E cada sub-rede tem uma máquina EC2 que está sendo executada dentro dessa sub-rede. E o acesso à Internet está disponível por causa das tabelas de rotas aqui, porque cada tabela de rotas aqui tem rota para o gateway da Internet. Nesse caso, temos apenas uma tabela de linhas, apenas esta tabela de rotas principal da VPC. Agora, queremos mudar a sub-rede pública sub2 para uma sub-rede privada. E, como você pode ver aqui, por padrão, não há diferença entre sub-redes públicas e sub-redes privadas. Então, a única coisa que é diferente da será a definição na tabela de rotas. Então, se você criar uma sub-rede, não poderá decidir que é, é uma sub-rede pública ou é uma sub-rede privada? Você cria apenas uma sub-rede. E então você pode decidir com base nas regras nesta tabela de rotas. Se for uma sub-rede pública ou uma sub-rede privada ou uma sub-rede VPN. 24. Addresses IP privadas: Quando falamos de sub-redes privadas, então também um conceito-chave muito importante é o conceito de endereços IP privados. Aqui, uma pequena visão geral das coisas mais importantes que você precisa saber sobre endereços IP privados. Endereços IP privados não são acessíveis pela Internet. A finalidade ou o objetivo dos endereços IP privados é que eles garantam a comunicação entre todas as instâncias dentro da VPC ou da sub-rede. Quando você inicia uma máquina EC2, por exemplo, você não especifica nenhum IP fixo e, em seguida, a AWS atribui automaticamente um endereço IP disponível no peso da sub-rede, no intervalo de sub-rede. Lembre-se de que isso se baseia na configuração do bloco CIDR. A AWS escolhe apenas um endereço IP dentro desse intervalo. Mas você também pode, ou o que você também pode fazer é especificar seu endereço IP fixo para esta máquina EC2, mas ele precisa caber também ao seu intervalo de blocos CIDR. O que também é possível é que você possa atribuir vários IPs privados a uma instância do EC2. 25. Noções básicas NAT: O último tópico sobre o qual temos que falar antes de mudarmos para a parte prática é o gateway NAT. Então, quero lhe dar uma breve visão geral sobre os conceitos básicos de um chamado gateway NAT. O que é o gateway NAT? Não significa tradução de endereço de rede, e isso significa que há uma tradução entre endereços P. Nesse caso, substituímos o endereço IP de origem de uma instância, por exemplo, sua máquina EC2 em sua sub-rede privada. Esse endereço IP é substituído pelo endereço IP do gateway NAT. Isso também funciona ao contrário. Portanto, se você receber tráfego, então, da resposta da World Wide Web, então o endereço IP do gateway NAT traduzido de volta para o seu endereço IP de origem. E o que também é muito importante aqui é que se você quiser criar alta disponibilidade, então deve haver um gateway separado não em cada zona de disponibilidade. Mas se você não quiser ter HA ou isso não é um requisito , é claro que é suficiente. Se você acabou de criar um gateway NAT e apenas usá-lo para todos os propósitos. Dessa forma. dois tipos diferentes de gateways NAT. Um deles é o público e outro é o gateway NAT privado. O gateway NAT público funciona dessa forma que eu já expliquei. Portanto, ele permite o tráfego de saída de uma instância colocada dentro de uma sub-rede privada. Em seguida, ele traduz o endereço IP no endereço IP do gateway NAT. Em seguida, o tráfego pode ir para a World Wide Web. E a resposta também pode ser redirecionada novamente para a própria instância do EC2, e os endereços IP são traduzidos de volta. Para conseguir isso, estamos, para alcançar esse endereço IP elástico é necessário para o gateway NAT público. Você precisa atribuir um endereço IP elástico ao gateway NAT público. Caso contrário, não funciona. Sim. E então você tem o gateway NAT privado. E o gateway NAT privado funciona para ser diferente. Portanto, você não precisa desse endereço IP elástico porque a porta NOT privada, apenas conectamos VPCs diferentes ou outras redes locais. E você ainda está em seu particular e Wyoming. E então o que acontece aqui é que os endereços IP privados de suas instâncias são substituídos pelos endereços IP privados do gateway NAT. Portanto, não há necessidade de um endereço IP público. E eu só quero mencionar aqui novamente também os preços porque neste caso o gateway NAT requer taxas adicionais. Você pode apenas pesquisar preços no google, não gateway. E então acho que é precificado por hora e também quanto tráfego passa por esse gateway NAT. Mas sim, lições aprendidas. O que você precisa saber é se quiser obter x's de uma máquina EC2 privada, de uma instância privada em uma sub-rede privada. Se você quiser ter acesso à Internet lá. Porque, por exemplo, talvez você queira atualizar seu sistema operacional ou algo assim. Então você precisa de algo como um gateway NAT. Como o próprio gateway da Internet, o gateway da Internet pode apenas traduzir endereços IP públicos, mas não endereços IP privados. 26. Crie um gateway NAT: Agora fica praticamente o que queremos fazer. Queremos criar um gateway NAT. Portanto, volto para o meu console de gerenciamento e vou para o serviço VPC. E sim, Agora você pode encontrar aqui os gateways NAT. E como você pode ver aqui, temos uma ilha não, não o gateway está disponível no momento. E isso queremos mudar. Criamos aqui e não gateway. E digamos, por exemplo, o nome é próximo. E então temos que selecionar uma sub-rede adequada para isso. Isso é aqui, muito importante de entender. Precisamos de uma sub-rede pública para o gateway NAT porque ele só pode traduzir os endereços IP do espaço privado para o público, se for, se for colocado em sub-redes públicas. É por isso que temos que garantir que seja público. E por causa do fato de que queremos modificar o enredo subdois em uma sub-rede privada. Há apenas esta opção aqui para colocá-la na sub-rede seiva uma. E, como você pode ver aqui, temos os dois tipos de conectividade que já aprendemos. Portanto, há um tipo de conectividade pública e privada. Queremos usar o público porque queremos ter acesso público de nossas instâncias privadas. E então precisamos de um endereço IP elástico. Então, posso dizer aqui, alocar-me um endereço IP elástico e a AWS o aloca sob o capô em sua conta ou, nesse caso, em minha conta. Temos isso funciona muito suave. E então já existe aqui, já uma etiqueta de nome com protonado. E nós só queremos adicionar também N Y, uma tag principal, que é chamada prod. E podemos simplesmente criar esse gateway NAT. E é isso, é isso. Isso é tudo o que temos que fazer. Se quisermos criar um gateway NAT, temos que esperar um pouco porque o estado aqui está pendente no momento. E se estiver concluído, também obteremos um endereço IP privado. E, em seguida, no endereço IP elástico aqui. O que eu também queria mencionar é que também há algo chamado instância NAT. Isso é um tipo de legado. E essa é outra opção como você pode obter essa tradução de endereços de rede. Nesse caso, você irá girar como uma máquina EC2 com funcionalidades de gateway NAT. E provavelmente na maioria dos casos, você usará apenas o gateway NAT. Mas sim, às vezes, se você quiser fazer configurações abrangentes, algumas se você quiser fazer configurações mais detalhadas, talvez você possa considerar criar uma instância NAT. Mas acho que em 95% de todos os casos, o gateway NAT aqui é o caminho a percorrer. 27. Submeteres público vs. privado: Sim, e agora finalmente queremos traduzir nossas segundas sub-redes públicas em uma sub-rede privada. Aqui está a pequena visão geral. Queremos modificar aqui, esta tabela de rotas. Dessa forma a subrede pública do enredo se torna uma sub-rede privada. A primeira coisa que temos que fazer é criar outra tabela de rotas, porque você já sabe que atualmente apenas usamos a tabela de rotas principal. E a tabela de rotas principal é usada para cada sub-rede aqui. Quando excluímos esta rota do gateway da Internet aqui , ela também é excluída para a sub-rede pública, e isso não é o que queremos fazer. É por isso que temos que criar outra tabela de rotas. E queremos fazer, mas antes de fazer isso, mostrarei que a conexão atualmente funciona para a segunda máquina EC2. Portanto, esta máquina EC2 está atualmente em nossa segunda sub-rede pública. É por isso que eu copio aqui. Eles são endereço IP relacionado. Então volto para o terminal e digo prato SSH. A chave é chamada de EC2 trazido, um arquivo PEM. E queremos nos conectar, queremos encerrar este endereço IP. Como você pode ver aqui, isso funciona atualmente, então eu posso me conectar à segunda máquina EC2 porque ela ainda está em uma sub-rede pública. Tudo bem. Vou sair disso aqui e voltar para o console de gerenciamento. Agora, mudamos para o serviço VPC. Então podemos ir aqui para as tabelas de rotas. Existem apenas essas duas principais tabelas de rotas para as duas VPCs. E eu quero criar aqui uma nova tabela de rotas que se chama orgulhosa privada. Quero selecionar a VPC do produto porque essa tabela de rotas está relacionada à nossa VPC de prótons. Vou atribuir aqui a tag do elemento y e y, que também é orgulhosa. E eu crio essa tabela de rotas. Como você pode ver aqui, temos apenas uma rota aqui, apenas a rota local. Já expliquei. O que temos que fazer agora é que temos que atribuir essa tabela de rotas à segunda sub-rede aqui. E, portanto, apenas selecionamos aqui sub-redes, depois vamos para as subduas ações e editamos a associação da tabela de rotas. E então você pode selecionar aqui o ID da tabela de rotas. E não queremos usar a tabela de linha principal, queremos usar a tabela de rotas privada Praat. Então aqui as entradas que reduziram apenas para a entrada local aqui. E então posso dizer Save. Agora, a segunda sub-rede aqui tem outra tabela de rotas. Como você pode ver aqui, o ID é diferente desse ID da tabela de rotas da outra sub-rede em nossa VPC. Agora, podemos verificar isso. Podemos voltar ao terminal e tentar nos conectar novamente. E como você pode ver aqui, não funciona mais porque não temos o fio de conexão, o gateway da internet, este é o, essa rota é excluída. Isso é bom. Isso funciona como esperado. E agora podemos adicionar aqui. Podemos voltar para a tabela de rotas e para a tabela de rotas privada. Agora podemos adicionar aqui a internet, coisa da rota do gateway NAT. Antes de quisermos fazer isso, podemos dar uma olhada aqui, essa pequena visão geral, como funciona. Então, o que queremos alcançar, queremos conseguir que essa instância privada do EC2 tenha acesso à Internet, mas o tráfego da World Wide Web não tem permissão para acessar a máquina C22 do produto. E, portanto, já criamos esse gateway NAT aqui na sub-rede pública. Mas atualmente não temos conexão com esse gateway NAT a partir dos recursos privados dentro dessa sub-rede privada aqui. E é por isso que temos que definir outra rota nesta tabela de rotas privada, que é definida como o barra o para gateway NAT, que significa que todo tráfego será roteado para o gateway NAT. E então funciona dessa maneira. Você tem sua instância do EC2 aqui, e essa é uma instância privada. E com a ajuda dessa rota aqui, ela pode se conectar via roteador da VPC ao nosso gateway NAT. E esse gateway NAT aqui está dentro ou público VPC em nossa sub-rede pública. Desculpe. Isso significa que ele pode usar essa entrada de rota aqui. Ele tem endereço IP, um endereço IP público. E com a ajuda desse endereço IP público, ele pode usar a rota que todo tráfego é redirecionado para o gateway da Internet. Ele pode passar o tráfego pelo roteador para o gateway da Internet. E através do gateway da Internet, tem sido x's para a web mundial. E é assim que funciona. Mas, novamente, funciona apenas em uma direção e na outra direção apenas com as respostas. Isso significa que a instância do EC2 pode solicitar algumas coisas pela Internet e também pode obter as respostas de volta. Mas ninguém pode alcançar esta máquina EC2 a partir da web mundial se a própria máquina EC2 não quiser. Portanto, se não houver solicitação da própria máquina EC2. Então esta é a teoria por trás disso. E agora podemos finalmente voltar para o console e adicionar aqui essa rota. Se você for editar a rota na rota e novamente os zeros 00. E então escolhemos aqui em vez do gateway da Internet, o gateway NAT, temos aqui nosso enredo, não um gateway e salvamos as alterações. E é assim que funciona. Isso é tudo o que temos que fazer por enquanto. Quando voltarmos para o terminal. Claro, também não podemos nos conectar à nossa máquina EC2 porque, como já aprendemos, essa é apenas uma direção e não podemos solicitar agora nossa máquina EC2 privada e a sub-rede privada da World Wide Web. Mas esse é um comportamento esperado. 28. Host do Bastion: Sim. Agora, uma vez faltando o passo, queremos nos conectar à nossa máquina EC2 privada e à nossa sub-rede privada. E queremos verificar como funciona a conexão com a web mundial. Então, basicamente, nós só queríamos fazer um ping para o Google apenas para garantir que nossas configurações estejam corretas. E para fazer isso, temos que introduzir um conceito chamado bastion host. E o que faz o melhor no host, o melhor sabe é você pode imaginar como um servidor público que pode ser acessado a partir da web mundial e que também tem as permissões para se conectar a o servidor privado. No final, se você se lembrar, temos como grupo de segurança para o, para a máquina EC2 pública e para a máquina EC2 privada que o acesso SSH é permitido. Então, isso está tudo bem. E também as tabelas de rotas de cada seguradora de sub-rede que cada instância que está sendo executada dentro do nosso gráfico uma VPC pode se conectar a todas as outras instâncias nesta VPC. Então, isso deve ser bom. E o que temos que fazer agora é que eu forneci aqui pouco comando. E este é um comando que basicamente faz o tunelamento IP. Tunelamento de portas, desculpe. Sim, você só pode copiar este aqui. E depois mudamos para o nosso terminal. Eu já preparei aqui apenas o comando. E como você pode ver aqui, este é apenas o comando copy do slide. Temos que substituir aqui esse IP de recurso privado e temos que substituir a API de host veterana. Portanto, temos que mudar para nosso console de gerenciamento novamente. Vá para o serviço EC2 e, em seguida, nosso gráfico EC2 uma máquina. Este é o nosso anfitrião bastião de adereços. Então, aqui precisamos do endereço IP público. E isso, neste caso, começa aqui com 54. E eu vou copiar isso. Então eu voltarei para o terminal, e então posso colá-lo aqui. E isso também farei para o endereço IP privado. Então, volte para o console de gerenciamento. E então eu vou copiar aqui. E importante aqui é que temos que chegar aqui o endereço IP privado. Portanto, esse deve ser o endereço IP privado, não o endereço IP público, porque a máquina pública do EC2 precisa acessar a instância privada por meio do intervalo de endereços IP privado. Sim, então copie isso aqui e cole-o, e então ele deve funcionar. Agora, o que temos que, obviamente, é nosso lançar algum arquivo PEM porque não usamos o padrão e nossa pasta SSH ponto. Sim, agora deve funcionar e, como você pode ver, a impressão digital é necessária, e agora estamos conectados em nossa máquina pública. Como você pode ver aqui, esta é a máquina EC2 pública porque não é igual a esse endereço IP aqui, que é o endereço IP privado da máquina EC2 privada. Este é apenas o primeiro passo. Nesse caso, agora encapsulamos a porta 22 da nossa máquina EC2 privada para nosso host local na porta 20202020. Portanto, esta máquina EC2 agora está disponível aqui, essas 22 portas agora estão disponíveis no meu host local. Outra porta, 2222. Agora eu posso abrir outro terminal onde é importante que isso, isso esteja aberto o tempo todo. Portanto, você não pode fechar este terminal aqui porque, caso contrário, você também fechará esta sessão. E então a porta não é encapsulada para o nosso host local. E isso significa que você pode se conectar à sua máquina EC2 privada. Então, isso estará aberto o tempo todo aqui. Então eu posso me conectar à minha máquina EC2 privada e farei isso com SSH lá. E então nossos avisos sobre a fogueira errada. Usamos as proteínas c2, um arquivo PEM. Em seguida, também usamos o usuário não governará. E agora host local em vez do endereço IP da máquina EC2 privada, porque Como eu já disse, ele é mapeado para nosso host local. E então só temos que especificar essa porta 2222 porque uma falha bonita como H usa o poder de 22. Mas este é o nosso porto 22 local. É por isso que precisamos especificá-lo aqui. E então eu apenas executo esse comando. Impressão digital. Sim. E agora estamos em nossa máquina EC2 privada e que você pode verificar aqui este endereço IP privado do EC2. E isso é neste caso 1001228. E também podemos verificar isso em nosso console de gerenciamento. Então, se você selecionar aqui este EC2 na máquina e dar uma olhada neste endereço IP privado aqui, então é realmente o endereço IP 1001228. Então, estamos em nossa máquina. Agora, o passo final é que queremos garantir que nossas configurações não funcionem. É por isso que acabamos de executar um pequeno ping para o Google, por exemplo. E como você pode ver aqui, funciona perfeitamente. Então, o que, o que fizemos? Criamos sub-rede pública. Criamos a sub-rede privada e a tabela de rotas foi alterada. Portanto, atualmente, não podemos ter excesso da web mundial para nossa máquina EC2 privada, mas a máquina EC2 pode ter acesso à web mundial. Então, por exemplo, se quisermos instalar apenas uma pequena atualização nesta máquina EC2 privada, isso é possível enquanto o fio guia de rede, o gateway NAT, mas não é possível o contrário. Então, isso é novamente, um grande marco. E o que temos que fazer agora é que queremos apenas excluir e interromper todos os recursos que exigem alguns custos adicionais. É por isso que parei aqui agora o serviço, depois volto para o console de gerenciamento e depois digo, só quero parar aqui essas duas máquinas EC2 porque talvez precisemos delas. Em seguida, nas próximas palestras e capítulos. O que também queremos fazer é ir, novamente para o serviço VPC. Queremos excluir o gateway NAT. Aqui está. Ações Excluir, gateway NAT, Excluir. E agora você pode ver aqui que o estado está excluindo. Aqui podemos ter uma aparência final, o painel da VPC. E acho que não há mais recursos que exijam algumas taxas ou que tenham alguns custos, custos adicionais? Não, acho que não. Quase esqueci o endereço IP elástico. Se você se lembra, quando criamos nosso gateway NAT, também tivemos que alocar um endereço IP elástico. E isso um endereço IP não será excluído quando você excluir o gateway NAT. É por isso que volto novamente ao serviço EC2 aqui. E então você pode encontrar sob o endereço IP elástico está aqui, em rede e segurança, capítulo um, endereço IP elástico. E eu só tenho que ir aqui para ações e, em seguida, posso liberar o endereço IP elástico. Eu vou fazer isso liberar. E então isso também é feito. 29. Grupos de segurança de introdução: Neste capítulo, queremos falar sobre o tópico segurança. Pensei muito sobre qual é a maneira correta de fazer isso. Coloque o tópico de segurança na frente de todo esse curso ou não aqui. Mas então decidi usar para criar primeiro a arquitetura VPC e todas as coisas funcionais e garantir que tudo funcione. E agora podemos adicionar a camada de segurança. Aqui vem uma pequena visão geral. Primeiro, tenho uma dica para você, e a dica é atribuída uma alta prioridade à segurança desde o início. Pela minha experiência, você se perde. Se você não começar a adicionar a camada de segurança desde o início, sua infraestrutura ou arquitetura crescerão, crescerão e crescem. E então você chega ao ponto em que você não consegue alcançar todas as coisas que você perdeu no passado. Assim como uma dica. Segurança, prioridade muito alta. Então você precisa dois tipos diferentes de segurança na nuvem. Uma delas é a segurança da nuvem, e essa é a parte da AWS neste caso. Por exemplo, a AWS e tarefas por firewalls de hardware que a nuvem é segura ou fornece servidores redundantes, algo assim. Principalmente no nível de hardware , mas também no nível de software. E depois há a segurança na nuvem e este é o usuário. Como você pode ver aqui abaixo. Você pode aumentar o nível de segurança com uma ajuda, por exemplo, listas de controle de acesso à rede. Você pode usar security groups, você pode usar firewalls. E esses três pontos são basicamente apenas alguns firewalls de software. No final. Você pode, você também pode aumentar seu nível de segurança. Basta tchau o enrolamento de sua VPC em sub-redes adequadas e apenas usando sub-redes privadas. Portanto, todas as instâncias do EC2 que não podem, alcançamos por padrão a partir da Worldwide Web, não precisam de uma lista de controle de acesso ou algo parecido porque está separada. E, claro, você precisa de grupos de segurança e listas de controle de acesso por outros motivos. Mas é um nível de segurança aumentado. Se você criar aqui sub-redes adequadas. E, claro, também o monitoramento é uma coisa em que você pode aumentar seu nível de segurança, porque quando você não sabe o que acontece na VPC e na sub-rede, você não pode proteger sua sub-rede. Também existe a possibilidade de usar permissões do IAM. Por exemplo, uma coisa é essa coisa com nosso usuário do IAM. Criamos um usuário do IAM para criar nossos recursos de VPC, e isso é altamente recomendado. Portanto, não use sua conta principal da AWS para isso. A última coisa aqui é a criptografia. Por exemplo, você tem a possibilidade criptografar seus dados em trânsito. E essa também é outra camada de segurança que você pode aplicar aqui. Esta é a pequena introdução para a segurança. E na próxima palestra falaremos sobre as listas de controle de acesso à rede. 30. Lista de controle de acesso (NACL): Nesta palestra, queremos falar sobre listas de controle de acesso à rede chamadas knock-offs. O que é o NaCl? Nacl é uma camada de segurança adicional e você pode imaginar que funciona como um firewall no nível de sub-rede. E quando você se lembra, por padrão, cada VPC criada, tem uma lista principal de controle de acesso à rede que permite, por padrão, todo o tráfego. Então, nos dirigimos para a VPC padrão e também para VPC não padrão, criamos apenas a VPC e, por padrão, havia um nó e o tráfego também fora. Mas você também pode criar sua lista de controle de acesso à rede personalizada e atribuí-la à sub-rede desejada. Mas quando você cria uma lista de controle de acesso à rede personalizada , não há regras especificadas. Isso significa que você precisa permitir explicitamente o tráfego. Caso contrário, todo tráfego é a noite. O que aqui é muito importante saber, especialmente se você quiser fazer a certificação para a do AWS Solutions Architect lista de controle de acesso à rede associada é sem estado. O que significa esse fato aqui que é apátrida? Isso significa que você precisa definir uma regra de entrada e, em seguida, uma regra de saída para conseguir uma transmissão bem-sucedida de dados. Por exemplo, se você fizer a solicitação e definir uma regra de entrada, isso funcionará. Mas você não pode obter a resposta de volta porque você não tem definição para a regra de saída. E a Lista de Controle de Acesso à Rede não consegue lembrar quem fez a solicitação. Portanto, isso significa que você precisa definir também a regra de saída. Não há armazenamento, não há estado. Também é importante que a ordem das regras seja importante neste caso aqui. Você tem a possibilidade de criar regras de um a 32.766. Além disso, o AWS RECOMB recomenda que você crie suas regras em incrementos de dez. Então, por exemplo, você cria 10203040, coisas assim. E isso ocorre porque se você fizer isso dessa maneira, você pode garantir se deseja adicionar algumas regras, um pouco mais tarde, então você tem a possibilidade, então você tem a opção de adicionar algumas regras no meio. Caso contrário, você terá que reestruturar todo o arquivo de regras, então. Também é muito importante que uma regra dentro dessa lista de controle de acesso à rede possa permitir ou negar o tráfego. Esta é a etapa que queremos verificar agora no console da AWS, vamos primeiro, queremos iniciar o computador EC2 na sub-rede porque queremos verificar se ele realmente funciona. É por isso que eu começo aqui nossa máquina EC2 novamente. E é claro que queremos usar a máquina EC2 e o prod parar isso porque só queremos nos conectar diretamente a esta máquina. Não queremos usar o melhor e hospedar. Então, se eu atualizar o estado aqui, ele está pendente. E, enquanto isso, podemos ir ao nosso serviço VPC. E, em seguida, você pode ir aqui para ACLs de rede. Você pode ver aqui que ainda temos apenas as duas principais ACLs de rede. E queremos criar aqui um novo, que é chamado prod sub-rede um porque eu quero atribuí-lo à sub-rede. Eu seleciono aqui o Praat one VPC e, em seguida, também crio aqui Tech e crio Network ACL. Agora você pode ver aqui que ele não está associado a nenhuma parte de sub-rede. Temos um novo ID de ACL e posso clicar aqui, e você pode ver, por padrão, temos uma regra de entrada, o que é bom todo o tráfego e temos uma regra de saída padrão que nega também todo o tráfego. E o que queremos alcançar é que podemos nos conectar novamente à nossa máquina EC2 quando usamos aqui esta rede ACL. E primeiro temos que atribuir essa rede ACL à nossa sub-rede de plotagem. E, portanto, podemos selecioná-lo aqui. Em seguida, vá para Ações e edite associação de ACL de rede e, em seguida basta alterná-la aqui para a sub-rede e segura. Sim. E agora podemos voltar para a seção do EC2 e talvez esteja em execução agora. Sim, parece ser bom aqui. Podemos copiar nosso endereço IP aqui e depois mudar para o terminal. Sim, agora podemos fazer aqui e SSH com E e usar nosso arquivo EC2 one PEM novamente, queremos, e usamos aqui este endereço IP Enter. E vemos que não funciona. E esperávamos esse comportamento. Porque quando voltarmos ao nosso Serviço VPC, volte para a rede ACL. Podemos ver que tudo é negado aqui, então temos que adicionar algumas regras de entrada e saída para garantir que esse tráfego SSH chegue à nossa máquina EC2. A primeira coisa que queremos fazer aqui é, opa, queremos editar uma regra de entrada. Eu atribuirei o número dez aqui e selecionarei SSH de todos os lugares. E eu quero permitir isso aqui no primeiro estágio, salvar as alterações. Então vou verificar novamente. Vou voltar para o terminal do console. E como você pode ver aqui, não funciona. E isso ocorre porque não podemos obter a resposta de volta da máquina EC2. Volte novamente aqui no console da AWS. E agora queremos adicionar também uma regra de saída, editar regra de saída. E também adiciono aqui o número dez, e também o tráfego SSH de todos os lugares. E eu quero permitir que ele salve as alterações. E também voltamos ao nosso terminal. E como você pode ver aqui, também não funciona. E por que isso não funciona. Este é um comportamento específico do protocolo SSH porque o protocolo SSH requer alguns intervalos de porta altos quando se trata das respostas, porém, temos que definir para as regras de saída, quanto mais alto portas porque escolhe aleatoriamente algumas portas duas, envie a resposta de volta. Isso é específico para SSH. E é por isso que volto aqui para regras de saída. E então eu digo, quero editar a regra de saída novamente, não permitir apenas como a idade dele, eu quero saber todo o tráfego. Em seguida, posso salvar minhas alterações novamente para o console. E agora ele deve funcionar. E como você pode ver aqui, ele realmente funciona. Agora. Vou sair dessa conexão. Então eu mostrarei a você, ou quero mostrar como a ordem dos arquivos de regras aqui são as entradas de regra funciona. Nesse caso, editamos a regra de entrada novamente. E agora posso dizer, quero adicionar outra regra com um número 20 e dizer também SSH. E eu quero negar isso. E agora você pode pensar sobre o que acontecerá agora. É possível acessar a instância do EC2 ou não com essa configuração aqui? Eu salvei essa mudança. Então volto para o meu terminal. E como você pode ver aqui, funciona para que eu possa me conectar à minha máquina EC2. E é por isso que definimos primeiro a regra de permissão. Esta regra aqui não importa porque o pedido é importante. Se formos novamente às regras de entrada e dissemos que esta regra aqui é, por exemplo, não ou t. E isso será 30. Isso significa que quando pedimos aqui, negamos primeiro nossos olhos como tráfego H e depois permitimos nosso tráfego SSH. E quando vamos agora novamente ao determinador e verificamos a conexão, vemos que ela não funciona. Esse é um comportamento esperado. Nós mudamos o pedido aqui. E agora essa regra aqui, não importa porque já definimos que queremos negar todo o tráfego SSH aqui. Sim, quero dizer, é assim que funciona. É assim que toda a equipe com rede ACS funciona. E o objetivo disso é, por exemplo, se você quiser garantir que ajuste seu endereço IP do host de melhor amigo ou do seu PC local. Se você tem um serviço DNS ou algo parecido, se você tiver um endereço IP estático, então você pode, por exemplo, aqui, descobrir que apenas sua barra de endereço IP 32 tem permissão para acessar seu VPC Wire SSH para exemplo. Então, sim, você tem um controle realmente detalhado aqui porque você pode usar endereços IP, intervalos de IP e também pode definir negação explícita ou uma LLC. 31. Grupo de segurança: Nesta lição, vamos falar sobre o tópico security group. O que é um security group? Também é como um firewall virtual. Mas neste caso, aqui operamos no nível de recursos. Isso significa que você pode atribuir um security group, uma máquina EC2, por exemplo. E, claro, cada VPC e cada sub-rede, meio security group padrão. E o que é realmente importante é que os security groups sejam com estado. Isso significa, por exemplo, se você fizer uma solicitação SSH para uma máquina EC2, a resposta também será permitida automaticamente. Então você pode imaginar como se houvesse um pouco de armazenamento no meio e o security group pode lembrar quem solicitou algo e a resposta é carregada automaticamente. Então, no final. Para grupos de segurança, só podemos definir atribuições baixas. Essas duas declarações aqui também são muito importantes para o associado Solutions Architect. Excelente. Os grupos de segurança têm estado e só permitem que as atribuições estejam lá. Nesta tabela, você pode ver agora novamente a diferença entre grupos de segurança e listas de controle de acesso à rede. Como já dissemos, para o security group, ele opera em nível de instância e suporta apenas regras de permissão. É com estado, o que significa que o tráfego de retorno é permitido automaticamente. Portanto, você não precisa criar algumas regras de saída adicionais se quiser apenas permitir o tráfego SSH de entrada. E todas as regras são avaliadas antes que a AWS decida permitir, negar ou negar o tráfego. E você precisa atribuir explicitamente o security group à instância. Então, se isso for o problema, você tem a lista de controle de acesso à rede. E o controle de acesso à rede. Isso opera no nível da sub-rede. Aqui você tem, como já dissemos, permitir regras e negar regras. O NaCl é sem estado e a ordem importa como você define suas regras. Então, se você se lembra quando você cria algumas ou duas regras iguais, mas uma só com permitir, uma com o ingênuo, então importa, o que vem primeiro. E se você atribuir essa lista de controle de acesso à rede a uma sub-rede ou a uma VPC, ela será automaticamente aplicada a todas as máquinas do EC2 para todas as instâncias dentro dessa sub-rede ou dentro dessa VPC. Essa é a diferença. Sim, vamos fazer algumas coisas práticas. Vou mudar novamente para o nosso console. E primeiro vou para o serviço VPC novamente. Vou verificar como ele funciona aqui com uma rede ACLS porque queremos garantir que permitimos todo o tráfego enquanto suas ACLs de rede, que possamos verificar a funcionalidade dos security groups. É por isso que vou aqui novamente para as sub-redes. E acho que atribuímos à sub-rede aqui nossa lista de controle de acesso à rede personalizada. É por isso que volto aqui para Editar. E então eu vou alterá-lo de volta aqui para a ACL padrão. Que podemos garantir que todo o tráfego seja permitido. Ligue essas ACLs aqui. Então eu vou aqui, salvo, e então posso escolher aqui os grupos de segurança. Como você pode ver aqui, temos apenas ordem para grupos de segurança padrão para as duas ou duas VPCs. E meu caso aqui eu clico em criar o security group, então posso dar um nome a ele. Eu também chamo de uma sub-rede orgulhosa e um baixo acesso SSH, SSH. Então eu posso sentar aqui, quero usá-lo com um plot1 VPC1. Em seguida, posso definir, por exemplo, também uma regra SSH para o protocolo TCP e o intervalo de portas 22. E então posso dizer de todos os lugares aqui e a descrição é SSH. E eu excluirei todas as regras de saída aqui. No final, só temos uma regra de entrada com tráfego SSH permitido. Crie o security group. Agora, posso ir até o console de gerenciamento do EC2 aqui. E nós temos executando aqui nosso produto EC2 uma máquina que eu é selecionado. Tornozelo aqui para grupo de segurança. E, como você pode ver aqui, atribuímos a esse security group padrão. Este que queremos mudar. E é por isso que vou aqui para segurança de ação e mudo grupos de segurança. Sim, agora posso selecionar aqui nosso grupo de segurança sub-rede um, o grupo de segurança. E posso excluir aqui o padrão. E, como você já pode ver aqui, você também pode atribuir vários grupos de segurança a uma máquina. Neste caso. No nosso caso, só queremos ter esse grupo de segurança de vínculo de sub-rede. Eu clico em Salvar e volto novamente ao security group. E, como você pode ver aqui, ele foi alterado pela AWS, mas você não pode ver uma regra de entrada e acho que isso é um dinheiro no console aqui. Então vou fazer, vou refrescar deste lado e voltar para a segurança. E então você pode ver aqui nossa regra de entrada é exibida aqui. E agora podemos verificar se isso realmente funciona. Vou copiar o endereço IP público desta máquina EC2. Então eu voltarei para o meu terminal. Eu digo prato SSH, e depois o arquivo PEM e nasci em e , em seguida, nosso endereço IP. Como você pode ver aqui, funciona perfeitamente. E só para garantir que seja realmente essa regra SSH, também podemos voltar aqui para o security group. Clique no grupo de segurança e Editar regras de entrada e, em seguida, diga que queremos excluir aqui esta regra de entrada e clicamos em Salvar. Então você tem que esperar alguns segundos que ele seja propagado, eu acho. Sim, em poucos segundos, mas provavelmente não em tempo real. Sim. Agora, volto de novo, saio daqui, e depois tento novamente. E como você pode ver aqui, não funciona. Então, era realmente essa regra SSH de entrada. E também importante, acabamos de definir uma regra de entrada. Então, acabamos de definir a regra SSH de entrada e podemos nos conectar a esta máquina EC2. E é por isso que o security group é com estado. Eu interrompi aqui. E sim, acho que é quase isso. E eu só quero mencionar aqui outra coisa. Quando vamos novamente para Editar regras de entrada e regra eta , também podemos atribuir como origem aqui security group. Se você se lembrar, fizemos isso também para nosso security group principal da VPC para o não padrão e também para a VPC padrão. Portanto, havia uma regra em que todo o tráfego era permitido para Forum todas as instâncias atribuídas ao mesmo security group. Mas sim, hum, atualmente não tenho certeza de qual é a melhor prática aqui. Algumas pessoas usam isso e outras não. Acho que é muito, muito próximo da dependência****, porque, por exemplo, se você criar um security group base e criar outro security group. E outro security group está relacionado a esse security group base. E então você decide, eu quero excluir esse grupo de crítica básica. Você não pode excluir isso basicamente o grupo antes do outro security group. Não é necessária toda a regra atribuída ao security group não é excluída. E se você fizer isso para muitas instâncias com muitos grupos de segurança, então sim, você está na colina de dependência. É por isso que eu, da minha pessoa com alguns, sugiro apenas, por exemplo, criar um security group que permita tráfego SSH, por exemplo, de, de qualquer lugar ou da VPC, de todos os endereços IP dentro da sub-rede VPC. E então você pode simplesmente atribuir esse security group também à máquina EC2. E então você cria outro, por exemplo, para a porta Postgres 5432. E, em seguida, você pode atribuir isso também a todas as máquinas do EC2 que têm a instância do Postgres em execução. Por exemplo. Eu acho que essa é a melhor abordagem, mas me avise se você tem uma opinião sobre isso e deixe-a nos comentários. 32. Firewall de rede: Para ser consistente, quero mencionar muito em breve nesta lição o firewall de rede. Firewall de rede é o estado que fará, e basicamente ele pode filtrar o tráfego em uma VPC, por exemplo, tráfego de ou de um gateway da Internet ou não gateway ou MPN acabou. E usa o sistema de prevenção de intrusões de código aberto, IPS, com um nome. Então clique hada. Basicamente, você pode imaginar como se fosse inteligente por uma parede que pode evitar alguns tipos de ataques. E é uma segunda ou terceira camada, uma terceira camada de segurança. Mas, do meu ponto de vista, se você fizer isso certo com todas as coisas que aprendemos antes com uma lista de controle de acesso à rede com os security groups. E se você estruturar sua VPC com sub-redes privadas e sub-redes públicas e metade todas as instâncias importantes apenas em sua sub-rede privada e apenas algumas conexões com o mundo inteiro sobre o porquê sua sub-rede pública. Então isso também é muito seguro, então você não precisa desse firewall de rede. Em seguida, ele também vem com custos adicionais sobre a AWS oferece aqui para você outra camada de segurança. E do meu ponto de vista, você pode considerar dois neste firewall de rede. Então, no final, se você tiver o requisito real para isso, eu só queria mencionar que esse firewall de rede existe aqui. Quando vamos para o console e para o serviço VPC aqui. Em seguida, você pode encontrar o firewall de rede também aqui e, em seguida, o firewall de rede. Mas não temos excesso aqui atualmente com nosso usuário do IAM porque não queríamos criar aqui e a vida do firewall de rede. Eu só queria mencionar que firewalls de rede também existem aqui no console da VPC. 33. AWS VPC — registros de fluxo: Neste capítulo, queremos falar sobre monitoramento. monitoramento do meu ponto de vista também está intimamente relacionado à segurança do tópico. Porque se você não pode monitorar ou se você não sabe o que acontece em sua VPC, em sua sub-rede , também é difícil fazer alguma equipe de segurança, eles são muito importantes aqui pois o monitoramento é o serviço, os chamados blocos de fluxo de serviço. E o que nossos registros de fluxo. Você pode ver essa pequena imagem aqui, então ela moverá minha foto. Fechaduras de fluxo. Pode bloquear todo o tráfego de entrada e saída em sua VPC. Então, basicamente, ele é baseado no tráfego que é, que vem de ou de uma interface de rede. E isso é aqui, a interface de rede elástica. E tal. Uma interface de rede elástica é basicamente, você pode imaginar como placa de rede em seu computador de hardware, então toda vez que a AWS atribui um endereço IP à sua máquina EC2, há um interface de rede elástica envolvida. Este é o software equivalente à sua placa de rede. Os registros de fluxo podem ajudá-lo a diagnosticar e monitorar o tráfego. E o que também é importante saber aqui que é como um serviço separado e não afeta a largura de banda na latência do tráfego. Então é como, como um observador. Oops, desculpe. Você pode criar logs de fluxo para todo o EPC, para sub-redes ou até mesmo para interfaces de rede individuais. Portanto, para interfaces de rede elástica individuais, também importante saber, os logs de fluxo não agem em tempo real, então há um pouco de atraso e onde você pode armazenar seus logs de fluxo. Existem duas possibilidades. Um é três, então você pode definir um bucket do S3 onde os logs de fluxo podem ser armazenados ou enviá-los para o CloudWatch. E queremos fazer isso com o CloudWatch. Então, passaremos para a nossa parte prática. Para o console. Mais uma vez. Vou mover minha foto para cá novamente. E agora podemos ir aqui duas sub-redes para desmarcar a sub 1 Praat. E isso é muito importante porque queremos absorver e o tráfego para nossa máquina EC2 pública. E nossa máquina EC2 pública obviamente é colocada em nosso produto sub-rede. E então eu posso ir aqui para logs de fluxo. E eu já criei um, então vou excluir este rapidamente. E então você pode ir aqui para criar o log de fluxo. Como você pode ver aqui, existem muitas opções. Um deles é o campo que queremos aplicar. Você pode decidir, por exemplo, que você só quer rastrear todo o tráfego que foi aceito. Ou você pode rastrear todo o tráfego que foi rejeitado ou filtrar apenas todo o tráfego. Nesse caso, queremos usar apenas todos os filtros e queremos usar aqui a agregação de um minuto e a parede. E então aqui podemos decidir qual data lake queremos usar o CloudWatch ou esse pacote. No nosso caso, queremos usar o CloudWatch uma solução. E, portanto, como você pode ver aqui, precisamos de um grupo de bloqueio de destino onde possamos escrever ou onde possamos empurrar nossos logs de fluxo. E precisamos, é claro, também de uma função do IAM porque agora esse serviço de log de fluxo atua como um usuário, como um usuário. Portanto, o serviço em si precisa das permissões para enviar os logs de fluxo em nosso grande grupo em um fluxo de bloqueio. É por isso que primeiro, temos que criar esse grupo de logs e também precisamos criar essa função do IAM aqui. É por isso que procuro aqui o CloudWatch. Vá para o serviço CloudWatch e, em seguida, para bloquear grupos. E eu crio aqui um novo grupo de registros. Vou chamá-lo de sub-rede um, fechaduras baixas. E sim, vou atribuir aqui um período de retenção de sete dias. Você não pode fazer isso, mas para você, não é realmente necessário. Isso significa apenas que ele armazena os bloqueios dos últimos sete dias e depois exclui todos os bloqueios com mais de sete dias. Sim. Então eu posso criar aqui esse grupo de logs. E então terminamos nossa primeira parte. Então. Posso ir para o serviço do IAM e, em seguida, temos que criar uma política e a função que podemos atribuí-los no final ao serviço de log de fluxo. E, portanto, eu edito aqui para você nos slides, no URL, para que você possa simplesmente copiá-lo, copiá-lo e colá-lo no seu navegador. Então você vem aqui para este site, publicou logs de fluxo para os logs do CloudWatch. Então precisamos aqui desta política do IAM. Essa política do IAM significa que é uma política que permite que todos os recursos criem grandes grupos, criem um fluxo de log e também coloquem eventos de bloqueio nos fluxos. Isso é o que queremos fazer. Então, copiamos este aqui. Volte para o console de gerenciamento e criaremos uma política. Primeiro. Crie essa política. Então escolha aqui Jason e nós, então podemos colar nossas coisas JSON aqui nos próximos dois textos. Não vou adicionar nenhuma tecnologia por enquanto. Próxima revisão e, em seguida, podemos dar um nome a ele. Então, por exemplo, bloqueios de fluxo de produtos, crie a política. Então leva um pouco de tempo. E, como você pode ver aqui, a política orgulhosa Flow Logs foi criada. Agora, se você se lembrar, precisamos da função do IAM para que possamos atribuir aos nossos logs de fluxo. Então, criamos aqui uma função, criamos a linha. Em seguida, escolhemos aqui a política de confiança personalizada. Volte para a documentação da AWS aqui e, em seguida, podemos copiar a segunda declaração. Vá até aqui e então eu posso colá-lo. E o que isso significa aqui? Isso significa apenas que atribuímos à função que somente o serviço VPC Flow Logs pode usar essa função. Essa é apenas outra restrição de segurança. E posso clicar aqui em Avançar. Em seguida, posso adicionar as políticas e só precisamos da nossa política de logs de fluxo de prot criada. Então, vou selecioná-lo aqui. Então eu posso ir para o próximo botão. E eu também dou um nome, trouxe papel de blocos baixos. Então eu posso criar esse papel aqui. Agora, a função prot Flow Logs foi criada com sucesso. Podemos usar essa linha agora. Bom. Então, podemos voltar ao nosso Serviço VPC. Este é este aqui, ângulo BAC duas sub-redes e, em seguida, selecionamos a sub-rede aqui e, em seguida, logs de fluxo. Crie um log de fluxo. E agora podemos nomeá-lo, por exemplo, sub-rede um, um golpe ou toda agregação no CloudWatch Logs de um minuto. E então eu posso escolher aqui agora são produtos criados em um registro de fluxo. Grupo de bloqueio. E posso escolher a função de bloqueios de fluxo de gráfico de função do IAM. Isso significa que agora os logs de fluxo de serviço têm o fio x, essa função do IAM para criar fluxos fox no grupo de logs para colocar também os eventos de log nesse fluxo de log. Em seguida, a última seleção aqui é que você pode decidir se deseja ter o formato padrão da AWS para os fluxos de blocos ou o formato personalizado. Sim, no final é apenas uma fórmula personalizada que você pode usar. Mas, por enquanto rápido, o formato padrão da AWS está bem. Em seguida, podemos adicionar tecnologia. E por que estou orgulhoso? Posso criar o prólogo. E, como você pode ver aqui, temos nosso log de fluxo criado com sucesso. Ele tem um ID. O filtro é tudo. O Cloudwatch Logs é o tipo de destino. E aqui você também pode ver o destino, que é o grupo CloudWatch Log. Então podemos empurrar algum tráfego para nossa sub-rede. E isso queremos fazer com a ajuda de nossas orgulhosas máquinas EC2. É por isso que volto para o console do EC2. Então eu posso copiar aqui nosso endereço IP público, este. E então eu posso voltar para o terminal e fazer o comando SH do meu arquivo PEM do cliente. E não faremos esse endereço IP. E como você pode ver aqui, não funciona. Por que isso não funciona? Porque temos que adicionar novamente a regra SSH no security group. Se você se lembra, nós o excluímos. O final da seção security group. Aqui não há regra a ser exibida. E é por isso que temos que ir novamente aqui para a sub-rede orgulhosa do grupo de segurança. Vou para Editar regra de entrada e, em seguida, temos que adicionar novamente esta regra SSH de todos os lugares a descrição é h. E salve esta regra. Agora podemos voltar para o terminal. Vou interrompê-lo aqui novamente. E então aqui vamos nós. Estamos na máquina EC2 e posso fazer duas ou três vezes você faz login apenas para criar algum tráfego. Sim, é assim que funciona. E agora podemos voltar novamente ao nosso serviço VPC. E algo que é novamente ampla sub-rede é este aqui, logs de fluxo e, em seguida, podemos ir ao serviço CloudWatch para o grupo de logs. E, como você pode ver aqui, já temos um fluxo de log que foi criado automaticamente por qualquer um dos serviços de logs de fluxo. Eu posso ir aqui e como você pode ver aqui, temos algum tráfego. Acho que esse endereço IP começando com 79 atualmente é meu endereço IP. E é assim que funciona. Claro. Agora você pode ir e dizer, eu quero criar algumas métricas aqui no CloudWatch. E se ocorrer um evento especial, então eu quero fazer muito alarme. Mas sim, este é novamente um tópico inteiro, todo o material do CloudWatch. Talvez eu também crie um curso separado para isso. Mas acho que por enquanto isso é suficiente porque esse é o conhecimento básico. E sim, é isso para a seção Flow Logs. O que esqueci de dizer é que se você estiver pronto, poderá excluir seus logs de fluxo e seu grupo do CloudWatch Log e até mesmo sua função do IAM na política que criamos. Mas apenas os Flow Logs custam dinheiro adicional. Tudo bem se você deixar sua função do IAM lá. 34. Pontos terminais de interface: Agora queremos falar sobre o tópico de conectividade e, especialmente neste caso, aqui sobre endpoints de VPC. Quais são os nossos endpoints de VPC no final, eles resolvem o seguinte problema. Então imagine que você tem sua máquina EC2 em sua sub-rede privada. E a sub-rede privada não tem gateway NAT ou conexão com o gateway da Internet por meio desse gateway NAT. Mas você precisa, por exemplo, em suas máquinas EC2 alguns dados do S3. E se você se lembrar certo, eu disse no início deste curso que existem alguns serviços globais da AWS que são mantidos em VPCs diferentes e você não pode decidir que colocou esse intervalo de três, por exemplo, em sua VPC privada. Portanto, é apenas uma referência a outro namespace no lado da AWS. Exatamente por esse motivo, temos que usar endpoints da VPC. Nesse caso, queremos nos conectar de nossa máquina EC2, que é privada, a outra VPC, que é mantida pela AWS. E não queremos usar a web mundial para isso. Isso é importante. Se quisermos fazer isso aqui com a máquina EC2 pública, isso não é um problema porque a máquina EC2 pública pode x's, por exemplo, que tem três endpoints através da World Wide Web. Portanto, não precisa de túnel privado para isso. Mas é claro que é melhor rotear seu tráfego dentro da AWS, dentro da Nuvem AWS porque é muito mais seguro. Obviamente. Acho que é. Ele também reduz os custos porque o tráfego não está fora da VPC ou da Nuvem AWS, ele permanece na própria nuvem. O primeiro tópico são os endpoints da interface. E os endpoints da interface. Esse é um tipo de endpoints que você pode configurar aqui na Nuvem AWS. E há dois endpoints mais importantes. Um é o endpoint da interface e outro é o gateway. O endpoint do gateway, que vem depois. Então, qual é o endpoint da interface? Ao criar um endpoint de interface, você basicamente cria uma interface de rede elástica. E isso é mantido por um serviço da AWS, que é chamado de link privado da AWS. Mas sim, você não precisa se preocupar com isso. Você pode apenas sim. Eu só queria mencionar que ele é chamado de link privado da AWS. Mas esse serviço cria para você sob o capô e a interface de rede elástica. E essa interface de rede elástica que você pode usar depois para fornecer essa conexão de sua sub-rede privada para os serviços globais como um três ou SQS ou algo parecido. E, claro, porque adicionamos aqui um hardware adicional, neste caso, essa interface de rede elástica. Existem algumas taxas adicionais para isso e você pode verificá-las aqui abaixo deste link. Quanto custará para você. Queremos criar agora esse endpoint de interface e queremos nos conectar da nossa máquina EC2 privada ao serviço S3. No nosso caso, só queremos listar os buckets do S3. E especialmente no meu caso, não tenho nenhum balde S3 na Irlanda. Então é por isso que eu espero uma lista vazia. Sim, eu mudo para o painel da VPC aqui e vou para sub-redes. A primeira coisa que podemos nos verificar, selecionamos o Praat SAP para sub-rede. Então eu vou colocar na tabela de rotas aqui. E como você pode ver aqui, temos nossa rota local e ainda temos a rota do gateway NAT aqui, porque isso não foi excluído automaticamente. Então eu posso ir aqui para editar a rota e a tabela de rotas. Não, isso é relacionável, desculpe, desculpe. Tenho que selecionar aqui esta tabela de rotas em si. Em seguida, rotas e, em seguida, aqui ele percorre. E como você pode ver aqui, este é um buraco negro porque esse gateway NAT não existe mais. Então eu posso ir aqui para Editar e depois eu. Você pode simplesmente remover esta linha aqui. Isso significa que, no nosso caso, agora não temos acesso à Internet. Apenas os recursos, apenas as outras instâncias do EC2 que estão na mesma sub-rede e a mesma VPC podem alcançar essa máquina EC2. Agora, queremos nos conectar novamente através do melhor fio do seu host, a máquina EC2 separada e nossa sub-rede pública à nossa máquina privada. É por isso que eu vou para o serviço EC2. Primeiro tenho que iniciar a segunda máquina EC2 aqui. Então, vou aqui para o estado da instância e inicio a instância. Em seguida, demora um pouco até que o estado da instância aqui esteja em execução. Mas, enquanto isso, podemos preparar o comando para túnel de nossas portas. Então você pode voltar ao slide onde eu apresentei a você o melhor e o conceito de anfitrião. E você pode simplesmente copiar esse comando novamente. Vou para o terminal e depois copiarei exatamente esse comando, colarei aqui. Agora temos que preencher aqui novamente nossos endereços IP. O primeiro é o IP do recurso privado. Portanto, este é o da nossa instância privada. Este é este aqui, o EC2 para máquina. E eu posso simplesmente copiar aqui o endereço IP privado versão quatro. Copie, volte para o terminal, cole-o aqui e, em seguida, precisamos apenas do IP do host bastion. Portanto, a API, o IP público da nossa orgulhosa instância do EC2 one, esta é esta aqui. Posso clicar aqui e copiar o endereço IP público versão quatro. Sim. E então, é claro, precisamos do nosso arquivo PEM. É assim que funciona aqui. E então eu posso me conectar à minha instância. Sim. Então, agora estamos em nosso host bastion e encapsulamos a porta 2220 para ser encapsulada a parte 22 de nossa instância privada para a porta 2322 em nossa máquina local. E agora temos que nos conectar à instância privada. E é por isso que eu vou aqui. Então eu uso novamente ou arquivo PEM. Em seguida, eu me conecto a querer ao host local. E o porto é obviamente a parte 2 mil. Sim. Agora posso clicar aqui em Aceitar. E como você pode ver, não funciona. E agora você pode parar o vídeo e pensar sobre por que ele não funciona. Então, como pequena dica, existem algumas possibilidades por que isso não funciona. Por exemplo, todo o material de segurança. Portanto, as listas de controle de acesso ou security groups, ou também a configuração de sub-rede na própria configuração da VPC. A razão pela qual ele não funciona é quando voltamos aqui para a máquina EC2. Então, para a nossa, para a primeira máquina, desculpe. Lá vamos aqui para o EC2, uma máquina aqui, segurança. E, como você pode ver aqui, temos apenas uma regra de entrada que permite o acesso SSH. Mas o que queremos fazer agora é que já estamos na melhor casa de diversão. Já estamos nesta máquina aqui. E queremos ter tráfego de saída porque nós fazemos a solicitação SSH para a máquina EC2. Portanto, este é o tráfego de saída desta máquina EC2, da máquina EC2 1 para a máquina EC2. E é por isso que precisamos aqui das regras de saída. Este é um bom caso de uso aqui para explicar por que precisamos na seção security group também regras de saída. Portanto, se solicitarmos da World Wide Web esta máquina EC2, então a regra de entrada aqui é suficiente. Mas quando vamos mais longe, queremos fazer a solicitação do melhor host para outra máquina EC2 ou para outro alvo, então temos que usar as regras de saída. É por isso que eu seleciono o security group aqui. E então eu vou para Editar regras de entrada, não, regra de entrada, desculpe. Regras de saída, é claro, editam regras de saída e, em seguida posso selecionar aqui é este H e de todos os lugares e talvez trouxe descrição SSH e seguro a sala. Agora isso deve funcionar. Então. Posso tentar novamente. E agora sabemos que recebemos um pequeno erro de impressão digital. Então, ajudei a ir para minha pasta SSH e, em seguida, ela pode dar uma olhada no meu arquivo hosts conhecido. E acho que há uma entrada aqui, é anfitrião local. Vou excluir este. E depois voltarei aos downloads. Então eu vou disparar novamente esse comando aqui. E agora ele deve funcionar. Agora estamos em nossa máquina. Qual é a próxima coisa que temos que fazer? Queremos instalar a AWS CLI nesta máquina. E por que queremos fazer isso. Se você se lembrar, queremos nos conectar a um três e queremos nos conectar ao SQL por meio de endpoints. Então, por que somos endpoints EPC? E existem várias possibilidades de fazer isso. Você pode, por exemplo, pesquisar os endpoints da API e, em seguida, você pode simplesmente executar os comandos curl post, por exemplo, ou cortar ou obter comandos. E apenas, sim, faça a solicitação para os endpoints da API. Mas sim, do meu ponto de vista, é muito mais fácil de usar, apenas a AWS CLI e a AWS CLI I sob o capô também usam os pontos finais da API. Sim, é por isso que eu quero instalar aqui nesta máquina também a AWS CLI e já fizemos isso em nossa máquina local, então pode não ser problema. Primeiro de tudo, quero atualizar minha máquina. E como você pode ver aqui agora, a atualização não funciona. Mais uma vez. Você pode parar o vídeo e pensar sobre isso. Por que esse aplicativo para atualizar não funciona. Eu interrompi aqui. Isso agora é um problema de rede porque em nossa tabela antiga há apenas uma regra. E apenas o tráfego dentro da minha sub-rede, dentro da minha VPC, é permitido aqui. Portanto, não há conexão com a Internet porque excluímos também nosso gateway NAT. Portanto, a melhor maneira ou a maneira mais segura agora aqui será criar o gateway NAT novamente e, em seguida, criar a regra da tabela de rotas novamente. Em seguida, podemos atualizar e instalar a CLI. E então podemos excluir a regra e a tabela de rotas. E, em seguida, podemos excluir também o gateway NAT e também o Elastic IP, que é criado com o gateway NAT. Mas isso é muito complicado para mim agora porque eu só quero demonstrar a você como funciona. E é por isso que escolho a maneira mais fácil. E qual é a maneira mais fácil? A maneira mais fácil é ir ao serviço VPC novamente. E eu seleciono a sub-rede e o processo até aqui. E então acabei de fazer a tabela de rotas, e eu só uso aqui para a tabela de rotas principal. E com isso aqui, eu mudo a sub-rede privada de volta para a sub-rede pública. Como você pode ver aqui, temos novamente esta tabela de rotas do gateway da Internet, aqui, esta regra. E é por isso que temos acesso à Internet. Posso voltar e depois posso fazer com a atualização aqui. E agora funciona. Isso é bom. E então eu posso, se isso estiver pronto aqui, posso instalar a AWS CLI. Muito este comando aqui, sudo apt instale a AWS CLI. Então, vou instalá-lo, sim. E então temos que esperar um pouco. E quando esse processo de instalação aqui estiver concluído, podemos alternar a tabela de rotas novamente. Então isso foi intimidado aqui, apenas para instalar a AWS CLI. Agora está terminado. Vou voltar aqui e depois atribuirei novamente o seguro privado, a tabela de rotas privada. E quando eu faço agora novamente uma atualização, ela não funciona. Então agora está novamente no modo privado. Sim. E agora há outro conceito, como podemos levar x's para nossos recursos da AWS. E se você se lembrar, estabelecemos nossas credenciais quando as instalamos em nossa máquina local. Criamos lá a chave de acesso e a chave secreta da AWS. Então, fizemos isso que a AWS configurou quando instalamos a AWS CLI em nossa máquina local. Essa é uma abordagem que você pode fazer. Mas a melhor maneira é atribuir à sua máquina EC2 e à função do IAM. Essa função do IAM oferece à máquina EC2, as permissões para se conectar como três ou dois SQS ou qualquer outra coisa. Essa é a melhor maneira. E é por isso que criaremos agora uma função do IAM para isso. Se você não estiver familiarizado com eu estou. Isso é a mesma coisa. Também seguimos os registros de fluxo. O Flow Logs também foi um serviço e precisamos anexar uma política do IAM para que os logs de fluxo possam enviar os fluxos de log para o CloudWatch. Então isso é apenas uma coisa de permissão. Portanto, vou aqui para o item. Então eu digo aqui, quero ir para o item. Quero criar aqui uma função. É por isso que posso criar aqui linha. E usamos o serviço da AWS aqui. Não precisamos usar, neste caso, a política de confiança personalizada porque a AWS já se preparou para você aqui. Os casos de uso comuns e um caso de uso muito, muito comum como EC2. É por isso que podemos selecioná-lo aqui com uma caixa de rádio. Em seguida, clico aqui em Avançar. E então eu tenho que anexar as permissões por meio das políticas aqui. E eu apenas procuro aqui três e anexo acesso total do Amazon S3. E então eu pesquiso novamente, ou SQS. Em seguida, seleciono toda a política de acesso total do Amazon SQS. Em seguida, clico em Avançar. E então eu quero dar um nome, neste caso, orgulhoso EC2, T2 porque queremos atribuir essa política à segunda máquina EC2. E, como você pode ver aqui, AWS edita automaticamente aqui essa entidade confiável, o EC2. E agora posso clicar em Criar função e criar a função. E foi bem-sucedido. Agora podemos usar essa função do IAM aqui. É por isso que podemos voltar para a máquina EC2. E então podemos atribuir a esta máquina EC2 aqui eu clico aqui. E ações e segurança modificam a função do IAM. E então eu posso atribuir aqui isso trouxe EC2 para a função do IAM e salvar. Agora conseguimos que nossa AWS CLI, que o envolvente desta máquina EC2 privada tem as permissões para acessar S3 e SQS. Portanto, essa é outra abordagem além de fazer, que é com credenciais planas, como a chave de acesso e a chave secreta em excesso. Sim. Volto aqui para o terminal. E agora eu quero tentar, por exemplo, solicitar aqui as listas do SQS. Então, em outras palavras, eu só quero receber uma lista cujas filas SQS existem atualmente na minha região. Tenho que mudar aqui para desperdiçar um. Tenho que selecionar uma região aqui. Posso executar esse comando e, como você pode ver aqui, ele não funciona. E sim, isso não é surpresa porque só temos a rota única, a regra da rota Signal lá, que significa que apenas os recursos em nossa sub-rede privada na VPC podem alcançar uns aos outros e não há acesso à Internet atualmente. Agora queremos criar o endpoint da interface. E, portanto, vamos novamente aqui para a VPC, selecionamos o serviço VPC e vamos aqui dois endpoints. Agora podemos criar um endpoint, nomearemos o endpoint SQS orgulhoso por enquanto e o serviço da AWS, ele é. E então eu posso procurar aqui o SQS. E eu seleciono o nome do serviço. Você era apenas um SQS. Então eu posso clicar aqui nesta caixa de rádio. E como você pode ver aqui, é um tipo de interface. Então eu tenho que selecionar a VPC. Então eu só uso todos os security groups disponíveis e dou a esse endpoint x's completos para que não haja mais restrições. E então eu também posso adicionar novamente o carrapato e o fio significados. E então eu posso criar esse endpoint. Como você pode ver aqui, não funciona porque nossa VPC não está preparada. O Ippc precisa habilitar o suporte a DNS e também o nome de host DNS. Então é por isso que temos que voltar. Então eu percorro aqui e depois vou para a VPC. Selecione nossas ações de gráfico uma VPC e edite nomes de host DNS. Aqui você pode ver que isso está desativado, esta caixa de seleção, então eu tenho que ativá-lo e salvar as alterações. E então eu posso voltar novamente dois endpoints e fazer a mesma coisa novamente. serviços SQS e AWS tão amplos e, em seguida, caixa de rádio SQS verificam uma fraude. Então aqui as sub-redes. Oh, nós esquecemos da última vez isso , então é claro que você tem que selecionar a sub-rede certa aqui. Então eu clico aqui na uma, uma zona de disponibilidade. E então, é claro, ajudei a selecionar a subrede para sub-rede porque nossa instância privada, que tem que estar fora, queremos ter acesso ao S3 ou SQS. Ele é colocado em nossa sub-rede subduas. É por isso que temos que selecioná-lo aqui. E, novamente, usarei todos os grupos de segurança que estão disponíveis full x's, novamente, Wyman tech. E agora ele deve funcionar. Espero que sim. Agora ele foi criado com sucesso VPC endpoint. E como você pode ver aqui agora, o status está pendente. Então, demora um pouco até que isso esteja pronto. E o que acontece agora sob o capô e outro capô, AWS Private Link cria para você a interface de rede elástica. Então, quando chegamos aqui, você pode vê-lo já criado e, a menos que uma interface de rede grossa. Então, podemos clicar aqui. E então chegamos ao console do EC2 novamente. E, obviamente, você pode ver aqui que há outra interface de rede asteca separada. Quando eu excluo esta foto aqui, você pode ver que agora temos três dessas interfaces. Como eu já disse, quando você cria uma máquina EC2, e a interface de rede elástica é criada automaticamente porque, de outra forma, a máquina EC2 não pode, não pode ter alguns endereços IP, o endereços IP privados e públicos. Portanto, esta é a interface de rede para as máquinas EC2. E então temos aqui o terceiro, nossa interface de endpoint VPC. Também podemos manter aqui a descrição e há uma interface de endpoint da VPC. Isso é o que acontece sob o capô. Sim, Private Link e igreja, em seguida, a conexão da conexão privada da nossa sub-rede privada aos serviços da AWS, aos serviços globais conectam essa interface de rede elástica. Podemos voltar aqui e atualizar e talvez não, ainda está pendente, então temos que esperar um pouco até que este aqui esteja pronto. Sim. Agora, como você pode ver aqui, o status está disponível. Assim, podemos tentar usar nosso novo endpoint VPC criado e recém-criado. E vou mudar de volta sim ou não. Posso executar esse comando novamente. E agora recebi uma lista vazia. A resposta está vazia. Para garantir que ele realmente funcione, não posso voltar ao console e em seguida, escolher o serviço SQS. Então, o Simple Queue Service, por exemplo, e crie uma nova fila. E eu só queria nomear, testar e tudo mais. Eu saio como está. Em seguida, crio a fila. Agora, quando olho aqui na minha lista, tenho apenas um teste Q. E então isso pode voltar aqui. E, às vezes, demora um pouco até que esteja disponível aqui. Podemos ser executados novamente. E como você pode ver aqui agora, temos fila SQS. Acabamos de chamar teste em nossa lista aqui. Portanto, a conexão funciona. Se não funcionar, é altamente provável que você tenha instalado e a versão da AWS CLI bond. E isso pode acontecer se você estiver se perguntando que a versão tem o pacote de aplicativos incluído para a versão da AWS CLI, um ponto X. Mas, como você pode ver aqui neste pequeno tutorial, enviando uma mensagem para um Amazon SQS fila da Amazon VPC. Existem alguns endpoints legados e os endpoints legados do ligante são, por exemplo, q dot amazon AWS.com ou Leste dos EUA para a região ponto Q dot amazon AWS.com. E a versão, a versão do AWS CLI um ponto X implementa esses endpoints legados para que ele não possa alcançar o novo ponto final que está aqui neste formato, ponto SQS e depois região e, em seguida, ponto amazon AWS.com. Precisamos do resumo da história longa, precisamos da AWS CLI versão dois ponto x. Se esse comando não funcionar para você, se você não puder ver sua lista SQS, então você pode simplesmente fazê-lo. Por exemplo, AWS dash, versão dash. Você pode ver sua versão da AWS CLI. E se houver um número abaixo de dois, então essa é a razão pela qual ele não funciona. O que você pode fazer? Você pode simplesmente ir novamente para este tutorial da AWS Command Line Interface aqui, onde a AWS explica como você pode instalar uma atualização da versão da AWS CLI. E eles recomendam primeiro desinstalar a versão antiga. Porque, de outra forma, ele não pode distinguir entre qual versão você deseja executar e muito provavelmente executará a primeira versão instalada. E esta é novamente a versão de um ponto X. Talvez seja uma boa ideia instalá-lo ou desinstalá-lo primeiro e, em seguida, instalar a nova CLI da AWS, eu gostaria de entrar aqui. E você pode simplesmente copiar esses três comandos. Basta enrolar este arquivo zip e você tem que descompactá-lo. E então você pode instalá-lo via sudo. E, em seguida, sua AWS instala um comando aqui. Então ele deve funcionar. Como esta nova AWS aqui, eu gostaria, como já disse, ter implementado o novo formato de URL aqui. 35. Pontos terminais do Gateway: Agora queremos falar sobre os endpoints do Gateway. Os endpoints do Gateway. Quando falamos sobre os endpoints do Gateway, falamos sobre a criação de apenas algumas rotas em uma tabela de rotas. Portanto, não haverá requisitos de hardware adicionais. Não precisamos. Em algumas interfaces de rede Aztec, queremos apenas criar uma entrada de tabela de rotas. E esse tipo de endpoint de gateway está atualmente disponível apenas para o serviço da AWS e para o serviço AWS DynamoDB. Porque é apenas uma regra e a tabela de rotas. Ele não tem custos adicionais. Portanto, este é um serviço gratuito da AWS, mas apenas um wavetable encaminha isso para serviços a três e o DynamoDB. E agora queremos estabelecê-lo. Praticamente. Voltamos para nossos endpoints de console VPC e agora criamos outro tipo. Criamos o endpoint do gateway. Então, vamos chamar isso. Aqui, são três. E então eu posso procurar por S3 neste caso. E vamos pegar o primeiro, apenas o simples serviço S3 aqui. Como você pode ver aqui, para o S3, existem os dois tipos de endpoint disponíveis. Interface de gateway. E, no nosso caso, queremos usar a interface do gateway porque isso é sem taxas e histórico adicionais. melhor maneira aqui para ir para nós. E então selecionarei a sub-rede Praat one, o problema VPC, desculpe, então eu tenho que atribuí-la à tabela de rotas correta. Portanto, isso aqui significa essa seleção que AWS adicionará à tabela de rotas privada. Esta entrada. Novamente também Fool x's e quero criar também o prot Reimann. Então vou aqui para criar o endpoint. E como você pode ver aqui está. É um nível amplo agora, então somos muito rápidos. É por isso que laranjas, porque apenas adicionamos essa entrada de regra de tabela de rotas. Agora podemos tentar como isso funciona. Então voltamos para o terminal e, em seguida, podemos usar um comando como este aqui. Mais uma vez, ainda estamos em nossa máquina EC2 privada aqui. Eu não saí. Então eu só uso a mesma sessão aqui. Podemos nos conectar ao S3 com este comando aqui, AWS ou três RP e bolsos de lista. Isso vem apenas da documentação da AWS, da documentação. E então temos que adicionar novamente também a região, que é no nosso caso uma pior. E então eu clico em Enter aqui. E então podemos ver que há uma lista vazia de pacotes S3 nesta região II devido a oeste. É assim que funciona e agora podemos voltar para garantir que ele seja realmente esse endpoint. Em seguida, podemos excluir esse endpoint novamente. Vou excluir perfeitamente. Podemos voltar aqui para o terminal e executados novamente. E como você pode ver aqui, não funciona. Então, foi realmente esse ponto de extremidade do EPC Gateway que nos permitiu essa conexão. Isso é relativamente fácil como funciona, eu sim, e esqueci de mostrar como funciona na tabela de rotas. Quando formos aqui para a ampla tabela de rotas privada, selecione esta aqui. Atualmente, não temos rota aqui até o fim de semana. No ponto final, novamente, criarei esse endpoint novamente. S3 e S3, esse problema, gateway, VPC. Esta tabela de rotas. Crie esse endpoint. Quando eu voltar aqui para selecionar a tabela de rotas. Então podemos ver aqui a outra entrada, este é um três endpoints. Assim, podemos ir aqui para, por exemplo, para o destino PL seis e assim por diante. E, em seguida, nome da lista de prefixos aqui. E esse é exatamente o serviço S3. Então, é assim que funciona no final. Então, agora podemos excluir novamente. Esse endpoint do S3 aqui muda para lê-lo, e então é assim que ele funciona. Se você ainda não excluiu seu endpoint SQS amplo, poderá fazê-lo também. Não. 36. Peering de AWS VPC: Sim, agora estamos prontos com nossa parte prática na, eu só queria mencionar algumas coisas mais sofisticadas e avançadas de conectividade que você talvez precise saber se quiser fazer, especialmente o arquiteto de soluções da AWS exame associado. Mas sim, isso não são perguntas tão comuns. Mas eu só queria mencioná-lo aqui. O primeiro é o chamado peering WPC. E quando você faz peering de VPC, você basicamente conecta VPCs diferentes entre si. Portanto, quando você faz isso, não há nenhum recurso de hardware adicional necessário. Você pode fazê-lo apenas por uma tabela de rotas SU, como também o fazemos para os endpoints do Gateway, se você se lembrar. O que é importante saber aqui é que você não pode fazer algo como topologia estelar. Portanto, não há nada como hub central. Se você tiver várias VPCs, por exemplo, três ou quatro ou cinco, e cada VPC precisa ter x's entre si. Então você precisa conectar todas as VPC a todas as outras VPC. Portanto, não há hub central. Você precisa conectá-lo manualmente. No final, você tem várias conexões lá. Se você quiser ler mais sobre peering de VPC, você pode fazê-lo. Eu criei aqui, edito aqui este link. Se você quiser criar um peering de VPC, você também pode fazê-lo. Você pode simplesmente alternar para o console da VPC. Depois, há peering da Seção VPC. E então você pode decidir qual é a fonte mais rica, VPC, que é uma VPC direcionada, e depois conectá-la. E então você só precisa permitir essa conexão porque às vezes é o caso a outra VPC estar em outra conta da AWS e, em seguida, a outra conta da AWS precisa permitir essa conexão. É por isso que há uma etapa de segurança adicional. Essa é a coisa sobre peering de VPC. 37. Gateway de trânsito de AWS VPC: Sim, e outro recurso muito interessante são tendências da VPC no Gateway. Quando você cria um gateway de trânsito, esse é um recurso adicional real. Então você precisa criar um gateway. Não é como o peering de VPC, apenas uma entrada na tabela de rotas. É um recurso separado. O que você pode fazer com esse gateway de trânsito, você pode conectar suas VPCs, que já estão na Nuvem AWS. Você também pode conectar gateways VPN e conectar endpoints do AWS Direct Connect. E isso significa que, com a ajuda das tendências do Gateway, você pode conectar suas redes locais à Nuvem AWS. Além disso, esse gateway de trânsito é o chamado roteador transitivo, que significa que você pode criar com a ajuda do gateway de trânsito, chamadas topologias de hub e spoke. E isso agora é algo como uma topologia estelar. Se você não precisar estabelecer as conexões entre todas as VPCs, basta criar uma conexão de cada VPC para esse gateway de trânsito. E, claro, você também pode se conectar aos gateways VPN e às suas redes locais. Mas há apenas uma conexão de cada VPC com o gateway de trânsito necessária. E isso é tudo o que você precisa saber sobre tendências. Ele gateways. 38. Subrede VPN: Agora, por último, mas não menos importante, o BPM. E não há muito a dizer sobre esse tópico. Você pode simplesmente criar seu gateway VPN aqui em sua VPC e, em seguida, você pode estabelecer uma conexão VPN com seu cliente. Você também pode substituir esse gateway VPN por um gateway de trânsito. Como já aprendemos, você pode se conectar ao gateway de trânsito, VPCs e às conexões VPN e também às conexões do AWS Direct Connect. Essa também é uma abordagem para fazê-lo. Podemos simplesmente voltar para o nosso console VPC. E aqui nesta seção você pode encontrá-los. Seu Virtual Private Gateway, por exemplo, você pode iniciar um, se quiser, e então você pode criar uma conexão VPN site a site para suas redes locais, por exemplo. Sim, é assim que funciona e isso é tudo o que você precisa saber sobre todo esse tópico de conexão, especialmente se você quiser apenas fazer isso, AWS Solutions Architect, associado, exoma. E como eu já disse, se você quiser se aprofundar neste tópico, em toda essa conexão com o tópico de redes locais. Então, sim, você pode ler mais na documentação ou fazer outro curso avançado para fazer isso. 39. Conclusão: Infelizmente, este é o fim do nosso curso de VPC. Parabéns. Acho que você aprendeu muita coisa. Para resumi-lo, criamos sub-rede pública. Criamos uma sub-rede privada e colocamos algumas máquinas EC2 em cada uma das sub-redes. Em seguida, criamos acesso à Internet para a sub-rede pública, criamos também por que seu gateway NAT. Acesso à Internet de uma direção. E falamos sobre grupos de segurança e listas de controle de acesso à rede. Falamos sobre monitoramento e também algumas coisas de conexão avançadas. Sim, no final, é assim que você pode criar sua nuvem pronta para produção nativa, AWS, VPC. E espero que você tenha aprendido muitas coisas. Espero que você consiga saber suas próprias coisas na nuvem. Você pode brincar por aí e entender como o básico funciona. O que queremos fazer agora é que queremos passar novamente por todos os nossos recursos e queremos excluir todas as coisas que restam aqui. Primeiro, quero passar por esse painel da VPC novamente. E é claro que podemos ver aqui agora que temos duas instâncias em execução. Então, primeiro vou encerrar essas duas instâncias aqui, encerrá-las. Então temos dentro deste serviço EC2 aqui, acho que nada mais. Temos elástico cada. Nós já excluímos. Acho que é isso. Assim, podemos voltar para o console de gerenciamento da VPC e, em seguida, podemos acessar suas VPCs e, em seguida, podemos excluir a VPC Praat one. Portanto, exclua a VPC e ela não consegue fazê-lo. É por isso que temos que esperar até que a máquina EC2 esteja aqui embaixo porque há uma interface de rede elástica atribuída a esta máquina, e é por isso que ela copia excluída atualmente. Assim, podemos voltar para o painel do EC2. Agora os estados são encerrados, ambos. Então, podemos tentar novamente. Exclua a VPC, OK, agora ela funciona. Como você pode ver aqui. Excluímos agora também o gateway da Internet liderará a tabela de rotas e também as sub-redes e a ACL e um security group. Agora isso é excluído e temos apenas nossa VPC padrão aqui. E quando vamos para sub-redes, temos apenas o padrão ou as sub-redes da VPC padrão. Temos uma tabela de rotas, temos um gateway de Internet aqui. Nenhum endereço elástico aparece conhece pontos de extremidade mais. Não temos lacuna, nenhum gateway NAT. E acho que é isso. Grupos de segurança, apenas um security group e a ACL também é apenas uma ACL. Sim. Em seguida, podemos mudar para o que temos aqui que você vê para o Serviço VPC. Agora podemos dar uma olhada no serviço CloudWatch porque também criamos um grupo de logs, mas acho que já o excluímos. Sim, ele é excluído, então nada mais para fazer aqui. E então talvez você tenha criado também a fila SQS. Sim, isso ainda está aqui para que eu possa excluir esta fila SQS. Isso estava em nossa seção endpoint de interface. Se você se lembra. Naquela época, também podemos limpar um pouco nosso console IAM. Então eu acho que nosso, eu não sei. Não tenho certeza se já não precisei disso. Sim, eu já excluí. Mas talvez você tenha aqui sua função para a máquina EC2 porque atribuímos à máquina EC2 privada a função que ela possui, as permissões para se conectar ao S3, SQS em nossa seção VPC endpoints. Então, talvez você precise excluir sua função do IAM aqui. Acho que também não temos políticas criadas por nós sabemos. Sim, acho que é isso. Limpamos tudo e sim, é isso. Bem, agradecemos que você tenha feito este curso e espero que tenha ajudado muito. Especialmente se você quiser fazer isso AWS Solutions Architect, associar o XM, então você está bem preparado no sentido de todo o material de rede. Acho que esta é uma boa base para fazer isso. Sim, parabéns novamente. Talvez nos vejamos em outro curso e nos divertimos muito. Melhor grava seu filme.