AWS Network Services

Transcript

1. AWS Mrezni servisi – 1. Dio (VPC, Security groups, Network

   Access Control Lists)

2. Amazon Virtual Private Cloud (VPC) • Virtuelna mreza unutar AWS

   cloud-a • Korisnik ima kontrolu nad mrezom • Servis na nivou regije • Mogucnost kreiranja vise VPC-eva unutar jedne regije • Svaki VPC je logicki izolovan od drugo
3. None

4. Komponente VPC-a • Subnets • Route Tables • IP Addressing

   • Security Groups • Network Access Control Lists ACLs • Internet Gateway • Network Address Translation (NAT) Instances and NAT Gateways • Egress Only Internet Gateways (EIGWs) • Virtual Private Gateways, Customer Gateways, Virtual Private Networks (VPNs) • VPC Endpoints • VPC Peering • Placement Groups • Elastic Network Interfaces • Dynamic Host Configuration Protocol (DHCP) Option Sets • Amazon Domain Name Service (DNS) Server • VPC Flow Logs

5. Subnets (Podmreze) • Dio VPC-a unutar jedne AZ • Pripada

   opsegu adresa definisanih za VPC • Prve i posljednje 4 IP adrese unutar subneta rezervisane od strane AWS-a • Javni i privatni subneti
6. None

7. Javni (public) subnet • Resursi su dostupni sa interneta •

   Resursi imaju izlaz na internet • Tabela rutiranja sa rutom do Internet Gateway-a (igw) • Resursi imaju pridruzenu javnu IP adresu

8. Ruting table (Route Tables) • Svaki subnet unutar VPC posjeduje

   "implicit router" • Upravljanje rutiranjem uz pomoc ruting tabela • Svaki VPC posjeduje glavnu (main) ruting tabelu • Korisnicki kreirana ruting tabela moze biti oznacena kao "main"

9. IP adresiranje (IP Addressing) • IPv4 i IPv6 adresiranje •

   Javne i privatne adrese • Na nivou subnet-a se definise da li se resursima dodjeljuje javna IP • Automatski dodjeljena javna IP adresa nije fixna • Staticke javne IPv4 adrese – Elastic IP Addresses

10. Sigurnosne grupe (Security Groups) • Virtuelni firewall unutar AWS cloud-a

    • Na nivou instance • Kontrolisu ulazni i izlazni saobracaj • Mogucnost definisanja saobracaja kojeg zelite prihvatiti • Ne dozvoljava definisanje pravila za saobracaj koji zelite odbiti • Stateful

11. Network Access Control Lists (ACLs) • Dodatni nivo sigurnosti •

    Rade na nivou podmreze (subneta) • Numericki poredana lista pravila • Finalno DENY pravilo • Nova korisnicki kreirana ACL odbija sav dolazni i odlazni saobracaj • Stateless: Povratni saobracaj mora biti eksplicitno dozvoljen sa izlaznim pravilom

12. Security Groups vs ACLs Security Groups • Rade na nivou

    mreznog interfejsa • Podrzavaju samo pravila za dozvoljavanje saobracaja • Stateful: Povratni saobracaj je automatski dozvoljen bez obrira na izlazna pravila • AWS prolazi kroz sva pravila prije nego donese odluku da li je upuceni saobracaj dozvoljen ili nije Network Access Control Lists (ACLs) • Rade na nivou subneta • Podrzavaju pravila za dozvoljavanje i za odbijanje saobracaja • Stateless: Povratni saobracaj mora biti eksplicitno dozvoljen sa izlaznim pravilom • AWS prolazi kroz numericki poredana pravila pocevsi od najmanje vrijednosti da bi odlucio da li je saobracaj dozvoljen. • Onog trenutka kad naidje na pravilo koje dozvoljava ili odbija saobracaj koji je upucen prestaje sa daljnjom provjerom. Poredak pravila je jako bitan !

13. Internet Gateway (igw) • Skalabilan, redudantan, visoko dostupan servis •

    Dozvoljava komunikaciju izmedju instaci unutar VPC-a i interneta
14. None

15. Privatne podmreze (Private Subnets) • Prema definiciji ntiti jedna instanca

    koja se nalazi u privatnom subnetu ne moze da komunicira direktno sa interentom • Postoje scenariji kada im je izlaz na internet neophodan • Da bi to postigli neophodno je da koristimo NAT instance ili NAT gateway

16. NAT Gateway • AWS servis koji je dizaniran da bude

    visoko dostupan unutar AZ i ima zadatak da omoguci izlaz na interent resursima koji se nalaze unutar privatnog subneta. • Prije NAT Gateway-a koristile su se NAT instance
17. None
18. None

19. Hvala

20. None