-
课程简介 5
-
Lecture1.1
-
Lecture1.2
-
Lecture1.3
-
Lecture1.4
-
Lecture1.5
-
-
Amazon Web Services基础 7
-
Lecture2.1
-
Lecture2.2
-
Lecture2.3
-
Lecture2.4
-
Lecture2.5
-
Lecture2.609 min
-
Lecture2.7
-
-
Identity Access Management (IAM) – 身份认证服务 3
-
Elastic Compute Cloud (EC2) – 计算服务 24
-
Lecture4.1
-
Lecture4.2
-
Lecture4.3
-
Lecture4.4
-
Lecture4.5
-
Lecture4.619 min
-
Lecture4.719 min
-
Lecture4.815 min
-
Lecture4.915 min
-
Lecture4.1010 min
-
Lecture4.1125 min
-
Lecture4.1211 min
-
Lecture4.1314 min
-
Lecture4.1408 min
-
Lecture4.1532 min
-
Lecture4.1617 min
-
Lecture4.1720 min
-
Lecture4.1825 min
-
Lecture4.1929 min
-
Lecture4.2018 min
-
Lecture4.2123 min
-
Lecture4.2212 min
-
Lecture4.2322 min
-
小测4.110个问题
-
-
Simple Storage Service (S3), Glacier, CloudFront – 存储服务 16
-
Lecture5.1
-
Lecture5.2
-
Lecture5.308 min
-
Lecture5.410 min
-
Lecture5.506 min
-
Lecture5.621 min
-
Lecture5.706 min
-
Lecture5.805 min
-
Lecture5.910 min
-
Lecture5.1027 min
-
Lecture5.1115 min
-
Lecture5.1220 min
-
Lecture5.1315 min
-
Lecture5.1418 min
-
Lecture5.1520 min
-
小测5.115个问题
-
-
Virtual Private Cloud (VPC) – 网络服务 12
-
Lecture6.120 min
-
Lecture6.235 min
-
Lecture6.320 min
-
Lecture6.425 min
-
Lecture6.510 min
-
Lecture6.620 min
-
Lecture6.710 min
-
Lecture6.810 min
-
Lecture6.915 min
-
Lecture6.1014 min
-
Lecture6.1115 min
-
小测6.19个问题
-
-
Route53 – DNS服务 9
-
Lecture7.115 min
-
Lecture7.215 min
-
Lecture7.310 min
-
Lecture7.415 min
-
Lecture7.510 min
-
Lecture7.620 min
-
Lecture7.710 min
-
Lecture7.810 min
-
小测7.110个问题
-
-
RDS, DynamoDB Database – 数据库服务 9
-
Lecture8.120 min
-
Lecture8.225 min
-
Lecture8.320 min
-
Lecture8.420 min
-
Lecture8.505 min
-
Lecture8.610 min
-
Lecture8.705 min
-
Lecture8.810 min
-
小测8.110个问题
-
-
应用服务(SQS, SWF, SNS等) 8
-
Lecture9.120 min
-
Lecture9.210 min
-
Lecture9.310 min
-
Lecture9.410 min
-
Lecture9.505 min
-
Lecture9.615 min
-
Lecture9.715 min
-
小测9.19个问题
-
-
其他服务 10
-
Lecture10.115 min
-
Lecture10.215 min
-
Lecture10.315 min
-
Lecture10.410 min
-
Lecture10.515 min
-
Lecture10.605 min
-
Lecture10.718 min
-
Lecture10.818 min
-
Lecture10.911 min
-
Lecture10.1013 min
-
-
真实的高可用AWS架构方案 7
-
Lecture11.120 min
-
Lecture11.230 min
-
Lecture11.320 min
-
Lecture11.425 min
-
Lecture11.510 min
-
Lecture11.610 min
-
Lecture11.720 min
-
-
AWS认证考试白皮书 8
-
Lecture12.115 min
-
Lecture12.215 min
-
Lecture12.320 min
-
Lecture12.420 min
-
Lecture12.520 min
-
Lecture12.6
-
Lecture12.715 min
-
Lecture12.820 min
-
-
综合测试题 1
-
小测13.165个问题
-
-
考试指南 3
-
Lecture14.105 min
-
Lecture14.210 min
-
Lecture14.305 min
-
41个评论
为什么我在我自己的vpc 的 public subnet下创建的ec2实例 外网不通的呢,也没有分配ipv4 dns地址,在default vpc下的实例就能在本地telnet通22, nacl全放行了 sg也放行了22,想不明白
重新创建一次又可以了。。。。
怎么把密钥导入进去实例呢
在创建实例的时候,就可以关联密钥了,不需要单独导进去
Jump box 不能ssh到private sub-net EC2 instance, 报错:
[root@ip-10-0-2-38 ec2-user]# ssh ec2-user@10.0.1.9 -i “kristy_1208.pem”
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0655 for ‘kristy_1208.pem’ are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key “kristy_1208.pem”: bad permissions
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
已经sudo -s
并且chmod 755 pem
第一次尝试ssh是可以的, 后面又NAT instance切换NAT gateway之后,再试图ssh就不行了
甚至重新创建了private subnet EC2 instance, 再ssh, 也不行
因为上一个实验,NACL设置为仅允许22,80端口。改成允许所有流量即可。
小茶 为什么我最后链接 private server 会报下面的错 pem文件也拷贝过去了
ssh: connect to host 10.0.1.148 port 22: Connection timed out
这个要查下1)安全组设置 2)NACL设置 3)VPC路由设置
因为上一个实验,NACL设置为仅允许22,80端口。改成允许所有流量即可。
使用scp拷贝的时候,一致显示Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
lost connection
试下用sudo拷贝,并且你的文件写入的路径最好是/home/ec2-user 目录,不然可能你scp用的用户名并没有访问一些目录的权限(比如/目录)。
小茶老师您好:我有点困惑的是,此处堡垒机位于public子网,为什么可以直接ping通位于不同子网的ec2? 是所有位于相同VPC内的不同subnet内的ec2都可以通吗?即使子网的路由表都只有local条目?这个local是指subnet层面的local,还是指VPC层面的local?谢谢!
理解正确,默认在一个VPC里面的所有子网所关联的路由表(不管是默认路由表还是自定义路由表)都会有一个目的地址是VPC网段,下一跳指向local的路由。这个路由说明了子网内的机器可以去到同一个VPC内的其他所有子网。这个local是VPC层级的,你可以认为这个local就是VPC的路由器。
谢谢小茶老师回复!确实是VPC层级的。看到这个local覆盖的的地址段是10.0.0.0/16(VPC), 而不是10.0.1.0/24/10.0.2.0/24(子网)。
麻烦老师另外有两个问题:
1. 既然在同一个VPC中不同的subnet都可以互通,在同一个VPC中区分不同subnet的意义在哪里呢?
2. 子网应该处于不同的VPC中,才可以真正隔离开来是吧?Private subnet和public subnet是不是最好分列在两个VPC中才安全呢?
非常感谢!
1.我觉得你可以理解为一个VPC是一个小型的数据中心,这里面放了一群机器。这一群机器可以是一个公司里面某一个组织架构或者部门的,可以是开发/测试/生产环境,可以是完全不同的两个应用。在这个应用里面,如果应用之间的交互比较频繁,在一个VPC里面会比较合适(类似于企业数据中心的一个大二层),如果每一个都是独立的VPC,那么需要做很多VPC的Peering,管理会很复杂。
2.pub和private subnet你用路由表(比如黑洞路由)或者NACL都可以隔离起来,已经足够安全了。如果用VPC会出现上面说的管理复杂度问题。并且每一个VPC可能你需要创建单独的IGW,NATGW,VGW等,会有更多成本负担。
为何我ssh自己的private server 一直无法接通啊
“ssh ec2-user@10.0.1.27 -i korea_1.pem”
是要安装winscp哦?还是直接用linux语法scp复制啊?
沒事了,不用回復
scp要如何copy阿, 网络语法照搬了还是不行
scp file user@ip:~/
Bastion Host哈
ping privateServer的时候没有反应 全部丢包了 是怎么回事呢
讲讲你的具体测试背景哈。
检查几个方面:
1. 对应 ACLs 的 inbound rule 和 outbound rule是不是没有放行流量
2. 检查 private server 的 security 选对没【我实验的时候就是这儿选成默认的vpc里的security导致连不上ping不通】
还有一个额外的就是如果用 private server 连网遇到问题时,检查以下方面:
1. 检查 bastion host 状态 和 nat gateway 状态
2. 1没问题时,检查路由表默认路由表中是否添加了指向 bastion host 和 nat gateway 的路由
请问上传完私钥连private ec2时 提示需要输入密码是为什么?
如果用-i指定了密钥名称,一般不会提示需要密码。除非你的密钥权限没有合适设置(比如600权限),提示的输入密码是你本机器的root密码,本机需要权限访问这个密钥文件。
其实那个用EC2 创建的NAT网关,只能叫做默认公网代理,因为没有涉及任何地址转换。
地址转换应用类型:
SNAT 应用情景:转换公有地址到内网地址,或者是隐藏内网地址;
DNAT 应用情景: 隐藏服务地址,保证一定过边界设备;
Double NAT 应用场景:修改路径,完全代理,标识公有地址;
一般防火墙和VPN等边界安全设备都会用的。
老师您好,我在给默认路由表添加路由的时候,配置目标NAT实例,但是不弹出已经创建好的NAT实例,我没法选择,这个是什么原因
配置路由的时候,你选择下一跳地址是实例,然后再选择你刚创建的NAT实例的一个网卡,一般会以ENI-xxxx形式显示,
老师,请问堡垒机如果配置一下,是不是可以当作nat 实例来用了?
堡垒机主要是让外部访问内部(管理服务器)使用,而NAT Gateway是内部访问外部使用的。用途不太一样,而且堡垒机还会多一些用户认证,审计的功能。
请问小茶,NAT实例的时候,需要设置哪些特殊的安全组端口吗?从私网EC2的流量要经过NAT,用的是什么协议和端口呢?我好像没有看到特殊的设置。
nat实例为什么一定要关闭源和目的的检查
nat网关和nat实例支持dnat吗?
NAT网关不支持DNAT,但NAT实例可配置的内容就详细很多了,你可以配置DNAT上去。
NAT 网关上不可以设置吗?比如传统的nat转换的配置?
不可以做太多定制化设置,如果需要更多设置要用NAT实例
小茶老师,请问在视频中通过public server ssh private server 中用到的key aws.xiaopeiqing.com.pem是如何保存到public server ec2 instance 文件中的呢?
用WinSCP或者直接拷贝秘钥文件内容粘贴到服务器上也可以。
mac怎么copy过去啊?
scp 直接拷