VPC

  1. 域: 是一个通用的 DNS 概念。域名是数字寻址 Internet 资源的易于识别的名称。例如,amazon.com 是一个域

  2. 托管区域: 是 Amazon Route 53 的一个概念。托管区域中的所有资源记录集都必须以托管区域的域名作为后缀。例如,amazon.com 托管区域可能包含名为 www.amazon.comwww.aws.amazon.com 的记录,但不包含名为 www.amazon.ca 的记录

  3. 共享服务VPC(Shared Services VPC)是一种网络架构模式,通常采用中心辐射型(Hub-and-Spoke)设计。

  4. 中心VPC (Hub): 部署通用服务,如目录服务 (Active Directory)、安全监控、日志、DNS、补丁管理等。

  5. 应用VPC (Spoke): 运行具体业务应用。

  6. 连接: 应用VPC通过VPC Peering、AWS Transit Gateway或PrivateLink等方式连接到中心VPC,以访问共享服务。

优点:

  • 集中管理: 统一管理和维护共享服务。
  • 降低成本: 避免在每个VPC中重复部署服务。
  • 一致性: 确保跨VPC的安全和合规策略一致。
  • 简化网络: 减少点对点连接的复杂性(尤其使用Transit Gateway时)。

知识点

AWS Organizations: 是一项账户管理服务,允许您将多个 AWS 账户整合到一个集中管理的组织中。它使您能够跨账户集中管理账单、控制访问权限、确保合规性以及共享资源。通过使用组织单元 (OU) 对账户进行分组,并应用服务控制策略 (SCP),您可以更有效地治理您的 AWS 环境。
AWS Config: 是一项服务,使您能够评估、审计和评价您的 AWS 资源的配置。Config 持续监控和记录您的 AWS 资源配置,并允许您根据所需的配置自动评估记录的配置。借助 Config,您可以查看配置和资源关系的变化,深入了解详细的资源配置历史记录,并根据内部指南中指定的配置确定您的整体合规性。这使您能够简化合规性审计、安全分析、变更管理和操作故障排除。

CloudFront function vs Lambda@Edge

*CloudFront Functions:

  • Location: Runs at CloudFront edge locations (closer to the user).
  • Runtime: Lightweight JavaScript (ES 5.1-like).
  • Limits: Very strict (sub-millisecond runtime, low memory, <10KB code).
  • Capabilities: No network or filesystem access.
  • Use Cases: Simple, fast request/response manipulation (header changes, cache key normalization, redirects, basic auth).
  • Cost: Cheaper per invocation.

Lambda@Edge:

  • Location: Runs at AWS Regional Edge Caches (fewer locations than edge).
  • Runtime: Node.js, Python.
  • Limits: Higher limits (seconds runtime, more memory, larger package size).
  • Capabilities: Can make network calls, access request body, read-only filesystem access.
  • Use Cases: More complex logic (advanced routing, A/B testing, complex auth like JWT validation, image optimization).
  • Cost: More expensive per invocation + duration charges.

Choose CloudFront Functions for low-latency, simple tasks.
Choose Lambda@Edge for complex tasks needing more resources or network access.

AWS 存储服务对比