03-網路七層模型與 AWS 基礎網路設置筆記

網路七層模型概述與 AWS 應用

網路七層模型（OSI 模型）是描述網路通信的標準模型，分為七個層級。這些層級在雲端架構（如 AWS）中有不同的應用與實現方式。以下為各層功能及其在 AWS 環境中的相關服務：

• 物理層：管理物理連接，如硬體、電纜、信號傳輸。在 AWS 上，這層由 AWS 數據中心的物理基礎設施管理，開發者無法直接接觸。
• 數據鏈路層：涉及資料封裝與網路接口，如 MAC 地址與網卡管理。在 AWS 中，這一層的操作通常由虛擬網卡（ENI）和 VPC 網路接口管理。
• 網路層：負責路由選擇與 IP 地址管理。在 AWS 上，使用 Virtual Private Cloud (VPC)、路由表、Internet Gateway 和 NAT Gateway 來管理網路流量。
• 傳輸層：提供數據傳輸控制與管理，如 TCP、UDP 協議。在 AWS 中，可以利用 Elastic Load Balancer (ELB) 來分配傳輸層流量。
• 會話層：管理連接的建立與維護，如 VPN 連接、TLS 加密通道。AWS 提供的服務如 AWS VPN 和 AWS Direct Connect 協助管理長連接。
• 表示層：負責數據格式轉換與加密解密。在 AWS 上，這層主要涉及到 AWS Certificate Manager (ACM) 和數據加密服務。
• 應用層：提供與使用者互動的服務，如 HTTP、DNS。在 AWS 環境中，這層可使用服務如 Route 53（DNS）、API Gateway（HTTP API）、以及各種應用程序服務。

備註：AWS 提供了許多高階服務來簡化這些層的管理與配置，如 VPC、ELB、和 Route 53，使得雲端架構更容易部署與管理。

---

AWS 中的網路設置與安全配置

1. VPC 設置與 IP 配置

• VPC（Virtual Private Cloud）：AWS 中的 VPC 相當於自定義網路層，允許你設定 IP 範圍、子網、路由規則等，並且可以在內部建立私有網路環境。
• 子網劃分：將 VPC 劃分為公共和私有子網，以隔離公開與內部服務。例如，將 Web 服務部署在公共子網，而數據庫部署在私有子網內。
• 路由與網關：配置路由表來控制流量流向，使用 Internet Gateway 來連接外部網路，或使用 NAT Gateway 來讓私有子網訪問外部資源。

2. 防火牆配置與安全組

• 安全組（Security Groups）：AWS 上的虛擬防火牆，用於控制入站和出站流量。可以根據 IP 或端口設定規則，預設拒絕所有未授權的流量。
• 網路 ACL（Network Access Control List）：用於子網級別的流量控制，提供更細緻的流量過濾規則，適合需要加強安全的應用場景。

3. 傳輸層與負載均衡

• **Elastic Load Balancer (ELB)**：負責傳輸層的流量分配，支持 TCP 和 UDP 協議，並提供健康檢查功能，確保後端服務的可用性。
• TLS/SSL 加密：可以在 ELB 上配置 TLS 設定，確保數據在傳輸過程中安全加密。可使用 AWS Certificate Manager (ACM) 管理憑證。

4. 會話管理與連接優化

• AWS VPN：用於建立安全的 VPN 通道，連接本地數據中心與 AWS VPC，確保數據傳輸的安全性。
• AWS Direct Connect：提供專用網路連接，降低延遲並提高網路性能，適合對帶寬和穩定性要求較高的業務。

5. DNS 與域名解析

• Amazon Route 53：提供高可用的 DNS 服務，支持域名解析、健康檢查和流量路由策略，確保應用的全球可達性。
• 內部 DNS 設置：在 VPC 中配置內部 DNS，用於解析內部服務域名，便於內部服務間的通信。

6. 流量管理與 QoS

• Traffic Mirroring：複製 VPC 中的網路流量，用於流量分析和監控。
• QoS 設置：雖然 AWS 上沒有直接的 QoS 設置，但可以通過配置網路策略和資源限制來優化網路性能。

---