この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
สวัสดีครับทุกคน ต้า ครับ บทความต้นฉบับของบทความนี้เขียนโดยคุณ hiroyuki kaji
รายการนี้จะเขียนเกี่ยวกับ AWS ปี 2022 ฉบับเบื้องต้น โดยฝ่าย Consulting ของบริษัทเราเอง นี่เป็นบทความที่จะมาเล่าเกี่ยวกับเนื้อหา AWS Service มาเล่าใหม่อีกครั้งว่ามีอะไรถูกอัพเดทอะไรบ้างแล้ว
แบบละเอียด/เจาะลึกตั้งแต่เบสิกพร้อมคำอธิบาย โดยเหล่าสมาชิกที่เคยเขียนบทความเหล่านี้มาแล้ว
เหมาะสำหรับผู้ที่ต้องการเริ่มเรียนเกี่ยวกับ AWS หรือผู้ที่ใช้งาน AWS อยู่แล้ว
แต่ต้องการหาความรู้ใหม่ว่าปี 2022 มีการอัพเดทอะไรบ้าง หากคุณใช่บุคคลเหล่านี้
ทางผู้เขียนก็หวังว่าบทความนี้จะเป็นประโยชน์สำหรับคุณครับ
งั้นก็ไปเริ่มกันเลยครับ Theme ในวันนี้คือ "Amazon VPC" ครับ
Amazon VPC คืออะไร?
ฟังก์ชันพื้นฐาน
การสร้าง Visual Network ใน Cloud
ตามชื่อของ Amazon VPC(Virtual Private Cloud) เลยครับ Service นี้จะให้บริการ Virtual Private Cloud Environment สำหรับผู้ใช้นั่นเองครับ
VPC คือ หน่วย 1 หน่วยที่ควบคุมดูแล TCP/IP Network โดยรวมครับ
VPC จะสร้างได้ผ่าน AWS Management Console, AWS CLI, หรือ AWS SDK ครับ
โดยจะถูกแบ่งตาม AWS Region หากไม่ใช้งาน Service อื่นๆช่วยในการเชื่อมต่อ VPC จะอยู่โดดเดี่ยวไม่สามารถเชื่อมต่อด้วยกันกับ VPC อื่นๆได้
การตั้งค่า Default การเชื่อมต่อของ Host ภายใน VPC จะไม่มีการจำกัดการเชื่อมต่อ
เราสามารถใช้ GW(Gateway) ประเภทต่างๆ เพื่อใช้ internet จากภายนอกเชื่อมต่อเข้ามายัง VPC ได้ ซึ่งจะอธิบายเพิ่มเติมในหัวข้อต่อๆไป
AWS Service ที่รองรับ VPC จะมีข้อดีคือจะเป็นการวาง Node ไว้ใน Private Network ทำให้สามารถควบคุมความปลอดภัยในการเชื่อมระหว่าง Network ภายนอกได้ง่าย แต่ก็จะมีข้อเสียคือ ต้องระวังในการออกแบบเตรียมพื้นที่สำหรับ Address ที่จำเป็นต้องใช้ด้วยนั่นเอง(จะอธิบายในหัวข้อต่อๆไป)
การออกแบบ Network ที่จำเป็นต่อโครงสร้าง VPC
แนะนำให้ใช้ IP Address ที่ไม่ซ้ำกับ Network Address ของ Data center, On-Premise หรือ Office ครับ
เหตุผลมีตามด้านล่างนี้ครับ
- CIDR ของ VPC(IP Address)ไม่สามารถเปลี่ยนแปลงได้ภายหลังจากสร้างเสร็จ
- การจะเปลี่ยนได้จำเป็นต้องลบทุกอย่างที่อยู่ใน VPC แล้วสร้างใหม่เท่านั้น
- ต่อให้ไม่มีข้อกำหนดการเชื่อมต่อ แต่ก็ควรเตรียมไว้สำหรับอนาคตเผื่อได้ใช้
Private Network Address ให้เลือกจาก RFC1918 โดยส่วนตัวแนะนำว่าให้ใช้ /16 ต่อ 1 VPC ครับ
- 10.0.0.0-10.255.255.255 (10/8 prefix)
- 172.16.0.0-172.31.255.255 (172.16/12 prefix)
- 192.168.0.0-192.168.255.255 (192.168/16 prefix)
สิ่งที่ควรให้ความสำคัญคือลองตรวจสอบการใช้งานของ Shared Address RFC 6598 (100.64.0.0/10) ดูก่อนครับ
RFC 1918: Address Allocation for Private Internets
VPC Subnet
เราสามารถแบ่งข้างใน VPC ออกเป็นหลายๆส่วนโดยการสร้างสิ่งที่เรียกว่า Subnet ครับ
เราจะใช้งาน EC2 Vitual Machine (EC2 Instance) หรือ DB Instance ของ RDS โดยใส่พวกนี้ลงใน Subnet หรือเชื่อมต่อกับ Subnet ครับ
เราสามารถแบ่งแยกพื้นที่ Address ข้างใน VPC ได้อย่างอิสระ แต่จำเป็นต้องสร้างใน Data Center ของ AWS ที่เรียกว่า AZ(Availability Zone) และไม่สามารถสร้าง Subnet 1 ตัวให้อยู่ในหลาย AZ ได้
การสร้าง VPC ที่ใช้หลาย AZ ใน Region จำเป็นต้องมี Subnet อย่างน้อย 1 ตัวในแต่ละ AZ ครับ
instance ที่อยู่ใน Subnet หรือเชื่อมต่อกับ Subnet จะได้รับ Private IP จากวงของ Subnet Address ที่ DHCP มอบหมาย
ข้างใน Subnet จะกลายเป็น segment เดียวกันกับ TCP/IP network และ instance จะใช้ Private IP เชื่อมต่อกันเองโดยใช้ Layer 2 ในการเชื่อมต่อครับ
IP address ลำดับที่ 2 ของ Subnet (ถ้าเป็น 192.168.1.0/24 ก็จะเป็น 192.168.1.1) จะถูกตั้งค่าให้เชื่อมต่อกับอุปกรณ์ที่เรียกว่า "virtual router" โดยอัตโนมัติ ทำให้แต่ละ instance จะถูกตั้งค่าให้เชื่อมต่อกับ Default Gateway โดยอัตโนมัติโดย DHCP
"virtual router" จะมีทางเชื่อมต่อไปยัง Subnet อื่น ที่อยู่ใน VPC เดียวกัน โดยการเชื่อมต่อระหว่าง Subnet จะใช้ Layer 3 ในการเชื่อมต่อ
สำหรับคนที่เคยใช้ static IP ใน On-Premise อาจจะคิดว่า DHCP ใช้ยาก แต่ VPC มี Service อื่นที่ใช้ควบคุม Private DNS ได้ง่ายๆอยู่ ผมจึงแนะนำให้ลองใช้ DHCP ดูครับ
Route table
ใน Route table จะเป็นการเก็บข้อมูลทางเชื่อมต่อ(Routing) ของ "virtual router" ซึ่งเราจะตั้งค่า Subnet ไว้ใน Route table ครับ
เราสามารถตั้งค่าหลาย Subnet ไว้ใน Route table ได้ครับ
ข้อมูลทางเชื่อมต่อข้างใน VPC ด้วยกันของ "virtual router" จะถูกตั้งค่าไว้แล้วใน entry "Local" แล้วไม่สามารถเปลี่ยนแปลงได้ครับ
ในกรณีการเชื่อมต่อ internet เช่น internet ภายนอก จะทำได้โดยการเพิ่ม Internet gateway (IGW) ไว้ใน route table เป็น next hop
Gateway ที่ใช้เชื่อมต่อกับ internet ภายนอก จำเป็นต้องใช้ Internet gateway (IGW) ในการเชื่อมต่อกับ internet และใช้ Virtual private gateway(VGW) หากต้องเชื่อมต่อกับ Network ของ On-Premise
ใน VPC จำเป็นต้องใส่ Public IP กับ EC2 Instance หากต้องการให้ EC2 Instnace เชื่อมต่อ internet ผ่าน IGW
Public IP จะไม่ใช่การตั้งค่า NIC ของ EC2 Instance โดยตรง(ใน VPC จะเรียกว่า ENI = Elastic Network Interface) มันจะทำงานโดยการสร้าง Static NAT ที่ IGW และแปลง public IP ที่เป็น destination IP address ให้เป็น private IP ของ instance เมื่อได้รับ traffic จาก Internet
รายชื่อ Resource ที่มักได้เจอใน VPC
รายชื่อ Resource ที่มักได้เจอใน VPC ครับ ในรายการนี้คือรวมสิ่งที่มักเจอบ่อยเมื่อเราพูดถึง VPC ครับ
| รายชื่อ | รายละเอียด |
|---|---|
| Internet gateway(IGW) | ประตูเข้าออกสู่ Internet ที่ถูกตั้งค่าใน VPC |
| Virtual private gateway(VGW) | ประตูเข้าออกสู่ VPN หรือ Direct Connect ที่ใช้เชื่อมต่อไปยังสภาพแวดล้อม On-premise หรือ Network ภายในบริษัท ที่ถูกตั้งค่าใน VPC |
| Route Table | ฟังชันที่เก็บข้อมูลทางเชื่อมต่อสำหรับแต่ละ Subnet ใน VPC(ตามที่เขียนอธิบายไว้ด้านบน) |
| Subnet | Subnet คือ ขอบเขต IP Address ที่ถูกแบ่งใน VPC เราจะทำการวาง AWS Resource ต่างๆเช่น EC2 ไว้ในที่นี่(ตามที่เขียนอธิบายไว้ด้านบน) VPC สามารถสร้างหลาย AZ ได้ และ Subnet จะถูกสร้างในแต่ละ AZ นั้น |
| NAT Gateway/NAT Instance | ฟังก์ชันที่ทำการเปลี่ยน Address กับ Port Address กลุ่ม Server ที่อยู่ใน Private Subnet เพื่อให้เชื่อมต่อ Internet ได้อย่างปลอดภัย NAT gateway ที่เป็น Managed Service จะมีความพร้อมในการใช้งานสูง และ ขอบเขตในการที่งานที่มากครับ |
| Elastic IP | Static Global IP Address ที่ถูกแบ่งลงในทั้ง AWS Account ที่ใช้สำหรับ EC2 Instance |
| VPC Endpoint | มี 2 ประเภทคือ Interface และ Gateway, โดย Interface(ใช้ AWS PrivateLink) คือ Elastic Network Interface ที่มี Private IP Address และใช้ปลายทาง(destination) เป็น AWS Service ที่ให้การรองรับอยู่ Gateway คือ target gateway สำหรับ traffic destined ต่อ AWS Service โดยกำหนดใน route table |
Prefix Lists ที่เป็นประโยชน์
เราสามารถสร้างสิ่งที่เรียกว่า Prefix Lists เพื่อใช้ในการจัดกลุ่ม IP CIDR หลายๆจำนวนได้ครับ
Prefix List ที่สร้างขึ้นสามารถใช้กำหนด destination ของ route table ที่ต้องการและ destination ของ sevurity group ได้ครับ
Security
Security Group/Network ACL
Security Group, Network ACL เป็นฟังก์ชันในการจำกัดการเชื่อมต่อของ Network ครับ โดยรายละเอียดความแตกต่างของ 2 ตัวนี้ดูได้ตามด้านล่างนี้ครับ
เราไม่แนะนำให้สร้าง Security Group, Network ACL ที่มี Filtering Rule ที่มีความหมายเหมือนกัน ถึงแม้หาก Network ACL เกิดปัญหาได้ Security Group ก็จะสามารถป้องกันได้ แต่จะทำให้เราจัดการลำบากขึ้น เพราะเวลาจะเปลี่ยนต้องทำตรงนั้นที ตรงนี้ที
เราจึงแนะนำให้ทำความเข้าใจถึงความแตกต่างของทั้ง 2 ตัวนี้เพื่อแยกใช้ให้ได้อย่างเหมาะสมครับ
สรุปทำความเข้าใจง่ายๆคือ หากต้องการ Filtering ในหลัก Server แต่ละตัวให้ใช้ Security Group แต่หากต้องการ "Drop การเชื่อมต่อจาก IP Address ที่กำหนด" ในหลัก Network ที่มีขนาดใหญ่กว่า ผมจะแนะนำให้ใช้ Network ACL ครับ
เราสามารถใช้การ Filtering จากฟังก์ชันของ OS เช่น iptables หรือ Windows firewall ได้ แต่ก็จะเหมือนกับเคสด้านบนที่จะทำให้การจัดการดูแล Filtering rule ยุ่งยากขึ้น โดยพื้นฐานแล้วเราจึงแนะนำให้ควบคุมด้วยฟังก์ชันของ AWS เพราะสามารถนำไปปรับใช้ทันทีกับ Instance จำนวนหลายๆตัวได้ครับ
| หัวข้อ | Network ACL | Security Gruop |
|---|---|---|
| ความบ่อยในการใช้งาน | ไม่ค่อยได้ใช้ | โดยปกติใช้ตัวนี้ |
| ทำแหน่งที่ทำการตั้งค่า | Subnet | ในแต่ละ Instance |
| จุดเด่น | Blacklist type(สามารถกำหนด In/Out ใน Deny/Allow ได้)、เป็น stateless ทำให้ต้องได้รับการอนุญาตทั้งขาเข้าและออก | Whitelist type(สามารถกำหนด In/Out ใน Allow ได้เท่านั้น)、เป็น stateful ทำให้ขากลับไม่จำเป็นต้องคำนวณการออก |
| ลำดับการตรวจสอบ | ตามลำดับของ List | ตรวจสอบตามทุก Rules |
| อื่นๆ | สะดวกในการตัดการเชื่อมต่อจาก IP Address ที่กำหนด | สามารถกำหนดเป้าหมายเป็น Security Group ID ได้ ทำให้การใช้งานในสภาพแวดล้อมทดสอบ หรือใช้งานจริงได้สะดวกขึ้น |
Amazon Route 53 Resolver DNS Firewall
คุณสามารถ Filtering Outbound DNS Queries ของ VPC ของคุณได้โดยการใช้ DNS Firewall rule groups
Rule Group สามารถ Custom ได้ หรือจะใช้ AWS Managed List ก็ได้
และยังมี วิธีการสร้าง proxy server โดยการใช้ Squid ใน EC2 แต่ผมคิดว่าจะมีประสิทธิภาพมากกว่า หากเราต้องการจะสร้าง VPC ที่ใช้สำหรับการเชื่อมต่อไปยัง specific destinations เท่านั้น ซึ่งนี่เป็น Service ที่คิดเงินเพิ่มครับ
AWS Network Firewall
หัวข้อด้านบนที่เขียนไป Route 53 Resolver DNS Firewall เป็นแค่การควบคุม Outbound DNS แต่ AWS Network Firewall จะมีฟังก์ชันเยอะกว่านั้นครับ
นี่เป็น stateful managed network firewall service สำหรับ VPC ครับ
คุณสามารถ filter traffic เช่น Internet gateway, NAT gateway, VPC, DirectConnect ในขอบเขตของ VPC ของคุณได้
Security Group/Network ACL นั้นไม่มีค่าใช้จ่ายเพิ่มเติมในการใช้งาน แต่ AWS Network Firewall มีค่าใช้จ่ายเพิ่มเติมครับ
ด้านล่างนี่เป็นจุดเด่นของ AWS Network Firewall ครับ
- Scalable และ managed
- Stateless packet filtering (Protocol, Source IP/Port, Destination IP/Port) = จำเป็นต้องได้รับอนุญาตทั้งขาเข้าและออก
- Stateful packet filtering (Protocol, Source IP/Port, Destination IP/Port)
- การควบคุมการเชื่อม HTTP/HTTPS โดยยึดจาก Domain List
- การควบคุม Rule การเข้ากันได้ของ Open source IPS "Suricata"
อ้างอิง: Multi zone architecture with an internet gateway - AWS Network Firewall
Analysis/Investigation
Amazon VPC Flow Log
นี่คือฟังก์ชันเก็บข้อมูล Traffic Log ที่อยู่ใน VPC ครับ
โดยเป็นการ Dump traffic header data ทำให้สามารถค้นห้า หรือวิเคราะห์ข้อมูลที่เก็บมาแล้วได้
ข้อมูล Traffic Log ที่เก็บได้จะถูกเก็บไว้ใน Amazon CloudWatch Logs หรือ Amazon S3 ครับ
การใช้ VPC Flow log ไม่มีค่าใช้จ่ายเพิ่มเติม แต่จะมีค่าใช้จ่ายเพิ่มเติมสำหรับพื้นที่จัดเก็บข้อมูลใน Amazon CloudWatch Logs หรือ Amazon S3 ครับ
ด้านล่างนี้เป็นข้อมูลบางส่วนที่ Flowlog ไม่สามารถจัดเก็บได้ครับ
- Traffic ที่เกิดจาก Instance ไปยัง Amazon DNS (หากใช้ DNS Server ของตนเองจะเก็บข้อมูลได้)
- Traffic ที่เกิดจาก Windows Instance ไปยัง Windows activation
- Traffic ที่ส่งไปยัง Instance Meta Data (169.254.169.254)
- Traffic ที่เกิดขึ้นในการเชื่อมต่อระหว่าง 169.254.169.123 ของ Amazon Time Sync Service
- DHCP Traffic
- Mirror Traffic
- Traffic ที่เกิดขึ้นในการเชื่อมต่อระหว่าง Endpoint Network Interface กับ Network Load Balancer Network Interface
Amazon VPC Traffic Mirroring
VPC Flow log ไม่สามารถเก็บข้อมูลใน Bucket ได้ ในกรณีที่ต้องการเก็บข้อมูลใน Bucket จำเป็นต้องใช้ Amazon VPC traffic mirroring
โดยเจ้านี่จะวิเคราะห์ ฺBucket จริง สำหรับการวิเคราะห์ต้นเหตุ ของการโจมตี advanced network หรือ performance issues
Amazon VPC Traffic Mirroring นั้นมีค่าใช้จ่ายเพิ่มเติมหากจะใช้งานครับ
- Mirror traffic ที่ผ่านจาก ENI ของ EC2 Instance ไปยัง ENI หรือ NLB
- Bucket คือ encapsulated ใน Virtual eXtensible Local Area Network (VXLAN)
- filtering Traffic ที่ถูก mirrored ได้ง่ายขึ้น
Reachability Analyzer
หากการเชื่อมต่อใน VPC เกิดความผิดปกติ เราแนะนำให้ตรวจสอบจุดต่อไปนี้
- Security Group
- Network ACL
- Route table
Reachability Analyzer จะทำให้การตรวจสอบการเชื่อมต่อ หรือ troubleshooting ของ VPC ได้ง่ายขึ้น การใช้เจ้านี่มีค่าใช้จ่ายเพิ่มเติมแต่ก็อยู่ในราคาที่ถูกครับ
Network Access Analyzer
service ที่วิเคราะห์การเชื่อมต่อ network ระหว่าง AWS resources ที่รองรับเพื่อค้นหาและระบุการเข้าถึงที่ไม่ได้ตั้งใจ
ซึ่งจะสามารถใช้ได้ในการปฎิบัติตาม compliance/Security, การตรวจสอบเส้นทางการเข้าถึงที่เป็นไปได้(Discovery of potential access routes), การป้องกันการตั้งค่าผิดพลาด
โดย Network Access Analyzer มีค่าใช้จ่ายเพิ่มเติม แต่หากมีจำนวน Resource ที่น้อยก็ไม่มีค่าใช้จ่ายที่มากขนาดนั้นครับ
EC2 Global View
EC2 Global View คือหน้าต่างที่แสดง Resources ด้านล่างนี้ในหน้าต่างๆเดียวได้ครับ
- Instance
- VPC
- Subnet
- Security Group
- Volume
การเชื่อมต่อกับ Network อื่น
การเชื่อมต่อระหว่าง On-premise กับ AWS VPC จะเป็นการเชื่อมต่อโดยใช้ Internet ทั่วไป ซึ่งอาจจะมีหลายกรณีที่ถ้าเห็นเนื้อหาภายในการเชื่อมต่ออาจจะมีปัญหาเกิดขึ้นมาต่อได้(ข้อมูลภายในรั่วไหล) เราจึงจำเป็นต้องมีการใส่รหัสข้อมูลครับ
โดยวิธีการที่เราใช้ปกป้องข้อมูลของเรานั้นมีตามด้านล่างนี้ครับ
VPN
การเชื่อมต่อมีทั้งหมด 3 รูปแบบครับ
Site to Site VPN Connections
โดยปกติแล้ว instances ที่ทำงานใน Amazon VPC จะไม่สามารถสื่อสารกับ(remote) Network ของตนเองได้ คุณจะสามารถเชื่อมต่อไปยัง remote network จาก VPC ได้ โดยการสร้าง AWS Site-to-Site VPN (Site-to-Site VPN) connection และตั้งค่า routing สำหรับการผ่าน traffic ผ่านการเชื่อมต่อ
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN(ภาษาญี่ปุ่น)
โดยประเภทของ Gateway ที่ใช้เชื่อมต่อของ VPC จะมี 3 แบบดตามด้านล่างนี้
| Resource ที่จะได้เจอเมื่อจะใช้ VPN | คำอธิบาย |
|---|---|
| Virtual Private Gateway/VGW | VPN endpoint ในฝั่ง Amazon ของ Site-to-Site VPN connection ของคุณ ที่สามารถติดกับ single VPC ได้ |
| Transit Gateway/TGW | transit hub ที่สามารถใช้ใน interconnect multiple VPCs หรือ on-premises networks และเป็น VPN endpoint ในฝั่ง Amazon ของ Site-to-Site VPN connection ของคุณ |
| Customer Gateway/CGW | AWS resource ที่สามารถจัดเตรียมขอมูล ให้ AWS เกี่ยวกับ customer gateway device ของคุณ |
Client VPN
AWS Client VPN คือ managed client-based VPN service ที่อนุญาตให้คุณเข้าถึง AWS resources หรือ resources ใน on-premises network ของคุณได้อย่างปลอดภัย ด้วยการใช้ Client VPN คุณสามารถเข้าถึง resources ของคุณได้ทุกที่ ที่ใช้ OpenVPN-based VPN client
VPC Peering
VPC peering connection คือ การเชื่อมต่อในรูปแบบ network ระหว่าง 2 VPCs ที่อนุญาตให้คุณสามารถ route traffic ระหว่างกัน ด้วยการใช้ private IPv4 addresses หรือ IPv6 addresses
Instances ที่อยู่ใน VPC แต่ละฝั่งจะสามารถเชื่อมกันด้วยด้วยการใช้ netwrok เดียวกัน
คุณสามารถ สร้าง VPC peering connection ระหว่าง VPCs ของคุณ กับ VPC ใน AWS account อื่นๆได้ โดยไม่จำเป็นต้องเป็น Region เดียวกันก็มาสามารถทำได้
Transit Gateway/TGW
A transit gateway คือ network transit hub ที่คุณสามารถใช้เชื่อมต่อระหว่างกัน(interconnect) ระหว่าง virtual private clouds (VPCs) กับ on-premises networks
เมื่อโครงสร้างพื้นฐานระบบคลาวด์ของคุณขยายไปทั่วโลก การ inter-Region peering connects transit gateways เข้าด้วยกันจะใช้ AWS Global Infrastructure
นั่นจะทำให้ข้อมูลของคุณจะถูกเข้ารหัสและไม่มีโอกาสหลุดออกไปใช้ public internet
Amazon Cloud WAN
Amazon Cloud WAN คือ WAN(Wide Area Networking) Service ที่ให้การควบคุม Tarffic ที่เกิดขึ้นระหว่าง Resource ที่ Cloud environment กับ On-premise environment และ สร้าง ควบคุม และตรวจสอบ global network ครับ
AWS Cloud WAN มีแดชบอร์ดส่วนกลางที่คุณสามารถเชื่อมต่อข้อมูลระหว่างสำนักงานสาขา ศูนย์ข้อมูล และ Amazon Virtual Private Cloud (Amazon VPC) จึงสร้างเครือข่ายระดับโลกได้โดยการคลิกเพียงไม่กี่ครั้ง คุณยังใช้นโยบายเครือข่ายเพื่อปรับการจัดการเครือข่ายและงานด้านความปลอดภัยให้เป็นระบบอัตโนมัติได้ในที่เดียว โดย Cloud WAN สร้างมุมมองที่ครบถ้วนสมบูรณ์ของเครือข่ายในองค์กรและ AWS เพื่อช่วยให้คุณเฝ้าติดตามสถานะ ความปลอดภัย และประสิทธิภาพการทำงานของเครือข่ายได้ (อ้างอิงลิ้งค์ด้านล่าง)
สรุป
ผมได้สรุปข้อมูลของ VPC โดยแบ่งออกเป็น 4 หัวข้อใหญ่ๆ ได้แก่ ฟังก์ชันพื้นฐาน, Security Analysis/Investigation, และ การเชื่อมต่อกับ Network อื่น มาสรุปให้ฟังครับ หวังว่าบทความนี้จะเป็นประโยชน์ต่อผู้มาศึกษาเกี่ยวกับ VPC ครับ แล้วเจอกันในบทความต่อไป สวัสดีครับ
บทความต้นฉบับ
AWS再入門2022 Amazon VPC編 | DevelopersIO
บทความอ้างอิง
- Virtual Private Cloud แบบแยกตามตรรกะ—Amazon VPC – Amazon Web Services
- RFC 1918 - Address Allocation for Private Internets (RFC1918)
- What is AWS Client VPN? - AWS Client VPN
- What is AWS Site-to-Site VPN? - AWS Site-to-Site VPN
- Amazon EC2 now offers Global View on the console to view all resources across regions together
- New – Amazon VPC Network Access Analyzer | AWS News Blog
- New – VPC Reachability Analyzer | AWS News Blog
- New – VPC Traffic Mirroring – Capture & Inspect Network Traffic | AWS News Blog
- What is VPC peering? - Amazon Virtual Private Cloud
- VPC Flow Logs – Log and View Network Traffic Flows | AWS News Blog
- Multi zone architecture with an internet gateway - AWS Network Firewall
- Introducing Amazon Route 53 Resolver DNS Firewall
- Work with AWS-managed prefix lists - Amazon Virtual Private Cloud
- Amazon Virtual Private Cloud (VPC) customers can now resize their prefix list
- Amazon Virtual Private Cloud (VPC) customers can now use their own Prefix Lists to simplify the configuration of security groups and route tables
- เชื่อมต่อเครือข่ายบริเวณกว้างบนระบบคลาวด์และในองค์กร – AWS Cloud WAN – Amazon Web Services
- What is a transit gateway? - Amazon VPC
15
