什麼是 AWS 網路服務?
AWS 網路服務透過建構在 AWS 骨幹之上的全球軟體定義網路,將執行於 AWS 的工作負載彼此串接,並連接使用者與地端資料中心。CLF-C02 Task 3.5 必須熟記的核心 AWS 網路服務有 Amazon VPC、Route 53、CloudFront、AWS Global Accelerator、AWS Direct Connect、AWS Site-to-Site VPN、AWS Client VPN 與 AWS Transit Gateway。這些 AWS 網路服務合在一起,取代了你在傳統資料中心必須採購、上架、佈線、維運的實體交換器、路由器、防火牆、負載平衡器、CDN 與 MPLS 專線。
AWS CLF-C02 考試指南將 AWS 網路服務歸在領域 3(Cloud Technology and Services,佔比 34%),因此能針對情境挑對 AWS 網路服務是關鍵能力。你不必逐位元組設定 Amazon VPC 路由表,但必須能判斷哪個 AWS 網路服務解決哪類問題:隔離(Amazon VPC)、DNS(Route 53)、全球內容遞送(CloudFront)、靜態 IP 的 TCP/UDP 加速(Global Accelerator)、私有混合連線(Direct Connect)、加密的網際網路通道(VPN),以及多 VPC 中樞(Transit Gateway)。本主題把網路觀念與 AWS 服務名稱綁在一起,考生普遍把 AWS 網路服務領域的難度評為 0.70,明顯高於 AWS 運算或資料庫服務。
因為 AWS 網路服務是所有其他 AWS 服務共用的底層管路,讀通 Amazon VPC、Route 53、CloudFront、Direct Connect 與 VPN,也等於為後續的 SAA-C03、ANS-C01 等認證鋪好路。現在投入的時間不會白費:每花一小時在 AWS 網路服務上,都會在整條 AWS 學習路徑持續回報。
白話文解釋 AWS 網路服務
AWS 網路服務乍看很複雜,但用三個生活化的類比就能把 Amazon VPC、Route 53、CloudFront、Direct Connect、VPN 的角色講清楚。
類比 1——百貨商場(Amazon VPC 與 Subnet)
把 Amazon VPC 想成在 AWS Region 裡租下一整座百貨商場。整座商場就是你的 Amazon VPC。商場內部你再劃分出區域:面向停車場的公共美食街(帶 Internet Gateway 的公有 Subnet),以及後方員工專用的上鎖倉庫(沒有 Internet Gateway 的私有 Subnet)。Security Group 就像站在每家店門口的保全,雙向檢查證件並記得放誰進來過(有狀態)。NACL 則是商場走道上畫的交通標誌與車道線——不管誰在走都一體適用(無狀態,子網層級)。VPC Peering 像是你的商場與對街夥伴商場之間架起的空橋:你可以在兩座之間往返,但無法透過這條空橋走到三個街區外的第三座商場。Transit Gateway 則是城市級的中央轉運站——城裡每座商場都接上來,一班車就能到網路的任何地方。
類比 2——郵政系統(Route 53 與 CloudFront)
Route 53 就是郵局的地址簿:當有人輸入 examhub.cc,Route 53 幫忙查地址,告訴寄件者要把信送到哪裡。Route 53 的路由政策就像郵局決定要走哪個分揀中心——simple(單一地址)、weighted(把郵件以 80/20 的比例分到兩座倉庫做 A/B 測試)、latency(從最近的分揀中心出貨)、failover(主倉庫失火就改送備援倉庫)、geolocation(亞洲客戶走東京分揀中心、歐洲客戶走都柏林分揀中心)。CloudFront 則是遍布街口的連鎖 7-ELEVEN,先把熱門商品鋪到貨架上。客人不必等中央倉庫的貨車送來,只要走兩個路口到最近的 Edge 節點,就能買到冰飲。Signed URL 就像印了號碼的領貨票根——只有手上拿票根的客人能在櫃台領到東西。
類比 3——通往總公司的電話線(Direct Connect vs VPN)
把你的地端資料中心想成分公司;AWS Region 是總公司。AWS Site-to-Site VPN 是加了密的普通網路電話——便宜、幾分鐘就能上線、哪裡都能打,但因為與大家共用公用電話網,通話品質會起伏。AWS Direct Connect 則是從分公司直接拉到總公司的專用租用線路——昂貴、動輒數週到數月施工,但頻寬與延遲是合約保證的,因為線路上只有你一家。AWS Client VPN 是公司配發給員工的 VPN 軟體,任何筆電都能從星巴克撥回總公司。AWS Global Accelerator 則像企業免付費專線:不論你從哪裡撥,電話都會立刻導入 AWS 私有骨幹,快速送到正確的內線分機。
有了這三個類比——百貨商場、郵政系統、電話線——你就掌握了 CLF-C02 可能考到的所有 AWS 網路服務元件的心智地圖。
核心運作原理——為什麼 Amazon VPC 是地基
其他每個 AWS 網路服務元件都是蓋在 Amazon VPC 之上、或是插進 Amazon VPC,所以先把 Amazon VPC 弄懂沒得商量。Amazon VPC 是你在某個 AWS Region 內定義的邏輯隔離虛擬網路。你選定 IPv4 CIDR 區塊(例如 10.0.0.0/16),切成 Subnet、掛上各種閘道、設定路由規則。除非你透過 peering、Transit Gateway、PrivateLink 或 VPN 明確放行,其他 AWS 客戶完全看不進你的 Amazon VPC。
Subnet:公有 vs 私有
Subnet 是你 Amazon VPC CIDR 切出的一塊,剛好落在單一可用區(AZ)裡。公有 Subnet 的路由表把 0.0.0.0/0 指向 Internet Gateway(IGW);這裡的執行個體可連上網際網路,只要有公有 IP 也能被網際網路連到。私有 Subnet 沒有 IGW 路由;裡面的執行個體只能經由公有 Subnet 裡的 NAT Gateway 間接對外。Route 53 inbound/outbound resolver、VPC 端點、RDS Multi-AZ 副本通常都擺在私有 Subnet。
Route Table、Internet Gateway 與 NAT Gateway
路由表決定流量往哪走。每個 Subnet 一定對應到一張路由表。Internet Gateway 是水平擴展且冗餘的 VPC 元件,為公有 Subnet 提供網際網路存取——每個 Amazon VPC 一個。NAT Gateway 是託管服務,讓私有 Subnet 裡的執行個體能主動發起對外連線(例如下載更新),但不接受外部主動連入。NAT Gateway 屬於可用區等級資源,高可用時每個 AZ 部署一座。
Security Group vs NACL——最常考的陷阱
Security Group 與 NACL 都會過濾流量,但運作在不同層級、行為也不同。Security Group 位於執行個體層級、是有狀態的(回應流量會自動放行)、只支援 allow 規則,預設 inbound 全拒、outbound 全放。NACL 位於子網層級、是無狀態的(回應流量必須另外放行)、同時支援 allow 與 deny 規則、按編號順序評估,預設 NACL 預設全部允許。搞混這兩者,是 CLF-C02 AWS 網路服務題目的頭號陷阱。
Security Group — Security Group 是附掛在 EC2 執行個體、ENI、RDS 執行個體或 Lambda 函式上的有狀態虛擬防火牆,作用於 Amazon VPC。它只支援 allow 規則,任何被放行的連線其回應流量都會自動通過。Security Group 是 Amazon VPC 的主要網路安全控管機制。 Reference: https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html
VPC Peering vs Transit Gateway
VPC Peering 在兩個 Amazon VPC 之間建立一對一連線(同帳號或跨帳號、同 Region 或跨 Region 都可)。關鍵在於,VPC peering 不具遞移性:若 VPC-A 與 VPC-B 對等連線、VPC-B 與 VPC-C 對等連線,VPC-A 無法經由 VPC-B 到達 VPC-C。你必須另外建立 A-C 的直接 peering。規模一大就會膨脹為 N×(N-1)/2 條連線——經典的「網狀地獄」。
AWS Transit Gateway 用中樞輻射式路由器的設計解掉網狀地獄:每個 Amazon VPC、VPN、Direct Connect 都只接上同一個 Transit Gateway,流量則透過中樞遞移路由。一個 Transit Gateway 能串接數千個 Amazon VPC。只要 AWS 網路服務題目出現「五個(含)以上 VPC」或「跨帳號大規模」字眼,答案幾乎都是 Transit Gateway,而不是 VPC peering。
經典陷阱:VPC Peering 不具遞移性 — 就算 VPC-A 能到 VPC-B、VPC-B 能到 VPC-C,也不存在從 VPC-A 經由 VPC-B 到 VPC-C 的路徑,除非你另建一條直接的 A-C peering,或在中間放一個 Transit Gateway。這是 CLF-C02 AWS 網路服務題目被考最多次的單一陷阱。口訣:「Peers don't forward packets for friends.」 Reference: https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html
Amazon VPC 深入解析——元件與邊界
Endpoint:Gateway 型 vs Interface 型
VPC Endpoint 讓你的 Amazon VPC 能透過 AWS 私有網路存取 AWS 服務,不必經由公網。Gateway Endpoint 只支援 S3 與 DynamoDB,使用路由表的 prefix list(免費)。Interface Endpoint(以 AWS PrivateLink 驅動)會在你的 Subnet 中建立一張帶私有 IP 的 ENI,適用於大多數 AWS 服務。Interface Endpoint 以每小時加每 GB 計費。
Elastic IP 與 Public IP
公有 IP 會自動指派給在公有 Subnet 中啟動的執行個體(若有啟用),執行個體停機後會被收回。Elastic IP(EIP) 是你擁有的靜態 IPv4 位址,可在不同執行個體間重新指派;已申請但沒有附掛到執行中執行個體的 EIP,會按小時收費——是經典的帳單驚喜。
Amazon VPC Flow Log
VPC Flow Log 會記錄進出 Amazon VPC 中各網路介面的 IP 流量詮釋資料。紀錄可寫入 CloudWatch Logs 或 S3,用於資安鑑識、問題排查與法遵。Flow Log 不會擷取封包內容——只有 5-tuple 詮釋資料加上動作與位元組數。
CLF-C02 Amazon VPC 必背數字 — - 每個 Region 預設 Amazon VPC 數:5(軟性上限)。
- Subnet 與 AZ 對應:1 個 Subnet = 1 個 AZ(永遠不跨 AZ)。
- 每個 Subnet 保留 IP:5 個(CIDR 的前 4 個與最後 1 個)。
- Security Group:有狀態、執行個體層級、只允許 allow。
- NACL:無狀態、子網層級、allow 與 deny 併存、按順序評估。
- 預設 NACL:全部允許。自建 NACL:全部拒絕。 Reference: https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html
Amazon Route 53——託管 DNS 與路由政策
Amazon Route 53 是 AWS 網路服務中的託管 DNS 元件,名字取自 DNS 的 UDP 53 埠。它提供三大功能:網域註冊(直接在 AWS 買 examhub.cc)、權威 DNS 解析(把 www.examhub.cc 轉成 IP)、以及健康檢查(監控端點、失效時觸發容錯移轉)。Route 53 擁有 100% 可用性 SLA——AWS 所有服務中最高的 SLA。
Route 53 路由政策
- Simple——一筆記錄、一個或多個值、不做健康檢查。預設值。
- Weighted——依權重把流量分散到多筆記錄(適合 A/B 測試或 blue-green 部署)。
- Latency-based——把使用者導到實測延遲最低的 AWS Region(不一定是地理上最近的)。
- Failover——主備式:主記錄持續服務,直到 Route 53 健康檢查將其標示為不健康,流量才切到備援記錄。
- Geolocation——依使用者的洲、國或省州進行路由(用於內容在地化或法規遵循)。
- Geoproximity——依地理距離路由,可加上偏移 bias(比 geolocation 更進階)。
- Multi-value answer——單次回應最多回傳 8 筆健康記錄(陽春型的負載平衡器)。
Alias 記錄
Alias 記錄是 Route 53 特有的 DNS A/AAAA 延伸記錄,可直接以名稱(而非 IP)指向 AWS 資源(ELB、CloudFront、S3 靜態網站、API Gateway,或另一筆 Route 53 記錄)。Alias 記錄免費;而一般 CNAME 依 DNS RFC 不得出現在網域根(zone apex),必須改用 alias。Alias 規則是 CLF-C02 的愛考題。
Route 53 健康檢查
健康檢查會從多個 AWS 地點監測端點健康度,並與 failover、weighted 政策整合。你可以對 HTTP/HTTPS 端點、TCP 埠、其他健康檢查(巢狀)以及 CloudWatch 告警做健康檢查。
Route 53 Alias 記錄免費,且在網域根為必備 — examhub.cc(zone apex)指向 CloudFront distribution 或 Application Load Balancer 時,必須使用 Alias 記錄。一般 CNAME 無法與 zone apex 的 SOA 及 NS 記錄共存,因此非用 alias 不可。指向 AWS 目標的 alias 查詢也是免費的,而一般 DNS 查詢會酌收少量費用。
Reference: https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-choosing-alias-non-alias.html
Amazon CloudFront——全球 CDN
Amazon CloudFront 是擁有全球 600+ 個 Edge 節點的內容遞送網路(CDN)。使用者請求內容時,CloudFront 會從最近的 Edge 節點提供。若內容未被快取(cache miss),CloudFront 會去你的 origin(S3 bucket、ALB、EC2 執行個體、MediaStore,或任何 HTTP 伺服器)抓取,並依 TTL 在 Edge 節點快取。
為什麼要 CloudFront,為什麼是現在
- 效能:Edge 節點在使用者附近,把 RTT 從 200ms 降到 20ms。
- 成本:每一次 cache hit 都省下一次回源請求與對應的資料傳輸費。
- 安全:整合 AWS WAF(應用層過濾)、AWS Shield(DDoS 防護)、Origin Access Control(將 S3 鎖定為僅 CloudFront 可存取)。
- TLS:免費 ACM 憑證、現代加密套件與自動輪替。
Signed URL vs Signed Cookie
兩者都是保護付費內容的機制。Signed URL 保護單一檔案(想像:一份 PDF 的下載連結)。Signed Cookie 則保護一組檔案(想像:一場影片串流或需要登入的會員入口)。檔案數量很多或不確定時,選 signed cookie。
Origin Failover
設定主 origin 與備援 origin,當主 origin 回傳特定 HTTP 狀態碼(例如 5xx)時,CloudFront 會自動切到備援 origin。這讓 CloudFront 的回源端獲得一套不需依賴 DNS 容錯移轉的災難復原模式。
CloudFront 不只是 CDN——也是資安與成本最佳化工具 — 把 CloudFront 擺在 S3 網站或 ALB 前面,通常會省錢(回源輸出流量下降)又更安全(AWS WAF、AWS Shield Standard 免費層、Edge 節點上的 TLS 終止)。常見迷思是「CloudFront 只有高流量全球應用才需要」;其實就算只是小規模區域型應用,也能從免費的 AWS Shield Standard 與回源保護中獲益。 Reference: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html
AWS Global Accelerator——透過 AWS 骨幹的靜態 Anycast IP
AWS Global Accelerator 會給你 2 個靜態 anycast IP 位址,作為應用的固定大門。流量先打到最近的 AWS Edge 節點,再進入 AWS 全球網路骨幹,在骨幹內私密傳輸到特定 AWS Region 的應用——繞過壅塞的公網路徑。
CloudFront vs Global Accelerator——經典混淆
這是 AWS 網路服務題目中第二常見的陷阱。對照表如下:
- 通訊協定:CloudFront = 僅 HTTP/HTTPS。Global Accelerator = 任意 TCP 或 UDP。
- 使用情境:CloudFront = 可快取的網頁內容(圖片、影片、API)。Global Accelerator = 非網頁或不可快取的流量(遊戲伺服器、VoIP、IoT、金融交易、多人連線遊戲的狀態)。
- IP 位址:CloudFront = 每個 distribution 的 IP 組會變動。Global Accelerator = 2 個固定 anycast IP(對必須以 IP allowlist 放行的企業防火牆非常友善)。
- 快取:CloudFront 會在 Edge 節點快取內容。Global Accelerator 不快取,只做路由加速。
- 容錯移轉:兩者都支援跨 Region 容錯移轉;Global Accelerator 可在一分鐘內把流量從不健康的端點上移開。
AWS Direct Connect——專屬私有連線
AWS Direct Connect 是一條從你的地端資料中心(或托管機房)拉進 AWS 網路、在 Direct Connect 地點終結的實體專屬網路連線,完全繞過公網。
連線類型
- Dedicated Connection:配發給你的 1 Gbps、10 Gbps 或 100 Gbps 實體埠。
- Hosted Connection:50 Mbps 到 10 Gbps,透過 AWS Direct Connect Partner 供應,比 dedicated 快上線。
Virtual Interface(VIF)
你在 Direct Connect 上建立 VIF:
- Private VIF:到達指定 Amazon VPC(透過 Virtual Private Gateway 或 Transit Gateway)。
- Public VIF:透過這條專線(而不是網際網路)到達 AWS 公用服務(S3、DynamoDB 等)。
- Transit VIF:到達 Direct Connect Gateway,用於大規模多 VPC 存取。
供裝現實
新申請的 dedicated Direct Connect 可能要數週到數月,因為光纖必須在實體托管機房交叉接線。這是 CLF-C02 的陷阱:情境若寫「本週結束前要上線」,Direct Connect 就是錯誤答案——先用 Site-to-Site VPN,等 Direct Connect 亮燈再遷過去。
Direct Connect vs VPN——決策表
| 面向 | Direct Connect | Site-to-Site VPN |
|---|---|---|
| 媒介 | 專屬光纖 | 公用網際網路 |
| 加密 | 預設不加密(另加 MACsec 或 VPN over DX) | IPSec 通道 |
| 頻寬 | 最高 100 Gbps,穩定 | 每條通道最高 1.25 Gbps,會波動 |
| 延遲 | 低且穩定 | 會波動 |
| 建置時間 | 數週到數月 | 幾分鐘 |
| 成本 | Port 小時費+資料傳輸 | 通道小時費+資料傳輸(通常較便宜) |
| 適合 | 正式環境、法遵、大量資料 | DR、開發/測試、快速起步 |
Direct Connect 預設不加密 — 因為 Direct Connect 是實體私有線路,AWS 預設不會對其上的流量加密。若你的合規需求(HIPAA、PCI-DSS)要求傳輸中加密,請開啟 MACsec(10 Gbps 與 100 Gbps 可用),或在 Direct Connect 上再疊一層 IPSec VPN。認為「私有=已加密」是考試與實務上都很常見的錯誤。 Reference: https://docs.aws.amazon.com/directconnect/latest/UserGuide/encryption-options.html
AWS Site-to-Site VPN 與 AWS Client VPN
Site-to-Site VPN
Site-to-Site VPN 在你地端的 customer gateway 設備(支援 IPSec 的路由器或防火牆)與附掛在 Amazon VPC 的 Virtual Private Gateway(VGW) 或 Transit Gateway 之間,建立加密 IPSec 通道。每條 AWS Site-to-Site VPN 連線內含兩條通道、分落兩個 AZ 提供冗餘。幾分鐘可完成建置,每小時費用極低。
以下情境用 Site-to-Site VPN:
- 需要快速連通。
- 頻寬需求不高(每條通道 1.25 Gbps 以下)。
- 成本比延遲穩定性更重要。
- Direct Connect 施工中尚未完成。
AWS Client VPN
AWS Client VPN 是基於 OpenVPN 的託管服務,讓個別終端使用者(員工、外包)用筆電或手機透過加密通道連進你的 Amazon VPC。身分驗證可選 Active Directory、SAML 聯邦或相互 TLS。把它想成「企業遠端存取 VPN」——用途和連接整座資料中心的 Site-to-Site VPN 不同。
AWS VPN CloudHub
這是比較舊的模式:單一 VGW 終結多條 Site-to-Site VPN,各分公司彼此透過 AWS 通訊。大多已被 Transit Gateway 取代,但仍在 CLF-C02 範圍內。
AWS Transit Gateway——網路中樞
AWS Transit Gateway 是區域型中樞,串接 Amazon VPC、Direct Connect gateway 與 Site-to-Site VPN。所有 attachment 只跟 Transit Gateway 對話,由 Transit Gateway 在它們之間做 transit 路由。關鍵特性:
- 擴展至數千個 Amazon VPC 的 hub-and-spoke 拓撲。
- 每個 attachment 一張路由表,可做區隔(例如就算 prod-VPC 與 dev-VPC 都接上來,仍可禁止 prod-VPC 連到 dev-VPC)。
- Transit Gateway Peering 可把中樞延伸跨 AWS Region。
- 透過 AWS Resource Access Manager(RAM)共享,讓多個 AWS 帳號把各自的 VPC 接到同一個中央 Transit Gateway。
只要情境提到跨帳號、跨 Region、多個 VPC 或需要遞移路由,Transit Gateway 就是 AWS 網路服務的正確答案。
其他須認得的 AWS 網路服務
雖然 Task 3.5 聚焦在 VPC、Route 53、CloudFront、VPN 與 Direct Connect,CLF-C02 仍可能把下列服務當成干擾選項:
- Amazon API Gateway——發布 HTTP REST 與 WebSocket API 的託管服務。並非 Amazon VPC 底層管路,但常與其並列。
- AWS App Mesh——微服務的 service mesh;辨識等級即可。
- AWS Cloud Map——AWS 雲端資源的服務探索。
- AWS PrivateLink——透過 Interface Endpoint 把你的服務私密暴露給其他 Amazon VPC,無需 peering。
- AWS Network Firewall——VPC 層級的託管有狀態防火牆(比 Security Group/NACL 更深)。
- Elastic Load Balancing(ELB)——ALB(第 7 層)、NLB(第 4 層)、GWLB(第 3 層、給資安設備用)。歸在 AWS 網路服務底下,因為它就住在 VPC Subnet 裡。
並排比較:AWS 網路服務速查表
| 情境 | 正確的 AWS 網路服務 |
|---|---|
| AWS 內隔離的虛擬網路 | Amazon VPC |
| DNS +網域註冊 | Amazon Route 53 |
| 網頁內容的全球 CDN | Amazon CloudFront |
| TCP/UDP 遊戲伺服器的靜態 IP | AWS Global Accelerator |
| 連到資料中心的專屬 10 Gbps 線路 | AWS Direct Connect |
| 與地端的快速加密通道 | AWS Site-to-Site VPN |
| 給遠端員工的筆電 VPN | AWS Client VPN |
| 以中樞連接 50 個 VPC | AWS Transit Gateway |
| 跨帳號的私有 API 暴露 | AWS PrivateLink |
| 執行個體的進入防火牆 | Security Group |
| 子網層級、含 deny 規則的 ACL | Network ACL(NACL) |
AWS 網路服務的常見考試陷阱
- VPC Peering 不具遞移性——多 VPC 網狀請選 Transit Gateway。
- Security Group 有狀態、NACL 無狀態——兩者相反。
- Security Group 只支援 allow 規則;NACL 支援 deny——要封鎖特定 IP 時關鍵。
- Direct Connect 預設不加密——加 MACsec 或在 DX 上疊 IPSec VPN。
- CloudFront 給 HTTP 內容、Global Accelerator 給 TCP/UDP——協定是最快的辨識點。
- Route 53 Alias 免費且在 zone apex 必須用——一般 CNAME 在 apex 會失敗。
- NAT Gateway 是可用區等級、不是區域級——高可用時每個 AZ 都要部署一座。
- Elastic IP 沒附掛時會收費——經典的帳單地雷。
- Direct Connect 供裝要數週——絕不是「緊急」情境的答案。
- 一個 Subnet = 一個 AZ——Subnet 永遠不跨 AZ。
CLF-C02 三大網路關鍵區分 — 考試當天,若 AWS 網路服務只能記三件事,請記:
- VPC Peering ≠ 遞移;Transit Gateway = 遞移。
- Security Group = 有狀態/執行個體;NACL = 無狀態/子網。
- CloudFront = HTTP Edge 快取;Global Accelerator = 給 TCP/UDP 的靜態 IP,走 AWS 骨幹。 Reference: https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html
AWS 網路服務 vs 全球基礎架構——3.5 與 3.2 的分界
CLF-C02 把 AWS 網路服務切給兩個 Task。**Task 3.2(Global Infrastructure)**負責 Region、AZ 與 Edge 節點的觀念。**Task 3.5(AWS 網路服務)**負責跑在這套基礎架構上的服務——Amazon VPC、Route 53、CloudFront、Direct Connect、VPN。兩者的交集是 CloudFront:它是一個服務(3.5),但住在 Edge 節點裡(3.2)。題目聚焦在「基礎架構在哪」就是 3.2;問「要挑哪個服務」則屬 3.5。
AWS 網路服務 vs 資安服務——3.5 與 2.4 的分界
Amazon VPC 的 Security Group、NACL 與 Network Firewall 技術上是網路服務,但也會出現在 Security 領域(2.4)。在 CLF-C02,Security Group 與 NACL 最常被當成 AWS 網路服務(3.5)來考;AWS WAF、AWS Shield 與 Network Firewall 則較常出現在 Security(2.4)。若兩邊都說得通,以 Task 敘述用語歸屬的領域為準。
AWS 網路服務的練習題型樣貌
CLF-C02 針對 AWS 網路服務通常有以下題型:
- 挑服務:「哪個 AWS 網路服務提供 X?」→ 直接回想。
- 二選一陷阱:「UDP 遊戲伺服器要 CloudFront 還是 Global Accelerator?」→ 用協定判斷。
- 有狀態/無狀態:「哪個控制可以在子網層級做 deny?」→ NACL。
- 遞移路由:「A 與 B 對等、B 與 C 對等,A 可到 C 嗎?」→ 不行,改用 Transit Gateway。
- 混合連線:「緊急 DR 連線、要加密、要便宜?」→ Site-to-Site VPN,不是 Direct Connect。
- DNS 路由政策:「主備式容錯移轉搭健康檢查?」→ Route 53 failover 政策。
FAQ——AWS 網路服務熱門問題
Q1:Amazon VPC 的 Security Group 與 NACL 差在哪?
Security Group 是附掛在個別資源(EC2 執行個體、ENI、RDS)上的有狀態防火牆,只支援 allow 規則,回應流量自動放行。NACL 是附掛在整個 Subnet 上的無狀態防火牆,同時支援 allow 與 deny,回應流量需另訂規則。Security Group 是主防線;NACL 是次要的子網層過濾,也是用來封鎖特定 IP 的地方。
Q2:什麼時候選 AWS Direct Connect 而非 AWS Site-to-Site VPN?
當你需要大約 1 Gbps 以上的穩定頻寬、可預期的低延遲、禁止走公網的法遵需求,或 DX 出向定價優於 VPN 的大量持續性傳輸時,就選 Direct Connect。若你需要幾分鐘就上線、頻寬 1.25 Gbps 以下,或做為 Direct Connect 的低成本備援,就選 Site-to-Site VPN。正式環境常見模式是 DX 為主、VPN 為備。
Q3:Amazon CloudFront 是不是和 AWS Global Accelerator 一樣?
不一樣。CloudFront 是在 Edge 節點快取 HTTP/HTTPS 內容的 CDN;Global Accelerator 提供兩個靜態 anycast IP,把 TCP 與 UDP 流量透過 AWS 骨幹路由、不做快取。可快取的網頁內容、靜態資源與 API 選 CloudFront;即時非 HTTP 工作負載(遊戲、IoT、VoIP)或任何需要固定 IP 以供防火牆 allowlist 的情境,選 Global Accelerator。
Q4:為什麼 VPC Peering 叫「不具遞移性」?怎麼解決?
VPC Peering 只會在兩個直接對等的 VPC 之間轉送封包。VPC-A 與 VPC-B 對等、VPC-B 與 VPC-C 對等,VPC-A 仍然無法經由 VPC-B 到達 VPC-C——AWS 不會替你轉送遞移流量。要在規模下啟用遞移路由,請用 AWS Transit Gateway 當中樞;每個 VPC 各接一次,流量就經中樞的路由表遞移傳遞。
Q5:全球災難復原要挑哪個 Route 53 路由政策?
用 failover 路由政策,並對主端點設 Route 53 健康檢查。主記錄(例如 us-east-1 的 ALB)持續服務,直到健康檢查失敗;Route 53 再把 DNS 回應切到備援記錄(例如 eu-west-1 的 ALB)。若要涵蓋多個 Region 或做延遲最佳化,就把 failover 與 latency-based 或 weighted 政策透過巢狀記錄組合起來。
Q6:S3 靜態網站前面一定要放 CloudFront 嗎?
強烈建議要。CloudFront 會送你免費的 AWS Shield Standard DDoS 防護、全球 Edge 快取(使用者更快、你也省回源輸出流量)、含自動輪替的免費 ACM TLS 憑證,以及能把 S3 鎖成「僅 CloudFront 可讀」的 Origin Access Control。直接用 S3 公用網站端點服務,則以上好處全都拿不到。
Q7:AWS PrivateLink 是什麼?與 VPC Peering 比如何?
PrivateLink 透過 Interface Endpoint(一張帶私有 IP 的 ENI)把某個 VPC 的特定服務暴露給另一個 VPC,不需要 peering,也不必調整路由表。它是單向的(服務/消費者模型),可擴展到數千個消費者而不會撐爆路由表。VPC Peering 是雙向、暴露整段 CIDR,規模上不如 PrivateLink 乾淨。SaaS 式的服務暴露用 PrivateLink;一般用途的 VPC 對 VPC 連線則用 peering 或 Transit Gateway。
延伸閱讀
- AWS VPC Connectivity Options 白皮書
- Amazon Route 53 Developer Guide(路由政策所有章節)
- Amazon CloudFront Developer Guide(Getting Started 與 Security 章節)
- AWS Direct Connect Resiliency Recommendations 白皮書
- AWS Transit Gateway Design Best Practices 白皮書
- AWS Well-Architected Framework——Reliability 與 Security 支柱
把這些 AWS 網路服務——Amazon VPC、Route 53、CloudFront、AWS Global Accelerator、AWS Direct Connect、AWS Site-to-Site VPN、AWS Client VPN 與 AWS Transit Gateway——吃透,CLF-C02 的 Task 3.5 就會從地雷區變成穩定得分區。最經典的 AWS 網路服務陷阱(VPC peering 不遞移、Security Group 對 NACL、CloudFront 對 Global Accelerator、Direct Connect 對 VPN)都是反覆出現的考點;現在就把心智模型建好,上場自然一眼認出。祝你在 CLF-C02 的 AWS 網路服務題目一路過關。