緯育 2026-0604

AWS 雲端網路與基礎設施設計——VPC、NAT、VPC Peering、EC2、S3、容器化與企業級RAG

本系列課程聚焦於AWS雲端網路與基礎設施的設計與實作，從VPC公私子網的連線原理、IGW與NAT Gateway的角色分工，到VPC Peering跨帳號/跨Region互聯與路由表雙向更新的排錯方法；並延伸至EC2實作（AMI、實例類型、EBS/ENI/EIP、Placement Groups與高可用性設計）、S3物件儲存（Bucket/ACL/Policy/加密/版本/生命週期/跨區複寫/預簽章URL/Transfer Acceleration）與CLI操作。

課程同時安排實作：以跳板機連入私有子網、部署NAT打通私網出站、在私網主機安裝Docker與MySQL、規劃前後端分離；進一步帶領跨VPC/跨Region私網互聯測試，並強化以單一變因驗證與拓撲繪圖建立心智模型。後段提出專題方向：從經典單體到容器化/微服務與CI/CD，乃至企業級RAG知識庫AI Agent的雲端落地；涵蓋團隊協作、分支治理、逐步自動化、多雲（AWS+GCP）實作與AI治理。課程亦穿插實務心法、職涯建議與學習方法，強調以測試定義成功、以圖溝通、以AI輔助但不取代理解，並規劃彩排與發表時程。

1. 公有/私有子網與路由表

• 公私子網判定以路由表為準：公網子網的路由表具指向IGW的路由；私網子網不寫IGW。
• 私網不可由外部直連：即便分配公網IP，若路由缺失，封包無法到達。
• 常見誤區：SG/NACL全開但仍不通，多因路由表出口（IGW/NAT）未配置。
• 單一變因對比實驗：僅改變路由/閘道以定位可達性差異。

2. 私網連外的NAT設計

• NAT Gateway用途：允許私網對外出站、阻擋外部直入，符合最小外露原則。
• 部署要求：NAT Gateway必須位於公網子網；私網子網的路由表加入指向NAT的0.0.0.0/0。
• 實作流程：建立VPC→關聯IGW→公網子網參照主路由表→建立私網路由表（不含IGW）→於公網子網建NAT→私網路由表指向NAT→驗證連通（如ping 8.8.8.8）。

3. 跳板機與金鑰

• 傳統連線法：先登公網子網EC2（跳板機），再SSH到私網EC2。
• 金鑰驗證：兩段連線兩次獨立金鑰驗證，可用同一金鑰檔但屬兩次驗證。
• 建議繪圖：以拓撲視覺化封包路徑澄清卡點。

4. VPC Peering（跨帳號/跨Region）

• 建立/接受：一方發起，一方接受，僅代表「通道建立」。
• 雙向路由表更新：雙方在各自子網關聯的路由表新增「對方VPC CIDR→Peering Connection」；單邊更新會造成單向或不通。
• 安全性規則：目標端SG/NACL需允許來自對方VPC網段（TCP 22、ICMP等）。
• 測試判讀：無回應多半為路由/防火牆問題；出現認證拒絕表示網路已通但金鑰不匹配。
• 公私路由覆蓋：需要由公網子網訪問對端私網時，公網子網所參照的路由表也需加入peering路由。

5. EC2基礎與網路

• EC2本質：VM；核心概念含AMI、實例類型（t2.micro/t3.micro）、Key Pair（SSH登入）、SG（實例層防火牆）、User Data（首次啟動執行）。
• EBS儲存：gp2（IOPS隨容量變動）vs gp3（IOPS獨立可調）、io1/io2（高IOPS）；快照用於備份與跨區複製。
• EBS加密轉換：未加密→複製快照→以加密快照建立新卷→掛載。
• ENI與IP：預設一張ENI，需多IP可增配ENI；Stop/Start會更換Public IP，Private IP不變。
• Elastic IP：提供固定公網IP；計費需注意；生產上建議以DNS映射而非曝露IP。
• Placement Groups：
  • Cluster：同域集中以獲低延遲，適用HPC/高速訓練；AZ失效風險集中。
  • Spread：單機分散到不同機架/可跨AZ，提升HA；每組最多7台，適合少量但不能掛的負載。
  • Partition：分組分散、可跨AZ、容納大規模節點，適合需replication的分散式系統（如Kafka）；延遲相對高、操作較重。
• DR實務：定期演練、閘道切換、跨區/跨地切流，設計回切與驗證流程。

6. S3核心與實作

• 基本概念：Bucket/Object/Key；常見用途含檔案儲存、靜態網站託管。
• 權限層級：Block Public Access優先級最高；ACL較舊且難管理；Bucket Policy（JSON）為主流；IAM Policy對身份授權。
• 存取方式：
  • HTTPS物件URL（需公開或policy允許）。
  • S3 URI（s3://...）供程式/已認證身份使用。
  • 預先簽署URL（具時效、無需公開Bucket）。
• 版本控制與安全：Versioning（刪除標記可復原）、MFA Delete、Object Lock（WORM）。
• 加密：SSE-S3（S3管理金鑰）、SSE-KMS（KMS管控權限與審計）、客戶端加密（自行持鑰）。
• 生命週期與分層：從Standard→Standard-IA→Glacier等自動轉移；Intelligent-Tiering自動最佳化；理解Durability/Availability差異與最短保留/取回延遲。
• 跨區複寫（CRR）：可跨Region/跨帳號複寫；Transfer Acceleration加速傳輸；Server Access Log/Object-level Logging追蹤存取。
• 靜態網站託管：在Properties啟用、設定index/error文件；教學中示範開放/關閉公開訪問；實務可搭配CloudFront更專業。
• CLI操作：申請IAM Access Key、aws configure設置、透過CLI建立/上傳檔案、啟用靜態託管與驗證。

7. 應用實作與跨網測試

• 私網主機連外驗證：ping 8.8.8.8、SSH嘗試行為判讀。
• 兩台私網Ubuntu安裝Docker並以容器化部署MySQL；規劃前端在可訪問環境、DB於私網，落實分層安全。
• 與他組跨VPC/跨Region私網互聯：交換私有IP、以SSH/ICMP驗證，釐清路由/SG/NACL/金鑰問題。

8. 架構演進：單體→容器化→微服務→編排

• 故事一（單體風險）：共同維運單體Flask，刻意引入小Bug觀察「全壞」風險，映照流程缺陷。
• 故事二（服務拆分）：拆為多個獨立Flask服務，各自容器化；以反向代理統一入口，為ECS/K8s鋪路。
• 容器映像治理：版本標記、掃描、推送與後續接入CI。
• 多雲與自動化：從手動到局部自動化再到CI/CD；從單一AWS走向AWS+GCP並行；建立分支策略與PR檢查。

9. AI專題與治理

• 企業級RAG客服AI Agent：多元資料向量化與索引設計、查詢精度/延遲/成本評估；選型AWS/GCP/開源向量DB；在雲端實裝。
• Prompt/Form治理：企業級規範（敏感詞、禁止回覆規則）、集中治理與部門繼承。
• Data Drift：需規劃原始資料保存、再向量化策略與效能測試。
• AWS整合專題：SCP研究與內部系統整合；FinOps查詢AI；AI安全與模型監控（Prompt/使用狀態）設計。

10. 專題規劃、分組與學習方法

• 專題方向：經典架構（含RDS私網整合）、微服務（Docker/12-Factor）、CI/CD、AI Agent/知識庫、n8n/RPA整合、本地到雲端遷移。
• 分組規則：每組至多三人；合作或競賽模式自定；同題可多組並行。
• 里程碑與時程：彩排日2026-06-29、正式發表2026-06-30；準備完整簡報與一頁式簡報。
• 學習心法：以圖溝通、以測試定義成功；多次演練建立直覺；閱讀官方文件與每日AWS新知；善用AI輔助但維持基礎功。