5 - AWS Networking (Ağ Hizmetleri)

Cheatsheet

1. Temel Kavramlar ve Amazon VPC

AWS Bulutunun mantıksal olarak izole edilmiş bir bölümü. Tanımladığınız sanal bir ağda AWS kaynaklarını başlatmanıza olanak tanır.

VPC'nin Üç Temel Avantajı:

Güvenlik Artışı: Bağlantıları izleme, trafiği tarama ve erişimi kısıtlama imkanı.
Tam Kontrol: Kaynak yerleşimi, bağlantı türleri ve güvenlik yapılandırması üzerinde tam yetki.
Kolay Yönetim: Geleneksel şirket içi (on-premise) ağlara kıyasla kurulum ve yönetim için daha az zaman harcanır.

Kaynakları organize etmek, güvenliği sağlamak veya izole etmek amacıyla VPC içinde oluşturulan segmentlerdir.

Genel Alt Ağ (Public Subnet): İnternete açıktır. Web sunucuları gibi dışa dönük kaynaklar burada barındırılır.
Özel Alt Ağ (Private Subnet): İnternete kapalıdır. Veritabanları gibi hassas veriler burada tutulur.

Bir VPC oluşturulduğunda parçalar otomatik olarak birbirine bağlanmaz; bir yapboz gibi manuel olarak yapılandırılmalıdır.

Internet Gateway (IGW): VPC ile internet arasındaki bağlantıyı sağlar. Genel trafiğin içeri girmesine izin verir.
Virtual Private Gateway (VGW): Şirket içi veri merkezi ile VPC arasında şifreli bir VPN tüneli oluşturur. Sadece onaylı ağlardan trafik kabul eder.
NAT Gateway: Özel (Private) alt ağların internete bağlanmasını (örn: güncelleme için) sağlar, ancak internetten içeri giriş yapılamaz.
AWS Transit Gateway: Birden fazla VPC'yi ve şirket içi ağı merkezi bir hub üzerinden birbirine bağlar.

AWS'de güvenlik "Paylaşılan Sorumluluk Modeli" gereği kullanıcının sorumluluğundadır. İki ana güvenlik katmanı bulunur.

Seviye: Alt Ağ (Subnet) Seviyesi
Durum (State): Durumsuz (Stateless): Hafızası yoktur. Giren trafiği ayrı, çıkan trafiği ayrı kontrol eder.
Kural Tipi: İzin Ver (Allow) VE Reddet (Deny).
Varsayılan: Tüm trafiğe izin verir.

Seviye: Kaynak (Instance/EC2) Seviyesi
Durum (State): Stateful (Durumlu): Hafızası vardır. İsteğin geldiğini hatırlar; girişe izin verdiyse çıkışa otomatik izin verir.
Kural Tipi: Sadece İzin Ver (Allow). Reddet kuralı yazılamaz.
Varsayılan: Tüm gelen trafiği (inbound) reddeder.

İnternet -> Internet Gateway -> Network ACL -> Alt Ağ -> Security Group -> EC2

Farklı ihtiyaçlara göre 4 ana bağlantı yöntemi vardır:

AWS Client VPN (İstemci VPN)
- Amaç: Uzaktan çalışan personeli (bireysel) AWS'ye bağlamak.
- Özellik: Tam yönetilen, donanım gerektirmeyen yapı.
AWS Site-to-Site VPN (Siteler Arası)
- Amaç: Şirket ofisi veya veri merkezini AWS'ye bağlamak.
- Özellik: İnternet üzerinden şifreli ve güvenli tünel.
AWS PrivateLink (Özel Bağlantı)
- Amaç: İki VPC arasında veya VPC ile AWS servisleri arasında internete çıkmadan özel bağlantı kurmak.
- Özellik: Internet Gateway gerektirmez, daha güvenlidir.
AWS Direct Connect (Doğrudan Bağlantı)
- Amaç: Şirket içi ağdan AWS'ye fiziksel, özel fiber hat çekmek.
- Avantajlar: Düşük gecikme, yüksek bant genişliği, maliyet tasarrufu (büyük veri transferlerinde).
- Kullanım: Hibrit bulut, video akışı gibi gecikmeye duyarlı işler.

Kullanıcılara daha hızlı ve güvenilir hizmet sunmak için "Edge Networking" (kullanıcıya yakın olma) prensibi kullanılır.

İşlevi: İnternetin telefon rehberidir. Alan adlarını (www.ornek.com) IP adreslerine çevirir.
Yetenekleri: Kullanıcıları coğrafi konuma veya gecikmeye (latency) göre en yakın kaynağa yönlendirir.

İşlevi: Web sitesi, video, resim gibi içerikleri kullanıcılara en yakın "Edge Location"larda (Uç Nokta) önbelleğe alır.
Çalışma Mantığı:
1. Kullanıcı siteye girer -> Route 53 yönlendirir.
2. İstek en yakın CloudFront sunucusuna gider.
3. Dosya önbellekte varsa hemen sunulur (Çok hızlı).
4. Yoksa ana sunucudan (Origin) çekilir, sunulur ve bir kopyası saklanır.

İşlevi: AWS'nin küresel ağ altyapısını kullanarak uygulama performansını artırır.
Nasıl Çalışır: Size statik IP adresleri verir ve trafiği halka açık internet yerine AWS'nin kendi hızlı ağı üzerinden yönlendirir.
Kullanım: Oyun (gaming), hızlı failover gerektiren finans uygulamaları.