太棒了！我们继续来一道 **模拟题三**，模仿 Week 13 中的 **VPC + Subnet + Security Group 场景题（Q3）**，涵盖网络架构、子网划分、安全组配置、流量路径等关键考点。

------

## ✅ 模拟题三：VPC 架构与安全组设计（共 4 小问）

------

### 📘 场景描述：

你正在部署一个典型的三层 Web 应用架构在 AWS 上，要求安全性高、可从公网访问。你的 VPC 架构如下：

#### 子网配置：

| 子网名称 | 类型 | CIDR | 默认路由目标 |
| --------- | ------- | ----------- | --------------------------- |
| WebSubnet | Public | 10.0.1.0/24 | Internet Gateway (IGW) |
| AppSubnet | Private | 10.0.2.0/24 | NAT Gateway（在 WebSubnet） |
| DBSubnet | Private | 10.0.3.0/24 | 无出站互联网访问 |

#### 部署内容：

- WebSubnet 中部署了一个 **Application Load Balancer（ALB）**，监听 443（HTTPS）
- AppSubnet 中部署了若干 **EC2 实例**，运行 Web 应用，监听端口 5000
- DBSubnet 中部署了一个 **RDS 数据库实例**，监听端口 3306
- 所有子网都在同一个 AZ 中（us-east-1a）

#### 其他要求：

- ALB 应对公网开放
- App 层 EC2 必须只接受来自 ALB 的流量
- 数据库必须只接受来自 App 层的连接
- 开发人员通过 Bastion Host（另一个子网）远程 SSH 访问 App 层
- App 层可以需要访问互联网更新软件

------

### 💬 问题：

#### **1. [3 分]**

你需要创建几个 Security Group？它们分别对应哪些组件？（请列出名称和用途）

三个Security Group。

第一个WebSubnetSG：对应WebSubnet，允许对应公网HTTP443访问入站，允许WebSubnet在公网上的网络进出

第二个AppSubnetSG：对应AppSubnet，允许AppSubnet出站并且允许AppSubnet监听5000端口，允许AppSubnet的公网出站和监听ALB的5000端口，同时允许开发人员SSH访问AppSubnet

第三个DBSubnetSG：对应DBSubnet，只允许AppSubnet和DBSubnet进行交互并且对应连接修改RDS数据库，允许AppSubnet通过相关操作调用DBSubnet后执行数据库修改操作

------

#### **2. [3 分]**

请为每个 Security Group 列出**Inbound Rule**，包括协议、端口范围、允许来源（IP 或 Security Group）

WebSubnetSG：

协议tccp，端口443，允许来源：指定公网来源，例如对应开放公网地址，如果允许全部访问应该是0.0.0.0/0。

AppSubnetSG：

协议SSH ，端口22，允许来源：Bastion Host的ip地址

协议constom TCP ，端口5000，允许来源：WebSubnetSG

DBSubnetSG：

协议RDS ，端口3306，允许来源：AppSubnetSG

------

#### **3. [2 分]**

App 层中的 EC2 实例如何访问互联网？请说明网络路径和使用的组件。

EC2实例是从NAT Gateway连接到WebSubnet，然后从WebSubnet连接aws的IGW，然后从IGW进行出站，入站同理

------

#### **4. [2 分]**

是否可以将 RDS 数据库直接暴露给公网访问？为什么？如果必须远程访问，应如何安全实现？

RDS 数据库不可以直接暴露公网访问，因为RDS是按照条数计费的，暴露公网可能会造成大量数据进入，造成严重损失。如果需要远程访问，需要在Bastion Host连接AppSubnet的EC2实例后，在其中进行访问

------

📝 请你完成这 4 小题，你答完后我会逐题批改，继续加油！💪