AWS:4.VPC
主要介绍
1.Amazon混合云
2.将EC2加入VPC
3.VPC经典场景
4.VPC安全保障
Amazon混合云 : 在公有云的基础上创建私有云
VPC概念
VPC(VPC Virtual Private Cloud),是在逻辑上从公有云上隔离出来一个私有云
安全性
提升安全性
EC2-classic,EC2是暴露在网络中,靠安全组保证安全性
EC2-VPC,多了一层保护,依赖VPC上的ACL(访问控制列表)
客户访问时 先经过VPC(ACL),再到EC2(安全组)
推荐第二方式EC2-VPC
Amazon希望公有云是私有云的集合,用户可以创建多个私有云,每个私有云有多个子网,每个子网有多个云主机实例,从而组成集群
集群放到子网中,子网放到某个可用区中,在实现集群的高可用有非常大帮助
Amazon的其他产品,负载均衡和伸缩组也是基于VPC进行的操作
也就是每台云主机实例必须放到一个私有云中
默认VPC
每个Amazon给每个amazon账户提供一个默认的VPC
创建云主机时默认放到默认的VPC中
将EC2加入VPC
子网
VPC是由若干子网构成
VPC: 172.32.0.0/16
N个子网,例如
172.32.1.0/24
172.32.2.0/24
.....
计算一下VPC内的主机数、子网数和子网内的主机数
子网范围不够大
更改子网需要将原来子网的云主机迁移到新子网中,成本巨大,最好先规划好子网可以容纳多少台主机
更改子网过程(成本大):
建立一个更大的新子网,将EC2云主机迁移到该子网,将旧子网的主机终止后删掉子网
可用区
子网不可以跨可用区,VPC可以跨可用区;
公有子网在可用区A
私有子网在可用区B
可用区可有多个子网
公网和私网
公网
与外网的客户端能互相访问
私网
只能与同一VPC的子网互相访问
判断过程:子网 -> 路由表 -> 是否igw-xxx网关
公网的关联过程:
igw ---(绑定到)--> VPC
igw ---(附加到)--> 路由表
将一个子网更换为私网
创建一个默认的路由表,将子网的路由表更换为此新建的路由表
路由表
组成:
目的地 网关
172.32.0.0/16 EC2-211
意思是说本子网要到达172.32.0.0/16网络,要经过网关EC2-211云主机实例
默认路由
目的地 目标
172.16.0.0/16 local 表示子网不通过网关直接访问VPC,无需网关直接访问其他子网的云主机
0.0.0.0/0 igw-xxxx 表示子网通过igw-xxxx网关访问外网
网关
下面这个网关决定了子网是公网,如果没有则子网是私网
0.0.0.0/0 igw-xxxx #igw-xxxx表示internet网关
补充:除了internet网关,还有VPN网关,需要创建VPN连接才能使用,通过VPN网关,EC2能能访问对端的VPN网络
创建VPC
进入VPC控制面板,左侧"你的VPC" -> 创建VPC,输入
名称标识 demoVPC
CIDR地址 172.33.0.0/16
租赁 默认(如果非默认就会放到收费的主机上)
创建完成后,自带一个默认路由表
a.创建子网
进入VPC控制面板,左侧"子网" -> 创建子网,输入
名称标签 TestSubnet
VPC demoVPC
可用区 #默认
CIDR块 172.33.1.0/24
b.更改子网为公网
#修改路由表,增加访问外网的internet网关即可
c.创建EC2实例
在"2.配置实例"界面,输入
网络 #某个VPC
子网 #某个VPC下的子网
VPC界面介绍:
进入VPC控制面板,左侧"你的VPC" ->
名称 VPC ID 状态 VPC CIDR DHCP选项集 路由表 网络ACL
TestVPC vpc-xxxx avaliable 172.31.0.0/16 dopt-xxxx rtb-xxxxx acl-xxxx
左侧"子网" ->
名称 子网ID 状态 VPC CIDR 可用IP 可用区
subnet-axxx avaliable vpc-xxxx(172.31.0.0/16) 172.31.0.0/20 4086 cn-north-1a
subnet-bxxx avaliable vpc-xxxx(172.31.0.0/16) 172.31.16.0/20 4086 cn-north-1b
每个子网要绑定路由表和网络ACL
左侧"路由表" ->
名称 路由表-ID 显示关联与 主路由 VPC
rtb-xxxxx x个子网 是 vpc-xxxx
左侧"Internet网关" ->
名称 ID 状态 VPC
igw-xxxxx attached vpc-xxxx
可以创建"Internet网关",将此网关附加到VPC,或从VPC解除
VPC的四种经典场景
只有公共子网的VPC
所有子网都配置internet网关的VPC
与外网通讯的方式
1. internet网关,访问是双向的,此网关作为一个转发器
2.NAT实例,访问是单向的(它能访问公网,但公网不能访问它),访问公网时会进行源地址转换
子网能与公网互相访问
具体场景:web服务器集群
公有子网内的EC2作为web服务器需要配置公网IP或弹性IP
有公共子网和私有子网的VPC
具体场景:web服务器+数据库服务
公有子网内的EC2作为web服务器可以接收客户端请求,将数据处理请求转发给私有子网的数据库服务器来处理,数据库是不能对公网开放访问的
补充:WEB服务器前端和数据库服务器前端可以增加ELB来实现负载均衡
有公共子网和私有子网,且使用VPN的VPC
是上一个场景的延伸。客户新的数据放在私有子网中,而旧的数据放在数据中心自己的服务器中,在私有子网上绑定VPN网关,让私有子网与数据中心的服务器互相访问,从而让公网客户通过公共子网来访问新旧数据
适合向云迁移的客户
只有私有子网,且使用VPN的VPC
客户在数据中心有自己的web服务器和数据库服务器,私有子网主要存放新数据,里面设置VPN网关,通过VPN与数据中心互相访问;当用户访问数据中心的web服务器时,web服务器向数据中心获取旧数据并且可以向私有子网获取新数据
适合向云拓展的客户
ACL
EC2的安全有2层
安全组(云主机):
入站和出站的防火墙规则
类型 协议 端口范围 来源
ACL(子网)
场景:公有子网的作为Web服务器的EC2,允许来自任何IP的人访问其上的http和https服务,但仅允许来自几个固定IP的人访问ssh(ssh)或rdp(windows)服务
创建ACL
vpc控制面板 -> 安全性 -> 网络ACL
创建网络ACL
名称标签 testACL
VPC demoVPC
查看ACL
入站规则
默认是拒绝的
样例:允许http、https、SSH
规则 类型 协议 端口范围 源 允许/拒绝
101 HTTP TCP 80 0.0.0.0/0 允许
102 HTTPS TCP 443 0.0.0.0/0 允许
103 SSH TCP 22 x.x.x.x/x 允许
补充:可以界面查询到自己的IP来填写上面的SSH源IP
EC2控制面板 -> 网络与安全 -> 安全组 -> 入站 -> 编辑 -> 来源 -> 我的IP
出站规则
默认也是拒绝的
样例:允许http、https、SSH
规则 类型 协议 端口范围 目标 允许/拒绝
101 自定义TCP规则 TCP 1024-65535 0.0.0.0/0 允许
端口范围1024-65535为客户端的端口
三条入站规则对应一条出站规则
安全组和ACL
使用的区别
实例层的安全组:
创建实例的第六步"配置安全组"
安全组属于某个VPC的,应该选择其中一个安全组或创建一个安全组
子网层的ACL
VPC控制面板-> 安全性 -> 网络ACL -> 选择某个子网 -> 子网关联
入站时的流量:-> ACL -> 安全组
出站时的流量:-> 安全组 -> ACL
区别
层面
安全组: EC2
ACL: 子网
状态
安全组: 无 (入站时允许,出站时也自然允许,只需设置入站规则即可)
ACL: 有 入站和出站都要允许
拒绝
安全组: 不能
ACL: 可以 被黑客攻击,能拒绝该黑客的IP流量
总结:
VPC概念
子网、路由表、网关
创建VPC
VPC的四种场景
VPC-ACL
