主要介绍
1.Amazon混合云
2.将EC2加入VPC
3.VPC经典场景
4.VPC安全保障
Amazon混合云 : 在公有云的基础上创建私有云
VPC概念
VPC(VPC Virtual Private Cloud),是在逻辑上从公有云上隔离出来一个私有云
安全性
提升安全性
EC2-classic,EC2是暴露在网络中,靠安全组保证安全性
EC2-VPC,多了一层保护,依赖VPC上的ACL(访问控制列表)
客户访问时 先经过VPC(ACL),再到EC2(安全组)
推荐第二方式EC2-VPC
Amazon希望公有云是私有云的集合,用户可以创建多个私有云,每个私有云有多个子网,每个子网有多个云主机实例,从而组成集群
集群放到子网中,子网放到某个可用区中,在实现集群的高可用有非常大帮助
Amazon的其他产品,负载均衡和伸缩组也是基于VPC进行的操作
也就是每台云主机实例必须放到一个私有云中
默认VPC
每个Amazon给每个amazon账户提供一个默认的VPC
创建云主机时默认放到默认的VPC中
将EC2加入VPC
子网
VPC是由若干子网构成
VPC: 172.32.0.0/16
N个子网,例如
172.32.1.0/24
172.32.2.0/24
.....
计算一下VPC内的主机数、子网数和子网内的主机数
子网范围不够大
更改子网需要将原来子网的云主机迁移到新子网中,成本巨大,最好先规划好子网可以容纳多少台主机
更改子网过程(成本大):
建立一个更大的新子网,将EC2云主机迁移到该子网,将旧子网的主机终止后删掉子网
可用区
子网不可以跨可用区,VPC可以跨可用区;
公有子网在可用区A
私有子网在可用区B
可用区可有多个子网
公网和私网
公网
与外网的客户端能互相访问
私网
只能与同一VPC的子网互相访问
判断过程:子网 -> 路由表 -> 是否igw-xxx网关
公网的关联过程:
igw ---(绑定到)--> VPC
igw ---(附加到)--> 路由表
将一个子网更换为私网
创建一个默认的路由表,将子网的路由表更换为此新建的路由表
路由表
组成:
目的地 网关
172.32.0.0/16 EC2-211
意思是说本子网要到达172.32.0.0/16网络,要经过网关EC2-211云主机实例
默认路由
目的地 目标
172.16.0.0/16 local 表示子网不通过网关直接访问VPC,无需网关直接访问其他子网的云主机
0.0.0.0/0 igw-xxxx 表示子网通过igw-xxxx网关访问外网
网关
下面这个网关决定了子网是公网,如果没有则子网是私网
0.0.0.0/0 igw-xxxx #igw-xxxx表示internet网关
补充:除了internet网关,还有VPN网关,需要创建VPN连接才能使用,通过VPN网关,EC2能能访问对端的VPN网络
创建VPC
进入VPC控制面板,左侧"你的VPC" -> 创建VPC,输入
名称标识 demoVPC
CIDR地址 172.33.0.0/16
租赁 默认(如果非默认就会放到收费的主机上)
创建完成后,自带一个默认路由表
a.创建子网
进入VPC控制面板,左侧"子网" -> 创建子网,输入
名称标签 TestSubnet
VPC demoVPC
可用区 #默认
CIDR块 172.33.1.0/24
b.更改子网为公网
#修改路由表,增加访问外网的internet网关即可
c.创建EC2实例
在"2.配置实例"界面,输入
网络 #某个VPC
子网 #某个VPC下的子网
VPC界面介绍:
进入VPC控制面板,左侧"你的VPC" ->
名称 VPC ID 状态 VPC CIDR DHCP选项集 路由表 网络ACL
TestVPC vpc-xxxx avaliable 172.31.0.0/16 dopt-xxxx rtb-xxxxx acl-xxxx
左侧"子网" ->
名称 子网ID 状态 VPC CIDR 可用IP 可用区
subnet-axxx avaliable vpc-xxxx(172.31.0.0/16) 172.31.0.0/20 4086 cn-north-1a
subnet-bxxx avaliable vpc-xxxx(172.31.0.0/16) 172.31.16.0/20 4086 cn-north-1b
每个子网要绑定路由表和网络ACL
左侧"路由表" ->
名称 路由表-ID 显示关联与 主路由 VPC
rtb-xxxxx x个子网 是 vpc-xxxx
左侧"Internet网关" ->
名称 ID 状态 VPC
igw-xxxxx attached vpc-xxxx
可以创建"Internet网关",将此网关附加到VPC,或从VPC解除
VPC的四种经典场景
只有公共子网的VPC
所有子网都配置internet网关的VPC
与外网通讯的方式
1. internet网关,访问是双向的,此网关作为一个转发器
2.NAT实例,访问是单向的(它能访问公网,但公网不能访问它),访问公网时会进行源地址转换
子网能与公网互相访问
具体场景:web服务器集群
公有子网内的EC2作为web服务器需要配置公网IP或弹性IP
有公共子网和私有子网的VPC
具体场景:web服务器+数据库服务
公有子网内的EC2作为web服务器可以接收客户端请求,将数据处理请求转发给私有子网的数据库服务器来处理,数据库是不能对公网开放访问的
补充:WEB服务器前端和数据库服务器前端可以增加ELB来实现负载均衡
有公共子网和私有子网,且使用VPN的VPC
是上一个场景的延伸。客户新的数据放在私有子网中,而旧的数据放在数据中心自己的服务器中,在私有子网上绑定VPN网关,让私有子网与数据中心的服务器互相访问,从而让公网客户通过公共子网来访问新旧数据
适合向云迁移的客户
只有私有子网,且使用VPN的VPC
客户在数据中心有自己的web服务器和数据库服务器,私有子网主要存放新数据,里面设置VPN网关,通过VPN与数据中心互相访问;当用户访问数据中心的web服务器时,web服务器向数据中心获取旧数据并且可以向私有子网获取新数据
适合向云拓展的客户
ACL
EC2的安全有2层
安全组(云主机):
入站和出站的防火墙规则
类型 协议 端口范围 来源
ACL(子网)
场景:公有子网的作为Web服务器的EC2,允许来自任何IP的人访问其上的http和https服务,但仅允许来自几个固定IP的人访问ssh(ssh)或rdp(windows)服务
创建ACL
vpc控制面板 -> 安全性 -> 网络ACL
创建网络ACL
名称标签 testACL
VPC demoVPC
查看ACL
入站规则
默认是拒绝的
样例:允许http、https、SSH
规则 类型 协议 端口范围 源 允许/拒绝
101 HTTP TCP 80 0.0.0.0/0 允许
102 HTTPS TCP 443 0.0.0.0/0 允许
103 SSH TCP 22 x.x.x.x/x 允许
补充:可以界面查询到自己的IP来填写上面的SSH源IP
EC2控制面板 -> 网络与安全 -> 安全组 -> 入站 -> 编辑 -> 来源 -> 我的IP
出站规则
默认也是拒绝的
样例:允许http、https、SSH
规则 类型 协议 端口范围 目标 允许/拒绝
101 自定义TCP规则 TCP 1024-65535 0.0.0.0/0 允许
端口范围1024-65535为客户端的端口
三条入站规则对应一条出站规则
安全组和ACL
使用的区别
实例层的安全组:
创建实例的第六步"配置安全组"
安全组属于某个VPC的,应该选择其中一个安全组或创建一个安全组
子网层的ACL
VPC控制面板-> 安全性 -> 网络ACL -> 选择某个子网 -> 子网关联
入站时的流量:-> ACL -> 安全组
出站时的流量:-> 安全组 -> ACL
区别
层面
安全组: EC2
ACL: 子网
状态
安全组: 无 (入站时允许,出站时也自然允许,只需设置入站规则即可)
ACL: 有 入站和出站都要允许
拒绝
安全组: 不能
ACL: 可以 被黑客攻击,能拒绝该黑客的IP流量
总结:
VPC概念
子网、路由表、网关
创建VPC
VPC的四种场景
VPC-ACL
- AWS:2.根设备类型、EC2生命周期状态、User Data
主要内容 1.根设备类型 linux: /dev/sda1 windows: 系统盘 2.实例生命周期 生命周期状态:停止.终止.重启 3.用户数据(UserData) 实例在初始化,运行之前给定的用 ...
- AWS:1.相关概念、创建云主机的过程
概念 EC2是弹性的云计算 云主机 也即虚拟机,由分配的CPU.内存.网络和磁盘等资源组成 好处:维护成本低(主机替换).环境升级成本低 AMI:映像 创建云主机的蓝图,指定初始状态1 预装什么操作系 ...
- 腾讯云VS AWS :云存储网关性能谁更优?
p { text-indent: 2em } 随着企业规模的扩大及业务的扩展,现有IT基础设施特别是存储设备无法满足爆炸性的数据增长,企业 IT 部门为了解决该问题,往往面临市场上多种存储产品及 ...
- AWS:5.公有云编程
主要内容 1.AWS接口 2.使用AWS命令行 3.使用python sdk编程 AWS接口 Console:web控制台 登录amazon后在"我的账户" -> AWS管理 ...
- AWS:3. S3
主要内容 1.S3入门 2.S3安全性 对象 权限 访问策略 3.S3实战--BAAS 应用与定价 S3入门 S3概念 S3是simple storge server简单存储服务 相当于网盘,例如百度 ...
- AWS之VPC、Subnet与CIDR
什么是CIDR? CIDR是英文Classless Inter-Domain Routing的缩写,中文是无类别域间路由,是一个在Internet上创建附加地址的方法,这些地址提供给服务提供商(ISP ...
- AWS使用心得:当初我曾错过的那些宝贵经验
在今天的文章中,我整理出了大量当初以前错过.而至今仍将我追悔莫及的Amazon Web Services(简称AWS)使用心得. 在几年来的实践其中,我通过在AWS之上新手构建及部署各类应用程序而积累 ...
- AWS 学习笔记之 VPC
原文:https://ericfu.me/aws-notes-vpc/ VPC 把 VPC 想象成一个逻辑上的数据中心 包含一个 IGW (Internet Gateway)或者 Virtual Pr ...
- 亚马逊AWS学习——VPC里面几个概念的关系
VPC中涉及几个概念: VPC 子网 路由表 Internet网关 安全组 今天来讲讲这几个概念之间的关系. 1. VPC 说的就是VPC,当然VPC范围是最大的,VPC即virtual privat ...
随机推荐
- python 设计模式之MVC模式
一.简单介绍 mvc模式 the model-view-controller pattern mvc模式是一个运用在软件工程中的设计模式.mvc模式脱离了以前简单的web服务设计逻辑,将开发,测试 ...
- JS版汉字与拼音互转终极方案,附简单的JS拼音
前言 网上关于JS实现汉字和拼音互转的文章很多,但是比较杂乱,都是互相抄来抄去,而且有的不支持多音字,有的不支持声调,有的字典文件太大,还比如有时候我仅仅是需要获取汉字拼音首字母却要引入200kb的字 ...
- WebStorm添加多个项目到当前工程目录
File-> Settings -> Directories -> Add Content Root,选择你要加入的Project 点击OK -> Apply -> OK ...
- 深入浅出 Cocoa 之 Core Data(2)- 手动编写代码
深入浅出 Cocoa 之 Core Data(2)- 代码示例 罗朝辉(http://blog.csdn.net/kesalin) CC 许可,转载请注明出处 前面详细讲解了 Core Data 的框 ...
- 社区管理有捷径!Wish3D Earth社区网格化管理案例重磅上线
社区网格化是精细化.全覆盖.高效率的社区管理模式,便捷有效的社区网格化管理平台是社区网格化管理的关键. Wish3D Earth全新上线三维社区网格化管理平台,使用实景三维模型作为地图,地形地貌真实展 ...
- js 动态获取对象多级属性
var obj={ f1:{f2:{f3:2}} } var key="f1.f2.f3" var value=eval("obj."+key); consol ...
- 2017.2.7 开涛shiro教程-第六章-Realm及相关对象(四)
原博客地址:http://jinnianshilongnian.iteye.com/blog/2018398 根据下载的pdf学习. 第六章 Realm及相关对象(四) 1.Subject的代码结构 ...
- MySQL 函数笔记
统计相关函数 COUNT和SUM函数使用小技巧 参考自: MySQL - Conditional COUNT with GROUP BY 在一个 SQL 中统计多个指标的个数: SELECT COUN ...
- OJ刷题---ASCII码排序
题目要求: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbGluaGFpeXVuX3l0ZHg=/font/5a6L5L2T/fontsize/400/f ...
- JSF教程(8)——生命周期之Apply Request Values Phase
当一个组件树在一个postbacks请求中被恢复之后其中每一个组件从request的參数中取得各自的值,这里使用的是processDecodes方法. 这个值会保存在本地的每一个组件中,在源代码中此过 ...