AWS：4.VPC

主要介绍

---

1.Amazon混合云

2.将EC2加入VPC

3.VPC经典场景

4.VPC安全保障

Amazon混合云 ： 在公有云的基础上创建私有云

---

VPC概念

VPC(VPC Virtual Private Cloud)，是在逻辑上从公有云上隔离出来一个私有云

安全性

提升安全性

EC2-classic，EC2是暴露在网络中，靠安全组保证安全性

EC2-VPC，多了一层保护，依赖VPC上的ACL（访问控制列表）

客户访问时 先经过VPC(ACL)，再到EC2(安全组)

推荐第二方式EC2-VPC

Amazon希望公有云是私有云的集合，用户可以创建多个私有云，每个私有云有多个子网，每个子网有多个云主机实例，从而组成集群

集群放到子网中，子网放到某个可用区中，在实现集群的高可用有非常大帮助

Amazon的其他产品，负载均衡和伸缩组也是基于VPC进行的操作

也就是每台云主机实例必须放到一个私有云中

默认VPC

每个Amazon给每个amazon账户提供一个默认的VPC

创建云主机时默认放到默认的VPC中

将EC2加入VPC

---

子网

VPC是由若干子网构成

VPC: 172.32.0.0/16

N个子网，例如

172.32.1.0/24

172.32.2.0/24

.....

计算一下VPC内的主机数、子网数和子网内的主机数

子网范围不够大

更改子网需要将原来子网的云主机迁移到新子网中，成本巨大，最好先规划好子网可以容纳多少台主机

更改子网过程(成本大)：

建立一个更大的新子网，将EC2云主机迁移到该子网，将旧子网的主机终止后删掉子网

可用区

子网不可以跨可用区，VPC可以跨可用区；

公有子网在可用区A

私有子网在可用区B

可用区可有多个子网

公网和私网

公网

与外网的客户端能互相访问

私网

只能与同一VPC的子网互相访问

判断过程：子网 -> 路由表 -> 是否igw-xxx网关

公网的关联过程：

igw ---(绑定到)--> VPC

igw ---(附加到)--> 路由表

将一个子网更换为私网

创建一个默认的路由表，将子网的路由表更换为此新建的路由表

路由表

组成：

目的地 网关

172.32.0.0/16 EC2-211

意思是说本子网要到达172.32.0.0/16网络，要经过网关EC2-211云主机实例

默认路由

目的地 目标

172.16.0.0/16 local 表示子网不通过网关直接访问VPC，无需网关直接访问其他子网的云主机

0.0.0.0/0 igw-xxxx 表示子网通过igw-xxxx网关访问外网

网关

下面这个网关决定了子网是公网，如果没有则子网是私网

0.0.0.0/0 igw-xxxx #igw-xxxx表示internet网关

补充：除了internet网关，还有VPN网关，需要创建VPN连接才能使用，通过VPN网关，EC2能能访问对端的VPN网络

创建VPC

进入VPC控制面板，左侧"你的VPC" -> 创建VPC，输入

名称标识 demoVPC

CIDR地址 172.33.0.0/16

租赁 默认（如果非默认就会放到收费的主机上）

创建完成后，自带一个默认路由表

a.创建子网

进入VPC控制面板，左侧"子网" -> 创建子网，输入

名称标签 TestSubnet

VPC demoVPC

可用区 #默认

CIDR块 172.33.1.0/24

b.更改子网为公网

#修改路由表，增加访问外网的internet网关即可

c.创建EC2实例

在"2.配置实例"界面，输入

网络   #某个VPC

子网 #某个VPC下的子网

VPC界面介绍：

进入VPC控制面板，左侧"你的VPC" -> 

名称 VPC ID 状态 VPC CIDR DHCP选项集 路由表 网络ACL

TestVPC vpc-xxxx avaliable 172.31.0.0/16 dopt-xxxx rtb-xxxxx acl-xxxx

左侧"子网" ->

名称 子网ID 状态 VPC CIDR 可用IP 可用区

subnet-axxx avaliable vpc-xxxx(172.31.0.0/16) 172.31.0.0/20 4086 cn-north-1a

subnet-bxxx avaliable vpc-xxxx(172.31.0.0/16) 172.31.16.0/20 4086 cn-north-1b

每个子网要绑定路由表和网络ACL

左侧"路由表" ->

名称 路由表-ID 显示关联与 主路由 VPC

rtb-xxxxx x个子网 是 vpc-xxxx

左侧"Internet网关" ->

名称 ID 状态 VPC

igw-xxxxx attached vpc-xxxx

可以创建"Internet网关"，将此网关附加到VPC，或从VPC解除

VPC的四种经典场景

---

只有公共子网的VPC

所有子网都配置internet网关的VPC

与外网通讯的方式

1. internet网关，访问是双向的，此网关作为一个转发器

2.NAT实例，访问是单向的(它能访问公网，但公网不能访问它)，访问公网时会进行源地址转换

子网能与公网互相访问

具体场景：web服务器集群

公有子网内的EC2作为web服务器需要配置公网IP或弹性IP

有公共子网和私有子网的VPC

具体场景：web服务器+数据库服务

公有子网内的EC2作为web服务器可以接收客户端请求，将数据处理请求转发给私有子网的数据库服务器来处理，数据库是不能对公网开放访问的

补充：WEB服务器前端和数据库服务器前端可以增加ELB来实现负载均衡

有公共子网和私有子网，且使用VPN的VPC

是上一个场景的延伸。客户新的数据放在私有子网中，而旧的数据放在数据中心自己的服务器中，在私有子网上绑定VPN网关，让私有子网与数据中心的服务器互相访问，从而让公网客户通过公共子网来访问新旧数据

适合向云迁移的客户

只有私有子网，且使用VPN的VPC

客户在数据中心有自己的web服务器和数据库服务器，私有子网主要存放新数据，里面设置VPN网关，通过VPN与数据中心互相访问；当用户访问数据中心的web服务器时，web服务器向数据中心获取旧数据并且可以向私有子网获取新数据

适合向云拓展的客户

ACL

---

EC2的安全有2层

安全组(云主机): 

入站和出站的防火墙规则

类型 协议 端口范围 来源

ACL(子网)

场景：公有子网的作为Web服务器的EC2，允许来自任何IP的人访问其上的http和https服务，但仅允许来自几个固定IP的人访问ssh(ssh)或rdp(windows)服务

创建ACL

vpc控制面板 -> 安全性 -> 网络ACL

创建网络ACL

名称标签 testACL

VPC demoVPC

查看ACL

入站规则

默认是拒绝的

样例：允许http、https、SSH

规则 类型 协议 端口范围 源 允许/拒绝

101 HTTP TCP 80 0.0.0.0/0 允许

102 HTTPS TCP 443 0.0.0.0/0 允许

103 SSH TCP 22 x.x.x.x/x 允许

补充：可以界面查询到自己的IP来填写上面的SSH源IP

EC2控制面板 -> 网络与安全 -> 安全组 -> 入站 -> 编辑 -> 来源 -> 我的IP

出站规则

默认也是拒绝的

样例：允许http、https、SSH

规则 类型 协议 端口范围 目标 允许/拒绝

101 自定义TCP规则 TCP 1024-65535 0.0.0.0/0 允许

端口范围1024-65535为客户端的端口

三条入站规则对应一条出站规则

安全组和ACL

---

使用的区别

实例层的安全组：

创建实例的第六步"配置安全组"

安全组属于某个VPC的，应该选择其中一个安全组或创建一个安全组

子网层的ACL

VPC控制面板-> 安全性 -> 网络ACL -> 选择某个子网 -> 子网关联 

入站时的流量：-> ACL -> 安全组

出站时的流量：-> 安全组 -> ACL 

区别

层面

安全组: EC2

ACL: 子网 

状态

安全组: 无  (入站时允许，出站时也自然允许，只需设置入站规则即可)

ACL: 有 入站和出站都要允许

拒绝

安全组: 不能

ACL: 可以  被黑客攻击，能拒绝该黑客的IP流量

总结：

---

VPC概念

子网、路由表、网关

创建VPC

VPC的四种场景

VPC-ACL

来自为知笔记(Wiz)