溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何理解AWS 網(wǎng)絡(luò),如何創(chuàng)建一個多層安全網(wǎng)絡(luò)架構(gòu)

發(fā)布時間:2020-06-21 10:51:08 來源:網(wǎng)絡(luò) 閱讀:2103 作者:wzlinux 欄目:云計(jì)算

一、要求

  1. 創(chuàng)建一個三層網(wǎng)絡(luò)架構(gòu),服務(wù)器只能通過跳板機(jī)連接;
  2. web 服務(wù)器只能由跳板機(jī)連接,80 端口只能由 ELB 訪問,服務(wù)器不分配公網(wǎng)IP,外網(wǎng)連接通過 NAT;
  3. 數(shù)據(jù)庫服務(wù)器只能由 web 服務(wù)器連接 3306 端口;
  4. 服務(wù)器分布在多 AZ。

網(wǎng)絡(luò)架構(gòu)圖

如何理解AWS 網(wǎng)絡(luò),如何創(chuàng)建一個多層安全網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)各組件關(guān)系

組件包括 NACL,Route,Security Group,Internet Gateway,NAT Gateway,Elastic IP等。

如何理解AWS 網(wǎng)絡(luò),如何創(chuàng)建一個多層安全網(wǎng)絡(luò)架構(gòu)

畫圖工具:https://www.processon.com/i/5a24e7d6e4b0f3a798660105

二、操作步驟

2.1、網(wǎng)絡(luò)設(shè)置

  1. 創(chuàng)建 VPC,如果希望創(chuàng)建的 EC2 實(shí)例帶有公網(wǎng) DNS,請打開 VPC 的DNS hostnames enable的設(shè)置;
  2. 創(chuàng)建 IGW,附加到 VPC 上面;
  3. 創(chuàng)建需要的六個子網(wǎng),放在創(chuàng)建的 VPC 下面;
  4. 創(chuàng)建三個路由,分別為私網(wǎng),NAT,公網(wǎng);
  5. 公網(wǎng)路由添加條目0.0.0.0/0路由到 IGW,然后關(guān)聯(lián)兩個公有子網(wǎng),兩個公有子網(wǎng)開啟自動分配公網(wǎng)IP;
  6. 私網(wǎng)路由不需要添加路由條目,默認(rèn)即可,關(guān)聯(lián)到兩個私有子網(wǎng);
  7. 創(chuàng)建 NAT 網(wǎng)關(guān),選擇放置公有子網(wǎng);
  8. NAT 路由添加路由條目0.0.0.0/0路由到剛剛創(chuàng)建的 NAT 設(shè)備,然后關(guān)聯(lián)兩個私有子網(wǎng);

2.2、安全設(shè)置

可以設(shè)置 NACL,為每個子網(wǎng)設(shè)置防火墻,我們這里為了簡便,不再進(jìn)行設(shè)置,只設(shè)置實(shí)例的安全組完成。

  1. 為跳板機(jī)實(shí)例創(chuàng)建安全組 bastion-sg,只允許特定的 IP 訪問 22 號端口;
  2. 為 ELB 實(shí)例創(chuàng)建安全組 elb-sg,只允許訪問 80 端口;
  3. 為 Web 實(shí)例創(chuàng)建安全組 web-sg,所有流量只允許 bastion-sg,elb-sg 組內(nèi)的實(shí)例訪問;
  4. 為數(shù)據(jù)庫實(shí)例創(chuàng)建安全組 db-sg,只允許 web-sg 組內(nèi)的實(shí)例訪問 3306 端口。

2.3、創(chuàng)建實(shí)例

  1. 創(chuàng)建跳板機(jī)實(shí)例,選擇第一個公有子網(wǎng),配置好設(shè)定的安全組;
  2. 分別創(chuàng)建 Web 實(shí)例,選擇三,四兩個私有子網(wǎng),配置好設(shè)定的安全組;
  3. 創(chuàng)建 RDS 子網(wǎng)租,選擇五,六兩個私有子網(wǎng),創(chuàng)建實(shí)例,選擇剛創(chuàng)建的子網(wǎng)組。

視頻教程:https://edu.51cto.com/course/18611.html

三、費(fèi)用

3.1、NAT 網(wǎng)關(guān)費(fèi)用

如果選擇在 VPC 中創(chuàng)建 NAT 網(wǎng)關(guān),您需要為 NAT 網(wǎng)關(guān)預(yù)置和可用的每個“NAT 網(wǎng)關(guān)小時”付費(fèi)。通過 NAT 網(wǎng)關(guān)處理的每個 GB 都要收取數(shù)據(jù)處理費(fèi),與流量源或目的地?zé)o關(guān)。運(yùn)行未滿一小時的 NAT 網(wǎng)關(guān)小時將按一小時計(jì)費(fèi)。通過 NAT 網(wǎng)關(guān)傳輸?shù)乃袛?shù)據(jù)也會產(chǎn)生標(biāo)準(zhǔn)的 AWS 數(shù)據(jù)傳輸費(fèi)用。如果您不希望再支付 NAT 網(wǎng)關(guān)費(fèi)用,只需使用 AWS 管理控制臺、命令行界面或 API 刪除 NAT 網(wǎng)關(guān)即可。

例如弗吉尼亞北部價(jià)格:

每 NAT 網(wǎng)關(guān)的價(jià)格(USD/小時) 處理每 GB 數(shù)據(jù)的價(jià)格 (USD)
0.045 USD 0.045 USD

歡迎大家掃碼關(guān)注,獲取更多信息

如何理解AWS 網(wǎng)絡(luò),如何創(chuàng)建一個多層安全網(wǎng)絡(luò)架構(gòu)

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI