云架构设计实战 课件 单元 3 网络服务

云计算技术

单元3

网络服务单元概述

本单元介绍VPC（VirtualPrivateCloud)亚马逊虚拟私有云AmazonVPC

自定义虚拟网络AmazonWebServices资源自定义虚拟网络环境包括IP地址范围、创建子网以及配置在数据中心和VPC之间创建虚拟专用网络(VPN)连接自定义AmazonVPC网络配置学习目标知识点什么是VPCVPC的CIDRInternet网关路由表弹性IP(EIP，ElasticIP)安全组NACL（NetworkAccessControlList）网络地址转换（NAT，NetworkAddressTranslation）技能点创建VPC配置路由表EC2连接到VPC弹性IP的申请和使用配置安全组配置NACL配置NAT配置VPC对等连接项目1使用AmazonVPC项目描述掌握AmazonWebServices的网络服务（VPC）把原有的IT系统迁移至云第一阶段建立一个带公有子网和私有子网的VPC第二个阶段在VPC中增加私有子网，配置NAT，实现私有子网访问Internet任务1知识预备与方案设计项目1使用AmazonVPC1.AmazonVPCAmazonVirtualPrivateCloud，虚拟私有云，通过AmazonWebServices账号登录亚马逊云科技云来定义的虚拟专用网络用户能在VPC上创建实例，分配网络地址范围，划分子网，配置路由、设置安全组和网络访问控制列表2.VPC的CIDRClasslessInterdomainRouting译为无类别域间路由CIDR用VLSM(可变长子网掩码)，根据用户需要来分配IP地址VPC需要一个连续的IP地址空间，而这个地址空间采用CIDR和VLSM技术任务1知识预备与方案设计项目1使用AmazonVPC3.子网子网类似于传统网络中的VLAN，每个子网都有自己的CIDR，且必须是VPCCIDR的子集

AmazonWebServices子网保留网段的前四个IP地址和最后一IP个地址子网地址一旦确定不能更改，子网不能跨AZ，同一个VPC中的子网地址不能重叠4.Internet网关（IGW）IGW，InternetGateway是一种水平扩展的、冗余的高可用的VPC组件IWG有两个功能：一是为VPC路由表提供通往Internet上的目标地址二是为VPC上公有子网上的实例的IPV4地址提供网络地址转换（NAT）任务1知识预备与方案设计5.路由表VPC资源中的路由器是软件实现，隐性存在，只需要维护路由表即可路由表包含一组路由规则，每条路由信息包含目的网络和目标地址项目1使用AmazonVPCVPC的每个子网都要关联一个路由表，没有路由表关联的子网将使用隐式路由表客户路由表由用户建立，可以编辑、可以删除任务1知识预备与方案设计项目1使用AmazonVPC6.安全组安全组是实例的虚拟防火墙，基于协议、端口号和IP地址过滤进出实例的流量对于安全组，可以制定入站规则和出站规则来控制出入实例的流量安全组的基本规则（类似于NACL）如下：（1）只能往安全组制定允许规则，不能制定拒绝规则（2）入站规则和出站规则可以分别制定（3）规则是基于协议和端口号来过滤信息（4）安全组是有状态的（5）新创建的安全组是没有入站规则的，不允许任何信息流入，直到创建入站规则任务1知识预备与方案设计项目1使用AmazonVPC6.安全组安全组是实例的虚拟防火墙，基于协议、端口号和IP地址过滤进出实例的流量对于安全组，可以制定入站规则和出站规则来控制出入实例的流量安全组的基本规则（类似于NACL）如下：（6）默认情况下，安全组包含出站规则，即允许所有信息流出（7）连接到同一个安全组的实例不能彼此通信，除非建立规则（8）安全组是被关联到网络接口上的，启动实例时可以制定或改变（9）安全组的名字在所在的VPC中必须是唯一的（10）一个安全组只能应用在所在的VPC中任务1知识预备与方案设计项目1使用AmazonVPC7.网络访问控制列表NACL，NetworkAccessControlList负责VPC的安全,含入站和出站规则每个VPC都有一个默认的可以修改但无法删除的NACL，它与VPC共生网络访问控制列表遵循如下规则：VPC自动连接一个的默认NACL，一般情况下它允许所有的入站和出站流量用户可以创建自己的NACL，默认情况下用户NACL拒绝所有的入站和出站流量每个VPC中的子网必须连接到一个NACL，如果没有明确指明就连接到默认NALC一个NACL可以连接到多个子网，但一个子网在一个时间里只能连接一个NACL一个NACL包含大量的规则，规则的数量最多可以达到32766制定规则的原则是在保证子网安全的情况下使用最少的规则NACL是无状态的，它不跟踪流经它的流量状态任务1知识预备与方案设计项目1使用AmazonVPC8.弹性网络接口Elasticnetworkinterface，ENI是VPC的逻辑组件，表示虚拟网络接口每个实例必须有一个默认的网络接口（主要的ENI）可以单独创建ENI，然后可附加到实例上或者从实例上分离再将它附加到其它实例上9.弹性IPElasticIPAddress，EIP是一个静态公有IPV4地址EIP在最初分配时没有绑定任何实例，可以连接将它分配给一个实例或网络接口使用EIP的好处是，当实例发生故障时，可以将该EIP重新分配给另一个实例一个EIP一个时间只能分配给一个实例或网络接口任务1知识预备与方案设计项目1使用AmazonVPC10.NATNetworkAddressTranslation，网络地址转换将私网IP转换成公网IP，让私网的主机访问公网AmazonWebServices通过NAT实例和NAT网关实现地址转换，称它们为NAT设备NAT设备允许私有子网的实例访问Internet，不允许反向访问使用NAT设备的路由表要增加一条路由：凡是目的地址是外网的，全部转发到NAT设备任务1知识预备与方案设计项目1使用AmazonVPC11.方案设计在亚马逊云科技的北京区中创建一个带有单个公有子网的VPC命名为VPCEXER，IPv4CIDR10.1.0.0/16公有子网命名为PUBSUB，IPv4CIDR10.1.1.0/24，AZ：cn-north-1a任务2创建VPC登录AmazonWebServices管理控制台在中国（北京）区域（cn-north-1）创建在VPC

EXER的VPC在VPCEXER中创建名为PUBSUB的公有子网项目1使用AmazonVPC1.创建VPC项目1使用AmazonVPC（1）登录控制台（3）在VPC控制面板中单击“启动VPC向导”按钮（2）使用VPC服务项目1使用AmazonVPC（4）选择“创建一个带单个公有子网的VPC”（5）设置VPC的CIDR及名称2.查看VPC的Name和VPCID项目1使用AmazonVPC在VPC控制面板单击“您的VPC”，在“Name”列表中选择“VPCEXER”3.查看子网信息项目1使用AmazonVPC在VPC控制面板单击“子网”，在子网“Name”列表中选择“PUBSUB”任务3配置路由表项目1使用AmazonVPC1.检索路由表在VPC控制面板单击“路由表”，在“筛选路由表”框中按照VPC：vpc-07bb1e4146d0fb111条件输入，查到两个路由表项目1使用AmazonVPC2.查看客户路由表单击客户路由表ID，看到“路由”中有两条记录项目1使用AmazonVPC3.查看主路由表单击“路由表”“主”列中显示为“是”的路由表ID项目1使用AmazonVPC4.查看Internet网关在VPC控制面板单击“互联网网关”，在搜索框中搜索VPCID任务4EC2实例连接到VPC项目1使用AmazonVPC在PUBSUB的公有子网中创建一个MicrosoftWindowssever2019Base实例该实例命名为vpc_exer_win，vCPU为1，内存为1GB类型为通用型系列，使用EBS存储项目1使用AmazonVPC1.启动EC2实例2.选择一个Amazon系统映像(AMI)3.选择实例类型4.配置实例详细信息项目1使用AmazonVPC5.添加存储6.添加标签项目1使用AmazonVPC7.配置安全组。选择创建一个新的安全组，并输入名称8.核查实例启动项目1使用AmazonVPC9.为实例vpc_exer_win创建新密钥对10.查看实例vpc_exer_win11.查看实例vpc_exer_win详细信息任务5弹性IP的申请和使用项目1使用AmazonVPC2.单击“添加标签”，单击“分配”3.分配结果打开VPC控制面板，选择左侧导航“弹性IP”项目1使用AmazonVPC4.关联弹性IP地址6.在EC2服务中查看实例vpc_exer_win详细信息5.选择关联“实例”7.用单元2的方法远程连接到实例vpc_exer_win任务6配置NAT项目1使用AmazonVPC1.VPCEXER中添加私有子网10.1.3.0/24任务6进入该项目的第二部分,扩充VPCEXER（1）在VPC控制台左侧导航栏中选择“子网”单击“创建子网”项目1使用AmazonVPC（2）按图选择和填写后，单击右下角“创建子网”（3）查看结果，按照VPCID搜索，看到公有子网PUBSUB和私有子网PRISUB项目1使用AmazonVPC2.私有子网中添加实例winpri（1）如图中网络选择VPCEXER，子网选择PRISUB实例winpri与实例vpc_exer_win配置选项相同，操作步骤参考前面的内容但请注意下面三个步骤项目1使用AmazonVPC（2）“步骤5”中设置实例名称为winpri（3）为实例winpri选择创建新密钥对，并下载密钥对（4）实例创建成功项目1使用AmazonVPC3.创建NAT网关（1）创建NAT网关（2）设置NAT项目1使用AmazonVPC3.创建NAT网关（3）NAT网关详细信息如图，记录该NATID：nat-08cea39960a39d337项目1使用AmazonVPC4.路由设置（1）打开VPC控制面板左侧“路由表”依VPCID筛选出VPCEXER的路由表（2）创建路由规则项目1使用AmazonVPC4.路由设置（3）选择“添加路由”按图选择，单击“保存更改”（4）结果如图项目1使用AmazonVPC5.使用网络访问控制列表保护子网（1）查看VPCEXER的网络ACL（2）查看入站规则项目1使用AmazonVPC5.使用网络访问控制列表保护子网（3）查看出站规则（4）查看子网关联VPCEXER默认网络ACL关联公有子网PUBSUB和私有子网PRISUB项目1使用AmazonVPC6.私有子网实例winpri通过NAT网关访问Internet（1）远程桌面连接公有子网实例vpc_exer_win（2）解密winpri管理员administrator密码项目1使用AmazonVPC6.私有子网实例winpri通过NAT网关访问Internet（3）通过vpc_exer_win连接winpri项目1使用AmazonVPC6.私有子网实例winpri通过NAT网关访问Internet（4）连通winpri（5）在winpri实例上，通过NAT访问Internet项目2对等连接项目描述使用VPCPeering（对等连接）技术实现不同VPC之间的互联互通本项目在项目一的基础上用原有账户创建一个带单独公有子网的VPC使用对等连接和原来的VPC连接起来，实现互访项目2对等连接任务1知识预备与方案设计1.对等连接VPCVPCPeering是将两个VPC连接起来，对等连接之间的通信是私有网络间的通信不同VPC中的实例相互通信就像在同一个网络中彼此访问网络中的数据在AmazonWebServices全球网络中加密传输，不经过互联网，避免了DDOS攻击，保障数据安全项目2对等连接2.方案设计在亚马逊云科技北京区（cn-north-1