情景 2 配置
-
VPC
-
VPC下面配置兩個子網
-
配置互聯網的網關
-
給3種類型的服務器,Web Server, NAT Server 和DB Server 分別創建Security Group (防火牆)
-
安裝服務器
-
每個子網需要配置對應的路由表
-
測試
AWS裏面默認配置了4種場景的配置嚮導。通過這些嚮導可以很輕鬆的配置VPC網絡。從學習的角度出發,豆子打算手動配置一下第二種場景,這樣更能清楚的知道每一個服務組件的功能和關係。
場景拓撲如下
http://docs.aws.amazon.com/zh_cn/AmazonVPC/latest/UserGuide/VPC_Scenario2.html
下表展示了此情景配置的主要組成部分。
簡單的說就是需要創建兩個子網,公網(或者更傳統的更準確的說法是DMZ網)裏面是網頁服務器和NAT服務器,都可以訪問互聯網,內網裏面是數據庫服務器,網頁服務器需要從數據庫上讀取信息,數據庫服務器只有通過NAT服務器才能訪問互聯網。
配置嚮導1分鐘就全都配完了,如果全手動操作,需要按順序配置以下服務:
VPC
VPC下面配置兩個子網
配置互聯網的網關
給3種類型的服務器,Web Server, NAT Server 和DB Server 分別創建Security Group (防火牆)
安裝服務器
每個子網需要配置對應的路由表
測試
首先創建一個VPC
分配一個地址池
創建好了
然後需要在VPC的地址池內再創建2個子網
創建一個公網(DMZ)地址範圍,這個網絡是可以直接和互聯網相連的
然後創建一個私網範圍,這個網絡通過NAT才能訪問外網資源,但是外網無法直接訪問他
建好以後的樣子
然後需要給Public網絡創建一個網關,這樣才能去互聯網
創建互聯網網關
創建之後需要關聯到指定的VPC,注意關聯的是VPC而不是子網哦
然後接下來創建3個安全組。每個虛擬機都會關聯到某個安全組,在安全組上可以自定義防火牆的訪問策略
我需要創建3個不同的安全組,分別對應Pubic Web server, NAT Server和 Private DB Server
創建完畢之後就可以配置防火牆的策略了。如下所示是最最基本的需求,也可以根據自己情況修改
配置完安全組,就來配置實例吧。搜索NAT的鏡像文件,找一個最新的Launch即可
具體的步驟不需要贅述,就是創建了3個AMI Linux實例,注意選擇安全組和子網就行了。
3個實例裏面最關鍵的是NAT實例,創建完了以後可以查看一下配置文件是否齊全,IPTable 是否已經配置了
下面是個截圖,簡單的解釋了一下IPtables 的轉發配置
創建了實例之後,需要給不同的子網創建路由表。我不打算使用默認的路由表,於是分別創建了2個路由表
這個是公網的路由
這個是私網的路由
配置完之後別忘記Disable NAT實例的 S/D 測試。
okay,最後我們來測試一下
首先連接到公網的服務器看看
試試看wget -p www.google.com, 發現不通,嗯,正常,因爲outbound的規則裏面本來就沒有包括http/https
然後我們拿這個機器作爲跳板,鏈接到私網的服務器試試看,把證書拷貝到/tmp路徑下,更改一下權限
然後ssh鏈接,成功登錄內網服務器
可以Ping 外網
也可以http 外網資源
實驗成功!
本文出自 “麻婆豆腐” 博客,請務必保留此出處http://beanxyz.blog.51cto.com/5570417/1425890