AWS裏面默認配置了4種場景的配置嚮導。通過這些嚮導可以很輕鬆的配置VPC網絡。從學習的角度出發,豆子打算手動配置一下第二種場景,這樣更能清楚的知道每一個服務組件的功能和關係。
場景拓撲如下
http://docs.aws.amazon.com/zh_cn/AmazonVPC/latest/UserGuide/VPC_Scenario2.html
情景 2 配置
下表展示了此情景配置的主要組成部分。
![場景 2 的示意圖:帶有公有子網和私有子網的 VPC]()
簡單的說就是需要創建兩個子網,公網(或者更傳統的更準確的說法是DMZ網)裏面是網頁服務器和NAT服務器,都可以訪問互聯網,內網裏面是數據庫服務器,網頁服務器需要從數據庫上讀取信息,數據庫服務器只有通過NAT服務器才能訪問互聯網。
配置嚮導1分鐘就全都配完了,如果全手動操作,需要按順序配置以下服務:
-
VPC
-
VPC下面配置兩個子網
-
配置互聯網的網關
-
給3種類型的服務器,Web Server, NAT Server 和DB Server 分別創建Security Group (防火牆)
-
安裝服務器
-
每個子網需要配置對應的路由表
-
測試
首先創建一個VPC
![wKiom1OaijyR898yAACRJUU-7GE366.png]( "1.PNG")
分配一個地址池
![wKioL1OaihDwQYUWAABCNuHu2w4139.png]( "2.PNG")
創建好了
![wKiom1Oaij-g2XnMAABYLZzAHXc924.png]( "3.PNG")
然後需要在VPC的地址池內再創建2個子網
![wKioL1OaihSxB5sXAABwbR9Fois950.png]( "4.PNG")
創建一個公網(DMZ)地址範圍,這個網絡是可以直接和互聯網相連的
![wKiom1OaikLATua9AABFQQmcz4w537.png]( "5.PNG")
然後創建一個私網範圍,這個網絡通過NAT才能訪問外網資源,但是外網無法直接訪問他
![wKioL1OaihaQZlFzAABFqZnDUyk775.png]( "6.PNG")
建好以後的樣子
![wKiom1OaikWykplQAABbgjNwCSg012.png]( "7.PNG")
然後需要給Public網絡創建一個網關,這樣才能去互聯網
![wKioL1OaihnRdi-UAACAUTHp-eY369.png]( "8.PNG")
創建互聯網網關
![wKiom1OaikjCVpaIAAAlRr0d83Q243.png]( "9.PNG")
創建之後需要關聯到指定的VPC,注意關聯的是VPC而不是子網哦
![wKioL1OaihyhlOMAAABEnt319Tc025.png]( "10.PNG")
![wKiom1OaikviU_F3AABnh4mjX4U541.png]( "11.PNG")
然後接下來創建3個安全組。每個虛擬機都會關聯到某個安全組,在安全組上可以自定義防火牆的訪問策略
![wKioL1OaiiHTp_VkAACrO3mY4d8686.png]( "12.PNG")
我需要創建3個不同的安全組,分別對應Pubic Web server, NAT Server和 Private DB Server
![wKiom1Oaik-A6RJMAAAul4d0Uvs301.png]( "13.PNG")
![wKioL1OaiiOT-iA_AAAvhKNCxV0472.png]( "14.PNG")
![wKiom1OailLhQumZAAAuYQIMHDU103.png]( "15.PNG")
創建完畢之後就可以配置防火牆的策略了。如下所示是最最基本的需求,也可以根據自己情況修改
![wKioL1OaiieQrKV2AABH4HOiATo869.png]( "16.PNG")
![wKiom1OailbwerJhAAA7drU513c419.png]( "17.PNG")
![wKioL1OaiiqzD-ruAABGH4911GQ658.png]( "18.PNG")
![wKiom1OailjA04pYAAAh786LPH4144.png]( "19.PNG")
![wKiom1OailqBjp3yAAAw6EcTo-o029.png]( "20.PNG")
![wKioL1Oaii7AK77BAAAtjYdUF5E297.png]( "21.PNG")
配置完安全組,就來配置實例吧。搜索NAT的鏡像文件,找一個最新的Launch即可
![wKiom1Oaimfi0mPgAAFDTY7DYuU276.png]( "24.PNG")
![wKioL1Oaij3g3LJIAACYhKK3vtM569.png]( "25.PNG")
![wKiom1Oaim6DpM8kAAC4HWFUyhA308.png]( "26.PNG")
![wKioL1OaikPSxT8FAABsOaVQGEg004.png]( "27.PNG")
![wKiom1OainKjK1FaAAA4wQiTFbY296.png]( "28.PNG")
具體的步驟不需要贅述,就是創建了3個AMI Linux實例,注意選擇安全組和子網就行了。
3個實例裏面最關鍵的是NAT實例,創建完了以後可以查看一下配置文件是否齊全,IPTable 是否已經配置了
![wKiom1Oaj5_CNz_LAABJv68aU7s247.png]( "45.PNG")
![wKioL1Oaj3Thy9X0AABQ_3svwOs978.png]( "47.PNG")
下面是個截圖,簡單的解釋了一下IPtables 的轉發配置
![wKiom1Oaj6CSGnKuAABhCF3cPv0907.png]( "46.PNG")
創建了實例之後,需要給不同的子網創建路由表。我不打算使用默認的路由表,於是分別創建了2個路由表
![wKioL1OaikaSCNxjAABoIRxBRv0102.png]( "29.PNG")
![wKiom1OainXigaveAAAzULw-JAM244.png]( "30.PNG")
這個是公網的路由
![wKioL1OaikmQg3lSAAA1ye7CKvA591.png]( "31.PNG")
這個是私網的路由
![wKiom1Oaj43wiDdLAAArf7CajpE981.png]( "33.PNG")
![wKioL1Oaj2HA-GlFAAAiX_JbFok184.png]( "34.PNG")
配置完之後別忘記Disable NAT實例的 S/D 測試。
![wKiom1Oaj5GTJT-cAACqnNDZs0g224.png]( "35.PNG")
okay,最後我們來測試一下
首先連接到公網的服務器看看
![wKioL1Oaj2WyBonEAABcEt0YVjk365.png]( "36.PNG")
試試看wget -p www.google.com, 發現不通,嗯,正常,因爲outbound的規則裏面本來就沒有包括http/https
![wKiom1Oaj5jTmVItAAA505FG3mI561.png]( "40.PNG")
然後我們拿這個機器作爲跳板,鏈接到私網的服務器試試看,把證書拷貝到/tmp路徑下,更改一下權限
![wKioL1Oaj2zhYGqsAAAzYfhBFYI558.png]( "41.PNG")
然後ssh鏈接,成功登錄內網服務器
![wKioL1Oaj26yFNeKAAAyChYKAXo066.png]( "42.PNG")
可以Ping 外網
![wKiom1Oaj5yw9E-SAABKzhvErrs035.png]( "43.PNG")
也可以http 外網資源
![wKioL1Oaj3CDE7tlAABr188Gw_0940.png]( "44.PNG")
實驗成功!
本文出自 “麻婆豆腐” 博客,請務必保留此出處http://beanxyz.blog.51cto.com/5570417/1425890
