成都网站建设设计

将想法与焦点和您一起共享

如何理解AWS网络,如何创建一个多层安全网络架构-创新互联

一、要求

  1. 创建一个三层网络架构,服务器只能通过跳板机连接;
  2. web 服务器只能由跳板机连接,80 端口只能由 ELB 访问,服务器不分配公网IP,外网连接通过 NAT;
  3. 数据库服务器只能由 web 服务器连接 3306 端口;
  4. 服务器分布在多 AZ。

网络架构图

如何理解AWS 网络,如何创建一个多层安全网络架构

奉节网站制作公司哪家好,找创新互联!从网页设计、网站建设、微信开发、APP开发、成都响应式网站建设公司等网站项目制作,到程序开发,运营维护。创新互联于2013年开始到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联

网络各组件关系

组件包括 NACL,Route,Security Group,Internet Gateway,NAT Gateway,Elastic IP等。

如何理解AWS 网络,如何创建一个多层安全网络架构

画图工具:https://www.processon.com/i/5a24e7d6e4b0f3a798660105

二、操作步骤

2.1、网络设置

  1. 创建 VPC,如果希望创建的 EC2 实例带有公网 DNS,请打开 VPC 的DNS hostnames enable的设置;
  2. 创建 IGW,附加到 VPC 上面;
  3. 创建需要的六个子网,放在创建的 VPC 下面;
  4. 创建三个路由,分别为私网,NAT,公网;
  5. 公网路由添加条目0.0.0.0/0路由到 IGW,然后关联两个公有子网,两个公有子网开启自动分配公网IP;
  6. 私网路由不需要添加路由条目,默认即可,关联到两个私有子网;
  7. 创建 NAT 网关,选择放置公有子网;
  8. NAT 路由添加路由条目0.0.0.0/0路由到刚刚创建的 NAT 设备,然后关联两个私有子网;

2.2、安全设置

可以设置 NACL,为每个子网设置防火墙,我们这里为了简便,不再进行设置,只设置实例的安全组完成。

  1. 为跳板机实例创建安全组 bastion-sg,只允许特定的 IP 访问 22 号端口;
  2. 为 ELB 实例创建安全组 elb-sg,只允许访问 80 端口;
  3. 为 Web 实例创建安全组 web-sg,所有流量只允许 bastion-sg,elb-sg 组内的实例访问;
  4. 为数据库实例创建安全组 db-sg,只允许 web-sg 组内的实例访问 3306 端口。

2.3、创建实例

  1. 创建跳板机实例,选择第一个公有子网,配置好设定的安全组;
  2. 分别创建 Web 实例,选择三,四两个私有子网,配置好设定的安全组;
  3. 创建 RDS 子网租,选择五,六两个私有子网,创建实例,选择刚创建的子网组。

视频教程:https://edu.51cto.com/course/18611.html

三、费用

3.1、NAT 网关费用

如果选择在 VPC 中创建 NAT 网关,您需要为 NAT 网关预置和可用的每个“NAT 网关小时”付费。通过 NAT 网关处理的每个 GB 都要收取数据处理费,与流量源或目的地无关。运行未满一小时的 NAT 网关小时将按一小时计费。通过 NAT 网关传输的所有数据也会产生标准的 AWS 数据传输费用。如果您不希望再支付 NAT 网关费用,只需使用 AWS 管理控制台、命令行界面或 API 删除 NAT 网关即可。

例如弗吉尼亚北部价格:

每 NAT 网关的价格(USD/小时) 处理每 GB 数据的价格 (USD)
0.045 USD0.045 USD

欢迎大家扫码关注,获取更多信息

如何理解AWS 网络,如何创建一个多层安全网络架构

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享名称:如何理解AWS网络,如何创建一个多层安全网络架构-创新互联
文章起源:http://chengdu.cdxwcx.cn/article/deegds.html