一、要求
- 創(chuàng)建一個三層網(wǎng)絡(luò)架構(gòu)�����,服務(wù)器只能通過跳板機(jī)連接�;
- web 服務(wù)器只能由跳板機(jī)連接��,80 端口只能由 ELB 訪問��,服務(wù)器不分配公網(wǎng)IP����,外網(wǎng)連接通過 NAT;
- 數(shù)據(jù)庫服務(wù)器只能由 web 服務(wù)器連接 3306 端口����;
- 服務(wù)器分布在多 AZ。
網(wǎng)絡(luò)架構(gòu)圖
網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)公司�����!專注于網(wǎng)頁設(shè)計(jì)���、網(wǎng)站建設(shè)�、微信開發(fā)��、微信小程序定制開發(fā)���、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目�����。為回饋新老客戶創(chuàng)新互聯(lián)還提供了南沙免費(fèi)建站歡迎大家使用�����!
網(wǎng)絡(luò)各組件關(guān)系
組件包括 NACL����,Route,Security Group�,Internet Gateway,NAT Gateway��,Elastic IP等���。
畫圖工具:https://www.processon.com/i/5a24e7d6e4b0f3a798660105
二����、操作步驟
2.1、網(wǎng)絡(luò)設(shè)置
- 創(chuàng)建 VPC�,如果希望創(chuàng)建的 EC2 實(shí)例帶有公網(wǎng) DNS,請打開 VPC 的
DNS hostnames enable的設(shè)置����; - 創(chuàng)建 IGW,附加到 VPC 上面����;
- 創(chuàng)建需要的六個子網(wǎng),放在創(chuàng)建的 VPC 下面�����;
- 創(chuàng)建三個路由,分別為私網(wǎng)�,NAT,公網(wǎng)����;
- 公網(wǎng)路由添加條目
0.0.0.0/0路由到 IGW,然后關(guān)聯(lián)兩個公有子網(wǎng)����,兩個公有子網(wǎng)開啟自動分配公網(wǎng)IP; - 私網(wǎng)路由不需要添加路由條目��,默認(rèn)即可�,關(guān)聯(lián)到兩個私有子網(wǎng);
- 創(chuàng)建 NAT 網(wǎng)關(guān)��,選擇放置公有子網(wǎng)�����;
- NAT 路由添加路由條目
0.0.0.0/0路由到剛剛創(chuàng)建的 NAT 設(shè)備�����,然后關(guān)聯(lián)兩個私有子網(wǎng)�;
2.2���、安全設(shè)置
可以設(shè)置 NACL,為每個子網(wǎng)設(shè)置防火墻��,我們這里為了簡便�����,不再進(jìn)行設(shè)置����,只設(shè)置實(shí)例的安全組完成����。
- 為跳板機(jī)實(shí)例創(chuàng)建安全組 bastion-sg,只允許特定的 IP 訪問 22 號端口�����;
- 為 ELB 實(shí)例創(chuàng)建安全組 elb-sg�����,只允許訪問 80 端口���;
- 為 Web 實(shí)例創(chuàng)建安全組 web-sg�����,所有流量只允許 bastion-sg���,elb-sg 組內(nèi)的實(shí)例訪問�;
- 為數(shù)據(jù)庫實(shí)例創(chuàng)建安全組 db-sg�,只允許 web-sg 組內(nèi)的實(shí)例訪問 3306 端口。
2.3��、創(chuàng)建實(shí)例
- 創(chuàng)建跳板機(jī)實(shí)例��,選擇第一個公有子網(wǎng)�,配置好設(shè)定的安全組;
- 分別創(chuàng)建 Web 實(shí)例�,選擇三,四兩個私有子網(wǎng)�����,配置好設(shè)定的安全組���;
- 創(chuàng)建 RDS 子網(wǎng)租����,選擇五,六兩個私有子網(wǎng)���,創(chuàng)建實(shí)例��,選擇剛創(chuàng)建的子網(wǎng)組��。
視頻教程:https://edu.51cto.com/course/18611.html
三����、費(fèi)用
3.1��、NAT 網(wǎng)關(guān)費(fèi)用
如果選擇在 VPC 中創(chuàng)建 NAT 網(wǎng)關(guān)�,您需要為 NAT 網(wǎng)關(guān)預(yù)置和可用的每個“NAT 網(wǎng)關(guān)小時”付費(fèi)���。通過 NAT 網(wǎng)關(guān)處理的每個 GB 都要收取數(shù)據(jù)處理費(fèi)��,與流量源或目的地?zé)o關(guān)����。運(yùn)行未滿一小時的 NAT 網(wǎng)關(guān)小時將按一小時計(jì)費(fèi)�����。通過 NAT 網(wǎng)關(guān)傳輸?shù)乃袛?shù)據(jù)也會產(chǎn)生標(biāo)準(zhǔn)的 AWS 數(shù)據(jù)傳輸費(fèi)用。如果您不希望再支付 NAT 網(wǎng)關(guān)費(fèi)用��,只需使用 AWS 管理控制臺��、命令行界面或 API 刪除 NAT 網(wǎng)關(guān)即可����。
例如弗吉尼亞北部價格:
| 每 NAT 網(wǎng)關(guān)的價格(USD/小時) | 處理每 GB 數(shù)據(jù)的價格 (USD) |
| 0.045 USD |
0.045 USD |
歡迎大家掃碼關(guān)注,獲取更多信息
文章題目:如何理解AWS網(wǎng)絡(luò),如何創(chuàng)建一個多層安全網(wǎng)絡(luò)架構(gòu)
文章位置:
http://weahome.cn/article/jcpjis.html
重慶分公司
重慶分公司
