Amazon VPC 实操
接下来我们要完成以下练习在新加坡地区 VPC
- 一个VPC(172.16.0.0/16)
- 两个公有子网(172.16.0.0/26,172.16.0.64/26),只允许 port 80 联机的安全群组 ithome_web_SG
- 两个私有子网(172.16.1.0/24,172.16.2.0/24)
- 新增 Internet Gateways 提供公有子网对外网关
- 新增路由表,提供公有子网对外联机的路径
建立VPC
登入AWS 管理控制台,选择VPC服务,进入VPC控制台,要先注意自己在那一个地区,选离自己区域比较接近的地区,当然也可以考虑成本,因为不同地区的计费方式是不同的,另一个考虑点是应用程序要服务的地区,作者比较喜欢在新加坡地区作业,接着新增VPC的方法可以是透过控制台所提供的精灵 (Launch VPC Wizard),也可以全部手动完成,本次选择手动完成,所以按下 Your VPCs。
图 1 、VPC 仪表板画面
Name tag: ithomeVPC
IPv4 CIDR block: 172.16.0.0/16
图 2 、输入 Name Tag 跟 IPv4 CIDR block 就可以建立一个 VPC
建立子网
因为公有网络的 IP 地址有限,所以在设定时可以设定可用 IP 少一点,所以设定为 172.16.0.0/26, 172.16.0.64/26 这两个网段。对于刚学习 AWS 的使用者而言,比较容易觉得困惑的是为何这个网段是私有 IP 的网段,考虑安全起见, AWS 是不会直接让使用者设定公开 IP 网段的,所以不管是公开子网还是私有子网,都是在 VPC 的网段中,唯一的差别是路由表,如果是连接 IGW (Internet Gateway) 的路由就属于公开子网,若是没有特别指定或是指定 NAT gateway 或 NAT instance 的路由,就属于私有子网,在后续的设定中可以看到。
回到 VPC 控制主画面,选择左边选单的 Subnets,接着点选 Create subnet
图 3 、建立子网
建立子网时需输入名称、所属 VPC 、所在的可用区以及 IPv4 CIDR block,从图四中可以看到,在输入 VPC 时,可以发现会显示前面一个 vpc-XXXXXXXXXXX 的字符串,这是 VPC ID ,如果我们用 SDK 或是 CLI 来存取时,需要指定这各字符串,而非我们先前指定的 ithomeVPC, AWS 的资源都是要透过它们所指定的 ID 来存取。从画面中也可以看出在新加坡地区有三个可用区,分别是ap-southeast-1a, ap-southeast-1b, ap-southeast-1c,不难从命名中发现它的规则 ap - Asia pacific 亚太, southeast 东南区,而 1 则是只第一个建立 AWS 服务的地区,新加坡是 ap-southeast-1 ,悉尼是 ap-southeast-2,而接下来的 a, b, c 则是它的可用区。
公有子网 1
Name tag: ithome public subnet 1
VPC* : vpc-0bb7004b67556d0da | ithomeVPC
Availability Zone : ap-southeast-1a (apse1-az2)
IPv4 CIDR block* : 172.16.0.0/26
图 4 、设定子网内容
依照这个方式我们继续设定其它的三个子网
公有子网 2
Name tag: ithome public subnet 2
VPC* : vpc-0bb7004b67556d0da | ithomeVPC
Availability Zone : ap-southeast-1b (apse1-az1)
IPv4 CIDR block* : 172.16.0.64/26
私有子网 1
Name tag: ithome private subnet 1
VPC* : vpc-0bb7004b67556d0da | ithomeVPC
Availability Zone : ap-southeast-1a (apse1-az2)
IPv4 CIDR block* : 172.16.1.0/24
私有子网 2
Name tag: ithome private subnet 2
VPC* : vpc-0bb7004b67556d0da | ithomeVPC
Availability Zone : ap-southeast-1b (apse1-az1)
IPv4 CIDR block* : 172.16.2.0/24
图 5 、观察子网建立状况
建立完四个子网后,记得务必再观察建立状况,如果没错的话应该可以在子网功能画面中看到四个子网,选择其中一个子网 ithome public subnet 1 后,观察下方的详细数据,选择 Route Table 页签,可以看到预设的路由表示 172.16.0.0/16,所以正常来说,在哪一个子网开启一个 EC2 ,在其它三个子网都是可以存取的到的
建立 因特网网关 Internet Gateway (IGW)
可以发现上述的四个子网除了 IPv4 CIDR block 有所不同外,其它设定几乎相同,那公有子网跟私有子网有何差别?所以我们要设定的就是路由表,凡是公有子网的子网,都必须加上 IGW 这条路由规则,所以要先建立一个新的 IGW (PS :如果已有当然也可以直接使用)。进入VPC的管理控制台,选择左手边的 Internet Gateways 后再按下右手边的 Create internet gateway就会进入新增画面,只要输入VPC的名称即可。
Name tag: ithomeIGW
图 6 、新增Internet Gateways
接着需要把这个新增的 ithomeIGW 绑定在目前的这个 VPC 上,进入 Internet Gateways 的浏览画面(图七),可以发现刚刚建立的 ithomeIGW 的状态是未连接 (Detached),所以必须要把它连接到 ithomeVPC ,按下 ithomeIGW 的 Internet gateway ID,就可以进入图八进行设定。
图 7 、Internet Gateways 浏览画面
图 8 、ithomeIGW 绑定 VPC 画面
设定路由表 (Route Tables)
新增一个路由表提供公有子网对外的联机规划,选择左手边的 Route Tables 后再按下右手边的 Create route table就会进入新增画面,输入路由表的名称与对应的 VPC 即可。
Name tag: ithomePublicRouteTable
VPC*: vpc-0bb7004b67556d0da | ithomeVPC
图 9 、新增路由表画面
接下来要做的就是设定路由表以及将两个公有子网关连到这个路由表。1.选择左手边的 Route Tables 后再2.选择刚刚新增 ithomePublicRouteTable ,3.按下 Routes 后,4.按下Edit routes按钮,会进入编辑路由画面,按下 Add Route 按钮后新增一条路由内容如下:
Destination: 0.0.0.0/0
Target: Internet Gateway -> ithomeIGW -> igw-032fe67ddb97f43c3
图 10 、设定路由表画面
储存该路由后,再选择 5. Subnet Associations 页签来设定公有子网关联,按下 Edit subnet sssociations,进入设定子网关联画面,因为这各路由是设定给公有子网的,所以要把两个公有子网 ithome public subnet 1 和 ithome public subnet 2 建立关联,这样就算是完成整个 VPC 的网络规划
图 11、设定子网关联画面
其实还有私有子网也有设定,但这一部分留到介绍 EC2 时再来说明,因为安全组也还没做好。
目前 AWS 完成进度如下图
图 12 、目前 AWS 完成进度
320
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
