本文介绍如何在虚拟私有云(VPC)中配置公有和私有子网,确保Web应用程序可公开访问,而后端服务器保持私密。通过设置公有子网内的Web服务器和私有子网内的数据库服务器,实现安全通信,同时利用NAT网关让私有子网中的实例访问互联网。
如果您希望运行面向公众的 Web 应用程序,并同时保留不可公开访问的后端服务器,我们建议您配置包括一个有公有子网和私有子网的 Virtual Private Cloud (VPC)。常用例子是一个多层网站,其 Web 服务器位于公有子网之内,数据库服务器则位于私有子网之内。您可以设置安全性和路由,以使 Web 服务器能够与数据库服务器建立通信。
公有子网中的实例可直接将出站流量发往 Internet,而私有子网中的实例不能这样做。但是,私有子网中的实例可使用位于公有子网中的网络地址转换 (NAT) 网关访问 Internet (不建议使用NAT实例)。数据库服务器可以使用 NAT 网关连接到 Internet 进行软件更新,但 Internet 不能建立到数据库服务器的连接。
1. 公有子网中的实例通过 Internet 网关,将出站流量发往互联网;
2. 私有子网中的实例通过NAT 网关,将出站流量发往互联网;
主要组成部分如下图:
注意:NAT gateway必须位于公有子网中,否则流量不能路由到公网。
一、创建VPC
创建后的vpc信息(VPC ID:vpc-04c375aa43719df7b)
二、创建公有子网
子网ID:subnet-0fc0ea7528ef94ea9
创建Internet 网关:
Internet 网关ID: igw-00056fe494c2832d5
把该网关附加到VPC:
附加到vpc后,如下:
修改子网的路由表,增加缺省路由的目的为:internet 网关(igw-00056fe494c2832d5):
到目前位置,此公有子网下的EC2经过附加公网IP后,都可以访问互联网或从互联网访问该实例。
三、创建私有子网 (外部不能访问ec2,但是ec2可以访问互联网)
由于私有子网,需要通过NAT-网关访问外部互联网,所有我们需要创建一个NAT网关:
注意:NAT网关必须附加在上面创建的公有子网中
创建私有子网的路由,并配置该路由的缺省路由指向NAT-网关(NAT-Gateway ID: nat-0c75a0b39681c8b59):
修改子网的路由,改为使用上面创建的路由(ROUTE ID: rtb-0bdd89c77fa558751):
到目前位置,此私有子网下的EC2经过NAT-gateway 访问互联网,但是从互联网不能访问该实例。
扫一扫
1237
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
