Amazon VPC(VirtualPrivateCloud)是云上的虚拟网络,也是创建AWS账户之后,最先接触的部分。介绍在AWS上创建VPC的方法。创建后的VPC如下。

开始创建VPC之前,先把需要创建的AWS资源的名称定义一下。实际项目需要项目上定义的命名规则进行创建。

AWS资源 名称 说明
VPC sysblog-demo-vpc AWS上构建的私有虚拟网络。
Public Subnet sysblog-demo-1a-pub-sn001 部署可以从Internet访问的资源,例如公共Web服务器,并把互联网网关(IGW)设定为默认网关的子网。
Private Subnet sysblog-demo-1a-pri-sn001 部署无法从Internet直接访问的资源,例如MySQL On EC2等数据库服务,设定NAT网关为默认网关时EC2可访问Internet。
Internet Gateway sysblog-demo-igw001 关联到VPC的互联网网关。
NAT Gateway sysblog-demo-1a-ngw001 Private子网中的EC2访问Internet时使用,进行IP和端口地址转换,以实现与Internet的安全通信。
Route Table sysblog-demo-pub-rt001 Public子网的路由表
Route Table sysblog-demo-pri-rt001 Private子网的路由表

刚创建的AWS账户后的状态如下,在这里无视AWS账户上有多个Region,默认VPC及安全组等。

创建VPC

登录AWS管理控制台之后,依次点击「VPC」->「您的VPC」->「创建VPC」。VPC里可指定的CIDR是私有IP范围,而Amazon VPC可指定 /16 ~ /28 的CIDR

■私有IP地址一览
– 10.0.0.0 – 10.255.255.255 (10/8 prefix)
– 172.16.0.0 – 172.31.255.255 (172.16/12 prefix)
– 192.168.0.0 – 192.168.255.255 (192.168/16 prefix)

需注意的是这次创建测试环境CIDR范围可任意指定,但是实际环境上有私有IP地址之间的访问(比如测试环境和生产环境之间),需要指定不重复的CIDR。

点击「创建VPC」后的构成如下。

创建Internet Gateway

点击「互联网网关」->「创建互联网网关」,在 Name标签输入名称后,点击「创建互联网网关」。

选择创建的Internet Gateway后,点击「附加到VPC」。

将Internet Gateway关联到VPC。

创建Internet Gateway后的构成如下。

创建路由表

点击「路由表」->「创建路由表」,创建关联到Public Subnet及Private Subnet的路由表。

■Public Subnet的路由表

■Private Subnet的路由表

创建Public Subnet

依次点击「子网」->「创建子网」后,选择在上面创建的VPC。

输入「子网名称」及「IPv CIDR快」后,点击「创建子网」。

将路由表 sysblog-demo-pub-rt001 关联到Publice Subnet。选择Public Subnet后,在路由表Tab上点击「编辑路由宝关联」。

选择sysblog-demo-pub-rt001 后,点击「保存」。

在路由表 sysblog-demo-pub-rt001 上添加互联网网关(IGW)设定为默认网关的设定。选择路由表(sysblog-demo-pub-rt001)之后,编辑路由进行修改。

创建Public Subnet后的构成如下。

创建NAT Gateway

点击「NAT网关」->「创建NAT网关」,重要的是将子网选择Public Subent,并创建公网IP进行分配。

创建完NAT Gateway后的构成如下。

创建Private Subnet

Private Subnet的创建方法和Public Subnet一样,重要的是关联到Private Subnet的路由表(sysblog-demo-pri-rt001)里需要把默认网关配置为NAT Gateway

创建完Private Subnet之后的构成如下。

小结

一步一步地创建了VPC及Subnet,可在Public Subnet创建Web服务器而在Private Subnet上创建RDS等服务。实际的客户环境上需要在多个AZ(可用区)创建Subnet,以防AZ出现故障时导致整个系统宕机。