云計算技術

單元3

網絡服務單元概述

本單元介紹VPC（VirtualPrivateCloud)亞馬遜虛擬私有云AmazonVPC

自定義虛擬網絡AmazonWebServices資源自定義虛擬網絡環境包括IP地址范圍、創建子網以及配置在數據中心和VPC之間創建虛擬專用網絡(VPN)連接自定義AmazonVPC網絡配置學習目標知識點什么是VPCVPC的CIDRInternet網關路由表彈性IP(EIP，ElasticIP)安全組NACL（NetworkAccessControlList）網絡地址轉換（NAT，NetworkAddressTranslation）技能點創建VPC配置路由表EC2連接到VPC彈性IP的申請和使用配置安全組配置NACL配置NAT配置VPC對等連接項目1使用AmazonVPC項目描述掌握AmazonWebServices的網絡服務（VPC）把原有的IT系統遷移至云第一階段建立一個帶公有子網和私有子網的VPC第二個階段在VPC中增加私有子網，配置NAT，實現私有子網訪問Internet任務1知識預備與方案設計項目1使用AmazonVPC1.AmazonVPCAmazonVirtualPrivateCloud，虛擬私有云，通過AmazonWebServices賬號登錄亞馬遜云科技云來定義的虛擬專用網絡用戶能在VPC上創建實例，分配網絡地址范圍，劃分子網，配置路由、設置安全組和網絡訪問控制列表2.VPC的CIDRClasslessInterdomainRouting譯為無類別域間路由CIDR用VLSM(可變長子網掩碼)，根據用戶需要來分配IP地址VPC需要一個連續的IP地址空間，而這個地址空間采用CIDR和VLSM技術任務1知識預備與方案設計項目1使用AmazonVPC3.子網子網類似于傳統網絡中的VLAN，每個子網都有自己的CIDR，且必須是VPCCIDR的子集

AmazonWebServices子網保留網段的前四個IP地址和最后一IP個地址子網地址一旦確定不能更改，子網不能跨AZ，同一個VPC中的子網地址不能重疊4.Internet網關（IGW）IGW，InternetGateway是一種水平擴展的、冗余的高可用的VPC組件IWG有兩個功能：一是為VPC路由表提供通往Internet上的目標地址二是為VPC上公有子網上的實例的IPV4地址提供網絡地址轉換（NAT）任務1知識預備與方案設計5.路由表VPC資源中的路由器是軟件實現，隱性存在，只需要維護路由表即可路由表包含一組路由規則，每條路由信息包含目的網絡和目標地址項目1使用AmazonVPCVPC的每個子網都要關聯一個路由表，沒有路由表關聯的子網將使用隱式路由表客戶路由表由用戶建立，可以編輯、可以刪除任務1知識預備與方案設計項目1使用AmazonVPC6.安全組安全組是實例的虛擬防火墻，基于協議、端口號和IP地址過濾進出實例的流量對于安全組，可以制定入站規則和出站規則來控制出入實例的流量安全組的基本規則（類似于NACL）如下：（1）只能往安全組制定允許規則，不能制定拒絕規則（2）入站規則和出站規則可以分別制定（3）規則是基于協議和端口號來過濾信息（4）安全組是有狀態的（5）新創建的安全組是沒有入站規則的，不允許任何信息流入，直到創建入站規則任務1知識預備與方案設計項目1使用AmazonVPC6.安全組安全組是實例的虛擬防火墻，基于協議、端口號和IP地址過濾進出實例的流量對于安全組，可以制定入站規則和出站規則來控制出入實例的流量安全組的基本規則（類似于NACL）如下：（6）默認情況下，安全組包含出站規則，即允許所有信息流出（7）連接到同一個安全組的實例不能彼此通信，除非建立規則（8）安全組是被關聯到網絡接口上的，啟動實例時可以制定或改變（9）安全組的名字在所在的VPC中必須是唯一的（10）一個安全組只能應用在所在的VPC中任務1知識預備與方案設計項目1使用AmazonVPC7.網絡訪問控制列表NACL，NetworkAccessControlList負責VPC的安全,含入站和出站規則每個VPC都有一個默認的可以修改但無法刪除的NACL，它與VPC共生網絡訪問控制列表遵循如下規則：VPC自動連接一個的默認NACL，一般情況下它允許所有的入站和出站流量用戶可以創建自己的NACL，默認情況下用戶NACL拒絕所有的入站和出站流量每個VPC中的子網必須連接到一個NACL，如果沒有明確指明就連接到默認NALC一個NACL可以連接到多個子網，但一個子網在一個時間里只能連接一個NACL一個NACL包含大量的規則，規則的數量最多可以達到32766制定規則的原則是在保證子網安全的情況下使用最少的規則NACL是無狀態的，它不跟蹤流經它的流量狀態任務1知識預備與方案設計項目1使用AmazonVPC8.彈性網絡接口Elasticnetworkinterface，ENI是VPC的邏輯組件，表示虛擬網絡接口每個實例必須有一個默認的網絡接口（主要的ENI）可以單獨創建ENI，然后可附加到實例上或者從實例上分離再將它附加到其它實例上9.彈性IPElasticIPAddress，EIP是一個靜態公有IPV4地址EIP在最初分配時沒有綁定任何實例，可以連接將它分配給一個實例或網絡接口使用EIP的好處是，當實例發生故障時，可以將該EIP重新分配給另一個實例一個EIP一個時間只能分配給一個實例或網絡接口任務1知識預備與方案設計項目1使用AmazonVPC10.NATNetworkAddressTranslation，網絡地址轉換將私網IP轉換成公網IP，讓私網的主機訪問公網AmazonWebServices通過NAT實例和NAT網關實現地址轉換，稱它們為NAT設備NAT設備允許私有子網的實例訪問Internet，不允許反向訪問使用NAT設備的路由表要增加一條路由：凡是目的地址是外網的，全部轉發到NAT設備任務1知識預備與方案設計項目1使用AmazonVPC11.方案設計在亞馬遜云科技的北京區中創建一個帶有單個公有子網的VPC命名為VPCEXER，IPv4CIDR10.1.0.0/16公有子網命名為PUBSUB，IPv4CIDR10.1.1.0/24，AZ：cn-north-1a任務2創建VPC登錄AmazonWebServices管理控制臺在中國（北京）區域（cn-north-1）創建在VPC

EXER的VPC在VPCEXER中創建名為PUBSUB的公有子網項目1使用AmazonVPC1.創建VPC項目1使用AmazonVPC（1）登錄控制臺（3）在VPC控制面板中單擊“啟動VPC向導”按鈕（2）使用VPC服務項目1使用AmazonVPC（4）選擇“創建一個帶單個公有子網的VPC”（5）設置VPC的CIDR及名稱2.查看VPC的Name和VPCID項目1使用AmazonVPC在VPC控制面板單擊“您的VPC”，在“Name”列表中選擇“VPCEXER”3.查看子網信息項目1使用AmazonVPC在VPC控制面板單擊“子網”，在子網“Name”列表中選擇“PUBSUB”任務3配置路由表項目1使用AmazonVPC1.檢索路由表在VPC控制面板單擊“路由表”，在“篩選路由表”框中按照VPC：vpc-07bb1e4146d0fb111條件輸入，查到兩個路由表項目1使用AmazonVPC2.查看客戶路由表單擊客戶路由表ID，看到“路由”中有兩條記錄項目1使用AmazonVPC3.查看主路由表單擊“路由表”“主”列中顯示為“是”的路由表ID項目1使用AmazonVPC4.查看Internet網關在VPC控制面板單擊“互聯網網關”，在搜索框中搜索VPCID任務4EC2實例連接到VPC項目1使用AmazonVPC在PUBSUB的公有子網中創建一個MicrosoftWindowssever2019Base實例該實例命名為vpc_exer_win，vCPU為1，內存為1GB類型為通用型系列，使用EBS存儲項目1使用AmazonVPC1.啟動EC2實例2.選擇一個Amazon系統映像(AMI)3.選擇實例類型4.配置實例詳細信息項目1使用AmazonVPC5.添加存儲6.添加標簽項目1使用AmazonVPC7.配置安全組。選擇創建一個新的安全組，并輸入名稱8.核查實例啟動項目1使用AmazonVPC9.為實例vpc_exer_win創建新密鑰對10.查看實例vpc_exer_win11.查看實例vpc_exer_win詳細信息任務5彈性IP的申請和使用項目1使用AmazonVPC2.單擊“添加標簽”，單擊“分配”3.分配結果打開VPC控制面板，選擇左側導航“彈性IP”項目1使用AmazonVPC4.關聯彈性IP地址6.在EC2服務中查看實例vpc_exer_win詳細信息5.選擇關聯“實例”7.用單元2的方法遠程連接到實例vpc_exer_win任務6配置NAT項目1使用AmazonVPC1.VPCEXER中添加私有子網10.1.3.0/24任務6進入該項目的第二部分,擴充VPCEXER（1）在VPC控制臺左側導航欄中選擇“子網”單擊“創建子網”項目1使用AmazonVPC（2）按圖選擇和填寫后，單擊右下角“創建子網”（3）查看結果，按照VPCID搜索，看到公有子網PUBSUB和私有子網PRISUB項目1使用AmazonVPC2.私有子網中添加實例winpri（1）如圖中網絡選擇VPCEXER，子網選擇PRISUB實例winpri與實例vpc_exer_win配置選項相同，操作步驟參考前面的內容但請注意下面三個步驟項目1使用AmazonVPC（2）“步驟5”中設置實例名稱為winpri（3）為實例winpri選擇創建新密鑰對，并下載密鑰對（4）實例創建成功項目1使用AmazonVPC3.創建NAT網關（1）創建NAT網關（2）設置NAT項目1使用AmazonVPC3.創建NAT網關（3）NAT網關詳細信息如圖，記錄該NATID：nat-08cea39960a39d337項目1使用AmazonVPC4.路由設置（1）打開VPC控制面板左側“路由表”依VPCID篩選出VPCEXER的路由表（2）創建路由規則項目1使用AmazonVPC4.路由設置（3）選擇“添加路由”按圖選擇，單擊“保存更改”（4）結果如圖項目1使用AmazonVPC5.使用網絡訪問控制列表保護子網（1）查看VPCEXER的網絡ACL（2）查看入站規則項目1使用AmazonVPC5.使用網絡訪問控制列表保護子網（3）查看出站規則（4）查看子網關聯VPCEXER默認網絡ACL關聯公有子網PUBSUB和私有子網PRISUB項目1使用AmazonVPC6.私有子網實例winpri通過NAT網關訪問Internet（1）遠程桌面連接公有子網實例vpc_exer_win（2）解密winpri管理員administrator密碼項目1使用AmazonVPC6.私有子網實例winpri通過NAT網關訪問Internet（3）通過vpc_exer_win連接winpri項目1使用AmazonVPC6.私有子網實例winpri通過NAT網關訪問Internet（4）連通winpri（5）在winpri實例上，通過NAT訪問Internet項目2對等連接項目描述使用VPCPeering（對等連接）技術實現不同VPC之間的互聯互通本項目在項目一的基礎上用原有賬戶創建一個帶單獨公有子網的VPC使用對等連接和原來的VPC連接起來，實現互訪項目2對等連接任務1知識預備與方案設計1.對等連接VPCVPCPeering是將兩個VPC連接起來，對等連接之間的通信是私有網絡間的通信不同VPC中的實例相互通信就像在同一個網絡中彼此訪問網絡中的數據在AmazonWebServices全球網絡中加密傳輸，不經過互聯網，避免了DDOS攻擊，保障數據安全項目2對等連接2.方案設計在亞馬遜云科技北京區（cn-north-1