搜索
创建你的虚拟数据中心VPC基础AWS技术销售部陈耀炜2015-12-17EC2虚机172.31.0.128172.31.0.129172.31.1.24172.31.1.2754.4.5.654.2.3.4VPC我们会涵盖的内容•熟悉VPC的概念•建立一个基本VPC的流程流程:建立一个互联网联通的VPC建立一个互联网联通的VPC:步骤选择一个地址段在一个可用区内建立子网创建一条指向互联网的路由对进出VPC的流量进行控制选择一个地址段CIDR命名规则•CIDR段举例:•172.31.0.0/16•10101100000111110000000000000000为你的VPC选择一个IP地址段172.31.0.0/16建议:RFC1918range建议:/16(64Kaddresses)建立子网为你的子网选择IP地址段172.31.0.0/16AvailabilityZoneAvailabilityZoneAvailabilityZoneVPCsubnetVPCsubnetVPCsubnet172.31.0.0/24172.31.1.0/24172.31.2.0/24eu-west-1aeu-west-1beu-west-1c自动分配公网地址:所有的实例都会自动获得一个公网地址关于子网更多的建议•适合于大多数客户的建议:•/16VPC(64Kaddresses)•/24subnets(251addresses)•每个可用区一个子网•这是还有什么需要做的呢创建一条通向互联网的路由你的VPC的路由•路由表保存了你的数据包会去哪里的规则•你的VPC有一个默认的路由表•…但是你可以分配不同的路由表到不同的子网我的VPC的数据包的目的地Internetgateway如果你希望你的数据包到达互联网请把他们导向这里VPC可以到达互联网控制流量:网络访问控制列表安全组网络访问控制列表=无状态防火墙规则允许所有的流量进入可以附加于最少一个子网安全组遵循你应用的构架“MyWebServers”SecurityGroup“MyBackends”SecurityGroup只允许来自MyWebServer子网的访问安全组=有状态防火墙这个可以从80端口(HTTP)被访问安全组=有状态防火墙只有位于MyWebServers安全组的实例才能访问这个安全组的实例VPC中安全组:附加的注意点•VPC允许创立进出两个方向的安全组规则•最佳实践:只要可能,通过指定的规则允许流量联通•很多的应用构架通过安全组(谁可以联通我)和IAM角色(我可以做什么)定义1对1的互相访问规则(谁可以联通我)