目录
一、概述
二、专有网络vpc
2.1 vpc基本信息
2.2 vpc资源管理
2.3 vpc网段管理
三、交换机
四、NAT网关
4.1 绑定弹性公网IP
4.2 NAT网关信息
4.3 绑定的弹性公网IP
4.4 DNAT
4.5 SNAT
五、弹性公网IP
六、访问控制ACL(绑定交换机)
6.1 入方向
6.2 出方面
七、弹性公网IP绑定不同资源
7.1 解绑NAT网关
7.2 弹性公网IP绑定负载均衡CLB
7.3 弹性公网IP绑定服务器ECS
八、安全组
8.1 入方向
8.2 出方向
九、传统型负载均衡CLB
9.1 CLB实例详情
9.2 监听
十、资源回收
创建vpc不需要费用,会自动生成交换机和路由表,但vpc下属的资源需要收费。
主要需要创建ecs资源、弹性公网IP、一个弹性公网IP可以实现多个互联网服务。
一、概述
二、专有网络vpc
2.1 vpc基本信息
2.2 vpc资源管理
2.3 vpc网段管理
三、交换机
一个vpc有多个交换机,每个交换机管理一个网段,交换机网段必须在vpc网段之内,交换机可以新建ecs、slb、rds
路由表在创建vpc时自动生成 ,路由表需要绑定路由器和网关
四、NAT网关
4.1 绑定弹性公网IP
需要先购买弹性公网IP,绑定公网NAT网关,其中自动生成SNAT用于内网访问外网
4.2 NAT网关信息
4.3 绑定的弹性公网IP
4.4 DNAT
DNAT端口映射,此处对外开放了81端口
4.5 SNAT
SNAT内网访问外网,此处不做限制,限制在ACL做,这里系统默认开通运行访问外网
五、弹性公网IP
弹性公网IP绑定后会NAT后,会自动生成SNAT和DNAT,
六、访问控制ACL(绑定交换机)
6.1 入方向
负责外网黑名单收集
6.2 出方面
默认允许访问外网,所有端口出方向放通,禁止8.8.8.8访问是我自行添加,且该记录在优先级放通全网高,所以无法访问。
弹性公网IP解绑NAT网关,需要先删除DNAT和SNAT
七、弹性公网IP绑定不同资源
7.1 解绑NAT网关
解绑后内网服务器无法访问外网
解绑后弹性公网IP处于未绑定转态,可以绑定以下资源
7.2 弹性公网IP绑定负载均衡CLB
此处直接绑定CLB负载IP,此时访问CLB4000端口可以直接访问到服务,但我们通常不会这样做这种危险的操作,这直接把内网负载均衡器直接暴露在外网环境。
7.3 弹性公网IP绑定服务器ECS
再次解绑直接绑定真实服务器ECS,此时直接访问80端口即可访问,但我们通常不会这样做这种危险的操作,这直接把内网主机直接暴露在外网环境。
八、安全组
安全组==>安全组模块在ecs控制面板下
8.1 入方向
负责服务器真实端口开放。此处放通80端口nginx对外服务
8.2 出方向
默认放行
九、传统型负载均衡CLB
vpc资源管理==>传统型负载均衡CLB(私网)==>负载均衡SLB控制台
CLB可以当做是一台内网反向代理服务器(CLB内网四层负载),占用一个内网ip,该例子为192.168.1.210
9.1 CLB实例详情
9.2 监听
一个CLB实例可监听多个端口,每个端口对应一个服务,每个服务对应一个服务器组,此处监听4000端口,服务器组为slb-group1,slb-group1实际是ip为192.168.1.209的nginx服务器,通常来说服务器组需要包含多个,已达到流量分发的目的。
这样在对外服务配置DNAT时就需要把内部地址改成CLB地址和4000端口,而不是真实服务器地址和80端口。
弹性公网IP绑定NAT网关,DNAT绑定负载CLB4000端口
弹性公网IP绑定NAT网关,DNAT绑定真实服务器80端口
十、资源回收
除了收费资源要及时删除,弹性公网IP、服务器ces、负载均衡clb,删除vpc还需要删除安全组、交换机、acl(删除acl要先解绑交换机)。路由表无需手动删除,vpc删除后自动删除。
