一、要求
- 創建一個三層網絡架構,服務器只能通過跳板機連接;
- web 服務器只能由跳板機連接,80 端口只能由 ELB 訪問,服務器不分配公網IP,外網連接通過 NAT;
- 數據庫服務器只能由 web 服務器連接 3306 端口;
- 服務器分佈在多 AZ。
網絡架構圖
網絡各組件關係
組件包括 NACL,Route,Security Group,Internet Gateway,NAT Gateway,Elastic IP等。
二、操作步驟
2.1、網絡設置
- 創建 VPC;
- 創建 IGW,附加到 VPC 上面;
- 創建需要的六個子網,放在創建的 VPC 下面;
- 創建三個路由,分別爲私網,NAT,公網;
- 公網路由添加條目
0.0.0.0/0路由到 IGW,然後關聯兩個公有子網,兩個公有子網開啓自動分配公網IP; - 私網路由不需要添加路由條目,默認即可,關聯到兩個私有子網;
- 創建 NAT 網關,選擇放置公有子網;
- NAT 路由添加路由條目
0.0.0.0/0路由到剛剛創建的 NAT 設備,然後關聯兩個私有子網;
2.2、安全設置
可以設置 NACL,爲每個子網設置防火牆,我們這裏爲了簡便,不再進行設置,只設置實例的安全組完成。
- 爲跳板機實例創建安全組 bastion-sg,只允許特定的 IP 訪問 22 號端口;
- 爲 ELB 實例創建安全組 elb-sg,只允許訪問 80 端口;
- 爲 Web 實例創建安全組 web-sg,所有流量只允許 bastion-sg,elb-sg 組內的實例訪問;
- 爲數據庫實例創建安全組 db-sg,只允許 web-sg 組內的實例訪問 3306 端口。
2.3、創建實例
- 創建跳板機實例,選擇第一個公有子網,配置好設定的安全組;
- 分別創建 Web 實例,選擇三,四兩個私有子網,配置好設定的安全組;
- 創建 RDS 子網租,選擇五,六兩個私有子網,創建實例,選擇剛創建的子網組。