实验目的
- 掌握亚马逊云平台VPC服务的概念
- 熟练使用亚马逊云平台创建和使用VPC服务
名词解释
1、 VPC概述
VPC:英文全称为Virtual Private Cloud,允许用户配置亚马逊云上的逻辑隔离部分,可以在其中启动用户定义的虚拟网络中的亚马逊云资源。
- 用户可完全控制虚拟网络环境,包括选择自己的IP地址范围,创建子网以及配置路由表和网络网关。
- 用户可在VPC中同时使用IPv4和IPv6,以便安全、轻松的访问资源和应用程序。
- VPC定义:云上的安全、私有的虚拟网络
- VPC作用:用于逻辑上的资源隔离
- 部署地域:一个VPC仅可部署到唯一区域,但可跨多个可用区部署(推荐)
- 区域上限:亚马逊云中每个区域每个账户仅可拥有上限5个VPC
- 私有IP:每个VPC拥有一个指定的私有IP地址
- CIRD:无类别域间路由
2、子网
- 子网作用:用来划分VPC,是VPC地址范围子集
- 公有子网:支持Internet出入站
- 私有子网:仅支持受限出站访问,不支持internet入站访问
3、路由表
- 包含一系列被称为路由的规则
- 用于判断网络流量的导向目的地
- 每个VPC都有一个主(默认)路由表
- 每个子网必须且只能与一个路由表关联
4、internet网关
internet网关作用:横向扩展、支持冗余且高度可用的VPC组件,可用于实现VPC中实例与internet之间的通信
- 将网关附加到VPC
- 将子网路由表指向网关
- 实例具有公有IP
弹性IP:专用于动态云计算的静态公有IPv4地址
5、NAT网关
- 允许私有子网中的实例连接到internet或其他AWS亚马逊云服务,但阻止internet发起与私有实例的连接
- 指定网关关联的弹性IP地址
- 弹性地址与网关关联后无法更改
6、NAT实例
- 创建NAT实例
- 创建实例所需的安全组
- 禁用源/目标检查
- 更新相应的路由表
7、安全性
- 安全组:充当实例的虚拟防火墙,用于控制出入站规则
- 网络ACL:用作关联的子网防火墙,在子网级别同时控制出入站流量
- 流日志:捕获有关传入和传出VPC中网络接口的IP流量信息
实验内容
实验一、使用向导创建VPC
1、启动VPC向导
服务->VPC->启动VPC向导
2、选择VPC类型
在左侧选择“带单个公有子网的VPC”并单击选择
3、VPC信息配置
依次输入相应信息,并点击“创建VPC”
4、VPC成功创建
在完成创建后,会看到如下提示,点击“确定”
5、子网IP分配设置
在VPC控制面板的左侧,选择“子网”,并在右侧找到创建的子网,并选中,在上方点击“操作”并选择“修改自动分配IP设置”
6、分配公有IPv4地址
在设置页面,选择“自动分配IPv4”,启用自动分配公有IPv4地址,并点击“保存”这样创建在该VPC公有子网内的EC2会默认自动分配一个公有子网。
7、查看VPC ID
在完成VPC创建和配置后,回到VPC控制面板,并在左侧点击“您的VPC”。这里会显示所有的VPC列表,找到刚创建的VPC,在“VPC”一列找到相应的VPC ID,并记录下来。
实验二、手动创建VPC
1、创建VPC
依次点击服务->VPC->您的VPC->Create VPC
2、配置VPC信息
在“Create VPC”页面,配置VPC信息:
- Name tag:VPC名称
- IPv4 CIDR block:ipv4地址块
- 其他选项保持默认设置,然后点击Create
实验三、VPC综合实验
实验原理
通过AWS亚马逊云VPC服务,用户可以定义可能在本地运行的传统的网络非常相似的虚拟网络拓扑。一个VPC可以跨多个可用区,从而使用户能够将独立的基础设施放置在物理上分隔开的位置。
- 多可用区部署提供了高可用性和容错能力。
实验规划
本VPC架构使用了两个可用区,每个可用区都具有各自不同的公有子网和私有子网。本实验使用以下CIDR范围: 
实验步骤
1、创建VPC
依次点击服务->VPC->您的VPC->Create VPC
2、VPC IP段配置
3、创建子网
4、子网配置
选择子网所在的VPC,设定相应子网名称,选择可用区域(下图为子网1)
选择子网所在的VPC,设定相应子网名称,选择可用区域(下图为子网2)
选择子网所在的VPC,设定相应子网名称,选择可用区域(下图为子网3)
- 注意:IP地址段不可与其他子网段冲突 (见下图提示)
选择子网所在的VPC,设定相应子网名称,选择可用区域(下图为子网4)
