云架构设计实战 课件 单元 3 网络服务.pptx

云计算技术

单元3网络服务

单元概述

本单元介绍VPC（VirtualPrivateCloud)亚马逊虚拟私有云AmazonVPC自定义虚拟网络AmazonWebServices资源自定义虚拟网络环境包括IP地址范围、创建子网以及配置在数据中心和VPC之间创建虚拟专用网络(VPN)连接自定义AmazonVPC网络配置

学习目标知识点什么是VPCVPC的CIDRInternet网关路由表弹性IP(EIP，ElasticIP)安全组NACL（NetworkAccessControlList）网络地址转换（NAT，NetworkAddressTranslation）技能点创建VPC配置路由表EC2连接到VPC弹性IP的申请和使用配置安全组配置NACL配置NAT配置VPC对等连接

项目1使用AmazonVPC项目描述掌握AmazonWebServices的网络服务（VPC）把原有的IT系统迁移至云第一阶段建立一个带公有子网和私有子网的VPC第二个阶段在VPC中增加私有子网，配置NAT，实现私有子网访问Internet

任务1知识预备与方案设计项目1使用AmazonVPC1.AmazonVPCAmazonVirtualPrivateCloud，虚拟私有云，通过AmazonWebServices账号登录亚马逊云科技云来定义的虚拟专用网络用户能在VPC上创建实例，分配网络地址范围，划分子网，配置路由、设置安全组和网络访问控制列表2.VPC的CIDRClasslessInterdomainRouting译为无类别域间路由CIDR用VLSM(可变长子网掩码)，根据用户需要来分配IP地址VPC需要一个连续的IP地址空间，而这个地址空间采用CIDR和VLSM技术

任务1知识预备与方案设计项目1使用AmazonVPC3.子网子网类似于传统网络中的VLAN，每个子网都有自己的CIDR，且必须是VPCCIDR的子集AmazonWebServices子网保留网段的前四个IP地址和最后一IP个地址子网地址一旦确定不能更改，子网不能跨AZ，同一个VPC中的子网地址不能重叠4.Internet网关（IGW）IGW，InternetGateway是一种水平扩展的、冗余的高可用的VPC组件IWG有两个功能：一是为VPC路由表提供通往Internet上的目标地址二是为VPC上公有子网上的实例的IPV4地址提供网络地址转换（NAT）

任务1知识预备与方案设计5.路由表VPC资源中的路由器是软件实现，隐性存在，只需要维护路由表即可路由表包含一组路由规则，每条路由信息包含目的网络和目标地址项目1使用AmazonVPCVPC的每个子网都要关联一个路由表，没有路由表关联的子网将使用隐式路由表客户路由表由用户建立，可以编辑、可以删除

任务1知识预备与方案设计项目1使用AmazonVPC6.安全组安全组是实例的虚拟防火墙，基于协议、端口号和IP地址过滤进出实例的流量对于安全组，可以制定入站规则和出站规则来控制出入实例的流量安全组的基本规则（类似于NACL）如下：（1）只能往安全组制定允许规则，不能制定拒绝规则（2）入站规则和出站规则可以分别制定（3）规则是基于协议和端口号来过滤信息（4）安全组是有状态的（5）新创建的安全组是没有入站规则的，不允许任何信息流入，直到创建入站规则

任务1知识预备与方案设计项目1使用AmazonVPC6.安全组安全组是实例的虚拟防火墙，基于协议、端口号和IP地址过滤进出实例的流量对于安全组，可以制定入站规则和出站规则来控制出入实例的流量安全组的基本规则（类似于NACL）如下：（6）默认情况下，安全组包含出站规则，即允许所有信息流出（7）连接到同一个安全组的实例不能彼此通信，除非建立规则（8）安全组是被关联到网络接口上的，启动实例时可以制定或改变（9）安全组的名字在所在的VPC中必须是唯一的（10）一个安全组只能应用在所在的VPC中

任务1知识预备与方案设计项目1使用AmazonVPC7.网络访问控制列表NACL，NetworkAccessControlList负责VPC的安全,含入站和出站规则每个VPC都有一个默认的可以修改但无法删除的NACL，它与VPC共生网络访问控制列表遵循如下规则：VPC自动连接一个的默认NACL，一般情况下它允许所有的入站和出站流量用户可以创建自己的NACL，默认情况下用户NACL拒绝所有的入站和出站流量每个VPC中的子网必须连接到一个NACL，如果