目录
创建vpc不需要费用,会自动生成交换机和路由表,但vpc下属的资源需要收费。
主要需要创建ecs资源、弹性公网IP、一个弹性公网IP可以实现多个互联网服务。
一、概述
二、专有网络vpc
2.1 vpc基本信息
2.2 vpc资源管理
2.3 vpc网段管理
三、交换机
一个vpc有多个交换机,每个交换机管理一个网段,交换机网段必须在vpc网段之内,交换机可以新建ecs、slb、rds
路由表在创建vpc时自动生成 ,路由表需要绑定路由器和网关
四、NAT网关
4.1 绑定弹性公网IP
需要先购买弹性公网IP,绑定公网NAT网关,其中自动生成SNAT用于内网访问外网
4.2 NAT网关信息
4.3 绑定的弹性公网IP
4.4 DNAT
DNAT端口映射,此处对外开放了81端口
4.5 SNAT
SNAT内网访问外网,此处不做限制,限制在ACL做,这里系统默认开通运行访问外网
五、弹性公网IP
弹性公网IP绑定后会NAT后,会自动生成SNAT和DNAT,
六、访问控制ACL(绑定交换机)
6.1 入方向
负责外网黑名单收集
6.2 出方面
默认允许访问外网,所有端口出方向放通,禁止8.8.8.8访问是我自行添加,且该记录在优先级放通全网高,所以无法访问。
弹性公网IP解绑NAT网关,需要先删除DNAT和SNAT
七、弹性公网IP绑定不同资源
7.1 解绑NAT网关
解绑后内网服务器无法访问外网
解绑后弹性公网IP处于未绑定转态,可以绑定以下资源
7.2 弹性公网IP绑定负载均衡CLB
此处直接绑定CLB负载IP,此时访问CLB4000端口可以直接访问到服务,但我们通常不会这样做这种危险的操作,这直接把内网负载均衡器直接暴露在外网环境。
7.3 弹性公网IP绑定服务器ECS
再次解绑直接绑定真实服务器ECS,此时直接访问80端口即可访问,但我们通常不会这样做这种危险的操作,这直接把内网主机直接暴露在外网环境。
八、安全组
安全组==>安全组模块在ecs控制面板下
8.1 入方向
负责服务器真实端口开放。此处放通80端口nginx对外服务
8.2 出方向
默认放行
九、传统型负载均衡CLB
vpc资源管理==>传统型负载均衡CLB(私网)==>负载均衡SLB控制台
CLB可以当做是一台内网反向代理服务器(CLB内网四层负载),占用一个内网ip,该例子为192.168.1.210
9.1 CLB实例详情
9.2 监听
一个CLB实例可监听多个端口,每个端口对应一个服务,每个服务对应一个服务器组,此处监听4000端口,服务器组为slb-group1,slb-group1实际是ip为192.168.1.209的nginx服务器,通常来说服务器组需要包含多个,已达到流量分发的目的。
这样在对外服务配置DNAT时就需要把内部地址改成CLB地址和4000端口,而不是真实服务器地址和80端口。
弹性公网IP绑定NAT网关,DNAT绑定负载CLB4000端口
弹性公网IP绑定NAT网关,DNAT绑定真实服务器80端口
十、资源回收
除了收费资源要及时删除,弹性公网IP、服务器ces、负载均衡clb,删除vpc还需要删除安全组、交换机、acl(删除acl要先解绑交换机)。路由表无需手动删除,vpc删除后自动删除。