构建基于aws的标准网络架构

原创
2020/11/20 09:58
阅读数 163

标准的云平台网络架构设计需要一下步骤:

  1. 构建VPC
    建议使用标准内网网段(10.*, 172.*),这里是172.31.0.0/16。VPC之间默认是隔离的,基于这个性质,可以将测试环境和PD环境分布在不同的VPC内。VPC是跨越可用区的,说到可用区,那在构建VPC之前先说明一下可用区的概念。可用区:一般是在同一地区的不同数据中心,可用区间之间的网络延迟应该在毫秒级。所以一个VPC内的两个可用区不可能跨越多个省份,物理区域上的隔离会加大网络延迟。参见Region&AZ
    在这里插入图片描述
  2. 在VPC内创建子网段:
    在这里插入图片描述

在这里插入图片描述
创建的子网大致上分为public网段(可连接到internet网关)、私有子网段(一般用于后台 服务集群)、RDS子网段等。以上的每个子网段包含可用区个数的网段,本例中该VPC下有3 个AZ(可用区)所以每个网段下面有3个子网段(172-public-a/-b/-c,对应a、b、c三个AZ)

  1. 创建路由表:
    路由表是为子网段内的host提供网络连接支持,按照两大类划逻辑分割子网段的话,public网段可能会提供对公网接口服务,需要外部能够访问到,所以路由要包含igw(internet Gateway)。同理,private网段(除public之外的网段)需要从内到外主动访问外网,所以需要NAT。一般情况下,路由要满足如下规则:public子网段不会直接访问RDS子网段而是由peivate子网段访问RDS,public子网段可访问private子网段
    创建路由表
    igw

NAT
下文会介绍igw和NAT的配置。
大家会看到路由tab后面有子网关联,子网关联就是把上面所说的public网段或非public网段关联到对应的public路由或非public路由里:

public路由子网关联


private路由关联子网
4. Internet网关:
igw的创建相对简单,创建时关联到对应的VPC即可。
创建igw
5. NAT网关:
NAT创建需要EIP(弹性IP即公网IP),因为NAT就是为了让内网host上网。
创建NAT

  1. 安全组:
    安全组可以理解为虚拟防火墙,一个安全组可以应用到你想应用的任何实例EC2上。安全组
展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部