創(chuàng)建一個可以外網(wǎng)訪問的VPC

我們還是選用弗吉尼亞北部（us-east-1）區(qū)域，執(zhí)行相關(guān)的部署。

登錄到VPC管理頁面，點擊“創(chuàng)建VPC”。


這兒有一個非常重要的設(shè)置：CIDR

CIDR

無類別域間路由（英語：Classless Inter-Domain Routing，簡稱CIDR）是一個用于給用戶分配IP地址以及在互聯(lián)網(wǎng)上有效地路由IP數(shù)據(jù)包的對IP地址進行歸類的方法。

簡單來說，CIDR是一種表達IP地址段的方式。
一般我們看到的CIDR都是結(jié)合IP一起使用的，比如上圖中100.0.0.0/24。

其中IP部分表示這段IP的起始地址，長度是2^(32-24)=256。即上例代表的IP端是100.0.0.0~100.0.0.255。
這個知識點很重要，因為在后續(xù)規(guī)劃子網(wǎng)（subnet）時會用到。
只要記?。?strong>IP表示起始地址，CIDR用于計算長度，計算規(guī)則是2^(32-cidr)。

主路由表

創(chuàng)建VPC時，會自動創(chuàng)建“主路由表”。它用于定義子網(wǎng)或者網(wǎng)關(guān)流量可以流向何處。
本例中的主路由表如下

這兒有個翻譯問題，即上圖中兩個“目標”?？梢詫⒖刂婆_語言切換到英語，看到圖變成這樣。

Destination

The range of IP addresses where you want traffic to go (destination CIDR). For example, an external corporate network with the CIDR 172.16.0.0/12.

Target

The gateway, network interface, or connection through which to send the destination traffic; for example, an internet gateway.

簡單來說，就是讓Destination和Target連接上，流量可以在它們之間傳輸。就本例而言，Target是local，它表示VPC內(nèi)之間可以相互訪問。

Every route table contains a local route for communication within the VPC. This route is added by default to all route tables.

主網(wǎng)絡(luò)ACL

ACL的全稱是“access control list”，它相當于一個防火墻，可以通過規(guī)則控制進出VPC和子網(wǎng)的流量。本例是主網(wǎng)絡(luò)ACL，就整個VPC的ACL。我們還可以針對子網(wǎng)設(shè)置ACL。
ACL有一個非常重要的特性——沒有任何狀態(tài)，即入站和出站的流量是單獨的規(guī)則，并不會因為因為入站的流量被放行，而其出站的流量也會被放行。

入站規(guī)則

出站規(guī)則

這兒有個一個需要注意的點，就是Rule number為*的規(guī)則。它表示不符合其他Rule number條件的流量該執(zhí)行什么規(guī)則。上例中*號表示：如果不符合其他規(guī)則的流量都會被禁止。

子網(wǎng)

我們可以在VPC中創(chuàng)建多個子網(wǎng)，即規(guī)劃多段IP地址段。本例中，我們就規(guī)劃一個占用VPC所有地址段的子網(wǎng)。


可以看到，我們在IPv4 CIDR中填入的值和規(guī)劃VPC時是一樣的，這樣就不會浪費為VPC規(guī)劃的任何一個IP。
在《AWS攻略——VPC初識》一文中，我們特別提到“子網(wǎng)只能在一個可用區(qū)中”，于是這兒我們選用us-east-1a。

創(chuàng)建子網(wǎng)時，也會自動創(chuàng)建子網(wǎng)路由和子網(wǎng)ACL。因為默認的路由和ACL是都放開的，所以我們先不用關(guān)心它們的配置。

創(chuàng)建EC2測試連接

其他配置可以參見《AWS攻略——VPC初識》。

但是，此時我們無法SSH到這臺機器上。

其原因是該VPC沒有和互聯(lián)網(wǎng)互通。

創(chuàng)建互聯(lián)網(wǎng)網(wǎng)關(guān)（IGW）

在IGW創(chuàng)建頁面鍵入名稱。

然后附加到我們創(chuàng)建的VPC上。

編輯路由表

修改子網(wǎng)的路由表，讓子網(wǎng)內(nèi)所有IP（0.0.0.0/0）都和上一步創(chuàng)建的互聯(lián)網(wǎng)網(wǎng)關(guān)連通。

這樣我們再測試SSH連接，就可以登錄到剛創(chuàng)建的機器上。
整體的結(jié)構(gòu)圖如下：
文章來源地址http://www.zghlxwxcb.cn/news/detail-720619.html

知識點

• CIDR：一種IP地址段分配的表示方法。
• ACL（網(wǎng)絡(luò)訪問控制列表）：允許或拒絕特定的入站或出站流量的規(guī)則。
• Router（路由）：路由表包含一組被稱為路由的規(guī)則，決定了來自您的子網(wǎng)或網(wǎng)關(guān)的網(wǎng)絡(luò)流量將指向何處。
• Internet Gateway（互聯(lián)網(wǎng)網(wǎng)關(guān)）：Internet 網(wǎng)關(guān)是一種橫向擴展、冗余且高度可用的 VPC 組件，支持在 VPC 和 Internet 之間進行通信。它支持 IPv4 和 IPv6 流量。它不會對您的網(wǎng)絡(luò)流量造成可用性風險或帶寬限制。
  借助互聯(lián)網(wǎng)網(wǎng)關(guān)，公有子網(wǎng)中具有公有 IPv4 地址或 IPv6 地址的資源（例如 EC2 實例）可以連接到互聯(lián)網(wǎng)。同樣，互聯(lián)網(wǎng)上的資源也可以使用公有 IPv4 地址或 IPv6 地址發(fā)起到子網(wǎng)中的資源的連接。

參考資料

1. https://zh.wikipedia.org/zh-hans/%E6%97%A0%E7%B1%BB%E5%88%AB%E5%9F%9F%E9%97%B4%E8%B7%AF%E7%94%B1
2. https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/vpc-network-acls.html
3. https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/VPC_Route_Tables.html

到了這里，關(guān)于AWS攻略——創(chuàng)建VPC的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！