如何理解AWS 網絡，如何創建一個多層安全網絡架構

一、要求

1. 創建一個三層網絡架構，服務器只能通過跳板機連接；
2. web 服務器只能由跳板機連接，80 端口只能由 ELB 訪問，服務器不分配公網IP，外網連接通過 NAT；
3. 數據庫服務器只能由 web 服務器連接 3306 端口；
4. 服務器分布在多 AZ。

網絡架構圖

網絡各組件關系

組件包括 NACL，Route，Security Group，Internet Gateway，NAT Gateway，Elastic IP等。

畫圖工具：https://www.processon.com/i/5a24e7d6e4b0f3a798660105

二、操作步驟

2.1、網絡設置

1. 創建 VPC，如果希望創建的 EC2 實例帶有公網 DNS，請打開 VPC 的DNS hostnames enable的設置；
2. 創建 IGW，附加到 VPC 上面；
3. 創建需要的六個子網，放在創建的 VPC 下面；
4. 創建三個路由，分別為私網，NAT，公網；
5. 公網路由添加條目0.0.0.0/0路由到 IGW，然后關聯兩個公有子網，兩個公有子網開啟自動分配公網IP；
6. 私網路由不需要添加路由條目，默認即可，關聯到兩個私有子網；
7. 創建 NAT 網關，選擇放置公有子網；
8. NAT 路由添加路由條目0.0.0.0/0路由到剛剛創建的 NAT 設備，然后關聯兩個私有子網；

2.2、安全設置

可以設置 NACL，為每個子網設置防火墻，我們這里為了簡便，不再進行設置，只設置實例的安全組完成。

1. 為跳板機實例創建安全組 bastion-sg，只允許特定的 IP 訪問 22 號端口；
2. 為 ELB 實例創建安全組 elb-sg，只允許訪問 80 端口；
3. 為 Web 實例創建安全組 web-sg，所有流量只允許 bastion-sg，elb-sg 組內的實例訪問；
4. 為數據庫實例創建安全組 db-sg，只允許 web-sg 組內的實例訪問 3306 端口。

2.3、創建實例

1. 創建跳板機實例，選擇第一個公有子網，配置好設定的安全組；
2. 分別創建 Web 實例，選擇三，四兩個私有子網，配置好設定的安全組；
3. 創建 RDS 子網租，選擇五，六兩個私有子網，創建實例，選擇剛創建的子網組。

視頻教程：https://edu.51cto.com/course/18611.html

三、費用

3.1、NAT 網關費用

如果選擇在 VPC 中創建 NAT 網關，您需要為 NAT 網關預置和可用的每個“NAT 網關小時”付費。通過 NAT 網關處理的每個 GB 都要收取數據處理費，與流量源或目的地無關。運行未滿一小時的 NAT 網關小時將按一小時計費。通過 NAT 網關傳輸的所有數據也會產生標準的 AWS 數據傳輸費用。如果您不希望再支付 NAT 網關費用，只需使用 AWS 管理控制臺、命令行界面或 API 刪除 NAT 網關即可。

例如弗吉尼亞北部價格：

歡迎大家掃碼關注，獲取更多信息