全文共2834
字�����,預(yù)計(jì)學(xué)習(xí)時(shí)長6
分鐘
圖片來源:https:///illustrations/network-ear
作為開發(fā)人員��,基本上其所有的注意力都集中于開發(fā)產(chǎn)品��。不過一旦完成開發(fā),還需要將該應(yīng)用程序放在互聯(lián)網(wǎng)平臺(tái)上�����,提供給大眾使用��。
如果在團(tuán)隊(duì)中工作�,這個(gè)過程就不是問題,運(yùn)營部有人會(huì)處理這項(xiàng)任務(wù)�。
但是,如果你是獨(dú)自一人�����,或者初次使用云端���,這項(xiàng)工作可能會(huì)引起很多困惑�。畢竟存在著很多此前不知道的術(shù)語�����。因此�����,本文將特別討論非常受歡迎的AWS���。
讓應(yīng)用程序在AWS Cloud中運(yùn)行
要在AWS云端啟動(dòng)并運(yùn)行應(yīng)用程序���,至少需要了解AWS資源中的兩件事:彈性計(jì)算云(EC2)和虛擬私有云 (VPC)。
EC2
EC2是一個(gè)虛擬計(jì)算環(huán)境�。它與現(xiàn)在手中的筆記本電腦大致相同。
VPC
概述為:通過亞馬遜虛擬私人云端Amazon Virtual Private Cloud(Amazon VPC)配置AWS Cloud的邏輯隔離部分�,可以在其中啟動(dòng)所定義虛擬網(wǎng)絡(luò)中的AWS資源。
或者���,簡單地說�,VPC允許你從網(wǎng)絡(luò)角度管理AWS資源���。
本文將解釋組成VPC的構(gòu)建塊�����,同時(shí)提供每個(gè)組件的解釋�����。
本文假設(shè)讀者已經(jīng)知道IP地址基本上的操作方式以及公共和私有IP之間的區(qū)別�����,因此不會(huì)介紹有關(guān)網(wǎng)絡(luò)的所有內(nèi)容�。
在結(jié)尾,本文會(huì)介紹一個(gè)正在運(yùn)行的EC2實(shí)例�,通過SSH連接以證明它可以從Internet訪問。
默認(rèn)情況下����,AWS在創(chuàng)建帳戶后已在每個(gè)區(qū)域?yàn)橛脩籼峁┠J(rèn)VPC。雖然這些默認(rèn)VPC將滿足大多數(shù)需求��,但仍需要了解它的工作原理����。
創(chuàng)建一個(gè) VPC
在此將它命名為vpc-quickstart。
什么是IPv4 CIDR塊�?
它是無類別域間路由 (Classless Inter-Domain Routing) 的縮寫。
這就是要指定IP范圍的方式�����。
符號(hào)是<ip notation> / <number>�。
先以10.0.0.0/16為例。
這里的重要部分是數(shù)字16。這就決定了IP范圍�。
這里的IP是IPv4。它由32位組成����,每次按8位(八位位組)分組��,用點(diǎn)分隔�。因此,如果進(jìn)行轉(zhuǎn)換��,例如����,一個(gè)255.255.255.255的IP地址,將獲得二進(jìn)制格式的11111111.11111111.11111111.11111111�����。
如果不知道如何閱讀二進(jìn)制數(shù)字��,建議先進(jìn)行學(xué)習(xí)�����。
在示例10.0.0.0中,將獲得00001010.00000000.00000000.00000000�����。
然后有數(shù)字16�����,它作為一個(gè)掩碼����,從左到右用數(shù)字“1”表示,形成一個(gè)IP地址格式�����。結(jié)果是11111111.11111111.00000000.00000000����。
可以在網(wǎng)絡(luò)內(nèi)使用掩碼上有0的位置。這意味著����,如果將最后兩個(gè)八位字節(jié)中的所有剩余位用于網(wǎng)絡(luò),如果掩碼為24或11111111.11111111.11111111.00000000�,則只獲取最后一個(gè)八位字節(jié)��。
因此����,IP范圍將是00001010.00000000.00000000.00000000至00001010.00000000.11111111.11111111��,或小數(shù)位10.0.0.0至10.0.255.255��。
互聯(lián)網(wǎng)網(wǎng)關(guān)
顧名思義���,為了使VPC能夠訪問互聯(lián)網(wǎng),就必須將其連接上互聯(lián)網(wǎng)的網(wǎng)關(guān)��。下面將創(chuàng)建一個(gè)互聯(lián)網(wǎng)網(wǎng)關(guān)�����,并將其命名為igw-quickstart:
子網(wǎng)
子網(wǎng)是網(wǎng)絡(luò)的邏輯組�,根據(jù)要求而異。
子網(wǎng)可把網(wǎng)絡(luò)分成更小的部分�。把它想象成一個(gè)巨大的建筑中的網(wǎng)絡(luò),有100個(gè)不同的公司和100個(gè)部門���,每個(gè)部門都各有網(wǎng)絡(luò)組�����。
子網(wǎng)的示例是從192.168.1.1到192.168.1.255的范圍���。
還必須為每個(gè)子網(wǎng)指定CIDR塊��。
下面將創(chuàng)建三個(gè)子網(wǎng)���,public1 public2和private1,因?yàn)閷?chuàng)建兩個(gè)公共子網(wǎng)和一個(gè)私有子網(wǎng)���。
公共子網(wǎng)意味著子網(wǎng)可以訪問互聯(lián)網(wǎng)�����,而私有子網(wǎng)則無法訪問互聯(lián)網(wǎng)���。將在稍后解釋如何做到這一點(diǎn)。
先創(chuàng)建一個(gè)子網(wǎng)�����,其中包含之前創(chuàng)建的一些VPC����。
請(qǐng)注意���,這次指定掩碼“24”。
轉(zhuǎn)換為二進(jìn)制的24掩碼是11111111.11111111.11111111.00000000���。因此�,前三個(gè)八位字節(jié)已經(jīng)保留����,唯一的空間是最后一個(gè)八位字節(jié)�。
因此,如果平均創(chuàng)建子網(wǎng)�,最終會(huì)得到10.0.<0-255>。*子網(wǎng)����。
網(wǎng)絡(luò)訪問控制列表 (NACL)
NACL允許用戶指定網(wǎng)絡(luò)的入站和出站流量規(guī)則。
入站意味著進(jìn)入的流量�,而出站意味著流出的流量。
可以根據(jù)協(xié)議類型(如HTTP����,TCP�,UDP等)和端口號(hào)為網(wǎng)絡(luò)設(shè)置任何規(guī)則����。
由最低到最高給每個(gè)規(guī)則一個(gè)數(shù)字。
創(chuàng)建一個(gè)并將其命名為ACL-Quickstart��。
默認(rèn)情況下�����,允許所有流量��。為了本課程的目的�����,在此保持原樣���。但是����,建議大家不要在生產(chǎn)環(huán)境中這樣做��。
在“子網(wǎng)關(guān)聯(lián)選項(xiàng)卡”中��,單擊“編輯子網(wǎng)關(guān)聯(lián)”并添加之前創(chuàng)建的子網(wǎng)。
路由表
這類似于應(yīng)用程序中的路由��。例如����,如果IP目標(biāo)是10.0.0.14,那么將其路由到service-a�����,就這么簡單��。
創(chuàng)建兩個(gè)路由表���,將其命名為RT1和RT2。
對(duì)于RT1�,打開“路線選項(xiàng)卡”,然后單擊“編輯路線”�����。添加目標(biāo)為0.0.0.0/0的路由���,目標(biāo)是剛創(chuàng)建的互聯(lián)網(wǎng)網(wǎng)關(guān)����。
這意味著0.0.0.0/0將其他流量引導(dǎo)到互聯(lián)網(wǎng)網(wǎng)關(guān),以便它可以訪問互聯(lián)網(wǎng)����。單擊“保存路由”,然后轉(zhuǎn)到“子網(wǎng)關(guān)聯(lián)選項(xiàng)卡”��。
單擊“編輯子網(wǎng)關(guān)聯(lián)”并添加之前創(chuàng)建的名為public1和public2的兩個(gè)子網(wǎng)����。
這就是如何使子網(wǎng)公開;將它與一個(gè)路由表關(guān)聯(lián)�,該路由表的目的地是互聯(lián)網(wǎng)網(wǎng)關(guān)。
對(duì)于RT2�����,對(duì)其進(jìn)行編輯����,使其與子網(wǎng)private1相關(guān)聯(lián),以使其成為私有子網(wǎng)���。
啟動(dòng)EC2實(shí)例
最后�����,測試一下網(wǎng)絡(luò)是否正常運(yùn)行�。
啟動(dòng)EC2實(shí)例 - 使用“t2.micro”實(shí)例類型,因?yàn)樗厦赓M(fèi)方案資格��。
轉(zhuǎn)到步驟#3配置實(shí)例�����。這是配置實(shí)例將要使用的網(wǎng)絡(luò)的地方�����。
選擇VPC和剛剛創(chuàng)建的其中一個(gè)公共子網(wǎng)����。然后,轉(zhuǎn)到步驟#6配置安全組并啟用自動(dòng)分配公共IP���。
安全組
安全組允許用戶實(shí)例級(jí)別配置入站和出站流量,而NACL處于網(wǎng)絡(luò)級(jí)別����。
這次���,只允許來自所有傳入IP源的端口22的SSH連接。
單擊“查看并啟動(dòng)”并啟動(dòng)實(shí)例���,但不要忘記下載密鑰對(duì) - 該實(shí)例將需要一些時(shí)間來配置����。
完成后���,使用SSH連接到它���。單擊實(shí)例,然后單擊表頂部的“連接”��。它將提供使用SSH連接的說明���。
按照說明操作然后...成功啦�!
SSH連接到EC2實(shí)例����。
現(xiàn)在有了一個(gè)連接到互聯(lián)網(wǎng)的EC2實(shí)例,而且還知道它的每個(gè)步驟。
在此之后�����,可以通過向安全組添加更多規(guī)則以打開HTTP端口80��,輕松安裝應(yīng)用程序并通過瀏覽器訪問它���。
還有很多有關(guān)VPC的信息值得去學(xué)習(xí)����,試試更改所創(chuàng)建的配置并查看會(huì)發(fā)生什么��,例如從路由表中刪除互聯(lián)網(wǎng)網(wǎng)關(guān)���,更改NACL中的規(guī)則��,等等���。
