如何理解AWS 网络，如何创建一个多层安全网络架构

Posted 2022-02-03

一、要求

1. 创建一个三层网络架构，服务器只能通过跳板机连接；
2. web 服务器只能由跳板机连接，80 端口只能由 ELB 访问，服务器不分配公网IP，外网连接通过 NAT；
3. 数据库服务器只能由 web 服务器连接 3306 端口；
4. 服务器分布在多 AZ。

网络架构图

网络各组件关系

组件包括 NACL，Route，Security Group，Internet Gateway，NAT Gateway，Elastic IP等。

画图工具：https://www.processon.com/i/5a24e7d6e4b0f3a798660105

二、操作步骤

2.1、网络设置

1. 创建 VPC；
2. 创建 IGW，附加到 VPC 上面；
3. 创建需要的六个子网，放在创建的 VPC 下面；
4. 创建三个路由，分别为私网，NAT，公网；
5. 公网路由添加条目0.0.0.0/0路由到 IGW，然后关联两个公有子网，两个公有子网开启自动分配公网IP；
6. 私网路由不需要添加路由条目，默认即可，关联到两个私有子网；
7. 创建 NAT 网关，选择放置公有子网；
8. NAT 路由添加路由条目0.0.0.0/0路由到刚刚创建的 NAT 设备，然后关联两个私有子网；

2.2、安全设置

可以设置 NACL，为每个子网设置防火墙，我们这里为了简便，不再进行设置，只设置实例的安全组完成。

1. 为跳板机实例创建安全组 bastion-sg，只允许特定的 IP 访问 22 号端口；
2. 为 ELB 实例创建安全组 elb-sg，只允许访问 80 端口；
3. 为 Web 实例创建安全组 web-sg，所有流量只允许 bastion-sg，elb-sg 组内的实例访问；
4. 为数据库实例创建安全组 db-sg，只允许 web-sg 组内的实例访问 3306 端口。

2.3、创建实例

1. 创建跳板机实例，选择第一个公有子网，配置好设定的安全组；
2. 分别创建 Web 实例，选择三，四两个私有子网，配置好设定的安全组；
3. 创建 RDS 子网租，选择五，六两个私有子网，创建实例，选择刚创建的子网组。