AWS 創建VPC 并且添加權限控制
以下是完整的從0到1在AWS中創建VPC并配置權限的步驟(包含網絡配置、安全組權限和實例訪問):
1. 創建VPC
步驟:
-
登錄AWS控制臺
訪問 AWS VPC控制臺,點擊 創建VPC。 -
配置基礎信息
- 名稱標簽:
my-vpc - IPv4 CIDR塊:
10.0.0.0/16(私有IP地址范圍) - 取消勾選 DNS主機名 和 DNS解析(可選,默認啟用)
- 其他保持默認,點擊 創建VPC。
- 名稱標簽:
結果:
- 生成1個VPC(ID類似
vpc-123456),默認包含1個默認路由表和1個網絡ACL。
2. 創建公共子網(可訪問互聯網)
步驟:
-
進入子網頁面
在左側菜單選擇 子網 → 創建子網。 -
配置公共子網
- 名稱標簽:
public-subnet - VPC:選擇剛創建的
my-vpc - IPv4 CIDR塊:
10.0.1.0/24(屬于VPC的子網范圍) - 可用區:選擇一個可用區(如
us-east-1a) - 取消勾選 自動分配IPv6地址
- 點擊 創建子網。
- 名稱標簽:
結果:
- 生成公共子網(ID類似
subnet-abc123)。
3. 創建私有子網(不可直接訪問互聯網)
步驟:
- 重復創建子網流程:
- 名稱標簽:
private-subnet - IPv4 CIDR塊:
10.0.2.0/24 - 可用區:選擇另一個可用區(如
us-east-1b) - 其他配置同上,點擊 創建子網。
- 名稱標簽:
結果:
- 生成私有子網(ID類似
subnet-def456)。
4. 創建互聯網網關(IGW)并關聯到VPC
步驟:
-
進入互聯網網關頁面
左側菜單選擇 互聯網網關 → 創建互聯網網關。- 名稱標簽:
my-igw - 點擊 創建。
- 名稱標簽:
-
附加到VPC
- 選中剛創建的IGW,點擊 操作 → 附加到VPC。
- 選擇
my-vpc,點擊 附加。
結果:
- VPC通過IGW獲得訪問互聯網的能力(需配合路由表)。
5. 配置公共子網的路由表
步驟:
-
進入路由表頁面
左側菜單選擇 路由表,找到與公共子網關聯的默認路由表(名稱含PublicRouteTable)。 -
添加默認路由
- 點擊 編輯路由 → 添加路由。
- 目標:
0.0.0.0/0(所有流量) - 目標類型:
互聯網網關 - 選擇互聯網網關:
my-igw - 點擊 保存路由。
-
關聯子網
- 點擊 子網關聯 → 編輯子網關聯。
- 勾選
public-subnet,點擊 保存。
結果:
- 公共子網內的實例可通過IGW訪問互聯網。
6. 創建安全組(配置訪問權限)
步驟:
-
進入安全組頁面
左側菜單選擇 安全組 → 創建安全組。 -
配置公共安全組(允許SSH/HTTP訪問)
- 名稱:
public-sg - 描述:允許SSH和HTTP訪問
- VPC:選擇
my-vpc - 入站規則:
- 添加規則:
- 類型:SSH(端口22),來源
0.0.0.0/0(允許所有IP,生產環境需限制) - 類型:HTTP(端口80),來源
0.0.0.0/0 - 類型:HTTPS(端口443),來源
0.0.0.0/0
- 類型:SSH(端口22),來源
- 添加規則:
- 出站規則:保持默認(允許所有出站流量)
- 點擊 創建安全組。
- 名稱:
-
配置私有安全組(僅限內部訪問)
- 重復創建流程,名稱
private-sg,入站規則僅允許來自VPC內的IP(如10.0.0.0/16)訪問特定端口(如3306數據庫端口)。
- 重復創建流程,名稱
7. 在公共子網中啟動EC2實例
步驟:
-
進入EC2控制臺
訪問 EC2控制臺,點擊 啟動實例。 -
選擇AMI
- 例如:Amazon Linux 2 AMI(HVM)。
-
配置實例
- 實例類型:t2.micro(免費套餐可用)
- 網絡:選擇
my-vpc - 子網:選擇
public-subnet - 安全組:選擇
public-sg - 密鑰對:創建或選擇現有的SSH密鑰對(用于登錄實例)。
-
啟動實例
- 點擊 啟動,記錄實例的公網IP(用于SSH連接)。
8. 驗證網絡連通性
步驟:
-
SSH連接到公共實例
ssh -i "your-key.pem" ec2-user@<公網IP> -
測試互聯網訪問
curl http://icanhazip.com # 應返回公網IP
9. 配置私有子網權限(可選)
步驟:
-
在私有子網啟動EC2實例
- 重復啟動流程,子網選擇
private-subnet,安全組選擇private-sg。 - 實例無公網IP,需通過公共實例或VPN訪問。
- 重復啟動流程,子網選擇
-
從公共實例訪問私有實例
- 在公共實例中,使用私有IP連接:
ssh -i "your-key.pem" ec2-user@10.0.2.10 # 私有IP需與子網CIDR匹配
- 在公共實例中,使用私有IP連接:
關鍵權限配置說明
-
安全組規則
- 入站規則:控制哪些IP/端口可以訪問實例(如SSH端口22、HTTP端口80)。
- 出站規則:默認允許所有流量,通常無需修改。
-
NAT網關(私有子網訪問互聯網)
- 若私有子網需訪問互聯網,需創建NAT網關并關聯到公共子網,修改私有子網路由表指向NAT網關。
- 步驟:
- 創建NAT網關(綁定EIP)。
- 私有子網路由表添加規則:
0.0.0.0/0→ NAT網關。
清理資源(避免扣費)
完成測試后,刪除以下資源:
- EC2實例
- 互聯網網關(需先從VPC分離)
- VPC(需先刪除子網、路由表等依賴資源)
通過以上步驟,您已創建了一個包含公共/私有子網的VPC,并配置了安全組權限,實現了實例的網絡訪問控制。
)
)
