通过 AWS 控制台完成 Amazon VPC 私有子网的搭建,掌握私有子网的创建流程和关键配置步骤。同时,理解私有子网与公有子网的核心区别,学会配置相关网络组件,确保私有子网内的资源无法直接被互联网访问,但能正常与 VPC 内部其他资源通信。通过实操,加深对 AWS VPC 网络架构的理解,为后续部署私有环境中的应用奠定基础。
Amazon VPC 允许你在 AWS 云中创建一个逻辑隔离的虚拟网络。其中,私有子网是一种没有互联网网关(IGW)路由的网络分区。在私有子网中运行的资源(如 EC2 实例)无法直接从互联网访问,不能直接接入互联网,能有效提升资源的安全性,适用于存储敏感数据、部署数据库等不需要直接暴露在公网的服务。这极大地增强了安全性。
私有子网内的资源可与同一 VPC 内的其他子网、安全组、路由表等组件配合,实现内部网络通信和访问控制,也可通过 NAT 网关(需部署在公有子网)访问互联网获取更新,
本次采用 AWS Console 界面完成作业。
注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行 (CLI) 部署、代码部署 (CloudFomation、Terraform 等)、以及其它开发语言(SDK)完成作业。
步骤一:登录 AWS 管理控制台,创建 VPC
登录 AWS 控制台后找到 VPC 服务,点击“创建 VPC”,设置 VPC 名称、IPv4 CIDR 块(如 10.0.0.0/16),其他参数保持默认,完成 VPC 创建。
步骤二:创建两个私有子网
在已创建的 VPC 下,点击“子网”→“创建子网”,设置子网名称、选择所属 VPC,指定子网 IPv4 CIDR 块(如 10.0.1.0/24),选择可用区,确认创建。用同样的方法创建另一个私有子网。
步骤三:验证子网路由
创建后,分别选中创建的子网,在下方标签页中选择“路由表”。默认情况下,子网会关联主路由表。点击路由表 ID 进入详情页。确认其路由规则只有一条指向 10.0.0.0/16 的本地路由,没有指向互联网网关(igw-xxx)的路由。
步骤四:配置安全组
创建适配私有子网的安全组,开放内部通信所需端口。
步骤五:配置网络 ACL
创建适配私有子网的 ACL,开放内部通信所需端口,允许所有出站流量的。
1. 分别在创建的两个私有子网中启动一台 Linux EC2 实例,并加入对应的安全组。
2. AWS 管理控制台中直接登录两台实例,尝试使用 SSH 协议进行相互访问,或者测试两台实例之间的 ping 连通性,确认这两台实例可以相互可以访问。
3. 从互联网环境的设备(例如,个人电脑)使用 SSH 协议,尝试远程连接这两台 Linux EC2 实例,验证无法连接创建的两台实例。