标准的云平台网络架构设计须要一下步骤:
- 构建VPC
建议使用标准内网网段(10.*, 172.*),这里是172.31.0.0/16。VPC之间默认是隔离的,基于这个性质,能够将测试环境和PD环境分布在不一样的VPC内。VPC是跨越可用区的,说到可用区,那在构建VPC以前先说明一下可用区的概念。可用区:通常是在同一地区的不一样数据中心,可用区间之间的网络延迟应该在毫秒级。因此一个VPC内的两个可用区不可能跨越多个省份,物理区域上的隔离会加大网络延迟。参见Region&AZ
- 在VPC内建立子网段:
建立的子网大体上分为public网段(可链接到internet网关)、私有子网段(通常用于后台 服务集群)、RDS子网段等。以上的每一个子网段包含可用区个数的网段,本例中该VPC下有3 个AZ(可用区)因此每一个网段下面有3个子网段(172-public-a/-b/-c,对应a、b、c三个AZ)html
- 建立路由表:
路由表是为子网段内的host提供网络链接支持,按照两大类划逻辑分割子网段的话,public网段可能会提供对公网接口服务,须要外部可以访问到,因此路由要包含igw(internet Gateway)。同理,private网段(除public以外的网段)须要从内到外主动访问外网,因此须要NAT。通常状况下,路由要知足以下规则:public子网段不会直接访问RDS子网段而是由peivate子网段访问RDS,public子网段可访问private子网段
下文会介绍igw和NAT的配置。
你们会看到路由tab后面有子网关联,子网关联就是把上面所说的public网段或非public网段关联到对应的public路由或非public路由里:安全
4. Internet网关:
igw的建立相对简单,建立时关联到对应的VPC便可。
5. NAT网关:
NAT建立须要EIP(弹性IP即公网IP),由于NAT就是为了让内网host上网。
网络
- 安全组: 安全组能够理解为虚拟防火墙,一个安全组能够应用到你想应用的任何实例EC2上。安全组