標準的雲平臺網絡架構設計須要一下步驟:
- 構建VPC
建議使用標準內網網段(10.*, 172.*),這裏是172.31.0.0/16。VPC之間默認是隔離的,基於這個性質,能夠將測試環境和PD環境分佈在不一樣的VPC內。VPC是跨越可用區的,說到可用區,那在構建VPC以前先說明一下可用區的概念。可用區:通常是在同一地區的不一樣數據中心,可用區間之間的網絡延遲應該在毫秒級。因此一個VPC內的兩個可用區不可能跨越多個省份,物理區域上的隔離會加大網絡延遲。參見Region&AZ
- 在VPC內建立子網段:
建立的子網大體上分爲public網段(可鏈接到internet網關)、私有子網段(通常用於後臺 服務集羣)、RDS子網段等。以上的每一個子網段包含可用區個數的網段,本例中該VPC下有3 個AZ(可用區)因此每一個網段下面有3個子網段(172-public-a/-b/-c,對應a、b、c三個AZ)html
- 建立路由表:
路由表是爲子網段內的host提供網絡鏈接支持,按照兩大類劃邏輯分割子網段的話,public網段可能會提供對公網接口服務,須要外部可以訪問到,因此路由要包含igw(internet Gateway)。同理,private網段(除public以外的網段)須要從內到外主動訪問外網,因此須要NAT。通常狀況下,路由要知足以下規則:public子網段不會直接訪問RDS子網段而是由peivate子網段訪問RDS,public子網段可訪問private子網段
下文會介紹igw和NAT的配置。
你們會看到路由tab後面有子網關聯,子網關聯就是把上面所說的public網段或非public網段關聯到對應的public路由或非public路由裏:安全
4. Internet網關:
igw的建立相對簡單,建立時關聯到對應的VPC便可。
5. NAT網關:
NAT建立須要EIP(彈性IP即公網IP),由於NAT就是爲了讓內網host上網。
網絡
- 安全組: 安全組能夠理解爲虛擬防火牆,一個安全組能夠應用到你想應用的任何實例EC2上。安全組