Использование AWS CLI для создания VPC-инфраструктуры(VPC,subnets,Internet Gateway,Nat Gateway, Route tables)

Создание инфраструктуры в пользовательской(недефолтной) VPC , в которой будут две подсети.
Публичная – для возможности подключения снаружи к серверам в этой сети(например, web-сервера) и выхода этой публичной сети в Интернет с помощью Internet Gateway, а также связи серверов публичной сети с серверами приватной сети
Приватной – для возможности подключения к серверам в этой сети (например, серверам баз данных) ТОЛЬКО с серверов с публичной сети(с web-серверов) (при этом сервера приватной сети не будут доступны с Интернета) и выхода серверов приватной сети в Интернет(например,для установки/обновления ПО) через NAT Gateway

Порядок выполнения:
1.Создание VPC c блоком CIDR (10.0.0.0/16)
2.Создание подсетей в VPC
А) публичная 10.0.1.0/24
Б) приватная 10.0.2.0/24
3. Создание Internet Gateway для выпуска публичной сети в Интернет и возможности подключения с Интернета к публичной сети, подключение Internet Gateway к VPC
4.Создание Nat Gateway для выпуска приватной сети в Интерне (БЕЗ возможности подключения к сети с Интернета)
5. Создание пользовательской таблицы маршрутизации для публичной сети, добавление в нее правила для маршрутизации по дефолту через Internet Gateway, присоединение таблицы маршрутизации для публичной сети
6. Создание пользовательской таблицы маршрутизации для приватной сети, добавление в нее правила для маршрутизаиции по дефолту через Nat Gateway, присоединение таблицы маршрутизации для приватной сети
7.Создание групп безопасности(Security Group) для публичной и приватной сетей, добавление в них необходимых правил для фильтрации входящего трафика.
8.Запуск EC2-инстансов в публичной и приватной сетях.
9.Тестирование работоспособности созданной инфраструктуры

 

1.Создание VPC c блоком CIDR (10.0.0.0/16)

Проставляем теги

Проверяем

 

2.Создание подсетей в VPC
А) публичная 10.0.1.0/24

Проставляем теги

 

Б)приватная 10.0.2.0/24

Проставляем теги

Проверяем

 

3. Создание Internet Gateway для выпуска публичной сети в Интернет и возможности подключения с Интернета к публичной подсети, подключение Internet Gateway к VPC
А) Создание Internet Gateway

Б) подключение Internet Gateway к VPC

Добавление тега

 

4.Создание Nat Gateway для выпуска приватной подсети в Интерне (БЕЗ возможности подключения к приватной сети из Интернета)
А) получение статичского адреса Elastic IP

Б) Создание NAT Gateway в публичной подсети (subnet-4a454203)

Добавляем теги

 

5. Создание пользовательской таблицы маршрутизации для публичной сети и добавление в нее правила для маршрутизации по дефолту через Internet Gateway, присоединение таблицы маршрутизации для публичной подсети
А) Создание пользовательской таблицы маршрутизации для публичной подсети

Б)Добавление в таблицу маршрутизации правила для маршрутизации трафика из публичной подсети (10.0.1.0/24, subnet-4a454203) в сеть 0.0.0.0/0(весь Интернет) через Internet Gateway

Проверка таблицы маршрутизации

В) Подключение этой таблицы к публичной подсети

Г) Включение авто-назначения публичных IP-адресов для публичной подсети(subnet-4a454203) во время запуска инстанса

 

6. Создание пользовательской таблицы маршрутизации для приватной подсети, добавление в нее правила для маршрутизации по дефолту через Nat Gateway, присоединение таблицы маршрутизации для приватной подсети
А)Создание пользовательской таблицы маршрутизации для приватной подсети

Б) Добавление в таблицу маршрутизации правила для маршрутизации трафика из приватной подсети (10.0.2.0/24, subnet-0fbbbf46) в сеть 0.0.0.0/0(весь Интернет) через NAT Gateway

Проверка таблицы маршрутизации

В) Подключение этой таблицу к приватной подсети

 

7.Создание групп безопасности(Security Group) для публичной и приватной подсетей, добавление в них необходимых правил
А) Создание группы безопасности для публичной подсети

Б) Создание группы безопасности для приватной подсети

В) Добавление в публичную группу безопасности правил, разрешающих входящее подключение
А) на 80 и 443 порты

Б) на 22 порт с Вашего внешнего статического IP-адреса (если такового нет,то разрешаем со всей сети —cidr 0.0.0.0/0)

В) Весь ICMP-трафик(при желании можно ограничить определенными типами icmp-запросов)

Г) Весь трафик с приватной подсети(10.0.2.0/24) по идентификатору приватной группы безопасности(sg-28116453)

 

Г)Добавление в приватную группу правила,разрешающее весь входящий трафик с публичной сети по идентификатору публичной группы (sg-f91d6882)

 

8.Запуск EC2-инстансов в публичной и приватной сетях
А) Создание пары SSH-ключей

Дефолтный регион определен уже в настройках AWS CLI

Просмотр доступных ключей

Б) Запуск EC2-инстанса с образа Amazon Linux AMI (HVM, SSD Volume Type) (ami-1a962263) типа t2.micro с ПУБЛИЧНОЙ группой безопасности(sg-f91d6882)в ПУБЛИЧНОЙ подсети (subnet-4a454203)

Проверка состояния инстанса по его идентификатору i-05f82be7af92b8e0d

 

В)Запуск EC2-инстанса с образа Amazon Linux AMI (HVM, SSD Volume Type) (ami-1a962263) типа t2.micro с ПРИВАТНОЙ группой безопасности(sg-28116453) в ПРИВАТНОЙ подсети (subnet-0fbbbf46)

Проверяем состояние инстанса в приватной сети

 

9.Тестирование работоспособности созданной инфраструктуры
1)Доступность публичного инстанса по SSH с указаного IP- адреса (159.224.XXX.YYY/32) в публиной группе безопасности

Проверка сетевых настроек и таблицы маршрутизации на публичном инстансе

2)Выход публичного инстанса в Интернет

3)Доступ по внутренней сети с публичного инстанса(10.0.1.200) к приватному инстансу(10.0.2.83)

Копируем SSH-приватный ключ на публичный сервер

Подключаемся на публичный сервер

С него подключаемся на приватный сервер

Проверка приватного инстанса
Проверка сетевых настроек и таблицы маршрутизации на приватном сервере

1)Проверка выхода приватного инстанса в Интернет

Проверка внешнего адреса, через который выходит приватный инстанс в Интернет

Он должен соответствовать адресу NAT Gateway(52.16.230.24)

2)Проверка доступности публичного инстанса(10.0.1.200) с приватного инстанса(10.0.2.83)

 

Источник:
https://rtfm.co.ua/aws-migraciya-rtfm-chast-1-ruchnoe-sozdanie-infrastruktury/
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-subnets-commands-example.html
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.

Яндекс.Метрика