Amazon AWS 使用心得（摸索篇一）

本文主要講述本人使用過程中，Amazon Aws 內(nèi)常用模塊說明。

創(chuàng)新互聯(lián)專注骨干網(wǎng)絡(luò)服務(wù)器租用十余年，服務(wù)更有保障！服務(wù)器租用，成都二樞機(jī)房 成都服務(wù)器租用，成都服務(wù)器托管，骨干網(wǎng)絡(luò)帶寬，享受低延遲，高速訪問。靈活、實(shí)現(xiàn)低成本的共享或公網(wǎng)數(shù)據(jù)中心高速帶寬的專屬高性能服務(wù)器。

1. 固定IP怎么配置？

答： EC2默認(rèn)動(dòng)態(tài)IP，每次實(shí)例重啟，IP都會(huì)發(fā)生改變。這么做的好處，個(gè)人理解是鼓勵(lì)大家不要使用免費(fèi)實(shí)例。嘿嘿...

而如果選擇收費(fèi)實(shí)例時(shí)，可選擇綁定IP，達(dá)到固定IP效果。具體配置如下圖：

1.1. 分配彈性IP

1.2. 將彈性IP關(guān)聯(lián)至EC2 實(shí)例

2. 負(fù)載均衡的使用？

答： 個(gè)人感覺使用AWS負(fù)載能減輕本人的運(yùn)維工作，畢竟不是專業(yè)運(yùn)維人員。比較明顯的好處就是，不需要在服務(wù)器中安裝nginx搭建負(fù)載了。

具體配置如下圖：

2.1. 創(chuàng)建負(fù)載均衡器，選擇Application Load Balancer。

2.2. 填寫負(fù)載均衡器信息。

2.3. 選擇EC2所在區(qū)

2.4. 選擇或配置安全組，繼續(xù)下一步；

2.5. 配置路由，填寫完成繼續(xù)下一步，具體如下圖：

2.6. 選擇應(yīng)用所在EC2實(shí)例，并提交審核。

2.7. 等待負(fù)載均衡器安裝完成，即可使用。

1. 訪問權(quán)限問題

答： 如果是公開的S3存儲(chǔ)桶，則忽略此項(xiàng)。要開啟S3 API訪問權(quán)限，需配置2步：

1.1. 配置阻止公有訪問(存儲(chǔ)桶設(shè)置)，如下圖：

1.2. 配置存儲(chǔ)桶策略，內(nèi)容大概：

2. 靜態(tài)頁(yè)面托管問題

答： S3自身除非公開存儲(chǔ)桶，否則無(wú)法直接訪問存儲(chǔ)桶數(shù)據(jù)。如想通過存儲(chǔ)桶來(lái)托管靜態(tài)頁(yè)面，目前知道的需注意以下2點(diǎn)：

2.1. 存儲(chǔ)桶名詞需與域名保持一致；

2.2. 為避免直連存儲(chǔ)桶，可考慮使用CloudFront來(lái)實(shí)現(xiàn)轉(zhuǎn)發(fā)達(dá)到目的。

AWS VPC public subnet安全組設(shè)定

使用VPC wizard創(chuàng)建包含public subnet的 VPC后， AWS會(huì)自動(dòng)產(chǎn)生一個(gè)default security group安全組，里面只有一條策略，就是來(lái)自本安全組的源可以訪問所有的內(nèi)容。

當(dāng)啟動(dòng)EC2 instance在VPC中，并選擇了這個(gè)public subnet的時(shí)候，通常都會(huì)為EC2再創(chuàng)建對(duì)應(yīng)的security group，方便管理對(duì)應(yīng)的服務(wù)器端口。

這時(shí)由于default security group中沒有開放對(duì)該EC2 sg的訪問，EC2 instance會(huì)無(wú)法連通AWS提供的gateway設(shè)備，導(dǎo)致網(wǎng)絡(luò)不通。需要在default中增加一條策略，允許來(lái)自EC2 security group的源訪問所有的內(nèi)容。

如果EC2 instance用的是default的安全組，就不會(huì)有以上問題。

aws配置點(diǎn)到點(diǎn)vpn隧道

1、創(chuàng)建客戶網(wǎng)關(guān)

如下圖所示：注意IP地址是本地（北京vpn設(shè)備防火墻）的固定出口ip地址。

2、創(chuàng)建 虛擬私有網(wǎng)關(guān)

如下圖所示： 選擇需要連接本地的aws上的vpc網(wǎng)絡(luò)。其他默認(rèn)即可。

3、創(chuàng)建 站點(diǎn)到站點(diǎn)vpn連接

如下圖所示： 創(chuàng)建vpn連接，配置選項(xiàng)可按照如下配置，或者按照（ ）括號(hào)內(nèi)連接地址配置。

4、此時(shí)我們需要配置路由表，需要連接vpn的子網(wǎng)的路由需要添加一條規(guī)則：

如下圖所示：我們需要將本地ip地址段目標(biāo)配置為：虛擬私有網(wǎng)關(guān)。

5、下一步是配置安全組，我們必須讓本地ip地址段可以通過安全組訪問我們的實(shí)例資源。

1、配置本地vpn設(shè)備，使用華為防火墻作為vpn網(wǎng)關(guān)設(shè)備。

vpn隧道選項(xiàng)我們和aws上配置選項(xiàng)保持一致即可。

2、下面還有重要的一步，就是配置本地的路由表。

我們?cè)诤诵慕粨Q機(jī)上配置172.40.0.0/16網(wǎng)段的路由嚇一跳設(shè)備為：華為防火墻。

3、此時(shí)，我們所有vpn配置都已完成。

ipsec診斷所有結(jié)果都是通過：

隧道詳情顯示IKE協(xié)商成功。

我們本地ping遠(yuǎn)程aws上的服務(wù)器實(shí)例：顯示ping可達(dá)。

4、本地和aws已建立完整的內(nèi)網(wǎng)vpn連接。

1、華為路由器AR6140H-S，配置點(diǎn)對(duì)點(diǎn)vpn使用命令行更合適。

參考華為文檔： ;fe=10hib=7.1.10.6.12.4id=dc_cfg_ipsec_0047text=%25E9%2585%258D%25E7%25BD%25AE%25E6%2580%25BB%25E9%2583%25A8%25E9%2587%2587%25E7%2594%25A8%25E5%25AE%2589%25E5%2585%25A8%25E7%25AD%2596%25E7%2595%25A5%25E7%25BB%2584%25E6%2596%25B9%25E5%25BC%258F%25E4%25B8%258E%25E5%2588%2586%25E6%2594%25AF%25E5%25BB%25BA%25E7%25AB%258B%25E5%25A4%259A%25E6%259D%25A1IPSec%25E9%259A%25A7%25E9%2581%2593%25E7%25A4%25BA%25E4%25BE%258Bdocid=EDOC1000163882

網(wǎng)頁(yè)名稱：aws服務(wù)器設(shè)置安全組 aws云安全解決方案
轉(zhuǎn)載注明：http://chinadenli.net/article38/doghppp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、外貿(mào)建站、網(wǎng)站維護(hù)、自適應(yīng)網(wǎng)站、網(wǎng)站設(shè)計(jì)、全網(wǎng)營(yíng)銷推廣

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)