如何创建VPC并配置安全组以保护您的阿里云服务器

将您的基础架构放在云上意味着您可以接触到全球的许多人。但是,这也意味着不怀好意的人可以访问您的服务。保护您的云网络非常重要。阿里云提供虚拟专用网络 (VPC),这是一个安全隔离的私有云,将您的弹性计算服务 (ECS) 实例包含在公有云中。您可以通过配置安全组,从公网公开访问VPC,保护流量。

什么是专有网络?

Virtual Private Cloud (VPC) 是您可以完全控制的私有网络。您可以指定网段,并配置路由表和网关。您可以部署阿里云资源,例如ECS实例或负载均衡(SLB)实例。您可以拥有多个 VPC 来建立有关云实例的一些策略。这意味着您可以为 Web 服务器创建一个 VPC,为数据库服务器创建另一个 VPC。

VPC 组件

  • 交换机是连接VPC内不同云资源的基础网络组件。您可以创建交换机将VPC划分为一个或多个子网,它们可以通过内网进行通信。
  • vRouter 是 VPC 的中枢,用于连接 VPC 中的 vSwitch,并充当 VPC 与其他网络之间的网关。创建VPC时会自动创建vRouter。
  • 私有网段在创建VPC和交换机后,以网段表示法指定VPC的私有IP地址范围。您可以使用下表中列出的标准私有网段或其子网作为 VPC 的私有网段,也可以使用自定义网段:

什么是安全组?

安全组可以看作是一个虚拟防火墙,它提供网络协议、端口和源 IP 流量的状态数据包检测和数据包过滤,以允许或拒绝对 ECS 实例的访问,以提高安全性。在创建ECS实例时,必须选择安全组,因为安全组是安全隔离的重要手段。

您应该将安全组视为白名单。在创建安全组时,默认情况下会将一些默认规则添加到安全组中。您可以维护安全组,也可以手动添加和修改安全组的规则,实现更细粒度的流量控制。安全组具有一些特征。每个ECS实例必须至少属于一个安全组,但可以同时添加到多个安全组中。安全组有两种分类:

  • 基础安全组最多支持 2000 个私有 IP 地址。可以配置入站和出站规则来允许或拒绝 ECS 实例。
  • 高级安全组适用于企业级场景。它可以包含更多的实例、弹性网卡 (ENI) 和私有 IP 地址,并实现比基本安全组更严格的访问控制级别。

将实例添加到安全组时,还必须遵循一些规则:

  • 必须将每个实例添加到一个或多个安全组中。
  • 实例挂载的辅助弹性网卡可以分配到与实例不同的安全组。
  • 实例不能同时添加到基础安全组和高级安全组中。

创建您的阿里云 VPC

如果要创建阿里云VPC,则需要一个阿里云账号。如果您还没有优惠券,可以在九河云活动期间获得优惠券。

登录到您的云帐户后,转到左侧面板上的 Virtual Private Cloud,单击 Networking 和 CDN,然后单击 Virtual Private Network

您可以查看 VPC 概览以及一些已创建的信息,例如 IPv4 网段 或每个 VPC 上的 vSwitch云实例的数量。在创建 VPC 之前选择适当的区域:

您可以创建新的 VPC。您需要指定 VPC 和 IPv4 CIDR 块的名称。您可以分配 IPv6,也可以不分配。如前所述,在创建 VPC 时,您还需要创建一个 vSwitch。在创建 vSwitch 期间,您必须选择您所在区域的区域。如果您已经创建了一些 ECS 实例,如果您希望它们使用新的 vSwitch,请确保选择它们所在的可用区:

您可以在 VPC 概述页面上查看新 VPC 及其详细信息:

现在,您的 VPC 已创建。您可以创建一个安全组,用于在创建实例期间保护您的 VPC。

为您的 VPC 创建安全组

如果要创建安全组,请转到 ECS 面板:

现在,将左侧面板导航到*"网络和安全* ",然后单击*"安全组"*

在我们的例子中,我们已经创建了一些安全组。让我们通过选择选项创建一个新的。正如我们在安全组部分中所解释的,您可以在创建过程中维护或编辑默认规则。此外,默认情况下会创建基本安全组:

您可以更改一些值,例如高级安全组的类型和传出规则。您应该为安全组提供指示性名称和适当的描述。

您可以为某些特定场景或 ECS 实例角色创建多个安全组。例如,您可以仅为仅允许端口 、 和 的 Web 服务器创建安全组。您可以删除 ICMP 的规则,以便您的实例不会收到任何 ICMP 请求(用于 ping)。配置安全组是定义默认操作或规则的时刻,这些操作或规则应用于过滤将应用安全组的 VPC 内 ECS 实例的出口和入口流量。现在是战略性地定义默认规则的时刻,但您可以稍后添加特定规则。22``80``443

默认情况下,安全组上的出站规则允许从服务器到外部网络的所有流量:

如果您对已定义的所有规则进行了预览:

只需在完成配置后验证安全组的创建。您将在列表中看到默认安全组。默认情况下,没有与VPC或安全性相关的ECS实例:

为您的VPC和安全组创建ECS实例

我们将创建一个新实例,将 ECS 实例集成到新创建的 VPC 和安全组中。在左侧面板上,滚动到"实例和映像",然后选择"Instances"。然后,创建一个新的 ECS 实例:

选择具有 CPU 和内存的实例规格:

选择操作系统和磁盘大小:

配置实例联网。选择我们创建的 VPC。默认情况下,它将选择 vSwitch 以及创建并链接到 VPC 的安全组:

您需要配置如何访问您的 ECS(密码和公钥):

您可以转到下一步:

您将看到对 ECS 配置和订单的审查:

系统将要求您返回控制台或其他页面:

您可以返回 ECS 实例列表查看是否已创建。您可以在 ECS 实例列表中看到它:

您可以通过查看安全组信息来检查实例是否链接到安全组:

您的 VPC 将显示存在一个实例:

您可以看到您的新实例位于 VPC 和已创建的安全组中。

结束语

通过ECS控制台在VPC内创建ECS实例时,如果该地域的当前账号下没有创建其他安全组,则会创建默认安全组。默认安全组为基础安全组,网络类型与ECS实例相同。

相关推荐
憧憬一下15 分钟前
PCI/PCIe设备INTx中断机制和MSI中断机制
arm开发·嵌入式硬件·嵌入式·linux驱动开发·pci/pcie
最后一个bug13 小时前
STM32MP1linux根文件系统目录作用
linux·c语言·arm开发·单片机·嵌入式硬件
最后一个bug21 小时前
rt-linux中使用mlockall与free的差异
linux·c语言·arm开发·单片机·嵌入式硬件·算法
李先静21 小时前
用 gdbserver 调试 arm-linux 上的 AWTK 应用程序
linux·arm开发·awtk
MrJson-架构师1 天前
4.银河麒麟V10(ARM) 离线安装 MySQL
arm开发·mysql
qq_459730031 天前
4-3 MCU中ARM存储器的作用
arm开发·单片机·嵌入式硬件
轩辰~2 天前
网络协议入门
linux·服务器·开发语言·网络·arm开发·c++·网络协议
ARM&开发(Haidong)2 天前
ARM 获取cpu个数
arm开发
憧憬一下3 天前
PCIe_Host驱动分析_设备枚举
arm开发·嵌入式硬件·嵌入式·pcie·linux驱动开发
7yewh3 天前
嵌入式Linux QT+OpenCV基于人脸识别的考勤系统 项目
linux·开发语言·arm开发·驱动开发·qt·opencv·嵌入式linux