将您的基础架构放在云上意味着您可以接触到全球的许多人。但是,这也意味着不怀好意的人可以访问您的服务。保护您的云网络非常重要。阿里云提供虚拟专用网络 (VPC),这是一个安全隔离的私有云,将您的弹性计算服务 (ECS) 实例包含在公有云中。您可以通过配置安全组,从公网公开访问VPC,保护流量。
什么是专有网络?
Virtual Private Cloud (VPC) 是您可以完全控制的私有网络。您可以指定网段,并配置路由表和网关。您可以部署阿里云资源,例如ECS实例或负载均衡(SLB)实例。您可以拥有多个 VPC 来建立有关云实例的一些策略。这意味着您可以为 Web 服务器创建一个 VPC,为数据库服务器创建另一个 VPC。
VPC 组件
- 交换机是连接VPC内不同云资源的基础网络组件。您可以创建交换机将VPC划分为一个或多个子网,它们可以通过内网进行通信。
- vRouter 是 VPC 的中枢,用于连接 VPC 中的 vSwitch,并充当 VPC 与其他网络之间的网关。创建VPC时会自动创建vRouter。
- 私有网段在创建VPC和交换机后,以网段表示法指定VPC的私有IP地址范围。您可以使用下表中列出的标准私有网段或其子网作为 VPC 的私有网段,也可以使用自定义网段:
什么是安全组?
安全组可以看作是一个虚拟防火墙,它提供网络协议、端口和源 IP 流量的状态数据包检测和数据包过滤,以允许或拒绝对 ECS 实例的访问,以提高安全性。在创建ECS实例时,必须选择安全组,因为安全组是安全隔离的重要手段。
您应该将安全组视为白名单。在创建安全组时,默认情况下会将一些默认规则添加到安全组中。您可以维护安全组,也可以手动添加和修改安全组的规则,实现更细粒度的流量控制。安全组具有一些特征。每个ECS实例必须至少属于一个安全组,但可以同时添加到多个安全组中。安全组有两种分类:
- 基础安全组最多支持 2000 个私有 IP 地址。可以配置入站和出站规则来允许或拒绝 ECS 实例。
- 高级安全组适用于企业级场景。它可以包含更多的实例、弹性网卡 (ENI) 和私有 IP 地址,并实现比基本安全组更严格的访问控制级别。
将实例添加到安全组时,还必须遵循一些规则:
- 必须将每个实例添加到一个或多个安全组中。
- 实例挂载的辅助弹性网卡可以分配到与实例不同的安全组。
- 实例不能同时添加到基础安全组和高级安全组中。
创建您的阿里云 VPC
如果要创建阿里云VPC,则需要一个阿里云账号。如果您还没有优惠券,可以在九河云活动期间获得优惠券。
登录到您的云帐户后,转到左侧面板上的 Virtual Private Cloud,单击 Networking 和 CDN,然后单击 Virtual Private Network:
您可以查看 VPC 概览以及一些已创建的信息,例如 IPv4 网段 或每个 VPC 上的 vSwitch 和云实例的数量。在创建 VPC 之前选择适当的区域:
您可以创建新的 VPC。您需要指定 VPC 和 IPv4 CIDR 块的名称。您可以分配 IPv6,也可以不分配。如前所述,在创建 VPC 时,您还需要创建一个 vSwitch。在创建 vSwitch 期间,您必须选择您所在区域的区域。如果您已经创建了一些 ECS 实例,如果您希望它们使用新的 vSwitch,请确保选择它们所在的可用区:
您可以在 VPC 概述页面上查看新 VPC 及其详细信息:
现在,您的 VPC 已创建。您可以创建一个安全组,用于在创建实例期间保护您的 VPC。
为您的 VPC 创建安全组
如果要创建安全组,请转到 ECS 面板:
现在,将左侧面板导航到*"网络和安全* ",然后单击*"安全组"*
在我们的例子中,我们已经创建了一些安全组。让我们通过选择选项创建一个新的。正如我们在安全组部分中所解释的,您可以在创建过程中维护或编辑默认规则。此外,默认情况下会创建基本安全组:
您可以更改一些值,例如高级安全组的类型和传出规则。您应该为安全组提供指示性名称和适当的描述。
您可以为某些特定场景或 ECS 实例角色创建多个安全组。例如,您可以仅为仅允许端口 、 和 的 Web 服务器创建安全组。您可以删除 ICMP 的规则,以便您的实例不会收到任何 ICMP 请求(用于 ping)。配置安全组是定义默认操作或规则的时刻,这些操作或规则应用于过滤将应用安全组的 VPC 内 ECS 实例的出口和入口流量。现在是战略性地定义默认规则的时刻,但您可以稍后添加特定规则。22``80``443
默认情况下,安全组上的出站规则允许从服务器到外部网络的所有流量:
如果您对已定义的所有规则进行了预览:
只需在完成配置后验证安全组的创建。您将在列表中看到默认安全组。默认情况下,没有与VPC或安全性相关的ECS实例:
为您的VPC和安全组创建ECS实例
我们将创建一个新实例,将 ECS 实例集成到新创建的 VPC 和安全组中。在左侧面板上,滚动到"实例和映像",然后选择"Instances"。然后,创建一个新的 ECS 实例:
选择具有 CPU 和内存的实例规格:
选择操作系统和磁盘大小:
配置实例联网。选择我们创建的 VPC。默认情况下,它将选择 vSwitch 以及创建并链接到 VPC 的安全组:
您需要配置如何访问您的 ECS(密码和公钥):
您可以转到下一步:
您将看到对 ECS 配置和订单的审查:
系统将要求您返回控制台或其他页面:
您可以返回 ECS 实例列表查看是否已创建。您可以在 ECS 实例列表中看到它:
您可以通过查看安全组信息来检查实例是否链接到安全组:
您的 VPC 将显示存在一个实例:
您可以看到您的新实例位于 VPC 和已创建的安全组中。
结束语
通过ECS控制台在VPC内创建ECS实例时,如果该地域的当前账号下没有创建其他安全组,则会创建默认安全组。默认安全组为基础安全组,网络类型与ECS实例相同。