Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel: VPC für Web- und Datenbankserver
Dieses Beispiel zeigt, wie Sie eine erstellenVPC, die Sie für eine zweistufige Architektur in einer Produktionsumgebung verwenden können. Um die Ausfallsicherheit zu erhöhen, stellen Sie die Server in zwei Availability Zones bereit.
Inhalt
Übersicht
Das folgende Diagramm bietet einen Überblick über die in diesem Beispiel enthaltenen Ressourcen. Das VPC hat öffentliche Subnetze und private Subnetze in zwei Availability Zones. Die Webserver laufen in den öffentlichen Subnetzen und empfangen Datenverkehr von Clients über einen Load Balancer. Sie können der Sicherheitsgruppe für die Webserver Regeln hinzufügen, um den Datenverkehr nur vom Load Balancer zuzulassen. Die Datenbankserver laufen in den privaten Subnetzen und empfangen Datenverkehr von den Webservern. Die Sicherheitsgruppe für die Datenbankserver ermöglicht den Datenverkehr von den Webservern. Die Datenbankserver können über einen VPC Gateway-Endpunkt eine Verbindung zu Amazon S3 herstellen.
Routing
Wenn Sie dies VPC mithilfe der VPC Amazon-Konsole erstellen, erstellen wir eine Routing-Tabelle für die öffentlichen Subnetze mit lokalen Routen und Routen zum Internet-Gateway und eine Routing-Tabelle für jedes private Subnetz mit lokalen Routen und einer Route zum VPC Gateway-Endpunkt.
Im Folgenden finden Sie ein Beispiel für eine Routing-Tabelle für die öffentlichen Subnetze mit Routen für sowohl als auch. IPv4 IPv6 Wenn Sie Subnetze vom IPv4 Typ „Nur“ anstelle von Dual-Stack-Subnetzen erstellen, enthält Ihre Routing-Tabelle nur die Routen. IPv4
Bestimmungsort | Ziel |
---|---|
10.0.0.0/16 |
local |
2001:db8:1234:1a00::/56 |
Lokal |
0.0.0.0/0 | igw-id |
::/0 | igw-id |
Im Folgenden finden Sie ein Beispiel für eine Routentabelle für die privaten Subnetze mit lokalen Routen sowohl für als auch. IPv4 IPv6 Wenn Sie Subnetze vom Typ „IPv4-only“ erstellt haben, enthält Ihre Routing-Tabelle nur die Route. IPv4 Die letzte Route sendet Datenverkehr, der für Amazon S3 bestimmt ist, an den VPC Gateway-Endpunkt.
Bestimmungsort | Ziel |
---|---|
10.0.0.0/16 |
local |
2001:db8:1234:1a00::/56 |
local |
s3-prefix-list-id |
s3-gateway-id |
Sicherheit
Für diese Beispielkonfiguration erstellen Sie eine Sicherheitsgruppe für den Load Balancer, eine Sicherheitsgruppe für die Webserver und eine Sicherheitsgruppe für die Datenbankserver.
Load Balancer
Die Sicherheitsgruppe für Ihren Application Load Balancer oder Network Load Balancer muss eingehenden Datenverkehr von Clients am Load-Balancer-Listener-Port zulassen. Um Datenverkehr von überall im Internet zu akzeptieren, geben Sie 0.0.0.0/0 als Quelle ein. Die Load-Balancer-Sicherheitsgruppe muss auch ausgehenden Datenverkehr vom Load Balancer zu den Ziel-Instances auf dem Instance-Listener-Port und dem Zustandsprüfungsport zulassen.
Web-Server
Die folgenden Sicherheitsgruppenregeln ermöglichen es den Webservern, HTTPS Datenverkehr vom Load Balancer zu empfangen HTTP und vom Load Balancer zu empfangen. Sie können optional zulassen, dass die Webserver RDP Datenverkehr von Ihrem Netzwerk empfangen SSH oder von dort empfangen. Die Webserver können SQL entweder meinen SQL Datenverkehr an Ihre Datenbankserver senden.
Quelle | Protocol (Protokoll) | Port-Bereich | Beschreibung |
---|---|---|---|
ID of the security group for the load balancer |
TCP | 80 | Ermöglicht eingehenden HTTP Zugriff vom Load Balancer |
ID of the security group for the load balancer |
TCP | 443 | Ermöglicht eingehenden HTTPS Zugriff vom Load Balancer |
Public IPv4 address range of your network |
TCP | 22 | (Optional) Ermöglicht eingehenden SSH Zugriff von IPv4 IP-Adressen in Ihrem Netzwerk |
IPv6 address range of your network |
TCP | 22 | (Optional) Ermöglicht eingehenden SSH Zugriff von IPv6 IP-Adressen in Ihrem Netzwerk |
Public IPv4 address range of your network |
TCP | 3389 | (Optional) Ermöglicht eingehenden RDP Zugriff von IPv4 IP-Adressen in Ihrem Netzwerk |
IPv6 address range of your network |
TCP | 3389 | (Optional) Ermöglicht eingehenden RDP Zugriff von IPv6 IP-Adressen in Ihrem Netzwerk |
Bestimmungsort | Protocol (Protokoll) | Port-Bereich | Beschreibung |
---|---|---|---|
ID of the security group for instances running Microsoft SQL Server
|
TCP |
1433 |
Ermöglicht ausgehenden Microsoft SQL Server-Zugriff auf die Datenbankserver |
ID of the security group for instances running MySQL
|
TCP |
3306 |
Ermöglicht ausgehenden SQL My-Zugriff auf die Datenbankserver |
Datenbankserver
Die folgenden Sicherheitsgruppenregeln berechtigen die Datenbankserver, Lese- und Schreibanforderungen von den Webservern zu empfangen.
Quelle | Protocol (Protokoll) | Port-Bereich | Kommentare |
---|---|---|---|
ID of the web server security group |
TCP | 1433 | Ermöglicht eingehenden Microsoft SQL Server-Zugriff von den Webservern |
ID of the web server security group |
TCP | 3306 | Ermöglicht eingehenden My SQL Server-Zugriff von den Webservern |
Bestimmungsort | Protocol (Protokoll) | Port-Bereich | Kommentare |
---|---|---|---|
0.0.0.0/0 | TCP | 80 | Ermöglicht ausgehenden HTTP Zugriff auf das Internet über IPv4 |
0.0.0.0/0 | TCP | 443 | Ermöglicht ausgehenden HTTPS Zugriff auf das Internet über IPv4 |
Weitere Informationen zu Sicherheitsgruppen für Amazon RDS DB-Instances finden Sie unter Steuern des Zugriffs mit Sicherheitsgruppen im RDSAmazon-Benutzerhandbuch.
1. Erstellen Sie die VPC
Gehen Sie wie folgt vor, um ein Subnetz VPC mit einem öffentlichen und einem privaten Subnetz in zwei Availability Zones zu erstellen.
Um das zu erstellen VPC
Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Dashboard die Option Erstellen ausVPC.
-
Wählen Sie unter Zu erstellende Ressourcen die Option VPCund mehr aus.
-
Konfigurieren Sie dasVPC:
-
Lassen Sie die automatische Generierung von Namensschildern aktiviert, um Namensschilder für die VPC Ressourcen zu erstellen, oder deaktivieren Sie sie, um Ihre eigenen Namensschilder für die VPC Ressourcen bereitzustellen.
-
Für IPv4CIDRBlock können Sie den Standardvorschlag beibehalten oder alternativ den CIDR Block eingeben, der für Ihre Anwendung oder Ihr Netzwerk erforderlich ist. Weitere Informationen finden Sie unter VPCCIDRBlöcke.
-
(Optional) Wenn Ihre Anwendung über IPv6 Adressen kommuniziert, wählen Sie IPv6CIDRBlock, von Amazon bereitgestellter Block. IPv6 CIDR
-
Wählen Sie eine Tenancy-Option aus. Diese Option definiert, ob EC2 Instances, die Sie starten, auf Hardware ausgeführt VPC werden, die mit anderen gemeinsam genutzt wird, AWS-Konten oder auf Hardware, die nur für Sie bestimmt ist. Wenn Sie die Tenancy der zukünftigen Instanz wählen, verwenden EC2 Instances
Default
, die VPC in dieser VPC Instanz gestartet werden, das Tenancy-Attribut, das Sie beim Starten der Instance angegeben haben. Weitere Informationen finden Sie unter Starten einer Instance mithilfe definierter Parameter im EC2Amazon-Benutzerhandbuch. Wenn Sie die Tenancy of the VPC to be wählenDedicated
, werden die Instances immer als Dedicated Instances auf Hardware ausgeführt, die für Ihre Nutzung vorgesehen ist.
-
-
Konfigurieren Sie die Subnetze:
-
Wählen Sie für Anzahl der Availability Zones die Option 2, so dass Sie Instances in mehreren Availability Zones starten können, um die Ausfallsicherheit zu erhöhen.
-
Wählen Sie für Number of public subnets (Anzahl der öffentlichen Subnetze) 2 aus.
-
Wählen Sie für Number of private subnets (Anzahl der privaten Subnetze) 2 aus.
-
Sie können die CIDR Standardblöcke für die Subnetze beibehalten oder alternativ die Option CIDRSubnetzblöcke anpassen erweitern und einen Block eingeben. CIDR Weitere Informationen finden Sie unter Subnetz-Blöcke CIDR.
-
-
Behalten Sie für NATGateways den Standardwert Keine bei.
-
Behalten Sie für VPCEndgeräte den Standardwert S3 Gateway bei. Es hat zwar keine Auswirkungen, es sei denn, Sie greifen auf einen S3-Bucket zu, aber die Aktivierung dieses VPC Endpunkts ist kostenlos.
-
Lassen Sie für DNSOptionen beide Optionen ausgewählt. Infolgedessen erhalten Ihre Webserver öffentliche DNS Hostnamen, die ihren öffentlichen IP-Adressen entsprechen.
-
Wählen Sie Erstellen VPC.
2. Bereitstellen der Anwendung
Idealerweise haben Sie Ihre Web- und Datenbankserver bereits in einer Entwicklungs- oder Testumgebung getestet und die Skripts oder Images erstellt, die Sie für die Bereitstellung Ihrer Anwendung in der Produktion verwenden werden.
Sie können EC2 Instanzen für Ihre Webserver verwenden. Es gibt eine Vielzahl von Möglichkeiten, EC2 Instanzen bereitzustellen. Beispielsweise:
Um die Verfügbarkeit zu verbessern, können Sie Amazon EC2 Auto Scaling verwenden, um Server in mehreren Availability Zones bereitzustellen und die Mindest-Serverkapazität aufrechtzuerhalten, die für Ihre Anwendung erforderlich ist.
Sie können Elastic Load Balancing verwenden, um den Traffic gleichmäßig auf Ihre Server zu verteilen. Sie können Ihre Load Balancer an eine Auto-Scaling-Gruppe anhängen.
Sie können EC2 Instances für Ihre Datenbankserver oder einen unserer speziell entwickelten Datenbanktypen verwenden. Weitere Informationen finden Sie unter Datenbanken unter AWS: So wählen Sie aus.
3. Testen Sie Ihre Konfiguration
Nachdem Sie Ihre Anwendung bereitgestellt haben, können Sie sie testen. Wenn Ihre Anwendung den erwarteten Datenverkehr nicht senden oder empfangen kann, können Sie den Reachability Analyzer verwenden, um Sie bei der Fehlerbehebung zu unterstützen. Reachability Analyzer kann beispielsweise Konfigurationsprobleme mit Ihren Routing-Tabellen oder Sicherheitsgruppen identifizieren. Weitere Informationen finden Sie im Leitfaden Reachability Analyzer.
4. Bereinigen
Wenn Sie mit dieser Konfiguration fertig sind, können Sie sie löschen. Bevor Sie die löschen könnenVPC, müssen Sie Ihre Instances beenden und den Load Balancer löschen. Weitere Informationen finden Sie unter Lösche deine VPC.