เราจะดูวิธีตั้งค่า VPC (Virtual Private Cloud) โดยใช้อินสแตนซ์เซิร์ฟเวอร์ NAT ในบล็อกนี้

เราต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ส่วนหลังในเว็บแอปพลิเคชันที่เปิดเผยต่อสาธารณะไม่สามารถเข้าถึงได้โดยบุคคลทั่วไป ตัวอย่างเช่น ในกรณีนี้ ให้พิจารณาให้แอ็พพลิเคชันเซิร์ฟเวอร์อยู่ในซับเน็ตส่วนตัวและเว็บเซิร์ฟเวอร์ในซับเน็ตสาธารณะบนเว็บไซต์หลายชั้น ไม่เหมือนกับอินสแตนซ์ในซับเน็ตส่วนตัว อินสแตนซ์ในซับเน็ตสาธารณะสามารถส่งทราฟฟิกขาออกไปยังอินเทอร์เน็ตได้โดยตรง ผ่านอินสแตนซ์ NAT ในซับเน็ตสาธารณะ อินสแตนซ์ในซับเน็ตส่วนตัวสามารถเข้าถึงอินเทอร์เน็ตได้

ให้เราทำตามขั้นตอนด้านล่างเพื่อสร้าง VPC โดยใช้เซิร์ฟเวอร์ NAT (อินสแตนซ์ NAT)

หากต้องการสร้าง VPC ใหม่ ให้ลงชื่อเข้าใช้คอนโซล AWS แล้วเลือก VPC คลิกปุ่มสร้าง VPC เราต้องป้อนชื่อ VPC และช่วงเครือข่ายที่เราต้องการใช้ภายใต้ "สร้าง VPC"

ในกรณีนี้ ฉันสร้าง VPC ด้วยชื่อ data-VPC สำเร็จแล้ว เครือข่ายย่อย ตารางเส้นทาง และการสร้างอินเทอร์เน็ตเกตเวย์เป็นลำดับถัดไป มาดูกันว่ามันถูกสร้างขึ้นมาอย่างไร

ขั้นตอนในการสร้าง VPC

สร้าง

1. เครือข่ายย่อย
2. ตารางเส้นทาง
3. อินเทอร์เน็ตเกตเวย์

ต้องสร้างเครือข่ายย่อยทั้งสาธารณะและส่วนตัว แอ็พพลิเคชันเซิร์ฟเวอร์อยู่บนซับเน็ตส่วนตัว ขณะที่เซิร์ฟเวอร์กระโดดอยู่บนซับเน็ตสาธารณะ ตอนนี้เลือก VPC ที่เราสร้างไว้ก่อนหน้านี้ (VPC ข้อมูล) โดยคลิกปุ่มสร้างซับเน็ต และช่วง IP ที่เราระบุเมื่อสร้าง VPC จะถูกนำมาพิจารณาโดยอัตโนมัติ โดยการดูชื่อ เราสามารถระบุได้ว่าเป็นชื่อเครือข่ายย่อยสาธารณะหรือไม่ และโซนความพร้อมใช้งานรวมอยู่ด้วยเมื่อเราสร้างเครือข่ายย่อยสาธารณะเป็นชื่อเครือข่ายย่อยสาธารณะของโซนความพร้อมใช้งานและช่วงเครือข่ายย่อยที่เรากำลังใช้ ซับเน็ตส่วนตัวต้องสร้างด้วยวิธีเดียวกับซับเน็ตสาธารณะ

การสร้างตารางเส้นทาง

เราสามารถใช้ตารางเส้นทางเริ่มต้นที่สร้างขึ้นเมื่อเราสร้าง VPC เป็นตารางเส้นทางสาธารณะ หากต้องการสร้างตารางเส้นทางส่วนตัว ให้คลิกปุ่มสร้างเส้นทางทันที เชื่อมต่อเครือข่ายย่อยที่สอดคล้องกับตารางเส้นทางสาธารณะและส่วนตัวหลังจากสร้างเสร็จแล้ว

หากต้องการเพิ่มเครือข่ายย่อยที่เกี่ยวข้องในตารางเส้นทาง ให้คลิกที่ปุ่มแก้ไขการเชื่อมโยงเครือข่ายย่อย แก้ไขตารางเส้นทางส่วนตัวในลักษณะที่คล้ายกันเพื่อให้เชื่อมโยงกับตารางเส้นทางส่วนตัว

การสร้างอินเทอร์เน็ตเกตเวย์

ตั้งชื่อเกตเวย์โดยคลิกปุ่ม “สร้างอินเทอร์เน็ตเกตเวย์” จากนั้นใส่ VPC ที่เราสร้างไว้

ทั้งตารางเส้นทางสาธารณะและส่วนตัวควรเชื่อมต่อกับเกตเวย์อินเทอร์เน็ต เลือกตารางเส้นทางที่ต้องเชื่อมต่อกับอินเทอร์เน็ตเกตเวย์ ไปที่เพิ่มเส้นทางและเพิ่มอินเทอร์เน็ตเกตเวย์หลังจากเลือกแก้ไขเส้นทางจากแท็บเส้นทาง อินเทอร์เน็ตเกตเวย์ต้องเชื่อมต่อกับตารางเส้นทางส่วนตัวด้วย

ต้องสร้างอินสแตนซ์สามรายการในภูมิภาคเดียวกันหลังจากสร้าง VPC แล้ว ทั้งสามอินสแตนซ์ได้รับการตั้งค่าด้วยแอ็พพลิเคชันเซิร์ฟเวอร์ในเครือข่ายย่อยส่วนตัวและเซิร์ฟเวอร์กระโดดและเซิร์ฟเวอร์ NAT ในเครือข่ายย่อยสาธารณะ เซิร์ฟเวอร์แอปพลิเคชันและเซิร์ฟเวอร์จัมป์อยู่ในอิมเมจ Linux มาตรฐาน แต่ต้องเลือกอิมเมจ NAT AMI สำหรับเซิร์ฟเวอร์ NAT เราต้องเลือก VPC และ Availability Zone ที่เราสร้างขึ้นภายใต้การตั้งค่าเครือข่ายเมื่อสร้างอินสแตนซ์

ตอนนี้เราต้องทำการเปลี่ยนแปลงที่จำเป็นในตารางเส้นทางส่วนตัวจากอินเทอร์เน็ตเกตเวย์ไปยังอินสแตนซ์ นั่นคือ Nat Server เมื่อใช้คำสั่ง ssh เราสามารถทดสอบการเชื่อมต่อระหว่าง Jump Server และ Application Server ก่อนที่เราจะเริ่ม เราต้องคัดลอกไพรเวตคีย์ของแอ็พพลิเคชันเซิร์ฟเวอร์ไปยังเซิร์ฟเวอร์กระโดด และตั้งค่าการอนุญาตเป็น 600 ด้วยคำสั่ง chmod

เราคัดลอกไพรเวตคีย์ของแอ็พพลิเคชันเซิร์ฟเวอร์ ดังนั้นตอนนี้เราสามารถใช้คำสั่ง ssh เพื่อเชื่อมต่อได้

เราต้องอัปเดตตารางเส้นทางส่วนตัวให้ชี้จากอินเทอร์เน็ตเกตเวย์ไปยังอินสแตนซ์ Nat ที่เราสร้างขึ้น หากต้องการแก้ไขตารางเส้นทาง ให้ไปที่ตารางเส้นทางและแก้ไขเส้นทางใต้แท็บเส้นทาง เลือกอินสแตนซ์จากเมนูแบบเลื่อนลงและตรวจสอบอินสแตนซ์ของเซิร์ฟเวอร์ NAT ในแท็บเป้าหมาย หลังจากแก้ไขตารางเส้นทางแล้ว ให้บันทึกการเปลี่ยนแปลงของคุณ

ตอนนี้ ไปที่อินสแตนซ์ Nat และภายใต้การตั้งค่าเครือข่าย คลิกขวาเพื่อเริ่มการตรวจสอบต้นทาง/ปลายทางการเปลี่ยนแปลง

อินพุตสำหรับแอ็พพลิเคชันเซิร์ฟเวอร์มาจากเซิร์ฟเวอร์จัมป์ และแอ็พพลิเคชันเซิร์ฟเวอร์เชื่อมต่อกับอินเทอร์เน็ตผ่านเซิร์ฟเวอร์ NAT

หากต้องการล้างข้อมูลให้ลบอินสแตนซ์และ VPC

ขอบคุณที่อ่านมัน