-1

因为我完全不是网络管理员,所以我不知道如何设计它,甚至可能与否。我正在使用 AWS 和 EC2 实例。但现在出于一些安全原因,我被告知要使用 VPC 和私有子网。

我没有足够好的知识但是-

  • 是否可以将我当前所有的公共 WEB 服务器放入专用网络?目标是防止 WEBSERVERS 直接公共可达性(使用他们的公共 IP),除了它们前面的负载平衡器。

所以可以说我有 2 个网站服务器(负载平衡)www.example.com

  • 网络-A (202.1.2.3)
  • Web-B (202.4.5.6)

这意味着目前它们可以通过其公共 IP 访问。

  • 那么我可以让那些无法通过外部IP 访问www.example.com但仍向公众提供服务的内容吗?(这就是 VPC + 私有子网的用途吗?)

我很抱歉我的困惑。请问对此有什么建议吗?

4

1 回答 1

1

是的,您所描述的是构建您的 VPC 的好方法。您的 Web 服务器可以位于通过 NAT 服务器访问 Internet 的私有子网中。来自客户端的入站连接将由负载均衡器代理,通常是 ELB。所以流程看起来像这样:

Clients <=> Load Balancer/ELB (Public subnets) <=> Web/App Servers (Private subnets) <=> Database servers (private subnets)

在此架构中,负载平衡器侦听端口 80 和 443 并终止 SSL 连接。负载均衡器有一个可路由的公共 IP 地址,并通过您选择的端口(可能是 8080)向 Web 服务器发送流量。Web 服务器只有私有地址,不能公开访问。

我谦虚地提交了一篇关于我最近做的 VPC 架构的演讲。请参阅此处的幻灯片

于 2014-04-30T04:07:07.783 回答