AWS VPC را با استفاده از زیرشبکه های عمومی و خصوصی ایمن کنید

AWS VPC را با استفاده از زیرشبکه های عمومی و خصوصی ایمن کنید

AWS Cloud Hands-on Lab Practice Series

نمای کلی پروژه –

در این آزمایشگاه، تجربه عملی ایجاد و پیکربندی یک ابر خصوصی مجازی (VPC) با استفاده از کنسول مدیریت AWS را به دست خواهید آورد. این پروژه با استقرار یک معماری ابری دو لایه مشترک، از جمله اجزای جلویی و پشتی‌اند، به اوج خود می‌رسد.

معماری راه حل ها –

پیش نیاز –

• حساب AWS با دسترسی ادمین.

• دانش در مورد مفاهیم اولیه شبکه (مانند آدرس IP، نماد CIDR، و مسیریابی)، درک با عملیات ابری اساسی.

• آشنایی با پیمایش در کنسول مدیریت AWS.

• AWS LEVEL — BEGINNER — AWS 100

استفاده از خدمات AWS –

• AWS VPC، EC2، SSM، IGW، NGW، جدول مسیر، SG، NACL و IAM

راهنمای گام به گام –

مرحله 1: ایجاد VPC

• با یک کاربر IAM که دارای امتیازات مدیریت است، به کنسول AWS وارد شوید

• انتخاب کنید us-west-2 منطقه

• در نوار جستجوی کنسول مدیریت AWS، وارد کنید VPCو روی آن کلیک کنید VPC نتیجه تحت خدمات.

• کلیک کنید VPC های شما در صفحه ناوبری سمت چپ.

• کلیک کنید VPC ایجاد کنید برای شروع ایجاد یک VPC جدید.

• جزئیات VPC زیر را مشخص کنید:

• منابع برای ایجاد: انتخاب کنید فقط VPC

• برچسب نام: وارد شوید acloudguy-vpc-demo

• بلوک CIDR: وارد شوید 10.0.0.0/16 (این یک بلوک CIDR از محدوده آدرس IP خصوصی (غیر قابل مسیریابی عمومی) است که در RFC 1918 مشخص شده است.)

• اجاره: انتخاب کنید پیش فرض (اجاره اختصاصی تضمین می‌کند که نمونه‌های شما روی سخت‌افزار تک مستاجر اجرا می‌شوند. برای اهداف این آزمایشگاه، پیش‌فرض خوب است.)

• توجه کنید VPC و موارد دیگر. گزینه با انتخاب این گزینه یک جادوگر راه اندازی می شود که راه اندازی و پیکربندی یک VPC جدید را بسیار ساده می کند.

• برای یادگیری مفاهیم اصلی ما فقط از رویکرد VPC استفاده می کنیم.

• به پایین صفحه بروید و کلیک کنید VPC ایجاد کنید.

آمازون VPC درخواستی و خدمات مرتبط زیر را ایجاد می کند:
گزینه های DHCP تنظیم شده است: DNS را برای نمونه هایی فعال می کند که نیاز به ارتباط از طریق دروازه اینترنت VPC دارند
جدول مسیر اصلی: جدولی که شامل مجموعه ای از قوانین به نام مسیرها است که برای تعیین مسیر هدایت ترافیک شبکه استفاده می شود
شبکه ACL: فهرستی از قوانین برای تعیین اینکه آیا ترافیک به داخل یا خارج از هر زیرشبکه مرتبط با ACL شبکه مجاز است یا خیر

مرحله 2: IGW را ایجاد کنید

• دروازه اینترنت یک مؤلفه VPC با مقیاس افقی، اضافی و بسیار در دسترس است که امکان برقراری ارتباط بین نمونه های موجود در VPC شما و اینترنت را فراهم می کند.

• هیچ خطر در دسترس بودن یا محدودیت پهنای باند بر ترافیک شبکه شما تحمیل نمی کند.

• از داشبورد VPC، کلیک کنید دروازه های اینترنت در صفحه ناوبری سمت چپ.

• کلیک کنید ایجاد دروازه اینترنتی برای شروع ایجاد یک دروازه جدید با موارد زیر –

• برچسب نام – acloudguy-igw

• کلیک کنید ایجاد دروازه اینترنت

• این ایالت از دروازه اینترنت شما خواهد بود جدا شده برای شروع

• اکنون باید دروازه جدید را به VPC که قبلا ایجاد کرده اید وصل کنید.

• کلیک کنید اقدامات سپس به VPC وصل کنید

• کلیک کنید دروازه اینترنت را وصل کنید

• *IMP *– یک دروازه اینترنتی فقط می تواند به یک VPC متصل شود.

مرحله 3: زیرشبکه عمومی ایجاد کنید

• در داشبورد VPC، کلیک کنید زیر شبکه ها، کلیک کنید زیر شبکه ایجاد کنید.

• موارد زیر را پیکربندی کنید زیر شبکه عمومی جزئیات:

• شناسه VPC: انتخاب کنید acloudguy-vpc-demo

• نام زیر شبکه: وارد شوید عمومی-A

• منطقه در دسترس بودن: انتخاب کنید us-west-2a از منوی کشویی

• بلوک CIDR زیرشبکه IPv4: وارد شوید 10.0.20.0/24

• کلیک کنید زیر شبکه ایجاد کنید.

• در صفحه ناوبری سمت چپ، کلیک کنید جداول مسیر، کلیک کنید جدول مسیر را ایجاد کنید

• تنظیمات جدول مسیر زیر را پیکربندی کنید:

• نام: وارد شوید PublicRouteTable

• VPC: را انتخاب کنید acloudguy-vpc-demo VPC از منوی کشویی.

• به پایین صفحه بروید و کلیک کنید جدول مسیر را ایجاد کنید

• در صفحه جزئیات مسیر، به مسیرها را بزنید و کلیک کنید مسیرها را ویرایش کنید

• کلیک کنید اضافه کردن مسیر و تنظیمات مسیر زیر را پیکربندی کنید.

• مقصد: وارد شوید 0.0.0.0/0.

• هدف: انتخاب کنید دروازه اینترنت، سپس acloudguy-igw.

• کلیک کنید ذخیره تغییرات

• را انتخاب کنید عمومی-A زیر شبکه و کلیک کنید جدول مسیر برگه

• را کلیک کنید ارتباط جدول مسیر را ویرایش کنید دکمه

• انتخاب کنید PublicRouteTable از شناسه جدول مسیر منوی کشویی و مسیرهای زیر را تأیید کنید

• کلیک کنید ذخیره کنید

• این زیر شبکه عمومی به یک مسیر به اینترنت نیاز دارد، بنابراین جدول مسیر مرتبط اکنون برای استفاده پیکربندی شده است PublicRouteTable برای تعیین قوانین راهنمایی و رانندگی

مرحله 3: دروازه NAT را ایجاد کنید

• در داشبورد VPC، روی NAT Gateways کلیک کنید.

• کلیک کنید دروازه NAT ایجاد کنید.

• نام: وارد شوید NAT-GW

• زیر شبکه: انتخاب کنید عمومی-A

• نوع اتصال: اطمینان حاصل کنید عمومی انتخاب شده است

• این عمومی نوع اتصال به این دروازه NAT امکان دسترسی به اینترنت عمومی را می دهد.

• کلیک کنید اختصاص IP الاستیک در کنار شناسه تخصیص IP الاستیک

• کلیک کنید دروازه NAT ایجاد کنید.

مرحله 4: زیرشبکه خصوصی ایجاد کنید

• در داشبورد VPC، کلیک کنید Subnets، **کلیک کنید **Create subnet.

• موارد زیر را پیکربندی کنید زیر شبکه خصوصی جزئیات:

• شناسه VPC: انتخاب کنید acloudguy-vpc-demo

• نام زیر شبکه: وارد شوید خصوصی-الف

• منطقه در دسترس بودن: انتخاب کنید us-west-2a از منوی کشویی

• بلوک CIDR زیرشبکه IPv4: وارد شوید 10.0.10.0/24

• کلیک کنید زیر شبکه ایجاد کنید.

• در صفحه ناوبری سمت چپ، کلیک کنید جداول مسیر، کلیک کنید جدول مسیر را ایجاد کنید

• تنظیمات جدول مسیر زیر را پیکربندی کنید:

• نام: وارد شوید PrivateRouteTable

• VPC: انتخاب کنید acloudguy-vpc-demo VPC از منوی کشویی.

• کلیک کنید جدول مسیر را ایجاد کنید

• در PrivateRouteTable صفحه جزئیات، در مسیرها برگه، کلیک کنید مسیرها را ویرایش کنید

• کلیک کنید اضافه کردن مسیر و تنظیمات مسیر زیر را پیکربندی کنید:

• مقصد: وارد شوید 0.0.0.0/0

• هدف: انتخاب کنید IGW برای آزمایش موقت.

• این برای درک این موضوع است که چرا نمونه قادر به دسترسی به اینترنت نیست، حتی اگر IGW متصل باشد.

• کلیک کنید ذخیره تغییرات

• کلیک کنید زیر شبکه ها از پنجره ناوبری سمت چپ، سپس گزینه را انتخاب کنید خصوصی-الف زیر شبکه

• در جدول مسیر را برگه و کلیک کنید ارتباط جدول مسیر را ویرایش کنید

• انتخاب کنید PrivateRouteTable از شناسه جدول مسیر منوی کشویی

• کلیک کنید ذخیره کنید.

مرحله 5: یک شبکه ACL برای یک زیرشبکه خصوصی ایجاد کنید

• **لیست کنترل دسترسی شبکه (NACL) **یک لایه امنیتی اختیاری است که به عنوان یک دیوار آتش برای کنترل ترافیک داخل و خارج از یک زیرشبکه عمل می کند.

• کلیک کنید ACL های شبکه **تحت **امنیت.

• کلیک کنید شبکه ACL ایجاد کنید

• تنظیمات شبکه ACL زیر را پیکربندی کنید:

• نام: وارد شوید NACL خصوصی

• VPC: **acloudguy-vpc-demo ** را از منوی کشویی انتخاب کنید

• کلیک کنید شبکه ACL ایجاد کنید

• انتخاب کنید NACL خصوصی از لیست Network ACLs و کلیک کنید انجمن های زیر شبکه برگه

• کلیک کنید پیوندهای زیر شبکه را ویرایش کنید: کادر بررسی را انتخاب کنید خصوصی-الف زیر شبکه برای مرتبط کردن آن با شبکه ACL.

• کلیک کنید ذخیره تغییرات

مرحله 6: قوانین را به ACL شبکه خصوصی اضافه کنید.

• انتخاب کنید NACL خصوصی از لیست شبکه های ACL

• را کلیک کنید قوانین ورودی زیر جدول را بزنید و کلیک کنید قوانین ورودی را ویرایش کنید

• کلیک کنید قانون جدید اضافه کنید و موارد زیر را پیکربندی کنید:

  شماره قانون: وارد شوید 100
  تایپ کنید: انتخاب کنید SSH
  منبع: وارد شوید 10.0.20.0/24
  اجازه / انکار: انتخاب کنید اجازه دهید از منوی کشویی

• برای قانون دوم کلیک کنید قانون جدید اضافه کنید و موارد زیر را پیکربندی کنید:

  شماره قانون: وارد شوید 200
  تایپ کنید: انتخاب کنید قانون TCP سفارشی
  محدوده بندر: وارد شوید 1024–65535
  منبع: وارد شوید 0.0.0.0/0
  اجازه / انکار: انتخاب کنید اجازه دهید از منوی کشویی

• این اجازه می دهد تا ترافیک برگشتی برای قوانین خروجی که به زودی اضافه کنید (محدوده به صورت مشخص شده است 1024–65535 زیرا این ها پورت های موجود هستند و رزرو نشده اند). این به منابع داخل زیرشبکه امکان می دهد تا پاسخ هایی را به ترافیک خروجی خود دریافت کنند.

• کلیک کنید ذخیره تغییرات

• اطمینان حاصل کنید NACL خصوصی هنوز انتخاب شده است، سپس بر روی آن کلیک کنید قوانین ورودی برگه زیر جدول را تأیید کنید تا قوانین ورودی شما مطابق با زیر باشد.

• با NACL خصوصی هنوز انتخاب شده است، به قوانین برون مرزی را بزنید و کلیک کنید قوانین خروجی را ویرایش کنید.

  کلیک کنید قانون جدید اضافه کنید و موارد زیر را پیکربندی کنید:
  شماره قانون: وارد شوید 100
  تایپ کنید: انتخاب کنید HTTP از منوی کشویی
  مقصد: وارد شوید 0.0.0.0/0
  اجازه / انکار: انتخاب کنید اجازه دهید از منوی کشویی

• برای دومین قانون خروجی، کلیک کنید قانون جدید اضافه کنید و موارد زیر را پیکربندی کنید:

  شماره قانون: وارد شوید 200
  تایپ کنید: انتخاب کنید HTTPS از منوی کشویی
  مقصد: وارد شوید 0.0.0.0/0
  اجازه / انکار: انتخاب کنید اجازه دهید از منوی کشویی

• برای سومین قانون خروجی، کلیک کنید قانون جدید اضافه کنید و موارد زیر را پیکربندی کنید:

  شماره قانون: وارد شوید 300
  تایپ کنید: انتخاب کنید TCP سفارشی از منوی کشویی
  محدوده بندر: را وارد کنید*32768–61000*
  مقصد: وارد شوید 10.0.20.0/24 *(بلوک CIDR زیرشبکه عمومی شما)
  **اجازه / انکار: **مجاز را انتخاب کنید* از منوی کشویی

• کلیک کنید ذخیره تغییرات

• **IMP: **وقتی قوانینی را از ACL شبکه اضافه یا حذف می کنید، تغییرات به طور خودکار در زیرشبکه هایی اعمال می شود که با آن مرتبط است. انتشار NACL ممکن است بیشتر طول بکشد، برخلاف گروه‌های امنیتی، که تقریباً بلافاصله اعمال می‌شوند.

مرحله 7: راه اندازی نمونه EC2 در یک زیرشبکه خصوصی.

• در نوار جستجوی کنسول مدیریت AWS، وارد کنید EC2و روی آن کلیک کنید EC2 نتیجه تحت خدمات.

• یک جفت کلید از پنجره سمت چپ EC2 ایجاد کنید.

• در نوع نمونه بخش، شما نباید هیچ گزینه ای را تغییر دهید. فقط مطمئن شوید که **t2.micro ** پیش فرض انتخاب شده باشد.

• جفت کلیدی که قبلاً ایجاد شده بود را از کشویی انتخاب کنید.

• در تنظیمات شبکه بخش، کلیک کنید ویرایش کنیدو جزئیات نمونه زیر را پیکربندی کنید:

• VPC: را انتخاب کنید acloudguy-vpc-demo VPC

• زیر شبکه: زیرشبکه **Private-A ** را انتخاب کنید

• اختصاص خودکار IP عمومی: مطمئن شوید که این است از کار افتاده است

• فایروال: انتخاب کنید ایجاد گروه امنیتی

• نام گروه امنیتی: وارد شوید SG-Private

• توضیحات: وارد شوید گروه امنیتی برای نمونه های زیرشبکه خصوصی. درخواست های ورودی SSH را فقط از میزبان Bastion بپذیرید.

• تایپ کنید: SSH

• پروتکل: TCP

• بندر: 22

• نوع منبع: سفارشی

• منبع: سنگر SG

• نکته: *اگر نام گروه امنیتی میزبان سنگر خود را به خاطر نمی آورید، **منبع را ترک کنید.* به عنوان سفارشیو شروع به تایپ کنیدسنگر“. گروه امنیتی را برای شما پیدا می کند. (مثال: سنگر SG)

• کلیک کنید قانون گروه امنیتی را اضافه کنید

• تایپ کنید: HTTPS

• پروتکل: TCP

• بندر: 443

• نوع منبع: سفارشی

• منبع: 10.0.20.0/24 (Public VPC CIDR)

• توجه داشته باشید: اگر به دسترسی به ویندوز نیز نیاز داشتید، قانون دیگری را اضافه می کنید: RDP را تایپ کنید. پروتکل TCP؛ پورت 3389; منبع سنگر SG

• بررسی کنید خلاصه بخش و کلیک کنید نمونه راه اندازی

مرحله 8: دسترسی به اینترنت را از نمونه EC2 در یک زیرشبکه خصوصی آزمایش کنید.

• به نمونه EC2 وصل شوید و به‌روزرسانی sudo yum را بزنید

• اگرچه گروه امنیتی نمونه خصوصی به درستی پیکربندی شده است و شما باید به اینترنت دسترسی خروجی داشته باشید، اما هنوز زمان آن تمام شده است.

• مهلت زمانی ناشی از انکار NACL خصوصی ترافیک HTTP ورودی است.

• برای اجازه دادن به نمونه خصوصی *خروجی *اتصال به اینترنت به ترجمه آدرس شبکه (NAT) نیاز دارید.

مرحله 9: مسیرهای زیرشبکه خصوصی را از IGW به NGW تغییر دهید.

• در PrivateRouteTable صفحه جزئیات، در مسیرها برگه، کلیک کنید مسیرها را ویرایش کنید

• کلیک کنید اضافه کردن مسیر و تنظیمات مسیر زیر را پیکربندی کنید:

• مقصد: وارد شوید 0.0.0.0/0

• هدف: حذف IGW و ADD NGW ایجاد شده در مرحله 3*.*

• این مسیر در نهایت ترافیکی را که از زیرشبکه خصوصی شما سرچشمه می گیرد و به اینترنت عمومی محدود می شود، به یک دستگاه NAT ارسال می کند.

• کلیک کنید ذخیره تغییرات

• کلیک کنید زیر شبکه ها از پنجره ناوبری سمت چپ، سپس گزینه را انتخاب کنید خصوصی-الف زیر شبکه

• در جدول مسیر را برگه و کلیک کنید ارتباط جدول مسیر را ویرایش کنید

• انتخاب کنید PrivateRouteTable از منوی کشویی **شناسه جدول مسیر **.

• کلیک کنید ذخیره کنید.

مرحله 10: آزمایش نهایی دسترسی به اینترنت از نمونه EC2 در یک زیرشبکه خصوصی.

• مهم!

• وجود دارد دو پیکربندی مهم قابل ذکر است دوباره در مورد اینکه چرا این دستور باید در محیط آزمایشگاه شما کار کند:

• NACL خصوصی دارای یک قانون خروجی است که به HTTP (پورت 80) یا HTTPS (پورت 443) اجازه دسترسی به هر نقطه از اینترنت را می دهد (0.0.0.0/0)

• گروه امنیتی برای دستگاه NAT امکان دسترسی HTTP/S را از هر نمونه در زیرشبکه خصوصی (که از گروه امنیتی نمونه خصوصی استفاده می‌کند، که به هر مقصدی نیز اجازه می‌دهد) را می‌دهد.

• به نمونه EC2 وصل شده و اجرا کنید sudo yum update -y

• موفقیت!! کار کرد!

مرحله 11: از کار انداختن:

• به EC2 -> Terminate the Instance بروید

• به Nat Gateways -> Delete the Nat Gateway بروید

• به آدرس IP Elastic -> انتشار آدرس IP بروید

• به VPC -> Delete VPC بروید

یادگیری ها :

• VPC با دو زیر شبکه، یک زیر شبکه عمومی و یک زیر شبکه خصوصی پیکربندی شده است. اگر ترافیک یک زیرشبکه به یک دروازه اینترنتی هدایت شود، زیرشبکه به عنوان a شناخته می شود زیر شبکه عمومی

• اگر یک زیرشبکه مسیری به دروازه اینترنت نداشته باشد، زیرشبکه به عنوان a شناخته می شود زیر شبکه خصوصی. نمونه‌هایی که در یک زیرشبکه خصوصی راه‌اندازی می‌شوند، آدرس اینترنتی قابل مسیریابی عمومی نیز ندارند.

• هر دو زیرشبکه یک جدول مسیر مرتبط با آنها دارند. نمونه هایی در زیرشبکه عمومی ترافیک اینترنت را از طریق دروازه اینترنتی هدایت می کنند. زیرشبکه خصوصی ترافیک اینترنت را از طریق دستگاه NAT (دروازه یا نمونه) هدایت می کند.

• هر نمونه راه‌اندازی شده در هر یک از زیرشبکه‌ها گروه امنیتی خاص خود را با قوانین ورودی و خروجی دارد، تا تضمین کند دسترسی به پورت‌ها و پروتکل‌های خاص قفل شده است.

• به عنوان مثال، نمونه‌های خصوصی در زیرشبکه خصوصی، هرگونه ترافیک خروجی را مجاز می‌کنند، اما فقط اجازه دسترسی SSH را از میزبان سنگر می‌دهند.

• به عنوان مثال دیگر، اگرچه دستگاه NAT در زیر شبکه عمومی است، اما نمی توان از اینترنت به آن دسترسی داشت. این یک قانون ورودی دارد که فقط به نمونه هایی از گروه امنیتی خصوصی (نمونه های خصوصی) دسترسی می دهد.

• توجه داشته باشید که ممکن است اجازه دسترسی به SSH را از آدرس IP شخصی خود یا یک سرپرست خاص نیز بدهید، یا ممکن است در طول راه‌اندازی و تلاش‌های عیب‌یابی، به ICMP (پینگ) دسترسی بدهید.

• علاوه بر گروه های امنیتی، زیرشبکه خصوصی همچنین دارای یک لیست کنترل دسترسی به شبکه (NACL) به عنوان معیار امنیتی اضافی است.

• NACL به قوانین ورودی و خروجی اجازه می دهد که به ترتیب اولویت مشخص شده اند. آنها به عنوان قوانین مجاز ضمنی تنظیم شده اند.

• اگر هیچ یک از آنها مطابقت نداشته باشد، تمام ترافیک دیگر رد می شود.

• این کار در آزمایشگاه با انجام به روز رسانی سیستم عامل پس از نصب دستگاه NAT ثابت شد. جدول مسیر خصوصی ترافیک را از نمونه های موجود در زیرشبکه خصوصی به دستگاه NAT در زیرشبکه عمومی ارسال می کند.

• دستگاه NAT ترافیک را به دروازه اینترنت برای VPC ارسال می کند. ترافیک به آدرس IP الاستیک دستگاه NAT نسبت داده می شود.

من ** کونال شاه هستمAWS Community Builder، AWS Certified Professional Solutions Architect، به مشتریان کمک می کند تا به راه حل های بهینه در Cloud دست یابند. Cloud Enabler به انتخاب، DevOps Practitioner که بیش از 9 سال تجربه کلی در صنعت IT دارد.

من دوست دارم در مورد فناوری Cloud، DevOps، تحول دیجیتال، تجزیه و تحلیل، زیرساخت، Cloud Native، Generative AI، Dev Tools، بهره وری عملیاتی، بدون سرور، بهینه سازی هزینه، شبکه ابری و امنیت صحبت کنم.

*می توانید با من تماس بگیرید @ *acloudguy.in