教程:为您的集群创建带有公有和私有子网的 VPC - Amazon Elastic Container Service
步骤 1:为您的 NAT 网关选择弹性 IP 地址步骤 2:运行 VPC 向导步骤 3:创建额外子网后续步骤
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

教程:为您的集群创建带有公有和私有子网的 VPC

集群中的容器实例需要外部网络访问以便与 Amazon ECS 服务终端节点进行通信。但是,您可能有想要在私有子网中运行的任务和服务。创建带有公有和私有子网的 VPC 可为您提供在公有子网或私有子网中启动任务和服务的灵活性。私有子网中的任务和服务可以通过 NAT 网关访问 Internet。公有子网和私有子网中的服务都可以配置为使用负载均衡器,从而让用户仍可以从公共 Internet 访问它们。

本教程将指导您创建带有两个公有子网和两个私有子网的 VPC,这些子网获得了通过 NAT 网关访问 Internet 的功能。

步骤 1:为您的 NAT 网关选择弹性 IP 地址

NAT 网关要求您的公有子网中有一个弹性 IP 地址,但 VPC 向导不会为您创建该地址。在运行 VPC 向导之前创建弹性 IP 地址。

创建弹性 IP 地址

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在左侧导航窗格中,选择 Elastic IPs

  3. 依次选择 Allocate new addressAllocateClose

  4. 记下您新创建的弹性 IP 地址的 Allocation ID;稍后在 VPC 向导中输入此 ID。

步骤 2:运行 VPC 向导

VPC 向导会为您自动创建和配置您的大多数 VPC 资源。

运行 VPC 向导

  1. 在左侧导航窗格中,选择 VPC Dashboard

  2. 依次选择 Launch VPC Wizard (启动 VPC 向导)VPC with Public and Private Subnets (带有公有子网和私有子网的 VPC)Select (选择)

  3. 对于 VPC name,为您的 VPC 提供一个唯一名称。

  4. 对于 Elastic IP Allocation ID,选择您之前创建的弹性 IP 地址的 ID。

  5. 选择 Create VPC

  6. 完成向导后,选择 OK。记下在其中创建您的 VPC 子网的可用区。您的其他子网应在不同的可用区中创建。

    非默认子网(例如通过 VPC 向导创建的子网)不是自动分配的公有 IPv4 地址。必须为在公有子网中启动的实例分配一个公有 IPv4 地址,才能与 Amazon ECS 服务终端节点通信。

修改您的公有子网的 IPv4 寻址行为

  1. 在左侧导航窗格中,选择 Subnets

  2. 为您的 VPC 选择公有子网。默认情况下,通过 VPC 向导创建的名称为 Public subnet (公有子网)

  3. 依次选择 Actions (操作)Modify auto-assign IP settings (修改自动分配 IP 设置)

  4. 选中 Enable auto-assign public IPv4 address (启用自动分配公用 IPv4 地址) 复选框,然后选择 Save (保存)

步骤 3:创建额外子网

该向导将在单可用区中创建带有单个公有子网和单个私有子网的 VPC。为了获得更高的可用性,您应在另一个可用区中为每个子网类型额外创建一个,使您的 VPC 拥有跨两个可用区的公有子网和私有子网。

创建额外私有子网

  1. 在左侧导航窗格中,选择 Subnets

  2. 选择 Create Subnet

  3. 对于 Name tag,为您的子网输入名称,如 Private subnet

  4. 对于 VPC,选择您之前创建的 VPC。

  5. 对于 Availability Zone,选择与 VPC 中的原始子网所在的可用区不同的可用区。

  6. 对于 IPv4 CIDR block,输入有效的 CIDR 块。例如,在默认情况下,该向导将在 10.0.0.0/24 和 10.0.1.0/24 中创建 CIDR 块。您可以对第二个私有子网使用 10.0.3.0/24

  7. 选择 Yes, Create

创建额外公有子网

  1. 在左侧导航窗格中,选择 Subnets,然后选择 Create Subnet

  2. 对于 Name tag,为您的子网输入名称,如 Public subnet

  3. 对于 VPC,选择您之前创建的 VPC。

  4. 对于 Availability Zone,选择与您在上一个过程中创建的额外私有子网所在的可用区相同的可用区。

  5. 对于 IPv4 CIDR block,输入有效的 CIDR 块。例如,在默认情况下,该向导将在 10.0.0.0/24 和 10.0.1.0/24 中创建 CIDR 块。您可以对第二个公有子网使用 10.0.2.0/24

  6. 选择 Yes, Create

  7. 选择您刚刚创建的公有子网,然后选择 Route TableEdit

  8. 默认情况下,私有路由表处于选中状态。选择其他可用的路由表,从而将 0.0.0.0/0 目标路由至 Internet 网关 (igw-xxxxxxxx),然后选择 Save

  9. 在您的第二个公有子网仍处于选中状态的情况下,选择 Subnet ActionsModify auto-assign IP settings

  10. 依次选择 Enable auto-assign public IPv4 addressSaveClose

后续步骤

在创建 VPC 后,您应考虑以下后续步骤:

  • 如果您的公有和私有资源需要入站网络访问权限,则为这些资源创建安全组。有关更多信息,请参阅 Amazon VPC 用户指南 中的使用安全组

  • 在您的私有或公有子网中创建 Amazon ECS 集群。有关更多信息,请参阅创建集群。如果您在 Amazon ECS 控制台中使用集群创建向导,则可以指定您刚刚创建的 VPC 以及要在其中启动您的实例的公有或私有子网,具体取决于您的使用案例。

    • 要使您的容器可以直接从 Internet 访问,请将实例启动到公有 子网中。请确保正确配置您的容器实例安全组。

    • 要避免使容器可以直接从 Internet 问容,请将实例启动到私有 子网中。

  • 在公有子网中创建一个负载均衡器,使之可以将流量路由至公有或私有子网中的服务。有关更多信息,请参阅 服务负载均衡