1. 部署堆栈

模板文件 vpc-1.yaml:

  1. AWSTemplateFormatVersion: 2010-09-09
  2. Description: Deploy a VPC
  4. Resources:
  5.   VPC:
  6.     Type: AWS::EC2::VPC
  7.     Properties:
  8.       CidrBlock: 10.0.0.0/16
  9.       EnableDnsHostnames: true
  10.       Tags:
  11.       - Key: Name
  12.         Value: Lab VPC
  14.   InternetGateway:
  15.     Type: AWS::EC2::InternetGateway
  16.     Properties:
  17.       Tags:
  18.       - Key: Name
  19.         Value: Lab Internet Gateway
  21.   AttachGateway:
  22.     Type: AWS::EC2::VPCGatewayAttachment
  23.     Properties:
  24.       VpcId: !Ref VPC
  25.       InternetGatewayId: !Ref InternetGateway
  27.   PublicSubnet1:
  28.     Type: AWS::EC2::Subnet
  29.     Properties:
  30.       VpcId: !Ref VPC
  31.       CidrBlock: 10.0.0.0/24
  32.       AvailabilityZone: !Select 
  33.         - '0'
  34.         - !GetAZs ''
  35.       Tags:
  36.         - Key: Name
  37.           Value: Public Subnet 1
  39.   PrivateSubnet1:
  40.     Type: AWS::EC2::Subnet
  41.     Properties:
  42.       VpcId: !Ref VPC
  43.       CidrBlock: 10.0.1.0/24
  44.       AvailabilityZone: !Select 
  45.         - '0'
  46.         - !GetAZs ''
  47.       Tags:
  48.         - Key: Name
  49.           Value: Private Subnet 1
  51.   PublicRouteTable:
  52.     Type: AWS::EC2::RouteTable
  53.     Properties:
  54.       VpcId: !Ref VPC
  55.       Tags:
  56.         - Key: Name
  57.           Value: Public Route Table
  59.   PublicRoute:
  60.     Type: AWS::EC2::Route
  61.     Properties:
  62.       RouteTableId: !Ref PublicRouteTable
  63.       DestinationCidrBlock: 0.0.0.0/0
  64.       GatewayId: !Ref InternetGateway
  66.   PublicSubnetRouteTableAssociation1:
  67.     Type: AWS::EC2::SubnetRouteTableAssociation
  68.     Properties:
  69.       SubnetId: !Ref PublicSubnet1
  70.       RouteTableId: !Ref PublicRouteTable
  72.   PrivateRouteTable:
  73.     Type: AWS::EC2::RouteTable
  74.     Properties:
  75.       VpcId: !Ref VPC
  76.       Tags:
  77.       - Key: Name
  78.         Value: Private Route Table
  80.   PrivateSubnetRouteTableAssociation1:
  81.     Type: AWS::EC2::SubnetRouteTableAssociation
  82.     Properties:
  83.       SubnetId: !Ref PrivateSubnet1
  84.       RouteTableId: !Ref PrivateRouteTable
  86. Outputs:
  87.   VPC:
  88.     Description: VPC
  89.     Value: !Ref VPC
  90.   AZ1:
  91.     Description: Availability Zone 1
  92.     Value: !GetAtt 
  93.       - PublicSubnet1
  94.       - AvailabilityZone

image.png
image.png
image.png

2. 检查 VPC

在此,我们将检查创建的 VPC 资源以及创建资源的 CloudFormation 模板的代码。

以下是 CloudFormation 创建的资源:

  • Amazon VPC
  • Internet Gateway
  • 2 个 Subnet
  • 2 个 Route Table

这些资源都位于一个可用区中。可用区是区域内的一个隔离位置,由一个或多个数据中心组成。
image.png

2.1 LabVPC

VPC 是 AWS 云的一个隔离部分,它允许资源互相通信,并有选择的与 Internet 通信。
image.png
详细信息“显示 IPv4 CIDR ,这是分配给 VPC 的 IP 地址范围。此 VPC 的 CIDR 为 10.0.0.0/16 ,这意味着它包含所有以 10.0.x.x 的开头的 IP 地址。

  1. Resources:
  2.   VPC:
  3.     Type: AWS::EC2::VPC
  4.     Properties:
  5.       CidrBlock: 10.0.0.0/16
  6.       EnableDnsHostnames: true
  7.       Tags:
  8.       - Key: Name
  9.         Value: Lab VPC

上面代码中的 Type 声明了 CloudFormation 创建的资源的类型。然后, Properties 部分指定有关要创建的资源的信息:

  • CidrBlock :与 VPC 关联的 IP 地址范围;
  • EnableDnsHostnames :为 VPC 中的 EC2 实例开启 DNS 域名功能;
  • Tag :向资源添加一个友好名称;

2.2 Internet 网关

Internet 网关有两个目的:

  • 在 VPC 路由表中为可路由 Internet 的流量提供目标;
  • 对已分配了公共 IPv4 地址的 EC2 实例执行网路地址转换(NAT);

以下是创建此 Internet 网关的模板中的代码:

  1.   InternetGateway:
  2.     Type: AWS::EC2::InternetGateway
  3.     Properties:
  4.       Tags:
  5.       - Key: Name
  6.         Value: Lab Internet Gateway

在控制台中,Internet 网关显示它已连接到 VPC:
image.png

这是通过模板中的以下代码完成的:

  1.   AttachGateway:
  2.     Type: AWS::EC2::VPCGatewayAttachment
  3.     Properties:
  4.       VpcId: !Ref VPC
  5.       InternetGatewayId: !Ref InternetGateway

VPC 的 AttachGateway 在 VPC 和网关之间创建关系。 :::info 注意:模板使用 !Ref 关键字引用模板中的其他元素,后跟另一个资源的名称。这样,仅通过引用资源名称就可以轻松构件相互链接的资源。 :::

2.3 子网

将出现两个子网:

  • Public Subnet 1:通过 Internet 网关连接到 Internet,可由需要公共访问的资源使用;
  • Private Subnet 1:未连接到互联网。无法从 Internet 到达此子网中的任何资源,从而为这些资源提供了额外的安全性;

image.png

以下是模板中创建子网的代码:

  • VpcId:包含子网的 VPC;
  • CidrBlock:分配给子网的 IP 地址范围;

  • AvailabilityZone:定义区域内的哪个物理位置应包含子网; :::info 可用区使用一个名为 !Select 的函数和一个名为 !GetAZs 的函数,它们会检索该区域内的可用区列表,并引用该列表中的第一个元素。
    以这种方式,该模板可以在任何区域中使用,因为它在运行时检索可用区列表,而不是在模板中对可用区进行硬编码。 :::

    1. PublicSubnet1:
    2.   Type: AWS::EC2::Subnet
    3.   Properties:
    4.     VpcId: !Ref VPC
    5.     CidrBlock: 10.0.0.0/24
    6.     AvailabilityZone: !Select
    7.       - '0'
    8.       - !GetAZs ''
    9.     Tags:
    10.       - Key: Name
    11.         Value: Public Subnet 1
    13. PrivateSubnet1:
    14.   Type: AWS::EC2::Subnet
    15.   Properties:
    16.     VpcId: !Ref VPC
    17.     CidrBlock: 10.0.1.0/24
    18.     AvailabilityZone: !Select
    19.       - '0'
    20.       - !GetAZs ''
    21.     Tags:
    22.       - Key: Name
    23.         Value: Private Subnet 1

2.4 路由表

路由表用于将流量路由进出子网。该路由表(Public Route Table)的配置为:

  • 对 VPC(10.0.0.0/16)中的流量,将在本地路由流量;
  • 对于去往 Internet(0.0.0.0/0)的流量,将流量路由到 Internet 网关(igw-*);

image.png

以下时模板中创建 Public Route Table 的代码:

  1.   PublicRouteTable:
  2.     Type: AWS::EC2::RouteTable
  3.     Properties:
  4.       VpcId: !Ref VPC
  5.       Tags:
  6.         - Key: Name
  7.           Value: Public Route Table

Private Route Table 也有类似的代码。

以下是在 Public Route Table 中定义到 Internet 的路由的代码:

  1.   PublicRoute:
  2.     Type: AWS::EC2::Route
  3.     Properties:
  4.       RouteTableId: !Ref PublicRouteTable
  5.       DestinationCidrBlock: 0.0.0.0/0
  6.       GatewayId: !Ref InternetGateway

路由的配置为:

  • RouteTableId:表示拥有路由的路由表;
  • DestinationCidrBlock:定义此路由规则的 IP 地址范围(其中0.0.0.0/0表示绑定到 Internet 的流量);
  • GatewayId:定义将流量路由到何处,这种情况下,它是模板前面定义的 Internet 网关;

仅为 Public Route Table 配置了此路由,这就是使它成为 public 的原因。

2.5 子网关联

控制台中显示 Public Route Table 与 Public Subnet 1 关联。
image.png
路由表可以与多个子网关联,每个关联都需要有明确的链接。

以下是定义此链接的代码:

  1.   PublicSubnetRouteTableAssociation1:
  2.     Type: AWS::EC2::SubnetRouteTableAssociation
  3.     Properties:
  4.       SubnetId: !Ref PublicSubnet1
  5.       RouteTableId: !Ref PublicRouteTable

2.6 Outputs

模板在 Outputs 部分返回了有关其创建的资源的信息:

  • VPC 是已创建的 VPC 的 ID;

  • AZ1 显示了在其中创建子网的可用区;

    1. Outputs:
    2. VPC:
    3.   Description: VPC
    4.   Value: !Ref VPC
    6. AZ1:
    7.   Description: Availability Zone 1
    8.   Value: !GetAtt
    9.     - PublicSubnet1
    10.     - AvailabilityZone

    VPC 输出只是对 VPC 的引用,从而显示 VPC ID;
    AZ1 输出使用 !GetAtt 函数检索资源的属性。在这种情况下,它将从 Public Subnet 1 检索 AvaiabilityZone 属性。

3. 更新堆栈

部署堆栈后,建议对资源的任何更改都应通过 CloudFormation 进行,而不是直接修改资源。

在此部分将使用新的模板,更新堆栈,该模板定义了以下资源:
AWS CloudFormation 创建 VPC 示例 03 - 图10
第二个 Public 和 Private Subnet 已添加到另一个可用区中。这也是最佳做法,确保你的资源可以在多个可用区(数据中心)中运行,以确保系统出现故障时具有高可用性。

模板文件 vpc-2.yaml:

  1. AWSTemplateFormatVersion: 2010-09-09
  2. Description: Deploy a VPC
  4. Resources:
  5.   VPC:
  6.     Type: AWS::EC2::VPC
  7.     Properties:
  8.       CidrBlock: 10.0.0.0/16
  9.       EnableDnsHostnames: true
  10.       Tags:
  11.       - Key: Name
  12.         Value: Lab VPC
  14.   InternetGateway:
  15.     Type: AWS::EC2::InternetGateway
  16.     Properties:
  17.       Tags:
  18.       - Key: Name
  19.         Value: Lab Internet Gateway
  21.   AttachGateway:
  22.     Type: AWS::EC2::VPCGatewayAttachment
  23.     Properties:
  24.       VpcId: !Ref VPC
  25.       InternetGatewayId: !Ref InternetGateway
  27.   PublicSubnet1:
  28.     Type: AWS::EC2::Subnet
  29.     Properties:
  30.       VpcId: !Ref VPC
  31.       CidrBlock: 10.0.0.0/24
  32.       AvailabilityZone: !Select 
  33.         - '0'
  34.         - !GetAZs ''
  35.       Tags:
  36.         - Key: Name
  37.           Value: Public Subnet 1
  39.   PrivateSubnet1:
  40.     Type: AWS::EC2::Subnet
  41.     Properties:
  42.       VpcId: !Ref VPC
  43.       CidrBlock: 10.0.1.0/24
  44.       AvailabilityZone: !Select
  45.         - '0'
  46.         - !GetAZs ''
  47.       Tags:
  48.         - Key: Name
  49.           Value: Private Subnet 1
  51.   PublicSubnet2:
  52.     Type: AWS::EC2::Subnet
  53.     Properties:
  54.       VpcId: !Ref VPC
  55.       CidrBlock: 10.0.2.0/24
  56.       AvailabilityZone: !Select [1, !GetAZs '']
  57.       Tags:
  58.         - Key: Name
  59.           Value: Public Subnet 2
  61.   PrivateSubnet2:
  62.     Type: AWS::EC2::Subnet
  63.     Properties:
  64.       VpcId: !Ref VPC
  65.       CidrBlock: 10.0.3.0/24
  66.       AvailabilityZone: !Select [1, !GetAZs '']
  67.       Tags:
  68.         - Key: Name
  69.           Value: Private Subnet 2
  71.   PublicRouteTable:
  72.     Type: AWS::EC2::RouteTable
  73.     Properties:
  74.       VpcId: !Ref VPC
  75.       Tags:
  76.         - Key: Name
  77.           Value: Public Route Table
  79.   PublicRoute:
  80.     Type: AWS::EC2::Route
  81.     Properties:
  82.       RouteTableId: !Ref PublicRouteTable
  83.       DestinationCidrBlock: 0.0.0.0/0
  84.       GatewayId: !Ref InternetGateway
  86.   PublicSubnetRouteTableAssociation1:
  87.     Type: AWS::EC2::SubnetRouteTableAssociation
  88.     Properties:
  89.       SubnetId: !Ref PublicSubnet1
  90.       RouteTableId: !Ref PublicRouteTable
  92.   PublicSubnetRouteTableAssociation2:
  93.     Type: AWS::EC2::SubnetRouteTableAssociation
  94.     Properties:
  95.       SubnetId: !Ref PublicSubnet2
  96.       RouteTableId: !Ref PublicRouteTable
  98.   PrivateRouteTable:
  99.     Type: AWS::EC2::RouteTable
  100.     Properties:
  101.       VpcId: !Ref VPC
  102.       Tags:
  103.       - Key: Name
  104.         Value: Private Route Table
  106.   PrivateSubnetRouteTableAssociation1:
  107.     Type: AWS::EC2::SubnetRouteTableAssociation
  108.     Properties:
  109.       SubnetId: !Ref PrivateSubnet1
  110.       RouteTableId: !Ref PrivateRouteTable
  112.   PrivateSubnetRouteTableAssociation2:
  113.     Type: AWS::EC2::SubnetRouteTableAssociation
  114.     Properties:
  115.       SubnetId: !Ref PrivateSubnet2
  116.       RouteTableId: !Ref PrivateRouteTable
  118. Outputs:
  119.   VPC:
  120.     Description: VPC
  121.     Value: !Ref VPC
  123.   AZ1:
  124.     Description: Availability Zone 1
  125.     Value: !GetAtt
  126.       - PublicSubnet1
  127.       - AvailabilityZone
  129.   AZ2:
  130.     Description: Availability Zone 2
  131.     Value: !GetAtt
  132.       - PublicSubnet2
  133.       - AvailabilityZone

image.png

预览更改集:
它将创建两个新的子网,此外,将添加两个路由表关联,以将这些子网与其响应的路由表关联。
image.png
image.png
现在显示有 VPC 中有四个子网了。VPC 现在已更新以支持高可用性能的应用程序。

4. CloudFormation Designer 中查看堆栈

Designer 是用于创建,查看和修改 AWS CloudFormation 模板的图形工具。使用 Designer,可以使用拖放界面来绘制模板资源图,然后使用集成的 JSON 或 YAML 编辑器来编辑其详细信息。
image.png
image.png
在组成部分选项卡,单击图中的一些元素:

  • 窗口的下部显示模板中定义资源的代码;
  • 箭头显示资源之间的关系,例如与子网关联的路由表;

5. 删除堆栈

删除堆栈,会删除堆栈中所有创建的资源,但是 CloudFormation 自动创建的用于上传模板的 S3 Bucket 是需要另外手动删除的。