Der erste Schritt um Services nutzen zu können ist immer die Erstellung einer VPC, die die Kapsel für das Netzwerk darstellt.
Dies findet man unter Network - Virtual Privat Cloud.
Im ersten Abschnitt wählt man das passende Enterprise Project aus.
In diesem Fall wird alles erstellte über ShowCase abgerechnet.
Der NAME sollte aussagekräftig sein, um immer direkt das richtige Netz zu erkennen.
External Network muss nicht angepasst werden.
Der PRIMARY CIDR BLOCK stellt das Netzwerksegment da, in dem wir dann unsere Subnetze anlegen.
Daher sollte dieser nicht zu klein gewählt werden. Der gleiche Block kann in mehreren VPC
verwendet werden, da diese getrennt agieren.
Unsere Empfehlung ist mit 192.168.0.0 / 16 zu beginnen. Darunter befindet sich eine Liste mit nicht
benutzbaren Netzsegmenten.
Im zweiten Abschnitt erstellen wir das erste Subnetz.
Zu Anfangs benennen wir das Subnet. Auch hier sollte ein aussagekräftiger Name gewählt werden.
Über DHCP kann entschieden werden, ob es einen dynamisch verwalteten IP Pool gibt.
In diesem Beispiel wähle ich als Type nur IPv4 aus. Analog zu v4 funktioniert auch v6.
Der CIDR Block muss sich unterhalb unseres Primary CIDR Blocks befinden. Daher legen wir das Subnet mit 192.168.1.0 / 24 an.
Das Gateway wird mit einem klick in den Kasten automatisch hinterlegt und muss nicht angepasst werden.
Der Allocation Pools stellt den DHCP dynamisch verteilten Bereich da, aus dem die ECS ihre erste IP beziehen.
Die DNS Server werden von der SpaceNet.Cloud bereitgestellt, können aber angepasst werden.
NTP Server können über DHCP mitgeliefert werden.
Nun kann bei dem Erstellen einer ECS unser VPC ausgewählt werden.
Erklärung
Security Groups sind Firewall Regeln (~IPSEC) für ECS und Loadbalancer. Diese können miteinander verschachtelt werden und beliebig viele einer ECS zugewiesen.
Die Default Group ist standard jeder ECS bei der Erstellung zugewiesen.
0.0.0.0/0 bedeutet alle IP Adressen sind freigegeben. Dies inkludiert auch die IP Adressen der VPC.
Als erstes sollte in der Default Group die Inbound Regeln entfernt werden, da diese den Server für die ganze Welt frei geben.
Das entfernen unterbricht aber auch den Verkehr zwischen den ECS!
Default Group
Empfohlenes Setup
(1) – Bearbeiten der Default Group
In der Default Group die Inbound Regeln löschen. Diese Group wird nur für die Freischaltung des ausgehenden Traffic genutzt.
(2) – Erstellen Security Groups für interne Kommunikation
Für jedes angelegte Subnet eine Security Group anlegen, die die Freigabe ANY mit Remote End das ganze Subnet enthält.
Das VPC hat 192.168.0.0/16. Das Subnet Intern hat 192.168.1.0/24.
(3) – Security Groups zuweisen
Der ECS, die im Internen Subnet ist diese Group zuweisen. Dies kann man innerhalb der Group über Associate Instances schnell nachbearbeiten falls es schon ECS gibt.
(optional) – Remote Zugang
Falls eine statische IP vorhanden ist, von der man die ECS cerwalten möchte kann man eine Security Group anlegen, die z.B SSH eingehend nur aus diesem IP-Kreis erlaubt.
Dadurch ist der Port 22 nur von dem Netz 195.30.0.0/24 erreichbar.
Diese Group kann dann den Linux ECS zugewiesen werden.
Die bessere Lösung ist es allerdings ein VPN Gateway zu nutzen, oder über die Web Console zu arbeiten.
Der erste Schritt, bevor EIP (externe IP Adressen) vergeben werden, ist die Einrichtung einer Shared Bandwidth.
Diese ist unter Network - Elastic IP - Shared Bandwidths zu finden.
Man erstellt diese einfach über Create Shared Bandwidth.
Als Name sollte gewählt, dass die Uplink Nutzung am besten beschreibt und
bei der Einrichtung von ECS einfach erkannt wird. Als Project nutzen wir für die
Abrechnung wieder ShowCase.
Die Bandwidth (Mbit/s) lässt nun eine Beschränkung der maximalen Uplink
Geschwindigkeit zu. Diese kann aber immer wieder angepasst werden.
Dies ist eine FlatRate.
Nun kann ich bei dem beantragen einer EIP unsere gerade angelegte Shared Bandwidth auswählen.
Um direkt auf Ihre VMs in ihrer Virtual Privat Cloud zuzugreifen legen Sie ganz einfach einen VPN Tunnel an.
Dadurch wird kein Zugriff über eine Öffentliche IP nötig. Unter Network - Virtual Privat Network wird erst ein VPN Gateway angelegt.
Bei Name wählen Sie eine passende Bezeichnung, die auch zu ihrem Subnet oder VPC passen sollte. Unter VPC wählen Sie dann die entsprechende Virtual Privat Cloud.
Der Bandbreitennamen sollte zum Gateway Namen passen um dies schneller zuordnen zu können. Eine Shared Bandwidth zu nutzen ist hier nicht möglich,
da dies spezieller Traffic ist.
Nun wir der eigentliche VPN Tunnel angelegt. Dazu wird eine neue VPN Connection im gleichnamigen Menü erstellt.
Der Name sollte Ihnen Auskunft über z.B. den Endpunkt geben.
Als VPN Gateways nehmen wir das gerade angelegte.
Remote Gateway ist der Endpunkt außerhalb der Cloud. Also z.B. Ihre
Firewall vorOrt am Standort.
Remote Subnet ist der Netzbereich an ihrem Standort den sie Route wollen.
PSK ist der Schlüssel/Passwort zwischen Ihrem Gerät und der Cloud.
Unter Advanced Settings wird Custom ausgewählt um die genauen Verbindungsoptionen zu sehen und zu bearbeiten.
Diese müssen auf beiden Seiten gleich sein.
Nun kann es ein paar Minuten dauern, bis der VPN Tunnel aufgebaut wird. Der Status wird bei gelingen Normal.