AWS 创建VPC 并且添加权限控制

以下是完整的从0到1在AWS中创建VPC并配置权限的步骤（包含网络配置、安全组权限和实例访问）：

登录AWS控制台
访问 AWS VPC控制台，点击 创建VPC。
配置基础信息
- 名称标签：my-vpc
- IPv4 CIDR块：10.0.0.0/16（私有IP地址范围）
- 取消勾选 DNS主机名 和 DNS解析（可选，默认启用）
- 其他保持默认，点击 创建VPC。

进入子网页面
在左侧菜单选择子网 → 创建子网。
配置公共子网
- 名称标签：public-subnet
- VPC：选择刚创建的 my-vpc
- IPv4 CIDR块：10.0.1.0/24（属于VPC的子网范围）
- 可用区：选择一个可用区（如 us-east-1a）
- 取消勾选 自动分配IPv6地址
- 点击 创建子网。

重复创建子网流程：
- 名称标签：private-subnet
- IPv4 CIDR块：10.0.2.0/24
- 可用区：选择另一个可用区（如 us-east-1b）
- 其他配置同上，点击 创建子网。

进入路由表页面
左侧菜单选择 路由表，找到与公共子网关联的默认路由表（名称含 PublicRouteTable）。
添加默认路由
- 点击 编辑路由 → 添加路由。
- 目标：0.0.0.0/0（所有流量）
- 目标类型：互联网网关
- 选择互联网网关：my-igw
- 点击 保存路由。
关联子网
- 点击 子网关联 → 编辑子网关联。
- 勾选 public-subnet，点击保存。

进入安全组页面
左侧菜单选择 安全组 → 创建安全组。
配置公共安全组（允许SSH/HTTP访问）
- 名称：public-sg
- 描述：允许SSH和HTTP访问
- VPC：选择 my-vpc
- 入站规则：
  - 添加规则：
    - 类型：SSH（端口22），来源 0.0.0.0/0（允许所有IP，生产环境需限制）
    - 类型：HTTP（端口80），来源 0.0.0.0/0
    - 类型：HTTPS（端口443），来源 0.0.0.0/0
- 出站规则：保持默认（允许所有出站流量）
- 点击 创建安全组。
配置私有安全组（仅限内部访问）
- 重复创建流程，名称 private-sg，入站规则仅允许来自VPC内的IP（如 10.0.0.0/16）访问特定端口（如3306数据库端口）。

进入EC2控制台
访问 EC2控制台，点击 启动实例。
选择AMI
- 例如：Amazon Linux 2 AMI（HVM）。
配置实例
- 实例类型：t2.micro（免费套餐可用）
- 网络：选择 my-vpc
- 子网：选择 public-subnet
- 安全组：选择 public-sg
- 密钥对：创建或选择现有的SSH密钥对（用于登录实例）。
启动实例
- 点击启动，记录实例的公网IP（用于SSH连接）。

SSH连接到公共实例

ssh -i "your-key.pem" ec2-user@<公网IP>

测试互联网访问

curl http://icanhazip.com  # 应返回公网IP

在私有子网启动EC2实例
- 重复启动流程，子网选择 private-subnet，安全组选择 private-sg。
- 实例无公网IP，需通过公共实例或VPN访问。

从公共实例访问私有实例

在公共实例中，使用私有IP连接：

ssh -i "your-key.pem" ec2-user@10.0.2.10  # 私有IP需与子网CIDR匹配

安全组规则
- 入站规则：控制哪些IP/端口可以访问实例（如SSH端口22、HTTP端口80）。
- 出站规则：默认允许所有流量，通常无需修改。
NAT网关（私有子网访问互联网）
- 若私有子网需访问互联网，需创建NAT网关并关联到公共子网，修改私有子网路由表指向NAT网关。
- 步骤：
  1. 创建NAT网关（绑定EIP）。
  2. 私有子网路由表添加规则：0.0.0.0/0 → NAT网关。