Zum Hauptinhalt springen Skip to page footer

Schritt 1: Erstellung des Netzwerks

Schritt 2: Firewall & Zugriffs-Regeln

Schritt 3: Erstellung eines Uplinks

Optional – VPN (Virtual Privat Network)

Schritt 1: Erstellung des Netzwerkes


 

Der erste Schritt um Services nutzen zu können ist immer die Erstellung einer VPC, die die Kapsel für das Netzwerk darstellt.
Dies findet man unter Network - Virtual Privat Cloud.

Um eine neue VPC zu erstellen wählt man Apply for VPC.

Im ersten Abschnitt wählt man das passende Enterprise Project aus.

In diesem Fall wird alles erstellte über ShowCase abgerechnet.

Der NAME sollte aussagekräftig sein, um immer direkt das richtige Netz zu erkennen.

External Network muss nicht angepasst werden.

Der PRIMARY CIDR BLOCK stellt das Netzwerksegment da, in dem wir dann unsere Subnetze anlegen.
Daher sollte dieser nicht zu klein gewählt werden. Der gleiche Block kann in mehreren VPC
verwendet werden, da diese getrennt agieren.
Unsere Empfehlung ist mit 192.168.0.0 / 16 zu beginnen. Darunter befindet sich eine Liste mit nicht
benutzbaren Netzsegmenten.

Im zweiten Abschnitt wird das erste Subnetz erstellt.

Zu Anfangs benennen wir das Subnet. Auch hier sollte ein aussagekräftiger Name gewählt werden.
Über DHCP kann entschieden werden, ob es einen dynamisch verwalteten IP Pool gibt.
In diesem Beispiel wird als Type nur IPv4 ausgewählt. Analog zu v4 funktioniert auch v6.

Der CIDR Block muss sich unterhalb unseres Primary CIDR Blocks befinden. Daher wird das Subnet mit 192.168.1.0 / 24 angelegt.
Das Gateway wird mit einem Klick in den Kasten automatisch hinterlegt und muss nicht angepasst werden.

Der Allocation Pools stellt den DHCP dynamisch verteilten Bereich da, aus dem die ECS ihre erste IP beziehen.

Die DNS Server werden von der SpaceNet.Cloud bereitgestellt, können aber angepasst werden.

NTP Server können über DHCP mitgeliefert werden.

Nun kann bei dem Erstellen einer ECS unser VPC ausgewählt werden.

Schritt 2: Firewall & Zugriffs-Regeln


Erklärung

Security Groups sind Firewall Regeln (~IPSEC) für ECS und Loadbalancer. Diese können miteinander verschachtelt und beliebig viele einer ECS zugewiesen werden.
Die Default Group ist standardmäßig  jeder ECS bei der Erstellung zugewiesen.

0.0.0.0/0 bedeutet alle IP Adressen sind freigegeben. Dies inkludiert auch die IP Adressen der VPC.

Als erstes sollte in der Default Group die Inbound Regeln entfernt werden, da diese den Server für die ganze Welt frei geben.
Das Entfernen unterbricht aber auch den Verkehr zwischen den ECS!

Default Group

Empfohlenes Setup

(1) – Bearbeiten der Default Group

In der Default Group die Inbound Regeln löschen. Diese Group wird nur für die Freischaltung des ausgehenden Traffic genutzt.
 

(2) – Erstellen Security Groups für interne Kommunikation

Für jedes angelegte Subnet eine Security Group anlegen, die die Freigabe ANY mit Remote End das ganze Subnet enthält.
Das VPC hat 192.168.0.0/16. Das Subnet Intern hat 192.168.1.0/24.

(3) – Security Groups zuweisen

Der ECS, die im Internen Subnet ist, diese Group zuweisen. Dies kann man innerhalb der Group über Associate Instances schnell nachbearbeiten, falls es schon ECS gibt.

(optional) – Remote Zugang

Falls eine statische IP vorhanden ist, von der man die ECS verwalten möchte, kann man eine Security Group anlegen, die z.B SSH eingehend nur aus diesem IP-Kreis erlaubt.

Dadurch ist der Port 22 nur von dem Netz 195.30.0.0/24 erreichbar.
Diese Group kann dann den Linux ECS zugewiesen werden.
Die bessere Lösung ist es allerdings ein VPN Gateway zu nutzen, oder über die Web Console zu arbeiten.

Schritt 3: Erstellung eines Uplinks


Der erste Schritt, bevor EIP (externe IP Adressen) vergeben werden, ist die Einrichtung einer Shared Bandwidth.
Diese ist unter Network - Elastic IP - Shared Bandwidths zu finden.

 

Man erstellt diese einfach über Create Shared Bandwidth.

Ein Name sollte so gewählt werden, dass dieser die Uplink Nutzung am besten beschreibt und bei der Einrichtung von ECS einfach erkannt wird. 

Als Project nutzen man für die Abrechnung wieder ShowCase.

Die Bandwidth (Mbit/s) lässt nun eine Beschränkung der maximalen Uplink Geschwindigkeit zu. Diese kann aber immer wieder angepasst werden.

Dies ist eine FlatRate.

Nun kann man beim Beantragen einer EIP die gerade angelegte Shared Bandwidth auswählen.

Optional: VPN (Virtual Privat Network)


Um direkt auf Ihre VMs in ihrer Virtual Privat Cloud zuzugreifen, legen Sie ganz einfach einen VPN Tunnel an.
Dadurch wird kein Zugriff über eine Öffentliche IP nötig. Unter Network - Virtual Privat Network wird erst ein VPN Gateway angelegt.

Bei Name wählen Sie eine passende Bezeichnung, die auch zu Ihrem Subnet oder VPC passen sollte. Unter VPC wählen Sie dann die entsprechende Virtual Privat Cloud.

Der Bandbreitennamen sollte zum Gateway  Namen passen, um dies schneller zuordnen zu können. Eine Shared Bandwidth zu nutzen ist hier nicht möglich,
da dies spezieller Traffic ist.

Nun wir der eigentliche VPN Tunnel angelegt. Dazu wird eine neue VPN Connection im gleichnamigen Menü erstellt.

Der Name sollte Ihnen Auskunft über z.B. den Endpunkt geben.

Als VPN Gateways nehmen wir das gerade angelegte.

Remote Gateway ist der Endpunkt außerhalb der Cloud. Also z.B. Ihre Firewall vorOrt am Standort.

Remote Subnet ist der Netzbereich an Ihrem Standort den sie Route wollen.

PSK ist der Schlüssel/Passwort zwischen Ihrem Gerät und der Cloud.

Unter Advanced Settings wird Custom ausgewählt, um die genauen Verbindungsoptionen zu sehen und zu bearbeiten.

Diese müssen auf beiden Seiten gleich sein.

Bis der VPN Tunnel aufgebaut wird kann es ein paar Minuten dauern. Gelingt der Aufbau, wechselt der Status auf Normal.