公有云服务架构与运维（基于阿里云）电子教案7 专有网络VPC规划与搭建

教师备课纸教师备课纸课题专有网络VPC规划与搭建课型理实一体授课班级授课时数2教学目标1.知识目标：•掌握VPC、交换机（子网）、路由表、公网网关的核心概念及其相互关系。•理解IP网段规划的基本原则（如CIDR表示法、避免重叠）。2.技能目标：•能根据业务需求，独立规划一个包含公网和私网区域的VPC网段方案。•能在控制台创建自定义VPC及多个交换机（子网）。•能为VPC配置自定义路由条目，实现特定的网络流量导向。3.素质目标：•培养网络安全隔离意识，理解公/私网分区是云上安全架构的基础。•树立规范化的网络规划习惯。教学重点•VPC与交换机（子网）的创建流程。•公网子网与私网子网的规划与划分。教学难点•理解路由表的工作原理及自定义路由条目的应用场景。•合理规划VPC及子网的IP地址范围，避免浪费和冲突。学情分析学生对IP地址有基础认知，但对CIDR（如/16,/24）和网络规划缺乏经验。教学需提供清晰的网段规划模板，并通过可视化拓扑图帮助理解VPC内各组件的关系。教学效果•学生成功创建了一个名为My-Enterprise-VPC的VPC（网段192.168.0.0/16）。•学生在该VPC内创建了两个交换机：Public-Subnet（192.168.1.0/24）和Private-Subnet（192.168.2.0/24）。•学生能解释公/私网子网的区别及用途。教后记通过“公/私网分区”的实际案例，学生对VPC的安全价值有了深刻理解。网段规划环节提供了标准模板，有效降低了入门难度。主要问题是部分学生在选择可用区时未注意与后续ECS部署的匹配。下次可增加一个“可用区选择指南”的提示。一、情境导入与任务驱动（10分钟）安全痛点：我们的Web服务器需要被公网访问，但数据库服务器绝对不能暴露在互联网上。如何在一个云账号内实现这种安全隔离？引出VPC：专有网络VPC（VirtualPrivateCloud）就是您在云上的私有数据中心。您可以像规划传统网络一样，自由划分公网区和私网区。明确任务：今天我们将亲手规划并搭建一个安全、规范的企业级VPC网络。二、核心概念精讲（25分钟）VPC核心组件：VPC：一个逻辑隔离的私有网络容器，是所有云资源的“家”。交换机（vSwitch）：VPC内的子网，必须关联到一个具体的可用区（AZ）。用于放置不同安全等级的资源。路由表：控制VPC内流量走向的“交通规则”。默认路由表已包含本地路由（VPC内互通）和公网路由（通过网关）。公网网关（InternetGateway）：VPC与互联网之间的出口，为实例提供公网访问能力。公/私网子网设计：公网子网：路由表中包含指向公网网关的路由（如0.0.0.0/0->igw-xxx），其中的ECS可分配公网IP，直接与互联网通信。私网子网：路由表不包含公网路由，其中的ECS（如数据库）无法被公网直接访问，只能与同VPC内的其他资源通信，安全性高。网段规划原则：VPC网段：推荐使用192.168.0.0/16、172.16.0.0/12或10.0.0.0/8。子网网段：必须是VPC网段的子集，且不能重叠。常用/24（251个可用IP）。三、技能实训（45分钟）任务：构建安全隔离的企业VPC网络规划（10分钟）：VPC网段：192.168.0.0/16公网子网（Web服务器区）：名称：Public-Subnet-AZG可用区：华东1可用区G网段：192.168.1.0/24私网子网（数据库区）：名称：Private-Subnet-AZH可用区：华东1可用区H网段：192.168.2.0/24创建VPC与交换机（25分钟）：创建VPC：进入VPC控制台→“专有网络”→“创建专有网络”。名称：My-Enterprise-VPCIPv4网段：192.168.0.0/16（系统会自动创建一个默认交换机和路由表）删除默认交换机（可选，保持环境整洁）。创建自定义交换机：先创建Public-Subnet-AZG(192.168.1.0/24,AZ-G)再创建Private-Subnet-AZH(192.168.2.0/24,AZ-H)（演示）配置自定义路由（10分钟）：场景：假设我们需要将发往10.0.0.0/8的流量导向一台自建的NAT网关实例。操作：在VPC的路由表中，添加一条自定义路由：目标网段：10.0.0.0/8下一跳类型：ECS实例下一跳：选择NAT网关实例ID。强调：此步骤为进阶内容，本次实训以理解为主。四、总结评价与拓展延伸（10分钟）成果验收：检查学生是否成功创建了VPC和两个规划好的交换机。提问：为什么数据库服务器要放在私网子网里？知识梳理：VPC=私有网络：安全隔离的基石。交换机=子网：公/私分区的关键。路由表=