华为云服务应用与项目实践实验指导书 5云上跨区域安全部署企业网站

云上跨区域安全部署企业网站TIME\@"yyyy-M-d"2026-2-26第页云上跨区域安全部署企业网站建议学时：6学时实验任务任务描述随着企业数字化转型加速，业务系统逐步迁移至云端，同一区域的业务，因为业务需求发生变化，原来隔离的业务系统现在需要互相访问。同时不同区域的业务系统（如总公司和分公司）需要安全、高效的网络互联，同时确保敏感数据传输的机密性。此外，企业内部私有子网需要可控地访问公网资源，而部分业务服务（如Web应用）需安全地对外暴露。为解决这些问题，本项目基于VPC对等连接、VPN、NAT网关构建跨VPC、跨区域安全互联架构，实现以下功能。（1）同一区域业务系统跨VPC的安全互联。（2）跨区域总公司与分公司之间需要数据加密传输。（3）私有子网安全访问公网及服务发布。学习目标完成本任务的学习后，你应当能：掌握VPC对等连接技术、跨VPC安全内网互通配置，包括路由规则和安全组设置，实现业务系统高效互联；掌握VPN网关、对端网关配置及加密隧道建立，确保跨区域数据传输安全可靠；通过SNAT和DNAT实现私有子网安全访问公网及业务服务对外发布，优化网络资源管理；具备基于云网络服务构建跨VPC、跨区域安全互联架构的实践经验。

任务准备前置知识本实验需要提前学习云计算基础、网络基础知识、华为云服务基础知识、Linux操作系统基础的相关知识。可通过如下途径进行学习：云计算基础知识核心概念：理解云计算按需自助服务、弹性伸缩、资源池化和按使用量计费的基本特征，掌握IaaS、PaaS、SaaS三种服务模型的区别与应用场景。网络基础知识VPC概念：理解虚拟私有云的网络隔离原理，了解子网、网段、路由表等基本概念。安全组概念：理解安全组的访问控制原理，了解入方向规则和出方向规则的区别与应用。对等连接概念：理解VPC对等连接的原理，了解路由配置、跨VPC通信等核心概念。VPN概念：理解虚拟专用网络的原理，了解网关、隧道、加密等核心概念。NAT概念：理解网络地址转换的原理，了解SNAT、DNAT、公网网关等核心概念。华为云服务基础知识服务生态：熟悉华为云VPC、ECS、对等连接、VPN、NAT等核心服务的功能定位和应用场景，理解各服务间的关联关系和数据流向。控制台操作：掌握华为云控制台的基本操作。Linux操作系统基础知识基本命令：熟练掌握文件管理（ls、cp、mv、rm）、目录操作（cd、pwd）、权限管理（chmod、chown）、解压命令（unzip）等常用命令。系统管理：了解软件包管理（yum/dnf）、服务管理（systemctl）等基础系统管理操作，掌握SSH远程连接的配置与使用。实验环境准备本实验需要在华为云平台上搭建完整的跨VPC、跨区域安全互联架构环境。华为云提供的一站式云计算服务为网络互联和安全管控提供了强大的基础设施和便捷的管理工具。本实验环境准备主要包括华为云基础服务的开通与配置、网站程序的准备。通过系统性的环境搭建，确保后续的网络互联和安全配置能够在稳定可靠的云端环境中顺利进行。基础环境配置：本实验基于华为云平台进行，具体环境要求如下：已注册并实名认证的华为云账号准备SSH客户端工具（如Xshell、MobaXterm等）用于远程连接ECS准备网站程序包（如food.zip）云服务安装软件：实验需要安装的主要软件包包括：Web服务器：ApacheHTTP解压工具：unzip用于解压视频程序包任务实施实验要点：VPC规划与创建：设计多个私有网络地址空间，确保云上资源安全隔离。安全组规则配置：为云服务器配置安全组策略，保障系统安全。VPC对等连接配置：创建对等连接并添加路由规则，实现同一区域跨VPC安全互联。VPN网关配置：创建VPN网关、对端网关和VPN连接，实现跨区域数据加密传输。NAT网关配置：创建NAT网关并配置SNAT和DNAT规则，实现公网访问控制和服务发布关键步骤：任务5.1跨VPC安全互联企业不同业务（1）根据业务需求创建VPC。①打开华为云官网，登录华为云账号，单击控制台，选择“华南--广州”区域，在服务列表中的网络服务选择“虚拟私有云VPC”，单击“创建虚拟私有云”按钮，配置信息如表1所示。表1vpc-web的配置信息配置项配置值区域华南-广州名称vpc-webIPV4网段/16子网名称subnet-web子网IPV4网段/24②同样的方法，创建vpc-test虚拟私有云，配置信息如表2所示。表2vpc-test的配置信息配置项配置值区域华南-广州名称vpc-testIPV4网段/16子网名称subnet-test子网IPV4网段/24③创建成功后，操作结果如图1所示。图1成功创建VPC（2）创建安全组。①进入虚拟私有云，选择“访问控制”—“安全组”，在新打开的界面右上角，再单击“创建安全组”按钮，基本配置信息如表3所示。表3安全组配置信息表配置项配置值区域华南-广州名称sg-web②根据业务需求，在入方向规则快速添加规则，配置信息如图2所示。图2快速添加安全组规则③创建成功后，操作结果如图3所示。图3成功创建安全组（3）创建ECS。①华为云控制台，选择“所有服务”—“计算”—“弹性云服务器ECS”，单击“弹性云服务器ECS”，在新打开的界面右上角，再单击“购买弹性云服务器”按钮，自定义配置信息如表4所示。表4ecs-web弹性云服务器配置信息表配置项配置值计算模式按需计费区域华南-广州可用区自定义CPUl架构X86计算实例规格通用计算型x1.2u.4g公共镜像openEuler22.0364bit(10GiB)系统盘超高IO40G虚拟私有云vpc-web安全组sg-web弹生公网IP暂不购买云服务器名称ecs-web密码符合密码复杂性要求数量1②同样的方法，创建ecs-test服务器，配置信息如表5所示。表5ecs-test弹性云服务器配置信息表配置项配置值计算模式按需计费区域华南-广州可用区自定义CPUl架构X86计算实例规格通用计算型x1.2u.4g公共镜像openEuler22.0364bit(10GiB)系统盘超高IO40G虚拟私有云vpc-test安全组sg-web弹生公网IP暂不购买云服务器名称ecs-test密码符合密码复杂性要求数量1③购买成功后，操作结果如图4所示。图4成功购买弹性云服务器图5-5图5-5测试两台服务器的网络连通性（5）由于业务需求发生了变化，测试服务器需要访问业务服务器，由于两台服务器位于不同VPC中，因此通过配置对等连接，实现网络相通。①在华为云控制台，选择“所有服务”—“网络”—“虚拟私有云VPC”，在新打开的界面的左侧，单击“对等连接”按钮，在页面右上角，单击“创建对等连接”按钮，进行对等连接配置，配置信息如表6所示。表6对等连接配置信息表配置项配置值计算模式按需计费区域华南-广州对等连接名称自定义本端VPCvpc-web账户当前账户对端项目Cn-south-1对端VPCvpc-test②创建成功，如图6所示。图6成功创建对等连接③在VPC对等连接创建完成后在对等连接详情页面下方区域，，单击“添加路由”按钮，弹出对等连接的“添加路由”对话框，配置信息如表7所示。表7对等连接添加路由信息表配置项配置值本端虚拟私有云vpc-web路由表选择vpc-web的路由表目的地址/24下一跳地址默认添加另一端VPC的路由选项勾选该选项对端虚拟私有云vpc-test路由表选择vpc-test的路由表目的地址/24下一跳地址默认④单击“确定”按钮，结果如图7所示，说明添加路由成功。图7成功添加路由⑤再次登录两台服务器，测试两台服务器的网络连通性，结果如图8所示，显示两台ECS网络相通，说明实现互相访问需求。图8两台服务器网络相通任务5.2跨区域安全互联企业业务通过VPN网关实现广州区域服务器和上海区域服务器数据加密传输。（1）根据业务需求创建VPC。①打开华为云官网，登录华为云账号，单击控制台选择“华东—上海一”区域，在服务列表中的网络服务选择“虚拟私有云VPC”，单击“创建虚拟私有云”按钮，配置信息如表8所示。表8VPC的配置信息表配置项配置值区域华东—上海一名称vpc-foodIPV4网段/16子网名称subnet-food子网IPV4网段/24②创建成功后，操作结果如图9所示。图9成功创建VPC（2）创建安全组。①进入虚拟私有云，选择“访问控制”—“安全组”，在新打开的界面右上角，再单击“创建安全组”按钮，基本配置信息如表9所示。表9安全组配置信息表配置项配置值区域华东—上海一名称sg-web②根据业务需求，在入方向规则快速添加规则，配置信息如图10所示。③创建成功后，操作结果如图11所示。图10快速添加安全组规则图11成功创建安全组（3）创建ECS。①华为云控制台，选择“所有服务”—“计算”—“弹性云服务器ECS”，单击“弹性云服务器ECS”，在新打开的界面右上角，再单击“购买弹性云服务器”按钮，自定义配置信息如表10所示。表10弹性云服务器配置信息表配置项配置值计算模式按需计费区域华东—上海一可用区自定义CPUl架构X86计算实例规格通用计算型x1.2u.4g公共镜像openEuler22.0364bit(10GiB)系统盘超高IO40G虚拟私有云vpc-food安全组sg-web弹生公网IP暂不购买云服务器名称ecs-food密码符合密码复杂性要求数量1②购买成功后，结果如图12所示。图12成功创建弹性云服务器（4）在华南—广州区域创建站点入云VPN。①在华为云平台，选择“所有服务”—“网络”—“虚拟专用网络VPN”，在新打开的页面右上角，单击“创建站点入云VPN”按钮，自定义配置信息如表11所示。表11广州区域创建站点入云VPN配置信息表配置项配置值计算模式按需计费区域华南—广州名称自定义网络类型公网关联模式虚拟私有云虚拟私有云Vpc-web互联子网subnet-web本地子网subnet-web规格基础型可用区通用可用区HA模式双活主EIP现在创建弹性公网IP类型全动态BGP公网带宽按流量计费带宽大小100Mbit/s带宽名称自定义主EIP2现在创建弹性公网IP类型全动态BGP公网带宽按流量计费带宽大小100Mbit/s带宽名称自定义②单击“立即购买”按钮，确认信息无误后，单击“提交”按钮，创建成功如图13所示。图13成功创建站点入云VPN网关（5）在华东—上海区域创建站点入云VPN。①操作方法如广州区域操作一致，自定义信息如表12所示。表12上海区域创建站点入云VPN配置信息表配置项配置值计算模式按需计费区域华东—上海一名称自定义网络类型公网关联模式虚拟私有云虚拟私有云Vpc-food互联子网subnet-food本地子网subnet-food规格基础型可用区通用可用区HA模式双活主EIP现在创建弹性公网IP类型全动态BGP公网带宽按流量计费带宽大小100Mbit/s带宽名称自定义主EIP2现在创建弹性公网IP类型全动态BGP公网带宽按流量计费带宽大小100Mbit/s图14图14上海区域成功创建站点入云VPN网关②单击“立即购买”按钮，确认信息无误后，单击“提交”按钮，创建成功如图14所示。（6）在广州区域创建对端网关。①选择虚拟专用网络下面的“企业版-对端网关”，单击“创建对端网关”按钮，在新打开的页面中，配置对端网关的基本信息，自定义信息如表13所示。表13创建对端网关1配置信息表配置项配置值名称自定义标识IPAddressIPAddress信息华东—上海一的主EIP其他信息默认②同样的方法，创建第2个对网关，自定义信息如表14所示。表14创建对端网关2配置信息表配置项配置值名称自定义标识IPAddressIPAddress信息华东—上海一的主EIP2其他信息默认③单击“立即创建”按钮，创建成功如图15所示。图15广州区域成功创建对端网关（7）在上海区域创建对端网关。①选择在虚拟专用网络下面的“企业版-对端网关”，单击“创建对端网关”，在新打开的页面中，配置对端网关的基本信息，自定义信息如表15所示。表15上海区域创建对端网关1配置信息表配置项配置值名称自定义标识IPAddressIPAddress信息华南—广州的主EIP其他信息默认②同样的方法，创建第2个对网关，自定义信息如表16所示。表16上海区域创建对端网关2配置信息表配置项配置值名称自定义标识IPAddressIPAddress信息华南—广州的主EIP2其他信息默认③单击“立即创建”按钮，创建成功如图16所示。图16上海区域成功创建对端网关（8）广州区域创建VPN连接。①选择在虚拟专用网络下面的“企业版-VPN连接”，，单击“创建VPN连接”按钮，在新打开的页面中，配置VPN连接的基本信息，自定义信息如表17所示。表17VPN连接配置信息表配置项配置值名称自定义VPN网关选择已有的广州vpn网关连接1网关IP广州的主EIP连接1对端网关IP上海的主EIP连接2网关IP广州的主EIP2连接2对端网关IP上海的主EIP2连接模式静态路由模式对端子网填写subnet-food的子网段接口地址分配方式自动分配检测机制默认预共享密钥符合密码复杂性要求确认密钥与预共享密钥一致策略配置默认配置连接2配置开启与连接1保持一致按钮②单击“立即购买”按钮，确认信息无误后，单击“提交”按钮，创建成功如图17所示。图17广州区域成功创建VPN连接（9）上海区域创建VPN连接。①在虚拟专用网络下面，单击“创建VPN连接”按钮，在新打开的页面中，配置VPN连接的基本信息，自定义信息如表18所示。表18上海区域创建VPN连接配置信息表配置项配置值名称自定义VPN网关选择已有的上海vpn网关连接1网关IP上海的主EIP连接1对端网关IP广州的主EIP连接2网关IP上海的主EIP2连接2对端网关IP广州的主EIP2连接模式静态路由模式对端子网填写subnet-web的子网段接口地址分配方式自动分配检测机制默认预共享密钥符合密码复杂性要求确认密钥与预共享密钥一致策略配置默认配置连接2配置开启与连接1保持一致按钮②单击“立即购买”按钮，确认信息无误后，单击“提交”按钮，创建成功如图18所示。图18上海区域成功创建VPN连接（10）分别登录ecs-web与ecs-food服务器，并测试ecs-web与ecs-food服务器的网络连通性，如图19所示，说明双方网络相通，可以实现数据加密传输。图19测试两区域服务器连通性任务5.3NAT网关实现公网访问控制（1）创建EIP。单击“所有服务”—“网络”—“弹性公网IPEIP”，在新打开的界面右上角，再单击“购买弹性公网IP”按钮，购买成功如图20所示。图20创建EIP（2）购买公网NAT网关。①华为云控制台，选择“所有服务”—“网络”—“NAT网关NAT”，在新打开的界面右上角，单击“购买公网NAT网关”按钮，在新打开的页面中，配置购买公网NAT网关的基本信息，自定义信息如表19所示。表19购买公网NAT网关配置信息表配置项配置值区域华东-上海一计费模式按需计费规格小型命名自定义虚拟私有云Vpc-food子网Subnet-food②单击“立即购买”按钮，确认信息无误后，单击“提交”按钮，创建成功如图21所示。图21成功购买公网NAT网关（3）添加SNAT规则。①在NAT网关列表中，在页面右边，单击“设置规则”按钮，在新打开的界面，单击SNAT规则菜单，再单击“添加SNAT规则”按钮，配置SNAT规则，规则配置自定义信息如表20所示。表20添加SNAT规则配置信息表配置项配置值使用场景虚拟私有云网段使用已有，选择subnet-food公网IP类型弹性公网IP，并选择已有的公网IP其他选项默认②单击“确定”按钮，配置规则如图22所示。图22成功添加SNAT规则（4）配置ecs-food服务器。①远程登录到ecs-food服务器中，通过以下命令安装Web软件，启动服务和使能服务，下载成功如图23所示，说明ecs-food服务器能通过NAT网关的EIP访问外网。yuminstall-yhttpdsystemctlrestarthttpdsystemctlenablehttpd②上传网站内容到当前目录下，上传成功后，通过以下命令解压网站，并把网站内容复制到/var/www/html目录下，并进行授权操作，结果如图24所示。unzipfood.zipcp-a./*/var/www/htmlchmod755/var/www/html图23安装Web软件图24复制与授权/var/www/html目录③打开浏览器，输入：http://NAT网关的EIP/，访问网站，结果显示访问不