使用腾讯云VPC提供安全私有网络并进行访问控制教程

云计算分享家

（注：如果文中图片太小看不清，可以点击放大）

在企业上云的过程中，监管人员在网络访问安全性方面仍然存在疑虑。同时在业务层面上，对于进出子网的流量，有必要进行更精确的控制。腾讯云CVM可接入腾讯云VPC私有网络，并对ACL进行配置，从而保证网络的私密性及访问的安全性。

在本实验中，我们将通过自定义镜像，把创建的基于腾讯云CVM的Discuz！论坛接入VPC私有网络，并将论坛数据库放置到云数据库MySQL中。最后通过配置ACL控制进出子网的数据流，从而获得私有且安全的云上网络空间。

1.2 课前知识准备

1.相关概念

a)   腾讯云服务器CVM：CVM（Cloud Virtual Machine，CVM）是腾讯云推出的弹性计算服务。CVM有管理简单、稳定可靠、配置多样化等特点，随着业务需求的变化，您可以实时扩展或缩减计算资源。CVM 支持按实际使用的资源计费，可以为您节约计算成本。使用 CVM 可以极大降低您的软硬件采购成本，简化 IT 运维工作。

b）镜像：腾讯云镜像提供启动云服务器实例所需的所有信息。指定需要的镜像后可以从该镜像启动所需任意数量的实例，也可以根据需要从任意多个不同的镜像启动实例。通俗的说，镜像就是云服务器的“装机盘”。

c）私有网络VPC：私有网络（Virtual Private Cloud，VPC）是基于腾讯云构建的专属云上网络空间，为您在腾讯云上的资源提供网络服务，不同私有网络间完全逻辑隔离。您可以自定义网络环境、路由表、安全策略等；同时，私有网络支持多种方式连接 Internet、连接其他 VPC、连接您的本地数据中心，助力您轻松部署云上网络。

d）网络访问控制列表ACL：ACL（Access Control List，ACL）是一种子网级别的可选安全层，用于控制进出子网的数据流，可以精确到协议和端口粒度。

e）云数据库MySQL：云数据库 MySQL（TencentDB for MySQL）让用户可以轻松在云端部署、使用 MySQL 数据库。通过云数据库 MySQL，您在几分钟内即可部署可扩展的 MySQL 数据库实例，不仅经济实惠，而且可以弹性调整硬件容量的大小而无需停机。云数据库 MySQL 提供备份回档、监控、快速扩容、数据传输等数据库运维全套解决方案，为您简化 IT 运维工作，更加专注于业务发展。

f）Discuz！：一套通用的社区论坛软件系统，是全球成熟度最高、覆盖率最大的论坛软件系统之一。用户可以在不需要任何编程的基础上，通过简单的设置和安装，在互联网上搭建起具备完善功能、很强负载能力和可高度定制的论坛服务。Discuz! 的基础架构采用世界上最流行的web编程组合PHP+MySQL实现，是一个经过完善设计，适用于各种服务器环境的高效论坛系统解决方案。

2. 实验环境2.1 实验组网介绍

2.2 实验的数据规划表

数据项	数据	说明
腾讯云账号	账号：XXXXXXXXX，密码：XXXXXXXXXX	涉及产品：云服务器CVM、私有网络VPC、云数据库MySQL、弹性IP

​
2.3 实验配置表

购买产品	规格
腾讯云CVM	1核2GB
腾讯云VPC	地域：广州
腾讯云数据库MySQL	MySQL 5.6
弹性IP	地域：广州

​
2.4 实验操作环境

本实验要求：

• 运行Microsoft Windows，可以接入互联网的笔记本电脑或者台式机
• Internet浏览器，例如Chrome、IE或Firefox
• 能够通过浏览器连接腾讯云官网https://cloud.tencent.com
• SSH客户端（如PuTTY）
  

3. 实验流程

4. 实验目标

完成本实验后，您将能够：

• 创建私有网络
• 初始化子网和路由表
• 新建路由表并关联子网
• Default-VPC网络实例迁移至私有网络
• 创建云数据库MySQL
• 搭建Discuz！论坛
• 创建网络ACL
• 增加网络ACL规则
• 子网关联网络ACL
  

通过该实验，学员能够掌握腾讯云私有网络的基本配置，完成云数据库的创建和论坛搭建，并能通过ACL对网络访问进行基本的访问控制。

5. 实验步骤任务1：为CVM创建并配置私有网络

10min ~ 15min

【任务目标】

在腾讯云VPC上创建私有网络，并对路由表、子网等进行配置。

【任务步骤】

1.登录腾讯云控制台：https://cloud.tencent.com

2.点击【云产品】，选择【私有网络】

3.点击【新建】，弹出【新建VPC】界面

【1.私有网络信息】

• 【名称】输入“Lab2-VPC01”
• 【IPv4 CIDR】输入私有网络的网段“10.0.0.0/16”
  

【2.初始子网信息】

• 【子网名称】输入“Lab2-Subnet01”
• 【IPv4 CIDR】输入“10.0.0.0/24”
• 【可用区】选择“广州四区”
  

点击【创建】。

4.在【私有网络】控制台左侧菜单栏中选择【子网】，点击【新建】，在Lab2-VPC01下新建第二个子网。

• 【所属网络】选择上面创建的Lab2-VPC01
• 【子网名称】输入“Lab2-Subnet02”
• 【CIDR】输入“10.0.1.0/24”
• 【可用区】选择“广州四区”
• 【关联路由表】可选择“默认路由表”，后面再创建路由表进行替换。
  

点击【创建】。

5.在【私有网络】控制台左侧菜单栏中选择【路由表】，点击【新建】，进入创建路由表页面。

• 【名称】输入“Lab2-RT”
• 【所属网络】选择上面创建的Lab2-VPC01
• 【路由策略】保持默认，默认情况下，表示VPC内云服务器网络互通
• 删除下面多余的一行策略，只保留一条策略。
  

点击【创建】。

6.路由表创建成功后，会弹出关联子网的提示框，点击【确定】。

7.选择刚刚创建的两个子网“Lab2-Subnet01”和“Lab2-Subnet02”，点击确定。

也可以在子网界面，找到相应子网，点击【更换路由表】。

在弹出的【更换路由表】窗口中选择刚才创建好的路由表，完成路由表的更换。

任务2：Default-VPC内实例迁移至私有网络

10min ~ 15min

【任务目标】

通过创建自定义镜像，将Default-VPC的云服务器实例迁移至VPC私有网络。

【任务步骤】

1.进入【云服务器】管理控制台，选择一个在Default-VPC且为Discuz！论坛镜像的云服务器。如果没有云服务器运行，可参考“使用腾讯云服务器搭建产品讨论区”实验创建一个带Discuz！镜像的CVM。

2.在CVM的信息栏中展开【更多】-【实例状态】，点击【关机】。

3.在弹出窗口中选择【关机】-【保留实例并继续收费】，点击【确定】。

4.等待服务器关机完成后，点击【更多】-【制作镜像】。

5.【镜像名称】输入“Lab2-ImageCVM”。点击【制作镜像】。

制作好的镜像可以点击【云服务器】控制台左侧菜单栏的【镜像】-【自定义镜像】查看。

等待镜像创建完成后，我们通过任务1创建的子网来创建CVM。

6.在【私有网络】控制台，左侧菜单栏选择【子网】，找到之前创建的“Lab2-Subnet01”，点击【云服务器】后面的“添加图标”。

7.购买云服务器CVM，使用刚才创建的自定义镜像。

【1.选择机型】

• 【计费模式】选择“按量计费”
• 【地域】和【可用区】更换与先前CVM不同的可用区。
• 【网络】确认已选“私有网络”，为任务1创建的Lab2-VPC01和Lab2-Subnet01;
• 【实例】选择“标准型S5，1核2GB”
  

• 【镜像】选择“自定义镜像”，选择刚刚创建的“Lab2-ImageCVM”镜像。
• 【系统盘】选择“高性能云硬盘”，默认50GB
• 【数据盘】不做任何操作
• 【定期快照】不做任何操作
• 【公网带宽】勾选“免费分配独立公网IP”，选择“按使用流量”。带宽上限选择“1Mbps”
  

点击【下一步：设置主机】

【2.设置安全组和主机】

• 【所属项目】选择“默认项目”
• 【安全组】选择“新建安全组”，勾选全部选项，即放通22、80、443、3389端口和ICMP协议。
  

• 【实例名称】输入“Lab2-CVM02”
• 【登录方式】选择“保留镜像设置”
• 勾选【安全加固】、【云监控】免费开通，【定时销毁】不勾选
  

点击【下一步：确认配置信息】

【3.确认配置信息】

确定信息无误后点击【开通】

8.待CVM创建成功，先前位于Default-VPC中的CVM已经完整地迁移到私有网络的子网中。可登录新创建的CVM查看信息和设置是否与先前的CVM一致。

先前创建的CVM是Discuz！论坛，那么新的CVM也应为Discuz！论坛。在外网中尝试使用CVM的公网IP访问论坛，如可看到如下页面，表示访问论坛成功。

旧CVM界面

新CVM界面

9.确认一致后，销毁旧服务器。登陆到【云服务器】管理控制台，找到旧服务器，然后展开【更多】-【实例状态】-【销毁/退还】

10.在弹出的销毁窗口中选择【立即销毁】和【立即释放】。点击【下一步】。

最后点击【确定】，确定销毁。

任务3：申请弹性公网IP

5min ~ 10min

【任务目标】

申请弹性公网IP，并将它绑定到CVM上。

【任务步骤】

1.登陆到【云服务器】管理控制台，在左侧菜单栏选择【弹性公网IP】。建议选择和CVM同样的地区，如广州，点击【申请】。

2.弹出框中保持默认设置，点击【确定】。

3.申请完毕后，点击【更多】-【绑定】。

4.在弹出窗口中选择刚才创建的CVM，点击【确定】。

5.再次点击【确定】确认绑定。

6.绑定成功后，可在【弹性公网IP】管理控制台查看绑定的CVM，管理弹性公网IP。

也可以在云服务器管理控制台查看该云服务器的挂载情况。

任务4：创建云数据库并搭建论坛

10min ~ 15min

【任务目标】

在腾讯云上创建一个云数据库，并完成Discuz！论坛的搭建，将论坛搭建在云数据库中。

【任务步骤】

1.登录【云数据库 MySQL】控制台，选择【MySQL】-【实例列表】，点击【新建】。

2.新建MySQL数据库

• 【计费模式】选择“按量计费”
• 【地域】选择与CVM相同的地域，如“广州”
• 【数据库版本】选择“MySQL 5.6”
• 【架构】默认“高可用版”
• 【主可用区】选择与CVM相同的可用区，如“广州四区”
• 【实例规格】选择“1核1000MB”
  

• 【硬盘】输入“25GB”
• 【网络】选择“Lab2-VPC01”和子网“Lab2-Subnet01”
• 【安全组】选择“放通全部端口”。如没有此安全组，请参考“使用腾讯云服务器搭建产品讨论区”实验创建新的安全组。
• 【指定项目】选择“默认项目”
• 【实例名】选择“立即命名”，输入“Lab2-MySQL”
  

确认信息无误后，勾选“我已阅读并同意《云数据库服务条款》”。点击【立即购买】。

3.回到【云数据库 MySQL】控制台，找到刚刚创建的数据库实例，等待云数据库发货完成后，点击【初始化】，进入初始化配置。

• 【支持字符集】选择“UTF8”
• 默认勾选【表名大小写敏感】
• 【自定义端口】默认“3306”
• 【设置root账号密码】输入符合复杂性要求的数据库密码
• 【确认密码】确认数据库密码
  

点击【确定】

在弹出窗口再次点击【确定】开始初始化。

可在【任务列表】页查看初始化进度

等待数据库初始化完成后，我们开始配置并安装Discuz！

4.复制任务3创建的弹性IP（即CVM的IP）到浏览器打开，出现Dizcuz！的安装界面。点击【我同意】进入安装。

5.第一步，在【检查安装环境】确保所有检查项目通过，即可点击【下一步】。

6.第二步，在【设置运行环境】中，选择【全新安装Discuz！X（含UCenter Server）】然后点击【下一步】。

7.第三步，【创建数据库】

• 【数据库服务器】填写云数据库MySQL服务器的内网IP地址
• 【数据库名】保持默认“discuz”
• 【数据库用户名】为“root”
• 【数据库密码】输入刚刚设置的云数据库密码
• 【数据库前缀】和【系统信箱Email】保持默认
• 【管理员账号】默认“admin”
• 【管理员密码】设置Discuz！论坛的管理员密码
• 【重复密码】确认Discuz！管理员密码
• 【管理员Email】保持默认
  

点击【下一步】。

8.等待安装完成，出现下面的页面，点击右下角访问论坛。

论坛访问成功，实验成功。

任务5：为主机网络配置ACL进行访问控制

5min ~ 10min

【任务目标】

在腾讯云上配置ACL访问控制列表，对论坛讨论区CVM访问进行控制。

【任务步骤】

1.创建ACL。在【私有网络】控制台在左侧菜单栏选择【安全】-【网络ACL】，点击【新建】。

2.【名称】输入“Lab2-ACL”，【所属网络】选择“Lab2-VPC01”。点击【确定】。

3.接下来我们增加网络ACL规则。点击刚刚创建的ACL，选择【入站规则】，点击【编辑】。

4.在编辑状态下，点击【新增一行】，新增的规则会默认加入规则列表的首行。

• 【协议类型】为“All Traffic”
• 【源IP】为“0.0.0.0/0”
• 【策略】选择“允许”
  

点击【保存】按钮，新增的规则即会显示在 ACL 规则列表中。

5.接下来我们将子网关联网络ACL，点击【基本信息】选项卡，在【关联子网】部分点击【+新增关联】按钮。

6.在弹出框中，选择需要关联的本私有网络下的子网，这里选择“Lab2-Subnet01”，点击【确定】按钮，即可成功关联子网。

此时，如果通过外网访问Discuz！论坛，访问不成功。

7.选择【出站规则】，点击【编辑】。

8.在编辑状态下，点击【新增一行】，新增的规则会默认加入规则列表的首行。

• 【协议类型】为“All Traffic”
• 【源IP】为“0.0.0.0/0”
• 【策略】选择“允许”
  

点击【保存】按钮，此时我们允许任何流量出站。

再次通过外网访问Discuz！论坛，访问成功。

6. 实验验证

【任务2验证】新的服务器与旧服务器配置一致，网络迁移至“Lab2-VPC01”，且能正常访问Discuz！论坛安装程序。

【任务3验证】配置弹性IP后，打开浏览器，使用弹性IP访问论坛，可以访问到Discuz！论坛安装程序。

【任务4验证】在Discuz！论坛正常安装且能访问。在云数据库控制台可以看到创建的表单。

【任务5验证】修改ACL的出站规则和入站规则，Discuz！论坛相应可访问或不可访问。

建议继续完成关联实验迁移数据到腾讯云存储&云数据库（该实验会用到本实验的环境资源和结果）

7. FAQ

1.为什么无法将创建好的云服务器绑定到某个子网？

待绑定的云服务器需要跟该子网在同一可用区内。

2.安装Discuz时报如下错误，该如何处理？

run_sql_error Can not connect to MySQL server.Error: Connection time outErrno: 2002

• 登陆云数据库控制台，确认实例是否已经开启。
• 检测CVM到数据库的IP地址是否可达。确认数据库安全组是否为“放通全部端口”。
• 确认数据库版本是否选择错误。