另外，经典网络也不利于隐藏服务器细节，不安全。

部署图

使用阿里云创建的基于专网的服务器如下图：

阿里云专网服务器部署拓扑

部署方法说明

主要步骤是：

• 创建专有网络VPC，我选择的是10.0.0.0网络
• 路由器不需要创建，创建专网会默认自带
• 创建交换机，设置子网，这里是10.0.1.0
• 在交换机下创建ECS，并且设置网络带宽为0，这样不会分配公网IP，因此无法直接访问外网
  • 创建多个web服务器ESC
  • 创建一个最低配置的ESC，目的是用于控制其他服务器，比如接受外网SSH登录，安装docker-machine控制其他内网服务器等
• 创建NAT网关，创建好之后在NAT网关下设置：
  • 购买1个带宽包
    • 没有带宽包就访问不了外网
    • 购买带宽包，同时要在该带宽包里购买2个公网ip地址，默认只购买1个
  • 设置SNAT，指定到上面创建的交换机，目的是让该交换机下所有主机都能访问外网，这里要使用带宽包中的1个ip地址
  • 设置NAT，将另一个带宽包ip地址的22端口，指向到上面创建的控制服务器
• 创建负载均衡器，类型是公网，然后加入所有的Web服务器

主要目的

方案的主要目的是：

• 外网不能直接访问内网的业务服务器，这里指的是Web服务器
• 外网要通过登录控制服务器，再从控制服务器访问内网服务器
• 内网所有服务器，通过统一的NAT网关访问外网
• 用户通过负载均衡器访问内网要暴露的服务

后续要以这个方案为基础，构建基于docker swarm mode的容器集群服务。

构建阿里云专网下的生产环境，首发于服务器安全维护工作室。