如何通过F5分布式云快速在亚马逊云科技构建EdgeSecur

　　亚马逊云科技VPC站点部署类型
　　可以以三种不同的模式部署站点：
　　1hrIngressGateway（一个接口）
　　在这种部署模式下，站点连接到单个VPC和单个子网。它可以提供从该子网到客户租户中配置的任何其他站点可访问的服务和端点的发现。
　　2hrIngressEgressGateway（两个接口）
　　在这种部署模式下，站点连接到一个VPC，在不同的子网上至少有两个接口。一个子网标记为Outside，另一个子网标记为Inside。在这种模式下，站点通过SiteInside接口通过默认网关为VM和子网提供安全性和连接性。
　　3hrF5分布式云应用堆栈集群（AppStack）（一个接口）
　　本站点的F5分布式云网格（Mesh）部署和配置与IngressGateway（一个接口）相同。此部署的不同之处在于认证硬件类型为awsbyolvoltstackcombo。这将配置和部署一个实例类型，允许站点拥有KubernetesPod和使用VirtualK8s部署的VM。
　　VirtualK8s：https：docs。cloud。f5。comdocshowtoappmanagementvk8sdeployment
　　入口网关（一个接口）
　　在这种部署模式下，F5分布式云网格（Mesh）需要附加一个接口。在节点上运行的服务使用此接口连接到Internet。此外，此接口用于发现其他服务和虚拟机，并将它们公开给同一租户中的其他站点。例如，在下图中，可以通过反向代理远程发现和公开DevOps或DevEC2实例上的TCP或HTTP服务。
　　如下图所示，该接口位于与默认路由指向互联网网关的VPC主路由表关联的外部子网上。这就是来自外部接口的流量以及与此路由表对象关联的其他子网如何到达互联网的方式。对于其他子网（例如，Dev和DevOps），它们与VPC主路由表相关联。这意味着此VPC中任何新创建的子网都会自动与此路由表关联。
　　图：亚马逊云科技VPC站点部署入口网关（一个接口）
　　入口出口网关（两个接口）
　　在此部署场景中，Mesh节点需要连接两个接口。第一个接口是外部接口，节点上运行的服务可以通过该接口连接到互联网。第二个接口是内部接口，它将成为私有子网中所有应用工作负载和服务的默认网关IP地址。
　　如下图所示，外部接口位于外部子网，与外部子网路由表相关联，其默认路由指向互联网网关。这就是来自外部接口的流量如何到达互联网的方式。对于内部子网，这些与内部子网路由表相关联，该路由表也是此VPC的主路由表。这意味着此VPC中任何新创建的子网都会自动与内部子网路由表关联。这个私有子网路由表有一个默认路由指向Mesh节点的内部IP地址（192。168。32。186）。
　　一但Mesh站点上线，节点的内部网络将通过外部接口上启用的转发代理和SNAT连接到外部网络。这样，来自内部接口的所有流量都将通过转发代理转发到Internet，并且SNAT发生在外部接口上。现在私有子网上的所有工作负载都可以通过Mesh站点到达Internet。
　　APPStack集群（一个接口）
　　就站点网络和转发安全的配置方式而言，此方案与IngressGateway（一个接口）相同。除此之外，还提供了AppStack（分布式应用管理平台）。
　　在这种部署场景中，Mesh需要附加一个接口。在节点上运行的服务使用此接口连接到Internet。此外，此接口用于发现其他服务和虚拟机，并将它们公开给同一租户中的其他站点。例如，在下图中，可以通过反向代理远程发现和公开DevOps或DevEC2实例上的TCP或HTTP服务。
　　如果在vK8s集群中进行配置，则可以将应用部署到该站点的AppStack产品中。站点的AppStack的服务pods可以暴露给VPC路由表上的其他服务和虚拟机；或通过EIP（公网IP）或应用交付网络（ADN）在外部提供。
　　如下图所示，该接口位于与默认路由指向互联网网关的VPC主路由表关联的外部子网上。这就是来自外部接口的流量以及与此路由表对象关联的其他子网如何到达Internet。对于其他子网（例如，Dev和DevOps），它们与VPC主路由表相关联。这意味着此VPC中任何新创建的子网都会自动与此路由表关联。
　　先决条件
　　以下先决条件必须满足：F5分布式云服务帐户。如果您没有帐户，请联系F5销售。每个节点所需的资源：至少4个vCPU和14GBRAM。附加现有VPC时，不应存在预先存在的站点本地外部、站点本地内部和工作负载子网关联。如果Internet网关（IGW）与VPC连接，则至少有一个路由应指向VPC的任何路由表中的IGW。亚马逊网络服务（AWS）账户。有关部署AWSVPC站点所需的权限，参见如下：｛Version：20121017，Statement：〔｛Action：〔autoscaling：AttachLoadBalancerTargetGroups，autoscaling：AttachLoadBalancers，autoscaling：CreateAutoScalingGroup，autoscaling：CreateLaunchConfiguration，autoscaling：DeleteAutoScalingGroup，autoscaling：DeleteLaunchConfiguration，autoscaling：DescribeAutoScalingGroups，autoscaling：DescribeLaunchConfigurations，autoscaling：DescribeLoadBalancerTargetGroups，autoscaling：DescribeLoadBalancers，autoscaling：DetachLoadBalancerTargetGroups，autoscaling：DetachLoadBalancers，autoscaling：DisableMetricsCollection，autoscaling：EnableMetricsCollection，autoscaling：ResumeProcesses，autoscaling：SuspendProcesses，autoscaling：UpdateAutoScalingGroup〕，Resource：，Effect：Allow，Sid：AutoScalingPermissions｝，｛Action：〔ec2：AllocateAddress，ec2：AssignPrivateIpAddresses，ec2：AssociateAddress，ec2：AssociateIamInstanceProfile，ec2：AssociateRouteTable，ec2：AssociateSubnetCidrBlock，ec2：AssociateVpcCidrBlock，ec2：AttachInternetGateway，ec2：AttachNetworkInterface，ec2：AuthorizeSecurityGroupEgress，ec2：AuthorizeSecurityGroupIngress，ec2：CreateInternetGateway，ec2：CreateNetworkInterface，ec2：CreateRoute，ec2：CreateRouteTable，ec2：CreateSecurityGroup，ec2：CreateSubnet，ec2：CreateTags，ec2：CreateVpc，ec2：DeleteInternetGateway，ec2：DeleteNetworkInterface，ec2：DeleteRoute，ec2：DeleteRouteTable，ec2：DeleteSecurityGroup，ec2：DeleteSubnet，ec2：DeleteTags，ec2：DeleteVpc，ec2：DescribeAccountAttributes，ec2：DescribeAddresses，ec2：DescribeIamInstanceProfileAssociations，ec2：DescribeImages，ec2：DescribeInstanceAttribute，ec2：DescribeInstanceCreditSpecifications，ec2：DescribeInstances，ec2：DescribeInternetGateways，ec2：DescribeNetworkAcls，ec2：DescribeNetworkInterfaces，ec2：DescribeRouteTables，ec2：DescribeSecurityGroups，ec2：DescribeSubnets，ec2：DescribeTags，ec2：DescribeVolumes，ec2：DescribeVolumesModifications，ec2：DescribeVpcAttribute，ec2：DescribeVpcClassicLink，ec2：DescribeVpcClassicLinkDnsSupport，ec2：DescribeVpcs，ec2：DetachInternetGateway，ec2：DetachNetworkInterface，ec2：DisableVgwRoutePropagation，ec2：DisassociateAddress，ec2：DisassociateIamInstanceProfile，ec2：DisassociateRouteTable，ec2：DisassociateSubnetCidrBlock，ec2：DisassociateVpcCidrBlock，ec2：EnableVgwRoutePropagation，ec2：GetPasswordData，ec2：ModifyInstanceAttribute，ec2：ModifyInstanceCreditSpecification，ec2：ModifyInstanceMetadataOptions，ec2：ModifyNetworkInterfaceAttribute，ec2：ModifySubnetAttribute，ec2：ModifyVolume，ec2：ModifyVpcAttribute，ec2：MonitorInstances，ec2：ReleaseAddress，ec2：ReplaceIamInstanceProfileAssociation，ec2：ReplaceRoute，ec2：ReplaceRouteTableAssociation，ec2：RevokeSecurityGroupEgress，ec2：RevokeSecurityGroupIngress，ec2：RunInstances，ec2：StartInstances，ec2：StopInstances，ec2：TerminateInstances，ec2：UnassignPrivateIpAddresses，ec2：UnmonitorInstances〕，Resource：，Effect：Allow，Sid：EC2Permissions｝，｛Action：〔elasticloadbalancing：AddTags，elasticloadbalancing：CreateListener，elasticloadbalancing：CreateLoadBalancer，elasticloadbalancing：CreateTargetGroup，elasticloadbalancing：DeleteListener，elasticloadbalancing：DeleteLoadBalancer，elasticloadbalancing：DeleteTargetGroup，elasticloadbalancing：DeregisterTargets，elasticloadbalancing：DescribeInstanceHealth，elasticloadbalancing：DescribeListeners，elasticloadbalancing：DescribeLoadBalancerAttributes，elasticloadbalancing：DescribeLoadBalancers，elasticloadbalancing：DescribeTags，elasticloadbalancing：DescribeTargetGroupAttributes，elasticloadbalancing：DescribeTargetGroups，elasticloadbalancing：DescribeTargetHealth，elasticloadbalancing：ModifyListener，elasticloadbalancing：ModifyLoadBalancerAttributes，elasticloadbalancing：ModifyTargetGroup，elasticloadbalancing：ModifyTargetGroupAttributes，elasticloadbalancing：RegisterTargets，elasticloadbalancing：RemoveTags〕，Resource：，Effect：Allow，Sid：ELBPermissions｝，｛Action：〔iam：AddRoleToInstanceProfile，iam：AttachRolePolicy，iam：CreateInstanceProfile，iam：CreatePolicy，iam：CreatePolicyVersion，iam：CreateRole，iam：CreateServiceLinkedRole，iam：DeleteInstanceProfile，iam：DeletePolicy，iam：DeletePolicyVersion，iam：DeleteRole，iam：DeleteRolePermissionsBoundary，iam：DeleteRolePolicy，iam：DetachRolePolicy，iam：GetInstanceProfile，iam：GetPolicy，iam：GetPolicyVersion，iam：GetRole，iam：ListAttachedRolePolicies，iam：ListInstanceProfilesForRole，iam：ListPolicyVersions，iam：ListRolePolicies，iam：PassRole，iam：PutRolePermissionsBoundary，iam：RemoveRoleFromInstanceProfile，iam：TagRole，iam：UpdateAssumeRolePolicy，iam：UpdateRole，iam：UpdateRoleDescription〕，Resource：，Effect：Allow，Sid：IAMPermissions｝〕｝
　　可上下滑动查看全部内容
　　创建一个亚马逊云科技站点使用F5分布式云Console
　　亚马逊云科技VPC站点对象创建和部署包括以下内容：
　　阶段
　　描述
　　创建亚马逊云科技VPC对象
　　使用向导在控制台中创建VPC站点对象。
　　部署站点
　　使用自动化方法部署在VPC对象中配置的站点。
　　创建亚马逊云科技VPC站点对象
　　可以在多种服务中查看和管理站点：CloudandEdgeSites、DistributedApps和LoadBalancers。
　　此示例显示Sites在。AWSCloudandEdgeSites
　　第1步：登录控制台，开始创建亚马逊云科技VPC站点对象。打开控制台并单击CloudandEdgeSites。
　　注意：主页是基于角色的，由于您的角色自定义，您的主页可能看起来不同。选择AllServices下拉菜单以发现所有选项。自定义设置：AdministrationPersonalManagementMyAccountEditworkdomainskillsAdvanced框复选框WorkDomainSavechanges。
　　图：控制台主页
　　注意：确认Namespace功能在左上角的正确命名空间中。并非在所有服务中都可用。
　　单击ManageSiteManagement亚马逊云科技VPCSites。
　　注意：如果选项未显示可用，请选择左下角的Show链接。Advancednavoptionsvisible如果需要，选择Hide从Advancednavoptions模式中最小化选项。
　　单击Add亚马逊云科技VPCSite。
　　图：站点管理亚马逊云科技
　　输入Name，输入Labels和Description根据需要。
　　图：亚马逊云科技站点设置
　　第2步：配置VPC和站点设置
　　在该SiteTypeSelection部分中，执行以下操作：
　　步骤2。1：设置区域并配置VPC亚马逊云科技Region从下拉菜单中选择一个区域。从VPC菜单中选择一个选项：NewVPCParameters：AutogenerateVPCName默认选择该选项。ExistingVPCIDExistingVPCID：在框中输入现有的VPCID。
　　注意：如果您使用的是现有VPC，请enablednshostnames在现有VPC配置中启用该框。
　　在PrimaryIPv4CIDRblock字段中输入CIDR。
　　图：VPC和节点类型配置
　　步骤2。2：设置节点配置。
　　从SelectIngressGatewayorIngressEgressGateway菜单中选择一个选项。
　　配置入口网关。
　　对于IngressGateway（OneInterface）选项：单击Configure。单击AddItem。亚马逊云科技AZName从菜单中选择一个与配置相匹配的选项亚马逊云科技Region。从菜单中选择NewSubnet或。ExistingSubnetIDSubnetforlocalInterface。在中输入子网地址IPv4Subnet，或在中输入子网IDExistingSubnetID。确认子网是上一步中设置的CIDR块的一部分。切换部分并为负载均衡器配置VIP端口，ShowAdvancedFields以AllowedVIPPortConfiguration在多节点站点中的所有节点之间分配流量。从SelectWhichPortswillbeAllowed菜单中选择一个选项：AllowHTTPPort：仅允许端口80。AllowHTTPSPort：仅允许端口443。AllowHTTPHTTPSPort：仅允许端口80和443。默认情况下已填充。PortsAllowedonPublic：允许指定自定义端口或端口范围。在字段中输入端口或端口范围PortsAllowedonPublic。
　　注意：默认情况下亚马逊云科技CertifiedHardware设置为awsbyolvoltmesh。Additem您可以使用该选项添加多个节点。
　　配置入口出口网关。
　　对于IngressEgressGateway（TwoInterface）选项：点击Configure打开双接口节点配置。单击AddItem。亚马逊云科技AZName从菜单中选择一个与配置相匹配的选项亚马逊云科技Region。从WorkloadSubnet菜单中选择一个选项：NewSubnetIPv4Subnet：在字段中输入子网。ExistingSubnetIDExistingSubnetID：在字段中输入子网。
　　注意：工作负载子网是托管应用工作负载的网络。为了成功路由到在工作负载子网中运行的应用，需要在相应的站点对象上添加到工作负载子网CIDR的内部静态路由。
　　从SubnetforOutsideInterface菜单中选择一个选项：NewSubnetIPv4Subnet：在字段中输入子网。ExistingSubnetIDExistingSubnetID：在字段中输入子网。单击AddItem。在该SiteNetworkFirewall部分中，可选择ActiveFirewallPolicies从ManageFirewallPolicy菜单中进行选择。选择现有的防火墙策略，或选择CreatenewFirewallPolicy创建并应用防火墙策略。创建策略后，单击Continue以应用。从ManageForwardProxy菜单中选择一个选项：DisableForwardProxyEnableForwardProxywithAllowAllPolicyEnableForwardProxyandManagePolicies：选择现有的转发代理策略，或选择Createnewforwardproxypolicy创建并应用转发代理策略。创建策略后，单击Apply。
　　图：节点的网络防火墙配置ShowAdvancedFields在AdvancedOptions部分中启用。ConnectGlobalNetworks从菜单中选择SelectGlobalNetworkstoConnect，然后执行以下操作：单击AddItem。从SelectNetworkConnectionType菜单中选择一个选项：从GlobalVirtualNetwork菜单中选择一个选项。单击AddItem。从SelectDCClusterGroup菜单中，选择一个选项以将您的站点设置在DC集群组中：NotaMemberofDCClusterGroup：默认选项。MemberofDCClusterGroupviaOutsideNetwork：从菜单中选择DC集群组MemberofDCClusterGroupviaOutsideNetwork以使用外部网络连接您的站点。MemberofDCClusterGroupviaInsideNetwork：从菜单中选择DC集群组MemberofDCClusterGroupviaInsideNetwork以使用内部网络连接您的站点。ManageStaticroutes从ManageStaticRoutesforInsideNetwork菜单中选择。点击小节AddItem。ListofStaticRoutes执行以下步骤之一：选择SimpleStaticRoute并在SimpleStaticRoute字段中输入静态路由。选择CustomStaticRoute然后单击Configure。执行以下步骤：在该Subnets部分中，单击AddItem。Version从菜单中选择IPv4或IPv6选项。输入子网的前缀和前缀长度。您可以使用该Additem选项设置更多子网。在该部分中，从菜单Nexthop中选择下一跳类型。从小节的菜单中Type选择IPv4或IPv6。输入IP地址。从菜单中选择一个选项。VersionAddressNetworkInterface在该StaticRouteLabels部分中，选择Addlabel并按照提示操作。在该部分中，从菜单Attributes中选择支持的属性。Attributes您可以选择多个选项。单击Apply。ManageStaticroutes从ManageStaticRoutesforOutsideNetwork菜单中选择。选择AddItem。遵循管理ManageStaticRoutesforOutsideNetwork菜单静态路由的相同过程。设置AllowedVIPPortConfigurationforOutsideNetwork和AllowedVIPPortConfigurationforInsideNetwork。这是负载均衡器在多节点站点中的所有节点之间分配流量所必需的。在该AllowedVIPPortConfigurationforOutsideNetwork部分中，执行以下操作：从SelectWhichPortswillbeAllowed菜单中选择一个选项：AllowHTTPPort：仅允许端口80。AllowHTTPSPort：仅允许端口443。AllowHTTPHTTPSPort：仅允许端口80和443。默认情况下已填充。PortsAllowedonPublic：允许指定自定义端口或端口范围。在字段中输入端口或端口范围PortsAllowedonPublic。在本AllowedVIPPortConfigurationforInsideNetwork节中，执行与上述外部网络相同的步骤。单击Apply。
　　注意：默认情况下亚马逊云科技CertifiedHardware设置为awsbyolmultinicvoltmesh。Additem您可以使用该选项添加多个节点。
　　应用堆栈集群（一个接口）。
　　对于AppstackCluster（OneInterface）选项：单击Configure以打开配置表单。在该AppStackCluster（OneInterface）NodesinAZ部分中，单击AddItem。执行以下操作：亚马逊云科技AZName从菜单中选择一个与配置相匹配的选项亚马逊云科技Region。从菜单中选择NewSubnet或。ExistingSubnetIDSubnetforlocalInterface在中输入子网地址IPv4Subnet或子网IDExistingSubnetID。单击AddItem。在该SiteNetworkFirewall部分：可选择ActiveFirewallPolicies从ManageFirewallPolicy菜单中选择。选择现有的防火墙策略，或选择CreatenewFirewallPolicy创建并应用防火墙策略。（可选）从菜单中选择EnableForwardProxywithAllowAllPolicy或。对于后一个选项，选择现有的转发代理策略，或选择创建并应用转发代理策略。EnableForwardProxyandManagePoliciesManageForwardProxyCreatenewforwardproxypolicy在该AdvancedOptions部分中，启用该ShowAdvancedFields选项。ConnectGlobalNetworks从菜单中选择SelectGlobalNetworkstoConnect，然后执行以下操作：单击AddItem。从SelectNetworkConnectionType菜单中选择连接类型。从GlobalVirtualNetwork菜单中，从显示的网络列表中选择一个全球网络。要创建新的全球网络，请单击Createnewvirtualnetwork：GlobalVirtualNetwork填写表格信息。单击Continue。单击AddItem。ManageStaticroutes从ManageStaticRoutesforSiteLocalNetwork菜单中选择。单击AddItem并执行以下步骤之一：从StaticRouteConfigMode菜单中选择SimpleStaticRoute。SimpleStaticRoute在字段中输入静态路由。从StaticRouteConfigMode菜单中选择CustomStaticRoute。单击Configure。执行以下步骤：在Subnets部分中，单击AddItem。从菜单中选择IPv4Subnet或。IPv6SubnetVersion输入子网的前缀和前缀长度。使用该AddItem选项设置更多子网。在部分中，从菜单Nexthop中选择下一个类型Type从菜单中选择IPv4Address或IPv6AddressVersion输入IP地址。从NetworkInterface菜单中，选择一个网络接口或选择Createnewnetworkinterface创建并应用一个新的网络接口。在该部分中，从菜单Attributes中选择支持的属性。Attributes您可以选择多个选项。单击Apply以添加自定义路由。单击AddItem。单击Apply。从SelectDCClusterGroup菜单中，选择一个选项以将您的站点设置在DC集群组中：NotaMember：默认选项。MemberofDCClusterGroup：从菜单中选择DC集群组MemberofDCClusterGroup以使用外部网络连接您的站点。从AllowedVIPPortConfiguration菜单中，为负载均衡器配置VIP端口，以在多节点站点中的所有节点之间分配流量。从SiteLocalK8sAPIaccess菜单中，选择API访问选项。
　　注意：分布式云平台支持托管K8s的变异和验证webhook。可以在K8s配置中启用Webhook支持（管理管理K8sK8s集群）。
　　在该StorageConfiguration部分中，启用该ShowAdvancedFields选项。从SelectConfigurationforStorageClasses菜单中选择AddCustomStorageClass。单击AddItem。在该StorageClassName字段中，输入将在Kubernetes中显示的存储类的名称。（可选）启用DefaultStorageClass使这个新存储类成为所有集群的默认类的选项。在该StorageDevice部分：在该Replication字段中，输入一个数字以设置PV的复制因子。在该StorageSize字段中，设置每个节点的存储容量（以千兆字节（GB）为单位）。单击AddItem。单击Apply。
　　注意：默认情况下亚马逊云科技CertifiedHardware设置为awsbyolvoltstackcombo。AddItem您可以使用该选项添加多个节点。
　　步骤2。3：设置部署类型。从AutomaticDeployment下拉菜单中选择AutomaticDeployment：选择现有的亚马逊云科技凭证对象，或单击CreatenewCloudCredential以加载表单。要创建新凭据：根据需要输入Name、Labels和Description。从SelectCloudCredentialType菜单中选择亚马逊云科技ProgrammaticAccessCredentials。AccessKeyID在字段中输入亚马逊云科技访问ID。单击Configure该SecretAccessKey字段。从SecretInfo菜单：BlindfoldSecret：在框中输入密码Type。ClearSecret：以或格式在ClearSecret框中输入密码。Textbase64（binary）单击Apply。单击Continue以添加新凭据。
　　注意：确保亚马逊云科技凭证与策略要求文档中所需的访问策略一起应用。
　　策略要求：https：docs。cloud。f5。comdocsreferencecloudcredrefawsvpccredref
　　图：部署配置
　　第3步：设置站点节点参数在该SiteNodeParameters部分中，启用该ShowAdvancedFields选项。或者，添加地理地址并输入纬度和经度值。从亚马逊云科技InstanceTypeforNode菜单中选择一个选项。或者，在框中输入您的SSH密钥PublicSSHkey。
　　图：站点节点参数配置
　　第4步：配置高级配置选项在该AdvancedConfiguration部分中，启用该ShowAdvancedFields选项。从LogsStreaming菜单中选择一个选项。从SelectVolterraSoftwareVersion菜单中选择一个选项。从SelectOperatingSystemVersion菜单中选择一个选项。从DesiredWorkerNodesSelection菜单中选择一个选项：DesiredWorkerNodesPerAZ在字段中输入工作程序节点的数量。您在此处设置的工作程序节点数将根据您在其中创建节点的可用区创建。例如，如果您在三个可用区中配置三个节点，并将DesiredWorkerNodesPerAZ框设置为3，则每个可用区创建3个工作程序节点，并且此亚马逊云科技VPC站点的工作程序节点总数将为9。
　　图：亚马逊云科技VPC高级配置
　　从DirectConnectChoice下拉菜单中，选择一个选项：DisableDirectConnect：默认选项。EnableDirectConnect：选择为亚马逊云科技站点进行配置。单击Configure。从VIFConfiguration下拉菜单中，为虚拟接口（VIF）选择一个选项：HostedVIFmode：在此模式下，F5将预置一个亚马逊云科技DirectConnect网关和一个虚拟私有网关。您提供的托管VIP将自动关联并设置BGP对等互连。StandardVIFmode：在此模式下，F5将预置一个亚马逊云科技DirectConnect网关和一个虚拟私有网关、一个用户关联VIP，并将设置BGP对等互连。对于HostedVIFmode选项：单击Additem。输入VIFID列表。单击Apply。对于StandardVIFmode选项：单击Apply。
　　第5步：配置被阻止的服务
　　您可以让您的站点阻止服务，例如Web、DNS和SSH。在该SelecttoConfigureBlockedServices部分中，CustomBlockedServicesConfiguration从SelecttoConfigureBlockedServices菜单中选择。单击AddItem。
　　图：添加阻止的服务
　　从BlockedServicesValueType菜单中，选择要阻止的服务：WebUIportDNSportSSHport从NetworkType菜单中，选择从您的站点阻止此服务的网络类型。单击AddItem。
　　第6步：完成亚马逊云科技VPC站点对象创建单击SaveandExit以完成创建亚马逊云科技VPC站点。VPC站点对象的Status框显示Generated。
　　图：生成的亚马逊云科技VPC对象
　　部署站点
　　在控制台中创建亚马逊云科技站点VPC对象会生成Terraform参数。
　　注意：每个站点节点的站点升级最多可能需要10分钟。站点升级完成后，您必须通过Action云站点管理页面上的菜单将Terraform参数应用到站点。
　　Manage使用SiteManagement亚马逊云科技VPCSites选项导航到创建的亚马逊云科技VPC对象。找到您的亚马逊云科技VPC对象并单击Apply列Actions。
　　图：亚马逊云科技VPC对象应用
　　亚马逊云科技VPC对象的Status字段更改为ApplyPlanning。
　　注意：或者，您可以在部署之前执行Terraform计划活动。找到您的亚马逊云科技VPC站点对象并选择。。。Plan（Optional）以启动Terraform计划的操作。这将为Terraform创建执行计划。
　　等待申请过程完成并且状态变为Applied。
　　图：应用的亚马逊云科技VPC对象
　　要检查应用操作的状态，请单击您的亚马逊云科技VPC站点对象的。。。TerraformParameters，然后选择ApplyStatus选项卡。要找到您的站点，请单击SitesSitesList。验证状态为Online。站点部署和状态更改为需要几分钟Online。
　　注意：centos您可以使用用户名和私钥通过SSH登录节点的命令行界面（CLI）。
　　图：在线站点状态
　　注意：对于入口应用堆栈站点：当您更新站点对象的工作程序节点时，会自动进行扩展。对于入口出口站点：当您更新站点对象的工作节点时，Apply会启用Terraform按钮。单击Apply。
　　删除VPC站点
　　执行以下操作以删除站点：导航到亚马逊云科技VPC站点对象的ManageSiteManagement亚马逊云科技VPCSites。选择Delete。Delete在弹出的确认窗口中单击。
　　注意：删除VPC对象会从VPC中删除站点和节点并删除VPC。如果删除操作没有删除对象并返回任何错误，请从状态中检查错误，修复错误，然后重新尝试删除操作。如果问题仍然存在，请联系技术支持。您可以使用。。。TerraformParametersApplystatus选项检查状态。