2019独角兽企业重金招聘Python工程师标准>>> 
基本系统部署
下图是一个简单的网络架构:
接下来以此为例来说明如何在云环境上部署一套应用系统。
1.1 基本网络架构
云平台以专有网络VPC (Virtual Private Cloud)的模式向用户交付网络服务,VPC下划分DMZ和SF两个基本的网络区域。
两种网络类型说明如下:
DMZ:内网与互联网之间隔离的区域,通常部署web server或者前置、代理服务器,可通过开通防火墙向Internet提供服务。
SF:部署内网应用和核心应用的区域。
必须是创建好了网络域和子网之后,才能创建主机环境。
1.2 网络域部署
登录云平台后,进入控制台,展开产品菜单:
随后进入VPC产品目录:
随后再进入专用网络目录,点击创建专有网络开始创建网络域服务:
VPC的名称和描述可自定义:
创建完成之后,VPC的状态会由“创建中”切换为“可用”,随后点击下一步开始创建子网和网络域:
VPC创建完成之后,如需创建更多网络域,可进去VPC内,创建网络域:
点击VPC名称进入VPC内,点击创建网络域的按钮开始进行网络域的创建:
根据实际需求创建DMZ、PTR或者SF网络域
创建完成后,可以在网络域目录下看到对应的网络域情况:
如需多个子网,或者子网IP用完,可以进入网络域内给网络域创建子网:
可根据实际需求选择子网掩码,来确认网段大小:
子网创建完成后,可以在子网目录下看到.
子网创建完成之后,就可以进行主机的创建了。
通常情况下,一个租户下的一个业务只需要创建一个VPC,不同VPC之间的网络是隔离的。
一个VPC下对应一个DMZ和SF的网络域,每个网络域下可以有多个子网,同一个网络域下的子网网络是互通的。
1.3 计算服务部署
参考网络架构图,我们这里需要创建6台主机,其中4台位于DMZ网络域,2台位于SF网络域。
进入云主机产品目录,点击创建实例按钮开始进行云主机的创建:
选择好对应的VPC和网络域之后,根据实际主机配置需求、操作系统需求等来购买主机:
主机创建完成之后,在实例管理页面能够看到创建的所有主机:
点击实例名,进入主机详情页面,可以看到主机的配置、初始密码等信息。
1.4 存储服务部署
1.4.1 购买云磁盘
主机默认的系统盘大小是60GB,如果主机需要额外的存储服务,可以给主机购买云磁盘服务。
在云磁盘的目录下,点击创建磁盘按钮,开始进行磁盘购买:
随后点击选择云主机的按钮,选择要给哪些主机添加磁盘:
勾选需要添加磁盘的云主机:
随后输入磁盘大小:
1.4.2 初始化磁盘
Windows主机需要手动初始化云磁盘之后才能正常使用云磁盘。
操作步骤如下:
• 打开服务器管理器:
• 当前云磁盘属于脱机状态
• 点击联机按钮
• 随后点击初始化磁盘按钮
• 默认使用MBR分区
• 随后新建卷
• 之后会进入欢迎界面
• 定义分区大小
• 分配磁盘盘符
• 格式化磁盘
格式化完成之后磁盘创建完成。
如果是windows server 2012 R2版本的主机,可以右键点击windows徽标按钮,然后进入磁盘管理进行上述操作:
Linux主机也需要进行磁盘的初始化操作。
登陆主机后,通过lsblk命令查看磁盘列表:
可以看到刚刚购买的云磁盘目前无挂载点信息,需要手工挂载,这里以挂载到/data目录为例来说明磁盘挂载操作。
首先创建/data目录,随后初始化磁盘,使用pvcreate命令创建PV
PV创建完成之后在创建VG卷组,并将vdb磁盘加入VG
VG创建完成之后需要激活VG
VG激活完成之后,需要在VG中创建LV逻辑卷组:
如上图所示,我们在VolGroup01里面创建lv,命名为LVdata
随后将LVdata进行格式化操作:
格式化完成之后,挂载磁盘到/data目录
随后lsblk命令可以看到磁盘挂载成功。
如果需要开机磁盘自动挂载,则需要将挂载信息写入/etc/fstab文件中。
输入vi /etc/fstab命令来编辑fstab文件:
在文件最后加入磁盘的挂载点信息,随后保存文件。到此磁盘初始化完毕。
1.5 互联网服务部署
如果需要访问云服务,需要将对应的服务或者负载均衡服务接入互联网才能实现。所以我们首先需要申请一个互联网网关。
进入互联网网关目录下,进行网关的申请:
点击创建互联网网关的按钮开始进行创建操作:
选择到对应的VPC,随后点击创建按钮即可开始创建操作:
创建完成后,点击网关名称进入网关的详细配置:
点击申请按钮来申请一个公网IP:
输入需要的带宽大小,随后点击创建按钮即可开始申请公网IP:
申请完成后,在互联网网关详情页面可以看到公网IP地址,如下图所示:
1.5.1 主机互联网接入
在互联网网关的互联网连接目录下,可以给主机添加互联网网卡:
点击创建按钮:
随后点击添加主机实例,就能给对应的主机添加一块网卡,网卡直连到互联网,仅有DMZ区域的主机能够添加公网网卡。
添加完成后就能看到对应的主机公网IP了:
(1)通过互联网连接主机
如果需要从互联网连接主机,windows主机需要放开入方向的TCP 3389端口,Linux主机则需要放开TCP 22端口,这些功能在安全策略管理中实现。
点击图中创建的按钮来创建安全规则:
这里以Linux主机为例,放开入方向的22端口,授权地址0.0.0.0/0表示的是整个互联网网段。如果需要通过特定的网段来登陆,这里可以换成特定网段地址。
如果是需要主机对公网提供web服务等,这里端口则是80、443端口。
(2)主机访问互联网
如果主机需要通过浏览器访问互联网,则需要创建出方向的80、443端口:
端口范围如果需要填多个,则用英文的逗号隔开即可。
如果主机需要使用互联网的DNS服务,则需要放开出方向的TCP和UDP的53端口。同时给主机配置DNS服务器。
例如Windows服务器,我这里给公网网卡配置了对应的DNS服务器:
配置完成后可看到这个网卡的网络连接详细信息中有DNS服务器:
Linux主机也是如此,需要给主机添加一条DNS服务器:
输入命令vi /etc/resolv.conf来修改主机DNS配置,加入下图中这条即可
修改完成之后保存文件。
随后查看DNS状态:
此时DNS服务器已添加。
默认情况下无需手动添加DNS服务器或者更改DNS信息。
1.5.2 负载均衡互联网接入
如果系统是通过负载均衡向互联网提供web服务,则需要将互联网网关添加到负载均衡。
(1) 配置负载均衡
在产品与服务目录下,进入负载均衡ELB目录,创建负载均衡服务。
点击创建按钮开始进行负载均衡实例的创建,目前提供公网类型实例和金融类型实例。
这里以公网类型实例为例来说明。
选择对应的VPC和网络域,输入显示名称之后开始创建:
购买之后可以在实例管理页面看到,点击实例名称可进入实例管理配置页面:
首先在监听器选项卡下,点击创建监听器来添加后台实例:
配置好相关项目后,点击创建即可完成监听器的创建操作:
随后在服务器资源池选项卡下,创建服务器资源池:
选好主机和监听器后,点击图中箭头,将主机添加到新建的服务器资源池中:
填好后端端口之后,点击创建开始创建服务器资源池。
随后配置监听器,点击编辑进入编辑界面。并选择公共创建的资源池:
随后点确认完成配置。
创建完成之后,资源池、监听器和负载均衡实例的状态都会变成可用。
(2) 配置DNAT映射
可通过配置DNAT规则,将金融类负载均衡服务发布到互联网。
在互联网网关的公网IP地址下,先创建公网IP:
公网IP创建完成之后,可以将公网IP绑定到负载均衡实例。
在DNAT规则下点击创建按钮:
选好对应的公网IP和负载均衡实例,填好端口之后,点击确定即可。
随后可以看到公网IP和内网IP实现了IP和端口映射:
1.6 Terminal主机接入
通常为了安全起见,会创建一台Terminal主机,作为登录云主机的跳板,Terminal主机部署在DMZ区域,且需要开通主机到对应SF区域的安全策略。这里以windows主机来做说明。
首先参考互联网接入的章节,给主机绑定互联网网关,且放开入方向的3389端口,然后就能通过互联网远程桌面这台主机了。
1.6.1 配置安全组
云环境内,同一个VPC内不同的网络域之间是有防火墙和ACL隔离的,用户可通过配置安全组策略来开通不同网络域的主机互访权限。
在云服务器目录下有安全组配置目录:
进入安全组之后,点击创建安全组按钮,我这里需要通过位于DMZ区域的Terminal主机访问位于SF区域的主机,所以创建一个网络域为SF的安全组:
安全组创建完毕后,点击安全组名称,进入详细的配置页面:
随后点击添加主机实例的按钮,将Terminal主机添加到安全组:
添加完成后,进入安全组规则选项卡进行安全组规则的详细配置:
点击创建按钮开始进行安全规则的创建。
1.6.2 配置安全规则
这里的需求是通过DMZ区域的Terminal主机ECA-WJ3600013来访问SF网络域(10.2.0.160/27)的主机。
所以需要放开出方向(OUT)到SF网段10.2.0.160/27的22端口:
随后在主机上测试网络是否已能够联通:
telnet 10.2.0.168 22
测试通过,此时已经能够通过ssh登陆这个网段的主机。
如果是需要访问Windows主机,这里的安全策略就还需要放通3389端口。
2.7 跨VPC互访
2.7.1 同租户内访问
如果在同一个租户内,有多个VPC的情况,不同VPC之间的ECS实例需要互访,除了
需要放开安全策略以外,还需要配置VPC之间的高速通道。
下面以如下两台主机为例,说明如何配置同租户的跨VPC访问:
这两台主机分别位于不同VPC的SF区域和DMZ区域。
其中,SF的子网为: 10.2.0.160/27
DMZ的子网为:10.1.2.96/28
(1)创建高速通道
先创建高速通道:
产品与服务,网络文件夹下有高速通道的产品项:
点击添加按钮:
随后选择对应的本端VPC和对端VPC,选好了VPC之后,在下面的互访IP地址中,就能够选择到对应的子网网段了:
配置完成之后点击确定完成高速通道的创建。如下是配置完成之后的高速通道:
登录主机进行ping测试
此时能够ping通,说明高速通道配置成功。但是此时是无法访问主机的,端口策略都未开通:
(2)配置安全策略
高速通道配置成功之后,如果需要互相访问,需要放开对应端口的安全策略,这里以22端口为例来进行说明。
首先创建一个安全组,VPC和网络域选择主机对应的网络域:
随后将实例加入安全组:
随后创建安全组规则:
这样入方向的安全组配置完毕,除此之外,还要在被访问的主机那里配置入方向的安全策略。
同样的步骤配置安全组:
并将主机加入安全组:
配置完成之后,测试telnet 22端口,测试通过:
2.7.2 跨租户访问
跨租户进行主机互访,同样也是需要先配置高速通道。
这里以如下两台主机的互访进行说明,这两台主机分别位于不同的租户:
ECA-LJ3600044和ECA-LP1600023
填好对应的租户和VPC信息之后,还需要获取授权码:
并配置好互访IP地址,随后点击确认:
随后在之前的安全组内添加策略:
在另一个租户内也需要配置对应的安全组信息:
随后将实例加入安全组:
并配置安全策略:
配置完成之后测试连接情况,能够正常访问22端口:
2.8 访问控制RAM
如果您购买了多台云服务器 ECS 实例,您的组织里有多个用户需要使用这些实例。访问控制 RAM 将帮助您管理用户对资源的访问权限控制。RAM (Resource Access Management) 是平安云公有云为客户提供的用户身份管理与访问控制服务,使用 RAM,您可以创建、管理用户账号,并可以控制这些用户账号对您名下的资源具有操作权限。
2.8.1 创建用户
登入平安云控制台,选择【访问控制RAM】-> 【用户管理】 -> 【创建】,进入创建用户页面。
用户创建完成之后,在用户管理页面能够看到创建的所有用户,可在页面上对用户进行加入组、授权、删除的操作。
点击用户名,进入用户详情页面,可以看到用户的基本信息、AccessKey、用户加入的组、用户策略。
创建群组
如果您的账号下创建了多个RAM用户,为了更好的管理用户及其权限,建议您通过用户组(Group)来管理。
操作步骤:进入平安云控制台,选择【访问控制RAM】-> 【群组管理】 -> 【创建】,在弹出的窗口中填写需要新建的群组名称。
群组创建完成之后,在群组管理页面能够看到创建的所有群组,可在页面上对群组进行编辑、授权、删除的操作。
点击群组,进入群组详情页面,可以看到群组的基本信息、群组成员、群组策略。
2.8.2 创建授权策略
支持两种类型的授权策略:系统授权策略和客户自定义授权策略。
【自定义授权策略】
操作步骤:进入平安云控制台,选择【访问控制RAM】-> 【策略管理】,选择【自定义授权策略】,然后按如下步骤操作:
(1)点击【创建授权策略】,打开创建授权策略弹窗:
(2)选择一个模板(这里选择GetBucketDetail),我们可以基于这个模板进行编辑,如下图所示:
名称:设置授权策略的名称。本示例中为自定义授权策略GetBucketDetail。
内容:输入授权策略内容。本示例中填写如下内容,表示该用户或用户组获取对象存储桶的信息。
Resoure(操作对象列表): 资源是云服务呈现给用户与之交互的对象实体的一种抽象,如 OBS 对象存储,ECS 实例等。
Action(操作名称列表):Action支持多值,取值为云服务所定义的API操作名称。
Effect(授权类型): Effect取值为Allow或Deny。
创建自定义授权策略时,需要了解授权策略语言的基本结构和语法,相关内容的详细描述参考授权策略语言。如果要查看平安云支持的所有系统授权策略,请点击帮助与文档,
用户就可以看到所有的系统授权策略列表.
(3) 策略内容编辑完成后,点击 【创建授权策略】 即可新建自定义授权策略。
策略创建完成之后,在策略管理页面能够看到创建的所有自定义策略,可在页面上对策略进行编辑、删除的操作。
点击策略,进入策略详情页面,可以看到策略当前版本和历史版本,可对当前版本的策略进行编辑的操作。
【系统授权策略】
系统授权策略是平安云提供的一组通用授权策略,主要针对不同产品的只读权限或所有权限。对于平安云提供的这组授权策略,用户只能用于授权,而不能编辑和修改。对于这些系统授权策略,平安云会自动进行更新或修改。
2.8.3 为用户或群组附加授权
为了加强网络安全控制,您可以给某个群组或某个用户附加一个授权策略。
【用户授权】
操作步骤:登入平安云控制台,进入【访问控制RAM】->【用户管理】 -> 】选择用户】 -> 点击授权,进入编辑授权策略的页面,选择合适的授权策略名称进行授权即可。如选择本示例中的 GetBucketDetail。
【群组授权】
操作步骤:登入平安云控制台,进入【访问控制RAM】->【群组管理】 -> 选择【群组】 -> 点击授权,进入编辑授权策略的页面,选择合适的授权策略名称进行授权即可。
