平安雲基本系統部署

時間 2019-11-06

標籤平安基本系統部署简体版

原文原文鏈接

基本系統部署html

下圖是一個簡單的網絡架構：web

接下來以此爲例來講明如何在雲環境上部署一套應用系統。windows

1.1 基本網絡架構後端

雲平臺以專有網絡VPC (Virtual Private Cloud)的模式向用戶交付網絡服務，VPC下劃分DMZ和SF兩個基本的網絡區域。瀏覽器

兩種網絡類型說明以下：安全

DMZ：內網與互聯網之間隔離的區域，一般部署web server或者前置、代理服務器，可經過開通防火牆向Internet提供服務。服務器

SF：部署內網應用和核心應用的區域。網絡

必須是建立好了網絡域和子網以後，才能建立主機環境。架構

1.2 網絡域部署app

登陸雲平臺後，進入控制檯，展開產品菜單：

隨後進入VPC產品目錄：

隨後再進入專用網絡目錄，點擊建立專有網絡開始建立網絡域服務：

VPC的名稱和描述可自定義：

建立完成以後，VPC的狀態會由「建立中」切換爲「可用」，隨後點擊下一步開始建立子網和網絡域：

VPC建立完成以後，如需建立更多網絡域，可進去VPC內，建立網絡域：

點擊VPC名稱進入VPC內，點擊建立網絡域的按鈕開始進行網絡域的建立：

根據實際需求建立DMZ、PTR或者SF網絡域

建立完成後，能夠在網絡域目錄下看到對應的網絡域狀況：

如需多個子網，或者子網IP用完，能夠進入網絡域內給網絡域建立子網：

可根據實際需求選擇子網掩碼，來確認網段大小：

子網建立完成後，能夠在子網目錄下看到.

子網建立完成以後，就能夠進行主機的建立了。

一般狀況下，一個租戶下的一個業務只須要建立一個VPC，不一樣VPC之間的網絡是隔離的。

一個VPC下對應一個DMZ和SF的網絡域，每一個網絡域下能夠有多個子網，同一個網絡域下的子網網絡是互通的。

1.3 計算服務部署

參考網絡架構圖，咱們這裏須要建立6臺主機，其中4臺位於DMZ網絡域，2臺位於SF網絡域。

進入雲主機產品目錄，點擊建立實例按鈕開始進行雲主機的建立：

選擇好對應的VPC和網絡域以後，根據實際主機配置需求、操做系統需求等來購買主機：

主機建立完成以後，在實例管理頁面可以看到建立的全部主機：

點擊實例名，進入主機詳情頁面，能夠看到主機的配置、初始密碼等信息。

1.4 存儲服務部署

1.4.1 購買雲磁盤

主機默認的系統盤大小是60GB，若是主機須要額外的存儲服務，能夠給主機購買雲磁盤服務。

在雲磁盤的目錄下，點擊建立磁盤按鈕，開始進行磁盤購買：

隨後點擊選擇雲主機的按鈕，選擇要給哪些主機添加磁盤：

勾選須要添加磁盤的雲主機：

隨後輸入磁盤大小：

1.4.2 初始化磁盤

Windows主機須要手動初始化雲磁盤以後才能正常使用雲磁盤。

操做步驟以下：

• 打開服務器管理器：

• 當前雲磁盤屬於脫機狀態

• 點擊聯機按鈕

• 隨後點擊初始化磁盤按鈕

• 默認使用MBR分區

• 隨後新建卷

• 以後會進入歡迎界面

• 定義分區大小

• 分配磁盤盤符

• 格式化磁盤

格式化完成以後磁盤建立完成。

若是是windows server 2012 R2版本的主機，能夠右鍵點擊windows徽標按鈕，而後進入磁盤管理進行上述操做：

Linux主機也須要進行磁盤的初始化操做。

登錄主機後，經過lsblk命令查看磁盤列表：

能夠看到剛剛購買的雲磁盤目前無掛載點信息，須要手工掛載，這裏以掛載到/data目錄爲例來講明磁盤掛載操做。

首先建立/data目錄，隨後初始化磁盤，使用pvcreate命令建立PV

PV建立完成以後在建立VG卷組，並將vdb磁盤加入VG

VG建立完成以後須要激活VG

VG激活完成以後，須要在VG中建立LV邏輯卷組：

如上圖所示，咱們在VolGroup01裏面建立lv，命名爲LVdata

隨後將LVdata進行格式化操做：

格式化完成以後，掛載磁盤到/data目錄

隨後lsblk命令能夠看到磁盤掛載成功。

若是須要開機磁盤自動掛載，則須要將掛載信息寫入/etc/fstab文件中。

輸入vi /etc/fstab命令來編輯fstab文件：

在文件最後加入磁盤的掛載點信息，隨後保存文件。到此磁盤初始化完畢。

1.5 互聯網服務部署

若是須要訪問雲服務，須要將對應的服務或者負載均衡服務接入互聯網才能實現。因此咱們首先須要申請一個互聯網網關。

進入互聯網網關目錄下，進行網關的申請：

點擊建立互聯網網關的按鈕開始進行建立操做：

選擇到對應的VPC，隨後點擊建立按鈕便可開始建立操做：

建立完成後，點擊網關名稱進入網關的詳細配置：

點擊申請按鈕來申請一個公網IP：

輸入須要的帶寬大小，隨後點擊建立按鈕便可開始申請公網IP：

申請完成後，在互聯網網關詳情頁面能夠看到公網IP地址，以下圖所示：

1.5.1 主機互聯網接入

在互聯網網關的互聯網鏈接目錄下，能夠給主機添加互聯網網卡：

點擊建立按鈕：

隨後點擊添加主機實例，就能給對應的主機添加一塊網卡，網卡直連到互聯網，僅有DMZ區域的主機可以添加公網網卡。

添加完成後就能看到對應的主機公網IP了：

（1）經過互聯網鏈接主機

若是須要從互聯網鏈接主機，windows主機須要放開入方向的TCP 3389端口，Linux主機則須要放開TCP 22端口，這些功能在安全策略管理中實現。

點擊圖中建立的按鈕來建立安全規則：

這裏以Linux主機爲例，放開入方向的22端口，受權地址0.0.0.0/0表示的是整個互聯網網段。若是須要經過特定的網段來登錄，這裏能夠換成特定網段地址。

若是是須要主機對公網提供web服務等，這裏端口則是80、443端口。

（2）主機訪問互聯網

若是主機須要經過瀏覽器訪問互聯網，則須要建立出方向的80、443端口：

端口範圍若是須要填多個，則用英文的逗號隔開便可。

若是主機須要使用互聯網的DNS服務，則須要放開出方向的TCP和UDP的53端口。同時給主機配置DNS服務器。

例如Windows服務器，我這裏給公網網卡配置了對應的DNS服務器：

配置完成後可看到這個網卡的網絡鏈接詳細信息中有DNS服務器：

Linux主機也是如此，須要給主機添加一條DNS服務器：

輸入命令vi /etc/resolv.conf來修改主機DNS配置，加入下圖中這條便可

修改完成以後保存文件。

隨後查看DNS狀態：

此時DNS服務器已添加。

默認狀況下無需手動添加DNS服務器或者更改DNS信息。

1.5.2 負載均衡互聯網接入

若是系統是經過負載均衡向互聯網提供web服務，則須要將互聯網網關添加到負載均衡。

（1） 配置負載均衡

在產品與服務目錄下，進入負載均衡ELB目錄，建立負載均衡服務。

點擊建立按鈕開始進行負載均衡實例的建立，目前提供公網類型實例和金融類型實例。

這裏以公網類型實例爲例來講明。

選擇對應的VPC和網絡域，輸入顯示名稱以後開始建立：

購買以後能夠在實例管理頁面看到，點擊實例名稱可進入實例管理配置頁面：

首先在監聽器選項卡下，點擊建立監聽器來添加後臺實例：

配置好相關項目後，點擊建立便可完成監聽器的建立操做：

隨後在服務器資源池選項卡下，建立服務器資源池：

選好主機和監聽器後，點擊圖中箭頭，將主機添加到新建的服務器資源池中：

填好後端端口以後，點擊建立開始建立服務器資源池。

隨後配置監聽器，點擊編輯進入編輯界面。並選擇公共建立的資源池：

隨後點確認完成配置。

建立完成以後，資源池、監聽器和負載均衡實例的狀態都會變成可用。

（2） 配置DNAT映射

可經過配置DNAT規則，將金融類負載均衡服務發佈到互聯網。

在互聯網網關的公網IP地址下，先建立公網IP：

公網IP建立完成以後，能夠將公網IP綁定到負載均衡實例。

在DNAT規則下點擊建立按鈕：

選好對應的公網IP和負載均衡實例，填好端口以後，點擊肯定便可。

隨後能夠看到公網IP和內網IP實現了IP和端口映射：

1.6 Terminal主機接入

一般爲了安全起見，會建立一臺Terminal主機，做爲登陸雲主機的跳板，Terminal主機部署在DMZ區域，且須要開通主機到對應SF區域的安全策略。這裏以windows主機來作說明。

首先參考互聯網接入的章節，給主機綁定互聯網網關，且放開入方向的3389端口，而後就能經過互聯網遠程桌面這臺主機了。

1.6.1 配置安全組

雲環境內，同一個VPC內不一樣的網絡域之間是有防火牆和ACL隔離的，用戶可經過配置安全組策略來開通不一樣網絡域的主機互訪權限。

進入安全組以後，點擊建立安全組按鈕，我這裏須要經過位於DMZ區域的Terminal主機訪問位於SF區域的主機，因此建立一個網絡域爲SF的安全組：

安全組建立完畢後，點擊安全組名稱，進入詳細的配置頁面：

隨後點擊添加主機實例的按鈕，將Terminal主機添加到安全組：

添加完成後，進入安全組規則選項卡進行安全組規則的詳細配置：

點擊建立按鈕開始進行安全規則的建立。

1.6.2 配置安全規則

這裏的需求是經過DMZ區域的Terminal主機ECA-WJ3600013來訪問SF網絡域（10.2.0.160/27）的主機。

因此須要放開出方向（OUT）到SF網段10.2.0.160/27的22端口：

隨後在主機上測試網絡是否已可以聯通：

telnet 10.2.0.168 22

測試經過，此時已經可以經過ssh登錄這個網段的主機。

若是是須要訪問Windows主機，這裏的安全策略就還須要放通3389端口。

2.7 跨VPC互訪

2.7.1 同租戶內訪問

若是在同一個租戶內，有多個VPC的狀況，不一樣VPC之間的ECS實例須要互訪，除了

須要放開安全策略之外，還須要配置VPC之間的高速通道。

下面以以下兩臺主機爲例，說明如何配置同租戶的跨VPC訪問：

這兩臺主機分別位於不一樣VPC的SF區域和DMZ區域。

其中，SF的子網爲： 10.2.0.160/27

DMZ的子網爲：10.1.2.96/28

（1）建立高速通道

先建立高速通道：

產品與服務，網絡文件夾下有高速通道的產品項：

點擊添加按鈕：

隨後選擇對應的本端VPC和對端VPC，選好了VPC以後，在下面的互訪IP地址中，就可以選擇到對應的子網網段了：

配置完成以後點擊肯定完成高速通道的建立。以下是配置完成以後的高速通道：

登陸主機進行ping測試

此時可以ping通，說明高速通道配置成功。可是此時是沒法訪問主機的，端口策略都未開通：

（2）配置安全策略

高速通道配置成功以後，若是須要互相訪問，須要放開對應端口的安全策略，這裏以22端口爲例來進行說明。

首先建立一個安全組，VPC和網絡域選擇主機對應的網絡域：

隨後將實例加入安全組：

隨後建立安全組規則：

這樣入方向的安全組配置完畢，除此以外，還要在被訪問的主機那裏配置入方向的安全策略。

一樣的步驟配置安全組：

並將主機加入安全組：

配置完成以後，測試telnet 22端口，測試經過：

2.7.2 跨租戶訪問

跨租戶進行主機互訪，一樣也是須要先配置高速通道。

這裏以以下兩臺主機的互訪進行說明，這兩臺主機分別位於不一樣的租戶：

ECA-LJ3600044和ECA-LP1600023

填好對應的租戶和VPC信息以後，還須要獲取受權碼：

並配置好互訪IP地址，隨後點擊確認：

隨後在以前的安全組內添加策略：

在另外一個租戶內也須要配置對應的安全組信息：

隨後將實例加入安全組：

並配置安全策略：

配置完成以後測試鏈接狀況，可以正常訪問22端口：

2.8 訪問控制RAM

若是您購買了多臺雲服務器 ECS 實例，您的組織裏有多個用戶須要使用這些實例。訪問控制 RAM 將幫助您管理用戶對資源的訪問權限控制。RAM (Resource Access Management) 是平安雲公有云爲客戶提供的用戶身份管理與訪問控制服務，使用 RAM，您能夠建立、管理用戶帳號，並能夠控制這些用戶帳號對您名下的資源具備操做權限。

2.8.1 建立用戶

登入平安雲控制檯，選擇【訪問控制RAM】-> 【用戶管理】 -> 【建立】，進入建立用戶頁面。

用戶建立完成以後，在用戶管理頁面可以看到建立的全部用戶，可在頁面上對用戶進行加入組、受權、刪除的操做。

點擊用戶名，進入用戶詳情頁面，能夠看到用戶的基本信息、AccessKey、用戶加入的組、用戶策略。

建立羣組

若是您的帳號下建立了多個RAM用戶，爲了更好的管理用戶及其權限，建議您經過用戶組(Group)來管理。

操做步驟：進入平安雲控制檯，選擇【訪問控制RAM】-> 【羣組管理】 -> 【建立】，在彈出的窗口中填寫須要新建的羣組名稱。

羣組建立完成以後，在羣組管理頁面可以看到建立的全部羣組，可在頁面上對羣組進行編輯、受權、刪除的操做。

點擊羣組，進入羣組詳情頁面，能夠看到羣組的基本信息、羣組成員、羣組策略。

2.8.2 建立受權策略

支持兩種類型的受權策略：系統受權策略和客戶自定義受權策略。

【自定義受權策略】