AWS EC2實例存儲及TSL配置

做者：光環雲 徐毅

1 實例存儲簡述

關於實例存儲，不少實例能夠訪問物理附加到主機的磁盤中的存儲。此磁盤存儲稱爲實例存儲。實例存儲可爲實例提供臨時性塊級存儲。實例存儲捲上的數據僅在關聯實例的生命週期內保留；若是用戶中止或終止實例，則實例存儲捲上的任何數據都會丟失。

下面咱們開始演練如何使用實例存儲。

登陸EC2控制檯，啓動一個EC2實例，在選擇實例類型的時候，能夠參考文檔 https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/InstanceStorage.html，以下表所示，我選擇了m1.small。

在添加存儲的時候，能夠看到選擇了「實例存儲0、/dev/sdb 、160GiB」，

其餘配置都與一般EC2沒有差別，過程省略，直至啓動EC2成功。

再遠程鏈接的EC2服務器

執行命令df -h，可見在/media/ephemeral0目錄下掛載了實例存儲卷。

至此實例存儲演練完成，接下來，咱們將在該EC2實例上配置SSL/TLS。

2 配置SSL/TLS

2.1 安裝LAMP服務器

參考文檔：https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html

依次執行如下命令：

sudo yum update -y

sudo amazon-linux-extras install -y lamp-mariadb10.2-php7.2 php7.2

sudo yum install -y httpd mariadb-server

sudo systemctl start httpd

sudo systemctl enable httpd

sudo systemctl is-enabled httpd

2.2 驗證LAMP服務

在瀏覽器輸入前面所建立EC2的公有dns地址：ec2-52-90-192-187.compute-1.amazonaws.com，顯示頁面內容以下圖所示

執行如下命令：

sudo usermod -a -G apache ec2-user

退出並從新鏈接，再執行如下命令：

1. exit；

2. groups；

3. sudo chown -R ec2-user:apache /var/www;

4. sudo chmod 2775 /var/www && find /var/www -type d -exec sudo chmod 2775 {} ;

5. find /var/www -type f -exec sudo chmod 0664 {} ;

2.3爲服務器配置SSL/TLS

安全套接字層/傳輸層安全性 (SSL/TLS) 可在 Web 服務器和 Web 客戶端之間建立一個加密通道，以防止數據在傳輸過程當中被竊聽。

SSL是Netscape開發的專門用戶保護Web通信的，目前版本爲3.0。最新版本的TLS 1.0是IETF(工程任務組)制定的一種新的協議，它創建在SSL 3.0協議規範之上，是SSL 3.0的後續版本。二者差異極小，能夠理解爲SSL 3.1，它是寫入了RFC的。

因爲歷史緣由，Web 加密一般簡稱爲 SSL。雖然 Web 瀏覽器仍支持 TLS，但下一代協議 TLS 不容易受到攻1擊。

2.3.1 配置SSL/TLS操做

參考文檔：https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html

依次執行如下命令：

1） sudo systemctl is-enabled httpd

2） sudo yum install -y mod_ssl

3） Sudo vim /etc/httpd/conf.d/ssl.conf

4） 打開/etc/httpd/conf.d/ssl.conf文件，註釋掉「SSLCertificateKeyFile /etc/pki/tls/private/localhost.key」這一行

5）sudo systemctl restart httpd

2.3.2 驗證TLS

在瀏覽器中輸入 「https:// 一塊兒輸入瀏覽器 URL」

選擇「高級」，忽略風險並繼續能夠打開以前的測試頁面

由此證實TLS配置成功。

說明：

1）爲了防止站點訪問者遇到警告屏幕，還必須獲取一個可信 CA 簽名證書，該證書不只進行加密，並且還公開驗證您是否爲站點擁有者。

2）本次實踐只爲演練TLS的配置，關於CA證書的配置暫略，待後續再演練。