雲基礎知識介紹及雲組件部署

本文轉載自查看原文 2020-11-20 11:14 388

雲基礎知識介紹及雲組件部署

序言

隨着業務的發展，各類業務都有上雲的需求，大家在工作中也會經常遇到各類公有雲的場景，其實各大廠商的公有雲功能都大相徑庭。相信很多人有疑問，如何在公有雲上部署相關雲組件和安全產品呢？本着共同學習的心態，耗時半月，才有了這篇文章，希望能讓更多的伙伴們學習和掌握阿里雲上的基本操作和部署組件。

本文分為兩個篇章，基礎知識篇和創建部署篇，來詳細講解。

基礎知識篇

*阿里雲簡介：*

阿里巴巴旗下雲計算品牌，創立於2009年，2010年，阿里雲對外開放其在雲計算領域的技術服務能力。用戶通過阿里雲，用互聯網的方式即可遠程獲取海量計算、存儲資源和大數據處理能力。

阿里雲產品有那些？

阿里雲產品體系分為6大類，分別為：存儲與內容分發服務、彈性計算服務、數據存儲及計算服務、大規模計算服務、應用服務還有安全與管理服務。

和我們結合最緊密的產品為彈性計算服務，特別是雲服務器（Elastic Compute Service，ECS），下面統成為ECS。

什么是ECS?

ECS是一種高可用、高性能、可彈性伸縮的服務，它以阿里雲自主研發的飛天分布式計算系統為基礎，基於先進的虛擬化、分布式存儲等雲計算技術，將計算和存儲的基礎資源整合在一起，並以Web方式為用戶提供計算能力。處理能力可彈性伸縮的計算服務，管理方式比物理服務器更簡單高效。無需提前采購投入，用戶可以根據業務的需要，隨時創建、釋放任意多台雲服務器實例。

地域的概念：

地是指ECS實例所在的物理位置

注意點：地域內的 ECS 實例內網間是可以互通的，不同地域之間的 ECS 實例內網不互通。

可用區的概念：

是指同一地域內，電力和網絡互相獨立的物理區域。

同一可用區內的ECS實例網絡延時更小，並且在同一地域內可用區與可用區之間內網互通，可用區之間能做到故障隔離。

阿里雲網絡是怎么樣的？

阿里雲網絡分為兩種網絡經典網絡和專有網絡

經典網絡：IP地址由阿里雲統一分配，配置簡便，使用方便，適合對操作易用性要求比較高、需要快速使用ECS的用戶。

專有網絡（重點了解）：VirtualPrivate Cloud，簡稱VPC，邏輯隔離的私有網絡，用戶可以自定義網絡拓撲和IP地址，支持通過專線連接。適合對網絡管理熟悉了解的用戶。

注意：

1、SSL-cloud可以運行在經典網絡和專有網絡，而AF-cloud和WOC-cloud只能運行在專有網絡上。

2、網絡類型僅是ECS產品功能上區分，與運營商公網接入網絡質量無關，任何網絡類型的運營商接入均為BGP線路。

經典網路和專有網絡的對比如下：

阿里雲上網絡IP地址規划是怎么樣的？

目前經典網絡 IP 地址由阿里雲統一分配，包括私網IP和公網IP。私網IP用於與實例之間互訪，公網 IP 用於實例與 Internet 之間互訪，也可以用於實例與雲服務之間互訪。公網IP的出口帶寬需要根據帶寬大小收費。

VPC專有網絡的內網IP地址由用戶自主規划，專有網絡內的實例默認不會被分配公網IP，如果實例需要使用公網IP，可以另外申請彈性公網IP綁定到實例上使用。

可否深入講解一下彈性公網IP—EIP？

彈性公網IP是可以獨立申請的公網IP地址，只能綁定在同一地域內專有網絡類型的ECS實例上，可以使這台ECS實例具備公網通信的能力。

用戶可以根據需求使用EIP進一步實現以下場景：

1、將這台ECS作為SNAT網關，為同VPC內其他實例提供公網訪問能力；

2、將這台ECS作為DNAT網關，使同VPC內其他實例可以面向公網提供服務；

EIP的特性：

1、一個ECS實例只能綁定一個彈性公網IP，一個彈性公網IP只能綁定一個ECS實例；

2、EIP支持動態綁定和解綁，即可以把EIP從一個實例解綁后，綁定到另外一個實例上；

3、彈性公網IP是一種NAT IP。它實際位於阿里雲的公網網關上，通過NAT方式映射到了被綁定ECS實例的私網網卡上。因此，綁定了彈性公網IP的ECS實例的網卡上，並不能看到這個IP地址。但這台實例可以直接使用這個IP進行公網通信。

4、綁定EIP后，ECS實例的默認路由會優先於所有的靜態路由。

想要了解更多專有網絡和彈性IP，鏈接如下：

VPC專有網絡-FAQ

http://help.aliyun.com/knowledge_detail/6716642.html?spm=5176.788315067.2.2.aW0d6H

彈性公網IP-FAQ

http://help.aliyun.com/knowledge_detail/6716650.html?spm=5176.product8315065_vpc.3.1.Fzav3T

創建部署篇

下面我們來一步步詳細講解阿里雲上如何部署日志審計/數據庫審計/基線核查/堡壘機等產品。

（1） vpc網絡的創建

首先我們創建一個專有VPC網絡

填寫對應的信息包括名稱、網段、描述等基本信息

創建成功，如下圖所示：

到此阿里雲上專有網絡VPC的創建就已經成功了，接下來我們講解如何在阿里雲上導入鏡像。

（2）鏡像上傳和導入

阿里雲鏡像分為四種：公共鏡像、自定鏡像、共享鏡像、鏡像市場。我們的產品在鏡像市場有三款產品，分別是SSL/IPSec VPN、虛擬化下一代防火牆、廣域網優化WOC-Cloud/加速IPSec VPN在鏡像市場可以買到，另外的鏡像需要使用鏡像共享或者自定義鏡像進行導入。

此次主要講解自定義鏡像和共享鏡像

自定義鏡像：

鏡像上傳通常是上傳到區域中的對象存儲中，制作成私有鏡像，然后在創建ECS雲服務器的時候選擇私有鏡像創建雲服務器使用，整個過程具體操作步驟如下：

創建存儲：登陸到阿里雲平台，鼠標移動至左側點擊“對象存儲OSS“，創建一個存儲對象。

為存儲對象創建一個桶。

上傳鏡像：

方法一：通過web控制台進行上傳

優點：操作簡單，便捷

缺點：上傳速度慢，不穩定，最大支持5GB的文件上傳

方法二

通過OBS Browser+工具上傳

優點：上傳速度快，穩定，支持超過5GB的大文件上傳

缺點：獲取信息較多，較麻煩

工具下載鏈接：

https://help.aliyun.com/document_detail/61872.html?spm=a2c4g.11186623.2.18.64ef3554ph5ssK#concept-xmg-h33-wdb

Endpoint：默認（公有雲）

Access Key ID和Secret Access Key獲取方法：

將Access Key ID和Secret Access Key填入即可

訪問路徑：可以不填寫，針對只訪問對象存儲中的某個桶或訪問某個路徑

鏡像上傳：選擇對應桶的名稱—文件—添加文件上傳即可

接下來復制鏡像的URL地址。

創建自定義鏡像，選擇鏡像—手動導入。

填寫基本信息即可

OSS Obiect地址：鏡像的URL地址，系統平台如果選項中沒有的話選擇“other linux”即可其他的信息根據鏡像系統和規格填寫對應的格式即可，到這里，等待自定義鏡像制作完成就可以了，后面創建ECS的時候鏡像選擇創建的私有鏡像即可。

共享鏡像：

如果阿里雲市場沒有深信服LAS等產品鏡像，請聯系深信服工程師通過共享鏡像的方式來提供。（深信服共享給客戶）

那么我們平時怎么共享給別人呢？

這里還是會講解一下如何共享，如下。

分為兩種場景：不同用戶同一地域，和不同用戶不同地域

不同用戶同一地域：

適用場景：不同賬號相同地域之間進行鏡像共享，不同的雲平台通過共享的條件也有所不通

阿里雲：賬號ID

華為雲：賬號名：

騰訊雲：賬號ID

賬號ID獲取方法：（其他雲平台的共享條件獲取方法類似）

鏡像共享操作步驟：

鏡像—選擇對應的區域—自定義鏡像—選擇需要共享的鏡像—更多—共享鏡像

輸入需要共享的賬號ID—共享鏡像—確定即可

不同用戶不同地域：

首先通過鏡像復制的方法將需要共享的鏡像復制到與客戶預創建雲服務器所在的區域，然后再通過鏡像共享的方式共享給客戶

選擇鏡像—自定義—復制鏡像—選擇復制的目標地域—輸入自定義鏡像名稱—確認

等待鏡像復制到對應的區域后，參考相同區域不同客戶之間鏡像共享的方式講鏡像共享給客戶即可。

至此我們的鏡像導入和上傳就已經結束了，接下來我們講解創建ECS實例。

（3）創建ECS實例

首先在阿里雲界面上，我們點擊雲服務器ECS—實例—創建實例

進行基礎配置，付費模式還有實例規格按照實際客戶情況進行配置

選擇對應的鏡像后，存儲按照需求選擇高效雲盤或者SSD雲盤，磁盤按照實際情況選擇即可。

對創建的ECS進行專有網絡的配置還有進行公網地址的配置

接下來選擇安全組，安全組未配置前默認進方向都是攔截，出方向都是放行的。若未自定義規格則會導致創建好雲主機后無法訪問的情況。所以需要在安全組中放通TCP443端口（https接入）、TCP8443端口（控制台管理）、TCP8082端口（管理控制台）、TCP22端口（ssh端口）、TCP161端口（snmp端口）、TCP514端口（接受日志）。所以我們新建安全組進行定義相關規則：