失眠网 > 平安云基本系统部署

平安云基本系统部署

时间：2020-08-11 10:28:12

相关推荐

平安云基本系统部署

独角兽企业重金招聘Python工程师标准>>>

基本系统部署

下图是一个简单的网络架构：

接下来以此为例来说明如何在云环境上部署一套应用系统。

1.1 基本网络架构

云平台以专有网络VPC (Virtual Private Cloud)的模式向用户交付网络服务，VPC下划分DMZ和SF两个基本的网络区域。

两种网络类型说明如下：

DMZ：内网与互联网之间隔离的区域，通常部署web server或者前置、代理服务器，可通过开通防火墙向Internet提供服务。

SF：部署内网应用和核心应用的区域。

必须是创建好了网络域和子网之后，才能创建主机环境。

1.2 网络域部署

登录云平台后，进入控制台，展开产品菜单：

随后进入VPC产品目录：

随后再进入专用网络目录，点击创建专有网络开始创建网络域服务：

VPC的名称和描述可自定义：

创建完成之后，VPC的状态会由“创建中”切换为“可用”，随后点击下一步开始创建子网和网络域：

VPC创建完成之后，如需创建更多网络域，可进去VPC内，创建网络域：

点击VPC名称进入VPC内，点击创建网络域的按钮开始进行网络域的创建：

根据实际需求创建DMZ、PTR或者SF网络域

创建完成后，可以在网络域目录下看到对应的网络域情况：

如需多个子网，或者子网IP用完，可以进入网络域内给网络域创建子网：

可根据实际需求选择子网掩码，来确认网段大小：

子网创建完成后，可以在子网目录下看到.

子网创建完成之后，就可以进行主机的创建了。

通常情况下，一个租户下的一个业务只需要创建一个VPC，不同VPC之间的网络是隔离的。

一个VPC下对应一个DMZ和SF的网络域，每个网络域下可以有多个子网，同一个网络域下的子网网络是互通的。

1.3 计算服务部署

参考网络架构图，我们这里需要创建6台主机，其中4台位于DMZ网络域，2台位于SF网络域。

进入云主机产品目录，点击创建实例按钮开始进行云主机的创建：

选择好对应的VPC和网络域之后，根据实际主机配置需求、操作系统需求等来购买主机：

主机创建完成之后，在实例管理页面能够看到创建的所有主机：

点击实例名，进入主机详情页面，可以看到主机的配置、初始密码等信息。

1.4 存储服务部署

1.4.1 购买云磁盘

主机默认的系统盘大小是60GB，如果主机需要额外的存储服务，可以给主机购买云磁盘服务。

在云磁盘的目录下，点击创建磁盘按钮，开始进行磁盘购买：

随后点击选择云主机的按钮，选择要给哪些主机添加磁盘：

勾选需要添加磁盘的云主机：

随后输入磁盘大小：

1.4.2 初始化磁盘

Windows主机需要手动初始化云磁盘之后才能正常使用云磁盘。

操作步骤如下：

• 打开服务器管理器：

• 当前云磁盘属于脱机状态

• 点击联机按钮

• 随后点击初始化磁盘按钮

• 默认使用MBR分区

• 随后新建卷

• 之后会进入欢迎界面

• 定义分区大小

• 分配磁盘盘符

• 格式化磁盘

格式化完成之后磁盘创建完成。

如果是windows server R2版本的主机，可以右键点击windows徽标按钮，然后进入磁盘管理进行上述操作：

Linux主机也需要进行磁盘的初始化操作。

登陆主机后，通过lsblk命令查看磁盘列表：

可以看到刚刚购买的云磁盘目前无挂载点信息，需要手工挂载，这里以挂载到/data目录为例来说明磁盘挂载操作。

首先创建/data目录，随后初始化磁盘，使用pvcreate命令创建PV

PV创建完成之后在创建VG卷组，并将vdb磁盘加入VG

VG创建完成之后需要激活VG

VG激活完成之后，需要在VG中创建LV逻辑卷组：

如上图所示，我们在VolGroup01里面创建lv，命名为LVdata

随后将LVdata进行格式化操作：

格式化完成之后，挂载磁盘到/data目录

随后lsblk命令可以看到磁盘挂载成功。

如果需要开机磁盘自动挂载，则需要将挂载信息写入/etc/fstab文件中。

输入vi /etc/fstab命令来编辑fstab文件：

在文件最后加入磁盘的挂载点信息，随后保存文件。到此磁盘初始化完毕。

1.5 互联网服务部署

如果需要访问云服务，需要将对应的服务或者负载均衡服务接入互联网才能实现。所以我们首先需要申请一个互联网网关。

进入互联网网关目录下，进行网关的申请：

点击创建互联网网关的按钮开始进行创建操作：

选择到对应的VPC，随后点击创建按钮即可开始创建操作：

创建完成后，点击网关名称进入网关的详细配置：

点击申请按钮来申请一个公网IP：

输入需要的带宽大小，随后点击创建按钮即可开始申请公网IP：

申请完成后，在互联网网关详情页面可以看到公网IP地址，如下图所示：

1.5.1 主机互联网接入

在互联网网关的互联网连接目录下，可以给主机添加互联网网卡：

点击创建按钮：

随后点击添加主机实例，就能给对应的主机添加一块网卡，网卡直连到互联网，仅有DMZ区域的主机能够添加公网网卡。

添加完成后就能看到对应的主机公网IP了：

（1）通过互联网连接主机

如果需要从互联网连接主机，windows主机需要放开入方向的TCP 3389端口，Linux主机则需要放开TCP 22端口，这些功能在安全策略管理中实现。

点击图中创建的按钮来创建安全规则：

这里以Linux主机为例，放开入方向的22端口，授权地址0.0.0.0/0表示的是整个互联网网段。如果需要通过特定的网段来登陆，这里可以换成特定网段地址。

如果是需要主机对公网提供web服务等，这里端口则是80、443端口。

（2）主机访问互联网

如果主机需要通过浏览器访问互联网，则需要创建出方向的80、443端口：

端口范围如果需要填多个，则用英文的逗号隔开即可。

如果主机需要使用互联网的DNS服务，则需要放开出方向的TCP和UDP的53端口。同时给主机配置DNS服务器。

例如Windows服务器，我这里给公网网卡配置了对应的DNS服务器：

配置完成后可看到这个网卡的网络连接详细信息中有DNS服务器：

Linux主机也是如此，需要给主机添加一条DNS服务器：

输入命令vi /etc/resolv.conf来修改主机DNS配置，加入下图中这条即可

修改完成之后保存文件。

随后查看DNS状态：

此时DNS服务器已添加。

默认情况下无需手动添加DNS服务器或者更改DNS信息。

1.5.2 负载均衡互联网接入

如果系统是通过负载均衡向互联网提供web服务，则需要将互联网网关添加到负载均衡。

（1）配置负载均衡

在产品与服务目录下，进入负载均衡ELB目录，创建负载均衡服务。

点击创建按钮开始进行负载均衡实例的创建，目前提供公网类型实例和金融类型实例。

这里以公网类型实例为例来说明。

选择对应的VPC和网络域，输入显示名称之后开始创建：

购买之后可以在实例管理页面看到，点击实例名称可进入实例管理配置页面：

首先在监听器选项卡下，点击创建监听器来添加后台实例：

配置好相关项目后，点击创建即可完成监听器的创建操作：

随后在服务器资源池选项卡下，创建服务器资源池：

选好主机和监听器后，点击图中箭头，将主机添加到新建的服务器资源池中：

填好后端端口之后，点击创建开始创建服务器资源池。

随后配置监听器，点击编辑进入编辑界面。并选择公共创建的资源池：

随后点确认完成配置。

创建完成之后，资源池、监听器和负载均衡实例的状态都会变成可用。

（2）配置DNAT映射

可通过配置DNAT规则，将金融类负载均衡服务发布到互联网。

在互联网网关的公网IP地址下，先创建公网IP：

公网IP创建完成之后，可以将公网IP绑定到负载均衡实例。

在DNAT规则下点击创建按钮：

选好对应的公网IP和负载均衡实例，填好端口之后，点击确定即可。

随后可以看到公网IP和内网IP实现了IP和端口映射：

1.6 Terminal主机接入

通常为了安全起见，会创建一台Terminal主机，作为登录云主机的跳板，Terminal主机部署在DMZ区域，且需要开通主机到对应SF区域的安全策略。这里以windows主机来做说明。

首先参考互联网接入的章节，给主机绑定互联网网关，且放开入方向的3389端口，然后就能通过互联网远程桌面这台主机了。

1.6.1 配置安全组

云环境内，同一个VPC内不同的网络域之间是有防火墙和ACL隔离的，用户可通过配置安全组策略来开通不同网络域的主机互访权限。

进入安全组之后，点击创建安全组按钮，我这里需要通过位于DMZ区域的Terminal主机访问位于SF区域的主机，所以创建一个网络域为SF的安全组：

安全组创建完毕后，点击安全组名称，进入详细的配置页面：

随后点击添加主机实例的按钮，将Terminal主机添加到安全组：

添加完成后，进入安全组规则选项卡进行安全组规则的详细配置：

点击创建按钮开始进行安全规则的创建。

1.6.2 配置安全规则

这里的需求是通过DMZ区域的Terminal主机ECA-WJ3600013来访问SF网络域（10.2.0.160/27）的主机。

所以需要放开出方向（OUT）到SF网段10.2.0.160/27的22端口：

随后在主机上测试网络是否已能够联通：

telnet 10.2.0.168 22

测试通过，此时已经能够通过ssh登陆这个网段的主机。

如果是需要访问Windows主机，这里的安全策略就还需要放通3389端口。

2.7 跨VPC互访

2.7.1 同租户内访问

如果在同一个租户内，有多个VPC的情况，不同VPC之间的ECS实例需要互访，除了

需要放开安全策略以外，还需要配置VPC之间的高速通道。

下面以如下两台主机为例，说明如何配置同租户的跨VPC访问：

这两台主机分别位于不同VPC的SF区域和DMZ区域。

其中，SF的子网为： 10.2.0.160/27

DMZ的子网为：10.1.2.96/28

（1）创建高速通道

先创建高速通道：

产品与服务，网络文件夹下有高速通道的产品项：

点击添加按钮：

随后选择对应的本端VPC和对端VPC，选好了VPC之后，在下面的互访IP地址中，就能够选择到对应的子网网段了：

配置完成之后点击确定完成高速通道的创建。如下是配置完成之后的高速通道：

登录主机进行ping测试

此时能够ping通，说明高速通道配置成功。但是此时是无法访问主机的，端口策略都未开通：

（2）配置安全策略

高速通道配置成功之后，如果需要互相访问，需要放开对应端口的安全策略，这里以22端口为例来进行说明。

首先创建一个安全组，VPC和网络域选择主机对应的网络域：

随后将实例加入安全组：

随后创建安全组规则：

这样入方向的安全组配置完毕，除此之外，还要在被访问的主机那里配置入方向的安全策略。

同样的步骤配置安全组：

并将主机加入安全组：

配置完成之后，测试telnet 22端口，测试通过：

2.7.2 跨租户访问

跨租户进行主机互访，同样也是需要先配置高速通道。

这里以如下两台主机的互访进行说明，这两台主机分别位于不同的租户：

ECA-LJ3600044和ECA-LP1600023

填好对应的租户和VPC信息之后，还需要获取授权码：

并配置好互访IP地址，随后点击确认：

随后在之前的安全组内添加策略：

在另一个租户内也需要配置对应的安全组信息：

随后将实例加入安全组：

并配置安全策略：

配置完成之后测试连接情况，能够正常访问22端口：

2.8 访问控制RAM

如果您购买了多台云服务器 ECS 实例，您的组织里有多个用户需要使用这些实例。访问控制 RAM 将帮助您管理用户对资源的访问权限控制。RAM (Resource Access Management)是平安云公有云为客户提供的用户身份管理与访问控制服务，使用 RAM，您可以创建、管理用户账号，并可以控制这些用户账号对您名下的资源具有操作权限。

2.8.1 创建用户

登入平安云控制台，选择【访问控制RAM】->【用户管理】->【创建】，进入创建用户页面。

用户创建完成之后，在用户管理页面能够看到创建的所有用户，可在页面上对用户进行加入组、授权、删除的操作。

点击用户名，进入用户详情页面，可以看到用户的基本信息、AccessKey、用户加入的组、用户策略。

创建群组

如果您的账号下创建了多个RAM用户，为了更好的管理用户及其权限，建议您通过用户组(Group)来管理。

操作步骤：进入平安云控制台，选择【访问控制RAM】->【群组管理】 -> 【创建】，在弹出的窗口中填写需要新建的群组名称。

群组创建完成之后，在群组管理页面能够看到创建的所有群组，可在页面上对群组进行编辑、授权、删除的操作。

点击群组，进入群组详情页面，可以看到群组的基本信息、群组成员、群组策略。

2.8.2 创建授权策略

支持两种类型的授权策略：系统授权策略和客户自定义授权策略。

【自定义授权策略】