云基础知识介绍及云组件部署

云基础知识介绍及云组件部署

序言

随着业务的发展，各类业务都有上云的需求，大家在工作中也会经常遇到各类公有云的场景，其实各大厂商的公有云功能都大相径庭。相信很多人有疑问，如何在公有云上部署相关云组件和安全产品呢？本着共同学习的心态，耗时半月，才有了这篇文章，希望能让更多的伙伴们学习和掌握阿里云上的基本操作和部署组件。

本文分为两个篇章，基础知识篇和创建部署篇，来详细讲解。

基础知识篇

• *阿里云简介：*

阿里巴巴旗下云计算品牌，创立于2009年，2010年，阿里云对外开放其在云计算领域的技术服务能力。用户通过阿里云，用互联网的方式即可远程获取海量计算、存储资源和大数据处理能力。

• 阿里云产品有那些？

阿里云产品体系分为6大类，分别为：存储与内容分发服务、弹性计算服务、数据存储及计算服务、大规模计算服务、应用服务还有安全与管理服务。

和我们结合最紧密的产品为弹性计算服务，特别是云服务器（Elastic Compute Service，ECS），下面统成为ECS。

• 什么是ECS?

ECS是一种高可用、高性能、可弹性伸缩的服务，它以阿里云自主研发的飞天分布式计算系统为基础，基于先进的虚拟化、分布式存储等云计算技术，将计算和存储的基础资源整合在一起，并以Web方式为用户提供计算能力。处理能力可弹性伸缩的计算服务，管理方式比物理服务器更简单高效。无需提前采购投入，用户可以根据业务的需要，随时创建、释放任意多台云服务器实例。

• 地域的概念：

地是指ECS实例所在的物理位置

注意点：地域内的 ECS 实例内网间是可以互通的，不同地域之间的 ECS 实例内网不互通。

• 可用区的概念：

是指同一地域内，电力和网络互相独立的物理区域。

同一可用区内的ECS实例网络延时更小，并且在同一地域内可用区与可用区之间内网互通，可用区之间能做到故障隔离。

• 阿里云网络是怎么样的？

阿里云网络分为两种网络经典网络和专有网络

经典网络：IP地址由阿里云统一分配，配置简便，使用方便，适合对操作易用性要求比较高、需要快速使用ECS的用户。

专有网络（重点了解）：VirtualPrivate Cloud，简称VPC，逻辑隔离的私有网络，用户可以自定义网络拓扑和IP地址，支持通过专线连接。适合对网络管理熟悉了解的用户。

注意：

1、SSL-cloud可以运行在经典网络和专有网络，而AF-cloud和WOC-cloud只能运行在专有网络上。

2、网络类型仅是ECS产品功能上区分，与运营商公网接入网络质量无关，任何网络类型的运营商接入均为BGP线路。

经典网路和专有网络的对比如下：

• 阿里云上网络IP地址规划是怎么样的？

目前经典网络 IP 地址由阿里云统一分配，包括私网IP和公网IP。私网IP用于与实例之间互访，公网 IP 用于实例与 Internet 之间互访，也可以用于实例与云服务之间互访。公网IP的出口带宽需要根据带宽大小收费。

VPC专有网络的内网IP地址由用户自主规划，专有网络内的实例默认不会被分配公网IP，如果实例需要使用公网IP，可以另外申请弹性公网IP绑定到实例上使用。

可否深入讲解一下弹性公网IP—EIP？

弹性公网IP是可以独立申请的公网IP地址，只能绑定在同一地域内专有网络类型的ECS实例上，可以使这台ECS实例具备公网通信的能力。

用户可以根据需求使用EIP进一步实现以下场景：

1、将这台ECS作为SNAT网关，为同VPC内其他实例提供公网访问能力；

2、将这台ECS作为DNAT网关，使同VPC内其他实例可以面向公网提供服务；

EIP的特性：

1、一个ECS实例只能绑定一个弹性公网IP，一个弹性公网IP只能绑定一个ECS实例；

2、EIP支持动态绑定和解绑，即可以把EIP从一个实例解绑后，绑定到另外一个实例上；

3、弹性公网IP是一种NAT IP。它实际位于阿里云的公网网关上，通过NAT方式映射到了被绑定ECS实例的私网网卡上。因此，绑定了弹性公网IP的ECS实例的网卡上，并不能看到这个IP地址。但这台实例可以直接使用这个IP进行公网通信。

4、绑定EIP后，ECS实例的默认路由会优先于所有的静态路由。

想要了解更多专有网络和弹性IP，链接如下：

VPC专有网络-FAQ

http://help.aliyun.com/knowledge_detail/6716642.html?spm=5176.788315067.2.2.aW0d6H

弹性公网IP-FAQ

http://help.aliyun.com/knowledge_detail/6716650.html?spm=5176.product8315065_vpc.3.1.Fzav3T

创建部署篇

下面我们来一步步详细讲解阿里云上如何部署日志审计/数据库审计/基线核查/堡垒机等产品。

（1） vpc网络的创建

首先我们创建一个专有VPC网络

填写对应的信息包括名称、网段、描述等基本信息

创建成功，如下图所示：

到此阿里云上专有网络VPC的创建就已经成功了，接下来我们讲解如何在阿里云上导入镜像。

（2）镜像上传和导入

阿里云镜像分为四种：公共镜像、自定镜像、共享镜像、镜像市场。我们的产品在镜像市场有三款产品，分别是SSL/IPSec VPN、虚拟化下一代防火墙、广域网优化WOC-Cloud/加速IPSec VPN在镜像市场可以买到，另外的镜像需要使用镜像共享或者自定义镜像进行导入。

此次主要讲解自定义镜像和共享镜像

自定义镜像：

镜像上传通常是上传到区域中的对象存储中，制作成私有镜像，然后在创建ECS云服务器的时候选择私有镜像创建云服务器使用，整个过程具体操作步骤如下：

创建存储：登陆到阿里云平台，鼠标移动至左侧点击“对象存储OSS“，创建一个存储对象。

为存储对象创建一个桶。

上传镜像：

方法一：通过web控制台进行上传

优点：操作简单，便捷

缺点：上传速度慢，不稳定，最大支持5GB的文件上传

方法二

通过OBS Browser+工具上传

优点：上传速度快，稳定，支持超过5GB的大文件上传

缺点：获取信息较多，较麻烦

工具下载链接：

https://help.aliyun.com/document_detail/61872.html?spm=a2c4g.11186623.2.18.64ef3554ph5ssK#concept-xmg-h33-wdb

Endpoint：默认（公有云）

Access Key ID和Secret Access Key获取方法：

将Access Key ID和Secret Access Key填入即可

访问路径：可以不填写，针对只访问对象存储中的某个桶或访问某个路径

镜像上传：选择对应桶的名称—文件—添加文件上传即可

接下来复制镜像的URL地址。

创建自定义镜像，选择镜像—手动导入。

填写基本信息即可

OSS Obiect地址：镜像的URL地址，系统平台如果选项中没有的话选择“other linux”即可其他的信息根据镜像系统和规格填写对应的格式即可，到这里，等待自定义镜像制作完成就可以了，后面创建ECS的时候镜像选择创建的私有镜像即可。

共享镜像：

如果阿里云市场没有深信服LAS等产品镜像，请联系深信服工程师通过共享镜像的方式来提供。（深信服共享给客户）

那么我们平时怎么共享给别人呢？

这里还是会讲解一下如何共享，如下。

分为两种场景：不同用户同一地域，和不同用户不同地域

不同用户同一地域：

适用场景：不同账号相同地域之间进行镜像共享，不同的云平台通过共享的条件也有所不通

阿里云：账号ID

华为云：账号名：

腾讯云：账号ID

账号ID获取方法：（其他云平台的共享条件获取方法类似）

镜像共享操作步骤：

镜像—选择对应的区域—自定义镜像—选择需要共享的镜像—更多—共享镜像

输入需要共享的账号ID—共享镜像—确定即可

不同用户不同地域：

首先通过镜像复制的方法将需要共享的镜像复制到与客户预创建云服务器所在的区域，然后再通过镜像共享的方式共享给客户

选择镜像—自定义—复制镜像—选择复制的目标地域—输入自定义镜像名称—确认

等待镜像复制到对应的区域后，参考相同区域不同客户之间镜像共享的方式讲镜像共享给客户即可。

至此我们的镜像导入和上传就已经结束了，接下来我们讲解创建ECS实例。

（3）创建ECS实例

首先在阿里云界面上，我们点击云服务器ECS—实例—创建实例

进行基础配置，付费模式还有实例规格按照实际客户情况进行配置

选择对应的镜像后，存储按照需求选择高效云盘或者SSD云盘，磁盘按照实际情况选择即可。

对创建的ECS进行专有网络的配置还有进行公网地址的配置

接下来选择安全组，安全组未配置前默认进方向都是拦截，出方向都是放行的。若未自定义规格则会导致创建好云主机后无法访问的情况。所以需要在安全组中放通TCP443端口（https接入）、TCP8443端口（控制台管理）、TCP8082端口（管理控制台）、TCP22端口（ssh端口）、TCP161端口（snmp端口）、TCP514端口（接受日志）。所以我们新建安全组进行定义相关规则：

注：规则方向选择入方向；授权动作选择允许；授权对象填写0.0.0.0/0（代表任意IP，若有其他需求则按需填写）

填写完成后回到配置云服务器的页面，点击重新选择安全组的按钮，选择刚刚创建的安全组

后面的配置按照实际情况选择即可，一般情况下保持默认即可

最后确认订单支付即可完成云主机的创建，创建完成后可以在实例列表里看到新建的日志审计系统主机的相关信息，包括运行状态、内网IP地址、EIP地址、配置信息等。

实例创建完成后，用公网IP地址对软件进行登录配置。

（同理堡垒机、基线核查、数据库审计等产品部署都是如此）

避免踩坑注意点：

1、阿里云上支持的镜像格式为RAWVHDQCOW2。

2、阿里云上对组件系统盘大小要求在20G—500G。

3、数据库审计202不支持mongodb数据库，203支持。故要重新部署，并打上对应的补丁（按需打：单个磁盘扩容补丁）和mongodb数据库补丁。

4、OSM需要搭建应用发布服务器的话记得提前向客户说明，在阿里云上预留资源。

5、阿里云内的同一个VPC里网络都是互相打通的，例如192.168.1.1和192.168.2.1是通的，可以互访。

结尾：至此阿里云的简介以及云组件的部署已经讲解完成，“三人行必有我师焉”还望大家多多指教!

VHDQCOW2。

2、阿里云上对组件系统盘大小要求在20G—500G。

3、数据库审计202不支持mongodb数据库，203支持。故要重新部署，并打上对应的补丁（按需打：单个磁盘扩容补丁）和mongodb数据库补丁。

4、OSM需要搭建应用发布服务器的话记得提前向客户说明，在阿里云上预留资源。

5、阿里云内的同一个VPC里网络都是互相打通的，例如192.168.1.1和192.168.2.1是通的，可以互访。

结尾：至此阿里云的简介以及云组件的部署已经讲解完成，“三人行必有我师焉”还望大家多多指教!