开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程:实验:云上业务(二)】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/573/detail/7897
实验:云上业(二)
内容介绍
一、实验验证
二、总结
一、具体实验
首先访问阿里云的官网,然后登录阿里云的账户,在这里先去创建 ECS 服务器,把后端服务器先准备好,之后选择一个可用区就可以。这个实验里面,只需要选择一个可用区就可以了,所以先选择云计算基础 ECS 服务器。
然后分别的在管理控制台创建五个 ECS 服务器,把后端服务器准备好,规划的时候尽量把他们放在同一个地域,这里举例选择的是华北的地域。创建五个 ECS 服务器的时候一个个的去创建,选择按量付费,这样会节省费用,可用区这里选择F,选一个就行,这个地方在选择的时候需要注意一下某些实例是不支持绑定 EIP 的,所以这里选择一个通用型 g5实例,具体的这个实例参考需要去阿里云的官网上看一下实例限制,这里选择操作系统选择 CentOS,磁盘选择默认的高效云盘,
下一步选择网络安全,那这个时候 ECS1的应用是来实现 SSH 服务,接着看交换机,这里先选择 VPC ,此时的 VPC 网络里面没有交换机,如果有的话可以直接在这里下拉选择,但是如果没有的话,可以创建一个,在登录进来的可用区里面有交换机,也可以点击创建交换机进行创建,这里创建交换机名称为 SW,可用区选择 F,IP 网段为1,之后点击确定,即创建成功。
创建完交换机以后回到 ECS 的控制台来。直接选主页然后选产品就可以回到 ECS 的控制台,然后选择华北北京。这个时候点击创建实例,选择按量付费可用区 F,然后选择 centos,默认选择系统盘。这时交换机就有了,但这里需要注意一下,不用分配 IP 地址,因为需要给他绑定弹性公网 IP ,所以实例是运行在 VPC 的私有网络里面,不给他分配公网地址。然后是安全组,可以不选择使用默认的安全组,因为这个时候默认安全组开放22端口,所以 SSH 服务是能正常访问到的。那么弹性 IP 不在这里添加,在最后创建出来以后统一添加,因为还没有去创建弹性公网 IP ,如果有的话可以在这里去添加,所以选择下一步系统配置。还是选择使用密码方式登录,设置一个密码。给实例起一个名字方便去识别,此处叫 ECS1。然后直接点下一组分组设置。
也可以不用设置。然后确认订单,查看是不是在可用区里面,VPC 网络对不对,有没有不分配公网 IP 地址,没有问题后选择勾选协议,选择创建这个实例,如下创建成功。
以上 ECS1就创建出来了,那么这里还是建议一台一台的去创建,不要批量的去创建,这样不会那么容易去出错。接下来再创建第二个 ECS2。还是选择可按量付费,那以此类推,就可以通过这种方式,不分配过往地址,就把他创建出来第二个 ECS 组,这里需要查看安全组,因为默认这个安全组里面有80端口,要检查默认的安全组里面有没有开了80端口,如果这个地方没有开80端口,是访问不到的,一定要确认一下,这入方向组里面目前看是没有的,那这个时候需要去添加一个安全组的规则。端口这个地方肯定是选择80,子网是0.0.0.0/0,就是说其他的外部子网来访问的时候是允许通过80端口访问到一些 ECS 实例,点击确定。
这个地方选择添加一下,唯一需要注意的这个地方就是安全组号。这个时候安全组就修改成功,然后再回到实例的界面中来。从来重新创建实例。这个地方还是选择操作系统。一定要注意还是要在可用区里面,这个地方都统一使用通用型 g5实例,不分配公网地址,这时安全组就没有问题了,还包含端口了。下一步系统配置。注意这个地方还是设置是一样的。设置上密码,名称为 ECS1。最后确认下订单。这里为了节省,计费方式要选择按量付费,主要是为了实验。然后分别的以此类推去把 ECS 3,ECS4,ECS5。这个过程就不再复述,分别的把五个 ECS 创建好。
创建完毕后去配置5个 ECS 的应用。需要根据架构要求去配置应用,ECS1和 ECS4是 ssh server,ECS5是客户端不用动,ECS2 和 ECS3做 web 服务器需要配置一下。
设置开机自启动,再#echo “this is ECSZ”> /var/www/html/index.html 去写一个 web 页面方便负载服务器能均衡到他,#curl http://localhost 进行验证一下,检测没问题。然后应用配置完成了,ECS5也不用做配置,这个时候就可以直接去实现弹性公网 IP 的设置了,那这个时候就关掉终端。回到阿里云首页去申请弹性公网 IP 选择产品。在云计算基础里面有一个弹性公网 IP ,点击选项进入弹性公网IP的控制台,点击控制台分别的去申请弹性公网 IP ,然后点击申请弹性公网 IP 。此处注意不能跨地域,一定要与产品在同一个地域,所以还是选择华北,再假设购买1M带宽使用按量计费,名称暂时不填,数量为1,可以同时购买4个,购买4个 EIP ,选择预付费,预付费的话他的费用会稍微高一些,但是时长为一个月,可根据具体情况选择,这里选择按小时计费,然后点击立即购买。
购买后确认订单,去开通,完成后回到管理控制台,此时公网 IP 就申请出来了,这个时候最好改名标注一下,方便清晰的对应到架构中。
这就是在创建 ECS 后分别进行弹性公网 IP 的绑定,弹性公网 IP 的好处就是可以动态的实现绑定和解绑,所以弹性公网 IP 非常的灵活,想让那个云产品和公网连接的时候,只要将弹性公网 IP 绑定到云产品就行。所以在后面选择对弹性公网 IP 的操作为绑定,选择绑定后会弹出对话框,提示绑定类型,下拉菜单可以看到,NAT 网关 ECS 云产品服务器和 SLB 实例,这里选择 ECS 实例,然后会选择 ECS 实例,找到 ECS 选择后确定。
最好开启健康检查,让负载均衡检查后端服务器状态,如果有异常,这个请求将转发到其他服务器。然后选择下一步,检查设置是否正确,没问题就点击提交,等待审核通过,点击确定。这时候后端服务器组里面就有两个 ECS。业务二就成功实现了。
业务二完了后就可以去 ECS 实例里面去绑定,去实例管理里面绑定弹性公网 IP 。首先回到 EIP 的管理控制台去,在控制台里面去绑定,这个时候就可以把 eiip2来绑定给负载均衡实例,所以选择负载均衡实例,再选择内网均衡实例,点击确定。
配置成功后去创建 DNAT 和 SNAT 的规则,就可以实现 ECS 通过 NAT 网关与 internet 进行通信了。再去选择设置 DNAT 规则,需要去创建 DNAT 条目去实现端口映射,实现端口映射需要去选择一个弹性公网 IP ,所以创建 NAT 网关后要回到弹性公网 IP 控制台,要将弹性公网 IP 绑定到 NAT 网关之上,这时候分别将 eip3和 eip4绑定到 NAT 网关上去,选择 NAT 网关点击确定,绑定完成后选择绑定 eip4,将 eip3和 eip4绑定成功以后,就可以在 NAT 网关中看到绑定的两个弹性公网 IP 。
完成绑定后点击设置 DNAT ,开始完成 DNAT 的条目,这里希望 ECS4能通过公网的22端口访问到 ECS4,所以创建要更加严谨,公网 IP 地址为39.96.50.62,选择 ECS 实例应该为ecs4,公网外部端口的话是2222,访问2222其实是通过端口映射到 ECS4的内网22端口上,因为 SSH 的协议是 TCP ,所以这里协议也应该是走 TCP 然后选择确定。
此时就创建了一个 DNAT 规则,也就是说一个 DNAT 的规则和一个 SNAT 的规则需要一个弹性IP所以申请了两个 IP ,下面再继续创建 SNAT 条目,可以以交换机为单位,也可以选择针对某一个 ECS 还是某一个交换机下的所有 ECS ,在这个实验要求里面是针对某一个 ECS ,也就是这里的 ECS5 ,ECS5 要想实现主动访问公网的能力,作为内网中的客户端实现对公网的访问,所以可以灵活的将公网 IP 绑定到 ECS5 上面,选择 eip4,确定。这个时候弹性公网 IP 就绑定上了。这个时候公网 IP 收到的数据就会按照要求转发给 ECS 。
点击添加 IP 可以从已有的 IP 中选择,能看到弹性公网 IP ,进行选择四个 IP ,就能让所有的云产品共享一份公网带宽。点击选择操作,此时公网带宽购买完成。
购买完成后点击实例可以查看下,此时可以在共享带宽 IP 管理中查看到所有的4个弹性公网 IP 共享了一个2M的公网带宽,那就是分别能看到的产品 ESC,SLB,NAT 网关。
五、实验验证
自此配置全部完成,下面进行测试。ESC1简单业务绑定是 ecs ssh server,所以测试通过 ssh 的工具是否能访问到弹性公网 IP 。
[c:\~]$ssh root@39.107.120.120
这时登录一下接收并保存,输入密码确定。
[root@i2ze93nf1pk3i5dz8myqqZ ~]#
此时成功登录进 ECS1
可以查看他的 IP 地址为
[root@i2ze93nf1pk3i5dz8myqqZ ~]#ifconfig
…
inet 172.16.1.179
所以通过弹性 IP 对内网 ECS 互联互通的访问是成功的。
再测试通过 eip2去访问负载均衡服务,看看能不能访问到 ECS2和 ECS3,
[root@iZ2ze93nf1pk315dz8myqqZ -]# curl http://39.107.66.10 .
this is ECS2
[rootaiz2ze93nf1pk3i5dz8myqqZ ~]# curl http://39. 107.66.10
this is ECS3
所以此时的负载均衡说明也是没有问题的,能够成功的实现轮询,能帮访问到后端的负载均衡实例,并且实现了 web 应用的负载均衡,实现了和内网互联互通的均衡实例,。
继续测试 DNAT 端口映射,使用 ECS1进行测试,就要用 ssh,走 ssh 肯定使用的是22端口,这个时候是肯定连不上内网,公网端口默认是2222,所以这个时候需要-p 去指明端口是2222,此时再访问是没问题的,如:
[root@iZ2ze93nf1pk3i5dz8myqqz ~j]# ssh -p 2222 root@39.96.50.62
The authenticity of host' [39.96.50.62]:2222 ([39.96.50.62]:2222)' can't be established.
ECDSA key fingerprint is SHA256:V15j6c192XTMRwXl5miBXJZpH7EtzArQcnC/83SCCTk.
ECDSA key fingerprint is MD5:2b:a7:d1:db:19:e6:b3:a1:23∶48:e7:86:09:d5:7b:6f.Are you sure you want to continue connecting (yes/no) ? yes
Warning: Permanently added '[39.96.50.62]:2222’(ECDSA) to the list of known hosts.
root@39.96.50.62's password:
welcome to Alibaba Cloud Elastic Compute Service !
再验证一下后端服务器的内网地址:
[root@iZ2zegf9lgawv6gsiiyhm9Z ~]# netstat -tunpl \ grep 22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3541/sshd
[root@iz2zegf9lgawv6gsiiyhm9Z ~]# netstat -tunpl | grep 2222
他的监听是22端口,也就是说他的内网 ECS 并没有去监听2222端口而是22端口,这个时候就是通过公网的端口实现的端口的映射,这时 NAT 网关提供的功能。
ECS5 实现 NAT 作为当前内网中的客户端,想实现他对互联网的访问,要通过 eip4看能不能登录,当然肯定是登录不上去的,因为并没有做端口的映射,只是实现了 ECS5 对外部的访问,如:
[root@iz2zegf9lgawv6gsiiyhm9Z ~]# ssh root@39 96.74.62
[root@iz2zegf9lgawv6gsiiyhm9z ~]#
所以这个时候可以用内网登上去测试一下,如:
[root@iZ2zegf9lgawv6gsiiyhm9z ~]# ssh root@172.16.1.183
The authenticity of host '172.16.1.183 (172.16.1.183)' can't be established.
ECDSA key fingerprint is SHA256:VKKNv+xtI/f6eVXyMPvCs3Lhp08am5SyIKZ68uPE6Ug.
ECDSA key fingerprint is MD5:70∶16:b4:00:c4:68:cb:4b:6f:28:92:54:de:0f:60:36.
Are you sure you' want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.1.183’(ECDSA) to the list of known hosts.
root@172.16.1.183's password:
welcome to Alibaba Cloud Elastic Compute Service !
测试成功,接下来测试 ECS5 上能否访问公网的业务,使用 ping 测试:
[root@iz2zeijswvi96dpjypqt77z ~]# ping www.aliyun.com
PING v6wagbridge.aliyun.com.gds.alibabadns.com (106.11.93.21)56(84) bytes of data.
64 bytes from i06.11.93.21 (106.11.93.21): icmp_seq=l ttl=47 time=24.4 ms
64 bytes from 106.11.93.21 (106.11.93.21): icmp_seq=2 ttl=47 time=24.4 ms
64 bytes from 106.11.93.21 (106.11.93.21): icmp_seq=3 ttl=47 time=24.5 ms
^c
…
能 ping 通就说明 ECS5 能和 web 进行访问。
测试公网负载均衡能否访问到后端的负载均衡应用,通过负载均衡弹性 EIP 测试是否能访问到后端的负载均衡,如:
[ root@iZ2zeijswvi96dpjypqt77Z ~]# curl http://39.107.66.10
this is Ecs3
[ root@iz2zeijswvi96dpjypqt77z ~]# curl http://39.107.66.10
this is EcS3
[ root@iz2zeijswvi96dpjypqt77Z ~]# curl http://39.107.66.10
this is EcS2
[ root@iz2zeijswvi96dpjypqt77Z ~]# curl http:/ /39.107.66.10
this is Ecs3
以上测试说明没问题,成功的实现了 ECS5 作为公网的客户端,来访问外部的网络。
二、总结
至此整个实验全部成功,ECS1通过弹性公网 IP ,web 来访问得到,ECS2和 ECS3组成了后端服务器组,来实现了负载均衡,通过内网的负载均衡能访问得到 ECS2和 ECS3的应用,ENS4 做 DNAT 来实现端口映射。来通过访问公网2222的端口来映射到内部22的端口,ECS5 作为内网中的一个客户端,实现主动访问公网的应用。这是实验中设置的场景来实现云上业务和互联网互联互通的一种方式。在最后通过 EIP 的结合都能实现 ECS,SLB,NAT 网关的产品来实现和互联网互联互通的这么一种常见,通过 EIP 灵活的绑定,在实现网络管理的时候就更加灵活,并且通过绑定公网带宽,来达到节省带宽的目的。
