网络技术基础阿里云实验——企业级云上网络构建实践

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云服务器 ECS,每月免费额度200元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 实验地址:<https://developer.aliyun.com/adc/scenario/65e54c7876324bbe9e1fb18665719179>本文档指导在阿里云上构建跨地域的网络环境,涉及杭州和北京两个地域。任务包括创建VPC、交换机、ECS实例,配置VPC对等连接,以及设置安全组和网络ACL规则以实现特定服务间的互访。例如,允许北京的研发服务器ECS-DEV访问杭州的文件服务器ECS-FS的SSH服务,ECS-FS访问ECS-WEB01的SSH服务,ECS-WEB01访问ECS-DB01的MySQL服务,并确保ECS-WEB03对外提供HTTP服务。

实验地址

https://developer.aliyun.com/adc/scenario/65e54c7876324bbe9e1fb18665719179

image.png

背景描述

某互联网公司的业务主要集中在杭州地区,公司决定将总部地点设在杭州。同时,公司为了更好地吸引北京各高校的科技人才,特在北京设立了远程研发中心。公司使用了阿里云,计划在阿里云的杭州地域独立部署生产环境。同时,在阿里云的北京地域部署开发环境。

公司规划的阿里云上网络架构如下图所示:

  • 北京开发环境有一个VPC:VPC-DEV(172.16.0.0/16),该VPC下有一个开发环境交换机:VSW-DEV(172.16.1.0/24),交换机中部署了一台研发服务器ECS-DEV(172.16.1.1);

  • 杭州生产环境有一个VPC:VPC-PRD(192.168.0.0/16),该VPC下有三个交换机,分别为:WEB服务交换机VSW-WEB(192.168.1.0/24),数据库DB服务交换机VSW-DB(192.168.100.0/24),文件服务器交换机VSW-FS(192.168.200.0/24),每个交换机下均有一台ECS作为本实验架构测试使用。

网络权限要求如下:

  • 通过VPC对等连接打通北京开发环境专有网络VPC-DEV和杭州生产环境专有网络VPC-PRD

  • 北京开发环境的ECS-DEV可以访问杭州生产环境中的文件服务器ECS-FS的SSH服务(22端口)

  • 杭州生产环境中的文件服务器ECS-FS可以访问杭州生产环境中的WEB服务器ECS-WEB01的SSH服务(22端口)

  • 杭州生产环境中的WEB服务器ECS-WEB01可以访问杭州生产环境中的数据库服务器ECS-DB01的MySQL数据库服务(3306端口)

  • 杭州生产环境中的WEB服务器ECS03对外开放WEB服务(80端口)

image.png

企业级云上网络构建实践

北京开发环境搭建

创建北京开发环境专有网络VPC-DEV(172.16.0.0/16)和开发交换机VSW-DEV(172.16.1.0/24)

复制如下链接,访问专有网络VPC控制台,点击创建专有网络。

https://vpc.console.aliyun.com/vpc/cn-beijing/vpcs

选择到北京地域下。

image.png

在弹出的创建专有网络窗口,完成如下配置后,点击确定创建开发专有网络和交换机:

  • 专有网络地域为华北2(北京),名称为VPC-DEV,IPv4网段为172.16.0.0/16

  • 交换机名称为VSW-DEV,可用区为北京 可用区I,IPv4网段为172.16.1.0/24

image.png

image.png

image.png

创建研发安全组SG-DEV,并配置规则允许文件服务器ECS-FS(192.168.200.1)通过TCP协议从22端口(SSH服务)进行通信。

复制如下链接,访问云服务器ECS控制台中的安全组管理页面,点击创建安全组。

https://ecs.console.aliyun.com/securityGroup/region/cn-beijing

image.png

在弹出的创建安全组窗口,完成如下配置后,点击创建安全组:

  • 安全组名称:SG-DEV

  • 网络:VPC-DEV

  • 入方向访问规则,允许文件服务器ECS-FS(192.168.200.1)以及Workbench远程连接IP(100.104.0.0/16)通过TCP协议从22端口(SSH服务)进行通信:

    • 手动添加一条规则,授权策略为允许,优先级为1,协议类型为自定义TCP,目的端口为SSH(22),源:192.168.200.1,100.104.0.0/16

    • 删除其它TCP协议类型规则

【注意】通过Workbench进行ECS实例的远程连接时,需要对固定的源IP网段开放22端口,其中:

  • 如果通过实例的公网IP(包括固定公网IP和EIP)进行远程连接:添加47.96.60.0/24和118.31.243.0/24。

  • 如果通过实例的专有网络私网IP进行远程连接:添加100.104.0.0/16。

image.png

创建研发服务器ECS-DEV(172.16.1.1)

复制如下链接,访问云服务器ECS控制台页面,点击创建实例。

image.png

ECS-DEV创建配置如下:

image.png

image.png

北京开发环境与杭州生产环境的跨地域文件传输网络

复制如下链接,打开专有网络中的VPC对等连接页面,第一次使用可能需要开通CDT功能权限,确定开通后,点击刷新按钮,即可进行接下来的创建VPC对等连接操作。

image.png

在弹出的创建对等连接页面完成如下配置,并点击确定,完成创建:

  • 对等连接名称:PEER-PRD-DEV

  • 发起端VPC实例:VPC-PRD

  • 接收端账号类型:同账号

  • 接收端地域类型:跨地域

  • 接收端地域:华北2(北京)

  • 接收端VPC实例:VPC-DEV

【说明】:VPC-PRD实例ID可通过左侧云产品资源列表查看。VPC-DEV请根据刚刚创建的VPCID进行选择。

image.png

image.png

点击左侧菜单中的VPC对等连接,找到刚刚创建的对等连接PEER-PRD-DEV,可以看到发起端为杭州的VPC-PRD,接收端为北京的VPC-DEV,接下来我们需要分别配置发起端和接收端VPC实例的路由条目。

image.png

image.png

点击发起端VPC实例配置路由条目,因为发起端为VPC-PRD(192.168.0.0/16),接收端为VPC-DEV(172.16.0.0/16),其中需要联通VSW-FS(192.168.200.0/24)和VSW-DEV(172.16.1.0/24),所以发起端的目标网段为VSW-DEV(172.16.1.0/24),详细配置如下:

  • 路由条目名称:R-FS-DEV

  • 目标网段:172.16.1.0/24

image.png

点击接收端VPC实例配置路由条目,因为发起端为VPC-PRD(192.168.0.0/16),接收端为VPC-DEV(172.16.0.0/16),其中需要联通VSW-FS(192.168.200.0/24)和VSW-DEV(172.16.1.0/24),所以接收端的目标网段为VSW-FS(192.168.200.0/24),详细配置如下:

  • 路由条目名称:R-DEV-FS

  • 目标网段:192.168.200.0/24

image.png

复制如下链接,并粘贴至右侧远程桌面中的浏览器中,打开ECS控制台中的安全组页面(杭州地域),找到文件服务器安全组SG-FS,点击右侧操作列中的配置规则按钮,进行规则配置。

https://ecs.console.aliyun.com/securityGroup/region/cn-hangzhou

image.png

在入方向规则配置中,手动添加一条规则,放行从开发服务器ECS-DEV(172.16.1.1)访问SSH(22)服务:允许,1,自定义TCP,目的端口:SSH(22),源:172.16.1.1,点击保存完成配置。

image.png

通过Workbench分别远程连接开发服务器ECS-DEV(172.16.1.1)与文件服务器ECS-FS(192.168.200.1)

image.png

image.png

远程连接后,分别在两台服务器中进行如下测试:

  • 在开发服务器ECS-DEV(172.16.1.1)中通过SSH远程登录文件服务器ECS-FS(192.168.200.1):ssh 192.168.200.1

  • 在文件服务器ECS-FS(192.168.200.1)中通过SSH远程登录开发服务器ECS-DEV(172.16.1.1):ssh 172.16.1.1

image.png

image.png

杭州生产环境WEB服务访问控制

复制如下链接,打开云服务器ECS控制台中的安全组页面,找到数据库服务器所在的安全组SG-WEB01,点击右侧操作列中的配置规则。

https://ecs.console.aliyun.com/securityGroup/region/cn-hangzhou

image.png

在入方向规则配置中,手动添加如下两条规则:

  • 放行WEB服务器ECS-WEB01(192.168.1.1)的WEB服务端口HTTP(80)访问:允许,1,自定义TCP,目的端口:HTTP(80),源:0.0.0.0/0,点击保存

  • 允许从文件服务器ECS-FS(192.168.200.1)通过SSH服务(22端口)访问:允许,1,自定义TCP,目的端口:SSH(22),源:192.168.200.1,点击保存

image.png

image.png

在云服务器ECS控制台获取ECS-WEB01的公网IP,并复制到本地浏览器进行访问测试,如可以看到”ECS-WEB01页面“说明已经开放了WEB服务的80端口:

image.png

image.png

在云服务器ECS控制台通过Workbench远程连接文件服务器ECS-FS,并通过SSH(22端口)服务远程连接WEB服务器ECS-WEB01(192.168.1.1):ssh 192.168.1.1

image.png

杭州生产环境数据库服务访问控制

复制如下链接,打开云服务器ECS控制台中的安全组页面,找到数据库服务器所在的安全组SG-DB01,点击右侧操作列中的配置规则。

https://ecs.console.aliyun.com/securityGroup/region/cn-hangzhou

image.png

在入方向规则配置中,手动添加一条规则,放行从WEB服务器ECS-WEB01(192.168.1.1)访问MySQL(3306)服务:允许,1,自定义TCP,目的端口:MySQL(3306),源:192.168.1.1,点击保存完成配置。

image.png

点击左侧实例与镜像中的实例页面,找到云服务器ECS-DB01,通过Workbench进行远程连接。

image.png

远程连接成功后,通过如下命令本地登录数据库服务,输入正确密码(初始管理员root用户密码为Test123!)后,显示”mysql>“,可输入SQL命令进行数据库操作:

mysql -uroot -p

【注意】提示:如上述命令,”-u“参数为指定MySQL的登录用户名,”-p“参数为指定密码。

image.png

成功登录MySQL后,通过如下命令创建一个可远程登录的web用户:

create user 'webuser'@'192.168.1.1' identified with mysql_native_password by 'Test_123';
flush privileges;

【提示】:create user命令创建了一个名为webuser的用户,该用户仅可从192.168.1.1的源IP地址进行访问,登录密码为Test_123,flush privileges命令为刷新权限使配置立即生效。

image.png

测试通过ECS-WEB01远程访问ECS-DB01的MySQL服务,远程连接ECS-WEB01实例。通过如下命令安装MySQL客户端:

yum install -y mysql

image.png

远程连接ECS-WEB01成功后,通过如下命令测试是否能够成功登录ECS-DB01中的MySQL服务:

mysql -h192.168.100.1 -uwebuser -pTest_123

image.png

如上图所示,说明已经成功通过ECS-WEB01连接ECS-DB01的数据库。

复制如下链接,打开专有网络VPC控制台中的网络ACL页面(杭州地域),点击创建网络ACL。

https://vpc.console.aliyun.com/nacl/cn-hangzhou/nacls

image.png

在弹出的创建网络ACL页面中,进行如下配置后,点击确定:

  • 所属网络ACL:VPC-PRD

  • 名称:ACL-DB

image.png

找到刚刚创建的网络ACL:ACL-DB,点击右侧操作列中的关联交换机,选择ECS-DB01所在的交换机VSW-DB01,点击确定关联。

image.png

image.png

设置网络ACL入方向规则配置:在ACL-DB的配置页面中点击入方向规则,点击管理入方向规则。添加入下两条规则:

  • 优先级1,策略允许,协议类型TCP,源地址192.168.1.1/32,目的端口3306/3306

  • 优先级2,策略拒绝,协议类型ALL,源地址0.0.0.0/0

【说明】:优先级生效顺序:值越小,规则的优先级越高。系统从生效顺序为1的规则开始判断,只要有一条规则与流量匹配,即应用该规则,并忽略其他规则。

例下图所示,入方向规则中,来自源地址为192.168.1.1的请求,访问3306目的端口的TCP协议数据包,在经过如下表所示的ACL规则配置后,匹配生效顺序1和生效顺序2规则中的源地址,由于生效顺序1的优先级高于生效顺序2,所以会根据生效顺序1规则允许该请求。

image.png

image.png

设置网络ACL出方向规则配置:在ACL-DB的配置页面中点击出方向规则,点击管理出方向规则。添加入下两条规则:

  • 优先级1,策略允许,协议类型TCP,目的地址192.168.1.1/32,目的端口1/65535

  • 优先级2,策略拒绝,协议类型ALL,目的地址0.0.0.0/0

【提示】:注意ECS-WEB01会使用一个随机端口访问ECS-DB01的MySQL服务(3306端口),所以这里设置的目的端口不能仅设置为3306/3306,而是1/65535

image.png

image.png

重新远程连接ECS-WEB01,并通过如下命令测试是否能够成功登录ECS-DB01中的MySQL服务:

mysql -h192.168.100.1 -uwebuser -pTest_123

image.png

如上图所示,说明在成功设置了安全组SG-DB01、ACL-DB后还是可以成功通过ECS-WEB01连接ECS-DB01的数据库。

相关文章
|
4天前
|
存储 安全 网络安全
云端防御:云计算环境下的网络安全策略与实践
【5月更文挑战第23天】 在数字化转型的大潮中,云计算已经成为企业IT架构的核心组成部分。然而,随着云服务的广泛采用,数据安全和隐私保护问题日益凸显。本文将深入探讨云计算环境中的网络安全挑战,并分析现代企业在维护信息安全方面的策略和技术实践。通过综合运用加密技术、身份认证、访问控制以及入侵检测等手段,构建了一个多层次的安全防护体系,旨在为云服务用户提供一个更加安全可靠的计算环境。
|
1天前
|
弹性计算 缓存 安全
【阿里云弹性计算】阿里云ECS与CDN结合:构建高性能全球内容分发网络
【5月更文挑战第26天】阿里云ECS与CDN结合打造高性能全球内容分发网络,通过ECS的弹性伸缩和安全可靠性,配合CDN的全球覆盖、高可用性及安全防护,提升访问速度,减轻服务器压力,优化数据传输。以WordPress为例,通过配置CDN域名和ECS,实现高效内容分发,提高系统扩展性和稳定性。此解决方案满足用户对访问速度和稳定性的高要求,为企业提供优质的云计算体验。
24 0
|
3天前
|
云安全 监控 安全
云端防御战线:云计算环境下的网络安全策略与实践
【5月更文挑战第24天】 在数字化浪潮中,云计算已成为企业转型的重要引擎,然而随之而来的网络安全挑战亦不断升级。本文深入探讨了云计算环境中面临的新型安全威胁,分析了云服务模型特有的安全风险,并提出了一套综合性的网络安全策略。文中不仅涉及传统的安全技术如加密、身份认证和访问控制,还着重介绍了最新的云安全解决方案,包括安全配置管理、数据隐私保护以及持续监控等。此外,文章还讨论了合规性问题,指出了企业在迁移至云平台时必须考虑的法律和行业标准。通过案例分析,本文旨在为企业提供一个清晰的网络安全蓝图,以保障其在云时代的信息安全。
|
4天前
|
存储 安全 网络安全
云端守卫:构建云计算环境下的多层网络安全防御体系
【5月更文挑战第23天】 在数字化时代,云计算以其灵活性、可扩展性和成本效益成为企业及个人存储和处理数据的首选解决方案。然而,随之而来的是日益增长的网络安全威胁,包括数据泄露、服务中断和恶意攻击等。本文探讨了在云计算环境中实施有效的网络安全策略和技术的重要性,并提出了一套综合的多层防御模型,旨在增强云服务的信息安全。我们将从物理层安全到应用层安全,详细分析每一层可能遇到的安全挑战以及相应的解决措施。
|
6天前
|
监控 安全 网络安全
构筑安全堡垒:云计算环境下的网络安全策略与实践
【5月更文挑战第21天】 随着企业数字化转型的深入,云计算已成为支撑现代业务架构的关键平台。然而,云服务的广泛采用也带来了前所未有的网络威胁和安全挑战。本文将探讨在动态且复杂的云计算环境中,如何通过一系列创新的策略和技术手段来强化网络安全防线。我们将分析云计算服务模型与网络安全的关系,评估当前面临的主要安全威胁,并提出一套综合性的安全框架,旨在为组织提供指导,以确保其云基础设施和数据的安全性和完整性。
|
6天前
|
存储 监控 安全
构筑防御堡垒:云计算中的网络安全策略与实践
【5月更文挑战第21天】 随着企业逐渐将重心转向云服务,确保数据在迁移、存储和处理过程中的安全性成为关键。本文深入探讨了云环境下的网络安全挑战,并提出了多层次、全方位的安全策略。从基础设施到应用层,文章详细分析了当前最佳实践和未来趋势,旨在为读者提供一套全面的参考框架以强化其云服务的安全体系。
|
6天前
|
机器学习/深度学习 安全 网络安全
构建未来:云计算与网络安全的融合之路
【5月更文挑战第21天】 在数字化转型的浪潮中,云计算已成为推动企业及个人生产力革新的关键力量。然而,随着云服务日益普及,网络安全威胁也随之增加,对信息安全构成了前所未有的挑战。本文将深入探讨云计算环境中的网络安全策略,分析云服务模型中的安全漏洞,并提出一系列创新的防护机制。我们将从最新的加密技术、身份验证协议和入侵检测系统等方面入手,以期打造一个既高效又安全的云计算环境。
|
6天前
|
人工智能 安全 网络安全
云端防御:云计算环境中的网络安全策略与实践
【5月更文挑战第21天】 随着企业加速向云服务迁移,云计算环境的安全成为了关键议题。本文将深入探讨在动态且复杂的云架构中实施有效的网络安全措施的重要性,并分析当前面临的主要威胁和挑战。通过案例研究和最佳实践的分享,我们揭示了如何构建一个安全、可靠的云计算环境,并提出了综合性的安全框架,以增强数据保密性、完整性和可用性。文章还讨论了新兴技术如人工智能和区块链在加强云安全方面的应用前景。
|
6天前
|
移动开发 安全 Android开发
构建高效Android应用:采用Kotlin协程优化网络请求
【5月更文挑战第21天】 在移动开发领域,尤其是针对Android平台,网络请求的处理一直是影响应用性能和用户体验的关键因素。随着现代应用对实时性和响应速度要求的不断提高,传统的同步阻塞或异步回调模式已不再满足开发者的需求。本文将探讨利用Kotlin协程来简化Android应用中的网络请求处理,实现非阻塞的并发操作,并提升应用的整体性能和稳定性。我们将深入分析协程的原理,并通过一个实际案例展示如何在Android项目中集成和优化网络请求流程。
|
6天前
|
安全 算法 网络安全
数字堡垒的构建者:网络安全与信息安全的深层探索
【5月更文挑战第21天】 在数字化时代,数据如同流动的血液,而网络安全则是维持这生命之河纯净与畅通的关键。本文将深入剖析网络安全领域的核心议题,包括网络漏洞的成因、加密技术的进展以及提升安全意识的策略。通过对这些关键要素的细致解读,我们旨在为读者构建一个坚实的网络安全知识框架,以应对日益复杂的网络威胁。
13 3

热门文章

最新文章