閱讀443 返回首頁    go windows

使用金融雲ECS__使用金融雲產品_金融雲-阿裏雲

1. 金融雲(經典網絡)ECS特性

(1) ECS外網入方向安全策略限製,默認UDP ACCEPT ALL,TCP/ICMP等其他協議默認DROP ALL。出方向無策略限製。

(2) 對於需要對外訪問互聯網上的資源的服務器,需要購買外網帶寬。

(3) 日常管理可以使用SSL_VPN,具體可參考開通管理VPN

(4) 線下和雲上的業務通信需求推薦用專線IPSEC_VPN接入。

2. 開通ECS

在ECS雲服務器的主頁上,點擊“立即購買”,或直接訪問購買鏈接開通ECS雲服務器時,有以下選項:

選項 說明 建議選項
地域 選擇服務器所在的地域,金融雲的生產服務器建議選擇在華東1。華東1的ECS隻能連接華東1的RDS,華東1的RDS是雙機房高可用的。 建議將生產係統放在杭州地域
可用區 可用區相當於物理機房的概念,指的是所購買ECS物理位於的哪個機房 同一功能的服務器,一半選擇在“杭州可用區B”,另一半選擇在“杭州可用區C”
CPU/內存 選擇服務器的配置 根據需要選擇。如果應用程序支持,建議選擇多台低配置(而不是少量高配置)的服務器分布在兩個可用區。
公網帶寬 如果ECS需要訪問互聯網上的資源,比如下載互聯網上的文件、調用短信網關等,則需要在這裏選擇一個公網帶寬。需要注意的是,即使這裏選擇了公網帶寬,互聯網用戶還是無法通過ECS分配到的公網IP訪問到ECS。 根據需要選擇
鏡像類型 公共鏡像是阿裏雲提供的標準操作係統。 默認公共鏡像 。也可以根據需求選擇自定義或者雲市場鏡像
公共鏡像 選擇所需要的操作係統和版本 根據需要選擇
數據盤 給雲服務器增加新的磁盤。添加後在雲服務器的操作係統上看起來就是一塊新硬盤。 根據需要添加並設置大小。
登錄密碼 設置雲服務器的登錄密碼
實例名稱 對實例的描述 建議設置為有意義的名稱,便於以後管理
購買時長 實例購買多長時間 按需要選擇,一年的價格相當於一個月的價格乘10
數量 按以上的選擇的購買數量 按需要選擇。

ecs-buy1

ecs-buy2

選擇完成後,可點擊“立即購買”,也可點擊“加入清單”然後再點擊“批量購買”完成購買。

3. 使用控製台管理ECS

ECS雲服務器可通過管理控製台進行管。在ECS雲服務器的管理界麵上,可以對服務器進行停止、重啟、升級、更換操作係統等操作,具體請參考ECS的基本操作幫助文檔

4. 連接ECS服務器

使用Windows遠程桌麵、SecureCRT等客戶端連接之前,請確認管理VPN已撥入,已經設置相應的安全組規則

VPN撥入成功後,會為客戶端分配IP地址。然後需要配置ECS安全組規則,以允許管理VPN的源IP訪問。如上可見,通過配置VPN和安全組規則,即可通過Windows遠程桌麵或SSH客戶端遠程管理ECS和上傳下載文件。通過這種方式可管理純內網的ECS(無公網帶寬),不但沒有流量費用,安全性也得到增強。

5. 上傳下載文件

出於安全和合規的要求,金融雲對外部端口進行了限製。上傳文件之前,請先通過安全組開通遠程管理端口(sftp協議需要22端口,暫不支持FTP傳輸)。Linux操作係統請使用sftp協議進行文件上傳(可使用圖形化的sftp協議工具winscp,參考winscp官方幫助),Windows操作係統請使用遠程桌麵的連接本地驅動器功能,參考這裏這裏

6. 使用阿裏雲內建的YUM源

金融雲為CentOS係統提供了內部Yum源,下載一鍵更新源腳本即可,阿裏雲的Yum源使用內網流量,沒有選擇寬帶的ECS也可以正常使用。更多關於yum源的配置,可訪問該鏈接查看。

7. 搭建金融雲推薦架構

金融雲推薦架構對應的ECS部分實現方法如下:

(1) 將生產服務器加入清單在ECS購買頁麵上,選擇杭州可用區B,選擇適應的配置和服務器數量後,點擊“加入清單”。再選擇杭州可用區C,點擊“加入清單”。現在,購買清單中包含兩個可用區的多台同配置服務器。

(2) 將堡壘機加入清單在ECS購買頁麵上,選擇杭州可用區B,選擇1C/1G內存的ECS一台,操作係統與生產服務器一致,公網帶寬選擇為0,點擊“加入清單”再選擇杭州可用區C,點擊“加入清單”。現在,購買清單中包含兩個可用區各一台堡壘機。

(3) 完成購買在頁麵上點擊“批量購買”,完成付款。然後進入ECS管理控製台,記錄所有服務器的內網IP地址。

(4) 配置堡壘機安全組創建一個安全組,名稱為sg-bastion,將規則中加入“我的VPN”中列出的所有客戶端IP地址(見3.2.2),端口設置為22(堡壘機是Linux)或3389(堡壘機是Windows)。所屬服務器選擇為2台堡壘機。

(5) 配置生產服務器安全組創建一個安全組,名稱為sg-production,將規則中加入2個堡壘機的IP地址,端口設置為22(堡壘機是Linux)或3389(堡壘機是Windows)。所屬服務器選擇為所有的生產服務器。

(6) 其它配置如果有需要,再創建測試服務器和測試服務器安全組。如果創建了新的服務器,需要手工添加到相應的安全組後才可被堡壘機訪問。

最終實現的訪問路徑如下圖:

金融雲ECS與公有雲的ECS在使用上略有不同,在搭建應用時還需要注意以下幾點:

  1. 互聯網帶寬及端口限製。目前公有雲互聯網訪問帶寬可在ECS或 SLB上選取,但是金融雲在網絡訪問方向和端口上進行了限製。主要包括:
    • ECS外網TCP不能被外網直接訪問,互聯網用戶可通過SLB訪問ECS,帶寬或流量在SLB上選取
    • ECS需要主動發起互聯網訪問時,在ECS需選取外網帶寬,否則,帶寬選0
  2. 因為金融雲的SLB(負載均衡)和RDS(數據庫)默認是同城雙中心。控製台上隻能看到一個實例,但實際上會由分布在兩個或多個可用區(機房)的服務集群提供SLB和RDS服務。所以隻要把購買的ECS均分到不同的可用區,則整個係統就是一個具有容災能力的同城雙中心的高可用係統。
  3. 構建業務係統的服務器(ECS),建議選配多台低配,而不是一台高配,通常2核CPU/2G內存或4核CPU/4G內存即可。如果某台ECS發生故障,其它ECS還在正常提供服務,從而達到高可用的目的。從高可用的角度考慮,提供相同功能的ECS台數越多,故障期間對整體性能影響越小,可用性也越高。
  4. 建議每個業務模塊,至少部署在兩台ECS上(前端部署公網/私網SLB)。否則整體係統存在單點,雖然能夠正常運行,但是也要有發生故障(業務軟件故障或ECS故障)暫停業務的預期。雖然雲服務的可用性較高,但從概率上講,在某個時點故障一定會發生。
  5. 業務模塊須配置成開機自啟動,當ECS故障自動遷移後,業務模塊也能自動啟動並提供服務。ECS自身和操作係統故障會觸發自動遷移,業務模塊故障不會觸發。
  6. 通常不需要購買公網帶寬,而是在SLB上購買帶寬,除非ECS有主動訪問外網的需求。
  7. ECS普通雲盤單盤最高支持2TB存儲空間(不包括係統盤),詳細的介紹可以參考創建雲盤

8. 常見問題

Q:什麼叫可用區?如何選擇可用區?

A:可用區相當於物理機房的概念,指的是所購買ECS物理位於的哪個機房。同一功能的服務器,一半選擇在一個可用區,另一半選擇在同一地域的另一個可用區。

Q:ECS上的公網帶寬有什麼用?

A:如果ECS需要訪問互聯網上的資源,比如下載互聯網上的文件、調用短信網關等,則需要選擇公網帶寬。需要注意的是,即使這裏選擇了公網帶寬,互聯網用戶還是無法通過ECS分配到的公網IP訪問到ECS。

Q:我購買了ECS上的公網帶寬,但還是無法訪問外網

A:如果是後加的公網帶寬,必須通過控製台對ECS進行重啟。在ECS內進行重啟無效。

Q:我VPN登錄後,無法ping通我的ECS

A:ECS默認不允許ping操作。建議通過堡壘機去ping。如果想從VPN客戶端直接ping,可創建一個新的安全組,名稱為sg-icmp,入站規則處,選擇ICMP協議,源地址寫為VPN登錄後分配的IP地址,然後點擊“添加規則”,並將服務器添加進該安全組。

icmp

Q:我無法登陸我的ECS

A:首先你要登錄VPN,請參考前麵的VPN相關內容。然後ECS默認不允許登陸,需要通過ECS安全組配置防火牆,允許SSH協議或RDP協議後才可以登陸ECS。SSH使用TCP協議22端口,RDP使用TCP協議3389端口。配置的源IP地址要配置為VPN自服務控製台中看到的“客戶端IP列表”。建議通過堡壘機登錄,請參考上麵的內容實現堡壘機。

Q:互聯網用戶無法訪問到我的ECS

A:互聯網用戶需要通過SLB才能訪問到ECS,具體能參考SLB的配置方法。

Q:如何上傳下載文件

A:上傳文件之前,請先通過安全組開通遠程管理端口。Linux操作係統請使用sftp協議進行文件上傳(可使用圖形化的sftp協議工具winscp,參考winscp官方幫助),Windows操作係統請使用遠程桌麵的連接本地驅動器功能,參考這裏這裏

也可以利用OSS進行數據中轉,bucket創建如下。

oss

最後更新:2016-11-23 17:16:07

  上一篇:go 金融雲推薦架構(專有網絡)__使用金融雲產品_金融雲-阿裏雲
  下一篇:go 使用金融雲SLB(經典網絡)__使用金融雲產品_金融雲-阿裏雲