AWS EC2实例存储及TSL配置

作者：光环云 徐毅

1 实例存储简述

关于实例存储，很多实例可以访问物理附加到主机的磁盘中的存储。此磁盘存储称为实例存储。实例存储可为实例提供临时性块级存储。实例存储卷上的数据仅在关联实例的生命周期内保留；如果用户停止或终止实例，则实例存储卷上的任何数据都会丢失。

下面我们开始演练如何使用实例存储。

登录EC2控制台，启动一个EC2实例，在选择实例类型的时候，可以参考文档 https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/InstanceStorage.html，如下表所示，我选择了m1.small。

在添加存储的时候，可以看到选择了“实例存储0、/dev/sdb 、160GiB”，

其他配置都与通常EC2没有差异，过程省略，直至启动EC2成功。

再远程连接的EC2服务器

执行命令df -h，可见在/media/ephemeral0目录下挂载了实例存储卷。

至此实例存储演练完成，接下来，我们将在该EC2实例上配置SSL/TLS。

2 配置SSL/TLS

2.1 安装LAMP服务器

参考文档：https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html

依次执行以下命令：

sudo yum update -y

sudo amazon-linux-extras install -y lamp-mariadb10.2-php7.2 php7.2

sudo yum install -y httpd mariadb-server

 sudo systemctl start httpd

sudo systemctl enable httpd

sudo systemctl is-enabled httpd

2.2 验证LAMP服务

在浏览器输入前面所创建EC2的公有dns地址：ec2-52-90-192-187.compute-1.amazonaws.com，显示页面内容如下图所示

执行以下命令：

sudo usermod -a -G apache ec2-user

退出并重新连接，再执行以下命令：

1. exit；

2. groups；

3. sudo chown -R ec2-user:apache /var/www;

4. sudo chmod 2775 /var/www && find /var/www -type d -exec sudo chmod 2775 {} ;

5. find /var/www -type f -exec sudo chmod 0664 {} ;

2.3为服务器配置SSL/TLS

安全套接字层/传输层安全性 (SSL/TLS) 可在 Web 服务器和 Web 客户端之间创建一个加密通道，以防止数据在传输过程中被窃听。

SSL是Netscape开发的专门用户保护Web通讯的，目前版本为3.0。最新版本的TLS 1.0是IETF(工程任务组)制定的一种新的协议，它建立在SSL 3.0协议规范之上，是SSL 3.0的后续版本。两者差别极小，可以理解为SSL 3.1，它是写入了RFC的。

由于历史原因，Web 加密通常简称为 SSL。虽然 Web 浏览器仍支持 TLS，但下一代协议 TLS 不容易受到攻1击。

2.3.1 配置SSL/TLS操作

参考文档：https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html

依次执行以下命令：

1） sudo systemctl is-enabled httpd

2） sudo yum install -y mod_ssl

2.3为服务器配置SSL/TLS

安全套接字层/传输层安全性 (SSL/TLS) 可在 Web 服务器和 Web 客户端之间创建一个加密通道，以防止数据在传输过程中被窃听。

SSL是Netscape开发的专门用户保护Web通讯的，目前版本为3.0。最新版本的TLS 1.0是IETF(工程任务组)制定的一种新的协议，它建立在SSL 3.0协议规范之上，是SSL 3.0的后续版本。两者差别极小，可以理解为SSL 3.1，它是写入了RFC的。

由于历史原因，Web 加密通常简称为 SSL。虽然 Web 浏览器仍支持 TLS，但下一代协议 TLS 不容易受到攻1击。

2.3.1 配置SSL/TLS操作

参考文档：https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html

依次执行以下命令：

1） sudo systemctl is-enabled httpd

2） sudo yum install -y mod_ssl

5）sudo systemctl restart httpd

2.3.2 验证TLS

在浏览器中输入 “https:// 一起输入浏览器 URL”

选择“高级”，忽略风险并继续可以打开之前的测试页面

由此证明TLS配置成功。

说明：

1）为了防止站点访问者遇到警告屏幕，还必须获取一个可信 CA 签名证书，该证书不仅进行加密，而且还公开验证您是否为站点拥有者。

2）本次实践只为演练TLS的配置，关于CA证书的配置暂略，待后续再演练。