クラウドの基本的な知識とクラウドコンポーネントのデプロイの概要

序文

ビジネスの発展に伴い、あらゆる種類のビジネスがクラウドに移行する必要があり、誰もが仕事でさまざまなパブリッククラウドのシナリオに遭遇することがよくあります。実際、主要メーカーのパブリッククラウドの機能は大きく異なります。関連するクラウドコンポーネントやセキュリティ製品をパブリッククラウドにデプロイする方法について、多くの人が質問をしていると思います。一緒に学ぶという考え方で、この記事を作成するのに半月かかりました。より多くのパートナーが、AlibabaCloudの基本的な操作とデプロイメントコンポーネントを学び、習得できることを願っています。

この記事は、基本的な知識の章と作成および展開の章の2つの章に分かれており、詳細に説明しています。

基本知識

* Alibaba Cloudの概要：*

アリババのクラウドコンピューティングブランドは2009年に設立されました。2010年、アリババクラウドはクラウドコンピューティングの分野で技術サービス機能を開始しました。ユーザーはAlibabaCloudを通じて、インターネットを使用して大規模なコンピューティング、ストレージリソース、ビッグデータ処理機能をリモートで取得できます。

Alibaba Cloud製品とは何ですか？

Alibaba Cloud製品システムは、ストレージおよびコンテンツ配信サービス、エラスティックコンピューティングサービス、データストレージおよびコンピューティングサービス、大規模コンピューティングサービス、アプリケーションサービス、セキュリティおよび管理サービスの6つのカテゴリに分類されます。

私たちと最も緊密に統合されている製品は、エラスティックコンピューティングサービス、特にクラウドサーバー（Elastic Compute Service、ECS）であり、これらはすべて以下のECSになります。

ECSとは何ですか？

ECSは、可用性が高く、パフォーマンスが高く、弾力的にスケーラブルなサービスです。AlibabaCloudが独自に開発したFeitian分散コンピューティングシステムに基づいています。高度な仮想化、分散ストレージ、その他のクラウドコンピューティングテクノロジーに基づいて、コンピューティングとストレージを統合しています。リソースは統合されており、Webを介してユーザーにコンピューティングパワーを提供します。弾力的にスケーラブルな処理能力を備えたコンピューティングサービスは、管理用の物理サーバーよりもシンプルで効率的です。事前に投資を購入する必要はありません。ユーザーは、ビジネスニーズに応じて、いつでも任意の数のクラウドサーバーインスタンスを作成およびリリースできます。

地域の概念：

場所とは、ECSインスタンスが配置されている物理的な場所を指します

注：リージョン内のECSインスタンスのイントラネットは相互に通信でき、異なるリージョン内のECSインスタンスのイントラネットは相互に通信できません。

アベイラビリティーゾーンの概念：

これは、電気とネットワークが同じエリア内で互いに独立している物理的なエリアを指します。

同じゾーン内のECSインスタンスのネットワーク遅延は小さく、イントラネットは同じゾーン内のゾーン間で相互接続されており、ゾーンを障害分離することができます。

Alibaba Cloud Networkはどのようなものですか？

Alibaba Cloud Networkは、クラシックネットワークとプライベートネットワークの2つのタイプに分けられます。

従来のネットワーク：IPアドレスはAlibaba Cloudによって一律に割り当てられ、構成と使用が簡単です。操作のしやすさに対する要件が高く、ECSをすばやく使用する必要があるユーザーに適しています。

プライベートネットワーク（理解に重点を置く）：VPCと呼ばれるVirtualPrivate Cloudは、論理的に分離されたプライベートネットワークです。ユーザーは、ネットワークトポロジとIPアドレスをカスタマイズし、専用回線を介した接続をサポートできます。ネットワーク管理に精通しているユーザーに適しています。

注意：

1. SSLクラウドはクラシックネットワークとプライベートネットワークで実行できますが、AFクラウドとWOCクラウドはプライベートネットワークでのみ実行できます。

2.ネットワークタイプはECS製品によってのみ機能的に区別され、オペレーターのパブリックネットワークアクセスのネットワーク品質とは関係ありません。どのネットワークタイプのオペレーターもBGP回線に接続されます。

従来のネットワークとプライベートネットワークの比較は次のとおりです。

Alibaba CloudでのネットワークIPアドレスの計画は何ですか？

現在、従来のネットワークIPアドレスは、プライベートネットワークIPとパブリックネットワークIPを含め、AlibabaCloudによって一律に割り当てられています。プライベートネットワークIPはインスタンスとの相互訪問に使用され、パブリックネットワークIPはインスタンスとインターネット間の相互訪問に使用され、インスタンスとクラウドサービス間の相互訪問にも使用できます。パブリックネットワークIPのエクスポート帯域幅は、帯域幅に応じて課金する必要があります。

VPCプライベートネットワークの内部IPアドレスは、ユーザーが独自に計画します。プライベートネットワーク内のインスタンスには、デフォルトではパブリックIPが割り当てられません。インスタンスがパブリックIPを使用する必要がある場合は、エラスティックパブリックIPを申請できます。インスタンスにバインドします。

弾力性のあるパブリックネットワークIP-EIPについて詳しく説明していただけますか？

エラスティックパブリックネットワークIPは、個別に適用できるパブリックネットワークIPアドレスであり、同じリージョン内のプライベートネットワークタイプのECSインスタンスにのみバインドできるため、このECSインスタンスはパブリックで通信できます。通信網。

ユーザーはEIPを使用して、ニーズに応じて次のシナリオをさらに実現できます。

1.このECSをSNATゲートウェイとして使用して、同じVPC内の他のインスタンスにパブリックネットワークアクセス機能を提供します。

2.このECSをDNATゲートウェイとして使用して、同じVPC内の他のインスタンスがパブリックネットワークにサービスを提供できるようにします。

EIPの機能：

1. ECSインスタンスは1つのエラスティックパブリックIPにのみバインドでき、エラスティックパブリックIPは1つのECSインスタンスにのみバインドできます。

2. EIPは、動的なバインドとバインド解除をサポートします。つまり、あるインスタンスからEIPのバインドを解除した後、別のインスタンスにバインドできます。

3.エラスティックパブリックネットワークIPは一種のNATIPです。これは実際にはAlibabaCloudのパブリックネットワークゲートウェイにあり、NATを介してECSインスタンスにバインドされたプライベートネットワークカードにマップされます。したがって、エラスティックパブリックIPアドレスにバインドされたECSインスタンスのNICは、このIPアドレスを認識できません。ただし、このインスタンスは、このIPをパブリックネットワーク通信に直接使用できます。

4. EIPがバインドされた後、ECSインスタンスのデフォルトルートがすべての静的ルートよりも優先されます。

独自のネットワークとエラスティックIPの詳細については、リンクは次のとおりです。

VPCプライベートネットワーク-FAQ

http://help.aliyun.com/knowledge_detail/6716642.html?spm=5176.788315067.2.2。aW0d6H

エラスティックパブリックネットワークIP-FAQ

http://help.aliyun.com/knowledge_detail/6716650.html?spm=5176.product8315065_vpc.3.1。Fzav3T

記事を作成して展開する

ログ監査/データベース監査/ベースライン検証/要塞マシンおよびその他の製品をAlibabaCloudにデプロイする方法を段階的に説明しましょう。

（1）vpcネットワークの作成

まず、プライベートVPCネットワークを作成します

名前、ネットワークセグメント、説明などの基本情報を含む、対応する情報を入力します。

次の図に示すように、作成は成功しました。

この時点で、Alibaba CloudでのVPCの作成は成功しています。次に、AlibabaCloudで画像をインポートする方法について説明します。

（2）ミラーのアップロードとインポート

Alibaba Cloudミラーリングには、パブリックミラーリング、カスタムミラーリング、共有ミラーリング、ミラーリングマーケットの4種類があります。当社の製品はミラー市場に3つの製品があります。SSL/ IPSecVPN、仮想化された次世代ファイアウォール、WAN最適化WOC-クラウド/高速IPSec VPNはミラー市場で購入でき、他のミラーはミラー共有またはカスタムを使用する必要がありますミラーリング。インポートします。

今回は主にカスタムミラーリングと共有ミラーリングについて説明します

カスタム画像：

イメージのアップロードは通常、エリア内のオブジェクトストレージにアップロードされ、プライベートイメージになります。次に、ECSクラウドサーバーを作成するときに、プライベートイメージを選択して、使用するクラウドサーバーを作成します。プロセス全体の特定の操作手順は次のとおりです。次のように：

ストレージの作成：Alibaba Cloudプラットフォームにログインし、マウスを左に移動して[Object Storage OSS]をクリックし、ストレージオブジェクトを作成します。

ストレージオブジェクトのバケットを作成します。

ミラーのアップロード：

方法1：Webコンソールからアップロードする

利点：シンプルで便利な操作

短所：アップロード速度が遅く、不安定で、最大サポート5GBのファイルアップロード

方法2

OBS Browser +ツールを介してアップロード

利点：高速アップロード速度、安定性、5GBを超える大きなファイルのアップロードのサポート

短所：より多くの情報を取得し、より面倒

ツールのダウンロードリンク：

https://help.aliyun.com/document_detail/61872.html?spm=a2c4g.11186623.2.18.64ef3554ph5ssK#concept-xmg-h33-wdb

エンドポイント：デフォルト（パブリッククラウド）

アクセスキーIDとシークレットアクセスキーの取得方法：

アクセスキーIDとシークレットアクセスキーを入力します

アクセスパス：オブジェクトストレージ内のバケットにアクセスするか、パスにアクセスする場合にのみ、空白のままにすることができます

ミラーアップロード：対応するバケットファイルの名前を選択します-アップロードするファイルを追加します

次に、ミラーのURLアドレスをコピーします。

カスタムミラーを作成し、ミラー手動インポートを選択します。

基本情報を入力するだけです

OSS Obiectアドレス：ミラーのURLアドレス。システムプラットフォームがオプションにない場合は、「その他のLinux」を選択すると、ミラーリングシステムと仕様に従って、対応する形式でその他の情報を入力できます。ここで、カスタムを待ちますミラーリングを完了します。、後でECSを作成するときに、作成したプライベートイメージを選択できます。

共有ミラー：

AlibabaCloud市場にSangforLASなどの製品イメージがない場合は、Sangforエンジニアに連絡して、イメージを共有して提供してください。（Sangforは顧客と共有）

では、通常、他の人とどのように共有するのでしょうか。

以下のように共有する方法を説明します。

2つのシナリオに分けられます：同じ地域の異なるユーザーと異なる地域の異なるユーザー

同じ地域の異なるユーザー：

該当するシナリオ：同じリージョン内の異なるアカウント間でのミラーリング共有、および共有条件による異なるクラウドプラットフォームも異なります

Alibaba Cloud：アカウントID

HUAWEI CLOUD：アカウント名：

Tencent Cloud：アカウントID

アカウントIDの取得方法:(他のクラウドプラットフォームの共有条件を取得する方法も同様です）

ミラー共有操作の手順：

ミラー-対応する領域を選択します-カスタムミラー-共有するミラーを選択します-詳細-ミラーを共有します

共有する必要のあるアカウントのIDを入力します-ミラーを共有します-確認します

さまざまな地域のさまざまなユーザー：

まず、共有する必要のあるイメージを、ミラーリングによってクラウドサーバーが顧客と事前に作成されている領域にコピーしてから、ミラーリングによって顧客と共有します。

[ミラー]-[カスタマイズ]-[ミラーのコピー]を選択します-コピーの宛先領域を選択します-カスタムミラーの名前を入力します-確認します

ミラーが対応するエリアにコピーされるのを待った後、同じエリア内の異なる顧客間でのミラー共有方法を参照して、ミラーを顧客と共有してください。

この時点で、画像のインポートとアップロードは終了です。次に、ECSインスタンスの作成方法について説明します。

（3）ECSインスタンスを作成します

まず、Aliyunインターフェースで、クラウドサーバーのECS-instance-createインスタンスをクリックします

基本構成、支払いモデル、インスタンス仕様は、実際の顧客の状況に応じて構成されます

対応するイメージを選択した後、ストレージは要件に応じて高効率クラウドディスクまたはSSDクラウドディスクを選択でき、ディスクは実際の状況に応じて選択できます。

作成したECSのプライベートネットワークとパブリックネットワークアドレスを構成します

次に、セキュリティグループを選択します。セキュリティグループを設定する前は、デフォルトの入力方向はインターセプトであり、終了方向は許可されています。仕様のカスタマイズに失敗すると、クラウドホストの作成後にクラウドホストにアクセスできない状況が発生します。したがって、セキュリティグループログでTCP443ポート（httpsアクセス）、TCP8443ポート（コンソール管理）、TCP8082ポート（管理コンソール）、TCP22ポート（sshポート）、TCP161ポート（snmpポート）、TCP514ポート（承認済み）を許可する必要があります。）。そこで、関連するルールを定義するための新しいセキュリティグループを作成します。

注：ルールの方向はインバウンド方向を選択し、許可されたアクションは許可を選択します。許可されたオブジェクトは0.0.0.0/0を入力します（他の要件がある場合は、必要に応じて入力します）。

入力が完了したら、クラウドサーバーの構成ページに戻り、ボタンをクリックしてセキュリティグループを再選択し、作成したセキュリティグループを選択します。

以下の構成は、実際の状況に応じて選択できます。通常、デフォルトのままにします。

最後に、注文の支払いを確認してクラウドホストの作成を完了します。作成が完了すると、動作ステータス、内部ネットワークIPアドレス、EIPなど、新しく作成されたログ監査システムホストの関連情報がインスタンスリストに表示されます。アドレス、構成情報など。

インスタンスが作成されたら、パブリックIPアドレスを使用してログインし、ソフトウェアを構成します。

（要塞サーバーの展開、ベースライン検証、データベース監査などについても同じことが言えます。）

ピットを踏まないように注意すべき点：

1. AlibabaCloudでサポートされている画像形式はRAW \ VHD \ QCOW2です。

2. Alibaba Cloudでは、コンポーネントシステムディスクのサイズを20G〜500Gにする必要があります。

3.データベース監査202はmongodbデータベースをサポートしていませんが、203はサポートしています。したがって、対応するパッチ（オンデマンド：シングルディスク拡張パッチ）とmongodbデータベースパッチを再デプロイして適用します。

4. OSMがアプリケーション公開サーバーを構築する必要がある場合は、事前に顧客に説明し、AlibabaCloudでリソースを予約することを忘れないでください。

5. Alibaba Cloudの同じVPC内のネットワークは相互に接続されています。たとえば、192.168.1.1と192.168.2.1は接続されており、相互にアクセスできます。

エンディング：これまで、Alibaba Cloudの導入とクラウドコンポーネントの導入について説明してきました。「3人で先生が必要です。」たくさんのアドバイスをいただければ幸いです。

\ VHD \ QCOW2。

2. Alibaba Cloudでは、コンポーネントシステムディスクのサイズを20G〜500Gにする必要があります。

5. Alibaba Cloudの同じVPC内のネットワークは相互に接続されています。たとえば、192.168.1.1と192.168.2.1は接続されており、相互にアクセスできます。