数据中心安全域的设计和划分
994
2022-05-29
1. 前期准备工作
1.1 注册华为云账号
注册华为云账号
1.2 获取金蝶EAS Cloud镜像包
获取EAS Cloud共享镜像,需要在镜像服务IMS中接收共享镜像后才可使用;EAS 支持常规Linux系统与欧拉系统,请获取对应镜像包(本次部署基于欧拉系统euler os部署,操作方式与cent os相同)。
1.3 获取EAS Cloud许可证(license)
通过金蝶原厂/渠道商获取,或从华为严选商城获取。
2. 参考架构及资源规划
2.1 参考架构
2.2 华为云资源规划
ECS规划:
RDS规划:
弹性公网IP规划:
安全组端口规划:
可选服务:WAF防火墙、ELB弹性负载均衡、DNS域名解析
3. 华为云资源创建
3.1 创建ECS资源
操作步骤
按照2.2中规划配置购买ECS弹性云服务器,区域选择华南-广州,可用区随机,选择“通用计算型S6-8核32G”实例;镜像选择“共享镜像”,并选择对应镜像包,选择对应容量的硬盘;
2. 点击“下一步 网络配置”,选择默认虚拟私有云“vpc-default”(若无VPC,可点击创建,默认配置即可,也可自定义设置),选择安全组“Sys-default”,选择“现在购买”弹性公网,“按带宽计费”,带宽大小:10M。也可选择暂不购买,后续单独购买后再绑定弹性云服务器实例。
3. 点击“下一步 高级配置”,设置服务器名称与密码,云备份可根据情况选择是否购买,其余配置默认即可。
点击“下一步 确认配置”,勾选“同意服务协议”,提交订单并付费,至此完成ECS资源创建。
3.2 创建RDS资源
操作步骤
按照资源规划中购买对应配置RDS,设置RDS名称,选择“Microsoft SQL Server 2016 标准版 单机”,性能规格选择“通用增强型 - 4核16G独享型”,存储空间100G;选择与ECS相同的VPC,并设置密码,安全组可根据情况选择。
点击“立即购买”,勾选“服务协议”,提交订单并付费,至此完成RDS创建。
3.3 安全组端口设置
操作步骤
添加应用服务器端口:进入控制台安全组服务,选择应用服务器绑定的安全组,添加入方向规则,开放20、80、8080、5901端口,优先级根据自身情况配置;
添加RDS端口:进入控制台安全组服务,选择RDS实例绑定的安全组,添加入方向规则,开放1433端口,优先级根据自身情况配置,至此完成安全组端口配置。
4. EAS Cloud应用配置
4.1 登录云服务器ECS
登录linux服务器有以下几种方式:
通过控制台界面远程登录按钮,选择VNC方式登录
通过远程桌面登录
更多方式查看 https://support.huaweicloud.com/qs-ecs/zh-cn_topic_0092494193.html
EAS镜像为图像化操作界面,不建议使用cloudshell登录。
4.2 第一次登录Euler OS
首次登录欧拉操作系统时,会要求设置语言、输入法、时区等,还必须创建一个新用户(注意不要设置为root)。
4.3 新建并注册数据中心
操作步骤
打开Terminal终端,当前用户是4.2中创建的新用户,切换为root用户
su //切换为root用户 输入创建ECS时设置的密码,登录root用户
启动金蝶BOS(必须是root用户)
cd /kingdee/eas/admin //进入该目录 sh admin.sh //启动金蝶BOS
程序启动后,会出现金蝶BOS图形化界面
点击数据中心,选择新建,选择数据库类型(本次部署采用SQL Server),填写RDS的私网IP地址,RDS端口默认为1433,管理员为RDS用户(默认用户为rdsuser),输入RDS密码,点击下一步;
选择新建数据库,输入数据库名称,点击下一步;
存储路径填写 D:\RDSDBDATA\DATA ,存储空间2000M(后续会自动扩容),点击下一步开始执行;
SQL SERVER路径: D:\RDSDBDATA\DATA
Postgres路径: /var/chroot/var/lib/pgsql/data/
执行成功如图(需30分钟左右);
输入数据中心名称与代码,完成创建注册;
创建完成后,需要升级账套产品,全部默认确定即可;
升级数据中心补丁,注:安装完成会报错,其中3项安装失败(暂时不用管,后方会处理,目前这是EAS Cloud v8.6.1存在的问题);
升级后,会弹出数据中心部署,选择所有实例,点击确定,完成部署;
4.4 导入EAS许可与apusic许可
选择License,点击导入。
4.5 部署并启动集群
点击集群控制器,选择集群配置(IP应为ECS私网IP地址,如果不匹配,跳转至4.7重新部署应用);
接下来几步均默认配置,点击下一步,在数据中心设置界面选择之前创建注册的数据中心(本次为test);
部署完成后,启动集群控制器;
启动集群,完成部署。
4.6 安装数据中心升级补丁
确认3个应用服务器处于 “正在运行(已部署)” 状态;
选择补丁管理,点击执行脚本,选择“执行已安装补丁的SQL脚本”,开始补丁安装;
选择前面创建的数据中心(本次为test),默认配置点击下一步,直到完成安装。
4.7 附·部署应用服务器(4.5处IP不一致时操作)
选择应用服务器,点击工具 >> 部署应用;
选择要部署应用的实例,然后默认配置点击下一步,直至部署完成;
重复以上两步,完成3个实例的应用部署。部署完成后回到4.5部署集群。
5. EAS Cloud登录
购买了SSL证书并配置到防火墙或ELB上的情况下,客户端连接设置中的RPC协议需勾选为HTTPS,且文件更新服务端端口后的HTTPS框需要勾选上;网页登录地址为 https://ECS公网IP地址:8080/portal;
未使用SSL证书的情况下,客户端连接设置中的RPC协议选择HTTP,不需勾选HTTPS协议,网页登录地址为 http://ECS公网IP地址:8080/portal。
网页登录界面:
客户端登录界面
至此完成金蝶EAS Cloud应用部署。
6. 附·可选配置(ELB、WAF、DNS)
6.1(可选)配置ELB弹性负载均衡
华为云控制台 >> 网络 >> 弹性负载均衡ELB >> 购买弹性负载均衡 >>选择共享性弹性负载均衡,网络类型需选择公网,并绑定弹性公网IP
ELB创建完成后,需要配置-及后端的服务器组,将EAS网络代理端口通过ELB映射到外网上,供客户端访问。
点开负载均衡主页面,找到新创建的ELB,在-下方点击“点我进行配置”即可进行-的配置。前端协议的端口指配置完成后外网访问用的端口。
下面简单介绍EAS网络代理端口通过ELB映射到外网上,供客户端访问的3类场景。
(1)添加前端协议为HTTPS的-——适用于不使用WAF防火墙但有使用到域名,且购买了SSL证书的情况
添加-,协议选择http,端口选择443,选择对应的服务器证书,创建新证书方法可参考https://support.huaweicloud.com/usermanual-waf/waf_01_0078.html访问策略可按需求配置。
配置后端服务器组
配置完后端服务器组后不需要添加后端服务器。对-添加转发策略,填入已经申请的域名。
添加后端服务器组,因后端只有一台服务器,此处的会话保持和健康检查建议不需要开启。
为转发策略的后端服务器组添加后端服务器
注意ELB的-配置为HTTPS方式,至少需与 6.3 配置DNS域名解析结合使用。
(2)添加前端协议为HTTP的-——适用于不使用WAF防火墙但有使用到域名,且没有购买SSL证书的情况。添加-,协议选择HTTP,端口建议选择80,访问策略可按需求配置。
配置后端服务器组,因后端只有一台服务器,此处的会话保持和健康检查建议不需要开启。
配置完后端服务器组后不需要添加后端服务器。对-添加转发策略,填入已经申请的域名。
添加后端服务器组
端口处填写EAS的网络代理端口,按照镜像默认是8080。
(3)添加前端协议为TCP的-——适用于非(1)、(2)的情况
添加方法类似添加HTTP类型的-,只是前端协议选为TCP。添加完成后,外网可以使用ELB的弹性公网IP+网络代理-的端口即可访问EAS。注意,其他端口如果需要映射外网访问也可以按照此方式映射,例如如果EAS的ECS未绑定公网IP,为满足日常运维部署需求,需将ECS的VNC端口5901和SSH端口22通过ELB用TCP的协议映射出来,各创建一个-及其对应的后端服务器组即可。
6.2(可选)配置WAF防火墙
华为云控制台 >> WAF应用防火墙 >> 购买WAF >>
选择区域、根据需求选择专业版、企业版和旗舰版时,并选择“域名扩展包”和“带宽扩展包”的数量
华为云控制台 >> WAF应用防火墙 >> 网站设置
在网站列表左上角,单击“添加防护网站”,
选择“云模式”后,在“域名配置”页面配置域名基本信息,防护域名填入EAS客户端要访问的域名,选择对外协议,服务器配置源站地址填写为后台需要转发到的地址,例如ELB的弹性公网IP,如没有使用ELB,此处可以写成ECS的公网IP地址,“对外协议”设置为“HTTPS”时,需要选择证书。可以选择已创建的证书或选择导入的新证书。端口建议选择默认端口。
创建新证书方法https://support.huaweicloud.com/usermanual-waf/waf_01_0078.html
配置WAF防火墙需与 6.3 DNS域名解析结合使用,所以此处需复制CNAME的值进行保存,用于1.5配置DNS域名解析时用。
6.3(可选)配置DNS域名解析
先使用第三方域名注册商或者华为云的域名注册服务完成域名的注册
方法参考https://support.huaweicloud.com/domain/index.html
然后华为云控制台 >> 网络 >> 云解析服务 >> 创建公网域名
在“创建公网域名”页面中,输入注册的域名(此例为example.com),将域名添加至云解析服务。
单击“确定”,完成公网域名的创建。
创建完成后,您可以在“公网域名”页面查看新创建的域名信息。
在“公网域名”页面的域名列表的“域名”列,单击域名的名称进入“解析记录”页面。页面右上角,单击“添加记录集”。
(1)如使用防火墙,此处的类型选为“CNAME –
将域名指向另外一个域名”,并在值处填入1.4中配置防火墙时保存的CNAME值。
此处配置完成后可看到WEB应用防火墙处的网站设置中对应的域名的接入状态为已接入。
(2)如果没有使用防火墙,此处的类型可选为A –将域名指向IPv4地址,值填为后端ELB或ECS的弹性公网IP。
云数据库 SQL Server 弹性云服务器 ECS 弹性负载均衡 ELB
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。