全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网

使用金融云ECS

更新时间:2017-06-07 13:26:11

使用金融云ECS(经典网络)

本篇文档主要针对金融云华东1地域的ECS操作介绍,针对专有网络华东2和华南1的ECS管理可以参考金融云连接示例(专有网络)

1. 金融云(经典网络)ECS特性

(1) ECS外网入方向安全策略限制,默认UDP ACCEPT ALL,TCP/ICMP等其他协议默认DROP ALL。出方向无策略限制。

(2) 对于需要对外访问互联网上的资源的服务器,需要购买外网带宽。

(3) 日常管理可以使用SSL_VPN,具体可参考开通管理VPN。39178(4) 线下和云上的业务通信需求推荐用专线IPSEC_VPN接入。

(5) 登录ECS,可以参考金融云主机连接示例(经典网络)

2. 开通ECS

在ECS云服务器的主页上,点击“立即购买”,或直接访问购买链接开通ECS云服务器时,有以下选项:

选项 说明 建议选项
地域 选择服务器所在的地域,金融云的生产服务器建议选择在华东1。华东1的ECS只能连接华东1的RDS,华东1的RDS是双机房高可用的。 建议将生产系统放在杭州地域
可用区 可用区相当于物理机房的概念,指的是所购买ECS物理位于的哪个机房 同一功能的服务器,一半选择在“杭州可用区B”,另一半选择在“杭州可用区C”
CPU/内存 选择服务器的配置 根据需要选择。如果应用程序支持,建议选择多台低配置(而不是少量高配置)的服务器分布在两个可用区。
公网带宽 如果ECS需要访问互联网上的资源,比如下载互联网上的文件、调用短信网关等,则需要在这里选择一个公网带宽。需要注意的是,即使这里选择了公网带宽,互联网用户还是无法通过ECS分配到的公网IP访问到ECS。 根据需要选择
镜像类型 公共镜像是阿里云提供的标准操作系统。 默认公共镜像 。也可以根据需求选择自定义或者云市场镜像
公共镜像 选择所需要的操作系统和版本 根据需要选择
数据盘 给云服务器增加新的磁盘。添加后在云服务器的操作系统上看起来就是一块新硬盘。 根据需要添加并设置大小。
登录密码 设置云服务器的登录密码
实例名称 对实例的描述 建议设置为有意义的名称,便于以后管理
购买时长 实例购买多长时间 按需要选择,一年的价格相当于一个月的价格乘10
数量 按以上的选择的购买数量 按需要选择。

ecs-buy1

ecs-buy2

选择完成后,可点击“立即购买”,也可点击“加入清单”然后再点击“批量购买”完成购买。

3. 使用控制台管理ECS

ECS云服务器可通过管理控制台进行管。在ECS云服务器的管理界面上,可以对服务器进行停止、重启、升级、更换操作系统等操作,具体请参考ECS的基本操作帮助文档

4. 连接ECS服务器

使用Windows远程桌面、SecureCRT等客户端连接之前,请确认管理VPN已拨入,已经设置相应的安全组规则

VPN拨入成功后,会为客户端分配IP地址。然后需要配置ECS安全组规则,以允许管理VPN的源IP访问。如上可见,通过配置VPN和安全组规则,即可通过Windows远程桌面或SSH客户端远程管理ECS和上传下载文件。通过这种方式可管理纯内网的ECS(无公网带宽),不但没有流量费用,安全性也得到增强。

5. 上传下载文件

出于安全和合规的要求,金融云对外部端口进行了限制。上传文件之前,请先通过安全组开通远程管理端口(sftp协议需要22端口,暂不支持FTP传输)。Linux操作系统请使用sftp协议进行文件上传(可使用图形化的sftp协议工具winscp,参考winscp官方帮助),Windows操作系统请使用远程桌面的连接本地驱动器功能,参考这里这里

6. 使用阿里云内建的YUM源

金融云为CentOS系统提供了内部Yum源,下载一键更新源脚本即可,阿里云的Yum源使用内网流量,没有选择宽带的ECS也可以正常使用。更多关于yum源的配置,可访问该链接查看。

7. 搭建金融云推荐架构

金融云推荐架构对应的ECS部分实现方法如下:

(1) 将生产服务器加入清单在ECS购买页面上,选择杭州可用区B,选择适应的配置和服务器数量后,点击“加入清单”。再选择杭州可用区C,点击“加入清单”。现在,购买清单中包含两个可用区的多台同配置服务器。

(2) 将堡垒机加入清单在ECS购买页面上,选择杭州可用区B,选择1C/1G内存的ECS一台,操作系统与生产服务器一致,公网带宽选择为0,点击“加入清单”再选择杭州可用区C,点击“加入清单”。现在,购买清单中包含两个可用区各一台堡垒机。

(3) 完成购买在页面上点击“批量购买”,完成付款。然后进入ECS管理控制台,记录所有服务器的内网IP地址。

(4) 配置堡垒机安全组创建一个安全组,名称为sg-bastion,将规则中加入“我的VPN”中列出的所有客户端IP地址(见3.2.2),端口设置为22(堡垒机是Linux)或3389(堡垒机是Windows)。所属服务器选择为2台堡垒机。

(5) 配置生产服务器安全组创建一个安全组,名称为sg-production,将规则中加入2个堡垒机的IP地址,端口设置为22(堡垒机是Linux)或3389(堡垒机是Windows)。所属服务器选择为所有的生产服务器。

(6) 其它配置如果有需要,再创建测试服务器和测试服务器安全组。如果创建了新的服务器,需要手工添加到相应的安全组后才可被堡垒机访问。

最终实现的访问路径如下图:

金融云ECS与公有云的ECS在使用上略有不同,在搭建应用时还需要注意以下几点:

  1. 互联网带宽及端口限制。目前公有云互联网访问带宽可在ECS或 SLB上选取,但是金融云在网络访问方向和端口上进行了限制。主要包括:
    • ECS外网TCP不能被外网直接访问,互联网用户可通过SLB访问ECS,带宽或流量在SLB上选取
    • ECS需要主动发起互联网访问时,在ECS需选取外网带宽,否则,带宽选0
  2. 因为金融云的SLB(负载均衡)和RDS(数据库)默认是同城双中心。控制台上只能看到一个实例,但实际上会由分布在两个或多个可用区(机房)的服务集群提供SLB和RDS服务。所以只要把购买的ECS均分到不同的可用区,则整个系统就是一个具有容灾能力的同城双中心的高可用系统。
  3. 构建业务系统的服务器(ECS),建议选配多台低配,而不是一台高配,通常2核CPU/2G内存或4核CPU/4G内存即可。如果某台ECS发生故障,其它ECS还在正常提供服务,从而达到高可用的目的。从高可用的角度考虑,提供相同功能的ECS台数越多,故障期间对整体性能影响越小,可用性也越高。
  4. 建议每个业务模块,至少部署在两台ECS上(前端部署公网/私网SLB)。否则整体系统存在单点,虽然能够正常运行,但是也要有发生故障(业务软件故障或ECS故障)暂停业务的预期。虽然云服务的可用性较高,但从概率上讲,在某个时点故障一定会发生。
  5. 业务模块须配置成开机自启动,当ECS故障自动迁移后,业务模块也能自动启动并提供服务。ECS自身和操作系统故障会触发自动迁移,业务模块故障不会触发。
  6. 通常不需要购买公网带宽,而是在SLB上购买带宽,除非ECS有主动访问外网的需求。
  7. ECS普通云盘单盘最高支持2TB存储空间(不包括系统盘),详细的介绍可以参考创建云盘

8. 常见问题

Q:什么叫可用区?如何选择可用区?

A:可用区相当于物理机房的概念,指的是所购买ECS物理位于的哪个机房。同一功能的服务器,一半选择在一个可用区,另一半选择在同一地域的另一个可用区。

Q:ECS上的公网带宽有什么用?

A:如果ECS需要访问互联网上的资源,比如下载互联网上的文件、调用短信网关等,则需要选择公网带宽。需要注意的是,即使这里选择了公网带宽,互联网用户还是无法通过ECS分配到的公网IP访问到ECS。

Q:我购买了ECS上的公网带宽,但还是无法访问外网

A:如果是后加的公网带宽,必须通过控制台对ECS进行重启。在ECS内进行重启无效。

Q:我VPN登录后,无法ping通我的ECS

A:ECS默认不允许ping操作。建议通过堡垒机去ping。如果想从VPN客户端直接ping,可创建一个新的安全组,名称为sg-icmp,入站规则处,选择ICMP协议,源地址写为VPN登录后分配的IP地址,然后点击“添加规则”,并将服务器添加进该安全组。

icmp

Q:我无法登陆我的ECS

A:首先你要登录VPN,请参考前面的VPN相关内容。然后ECS默认不允许登陆,需要通过ECS安全组配置防火墙,允许SSH协议或RDP协议后才可以登陆ECS。SSH使用TCP协议22端口,RDP使用TCP协议3389端口。配置的源IP地址要配置为VPN自服务控制台中看到的“客户端IP列表”。建议通过堡垒机登录,请参考上面的内容实现堡垒机。

Q:互联网用户无法访问到我的ECS

A:互联网用户需要通过SLB才能访问到ECS,具体能参考SLB的配置方法。

Q:如何上传下载文件

A:上传文件之前,请先通过安全组开通远程管理端口。Linux操作系统请使用sftp协议进行文件上传(可使用图形化的sftp协议工具winscp,参考winscp官方帮助),Windows操作系统请使用远程桌面的连接本地驱动器功能,参考这里这里

也可以利用OSS进行数据中转,bucket创建如下。

oss

本文导读目录