HCIE云服务实验第一期-公有云网络架构设计体验

richblue88 发表于 2020/04/10 20:52:45 2020/04/10
【摘要】 1 环境准备1.1新建vpc及子网1.2新建安全组1.3域名申请2 网站搭建2.1 内部公共网站搭建安装niginx执行systemctl start nginx和systemctl enable nginx执行 curl http://127.0.0.1,查看有网站信息的返回安全组的配置打开浏览器界面,输入http://ECS绑定的EIP地址,查看能否正常打开网页DNS的配置通过putty...

1 环境准备

1.1新建vpc及子网

image.pngimage.pngimage.png


1.2新建安全组

image.png

1.3域名申请

image.png

2 网站搭建

2.1 内部公共网站搭建

新建ecs

image.png

安装niginx

执行systemctl start nginxsystemctl enable nginx

执行 curl http://127.0.0.1,查看有网站信息的返回

image.png

安全组的配置

添加入方向 80端口

image.png

打开浏览器界面,输入http://ECS绑定的EIP地址,查看能否正常打开网页

image.png

DNS的配置

image.png

通过putty输入以下命令,查看DNS解析和网站服务是否正常

curl http://internal-public.com

image.png

解绑IP

2.2内部涉密网站

ECS购买

image.png

Web网站的搭建

证书的生成

通过putty登录刚刚创建的弹性云服务器实例,并输入TMOUT=0

证书1的生成

openssl genrsa -out https01.key 2048

openssl req -new -key https01.key -out https01.csr

openssl x509 -req -days 3650 -in https01.csr -signkey https01.key -out https01.crt

证书2的生成

openssl genrsa -out https02.key 2048

openssl req -new -key https02.key -out https02.csr

openssl x509 -req -days 3650 -in https02.csr -signkey https02.key -out https02.crt

网站的搭建

通过yum install –y nginx下载安装nginx软件

在/usr/share/nginx/ 目录下,分别创建两个目录https01和http02用于存放相关网页文件

cd /usr/share/nginx/

mkdir https01

mkdir https02

cd html/

cp -r *.* /usr/share/nginx/https01

cp -r *.* /usr/share/nginx/https02

分别拷贝默认网页文件到新的目录下

cp -r /usr/share/nginx/html/ /usr/share/nginx/https01

cp -r /usr/share/nginx/html/ /usr/share/nginx/https02

修改默认网页文件

cd /usr/share/nginx/https01/html/

vim /usr/share/nginx/https01/html/index.html

vim /usr/share/nginx/https02/html/index.html

cp /usr/share/nginx/https01/html/index.html  /usr/share/nginx/https01/

cp /usr/share/nginx/https02/html/index.html  /usr/share/nginx/https02/

修改nginx配置文件

vim /etc/nginx/nginx.conf


配置服务自启动并启动服务

systemctl enable nginx

systemctl start nginx

通过命令行访问验证https服务及端口是否正常

curl https://127.0.0.1:443

image.png

curl https://127.0.0.1:8080

image.png

安全组的配置

image.png

外网ip访问


image.png

image.png

解绑对应的EIP 


DNS配置

image.png


image.png

在ECS中测试域名是否能够正常访问

ping internal-security1.com

ping internal-security2.com

image.png

2.3内部专属网站

ECS购买

image.png


证书准备

服务器证书准备

创建工作目录并进入该目录

mkdir server

cd server/

创建CA证书的openssl配置文件ca_cert.conf,内容如下:

[ req ]

distinguished_name     = req_distinguished_name

prompt                 = no

 

[ req_distinguished_name ]

O                      = ELB


创建服务器证书的openssl配置文件server_cert.conf,内容如下:

[ req ]

distinguished_name     = req_distinguished_name

prompt                 = no

 

[ req_distinguished_name ]

O                      = ELB

CN                     = www.internal-dedicated.com

 

创建CA证书私钥文件ca.key以及服务器证书私钥文件server.key

openssl genrsa -out ca.key 2048

openssl genrsa -out server.key 2048

创建CA证书以及服务器证书的csr请求文件ca.csr/server.csr

openssl req -out ca.csr -key ca.key -new -config ./ca_cert.conf

openssl req -out server.csr -key server.key -new -config ./server_cert.conf

创建自签名的CA证书ca.crt以及用该CA证书签名的服务器证书server.crt

openssl x509 -req -in ca.csr -out ca.crt -sha1 -days 5000 -signkey ca.key

 

openssl x509 -req -in server.csr -out server.crt -sha1 -CAcreateserial -days  5000 -CA ca.crt -CAkey ca.key

客户端证书准备

创建工作目录并进入该目录。

mkdir client

cd client

 

创建CA证书的openssl配置文件ca_cert.conf

[ req ]

distinguished_name     = req_distinguished_name

prompt                 = no

 

[ req_distinguished_name ]

O                      = ELB

创建客户端证书的openssl配置文件client_cert.conf

[ req ]

distinguished_name     = req_distinguished_name

prompt                 = no

 

[ req_distinguished_name ]

 O                      = ELB

 CN                     = www.internal-dedicated.com

创建CA证书私钥文件ca.key以及客户端证书私钥文件client.key

openssl genrsa -out ca.key 2048

openssl genrsa -out client.key 2048

创建CA证书以及客户端证书的csr请求文件ca.csr/client.csr

openssl req -out ca.csr -key ca.key -new -config ./ca_cert.conf

openssl req -out client.csr -key client.key -new -config ./client_cert.conf

创建自签名的CA证书ca.crt以及用该CA证书签名的客户端证书client.crt

openssl x509 -req -in ca.csr -out ca.crt -sha1 -days 5000 -signkey ca.key

openssl x509 -req -in client.csr -out client.crt -sha1 -CAcreateserial -days 5000 -CA ca.crt -CAkey ca.key

把客户端证书格式转为浏览器可识别的p12格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

Web网站的搭建

TMOUT=0

安装nginx

yum -y  install nginx

更改默认网页文件

vim /usr/share/nginx/html/index.html

启动nginx服务,并配置nginx开机启动

systemctl enable nginx

systemctl start nginx

测试服务能否正常访问

curl http://127.0.0.1

image.png

通过winSCP将上述文件及文件夹下载备份到本地

配置安全组

image.png

打开浏览器,输入EIP地址

image.png

配置DNS

image.png

在ECS中测试域名是否能够正常访问

image.png

2.4 配置ELB

增强型负载均衡

image.png


内部公开网站的配置

image.png


内部加密网站的配置

image.png


内部涉密服务网站02的配置


image.png

配置内部专有网站

证书管理

在创建证书页面,证书类型选择“服务器证书”,同时把证书准备创建的服务器证书server.crt以及私钥server.key上传至对应的区域



image.png

弹性负载均衡继续配置

image.png


3 访问终端的搭建

3.1访问终端的创建

公共登录终端的购买

image.png

3.2VPC Peer的配置


单击VPC对等连接实例名称后,添加本端路由

选择对端路由,添加对端路由

win测试网络连通性

image.png

3.3更改DNS域名信息

image.png

访问测试



3.4安全组的配置

internal-dedicated.com此网站仅能通过指定的云服务器(terminal-dedicated)ECS访问

image.png

3.5终端中访问验证

terminal-public云服务器访问测试

image.png

terminal-dedicated云服务器访问测试


image.png


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。