+135 410 16684Mon. - Fri. 10:00-22:00

构建阿里云专网下的生产环境

构建阿里云专网下的生产环境

构建阿里云专网下的生产环境

默认的阿里云经典网络有个主要问题,每个ECS要么需要有公有IP地址,要么就无法直接访问外网(设置带宽为0的情况下就没有公网ip地址)。

另外,经典网络也不利于隐藏服务器细节,不安全。

部署图

使用阿里云创建的基于专网的服务器如下图:

topo2阿里云专网服务器部署拓扑

部署方法说明

主要步骤是:

  • 创建专有网络VPC,我选择的是10.0.0.0网络
  • 路由器不需要创建,创建专网会默认自带
  • 创建交换机,设置子网,这里是10.0.1.0
  • 在交换机下创建ECS,并且设置网络带宽为0,这样不会分配公网IP,因此无法直接访问外网
    • 创建多个web服务器ESC
    • 创建一个最低配置的ESC,目的是用于控制其他服务器,比如接受外网SSH登录,安装docker-machine控制其他内网服务器等
  • 创建NAT网关,创建好之后在NAT网关下设置:
    • 购买1个带宽包
      • 没有带宽包就访问不了外网
      • 购买带宽包,同时要在该带宽包里购买2个公网ip地址,默认只购买1个
    • 设置SNAT,指定到上面创建的交换机,目的是让该交换机下所有主机都能访问外网,这里要使用带宽包中的1个ip地址
    • 设置NAT,将另一个带宽包ip地址的22端口,指向到上面创建的控制服务器
  • 创建负载均衡器,类型是公网,然后加入所有的Web服务器

主要目的

方案的主要目的是:

  • 外网不能直接访问内网的业务服务器,这里指的是Web服务器
  • 外网要通过登录控制服务器,再从控制服务器访问内网服务器
  • 内网所有服务器,通过统一的NAT网关访问外网
  • 用户通过负载均衡器访问内网要暴露的服务

后续要以这个方案为基础,构建基于docker swarm mode的容器集群服务。