所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type II) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
多层Web应用的部署方案

多层Web应用的部署方案

场景简介

多层Web应用的隔离部署,适用于既希望保证Web层能访问Internet、响应海量请求,又需要通过网络隔离保护数据库服务器安全的场景。

部署方案

用户可以在一个VPC内创建不同的子网,将整个Web层放在一个子网,通过弹性IP/NAT网关与Internet通信,并使用负载均衡服务,将访问流量自动分配到多个Web层的云服务器上;将逻辑层单独放在一个子网,只能和Web层及数据层通信;将数据库层放在另外一个VPC,只和逻辑层通信。通过上述部署,可实现网络隔离,网络结构如图8-26所示。

图8-26 多层级的部署场景
  • Web层:部署Web层应用的云服务器,通过配置弹性IP/NAT网关与Internet互通,响应用户请求。
  • 逻辑层:部署逻辑层应用的云服务器,以保证逻辑层应用不被公网访问。
  • 数据库层:为保证数据安全,单独分配一个数据库层,并在其中部署数据库产品,只允许逻辑层的流量访问。

配置思路

用户可以直接申请与外网互通的虚拟私有云及子网,将NAT网关开关设置为开启状态,并在虚拟私有云中部署逻辑层子网和数据库服务。

不同子网间的数据流量通过配置虚拟防火墙进行控制。

配置思路如图8-27所示。

图8-27 配置思路

操作步骤

申请虚拟私有云及Web层子网和逻辑层子网

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  3. 在系统首页,选择“网络 > 虚拟私有云”。
  4. 在“总览”界面,单击“申请虚拟私有云”。

    弹出“选择产品”对话框。

  5. 选择某一款产品,单击“立即申请”。

    进入虚拟私有云申请向导页面。

  6. 选择“具有访问Internet能力(可选)的VPC”页签,单击“确认申请”。

    进入申请界面。

  7. 参考表8-34配置VPC的基本信息。

    表8-34 VPC基本信息

    参数

    说明

    取值样例

    当前区域

    页面自动显示当前区域,可在页面左上角切换区域。

    az1.dc1

    名称

    VPC的名称,只能由中文、英文字母、数字、下划线或中划线组成。

    VPC-001

    外部网络

    单击“可用分区”下拉框,选择可用分区,并选择VPC对应的外部网络。
    说明:
    • 若外部网络显示为空,请联系管理员参考“前提条件”中的指引划分外部网络。
    • 划分外部网络时,如果为VDC分配了intranet类型的网络,需要进行如下操作:
      • ManageOne系统管理员为租户分配子网范围。使用VDC管理员帐号登录ManageOne租户面,选择“租户 > 租户管理”,单击租户名称,选择“子网管理 >创建子网”,填写相应参数,单击“确定”。
      • 租户VDC的project中设置可用子网范围端。使用VDC管理员帐号登录ManageOne租户面,选择“VDC > VDC管理”,选择VDC,单击“project > 更多 > 子网管理 > 创建子网”,填写相应参数,单击“确定”。

    az0.dc0

    net-01

    NTP服务器地址1

    关联的NTP服务器IP地址。非必填参数。

    192.168.32.65

    NTP服务器地址2

    关联的NTP服务器IP地址。非必填参数。

    192.168.32.66

    申请时长

    申请VPC的使用时间。

    下拉框中有“不限制”、“1个月”、“6个月”、“1年”、“2年”和“自定义”6个可选项。

    最长可申请“不限制”,表示不设到期时间。

    1个月

  8. 参考表8-35配置子网1。子网1作为逻辑层子网,与外界隔离,安全系数较高,子网中的实例无法直接与外部网络通信。

    表8-35 子网1参数

    参数

    说明

    取值样例

    子网1名称

    子网1的名称,只能由中文、英文字母、数字、下划线或中划线组成。

    Subnet-f03c

    DHCP

    选择是否启用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)。DHCP通常用于管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,提升地址的使用率。
    • 如果启用DHCP,从属于该子网的实例启动后,通过DHCP协议可以自动获取创建时系统分配或您自定义的IP地址。
    • 如果不启用DHCP,从属于该子网的实例创建成功后,无法获取创建时分配的IP地址,您需要手动在实例内部进行设置。如果不设置,该实例无法通信。建议您谨慎关闭DHCP。

    开启

    子网1网段

    子网1的地址范围。

    192.168.0.0/24

    网关

    子网的网关。

    192.168.0.1

    IP地址池

    非必填参数。表示在创建实例或为实例增加网卡等操作时,若选择由系统自动分配IP,IP的取值范围。IP地址池配置的网段需要在子网网段之内。

    如果您希望在子网中预留部分IP,不被系统自动分配给网卡,可以通过配置IP地址池实现。配置方法为:IP地址池对应的网段不包含这些IP。
    说明:
    • 如果有两个或以上的IP地址池,单击下方“添加IP地址池”。
    • 创建实例或为实例增加网卡等操作时,如果手动为网卡分配IP,可以指定IP地址池之外,但属于该子网的IP。

    192.168.0.2-192.168.0.221

    192.168.0.225-192.168.0.251

    DNS服务器地址1

    关联的DNS服务器IP地址。非必填参数。

    192.168.1.71

    DNS服务器地址2

    关联的DNS服务器IP地址。非必填参数。
    说明:

    DNS服务器地址为空说明该子网不关联DNS服务器。

    如果要使用DNS服务器地址,优先使用“DNS服务器地址1”。

    如果要使用两个以上的DNS服务器地址作为备用,单击下方“增加DNS服务器地址”。

    192.168.1.72

  9. 开启NAT开关,参考表8-36完成NAT配置,即设定该VPC中的子网2(作为Web层)可以与Internet互通。

    图8-28 NAT配置及子网2
    表8-36 NAT配置

    配置项

    说明

    外部网络

    弹性IP对应的外部网络。

    弹性IP地址

    该弹性IP地址是与子网2(Web层子网)绑定的NAT网关的弹性IP地址。

    Web层子网通过NAT网关及弹性IP与Internet互通,其中的实例均可以访问Internet。

    如果没有可选的弹性IP,单击查看弹性IP,在“弹性IP”页面申请新的弹性IP。

    子网2名称

    Web层子网的详细配置,请参考表8-33完成配置。

    子网2网段

    网关

    DNS服务器地址

  10. 在页面下方“当前配置”栏确认当前虚拟私有云的配置情况,单击“立即申请”,申请虚拟私有云。

    说明:

    如果未配置IP地址池,子网创建成功后,IP地址池列显示的子网范围,即该子网的可用IP范围相比创建时定义的子网范围仍会少数个IP,原因是这部分IP预留给内部系统通信使用。

创建自定义安全组

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  3. 参考创建安全组,创建自定义安全组。

    说明:

    如果您的业务系统较小,默认安全组可以满足您的安全需求,则无需再添加自定义安全组。

为安全组添加安全组规则

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  1. 在系统首页,选择“网络 > 虚拟私有云”。
  2. 在左侧导航树单击“安全组”。
  3. 如果要为默认安全组添加安全组规则,单击名称为“default”的安全组,参考为安全组添加安全组规则添加规则。

    如果要为刚刚创建的安全组添加安全组规则,单击该安全组,参考为安全组添加安全组规则添加规则。

为Web层子网创建弹性云服务器并绑定弹性IP

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  3. 参考添加弹性云服务器,在Web层子网中创建弹性云服务器。

    其中,配置网络资源时相关参数配置如下:
    • 虚拟私有云:选择刚刚创建的VPC。
    • 安全组:选择默认安全组或您根据自身需要添加的自定义安全组。
    • 网卡:选择刚刚创建的VPC中的Web层子网。
    • 弹性IP:选择“自动分配IP”或“使用已有”,为Web层子网中的实例绑定弹性IP。

为Web层子网申请弹性负载均衡

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  3. 参考申请负载均衡,为Web层子网申请负载均衡。

    其中,在选择所属VPC和子网时,需要选择刚刚创建的VPC及其中的Web层子网。

  4. 参考配置监听器添加后端云服务器,为负载均衡添加监听器和后端云服务器。

为逻辑层子网创建弹性云服务器

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  1. 参考添加弹性云服务器,在逻辑层子网中创建弹性云服务器。

    其中,配置网络资源时相关参数配置如下:
    • 虚拟私有云:选择刚刚创建的VPC。
    • 安全组:选择默认安全组或您根据自身需要添加的自定义安全组。
    • 网卡:选择刚刚创建的VPC中的逻辑层子网。
    • 弹性IP:选择“不使用”,逻辑层子网无需访问Internet。

为数据层添加数据库服务

请参考FusionCloud数据库服务完成配置。

配置虚拟防火墙

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  3. 参考申请虚拟防火墙,为虚拟私有云申请虚拟防火墙。
  1. 参考关联VPC,将刚刚申请的虚拟防火墙与虚拟私有云相关联。
  1. 参考添加防火墙规则,为虚拟防火墙添加规则。
翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043091

浏览量:48433

下载量:313

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页