服务器向阿里云转移VPC1.0.1分组应用
今天其实做了很多工作,但最头痛的是每次去看ecs就会出个弹出框提醒我有过去宽松的内网放行策略。而且应用要上线,安全还是要搞好了。但我在一个安全组里放了好多应用,要开很多的端口,但其它应用是用不着这些端口的,所以首先我还是把不同的应用放到不同的安全组和网段下去吧,有了vpc这一想法就变得很好实现了。
规划
我的大部分应用都是跟网站有关的,而且现在还住处转移测试阶段,所以我把它们都先放在一个网段里,等转移完了再慢慢规划。但正式应用,如ERP,放在这里到是挺讨厌的,做什么事都怕影响了它,所以先把它移走吧
环境准备
新建交换机
vpc中分段还是挺容易的,当然我也很喜欢这个功能。感谢公司的前辈们给我留下了这么大一机房的设备,虽然很多服务器因为我把应用转换到阿里云被我关了,但网络设备还是在用的。我一个以软件起家的人,可以肆无忌惮的研究硬件。因为软件是要在硬件上运行的,所以从硬件中你才能体会如何架构一个可以在其上更好运行的系统。VLAN就是其中一个单靠软件很难做到的应用隔离的措施。
好了,下面来实操
1. 来到vpc的界面,进入交换机,新建
2. 在交换机页面填上信息,网段处我喜欢用10开头,但后面的掩码,我一直就不太懂,还特地百度了一个计算器算了一下。但原来下面就有告诉我们所填掩码能分配的ip地址的个数。我们的erp只有一台服务器一个数据库,所以放29吧,4个ip地址够了。
3. 建好的交换机如下
新建安全组
- 进入ecs的安全组,还是点击右上角的新建,因为图太大,我就不截了
- 填写名称,网络类型因为我的在vpc下,所以选择专有网络
- 进入配置规则页面
- 添加安全组规则
- 打开icmp,因为ping还是要的,有利于员工测试自己的网络,授权网段就全段了
- 这是我的erp所有的入的方向,当然了为了安全考虑,只定向开放给公司
- 出的方向也可以控制一下,我的应用只会访问一个数据库,而我的规划,数据库放在10.10.2.1上,所以设置了通向10.10.2.1的出口路,防止通过他访问到其它的应用服务器。注意aliyun的mysql端口是3433
转移应用服务器
- 如果ecs在vpc下,修改ip很简单,但要先停机,不然改不了。如果不在vpc下,那就只能重新买一台ecs了
- 选好你要的交换机,填好你想改成的ip,点
修改
- 替换上刚才建好的安全组
- 再启动服务器,大功告成。访问一下应用,发现数据库不能上。有人会说我数据库还没移到此2网段的交换机下,但我看过说明,同一vpc下的不同交换机是可以互通的,其实这里的问题出在数据库的白名单上,服务器的ip改了,白名单不知道。
转移数据库
- 进入rds的数据安全性页面,添加名叫erp的白名单组,好做的先做掉;)
- rds的好处确确和ecs相反,可以自由的切换经典和专有网络,但却不能很方便的修改ip.只能先换到经典网络再换回专有网络的交换机下。但这种高风险的事也不敢轻易做,只好去买了个记时的数据库,按此步骤操作,发现确实可行。
终于把和测试不相干的应用转移到其它网段了,明天再继续大干一场吧!