更新时间:2024-12-17 GMT+08:00
分享

创建主机集群的前提条件

前提条件

前置准备

您在进行主机连通性验证之前需要根据实际情况进行以下操作:

申请ECS(可选)

  1. 进入控制台,在页面左上角单击“服务列表 > 计算 > 弹性云服务器ECS”,进入“弹性云服务器”页面。
  2. 单击右上角“购买弹性云服务器”。
  3. 进入弹性云服务器配置界面,根据提示配置参数。
  4. 参数配置完成后,单击“立即购买”,弹性云服务器(ECS)创建完毕。

申请EIP(可选)

  1. 进入控制台,在页面左上角单击“服务列表 > 网络 > 弹性公网IP EIP”,进入“弹性公网IP EIP”节点。
  2. 单击“购买弹性公网IP”
  3. 完成相关设置后,单击“立即购买”。

安全配置

为确保主机连通性验证通过,您需要对机器进行以下配置操作:

配置安全组

请在进行主机连通性验证前配置安全组,将部分端口开放,否则会出现连通性验证失败的情况(以Linux系统机器为例)。

  1. 进入控制台,在页面左上角单击“服务列表 > 计算 > 弹性云服务器 ECS”,进入“弹性云服务器 ECS”界面。
  2. 单击目标弹性云服务器名称,进入弹性云服务器详情页面,选择“安全组”页签,如下图所示,单击操作栏的“配置规则 > 入方向规则”配置入方向规则。

  3. 单击“快速添加规则”,做如下设置:

    • Linux系统机器需在入方向规则中开放22端口,Windows系统机器需在入方向规则中开放54、5985、5986端口,即添加目标主机/代理主机时添加的端口,远端设置为0.0.0.0/0(面向全IP开放以上端口)。

      如果您对整体部署过程的安全性有较高的要求,不能面向全IP开放以上端口,那您至少需要将以下IP地址加入安全组并放开端口限制,否则将无法进行主机连通性验证。

      中国站全部区域(Region):

      中国站:
      49.4.3.11
      139.159.226.153

      以上IP地址均为部署服务官方资源池对外开放IP,用于与目标主机、代理主机通信。

    • 将主机部署的应用的端口的入方向放开限制(如Tomcat应用的8080端口,或者其他应用的所有端口的入方向必须打开),否则将访问不到该应用。
    • 出方向不做限制或者至少可以访问80端口和443端口。

配置防火墙

检查机器的防火墙配置,配置防火墙允许SSH协议端口被访问,否则会导致连通性验证失败,以下详细介绍不同操作系统的防火墙配置方式。

  • Linux防火墙配置方式
    表1 Linux防火墙配置方式

    操作系统系列

    配置方式

    CentOS/EulerOS系列/UnionTechOS

    1. 查看本机是否安装SSH软件包。
      rpm -qa | grep ssh

      若回显内容中包含openssh-server,则说明已安装。

    2. 如果没有SSH软件包,执行以下命令。
      yum install openssh-server
    3. 开启SSH服务。
      service sshd start
    4. 打开sshd的配置文件。
      vi /etc/ssh/sshd_config
    5. 去除监听端口前的注释。
    6. 重启SSH服务。
      sudo service sshd restart
    7. 查看是否开放22端口。
      netstat -ntpl | grep 22
      说明:

      如果您对整体部署过程的安全性有较高的要求,不能面向全IP开放以上端口,可配置访问IP白名单。

      在sshd_config文件末尾添加以下命令,并保存:

      AllowUsers {User}@{IP}

      执行命令重启SSH服务:

      sudo service sshd restart

      其中User为自有主机白名单用户名,IP为白名单IP,白名单需包含CodeArts的IP网段。

      中国站全部区域(Region):

      中国站:
      49.4.3.11
      139.159.226.153

      以上IP地址均为部署服务官方资源池对外开放IP,用于与目标主机、代理主机通信。

    Debian系列

    1. 以root身份登录系统,安装ufw。
      apt install ufw
    2. 开放22端口。
      ufw allow 22/tcp
    3. 查看是否开放22端口。
      ufw status

      若ufw状态为inactive,则执行以下命令启动ufw

      ufw enable
      说明:

      如果您对整体部署过程的安全性有较高的要求,不能面向全IP开放以上端口,可配置访问IP白名单。

      执行以下命令,添加ip白名单:

      ufw allow from {IP} to any port 22

      其中IP为白名单IP,白名单需包含CodeArts的IP网段。

      查看ufw的规则列表:

      ufw status numbered

      禁用SSH连接规则(将源Ip为Anywhere的规则禁用,达到白名单限制目的):

      ufw delete {Number}

      其中Number为待禁用规则编号

      中国站全部区域(Region):

      中国站:
      49.4.3.11
      139.159.226.153

      以上IP地址均为部署服务官方资源池对外开放IP,用于与目标主机、代理主机通信。

    Ubuntu系列

    1. 查看本机IP。
      ifconfig
    2. 查看22端口是否被占用。
      netstat -nltp|grep 22
    3. 若无端口进程,依次执行以下命令。
      sudo apt-get install openssh-server
      sudo apt-get install ufw
      sudo ufw enable
      sudo ufw allow 22
      说明:

      如果您对整体部署过程的安全性有较高的要求,不能面向全IP开放以上端口,可配置访问IP白名单。

      执行以下命令,添加ip白名单:

      sudo ufw allow from {IP} to any port 22

      其中IP为白名单IP,白名单需包含CodeArts的IP网段。

      查看ufw的规则列表:

      ufw status numbered

      禁用SSH连接规则(将源Ip为Anywhere的规则禁用,达到白名单限制目的):

      ufw delete {Number}

      其中Number为待禁用规则编号

      中国站全部区域(Region):

      中国站:
      49.4.3.11
      139.159.226.153

      以上IP地址均为部署服务官方资源池对外开放IP,用于与目标主机、代理主机通信。

  • Windows防火墙配置方式

    本节操作以Windows2012操作系统为例。

  1. Windows主机的控制面板中选择“Windows 防火墙设置”

  2. 选择“高级设置”

  3. 选择“入站规则”

  4. 选择“新建规则”

  5. 规则类型选择“端口”,然后单击“下一步”

  6. 协议和端口分别勾选“TCP”“特定本地端口”,端口号设置为5986,然后单击“下一步”

  7. 操作选择“允许连接”,然后单击“下一步”

  8. 配置文件选择全部,然后单击“下一步”

  9. 最后,输入规则名称,单击“完成”

  10. 重复步骤1~9,添加代理机监听端口的入站规则,如54端口。
  11. 如果您对整体部署过程的安全性有较高的要求,不能面向全IP开放以上端口,可配置访问IP白名单。(可选步骤

    1. Windows主机的控制面板中选择“Windows 防火墙设置”

    2. 选择“高级设置”

    3. 选择“入站规则”

    4. 选择“新建规则”

    5. 规则类型选择“自定义”,然后单击“下一步”

    6. 程序选择所有程序,然后单击“下一步”
    7. 协议类型和本地端口分别勾选“TCP”“特定本地端口”,端口号设置为5986,然后单击“下一步”

    8. 作用域设置中,此规则应用于任何本地IP地址,远程IP地址选择”下列IP地址”,添加白名单地址,然后单击“下一步”

    9. 操作选择“允许连接”,然后单击“下一步”

    10. 配置文件选择全部,然后单击“下一步”

    11. 最后,输入规则名称,单击“完成”

    12. 重复1~11,添加代理机监听端口的入站规则,如54端口。

相关文档