可视化架构运维实践（上册）

阿里云开发者“藏经阁”海量电子手册免费下载前言 2.云速搭使用技巧 15 3.云速搭部署基础资源 31 4.云速搭部署容器、大数据、数据库 5.资源组合部署 8.客户成功 9.相关资源 1.可视化运维工具云速搭CADT基本功能介绍提供完整可直接部署的资源配置,减少用户操作,用户可根据官方模板配置所需2.云速搭使用技巧2.1.分享自定义模板给其他用户使用2.2.使用自定义镜像创建ECS2.3.为ECS定义多个安全组2.4.资源探查说明：在已选择资源下可以看到要生成架构图的资源，3.云速搭部署基础资源3.1.云速搭架构设计入门--3.1.1.设计应用架构3.1.2.配置资源参数步骤3从左侧产品列表对应分类下找到弹性公网IP和安全组，或通过搜索栏输入关键字快速说明：按照从上往下的顺序依次进行输入和选择，其中支付方式（按量1说明：左上角会显示保存后的应用名称，每一个架构在云上都是要支持3.1.2.部署应用确认订单阶段会列出架构中所有的产品及其价格，需要用户确认无误后勾选接受步骤17可以单击安全组内实例列表，查看该安全组内包含的实例信息，这里可以看到ECS-TEST。3.2.1.云速搭架构设计--3.2.2.设计应用架构3.2.3.共享流量包部署共享流量包产品是一款流量套餐产品，使用方便，价格实惠。在3.2.4.共享宽带包部署添加到共享带宽实例中，复用共享带宽中的带宽，节省公网带宽使3.3.云速搭部署CLB实现负载分发3.3.1.云速搭创建CLB架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下图，本最佳实践全部资源部署在杭州（主选择资源丰富、离用户近的区域保障默认（华东1可用区3.3.2.通过云速搭CADT部署资源3.3.3.验证通过CLB转发到ECS实现负载分发hostname:`hostname`3.3.4.验证CLB挂载SSL证书实现https转发3.4.云速搭部署和导入公网型负载均衡CLB3.4.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所3.4.2.CADT部署公网型CLB3.4.3.创建基础网络资源3.4.4.新建公网型CLB自定义，本例使用“新建公网型CLB”3.4.5.导入已保有公网型CLB注意：这里要首先选择已保有CLB的主可用区（本例为华南1可用区D接着选择已保有CLB的备可用区（本例为华南1可用区E这样才可以在实例名下拉菜单中找到已保有的3.4.6.保存架构图3.4.7.执行导入和部署.执行导入和部署.执行部署新资源步骤3待询价成功后，核对方案价格（也可3.5.1.云速搭部署ALB架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下图，选择离原系统公网IP近的云上区域Kubernets23.5.2.通过云速搭CADT部署资源步骤7切换回默认模式，双击ALB进行配置，此时可以看到“部署可3.5.3.验证通过ALB转发到ECS实现负载分发hostname:`hostname`3.5.4.验证通过ALB转发到CLB实现负载分发hostname:`hostname`3.5.5.验证通过ALB转发到ACK集群实现负载分发步骤3从左侧的云产品列表中搜索ACK托管版，拖入架构图画布中，并使用连线的方式将23.6.1.云速搭架构设计--3.6.2.设计应用架构--3.6.3.配置资源参数两双击vswitch选项，在右边提示窗的vswitch选项中输入vswitch-bj，可用区选择北113.6.4.NAT部署.NAT+ECS粒度.NAT+VPC粒度步骤35删除刚才创建的SNAT规则，创建新的SNAT规则，选择交换机粒度，选.NAT共享流量包3.7.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所3.7.2.设计过程3.7.3.部署过程3.7.4.验证过程3.8.云速搭部署云企业网CEN3.8.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所3.8.2.设计过程AAA。。带宽包名称可选）每个带宽包下的跨地域互通带宽的总和不能大3.8.3.部署过程3.8.4.验证过程3.9.1.云速搭架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下表所本最佳实践全部资源部署在杭州新购（根据实际情况选择新购或已保有，选择资源丰富、离用户近的区域保新购（根据实际情况选择新购或已保有，本最佳实践新购交换云上业务系统规格按照原规格购3.9.2.通过云速搭CADT部署资源3.9.3.验证ECS挂载NAS文件系统3.10.云速搭部署混合云备份HBR3.10.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所3.10.2.设计过程3.10.3.部署过程3.10.4.验证过程每个阿里云资源都有资源级别，本架构中使用的资源如下表所-3.11.1.部署按量的WAF服务.创建应用.部署应用步骤3等待校验成功，单击下一步：价格清单。这里会拉取应用所有配置的价格信息，由于3.11.2.开通包年包月的WAF服务.创建应用.部署应用3.12.云速搭部署堡垒机3.12.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所--3.12.2.应用架构设计3.12.3.资源参数配置3.12.4.部署应用3.13.云速搭部署云防火墙3.13.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所-3.13.2.创建应用3.13.3.部署应用3.14.云速搭部署云安全中心3.14.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所--3.14.2.应用架构设计3.14.3.部署应用3.15.云速搭部署安全组3.15.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所--3.15.2.应用架构设计3.15.3.部署应用步骤16等待校验成功，单击下一步3.15.4.CADT部署企业安全组3.16.云速搭部署ECS最佳实践3.16.1.云速搭架构设计3.16.2.准备工作每个阿里云资源都有资源级别，本架构中使用的资源如下表所-3.16.3.应用架构设计3.16.4.部署应用3.17.1.云速搭架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下表所-3.17.2.应用架构设计3.17.3.部署应用3.18.1.云速搭架构设计。。每个阿里云资源都有资源级别，本架构中使用的资源如下表所-3.18.2.应用架构设计3.18.3.部署应用3.19.云速搭部署弹性裸金属服务器3.19.1.云速搭架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下表所-3.19.2.应用架构设计3.19.3.部署应用3.20.1.云速搭架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下表所--3.20.2.应用架构设计--3.20.3.配置资源参数13.20.4.部署应用3.20.5.DTS实现RDS数据同步CREATETABLE`user`(3.21.1.云速搭架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下表所3.21.2.CADT设计部署风险识别服务以及最终的实付价格，在这里您需要确认下所购风险识别服务的原价、优惠以及实付价格是否3.21.3.基于已有应用部署4.云速搭部署容器、大数据、数据库4.1.云速搭部署Elasticsearch应用4.1.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所4.1.2.应用架构设计-VPC_BP_ESVPC_BP_ES4.1.3.部署应用4.2.云速搭部署Flink应用4.2.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所-VPC_BJ4.2.2.应用架构设计步骤8单击创建连线按钮，切换到连线模式，依次将flink和VSW_B4.2.3.配置资源参数4.2.4.部署应用步骤2弹出如下校验页面，这里会校验参数配置是否合法、连线配置是否合法、datahub和4.3.1.云速搭架构设计入门--4.3.2.设计应用架构3.双击vswitch，在右边提示窗的vswitch选项中输4.3.3.MySQL部署14.3.4.SQLServer部署4.3.5.PostgreSQL部署4.3.6.PolarDB部署4.4.云速搭部署数据库审计4.4.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所---4.4.2.应用架构设计4.4.3.部署应用4.5.云速搭部署SLS实现日志采集处理分析4.5.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下图，本最佳实践全部资源部署在杭州专有网络VPC新购（根据实际情况选择新购或已保有，本最佳实选择资源丰富、离用户近的区域保新购（根据实际情况选择新购或已保有，本最佳实云上业务系统规格按照原规格购4.5.2.通过云速搭CADT部署资源14.5.3.Logtail日志采集处理分析.创建日志服务Project和Logstore.安装Logtail日志采集客户端.配置主账号AliUid.配置接入日志库自定义网络环境或者有多台服务器需要进行弹性伸缩的场景下，建议使用用户自定义标识作为"Mozilla/5.0(Macintosh;IntelMacOSX11_1_0)AppleWebKit/537.36""Mozilla/5.0(Macintosh;IntelMacOSX11_1_0)AppleWebKit/537.36".云服务器上模拟产生Nginx文本日志gitgitclone/best-practice/cadt-sls.git.通过日志服务仪表盘进行可视化分析注意：查询分析设置的修改操作只会对新写入的数据生效，如果您需要提前对查询分析设置的某些字段分析统计生效，请使用指定字段查询的自定义方式在日志写入到日志库之前进行开启4.6.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所-VPC_BJ4.6.2.应用架构设计4.6.3.配置资源参数4.6.4.部署应用4.7.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所-VPC_BJ4.7.2.应用架构设计4.7.3.配置资源参数14.7.4.部署应用4.8.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所-VPC_BJ4.8.2.应用架构设计4.8.3.配置资源参数(大写、小写、数字、特殊字符占三种，长度为8－32位)4.8.4.部署应用4.9.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所--4.9.2.应用架构设计门4.9.3.部署应用4.9.4.导入已保有EMR应用架构4.10.1.云速搭架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下表所--4.10.2.通过CADT创建ACK集群.手动创建ACK集群.基于官方模板新建ACK集群4.10.3.部署应用4.10.4.导入已保有ACK应用架构5.资源组合部署5.1.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所5.1.2.应用架构设计--5.1.3.部署应用步骤3等待校验成功，单击下一步：价格清单。这里会拉取应用所有配置的价格信息，由于5.1.4.部署结果验证5.2.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下图，付费类型按量付费镜像及版本系统盘及容量登录密码（自定义，密码将在后续章节中使用）CPFS支付方式按量付费存储类型容量支付方式按量付费部署方式标准计算节点计算节点数量1管控节点管控节点数量2登录节点登录节点数量1登录密码系统盘cloud_essd系统盘容量性能级别弹性公网IP新建安全组启用安全组名称镜像类型自定义镜像镜像（选择在章节中创建的自定义镜像）文件类型CPFS调度器custom（不安装调度器E-HPC提供丰富的调度器，本例中不安装启用产品版本域账号服务nis（E-HPC提供nis和ldap两种域账号服务，本例选择nis，也可选择custom不安装域账号服务）5.2.2.部署CPFS和ECS.创建基础网络资源说明：配置完一个对象后，可以直接打开下一个对象，步骤6在vswitch的任意位置双击鼠标，开启配置清单，根据章节5.2.1资源配置清单配置.创建CPFS.创建ECS并挂载EIP.保存架构图.执行部署步骤3待询价成功后，核对方案价格（也可.记录用于制作镜像的ECS私网IP.确认CPFS挂载点状态并记录初始密码待CPFS文件系统挂载点状态可用后，请记录客户端管理节点初始密码，以备后续在章节5.2.5.2.3.制作镜像.允许远程登录CPFS管理节点.远程登录CPFS客户端管理节点qr001.配置CPFS管理节点对客户端节点的免密钥登录.记录CPFS管理节点的Quorum和Contact内容复制除localhost记录以外的全部其他记录，以备后续在章节中使用。.远程登录用于制作镜像的ECS实例.在用于制作镜像的ECS上安装CPFS客户端.制作自定义镜像5.2.4.部署E-HPC.创建E-HPC.执行部署后续步骤与章节一致，此.确认E-HPC集群运行正常5.3.云速搭基于资源组部署云资源5.3.1.云速搭架构设计入门-vpc-数据平台/oss-data-20/e|40.0Gcloud_essd_x64_20G_alibase_2|40.0Gcloud_essd_x64_20G_alibase_2/|40.0Gcloud_essd_x64_20G_alibase_2|40.0Gcloud_essd_x64_20G_alibase_25.3.2.权限管理.创建用户和用户组.创建资源组.资源组授权.添加授权架构5.3.3.云资源部署.设计资源架构l如果存在已保有资源，比如VPC、交换机等，购买方式选择“导l模版里各个云资源的资源组都修改为上文中.部署资源5.3.4.权限验证.验证资源组支持的产品权限.自定义策略管理产品{{{{{}]}.查看CADT架构.查看应用组监控对该资源组下的监控进行统一管理，包括增加阀值告警、添加联系人组、查看监控视图、故障.跨资源组转移资源如果需要将一个资源组内的资源转移到另一个资源5.4.1.云速搭架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下表所-VPC_BJ5.4.2.应用架构设计-VPC_BJ5.4.3.配置资源参数5.4.4.部署应用步骤2弹出如下校验页面，这里会校验参数配置是否合法、连线配置是否合法、dataV和5.5.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下图，-5.5.2.设计WAF和SLB透明接入架构5.5.3.部署应用这里可以查看资源列表和清单，单击左侧资源名称，直5.5.4.透明接入5.6.云速搭部署ESS实现弹性伸缩5.6.1.通过云速搭创建ESS每个阿里云资源都有资源级别，本架构中使用的资源及选择离原系统公网IP近的云上区域5.6.2.通过云速搭CADT部署资源15.6.3.验证ESS弹性伸缩能力5.7.云速搭部署云上网络组网5.7.1.组网设计每个阿里云资源都有资源级别，本架构中使用的资源如下图所5.7.2.绘制基础网络资源说明：配置完一个对象后，可以直接打开下一个对象，步骤6在vswitch的任意位置双击鼠标，开启配置清单，根据章节1.2.1基础网络资源配置5.7.3.绘制网关资源5.7.4.绘制云企业网5.7.5.绘制说明类图标5.7.6.保存架构图5.7.7.执行部署步骤3待询价成功后，核对方案价格（也可5.7.8.检查CEN网络资源挂载情况5.8.1.云速搭架构设计入门每个阿里云资源都有资源级别，本架构中使用的资源如下表所5.8.2.设计过程5.8.3.部署过程5.8.4.验证过程步骤9配置/etc/keepalived/keepalived.conf文件，5.9.1.云速搭CADT架构设计每个阿里云资源都有资源级别，本架构中使用的资源如下表所5.9.2.CADT部署单账户跨VPC共享NAT网关5.9.3.验证过程6.云速搭权限管理及场景设计6.1.前置条件6.2.云速搭权限管理概述6.3.权限管理场景设计6.3.1.企业IT管理场景6.3.2.设计权限管控策略6.3.3.权限管控策略实现为实现上一章节中的权限管控策略，我们主要需要使用两个阿里云的产品能力：访问控制。。。用户根据身份加入各组，再根据权限策略，对各个组授权。通过资源组AdministratorAccess和AliyunCAD6.4.权限管理策略配置6.4.1.创建资源组6.4.2.创建RAM用户组6.4.3.为RAM用户组授权6.4.4.创建RAM用户并加入用户组6.4.5.CADT应用加入资源组6.5.权限场景验证6.5.1.角色权限验证6.5.2.资源组归属验证6.6.自定义权限（可选）6.6.1.创建自定义权限策略cadt-full-access{{{{{{,}}6.6.2.创建自定义权限策略cadt-read-only{{{]{}}6.6.3.使用自定义策略使用自定义策略，通过合理的脚本控制，可以实现更精细化的权限管控；章节1.37.最佳实践及官方模板7.1.企业上云等保三级合规最佳实践7.1.1.场景描述准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经等级保护根据被保护业务系统的重要程度划分一到四个等级。第三级是指比较重要系统，具体7.1.2.应用范围7.1.3.架构设计7.2.云服务器基准性能测试7.2.1.场景描述7.2.2.解决问题7.2.3.架构设计7.3.1.场景描述7.3.2.适用客户7.3.3.架构设计L7.4.1.场景描述到成本的最优控制。同时，业务方无需管理节点和容量规划，全自动实现容器“无限”弹性扩7.4.2.解决问题7.4.3.架构设计7.5.阿里云最佳实践频道8.客户成功8.1.最佳实践助力正元智慧上云提效8.1.1.客户简介自主研发生产的百余项软件著作权、专利及多系列核心硬件产品。产品通过公安部、人民银行融合服务平台，打造多技术融合、多主体协同、多场景应用的智慧园区全面解决方案。核心业8.1.2.客户需求8.1.3.客户价值8.1.4.客户之声自主研发生产的百余项软件著作权、专利及多系列核心硬件产品