云架构设计实战 课件 单元 9 自动化部署、数据加密服务

云计算技术

单元9自动化部署、数据加密服务单元概述

本单元将介绍：使用AmazonCloudFormation的模板实现云架构基础设施的自动化部署，模板是事先定义好的JSON或者YAML格式的文件，通过模板很容易重复部署云架构创建密钥使用密钥来加密块存储设备、文件系统、存储桶和数据库学习目标知识点：AmazonCloudFormation服务模板、堆栈AmazonKeyManagementService服务客户托管密钥（CMK）技能点：应用AmazonCloudFormation模板创建堆栈更新堆栈删除堆栈创建客户主密钥CMK加密EBS加密EFS加密S3存储桶加密

RDS项目1自动化部署基础设施项目描述本项目将利用AmazonCloudFormation工具部署多层基础设施（网络层和应用层）更新AmazonCloudFormation堆栈以及删除堆栈任务1知识预备与方案设计项目1自动化部署基础设施1.AmazonCloudFormation通过将基础设施视为代码，提供一种方式为亚马逊云科技资源和第三方资源建模，对这些资源进行预置并在它们的整个生命周期内对其进行管理好处有以下好处能简化基础设施管理：通过使用CloudFormation可以轻松地将一组资源作为一个单元进行管理，从而简化基础设施的管理，快速复制基础设施：可以重复使用CloudFormation模板，从而以一致且可重复的方式在多个区域中创建资源。轻松控制和跟踪用户对基础设施所做的更改：CloudFormation模板准确描述了所配置的资源及其设置，这些模板是文本文件，因此只需跟踪模板中的区别即可跟踪对基础设施所做的更改项目1自动化部署基础设施2.模板AmazonCloudFormation服务由模板和堆栈组成。AmazonCloudFormation模板是JSON或YAML格式的文本文件，文件的扩展名是json、yaml、template或txt用JavaScript对象表示法(JSON)或YAMLAin'tMarkupLanguage(YAML)编写模板是CloudFormation构建Amazon资源的蓝图3.堆栈堆栈就是用CloudFormation模板创建的一组资源集合，可通过创建、更新和删除堆栈来对这一组资源进行操作一个模板包括AutoScaling组、ElasticLoadBalancing负载均衡器和AmazonRelationalDatabaseService(AmazonRDS)数据库实例可以通过使用CloudFormation控制台、API或AmazonCLI来使用堆栈项目1自动化部署基础设施4.AmazonCloudFormation如何运行创建堆栈时，AmazonCloudFormation需要调用AmazonWebServices基础服务来配置资源，这就需要权限。CloudFormation只能执行您有权限的操作CloudFormation进行的调用全部由模板文件实现CloudFormation创建堆栈的工作流程（1）使用AmazonCloudFormationDesigner或自己的文本编辑器创建或修改现有的模板文件；（2）模板文件保存在本地或S3存储桶中；（3）通过指定模板文件的位置（如，本地计算机上的路径或AmazonS3URL）来创建CloudFormation堆栈项目1自动化部署基础设施5.方案设计使用CloudFormation模板lab-network.yaml部署VirtualPrivateCloud(VPC)网络层模板lab-application.yaml部署应用层，应用层的EC2主机是一个Web服务器配置完成后客户可以通过浏览器访问该Web服务器Web服务器安全组只有一条允许访问HTTP协议的规则用新模板lab-application2.yaml修改EC2的安全组增加一条允许通过TCP端口22的SSH入站规则通过CloudFormationDesigner浏览模板内容最后删除堆栈lab-application任务2部署网络层项目1自动化部署基础设施1.登录AmazonWebServices管理控制台，在服务窗口选择CloudFormation，打开窗口项目1自动化部署基础设施2.上传模板文件。“创建堆栈”按钮，选择选择“模板已就绪”，并把已经准备好的模板lab-network.yaml上传。单击“下一步”项目1自动化部署基础设施3.指定堆栈详细信息。填写堆栈名称“lab-network”，单击“下一步”项目1自动化部署基础设施4.配置堆栈选项。填写堆栈标签，如有需要，可以设置权限以及其他高级选项。单击“下一步”项目1自动化部署基础设施5.审核堆栈。检查前面各步骤设置的选项，确认后，单击“创建堆栈”按钮。CloudFormation将使用该模板在AmazonWebServices账户中生成资源堆栈项目1自动化部署基础设施6.查看堆栈lab-network信息。创建过程需要花几分钟时间，完成后堆栈状态显示为CREATE_COMPELETE，项目1自动化部署基础设施7.查看堆栈资源。单击“资源”选项卡，可以看到堆栈lab-network包含8个资源项目1自动化部署基础设施8.查看“事件”。单击“事件”选项卡项目1自动化部署基础设施9.查看“输出”。单击“输出”选项卡，可以看到两个输出项：公有子网和VPC项目1自动化部署基础设施10.查看模板信息。单击“模板”选项卡，可以查看模板信息任务3部署应用层项目1自动化部署基础设施1.打开CloudFormation控制台，创建堆栈2.选择模板，模板的名字为lab-application.yaml3.堆栈名称填写“lab-application”，单击“下一步”项目1自动化部署基础设施4.配置堆栈选项，填写标签项目1自动化部署基础设施5.审核lab-application，单击“下一步”6.等待堆栈状态更改为CREATE_COMPLETE，堆栈创建完成项目1自动化部署基础设施7.查看堆栈资源。在堆栈的“资源”选项卡可以看到堆栈中包含web服务器和该服务器的安全组等项目1自动化部署基础设施8.打开输出选项卡，复制Web服务器的URL项目1自动化部署基础设施9.在新的浏览器窗口中粘贴上一步骤的URL，访问Web服务器任务4更新堆栈项目1自动化部署基础设施在AmazonWebServices管理控制台上，从服务菜单中选择“EC2”2.在左侧导航窗格中，选择“安全组”3.选中lab-application-WebServerSecurityGroup选择“入站规则”选项卡。该入站规则只有一条信息，即允许HTTP流量项目1自动化部署基础设施4.返回CloudFormation，选择lab-application，点击“更新”按钮项目1自动化部署基础设施5.设置新模板是lab-application2.yaml，用来更改堆栈lab-application安全组规则。单击“下一步”项目1自动化部署基础设施6.在随后的“第2步指定堆栈详细信息”、“第3步配置堆栈选项”中中单击“下一步”按钮。在“第4步审核lab-application”中单击“更新堆栈”按钮，等待一段时间堆栈更新完成项目1自动化部署基础设施7.查看修改结果。返回到AmazonEC2控制台，从左侧导航窗格中选择安全组，在右侧窗格中选择lab-application-WebServerSecurityGroup...，打开下面窗口的“入站规则”选项卡。发现规则被修改，增加了允许通过TCP端口22的SSH流量的附加规则任务5使用CloudFormationDesigner浏览模板项目1自动化部署基础设施在服务菜单上，选择CloudFormation2.在左侧导航窗格中，选择“设计器”3.选择“文件→打开→本地文件”菜单，然后选择lab-application2.yaml模板4.使用Designer，可以编辑模板任务6删除堆栈项目1自动化部署基础设施选择Designer页面顶部的关闭按钮，返回CloudFormation控制台在堆栈列表中，选择“lab-application”选择“删除堆栈”按钮。可以在堆栈的“事件”选项卡中监控删除过程，选择“刷新”来更新屏幕。删除后它将从堆栈列表中消失。删除操作需要一段时间，请耐心等待项目2加密数据项目描述AmazonKeyManagementService（AmazonKMS）是亚马逊安全与身份认证的服务之一本项目中将介绍数据加密的相关知识，学习如何创建客户主密钥(CustomerMasterKey，CMK)并用它加密AmazonWebServices组件项目2加密数据任务1知识预备与方案设计1.KMSAmazonKeyManagementService是一项托管式服务，可以集中创建和控制用于保护数据的加密密钥这些加密密钥也称为AmazonKMS密钥，是亚马逊云科技账户中的资源用户可以创建新的KMS密钥，并且可以控制这些密钥的使用或管理权限KMS与其他亚马逊云科技服务集成，从而轻松加密存储在这些服务中的数据，同时控制对用于加密和解密数据的密钥的访问可以从亚马逊云科技管理控制台、亚马逊云科技开发工具包（SDKs）或亚马逊云科技命令行界面(CLI)管理KMS密钥项目2加密数据2.CMKCMK可以用来对数据进行加密、解密和重新加密或进行数字签名它还可以生成数据密钥，CMK既可以是对称，也可以是非对称的ARN（AmazonResourceName）唯一标识CMK，CMK还可以有别名KMS支持三种类型的CMK：客户托管CMK、Amazon托管CMK和Amazon拥有的CMK项目2加密数据3.数据密钥数据密钥（datakey）是只用于加密或解密数据（data）而不用于加密或解密其它密钥的密钥（key），可以使用对称KMSCMK来生成、加密和解密数据密钥必须在KMS之外使用和管理数据密钥数据密钥的生成：调用GenerateDataKeyoperation，KMS使用用户指定的对称CMK来创建“明文数据密钥”和“加密数据密钥”，KMS可以解密“加密数据密钥”项目2加密数据数据密钥加密：在使用明文数据密钥加密数据后，请尽快从内存中将其删除。您可以安全地存储加密数据密钥及加密数据数据密钥解密：将“加密数据密钥”和您的CMK传递至Decrypt操作，返回“明文数据密钥”。使用“明文数据密钥”解密数据项目2加密数据4.数据密钥对数据密钥对是由数学上相关的公有密钥和私有密钥组成的非对称数据密钥。它们用于外部的客户端加密和解密或进行数字签名和验证。KMS支持的数据密钥对有RSA密钥对和椭圆曲线密钥对。KMS调用GenerateDataKeyPair或GenerateDataKeyPairWithoutPlaintext来创建数据密钥对。一个CMK通过GenerateDataKeyPair产生一个明文公有密钥、一个明文私有密钥和一个加密的私有密钥；而一个CMK使用GenerateDataKeyPairWithoutPlaintext则返回一个明文公有密钥和一个加密的私有密钥5.密钥用法密钥用法是一种CMK属性，用于确定CMK是用于加密和解密还是签名和验证。不能同时选择二者。对称CMK的密钥用法始终是加密和解密；椭圆曲线(ECC)CMK的密钥用法始终是签名和验证；具有RSA密钥对的非对称CMK可以用于加密、解密和签名、验证项目2加密数据6.信封加密信封加密将加密数据的数据密钥封入信封中存储、传递、和使用，不再使用主密钥直接加解密数据。操作过程是，使用明文的数据密钥加密文件，产生密文文件，然后将密文数据密钥和密文文件一同存储到持久化存储设备或服务中解密时用户从持久化存储设备或服务中读取密文数据密钥和密文文件，调用KMS服务的Decrypt接口，解密数据密钥，取得明文数据密钥；使用明文数据密钥解密文件7.方案设计在亚马逊云科技的北京区创建一个对称式客户主密钥（CMK）

CMK的别名为first_cmk_szpt用这个CMK分别来创建加密EBS卷、建静态加密的EFS文件系统重新设置S3密钥和创建加密RDS项目2加密数据任务2创建对称式客户主密钥（CMK）1.登录AmazonWebServices管理控制台，指定区域为“北京”。在服务窗口选择KeyManagementService，打开窗口，单击“创建密钥”项目2加密数据2.配置密钥，选择“对称”的密钥类型，单击“下一步”项目2加密数据3.添加标签。给CMK取别名：first_cmk_szpt，可以根据需要添加描述和标签。单击“下一步”项目2加密数据4.定义密钥管理权限。选择可管理CMK的IAM用户和角色，单击“下一步”项目2加密数据5.定义密钥使用权限。选择可在加密操作中使用该KMS密钥的IAM用户和角色。单击“下一步”项目2加密数据6.审核。确认前面步骤设置参数是否正确，单击“完成”项目2加密数据7.查看新创建的CMK。在KMS控制台左侧导航栏，单击“客户管理的密钥”，单击first_cmk_szpt的密钥ID。可以查看该密码的详细信息。其中的ARN为：arn:aws-cn:kms:cn-north-1:XXXX格式项目2加密数据任务3加密EBS卷1.登录AmazonWebServices管理控制台，选择EC2服务，在页面的右上角选择区域“北京”。任务2也是在“北京”区域中创建了密钥2.拖动滚动条，找到“账户属性”选项区，然后选择“EBS加密”项目2加密数据3.启用“始终加密新的EBS卷”；此时，默认的加密密钥是aws/ebs，在下拉列表中选择任务2创建的密钥first_cmk_szpt。单击“更新EBS加密”项目2加密数据4.在EC2左侧导航窗格中，单击“ElasticBlockStore”→“卷”，单击“创建卷”5.设置卷的属性。KMS密钥使用任务2创建的CMK:first_cmk_szpt，其他设置保持默认值。单击“创建卷”项目2加密数据6.查看加密结果。在卷列表中选择新创建的卷，该卷的描述信息显示已加密7.将该加密卷添加到实例上（见单元2）。此后存放在该卷的数据将自动加、解密，加、解密的密钥为first_cmk_szpt项目2加密数据任务4加密EFS文件系统1.访问/efs/，打开AmazonElasticFileSystem控制台。单击“创建文件系统”按钮2.EFS文件系统创建的详细步骤参见单元6。文件系统设置如下。选择“启用静态数据加密”，在“KMS密钥”下拉列表中，选择任务2创建的CMK：first_cmk_szpt，单击“下一步”项目2加密数据3.设置网络访问，使用默认值，单击“下一步”4.设置文件系统策略，使用默认值，单击“下一步”5.在“审核和创建”步骤中，确认前面步骤设定的参数，单