Normalerweise sind der Server, auf dem Nginx oder Apache installiert ist, und der Server, auf dem Speicher wie DB installiert ist, separate Server. Ich denke, dass es oft gebaut wird, aber bis zu CentOS7 war es relativ einfach einzurichten, aber die Schwelle ist von CentOS8 ein wenig gestiegen. Der Aufbau des lokalen Netzwerks hat viel Zeit in Anspruch genommen, daher werde ich es einmal aufschreiben.
Ich benutze Kagoya oft sowohl für private als auch für geschäftliche Zwecke, also habe ich es diesmal auf Kagoyas VPS ausgeführt.
*** Die für die Erstellung verwendete Instanz wurde übrigens bereits gelöscht. *** ***
[root@v133-18-●●●-●●● ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:a9:21:a9 brd ff:ff:ff:ff:ff:ff
inet 133.18.202.69/23 brd 133.18.203.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 10.150.11.1/24 brd 10.150.11.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2406:8c00:0:3409:133:18:202:69/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fea9:21a9/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:31:b3:50 brd ff:ff:ff:ff:ff:ff
Die NIC-Informationen der erstellten WEB-Serverinstanz sind wie oben. Die zusätzliche Netzwerkkarte, die durch die Netzwerkfunktion von KAGOYA erstellt wurde, wird zur ** eth1-Schnittstelle **.
Überprüfen Sie zunächst den Verbindungsstatus mit dem folgenden Befehl.
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
Wired connection 1 05464f3c-c413-358b-8cd1-1b3adabd94d5 ethernet eth1
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
Ändern Sie im obigen Status zunächst den Verbindungsnamen von Kabelverbindung 1 in ** eth1 **, was mit GERÄT identisch ist.
[root@v133-18-●●●-●●● ~]# nmcli con mod "Wired connection 1" connection.id eth1
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
eth1 05464f3c-c413-358b-8cd1-1b3adabd94d5 ethernet eth1
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
Der Verbindungsname ist jetzt derselbe wie ** eth1 **, der mit der NIC-Schnittstelle identisch ist. Führen Sie als Nächstes den Befehl aus, der das Gerät mit der Verbindung selbst verknüpft.
[root@v133-18-●●●-●●● ~]# nmcli con mod "eth1" connection.interface-name eth1
Nachdem Sie den obigen Befehl ausgeführt haben, können Sie mit dem folgenden Befehl eine beliebige private IP festlegen.
[root@v133-18-●●●-●●● ~]# nmcli con mod eth1 \
ipv4.method manual \
ipv4.address "192.168.1.1/24" \
connection.autoconnect "yes" \
ipv6.method ignore
*** * Nach dem Schrägstrich keine Leerzeichen setzen ***
Dieses Mal ist das private IP-Segment auf ** 192.168.1 / 24 ** eingestellt. Bitte stellen Sie hier ein, wie Sie möchten.
Überprüfen Sie nach dem Ausführen des obigen Befehls die Einstellungen wie folgt.
[root@v133-18-●●●-●●● ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:a9:21:a9 brd ff:ff:ff:ff:ff:ff
inet 133.18.202.69/23 brd 133.18.203.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 10.150.11.1/24 brd 10.150.11.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2406:8c00:0:3409:133:18:202:69/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fea9:21a9/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:31:b3:50 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.1/24 brd 192.168.1.255 scope global noprefixroute eth1
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe31:b350/64 scope link
valid_lft forever preferred_lft forever
Wie oben erwähnt, wird die willkürlich angegebene private IP von 192.168.1.1 in der Schnittstelle von ** eth1 ** festgelegt.
*** Bis zu diesem Punkt ist die Einstellung der serverseitigen WEB-Instanz abgeschlossen. Richten Sie als Nächstes die DB-Serverinstanz auf die gleiche Weise ein. *** ***
[root@v133-18-●●●-●●● ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:84:9e:a6 brd ff:ff:ff:ff:ff:ff
inet 133.18.208.237/23 brd 133.18.209.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 10.150.11.1/24 brd 10.150.11.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2406:8c00:0:3412:133:18:208:237/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe84:9ea6/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:b5:ef:3b brd ff:ff:ff:ff:ff:ff
inet6 fe80::e722:b88f:8d4d:d80d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
Wenn Sie denselben Befehl ausführen wie den auf der WEB-Serverseite bestätigten ** eth1 ** wurde noch keine IP zugewiesen.
Wiederholen Sie nun genau das gleiche Verfahren wie zuvor.
Zuerst,
nmcli con
Überprüfen Sie den Verbindungsstatus mit dem obigen Befehl.
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
Wired connection 1 06b39142-cc39-38cd-813d-b9bbc39409dd ethernet --
Der Verbindungsname lautet nach wie vor ** Kabelverbindung 1 **. Ich verstehe nicht, warum die DEVICE-Notation anders ist.
Ordnen Sie den Verbindungsnamen auf jeden Fall der Schnittstelle ** eth1 ** zu.
[root@v133-18-●●●-●●● ~]# nmcli con mod "Wired connection 1" connection.id eth1
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
eth1 06b39142-cc39-38cd-813d-b9bbc39409dd ethernet --
Als nächstes wird der Vorgang des Zuordnens der umbenannten Verbindung mit der Schnittstelle ausgeführt.
[root@v133-18-●●●-●●● ~]# nmcli con mod "eth1" connection.interface-name eth1
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
eth1 06b39142-cc39-38cd-813d-b9bbc39409dd ethernet eth1
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
Dann wurde der Teil, der zuvor eine Kabelverbindung war, der ** eth1-Schnittstelle ** zugeordnet. Legen Sie abschließend die private IP-Adresse auf der Seite der DB-Serverinstanz fest.
[root@v133-18-202-69 ~]# nmcli con mod eth1 \
ipv4.method manual \
ipv4.address "192.168.1.2/24" \
connection.autoconnect "yes" \
ipv6.method ignore
Da ich zuvor ** 192.168.1.1/24 ** für die WEB-Instanz festgelegt habe, habe ich ** 192.168.1.2/24 ** für die DB-Instanz festgelegt.
Überprüfen Sie nun erneut die private IP ** eth1 **.
[root@v133-18-●●●-●●● ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:84:9e:a6 brd ff:ff:ff:ff:ff:ff
inet 133.18.208.237/23 brd 133.18.209.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 10.150.11.1/24 brd 10.150.11.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2406:8c00:0:3412:133:18:208:237/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe84:9ea6/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:b5:ef:3b brd ff:ff:ff:ff:ff:ff
inet 192.168.1.2/24 brd 192.168.1.255 scope global noprefixroute eth1
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:feb5:ef3b/64 scope link
valid_lft forever preferred_lft forever
Es ist auf ** 192.168.1.2 ** eingestellt, angegeben durch ** eth1 **.
Nachdem die lokale Verbindung zwischen dem WEB-Server und dem DB-Server abgeschlossen ist, legen Sie die Sicherheitsgruppe in KAGOYA so fest, dass nur die SSH-Verbindung der WEB-Server-IP: ** 192.168.1.1 ** zum DB-Server zulässig ist. ..
Erlauben Sie einmal in der Datei sshd_config auf der DB-Serverseite die Kennwortauthentifizierung als Root.
Zulassen von SSH-Verbindungseinstellungen auf der DB-Seite für die Root-Anmeldung und die Kennwortauthentifizierung Verbindungen nur mit IP: *** 192.168.1.1 *** und Port: ** 22 ** zulassen. Und stellen Sie sicher, dass Sie keine SSH-Verbindung von Ihrem lokalen PC herstellen können.
Dann vom Terminal auf der WEB-Serverseite
[root@v133-18-●●●-●●● ~]# ssh [email protected]
[email protected]'s password:
Last login: Thu Aug 27 15:46:09 2020 from 61.22.158.140
[root@v133-18-●●●-●●● ~]#
Wie oben erwähnt, konnte ich über eine private IP eine SSH-Verbindung zum DB-Server herstellen. Danach können Sie Postgresql usw. so einstellen, dass nur Verbindungen von Hosts im selben Segment zugelassen werden. Sie können von einer WEB-Anwendung aus darauf zugreifen, ohne den DB-Server nach außen zu setzen.
Die Referenzquellen für diese Zeit sind wie folgt. https://i1.fusioncom.jp/doc/ja/help/instance_nic_linux.html
Recommended Posts