Normalement, le serveur sur lequel nginx ou Apache est installé et le serveur sur lequel le stockage tel que DB est installé sont des serveurs distincts. Je pense que c'est souvent construit, mais jusqu'à CentOS7 c'était relativement facile à mettre en place, mais le seuil a un peu augmenté par rapport à CentOS8, Il a fallu beaucoup de temps pour construire le réseau local, je vais donc l'écrire une fois.
J'utilise souvent Kagoya à des fins privées et professionnelles, donc cette fois je l'ai utilisé sur le VPS de Kagoya.
*** Au fait, l'instance utilisée pour la création a déjà été supprimée. *** ***
[root@v133-18-●●●-●●● ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:a9:21:a9 brd ff:ff:ff:ff:ff:ff
inet 133.18.202.69/23 brd 133.18.203.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 10.150.11.1/24 brd 10.150.11.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2406:8c00:0:3409:133:18:202:69/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fea9:21a9/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:31:b3:50 brd ff:ff:ff:ff:ff:ff
Les informations NIC de l'instance de serveur WEB créée sont comme ci-dessus. Le NIC supplémentaire créé par la fonction réseau de KAGOYA devient l'interface ** eth1 **.
Tout d'abord, vérifiez l'état de la connexion avec la commande suivante.
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
Wired connection 1 05464f3c-c413-358b-8cd1-1b3adabd94d5 ethernet eth1
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
Tout d'abord, changez le nom de la connexion de l'état ci-dessus en Connexion filaire 1 en ** eth1 **, qui est identique à DEVICE.
[root@v133-18-●●●-●●● ~]# nmcli con mod "Wired connection 1" connection.id eth1
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
eth1 05464f3c-c413-358b-8cd1-1b3adabd94d5 ethernet eth1
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
Le nom de la connexion est maintenant le même que ** eth1 **, qui est le même que l'interface NIC. Ensuite, exécutez la commande qui associe le périphérique à la connexion elle-même.
[root@v133-18-●●●-●●● ~]# nmcli con mod "eth1" connection.interface-name eth1
Après avoir exécuté la commande ci-dessus, vous pouvez définir n'importe quelle adresse IP privée avec la commande suivante.
[root@v133-18-●●●-●●● ~]# nmcli con mod eth1 \
ipv4.method manual \
ipv4.address "192.168.1.1/24" \
connection.autoconnect "yes" \
ipv6.method ignore
*** * Ne mettez pas d'espaces après la barre oblique inverse ***
Cette fois, le segment IP privé est défini sur ** 192.168.1 / 24 **, Veuillez définir ici comme vous le souhaitez.
Après avoir exécuté la commande ci-dessus, vérifiez les paramètres comme suit.
[root@v133-18-●●●-●●● ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:a9:21:a9 brd ff:ff:ff:ff:ff:ff
inet 133.18.202.69/23 brd 133.18.203.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 10.150.11.1/24 brd 10.150.11.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2406:8c00:0:3409:133:18:202:69/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fea9:21a9/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:31:b3:50 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.1/24 brd 192.168.1.255 scope global noprefixroute eth1
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe31:b350/64 scope link
valid_lft forever preferred_lft forever
Comme mentionné ci-dessus, l'adresse IP privée de 192.168.1.1 spécifiée arbitrairement est définie dans l'interface de ** eth1 **.
*** Jusqu'à présent, la configuration de l'instance côté serveur WEB est terminée. Ensuite, configurez l'instance de serveur de base de données de la même manière. *** ***
[root@v133-18-●●●-●●● ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:84:9e:a6 brd ff:ff:ff:ff:ff:ff
inet 133.18.208.237/23 brd 133.18.209.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 10.150.11.1/24 brd 10.150.11.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2406:8c00:0:3412:133:18:208:237/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe84:9ea6/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:b5:ef:3b brd ff:ff:ff:ff:ff:ff
inet6 fe80::e722:b88f:8d4d:d80d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
Si vous exécutez la même commande que celle confirmée côté serveur WEB Aucune adresse IP n'a encore été attribuée à ** eth1 **.
Maintenant, répétez exactement la même procédure que précédemment.
Première,
nmcli con
Vérifiez l'état de la connexion avec la commande ci-dessus.
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
Wired connection 1 06b39142-cc39-38cd-813d-b9bbc39409dd ethernet --
Comme précédemment, le nom de la connexion est ** Connexion filaire 1 **. Je ne comprends pas pourquoi la notation DEVICE est différente.
Quoi qu'il en soit, associez le nom de la connexion à l'interface ** eth1 **.
[root@v133-18-●●●-●●● ~]# nmcli con mod "Wired connection 1" connection.id eth1
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
eth1 06b39142-cc39-38cd-813d-b9bbc39409dd ethernet --
Ensuite, le processus d'association de la connexion renommée à l'interface est exécuté.
[root@v133-18-●●●-●●● ~]# nmcli con mod "eth1" connection.interface-name eth1
[root@v133-18-●●●-●●● ~]# nmcli con
NAME UUID TYPE DEVICE
eth1 06b39142-cc39-38cd-813d-b9bbc39409dd ethernet eth1
System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0
Ensuite, la partie qui était la connexion filaire précédemment était associée à ** interface eth1 **. Enfin, définissez l'adresse IP privée du côté de l'instance du serveur de base de données.
[root@v133-18-202-69 ~]# nmcli con mod eth1 \
ipv4.method manual \
ipv4.address "192.168.1.2/24" \
connection.autoconnect "yes" \
ipv6.method ignore
Depuis que j'ai défini ** 192.168.1.1/24 ** pour l'instance WEB plus tôt, j'ai défini ** 192.168.1.2/24 ** pour l'instance de base de données.
Maintenant, vérifiez à nouveau l'adresse IP privée ** eth1 **.
[root@v133-18-●●●-●●● ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:84:9e:a6 brd ff:ff:ff:ff:ff:ff
inet 133.18.208.237/23 brd 133.18.209.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet 10.150.11.1/24 brd 10.150.11.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 2406:8c00:0:3412:133:18:208:237/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe84:9ea6/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:b5:ef:3b brd ff:ff:ff:ff:ff:ff
inet 192.168.1.2/24 brd 192.168.1.255 scope global noprefixroute eth1
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:feb5:ef3b/64 scope link
valid_lft forever preferred_lft forever
Il est défini sur ** 192.168.1.2 ** spécifié par ** eth1 **.
Maintenant que la connexion locale entre le serveur WEB et le serveur DB est terminée, définissez le groupe de sécurité sur KAGOYA pour autoriser uniquement la connexion ssh du serveur WEB IP: ** 192.168.1.1 ** au serveur DB. ..
Une fois, dans le fichier sshd_config côté serveur de base de données, autorisez l'authentification par mot de passe en tant qu'utilisateur root.
Autoriser les paramètres de connexion SSH côté base de données pour la connexion root et l'authentification par mot de passe, et Autoriser les connexions uniquement avec IP: *** 192.168.1.1 *** et le port: ** 22 **. Et assurez-vous que vous ne pouvez pas vous connecter via SSH à partir de votre PC local.
Ensuite, depuis le terminal côté serveur WEB
[root@v133-18-●●●-●●● ~]# ssh [email protected]
[email protected]'s password:
Last login: Thu Aug 27 15:46:09 2020 from 61.22.158.140
[root@v133-18-●●●-●●● ~]#
Comme mentionné ci-dessus, j'ai pu établir une connexion SSH au serveur DB en utilisant une adresse IP privée. Après cela, en définissant individuellement Postgresql etc. pour n'autoriser que les connexions des hôtes du même segment, Vous pouvez y accéder à partir d'une application WEB sans exposer le serveur de base de données à l'extérieur.
Les sources de référence pour cette heure sont les suivantes. https://i1.fusioncom.jp/doc/ja/help/instance_nic_linux.html
Recommended Posts