aliyun

访问控制

  • 授权运维人员管理 ECS
  • 授权软件系统访问 OSS 存储
  • 授权财务人员访问费用中心(充值、续费、发票)

Redis

ECS 和 Redis 的购买账号要相同。
ECS 和 Redis 的网络类型要相同。

Redis 公网不可直接访问,但是可以在 ECS Linux 云服务器中安装 rinetd 进行转发实现(ECS放开6379端口)。

专有网络环境:ECS 为专有网络(VPC),则 Redis 也必须为专有网络(VPC),在同一个专有网络(VPC)。节点(地域)通常也是相同的。

经典网络环境:ECS 为专有网络,则 Redis 也必须为专有网络,且ECS 必须与 Redis 实例属于同一节点(地域)。

白名单:将 ECS 的私有 IP 加入 Redis 的白名单。

公网连接

阿里云的配置

  1. Redis 将 ECS 内网IP加入白名单。
  2. ECS 将安全组内网入方向,开发 Redis,

允许 自定义 TCP 6379/6379 地址段访问 0.0.0.0/0

服务器端的配置:

  1. 确认防火墙状态 systemctl status firewalld.service,关闭 或者 开放需要的端口。
  2. 确认 6379 端口有监听 netstat -anp | grep 6379

正常应该显式如下:

netstat -anp | grep 6379
tcp        0      0 0.0.0.0:6379            0.0.0.0:*               LISTEN      - 

客户端的配置:

  1. 确认服务端的 6379 端口是打开的:nmap 39.106.38.252 -p 6379
  2. nmap 默认只扫描常用端口,redis 的端口不在此列,需要显式指定端口来确认是否开放。

正常情况应该显示如下:

➜  ~ nmap 39.106.38.252 -p 6379                                             
PORT     STATE SERVICE
6379/tcp open  unknown

通过本地 redis-cli 连接

redis-cli -h 39.106.38.252 -a r-2ze5194129e56544.redis.rds.aliyuncs.com:flzx300ccc

通过 redis-desktop-manager 连接

  • 连接host:39.106.38.252
  • 端口:6379
  • 验证:r-2ze5194129e56544.redis.rds.aliyuncs.com:flzx300ccc

ECS

地域很重要,建议集中在一个地方。

例如 ECS 和 Redis 必须在同一个账号下的同一个区,否则使用起来很麻烦。
阿里云的所有已购资源,均不能转移到其他账号下。但是可以通过访问控制将子资源分配给子账号进行管理。

swap

阿里云的服务期默认禁用 swap,可以手动启动:http://haobing.wang/swap

修改 DNS 服务器

搜索关键字:centos7 set dns server

On CentOS, RedHat, and Fedora Linux VPS, simply edit the /etc/resolv.conf

$ more resolv.conf 
options timeout:2 attempts:3 rotate single-request-reopen
; generated by /usr/sbin/dhclient-script
nameserver 100.100.2.138
nameserver 100.100.2.136

更改为:

; options timeout:2 attempts:3 rotate single-request-reopen
; generated by /usr/sbin/dhclient-script
nameserver 8.8.8.8
nameserver 8.8.4.4

测试下:

nslookup 命令需要安装 bind-utils

sudo yum install bind-utils -y

使用 yum 安装软件时会提示:Could not resolve host: mirrors.cloud.aliyuncs.com; Name or service not known

用户访问域名
互联网用户mirrors.aliyun.com
ECS VPC 用户mirrors.cloud.aliyuncs.com
ECS 经典网络用户mirrors.aliyuncs.com

因为 mirrors.cloud.aliyuncs.com 是内网镜像源,public dns 是无法解析的,但是可以使用外网的阿里云镜像:http://mirror.aliyun.com

$ nslookup mirrors.aliyun.com
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
mirrors.aliyun.com	canonical name = mirrors.aliyun.com.w.alikunlun.com.
Name:	mirrors.aliyun.com.w.alikunlun.com
Address: 47.91.195.226

将 centos 和 epel 的镜像源改为外网的阿里云镜像即可。

Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	baidu.com
Address: 111.13.101.208
Name:	baidu.com
Address: 220.181.57.216

云盾 ● 安骑士

默认购买的阿里云VPS都自带一个 AliYunDun 进程叫阿里云盾(安骑士)。

安装

checking aegis service file...
aegis checksum success.
remove old server
installing new server
Aegis is running
Aegis client is installing , please wait for 1 to 3 minutes.
Aegis successfully installed

[OK] Run install shell success...
Waiting for AliYunDun service...
[OK] AliYunDun service started success...
Check environment, please wait...
[OK] Aegis install success.

[Done] Install aegis success!

卸载

top 查看到 AliYunDunAliYunDunUpdate 之类的进程。

阿里云文档:卸载安骑士 Agent

wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./quartz_uninstall.sh

删除残留文件:

pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

屏蔽云盾 IP:

iptables -I INPUT -s 140.205.201.0/28 -j DROP
iptables -I INPUT -s 140.205.201.16/29 -j DROP
iptables -I INPUT -s 140.205.201.32/28 -j DROP
iptables -I INPUT -s 140.205.225.192/29 -j DROP
iptables -I INPUT -s 140.205.225.200/30 -j DROP
iptables -I INPUT -s 140.205.225.184/29 -j DROP
iptables -I INPUT -s 140.205.225.183/32 -j DROP
iptables -I INPUT -s 140.205.225.206/32 -j DROP
iptables -I INPUT -s 140.205.225.205/32 -j DROP
iptables -I INPUT -s 140.205.225.195/32 -j DROP
iptables -I INPUT -s 140.205.225.204/32 -j DROP

最后重启系统