云計算技術

單元9自動化部署、數據加密服務單元概述

本單元將介紹：使用AmazonCloudFormation的模板實現云架構基礎設施的自動化部署，模板是事先定義好的JSON或者YAML格式的文件，通過模板很容易重復部署云架構創建密鑰使用密鑰來加密塊存儲設備、文件系統、存儲桶和數據庫學習目標知識點：AmazonCloudFormation服務模板、堆棧AmazonKeyManagementService服務客戶托管密鑰（CMK）技能點：應用AmazonCloudFormation模板創建堆棧更新堆棧刪除堆棧創建客戶主密鑰CMK加密EBS加密EFS加密S3存儲桶加密

RDS項目1自動化部署基礎設施項目描述本項目將利用AmazonCloudFormation工具部署多層基礎設施（網絡層和應用層）更新AmazonCloudFormation堆棧以及刪除堆棧任務1知識預備與方案設計項目1自動化部署基礎設施1.AmazonCloudFormation通過將基礎設施視為代碼，提供一種方式為亞馬遜云科技資源和第三方資源建模，對這些資源進行預置并在它們的整個生命周期內對其進行管理好處有以下好處能簡化基礎設施管理：通過使用CloudFormation可以輕松地將一組資源作為一個單元進行管理，從而簡化基礎設施的管理，快速復制基礎設施：可以重復使用CloudFormation模板，從而以一致且可重復的方式在多個區域中創建資源。輕松控制和跟蹤用戶對基礎設施所做的更改：CloudFormation模板準確描述了所配置的資源及其設置，這些模板是文本文件，因此只需跟蹤模板中的區別即可跟蹤對基礎設施所做的更改項目1自動化部署基礎設施2.模板AmazonCloudFormation服務由模板和堆棧組成。AmazonCloudFormation模板是JSON或YAML格式的文本文件，文件的擴展名是json、yaml、template或txt用JavaScript對象表示法(JSON)或YAMLAin'tMarkupLanguage(YAML)編寫模板是CloudFormation構建Amazon資源的藍圖3.堆棧堆棧就是用CloudFormation模板創建的一組資源集合，可通過創建、更新和刪除堆棧來對這一組資源進行操作一個模板包括AutoScaling組、ElasticLoadBalancing負載均衡器和AmazonRelationalDatabaseService(AmazonRDS)數據庫實例可以通過使用CloudFormation控制臺、API或AmazonCLI來使用堆棧項目1自動化部署基礎設施4.AmazonCloudFormation如何運行創建堆棧時，AmazonCloudFormation需要調用AmazonWebServices基礎服務來配置資源，這就需要權限。CloudFormation只能執行您有權限的操作CloudFormation進行的調用全部由模板文件實現CloudFormation創建堆棧的工作流程（1）使用AmazonCloudFormationDesigner或自己的文本編輯器創建或修改現有的模板文件；（2）模板文件保存在本地或S3存儲桶中；（3）通過指定模板文件的位置（如，本地計算機上的路徑或AmazonS3URL）來創建CloudFormation堆棧項目1自動化部署基礎設施5.方案設計使用CloudFormation模板lab-network.yaml部署VirtualPrivateCloud(VPC)網絡層模板lab-application.yaml部署應用層，應用層的EC2主機是一個Web服務器配置完成后客戶可以通過瀏覽器訪問該Web服務器Web服務器安全組只有一條允許訪問HTTP協議的規則用新模板lab-application2.yaml修改EC2的安全組增加一條允許通過TCP端口22的SSH入站規則通過CloudFormationDesigner瀏覽模板內容最后刪除堆棧lab-application任務2部署網絡層項目1自動化部署基礎設施1.登錄AmazonWebServices管理控制臺，在服務窗口選擇CloudFormation，打開窗口項目1自動化部署基礎設施2.上傳模板文件。“創建堆棧”按鈕，選擇選擇“模板已就緒”，并把已經準備好的模板lab-network.yaml上傳。單擊“下一步”項目1自動化部署基礎設施3.指定堆棧詳細信息。填寫堆棧名稱“lab-network”，單擊“下一步”項目1自動化部署基礎設施4.配置堆棧選項。填寫堆棧標簽，如有需要，可以設置權限以及其他高級選項。單擊“下一步”項目1自動化部署基礎設施5.審核堆棧。檢查前面各步驟設置的選項，確認后，單擊“創建堆棧”按鈕。CloudFormation將使用該模板在AmazonWebServices賬戶中生成資源堆棧項目1自動化部署基礎設施6.查看堆棧lab-network信息。創建過程需要花幾分鐘時間，完成后堆棧狀態顯示為CREATE_COMPELETE，項目1自動化部署基礎設施7.查看堆棧資源。單擊“資源”選項卡，可以看到堆棧lab-network包含8個資源項目1自動化部署基礎設施8.查看“事件”。單擊“事件”選項卡項目1自動化部署基礎設施9.查看“輸出”。單擊“輸出”選項卡，可以看到兩個輸出項：公有子網和VPC項目1自動化部署基礎設施10.查看模板信息。單擊“模板”選項卡，可以查看模板信息任務3部署應用層項目1自動化部署基礎設施1.打開CloudFormation控制臺，創建堆棧2.選擇模板，模板的名字為lab-application.yaml3.堆棧名稱填寫“lab-application”，單擊“下一步”項目1自動化部署基礎設施4.配置堆棧選項，填寫標簽項目1自動化部署基礎設施5.審核lab-application，單擊“下一步”6.等待堆棧狀態更改為CREATE_COMPLETE，堆棧創建完成項目1自動化部署基礎設施7.查看堆棧資源。在堆棧的“資源”選項卡可以看到堆棧中包含web服務器和該服務器的安全組等項目1自動化部署基礎設施8.打開輸出選項卡，復制Web服務器的URL項目1自動化部署基礎設施9.在新的瀏覽器窗口中粘貼上一步驟的URL，訪問Web服務器任務4更新堆棧項目1自動化部署基礎設施在AmazonWebServices管理控制臺上，從服務菜單中選擇“EC2”2.在左側導航窗格中，選擇“安全組”3.選中lab-application-WebServerSecurityGroup選擇“入站規則”選項卡。該入站規則只有一條信息，即允許HTTP流量項目1自動化部署基礎設施4.返回CloudFormation，選擇lab-application，點擊“更新”按鈕項目1自動化部署基礎設施5.設置新模板是lab-application2.yaml，用來更改堆棧lab-application安全組規則。單擊“下一步”項目1自動化部署基礎設施6.在隨后的“第2步指定堆棧詳細信息”、“第3步配置堆棧選項”中中單擊“下一步”按鈕。在“第4步審核lab-application”中單擊“更新堆棧”按鈕，等待一段時間堆棧更新完成項目1自動化部署基礎設施7.查看修改結果。返回到AmazonEC2控制臺，從左側導航窗格中選擇安全組，在右側窗格中選擇lab-application-WebServerSecurityGroup...，打開下面窗口的“入站規則”選項卡。發現規則被修改，增加了允許通過TCP端口22的SSH流量的附加規則任務5使用CloudFormationDesigner瀏覽模板項目1自動化部署基礎設施在服務菜單上，選擇CloudFormation2.在左側導航窗格中，選擇“設計器”3.選擇“文件→打開→本地文件”菜單，然后選擇lab-application2.yaml模板4.使用Designer，可以編輯模板任務6刪除堆棧項目1自動化部署基礎設施選擇Designer頁面頂部的關閉按鈕，返回CloudFormation控制臺在堆棧列表中，選擇“lab-application”選擇“刪除堆棧”按鈕。可以在堆棧的“事件”選項卡中監控刪除過程，選擇“刷新”來更新屏幕。刪除后它將從堆棧列表中消失。刪除操作需要一段時間，請耐心等待項目2加密數據項目描述AmazonKeyManagementService（AmazonKMS）是亞馬遜安全與身份認證的服務之一本項目中將介紹數據加密的相關知識，學習如何創建客戶主密鑰(CustomerMasterKey，CMK)并用它加密AmazonWebServices組件項目2加密數據任務1知識預備與方案設計1.KMSAmazonKeyManagementService是一項托管式服務，可以集中創建和控制用于保護數據的加密密鑰這些加密密鑰也稱為AmazonKMS密鑰，是亞馬遜云科技賬戶中的資源用戶可以創建新的KMS密鑰，并且可以控制這些密鑰的使用或管理權限KMS與其他亞馬遜云科技服務集成，從而輕松加密存儲在這些服務中的數據，同時控制對用于加密和解密數據的密鑰的訪問可以從亞馬遜云科技管理控制臺、亞馬遜云科技開發工具包（SDKs）或亞馬遜云科技命令行界面(CLI)管理KMS密鑰項目2加密數據2.CMKCMK可以用來對數據進行加密、解密和重新加密或進行數字簽名它還可以生成數據密鑰，CMK既可以是對稱，也可以是非對稱的ARN（AmazonResourceName）唯一標識CMK，CMK還可以有別名KMS支持三種類型的CMK：客戶托管CMK、Amazon托管CMK和Amazon擁有的CMK項目2加密數據3.數據密鑰數據密鑰（datakey）是只用于加密或解密數據（data）而不用于加密或解密其它密鑰的密鑰（key），可以使用對稱KMSCMK來生成、加密和解密數據密鑰必須在KMS之外使用和管理數據密鑰數據密鑰的生成：調用GenerateDataKeyoperation，KMS使用用戶指定的對稱CMK來創建“明文數據密鑰”和“加密數據密鑰”，KMS可以解密“加密數據密鑰”項目2加密數據數據密鑰加密：在使用明文數據密鑰加密數據后，請盡快從內存中將其刪除。您可以安全地存儲加密數據密鑰及加密數據數據密鑰解密：將“加密數據密鑰”和您的CMK傳遞至Decrypt操作，返回“明文數據密鑰”。使用“明文數據密鑰”解密數據項目2加密數據4.數據密鑰對數據密鑰對是由數學上相關的公有密鑰和私有密鑰組成的非對稱數據密鑰。它們用于外部的客戶端加密和解密或進行數字簽名和驗證。KMS支持的數據密鑰對有RSA密鑰對和橢圓曲線密鑰對。KMS調用GenerateDataKeyPair或GenerateDataKeyPairWithoutPlaintext來創建數據密鑰對。一個CMK通過GenerateDataKeyPair產生一個明文公有密鑰、一個明文私有密鑰和一個加密的私有密鑰；而一個CMK使用GenerateDataKeyPairWithoutPlaintext則返回一個明文公有密鑰和一個加密的私有密鑰5.密鑰用法密鑰用法是一種CMK屬性，用于確定CMK是用于加密和解密還是簽名和驗證。不能同時選擇二者。對稱CMK的密鑰用法始終是加密和解密；橢圓曲線(ECC)CMK的密鑰用法始終是簽名和驗證；具有RSA密鑰對的非對稱CMK可以用于加密、解密和簽名、驗證項目2加密數據6.信封加密信封加密將加密數據的數據密鑰封入信封中存儲、傳遞、和使用，不再使用主密鑰直接加解密數據。操作過程是，使用明文的數據密鑰加密文件，產生密文文件，然后將密文數據密鑰和密文文件一同存儲到持久化存儲設備或服務中解密時用戶從持久化存儲設備或服務中讀取密文數據密鑰和密文文件，調用KMS服務的Decrypt接口，解密數據密鑰，取得明文數據密鑰；使用明文數據密鑰解密文件7.方案設計在亞馬遜云科技的北京區創建一個對稱式客戶主密鑰（CMK）

CMK的別名為first_cmk_szpt用這個CMK分別來創建加密EBS卷、建靜態加密的EFS文件系統重新設置S3密鑰和創建加密RDS項目2加密數據任務2創建對稱式客戶主密鑰（CMK）1.登錄AmazonWebServices管理控制臺，指定區域為“北京”。在服務窗口選擇KeyManagementService，打開窗口，單擊“創建密鑰”項目2加密數據2.配置密鑰，選擇“對稱”的密鑰類型，單擊“下一步”項目2加密數據3.添加標簽。給CMK取別名：first_cmk_szpt，可以根據需要添加描述和標簽。單擊“下一步”項目2加密數據4.定義密鑰管理權限。選擇可管理CMK的IAM用戶和角色，單擊“下一步”項目2加密數據5.定義密鑰使用權限。選擇可在加密操作中使用該KMS密鑰的IAM用戶和角色。單擊“下一步”項目2加密數據6.審核。確認前面步驟設置參數是否正確，單擊“完成”項目2加密數據7.查看新創建的CMK。在KMS控制臺左側導航欄，單擊“客戶管理的密鑰”，單擊first_cmk_szpt的密鑰ID。可以查看該密碼的詳細信息。其中的ARN為：arn:aws-cn:kms:cn-north-1:XXXX格式項目2加密數據任務3加密EBS卷1.登錄AmazonWebServices管理控制臺，選擇EC2服務，在頁面的右上角選擇區域“北京”。任務2也是在“北京”區域中創建了密鑰2.拖動滾動條，找到“賬戶屬性”選項區，然后選擇“EBS加密”項目2加密數據3.啟用“始終加密新的EBS卷”；此時，默認的加密密鑰是aws/ebs，在下拉列表中選擇任務2創建的密鑰first_cmk_szpt。單擊“更新EBS加密”項目2加密數據4.在EC2左側導航窗格中，單擊“ElasticBlockStore”→“卷”，單擊“創建卷”5.設置卷的屬性。KMS密鑰使用任務2創建的CMK:first_cmk_szpt，其他設置保持默認值。單擊“創建卷”項目2加密數據6.查看加密結果。在卷列表中選擇新創建的卷，該卷的描述信息顯示已加密7.將該加密卷添加到實例上（見單元2）。此后存放在該卷的數據將自動加、解密，加、解密的密鑰為first_cmk_szpt項目2加密數據任務4加密EFS文件系統1.訪問/efs/，打開AmazonElasticFileSystem控制臺。單擊“創建文件系統”按鈕2.EFS文件系統創建的詳細步驟參見單元6。文件系統設置如下。選擇“啟用靜態數據加密”，在“KMS密鑰”下拉列表中，選擇任務2創建的CMK：first_cmk_szpt，單擊“下一步”項目2加密數據3.設置網絡訪問，使用默認值，單擊“下一步”4.設置文件系統策略，使用默認值，單擊“下一步”5.在“審核和創建”步驟中，確認前面步驟設定的參數，單