AWS 实战

AWS (Amazon Web Service)

要使用亚马逊的免费云服务 AWS,必须先注册账号,然后绑定信用卡。

创建 AMI(Amazon Machine Image)

  • 选择 EC2 服务
  • EC2 Management Console(EC2 Dashboard)
    打开 EC2 虚拟服务器的管理控制台(默认打开仪表盘)
  • Launch Instance
    点击创建实例按钮
  • Amazon Machine Image
    第一步选择 AMI 映像的类型,这里选择可免费的 Amazon Linux AMI。
  • Instance Type
    第二步选择实例类型,这里选择唯一可免费的 t2.micro。
  • 确认并创建实例。
    一个实例就是一个单独的虚拟服务器。
  • 创建实例时如果创建新的密钥对 xxx,需要将私钥文件下载到本地 xxx.pem。
    私钥文件如果丢失,就不再能连接服务器,所以需要妥善保存。

EC2 管理控制台

在管理控制台里可选择查看

  • EC2 仪表盘
    显示各种统计数据。
  • Instances(实例)
    实例可以启动,停止,终止。
    终止的实例不能再次启动,默认情况下会被删除。
  • AMIs(映像)
    快照可以用来制作映像,映像可以用来制作实例的备份。
  • Volumes(卷)
    实例在物理上存放于卷之上。
  • Snapshots(快照)
    实例可以制作快照,作备份之用。
  • Key Pairs(密钥对)
    在这里创建或删除连接实例所需要的密钥对。
  • Security Groups(安全组)
    在这里配置安全组(Inbound)
    默认 Type: SSH Port Range:22
    需要添加
    Type: HTTP Port Range:80
    Type: HTTPS Port Range:443

EC2 实例

在实例这里可以查看用户创建的所有实例的列表。
其中值得注意的是:

  • Availabity Zone
    可用区:比如美国东部,太平洋地区等。
  • Public DNS(IPv4)
    DNS 地址: my.public.dns.amazonaws.com
    EC2实例 通常是 ec2---compute.amazonaws.com
    DNS 地址包含了IP 地址和可用区的信息。
  • IPv4 Public IP
    IP 地址:xx.xxx.xxx.xx
  • Key Name
    创建实例时的密钥对名
  • Security Groups
    点击配置安全组

选择某个运行中的实例,可以连接该实例进行配置。
对于 EC2 实例,命令是
ssh -i "xxx.pem" [email protected]
xxx.pem 是私钥文件名(须使用相对或绝对路径),
my.public.dns.amazonaws.com 是 DNS 地址。

连接成功之后便可在本地使用命令行远程操纵服务器。

$ ssh -i "xxx.pem" ec2-user@my.public.dns.amazonaws.com
Last login: ***(date) from ***(ip)

       __|  __|_  )
       _|  (     /   Amazon Linux AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-ami/2018.03-release-notes/
[ec2-user ~]$

配置 LAMP 服务器

这一段参考教程: Install a LAMP Server (Amazon Linux AMI)

  • 更新服务器
    [ec2-user ~]$ sudo yum update -y
  • 安装 Apache, PHP, MySQL
    [ec2-user ~]$ sudo yum install -y httpd24 php70 mysql56-server php70-mysqlnd
  • 启动 Apache 并设置文件权限
[ec2-user ~]$ sudo service httpd start
[ec2-user ~]$ sudo chkconfig httpd on
[ec2-user ~]$ sudo usermod -a -G apache ec2-user
临时退出
[ec2-user ~]$ exit
再连接
[ec2-user ~]$ groups
ec2-user wheel apache
[ec2-user ~]$ sudo chown -R ec2-user:apache /var/www
[ec2-user ~]$ sudo chmod 2775 /var/www
[ec2-user ~]$ find /var/www -type d -exec sudo chmod 2775 {} \;
[ec2-user ~]$ find /var/www -type f -exec sudo chmod 0664 {} \;

http://my.public.dns.amazonaws.com/
可查看 Apache 的测试页面。

  • 配置 MySQL
启动服务器
[ec2-user ~]$ sudo service mysqld start
输入 root 账号的密码,关闭远程登陆等等
[ec2-user ~]$ sudo mysql_secure_installation
[ec2-user ~]$ sudo chkconfig mysqld on
  • 安装 phpMyAdmin
[ec2-user ~]$ sudo yum install php70-mbstring.x86_64 php70-zip.x86_64 -y
[ec2-user ~]$ sudo service httpd restart
[ec2-user ~]$ cd /var/www/html
[ec2-user html]$ wget https://www.phpmyadmin.net/downloads/phpMyAdmin-latest-all-languages.tar.gz
[ec2-user html]$ mkdir phpMyAdmin && tar -xvzf phpMyAdmin-latest-all-languages.tar.gz -C phpMyAdmin --strip-components 1
[ec2-user html]$ rm phpMyAdmin-latest-all-languages.tar.gz

http://my.public.dns.amazonaws.com/phpMyAdmin
可打开 phpMyAdmin 配置服务器上的 MySQL 数据库。

FileZilla

可以使用 FileZilla 操作服务器,上传或下载文件。

连接时需要使用如下配置:

协议:SFTP(SSH File Transfer Protocol)
主机:my.public.dns.amazonaws.com(DNS 地址)
端口:空白(默认为22)
用户名:ec2-user
连接方式:选择 key file
xxx.pem(私钥文件)

免费数字证书

配置完毕的服务器可以用 http(80)访问。
要想使用 https(443)访问,光配置端口是不够的,还必须向数字证书颁发机构(CA)购买数字证书。
数字证书一般不适用于 IP 地址,必须先购买域名。
有了数字证书,网站的访问级别就可以由不安全(惊叹号)变为安全(锁)。

Let’s Encrypt - Free SSL/TLS Certificates

该网站是一个(免费,自动,开放的)CA,可提供免费的SSL/TLS服务器证书。
AWS 所提供的 DNS 地址 *.amazonaws.com 在该网站的黑名单上,必须使用其他域名。

How to integrate free SSL certificate into AWS instance with Let’s Encrypt

使用 certbot-auto 可自动完成从 Let’s Encrypt 网站下载安装数字证书等任务。
假设网站域名为 example.com, 别名是 www.example.com:

[ec2-user ~]$ sudo yum install -y mod24_ssl
[ec2-user ~]$ wget https://dl.eff.org/certbot-auto
[ec2-user ~]$ chmod a+x certbot-auto
[ec2-user ~]$ sudo ./certbot-auto --debug -v --server https://acme-v01.api.letsencrypt.org/directory certonly --webroot -w /var/www/html -d example.com  -d www.example.com

任务成功显示信息:

 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-xx-xx. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"

可使用以下网址检查所生成的数字证书:

https://www.ssllabs.com/ssltest/analyze.html?d=example.com
https://www.ssllabs.com/ssltest/analyze.html?d=www.example.com

使用 root 权限查看所生成的 pem 文件。

[ec2-user ~]$ sudo ls /etc/letsencrypt/live/example.com/
README  cert.pem  chain.pem  fullchain.pem  privkey.pem

数字证书一共包含4个 pem 文件,需要配置 Apache 以利用这些数字证书文件。

http to https apache redirection
Redirect non www to www using httpd.conf
How To Redirect www to Non-www with Apache on Ubuntu 14.04

下面修改 Apache 的配置文件1
[ec2-user ~]$ sudo vim /etc/httpd/conf/httpd.conf
Listen 80这行下面
添加以下几行:(希望 example.com 转向 www.example.com 的话)

80>
    DocumentRoot /var/www/html
    ServerAlias example.com
    Redirect permanent / https://www.example.com/

或者 (希望 www.example.com 转向 example.com 的话)

80>
    DocumentRoot /var/www/html
    ServerAlias www.example.com
    Redirect permanent / https://example.com/

下面修改 Apache 的配置文件2
[ec2-user ~]$ sudo vim /etc/httpd/conf.d/ssl.conf
注意这个文件的内容实际上是对443端口的配置

Listen 443 https
# ...

# ...
SSLEngine on
# ...

在相应的提示性的注释下
分别添加以下几行:(希望 example.com 转向 www.example.com 的话)

SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/fullchain.pem

RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

或者 (希望 www.example.com 转向 example.com 的话)

SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/fullchain.pem

RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ http://%1/$1 [R=301,L]

最后重启服务器
[ec2-user ~]$ sudo service httpd restart

大功告成 Congratulations!!!
https://example.com 和 https://www.example.com 以及其子文件夹
都可以安全访问了。
并且输入以下URL时

  • example.com
  • www.example.com
  • http://example.com
  • http://www.example.com
  • https://example.com
  • https://www.example.com

浏览器都会统一按照设置转向 https://www.example.com/(或者 https://example.com/)。

免费域名

配置完毕的服务器可以用 IP 地址或 DNS 地址访问,但每次重启地址会变。
要想地址稳定,需要购买域名,并映射到 IP 地址或 DNS 地址。

Freenom - A Name for Everyone

该网站提供 xxx.tk, xxx.ml, xxx.ga, xxx.cf, xxx.gq 一共5种后缀的免费域名,输入 xxx 可查询免费域名是否可用。
如果免费域名可用,可以花0美元免费购买,当然需要注册。
免费使用期间最多一年,到期应该可以重新激活。

登录之后在主页选择 Services -> My domains 查看已购买的域名。
点击 Manage Domain 可以配置域名。
Management Tools -> Nameservers 选择 Use default nameservers (Freenom Nameservers)
Manage Freenom DNS
在这里配置域名,添加 DNS 记录。
需要添加两条 A 记录 或 CNAME 记录,分别对应域名以及 www 子域名。
其中

  • A记录能把域名映射为 IP 地址。
    Type 填 A,Target 填 IP 地址,Name 空白不填。
    Type 填 A,Target 填 IP 地址,Name 填 www。
  • CNAME 记录能把域名映射为 DNS 地址。
    Type 填 CNAME,Target 填 DNS 地址,Name 空白不填。
    Type 填 CNAME,Target 填 DNS 地址,Name 填 www。

你可能感兴趣的:(学习笔记)