跳到主要內容

GCE Create N-Tier Network Environment

傳統的實體資料中心中,一般會把網路切分成:DMZ層、AP層、DB層等等,目的是讓每一層區域之間,透過Firewall來保護不從曾主機的安全性,而Google Cloud Platform在Compute Engine的網路運作上,則是透過定義Network與Firewall及Router幾個元素來彈性定義網路架構,搭配TAG的應用切分不同的主機網路區段。之後主機只要使用不同的Tag設定,就可以快速定義可連線的區段。下面描述一下實際執行的做法...

N-Tier描述
此範例實做簡單的三個區段,如果需要再往下切分,可以延續此概念再往下切割...
  • admin: 建立允許外部SSH進入或建制VPN Gateway服務的網段,作為管理之用
  • frontend: 第一線服務伺服器,通常為DMZ區段,作為提供用戶服務的連線功能,一般為Web Server所在位置,在此我們建制Web Server,需要開放80 port
  • db: 後端資料儲存區,通常為資料庫或是檔案伺服器所在位置,在此我們建制couchdb,需要開放5984 port


Network Tier Setup


建立network:
首先我們先建立屬於這個服務的網段(my-network),給定一個C class(192.168.10.0/24),並指定192.168.10.1作為Gateway... 這裡的網段設定是屬於內部的私有網段,也就是會實際attach在主機之上的ip位置

$ gcutil --service_version="v1" --project="my-project" addnetwork "my-network" --range="192.168.10.0/24" --gateway="192.168.10.1"

建立admin zone:允許外部SSH連入+SSH連進內部frontend, db網段,作為管理之用

$ gcutil addfirewall --allowed_ip_sources=0.0.0.0/0 --target_tags=admin --network=my-network --allowed=tcp:22 myfw-admin-ssh
$ gcutil addfirewall --allowed_tag_sources=admin --target_tags=frontend,db --network=my-network --allowed=tcp:22 myfw-admin-rules

建立frontend zone:允許外部使用80, 443 port連入Web Server,以提供外部使用者連線

$ gcutil addfirewall --allowed_tag_sources=frontend --network=my-network --allowed=tcp:80,tcp:443 myfw-service-port

建立db zone:供建制Database Server,僅將資料連線port提供給frontend連線使用

$ gcutil addfirewall --allowed_tag_sources=frontend --target_tags=db --network=my-network --allowed=tcp:5984 myfw-couchdb-port  


建制服務主機

上面網路環境ready之後,就可以開始開立主機了,開立主機的部分,可以使用Web Console來開立主機(其中,Tags部分記得要指定主機所在區域的tag名稱,相關的網路設定才會直接套用)


除了Web Console界面之外,開主機也可透過下面的指令來開啟:

建立Admin Machine:設定tag為admin,讓該主機擁有連限至個網段的能力,方便開發與管理人員連線操作使用。

gcutil --service_version="v1" \
  --project="my-project" addinstance "my-gateway" \
  --tags="admin" --zone="us-central1-b" --machine_type="g1-small" \
  --network="my-network" --external_ip_address="ephemeral" \
  --service_account_scopes="https://www.googleapis.com/auth/userinfo.email,https://www.googleapis.com/auth/compute,https://www.googleapis.com/auth/devstorage.full_control" \
  --can_ip_forward="true" \
  --image="https://www.googleapis.com/compute/v1/projects/foodsformulas-cloud-project/global/images/centos6-with-nodejs" \
  --persistent_boot_disk="true"

建立Web Server Machine:前端Web主機,可以視需求安裝相關的Web Server,需要的話,也可以套用Start Script做自動化部署。

$ gcutil --service_version="v1" \
  --project="my-project" addinstance "my-web-01" \
  --tags="frontend" --zone="us-central1-b" --machine_type="n1-standard-1" \
  --network="my-network" --external_ip_address="ephemeral" \
  --can_ip_forward="true" \
  --image="https://www.googleapis.com/compute/v1/projects/centos-cloud/global/images/centos-6-v20131120" \
  --persistent_boot_disk="true"

建立Database Machine:後端DB server,在此使用Debian的CouchDB套件,並搭配Start Script做自動化安裝

$ cat -> install-couchdb.sh << EOF
sudo apt-get update -y 
sudo apt-get install gcc openssl couchdb -y
EOF
$ gcutil --service_version="v1" \
  --project="my-project" addinstance "my-couchdb-01" \
  --tags="db" --zone="us-central1-b" --machine_type="n1-highmem-2" \
  --network="my-network" --external_ip_address="ephemeral" \
  --can_ip_forward="true" \
  --image="https://www.googleapis.com/compute/v1/projects/centos-cloud/global/images/centos-6-v20131120" \
  --persistent_boot_disk="true"
  --metadata_from_file=startup-script:install-couchdb.sh 

結論

上面操作可以建制一個基本的N-Tier架構,加上一個管理網段,當然,管理網段的主機並非一定要隨時存在,以安全性考量,該網段主機可以在需要的時候生成即可。除了Network與Firewall部分的設定,如果需要實作VPN區段供VPN連線,另外需要加設定Router來收容VPN服務所新增加的網段。

另外,以服務整體考量,可以加上GCE的Layer 4 Load Balancer作為前端服務的入口,讓服務更加完整!

留言

這個網誌中的熱門文章

Google指令碼基本操作介紹 - Web Server篇

Google的指令碼是什麼東西呢?!原則上他就是Google的一份靜態檔案,但是透過Google的雲端服務平台的一些能力,將靜態檔案內的scriptlet片段拉到Google的後端作運算,寫起來就像在寫JavaScript(這邊說Node.js可能比較貼切,因為同為server side language)或JSP,而在scriptlet片段中,則可以操作許多Google的API服務,甚至他提供你連接JDBC的能力、URL呼叫的能力...等,宛如就是一套完整的雲端程式語言(這樣說應該不為過拉,這真是個創新!),有並駕於App Engine的氣勢喔!
Google指令碼的範圍很廣,筆者也仍在摸索中,之前介紹過透過Sheet+指令碼做一個簡單的URL監控(這裡),而本篇簡單介紹一下指令碼如何製作一個Web Server(嚴格說起來是Web Page拉,但是具備Server端運作功能喔!)。您將可以體驗到No-Hosting Web Server的威力!
指令碼是Google Drive的一個服務,Google將指令碼(Code)以檔案方式寄存在Drive中,類似的靜態檔案服務的應用,最近滿火紅的!

首先開啟指令碼時候,選擇"作為網路應用程式的指令碼",檔案開啟後,會有愈設定程式碼片段供編輯


程式碼片段大致上如下,是一個doGet function,Web base的指令碼需要認得doGet()作為server的進入點 如果選擇到空白專案的話,只要把doGet function建上即可

作為一個Cloud IDE,Google當然也有把Code Hint擺上來,透過簡單的提示,寫啟程是來就更容易拉!

而Web部分物件的建立主要是透過HtmlService這個模組來進行操作,我們利用他來output html, load static html page, load template html page..等,範例如下:
Output HTML: // Script-as-app template.
function doGet(e) {
  return HtmlService.createHtmlOutput("<h1>HELLO!</h1>");
}
透過上HtmlService的createHtmlOutput的功能,…

透過Google Apps Script結合Google Form做即時郵件通知

體驗過Google Apps Script的功能後,也發現他結合GmailApps的模組GmailApps的應用可以用在表單填寫完成後,做發信的通知 例如您開立了一個訂購的表單,為了要在第一時間通知商家有訂單進入 就可以直接呼叫Gmail做發信的通知,讓手持Smart Phone的我們可以很快的知道生意上門了!
下面規劃三個function,其中: onCommit():為form commit時候觸發的function,需要掛載於form commit trigger上
jsonArrToTable():目的將json array解析成為一個Table
getLastRowTable():目的將整個table的回傳過濾為剩下第一筆(表頭,含有Form的欄位說明)與最後一筆(原則上就是剛剛送出的那一筆表單)完整程式碼如下: function onCommit(){
  var sheet = SpreadsheetApp.getActiveSheet();
  var rows = sheet.getDataRange();
  var numRows = rows.getNumRows();
  var values = rows.getValues();
  var content = getLastRowTable(values);
  var htmlBody = "Hi Admin: <br/><br/>有訂單拉,檢查一下吧! <br/><br/>" + content + '<br/><br/>Send by Google Apps';
  GmailApp.sendEmail(
    "your-email-address@gmail.com", 
    "Order Confirm Notice", 
    htmlBody, 
    {from: 'from-email-address@gmail.com', htmlBody:htmlBody}
  ); 
}
function getLastRowTable(arr){
  var newArr = new Array();
  newArr.p…

透過Google Cloud Storage建置您的靜態網站

大家知道靜態網站的服務越來越先進,透過Github Page或是S3都可以快速的建置好可以提供服務的靜態網站,這次要介紹的是Google Cloud Storage上建置靜態網站的功能...
首先我們先準備一個美美的靜態網站,不少人可能想到用PC的網頁編輯器,我這邊是使用Jetstrap的雲端服務來拉出基本的版型:


左上方的是提供下載專案的地方,下載之後可以解壓縮後看到裡面的html跟css相關檔案


接下來就是透過Google Cloud Storage來把這個些檔案變成一個網站囖,設定相當簡單...
Step 1 : 在Google Cloud Storage建置您的domain bucket,並把相關檔案上傳到這個bucket裡面
這邊需要先有Cloud Platform Project,並且開通好Cloud Storage的服務,這邊不贅述這些設定... 我在這邊建立的是gsweb.micloud.tw這個網站,因此bucket用這個命名(這邊必須注意,Google會針對domain name進行認證,如果domain name非自己所屬,或被別人註冊了,將無法使用該domain name來建立bucket),並且將檔案上傳,主頁修改為index.html。

這邊完成後,仍需要在最右邊的"SHARED PUBLICLY"的地方勾選發佈,讓全世界的人可以看到您的網站...
Step 2 : 透過gcutil將bucket變成一個網站
下面指令可以讓您設定一個bucket成為靜態網站,並且指定一個主頁,以及錯誤頁面,相關的help可以透過gsutil help setwebcfg來檢視...
$ gsutil web set -m index.html -e 404.html gs://gsweb.micloud.tw



Step 3 : 設定Domain name CNAME對應
接下來您需要到您的DNS server上指定一筆CNAME記錄,將yourdomain.com對應到c.storage.googleapis.com,指定完成後,在nslookup的查詢會類似這樣:


這也表示您的網站應該已經生效了: