雲上企業部署結構規劃-簡版

雲上企業部署結構規劃-簡版

dns 域名位址解析

lb  負載均衡叢集

rs  後端app伺服器叢集

or  openresty(nginx+lua)web伺服器叢集

ca  域名https證書

waf 應用防火牆叢集

1 dns-->lb-->rs

  這種部署結構比較常見,dns直接挂公網lb位址,一般七層轉發,将證書配置在lb,然後rs機器常見的将web伺服器和app伺服器部署在一起,本地代理轉發127.0.0.1後端服務

2 dns-->lb-->or-->rs

  這種部署結構在lb和rs之間加入一層or叢集(nginx叢集),rs單純的部署應用服務即可,web服務和app服務分離部署,lb一般建議設定四層轉發,将證書規劃部署在or叢集

  友善日常nginx配置變更,統一web流量入口,将業務入口收緊,當然實際雲上企業會根據自己業務重要程度不同,規劃多個nginx叢集,比如4個nginx叢集,也就是4個公網lb入口,4個web流量入口,日常管理根據不同類業務,具體在對應的nginx叢集管理,如上下線添加删除後端機器在nginx配置

  既然統一了web流量入口,就可以在這一層做很多實時分析生産web流量的事情,如建設高效的本地waf,請求狀态碼實時可視化分析等等

  證書放在or叢集,一旦上層lb故障,即可将dns解析到下面or叢集的公網ip(臨時跳過lb),快速恢複業務(注意這裡一般lb-->内網通信or叢集-->内網通信rs叢集),是以一旦lb故障,需要臨時給or叢集機器開啟公網帶寬,根據lb日常帶寬使用量确定帶寬大小

3 dns-->waf-->lb-->or-->rs

  這種部署結構加了一層雲服務商waf,導緻請求鍊路明顯變長,這種産品形态本身也不科學,而waf的防護非常具有個性化,不同的業務需要根據實際情況特别規劃waf規則,而雲服務商一般提供的waf共享叢集隻能做到一般性防護,如果出現waf叢集本身的問題也會影響我們整個業務,如一旦雲服務商waf叢集被攻擊,企業客戶很容易受影響被牽連

4 dns-->ddos高防-->lb-->or(嵌入本地waf)-->rs

  這種部署結構預防ddos攻擊,一般雲服務商提供bgp三鍊路的高防位址,高防執行個體後端挂lb位址,域名cname到高防位址

既然規劃了web流量入口,那麼内網安全方面,後端業務應用組即可更加精細的限定,比如隻允許放行來自or叢集源ip,當然也可以加上本地辦公網出口ip,友善日常測試,模版化管理