云上企业部署结构规划-简版

云上企业部署结构规划-简版

dns 域名地址解析

lb  负载均衡集群

rs  后端app服务器集群

or  openresty(nginx+lua)web服务器集群

ca  域名https证书

waf 应用防火墙集群

1 dns-->lb-->rs

  这种部署结构比较常见,dns直接挂公网lb地址,一般七层转发,将证书配置在lb,然后rs机器常见的将web服务器和app服务器部署在一起,本地代理转发127.0.0.1后端服务

2 dns-->lb-->or-->rs

  这种部署结构在lb和rs之间加入一层or集群(nginx集群),rs单纯的部署应用服务即可,web服务和app服务分离部署,lb一般建议设置四层转发,将证书规划部署在or集群

  方便日常nginx配置变更,统一web流量入口,将业务入口收紧,当然实际云上企业会根据自己业务重要程度不同,规划多个nginx集群,比如4个nginx集群,也就是4个公网lb入口,4个web流量入口,日常管理根据不同类业务,具体在对应的nginx集群管理,如上下线添加删除后端机器在nginx配置

  既然统一了web流量入口,就可以在这一层做很多实时分析生产web流量的事情,如建设高效的本地waf,请求状态码实时可视化分析等等

  证书放在or集群,一旦上层lb故障,即可将dns解析到下面or集群的公网ip(临时跳过lb),快速恢复业务(注意这里一般lb-->内网通信or集群-->内网通信rs集群),所以一旦lb故障,需要临时给or集群机器开启公网带宽,根据lb日常带宽使用量确定带宽大小

3 dns-->waf-->lb-->or-->rs

  这种部署结构加了一层云服务商waf,导致请求链路明显变长,这种产品形态本身也不科学,而waf的防护非常具有个性化,不同的业务需要根据实际情况特别规划waf规则,而云服务商一般提供的waf共享集群只能做到一般性防护,如果出现waf集群本身的问题也会影响我们整个业务,如一旦云服务商waf集群被攻击,企业客户很容易受影响被牵连

4 dns-->ddos高防-->lb-->or(嵌入本地waf)-->rs

  这种部署结构预防ddos攻击,一般云服务商提供bgp三链路的高防地址,高防实例后端挂lb地址,域名cname到高防地址

既然规划了web流量入口,那么内网安全方面,后端业务应用组即可更加精细的限定,比如只允许放行来自or集群源ip,当然也可以加上本地办公网出口ip,方便日常测试,模版化管理