570
雲上企業部署結構規劃-簡版
雲上企業部署結構規劃-簡版
DNS 域名地址解析
LB 負載均衡集群
RS 後端App服務器集群
OR OpenResty(Nginx+Lua)Web服務器集群
CA 域名HTTPS證書
WAF 應用防火牆集群
1 DNS-->LB-->RS
這種部署結構比較常見,DNS直接掛公網LB地址,一般七層轉發,將證書配置在LB,然後RS機器常見的將Web服務器和App服務器部署在一起,本地代理轉發127.0.0.1後端服務
2 DNS-->LB-->OR-->RS
這種部署結構在LB和RS之間加入一層OR集群(Nginx集群),RS單純的部署應用服務即可,Web服務和App服務分離部署,LB一般建議設置四層轉發,將證書規劃部署在OR集群
方便日常Nginx配置變更,統一Web流量入口,將業務入口收緊,當然實際雲上企業會根據自己業務重要程度不同,規劃多個Nginx集群,比如4個Nginx集群,也就是4個公網LB入口,4個Web流量入口,日常管理根據不同類業務,具體在對應的Nginx集群管理,如上下線添加刪除後端機器在Nginx配置
既然統一了Web流量入口,就可以在這一層做很多實時分析生產Web流量的事情,如建設高效的本地WAF,請求狀態碼實時可視化分析等等
證書放在OR集群,一旦上層LB故障,即可將DNS解析到下麵OR集群的公網IP(臨時跳過LB),快速恢複業務(注意這裏一般LB-->內網通信OR集群-->內網通信RS集群),所以一旦LB故障,需要臨時給OR集群機器開啟公網帶寬,根據LB日常帶寬使用量確定帶寬大小
3 DNS-->WAF-->LB-->OR-->RS
這種部署結構加了一層雲服務商WAF,導致請求鏈路明顯變長,這種產品形態本身也不科學,而WAF的防護非常具有個性化,不同的業務需要根據實際情況特別規劃WAF規則,而雲服務商一般提供的WAF共享集群隻能做到一般性防護,如果出現WAF集群本身的問題也會影響我們整個業務,如一旦雲服務商WAF集群被攻擊,企業客戶很容易受影響被牽連
4 DNS-->DDoS高防-->LB-->OR(嵌入本地waf)-->RS
這種部署結構預防DDoS攻擊,一般雲服務商提供BGP三鏈路的高防地址,高防實例後端掛LB地址,域名CNAME到高防地址
既然規劃了Web流量入口,那麼內網安全方麵,後端業務應用組即可更加精細的限定,比如隻允許放行來自OR集群源IP,當然也可以加上本地辦公網出口IP,方便日常測試,模版化管理
最後更新:2017-06-29 10:31:47