云上企业部署结构规划-简版
DNS 域名地址解析
LB 负载均衡集群
RS 后端App服务器集群
OR OpenResty(Nginx+Lua)Web服务器集群
CA 域名HTTPS证书
WAF 应用防火墙集群
1 DNS-->LB-->RS
这种部署结构比较常见,DNS直接挂公网LB地址,一般七层转发,将证书配置在LB,然后RS机器常见的将Web服务器和App服务器部署在一起,本地代理转发127.0.0.1后端服务
2 DNS-->LB-->OR-->RS
这种部署结构在LB和RS之间加入一层OR集群(Nginx集群),RS单纯的部署应用服务即可,Web服务和App服务分离部署,LB一般建议设置四层转发,将证书规划部署在OR集群
方便日常Nginx配置变更,统一Web流量入口,将业务入口收紧,当然实际云上企业会根据自己业务重要程度不同,规划多个Nginx集群,比如4个Nginx集群,也就是4个公网LB入口,4个Web流量入口,日常管理根据不同类业务,具体在对应的Nginx集群管理,如上下线添加删除后端机器在Nginx配置
既然统一了Web流量入口,就可以在这一层做很多实时分析生产Web流量的事情,如建设高效的本地WAF,请求状态码实时可视化分析等等
证书放在OR集群,一旦上层LB故障,即可将DNS解析到下面OR集群的公网IP(临时跳过LB),快速恢复业务(注意这里一般LB-->内网通信OR集群-->内网通信RS集群),所以一旦LB故障,需要临时给OR集群机器开启公网带宽,根据LB日常带宽使用量确定带宽大小
3 DNS-->WAF-->LB-->OR-->RS
这种部署结构加了一层云服务商WAF,导致请求链路明显变长,这种产品形态本身也不科学,而WAF的防护非常具有个性化,不同的业务需要根据实际情况特别规划WAF规则,而云服务商一般提供的WAF共享集群只能做到一般性防护,如果出现WAF集群本身的问题也会影响我们整个业务,如一旦云服务商WAF集群被攻击,企业客户很容易受影响被牵连
4 DNS-->DDoS高防-->LB-->OR(嵌入本地waf)-->RS
这种部署结构预防DDoS攻击,一般云服务商提供BGP三链路的高防地址,高防实例后端挂LB地址,域名CNAME到高防地址
既然规划了Web流量入口,那么内网安全方面,后端业务应用组即可更加精细的限定,比如只允许放行来自OR集群源IP,当然也可以加上本地办公网出口IP,方便日常测试,模版化管理
更多精细化运维管控 见 云市场-企业一体化管控平台
