导读:业务上云从基础到进阶的理念回顾
企业业务发展的不同阶段,需要不同的架构选择。但是,这些架构都应该遵循同一套指导思想,从基础架构出发,伴随业务的体量发展做持续的迭代演进。
- 基础版架构:包含了业务托管所需的几个关键基础组件(含DNS域名解析、负载均衡SLB、NAT网关、云服务器ECS、云数据库RDS)。即使作为一个入门级基础架构,也充分考虑了业务设计的前瞻性,我们会在后面对基础版方案的网络规划和架构设计做重点介绍。
- 全栈版架构:当业务持续发展时,基础版架构可以平滑叠加更多的能力模块,这也避免了单点架构经常面临的改造和重构难题。如,业务需要扩容时可直接增加ECS进行扩充、需要安全防护时可增加Web应用防火墙等方案、需要加速访问体验时可考虑CDN和OSS服务等。
基于业务上云标准入门架构的安全升级
1.公网入口:基于应用型负载均衡ALB升级WAF防护
通过负载在互联网部署了网站业务之后,存在服务器被恶意入侵导致的性能异常等问题,从而引起的业务安全和数据安全风险,可以通过接入WAF防护,网络与安全强强联合,兼顾业务弹性与安全性。
负载架构对于访问量巨大的网站和系统,对于流量调度需求很高,就需要负载均衡的超强性能+调度算法来实现业务的灵活调度,避免单点故障,后端服务无需直接对外暴露,保证安全。升级WAF对Web应用进一步防护,可以对网站或者App的业务流量进行恶意特征识别及防护,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
- 阿里云负载集成接入WAF3.0,一键开启WAF,转发/防护解耦,超时自动逃生。
- 支持新购/存量负载实例一键升级到WAF增强版接入WAF防护,如果用户未保有WAF自动开通WAF3.0按量付费版本。
- 接入WAF后,实例所有的Web业务流量将被指定网关引导到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回负载服务器。
2.公网出口:基于NAT网关升级CFW防火墙,保障出站流量安全防护
通过负载在互联网部署了网站业务之后,存在服务器被恶意入侵导致的性能异常等问题,从而引起的业务安全和数据安全风险,可以通过接入WAF防护,网络与安全强强联合,兼顾业务弹性与安全性。
NAT网关是一款企业级的VPC公网网关 , 提供 SNAT和 DNAT 功能,帮助客户在VPC环境构建一个公网出入口,支持多IP,支持共享带宽, 具备 Tbps 级别的集群转发能力和 Region级别的高可用性(跨可用区的容灾)。 基于NAT边界升级CFW云防火墙架构,VPC内资源(例如ECS、ECI等)通过NAT网关直接访问互联网时,可能存在未经授权的访问、数据泄露、恶意流量攻击等安全风险。为了降低这些风险,可以开启NAT边界防火墙,利用云防火墙来拦截未授权的流量访问。
- 安全上可以实现多层次防护:仅使用NAT网关时,主要功能是进行地址转换和端口映射,而CFW提供了更强大的安全策略和规则设置。通过结合两者,可以在NAT网关的基础上增加一层深度防御机制。
- 流量管理更灵活:CFW通过配置访问策略可以精细化管控私网资产访问公网的流量,实时分析进出网络的数据,识别潜在威胁并采取相应措施。
- 更高的合规性:可以通过NAT边界防火墙的流量日志,查看资产的流量访问情况,可以帮助企业进行安全审计和事件响应。
- 简化管理与运维:CFW提供统一的管理界面,用户可以统一管理和监控多个访问策略,简化了日常运维工作。
附:“上云标准弹性架构”从基础到进阶演进说明总览
| 上云标准弹性架构 从基础到进阶 | 推荐组合购买和使用 |
推荐教程 |
| 【入门级】标准弹性架构建设方式 | 基于“入门级标准弹性架构”建站教程:
|
|
延伸推荐: 基于1台服务器也可以实现标准弹性架构建设,详细见 |
说明:很多小微企业刚开始上云,为了节省成本不愿意购买更多的服务器,如果只购买1台服务器,也可以实现标准弹性架构的建设。通过 “ALB+ESS弹性伸缩+1台ECS+RDS”方案,在保障低成本的同时,也不牺牲业务架构的弹性设计,更避免了很多人因为节省成本选择了单体架构后频繁改造架构的困局。 |
|
【安全进阶】基于标准架构的安全能力升级 |
推荐阅读:【上云基础系列03】基于标准架构的安全升级(本文) |
按需选择安全升级方案:
|
【数据库进阶】基于标准架构的数据库升级 |
如果您构建上云标准弹性架构(入门级)的时候已经选择了高可用的数据库版本,则无需进行升级 如果您当时选购的是非高可用架构版,为了提升数据库的容灾能力,可参考此教程将数据库升级至高可用架构:My SQL高可用数据库文档 |
|
【更多】基于标准架构的平滑进阶和升级 |
更新中…… |
…… |
