【企业实战】:阿里云高可用架构之“CDN+WAF+SLB+ECS”
相信有些朋友看过笔者之前写的这篇文章 《如何为企业快速设计高可用的阿里云架构》,并对阿里云的一些服务和产品的选型有了初步的了解,其实这篇文章写得比较粗,只是对企业选型描述大概的框架,并没有用太多笔墨来描述具体实现过程、配置操作。而导致有些博友看了也不过瘾。
所以,笔者这就要和大家一起来讨论一下《 阿里云高可用架构之“CDN+WAF+SLB+ECS”》如何实现,以及具体配置过程是怎样的。为什么拿这个架构来讨论呢,主要是这个架构目前在企业中使用率比较通用、普遍,也比较有代表性。
如果在企业中要具体来配置和实现,如果没有操过的朋友可能会有点晕、还会有点胆怯,具体该如何实现呢?不用担心。下面我们一起把它玩起来。
架构图
架构层级关系
CND(入口层)-> WAF(应用层防护)-> SLB(负载层)-> ECS(服务器源站) -> RDS(数据库)
域名 cname CDN
CDN指向WAF
WAF指向SLB
SLB负载ECS
说明:在企业中当然还会有其他的服务,比较redis、oss、nfs、监控、弹性ip、日志等等服务,这些都不是本文的重点,本文的重点主要介绍CDN>WAF>SLB>ECS这几层服务的关系该如何配置,从哪一层开始配置是最为适合。
规划配置思路
无非是两种思路:从外到内、从内到外。
从外到内:什么是从外到内呢?刚才也分析了,即从CDN开始配置,逐渐往内配置一直到最里面的ECS服务器,这种思路方法笔者不建议。
从内到外:理解了从外到内之后,在来理解从内到外就简单多了。从最底层ECS服务器开始配置测试,在慢慢的往外层配置和测试,直到CDN最外那一层,建议用这种方法配置,便于在配置过程中的测试及问题排查。
下面我们来看下从内到外的配置方法具体是怎么实现的(ECS>SLB>WAF>CDN>域名)。
具体实现
1.ECS服务器
服务器上无非是部署项目,在企业中比较普遍的是php项目或者java项目。
php项目:服务器上部署nginx+php
java项目:服务器上部署nginx+jdk+tomcat
至于具体怎么配置这些,相信大家都很熟悉。不过笔者建议在nginx的配置时候不建议使用upstream,因为ecs服务器前面已经有一层slb了。举个例子吧:
upstream tomcat_server {
server 10.0.0.10:8080;
server 10.0.0.20:8080;
}location / {
root html;
index index.html index.htm;
proxy_pass http://tomcat_server;
像上面这种upstream就可以省去了,ecs前面挂了slb之后,nginx上的upstream就没有实际的意义了。
2.SLB负载均衡
SLB配置思路
开通SLB > 配置“虚拟服务器组” > “添加监听”
开通SLB实例
SLB负载均衡,开通即用。有两种类型的方式(公网、私网)。顾名思义,公网就是带公网IP的负载地址。私网就是带私网IP的负载地址。如下图:
说明:
本文中选用的是公网负载,因为在本案中SLB上面(外)有一层WAF,WAF下面(内)必须是公网IP的服务器或SLB,WAF上面(外)为CDN。
SLB的计费方式有两种,流量和固定带宽,根据公司的预算进行选择,建议带宽和规格也要根据业务需求来选型。比如,开通某个SLB,下面挂载的ECS服务器集群不大,业务访问量也不多,那么开通的这个SLB带宽和实例规格就可以小一点。
开通SLB还要注意一点,如果公司项目多,ECS集群多,那么最好1个SLB对应1个ECS集群环境。不要为了省这点钱影响以后业务性能。如果公司就一个项目,就那么3、5台ECS服务器,开通一个SLB我觉得完全就够用了。比如下图,就开通了好几个SLB实例,每个SLB对应相应的ECS集群服务器:
配置“虚拟服务器组”
开通好了之后,开始配置,点击“管理“进入SLB实例,添加”虚拟服务器组“,如下图
把服务器添加到右边的列表中,配置端口,权重默认都为100,如果你们服务器每台配置都不一样,可适当调一下权重,比如配置低一点的服务器,把权重调小一点(70、60等)。
“添加监听”
a,添加监听,配置“基本配置”,如下图:
前端协议:HTTP 80
后端协议:HTTP 80
调度算法:加权轮询(默认),权重值越高的后端服务器,被轮询到的次数(概率)也越高。
使用虚拟服务器组:把刚才配置的“虚拟服务器组”选上就行
b,高级配置,如下图:
会话保持:开启,HTTP 协议会话保持基于cookie。如果业务不需要会话保持,可不用开启此功能。
会话保持时间:3600,这个时间和开发商量一下配置多少合适。
Gzip数据压缩:开启,开启将对特定文件类型进行压缩;关闭则不会对任何文件类型进行压缩。
-
c,健康检查,如下图:
当然,你可以不开启健康检查,如不开启,SLB不管后端ECS服务器是不是存活,它都会按照策略进行负载下去。所以一般建议开启它。
域名:自定义
检查端口:80
检查路径:/test.html,这也是自定义静态页面,用于SLB检查ECS服务器的页面,放在ECS服务器的根目录下面就行,test.html里面内容可以为空,也可以随便写点东西进去。比如笔者自定义了一个server,如下图:server {listen 80;server_name test.ganbing.com index index.html index.htm;root html;access_log off; }注意:上面的 access_log建议off掉,不然access.log会因为slb的健康检查每天会生成一大堆无用的日志。
到此,SLB就配置到这里了,如果有HTTPS协议,需要在添加一项监听,并把证书挂上去。下面我们来看一下waf的配置。
3.WAF防火墙
WAF配置思路
添加网站 > 初步的“防护配置”
配置waf
a,添加网站,如下图:
域名:test.ganbing.com,配置项目的域名。
协议类型:如果公司没有HTTPS,就选HTTP。
服务器地址:IP,这里配置SLB 的IP地址。如果没有SLB(或者你们公司不打算用SLB),这里就直接配置ECS服务器的公网IP。
WAF前是否有七层代理(高防/CDN等):是,这个选项已经提示很明显了,如果WAF前面有CDN就选是,没有就选否。
负载均衡算法:IP hash。
注意,如果公司有HTTPS协议,而且需要强HTTPS强制跳转,需要配置“高级设置”,如下图:
(开启后,HTTP请求将显示为HTTPS,默认跳转到443端口)
b,初始化“防护配置”
web应用×××防护:模式/防护,防护规则策略/正常
恶意IP惩罚:启用
CC安全防护:模式/正常
精准访问控制:启用
先把防护初始化一下,简单配置开启相关防护项,后期在慢慢细化它。
c,复制配置好的waf域名,如下图:
把waf的域名先复制,后面配置cdn用得上,然后我们继续下去,把最后一层CDN搞定。
4.CDN
CDN配置思路
添加域名 > 基础配置 > 其它可选项配置
配置CDN
a,添加域名,建议使用“全站加速域名”新的CDN产品,如下图:
说明:全站加速产品,是融合了 动态加速 和 静态加速 技术的CDN产品。该产品一站式解决了页面动静态资源混杂、跨运营商、网络不稳定、单线源站、突发流量、网络拥塞等诸多因素导致的响应慢、丢包、服务不稳定的问题,提升全站性能和用户体验。b,基础配置,如下图:
加速域名:test.ganbing.com,输入使用的域名。
源站信息:选择“源站域名”,粘贴刚才复制的waf域名。
端口:80端口c,回源配置,可选项配置,可根据业务需求配置,这里笔者开启了“静态协议跟随加源”,如下图:
说明:开启"静态协议跟随加源"该功能后,回源使用协议和客户端访问资源的协议保持一致。即如果客户端使用 HTTPS 方式请求资源,当节点上未缓存该资源时,会使用相同的 HTTPS 方式回源获取资源;同理,客户端使用 HTTP 方式请求资源,节点回源时以 HTTP 方式请求。d,动静态加速规则,这里笔者也开启了,这个是可选项,可以不用开启,也是根据自身业务需求来使用,如下图:
说明:
开启:可自定义动静态资源加速规则,静态内容使用边缘缓存,动态内容采用最优路由回源
关闭:无动态内容加速效果,仅保留静态边缘缓存功能e,https配置,如果你们公司用的是https,一定要配置此项,如果没有https,这项可不用配置,如下图:
如果业务需要httt强制https,则需要修改强制跳转的配置,如下图:
f,另外,还可以开启智能压缩,页面优化等功能,这也是可选项配置,如下图:
页面优化:去除页面冗余内容如HTML页面、内嵌Javascript和CSS中的注释以及重复的空白符。
智能压缩:对静态文件类型进行压缩,有效减少用户传输内容大小。
复制CDN地址
把CDN的CNAME地址复制好,用于等下解析到域名上,如下图:
好了,cdn也配置好了,最后把域名解析到cdn即可。
测试验证
进入ganbing.com域名,配置cname解析,如下图:
域名解析好了之后,在浏览器进行验证吧。
整个过程到此结束,这么一套架构配置下来扛住上百万的用户是绝对妥妥的,安全、稳定、可靠。老铁们开搞吧。
总结
1、整个配置过程最主要的是顺序和思路不要乱,最好画个草图,先从哪开始,到哪结束。
2、每配置好一层的时候,可以当时就解析到域名进行验证,比如你把SLB配置好了,当时就可以把SLB的IP解析到域名进行验证,确定没问题后,在配置上一层。
3、HTTP和HTTPS的需求搞清楚,公司的域名有没有买CA证书,如果有,整个业务是HTTP、HTTPS共享呢,还是HTTP强制跳转HTTPS呢?如果没有CA证书,那就只能用HTTP协议了。
4、配置好了之后,一层一层的把监控报警做好,建议也是从最内层(底层)开始配置。
本章内容到此结束,喜欢我的文章,请点击最上方右角处的《关注》!!!
