大部分企业应用都可以进行“无改造”上云,对于核心的产品服务仅为“云服务器”“云硬盘”,无架构规划的情况下使用默认“VPC私有网络”及“安全组”。
通用架构如下;
架构特点:
1:与本地IDC架构基本一致,完成上云后,仅提升了服务可用性(减少硬件的故障性运维)
2:直接映射应用/web 服务器公网,公网IP和带宽绑定在云服务器上
对于一般用户,基于运维优化的角度,我们建议对对VPC ,安全组,公网IP 进行一定的规划从而满足阶段扩展的需求;
架构规划特点:
1: 规划Subnet子网,归类应用系统主机群,基于Subnet子网间ACL策略进行流量的安全约束
2:规划安全组,特别对于公网开发主机实例进行归类,减少公网开放端口,减少网络攻击风险
3:增加弹性公网IP服务,将公网IP 和主机进行绑定脱离,保障公网的访问
4:通过多个VPC ,将生产环境和测试环境完全隔离
5:本架构无额外费用产生,无需研发参与,但进一步加强了安全性和稳定性
在拥有一定研发支持下,更好的发挥云架构的优势,我们可以进一步的优化架构,使应用架构更稳定,应用的用户体验更好;
架构规划特点:
1:增加负载均衡CLB,将公网流量进行分流,一方面多前端节点提高应用可用性(需要应用支持多节点架构),一方面应对突发流量可通过横向扩展节点进行负载
2:取消云服务器自建数据库,通过云数据库进行替换,提高数据库稳定性和性能
3:讲web服务,应用服务,数据库服务通过子网,安全组进行安全加固,仅必要的公网端口,仅对web 开发80 等高风险端口
4:增加COS存储,将静态文件进行分离,提高站点加载速度,例如js, css ,图片,视频等静态文件存放至COS中。COS 的容量优势可进行归档数据存储
5:增加CDN服务,对站点动静态数据进行加速
基于对安全的关注,我们在云化的架构下增加基础安全防护架构如下:
架构规划特点:
1:泛互场景中,游戏/电商对于DDOS防护 属于刚需安全产品
2:SSL证书(HTTPS)用于防护互联网链接安全,对于域名访问安全防护
3:Web应用防火墙对于web应用进行安全加固
4:主机安全可对生产环境下主机进行加固
5: 部分企业存在运维人员/研发人员外包情况下,基于堡垒机实现行为审计
6:建立VPN通道,内部研发人员基于VPN通道实现内网访问
以上是对于上云架构的演变,其中的产品服务可以通过官网查询,由于都是基础云产品服务,架构同时适用于不同的云厂商,所以对于服务的细节介绍就靠大家自主学习了。
在充分理解以上架构的逻辑下,我们可以更好的服务客户,基于上云合理的架构建议。
