物理架构&网络规划

2022-05-02 12:19:31 浏览数 (1)

业务需求

完全基于腾讯云基础服务构建一套安全可靠的系统,前文技术选型-语言、框架、中间价已经介绍了选择的存储、中间等,现在我们需要为云服务器,、云数据库等中间件构建逻辑隔离的网络空间,提供云上资源的安全性,我们通过规划私有网络(Virtual Private Cloud,VPC)和子网(Subnetwork)来解决。

私有网络.png私有网络.png

网络规划

私有网络/子网规划

规划2个私有网络

  1. 生产环境(私有网络)
  2. 开发/测试环境(私有网络) 生产和开发/测试网络不互通,避免开发/测试使用不当影响生产网络, 开发/测试规划在一个私有网络里,方便资源共享(共享cvm、网关、存储中间件等)节省研发成本。 一个私有网络规划2个子网 image.pngimage.png

网络开放策略

网络开放规则如下:

网络

开发/测试

生产环境

互联网

开发/测试

-

关闭

防火墙WAF开通进入

生产环境

关闭

-

防火墙WAF开通进入

互联网

关闭

关闭

-

网络策略安全组

规划策略安全组,最小开放原则按需开发网络测试,确保资源安全。

  1. redis 网络安全组 (只对需要访问的cvm子网络开放 6379)
  2. tdsql 网络安全组(只对需要访问的cvm子网络开放 3306)
  3. elasticsearch 网络安全组(只对需要访问的cvm子网络开放 9200)
  4. mongodb 网络安全组 (只对需要访问的cvm子网络开放 27017)
  5. tdmq 网络安全组(只对需要访问的cvm子网络开放协议端口 )
  6. 网关网络安全组(对web防火墙WAF回源IP开放80和443)
  7. 业务cvm安全组(对网关开放80,对堡垒机开放远程访问端口)
  8. 堡垒机安全组(按需开放web管理、认证、协议端口)

web应用防火墙WAF

使用WAF作为互联网入口,waf支持Saas型和负载均衡型, 如果没有单独采购外网负载均衡建议直接使用Saas型,两种接入方式如下图:

Saas型Saas型
负载均衡型负载均衡型

证书管理

腾讯云提供了SSL证书管理,WAF防火墙管理配置域名的时候,可以配置SSL证书,可配置https回源方式,我这边建议使用http的方式回源,有2个好处:

  1. 私有网络王关或服务都不需要使用证书部署,证书更新时只需在腾讯云更新即可
  2. 内部使用http通信能提高一定的性能。 WAF证书配置WAF证书配置

域名管理

域名作为web应用入口是必不可少的,域名管理推荐使用腾讯云dnspod,有免费版DNS解析支持,我们的使用的WAF是Saas型,因此需要配置cname记录WAF负载均衡实力的域名。

物理架构图

物理架构图如下,如果选购的WAF是Saas型,那么外网负载均衡可以省略,防火墙直接解析网关服务器IP(注:网关网络策略安全组开放WAF回源IP)。

image.pngimage.png

0 人点赞