业务需求
完全基于腾讯云基础服务构建一套安全可靠的系统,前文技术选型-语言、框架、中间价已经介绍了选择的存储、中间等,现在我们需要为云服务器,、云数据库等中间件构建逻辑隔离的网络空间,提供云上资源的安全性,我们通过规划私有网络(Virtual Private Cloud,VPC)和子网(Subnetwork)来解决。
网络规划
私有网络/子网规划
规划2个私有网络
- 生产环境(私有网络)
- 开发/测试环境(私有网络) 生产和开发/测试网络不互通,避免开发/测试使用不当影响生产网络, 开发/测试规划在一个私有网络里,方便资源共享(共享cvm、网关、存储中间件等)节省研发成本。 一个私有网络规划2个子网 image.png
网络开放策略
网络开放规则如下:
网络 | 开发/测试 | 生产环境 | 互联网 |
---|---|---|---|
开发/测试 | - | 关闭 | 防火墙WAF开通进入 |
生产环境 | 关闭 | - | 防火墙WAF开通进入 |
互联网 | 关闭 | 关闭 | - |
网络策略安全组
规划策略安全组,最小开放原则按需开发网络测试,确保资源安全。
- redis 网络安全组 (只对需要访问的cvm子网络开放 6379)
- tdsql 网络安全组(只对需要访问的cvm子网络开放 3306)
- elasticsearch 网络安全组(只对需要访问的cvm子网络开放 9200)
- mongodb 网络安全组 (只对需要访问的cvm子网络开放 27017)
- tdmq 网络安全组(只对需要访问的cvm子网络开放协议端口 )
- 网关网络安全组(对web防火墙WAF回源IP开放80和443)
- 业务cvm安全组(对网关开放80,对堡垒机开放远程访问端口)
- 堡垒机安全组(按需开放web管理、认证、协议端口)
web应用防火墙WAF
使用WAF作为互联网入口,waf支持Saas型和负载均衡型, 如果没有单独采购外网负载均衡建议直接使用Saas型,两种接入方式如下图:
证书管理
腾讯云提供了SSL证书管理,WAF防火墙管理配置域名的时候,可以配置SSL证书,可配置https回源方式,我这边建议使用http的方式回源,有2个好处:
- 私有网络王关或服务都不需要使用证书部署,证书更新时只需在腾讯云更新即可
- 内部使用http通信能提高一定的性能。 WAF证书配置
域名管理
域名作为web应用入口是必不可少的,域名管理推荐使用腾讯云dnspod,有免费版DNS解析支持,我们的使用的WAF是Saas型,因此需要配置cname记录WAF负载均衡实力的域名。
物理架构图
物理架构图如下,如果选购的WAF是Saas型,那么外网负载均衡可以省略,防火墙直接解析网关服务器IP(注:网关网络策略安全组开放WAF回源IP)。