上海某仓储物流电子商务公司混合云解决方案
新钛云服最近成功帮助上海某仓储物流电子商务公司实施了混合云,帮助用户实现了资源的弹性伸缩、稳定性、高性价比的平衡,通过新钛云服的TiOps云管平台实现了统一的云管理,通过新钛云服的安全服务有力保障了云平台的安全,获得了用户的认可,整体方案如下。
一、需求概述
上海某仓储物流电子商务公司(以下简称:用户)是国内领先的仓储物流管理服务商。随着业务发展,其对业务连续性要求越来越高,新钛云服结合其当前IT基础设施,协助用户制定了相关解决方案。
二、混合云解决方案
当前用户的主要业务部署在上海某IDC内,采用某虚拟化软件产品提供虚拟机运行实际业务,虚拟机数量在数百台左右。
针对客户的实际需求,采用公有云作为主要IT基础设施,理由如下:
在服务器未形成较大规模前,除有明确的政策和战略约束外,采用公有云比采用租赁IDC机柜、自购物理设备(含网络设备、物理服务器)有更大的性价比。
租赁IDC机柜的方式,可能存在扩展性较差的风险,也就是当业务量急剧增大之后,IDC无法再提供足够数量或者物理距离上足够优化的机柜资源。
租赁IDC机柜的方式,在一定程度上增加了运维成本,例如对网络规划的需求、物理设备故障导致的运维成本等。
经过几轮招标,最终确认使用华为云。
混合云解决方案架构图如下:
图1 混合云架构图
2.1 混合云网络架构
如图1所示,综合考虑成本和业务需求,新钛云服建议使用华为云提供的虚拟专用网络(VPN)服务来把用户自有机房网络和华为云上VPC网络连接起来。
根据华为云官方说明,客户现有的防火墙设备USG6306支持与华为云构建基于IPSec的VPN加密隧道。华为云上的VPC子网规划为10.100.0.0/24(客户自有机房网段为10.200.0.0/24)。
客户现有机房的IT基础设施的定位为:
提供研发环境。
提供测试环境。
提供简单的灾备功能,在华为云完全故障的情况下,提供一定的服务能力。
从华为云上实时复制数据库。
提供备份功能,包括源代码、配置文件、数据库等。
提供对华为云的远程监控和报警。
华为云IT基础设施的定位为:
提供生产环境。
2.2 华为云VPC详细说明
2.2.1 Web应用防火墙WAF
Web应用防火墙(Web Application Firewall)对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,阻挡诸如SQL注入或跨站脚本等常见攻击,避免这些攻击影响Web应用程序的可用性、安全性或消耗过度的资源,降低数据被篡改、失窃的风险。
2.2.2 弹性负载均衡ELB
弹性负载均衡( Elastic Load Balance)将访问流量自动分发到多台云服务器,扩展应用系统对外的服务能力,实现更高水平的应用容错。
弹性负载均衡ELB除了实现负载均衡功能之外,也极大的减少了云主机对公网IP的需求(减少成本支出),同时减少了对外暴露的攻击面(增加安全性)。
2.2.3 NAT Gateway
NAT Gateway能够为VPC内的弹性云服务器提供SNAT功能,通过灵活简易的配置,即可轻松构建VPC的公网出口。NAT Gateway为VPC内云主机提供主动连接到公网的服务。
2.2.4 弹性云主机ECS
弹性云主机ECS提供实际的计算能力。为了节省成本同时提高安全性,所有弹性云主机ECS上均不配置公网IP。
2.2.5 云PAAS服务
为了保障业务连续性和简化部署架构,建议客户分别使用云数据库MySQL、云RabbitMQ、云MongoDB。
2.2.6 代码发布架构
维持客户现有机房Jenkins发布机制不变,只需要修改发布项目对应的主机为华为云弹性云主机即可。
2.2.7混合云数据同步
在客户现有机房内,部署MySQL从库,主库指向华为云数据库MySQL(使用华为云VPC内网IP)。
三、安全保障
3.1网络防护
在华为云弹性云主机上设置严格的安全组/IPTABLES,确保每台云主机仅仅对其他必要的云主机开放指定的端口。
3.2堡垒机的使用
部署新钛云服云TiOps,限定云主机SSHD访问来源。同时,TiOps也提供了对操作的审计功能。
3.3云主机密码管理
为云主机设定密码复杂度策略,同时禁用SSHD的密码访问(启用公钥私钥认证)。
3.4部署主机防御agent
为了实现入侵检测目的,也就是为了在第一时间发现云主机被入侵的情况,建议部署SAAS版主机防御安全系统。该主机安全系统能实时监控主机的核心文件完整性、监控Webshell、异常进程、异常操作(例如提权等)、挖矿程序等,并在发现异常时对管理员告警。
3.5 定期安全扫描与渗透测试
通过使用工具化定期扫描,发现系统存在的常见安全风险。
通过使用新钛云服安全专家的渗透测试服务,可以进一步发现工具化扫描所无法发现的安全问题,例如应用逻辑漏洞、页面跳转漏洞、Session漏洞等。
四、总结:混合云成功关键是技术和定制能力
新钛云服已经成功协助十几家用户咨询并实施混合云,根据新钛云服的实践,混合云成功的关键是技术能力和定制能力。首先,混合云服务商必须熟悉公有云、私有云、网络、硬件等相关技术。其次,混合云服务商必须根据用户的具体情况,贴身定制最适合用户的方案。新钛云服拥有资深的技术专家,有各种场景混合云的丰富实践,在混合云解决方案方面有独特的优势。
作者介绍
胥峰 新钛云服首席解决方案架构师,十二年运维经验,曾长期在盛大游戏担任运维架构师,参与盛大游戏多款大型端游和手游的上线运维。资深Linux专家,拥有工信部高级信息系统项目管理师资格,著有畅销书《Linux运维最佳实践》,译著《DevOps:软件架构师行动指南》是DevOps领域的经典著作。
关于新钛云服
新钛云服是钛信(上海)信息科技有限公司旗下的品牌,注册资金1000万元(实缴),公司成员中技术人员占比 80%以上,核心成员来自盛大、腾讯、华为、IBM、金山等知名企业,在互联网技术架构、云计算产品和解决方案领域有丰富的实践经验。
新钛云服是专业的云管理与安全服务商,致力于以即用即交付的云管理与安全服务,为用户赋能,帮助客户以一个人力的成本、一周的时间,建立起到达成熟互联网公司级别的运维和安全平台与服务能力。
新钛云服作为一家坚持以客户价值为企业核心价值的中立云管理与安全服务商,积极与国内外公有云、链路以及IDC供应商建立深度合作关系,在北上广自建云互联POP点,推出多云及自动化运维管理平台。
基于丰富的资源、强大的系统平台、优秀的技术专家团队,新钛云服为企业客户提供云咨询、云架构设计、多云集成、私有云部署、云运维安全管理等服务,帮助客户快速高效的上线互联网业务和完成数字化转型升级。
新钛云服典型客户:
了解新钛云服
新钛云服超预期完成第一阶段目标,启动新一轮融资,迎接下一轮挑战!
从盛大游戏G云COO到独自创业!2018中国财经峰会专访新钛云服CEO冯祯旺
新钛云服,打造最专业的Cloud MSP+,做企业业务和云之间的桥梁