中国科学技术大学与中芯国际在光刻工艺方面取得重要进展
06-06
业务需求完全基于腾讯云基础服务构建安全可靠的系统。前面的技术选择——语言、框架、中间价格已经介绍了所选择的存储、中间等,现在我们需要提供云服务。
服务器、云数据库等中间件构建逻辑隔离的网络空间,为云资源提供安全保障。我们通过规划私有网络(Virtual Private Cloud,VPC)和子网(Subnetwork)来解决这个问题。
专网.png 网络规划 专网/子网规划 规划2 专网 生产环境(专网) 开发/测试环境(专网) 生产网络和开发/测试网络不互通,避免开发/测试使用不当影响生产网络。开发/测试规划在私网内,方便资源共享(共享cvm、网关、存储中间件等),节省研发成本。
一个私网规划 2 个子网 image.png 网络开放策略 网络开放规则如下: 网络开发/测试 生产环境 互联网开发/测试 - 关闭防火墙 WAF 打开 进入生产环境 关闭 - 防火墙 WAF 打开 进入互联网 关闭 关闭- 网络策略安全组 根据最小开放原则,规划战略安全组,按需开展网络测试,保证资源安全。 redis 网络安全组(仅对需要访问的 cvm 子网开放) tdsql 网络安全组(仅对需要访问的 cvm 子网开放) elasticsearch 网络安全组(仅对需要访问的 cvm 子网开放) mongodb网络安全组(仅对需要访问的 cvm 子网开放 7) tdmq 网络安全组(仅对需要访问的 cvm 子网开放协议端口) 网关网络安全组(对 Web 防火墙 WAF 返回源 IP 80 开放) 业务 cvm安全组(开放到 80 的网关,开放堡垒机的远程访问端口) 堡垒机安全组(按需开放 Web 管理、认证、协议端口) Web 应用防火墙 WAF 以 WAF 作为互联网入口。
WAF支持SaaS类型和负载均衡类型。如果没有单独的 购买外网负载均衡时建议直接使用Saas类型。
两种接入方式如下: Saas型负载均衡型证书管理 腾讯云提供SSL证书管理。配置WAF防火墙管理域名时,可??以配置SSL证书和https。
对于回源方式,我推荐使用HTTP方式回源。优点有两个:私网网关或服务不需要部署证书。
更新证书时,只需在腾讯云中更新即可。内部使用http通信可以提高一定的性能。
WAF证书配置域名管理域名作为Web应用入口必不可少。对于域名管理,推荐使用腾讯云dnspod,有免费版的DNS解析支持。
我们使用的WAF是SaaS类型,所以需要配置cname来记录WAF负载均衡强度。域名。
物理架构图 物理架构图如下。如果购买的WAF是Saas类型,那么可以省略外网负载均衡,防火墙直接解析网关服务器IP(注:网关网络策略安全组开放WAF回源IP)。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-18
06-18
06-17
06-18
最新文章
【玩转GPU】ControlNet初学者生存指南
【实战】获取小程序中用户的城市信息(附源码)
包雪雪简单介绍Vue.js:开学
Go进阶:使用Gin框架简单实现服务端渲染
线程池介绍及实际案例分享
JMeter 注释 18 - JMeter 常用配置组件介绍
基于Sentry的大数据权限解决方案
【云+社区年度征文集】GPE监控介绍及使用