利用阿里云的VPC+ECS+负载均衡搭建安全的WEB服务

服务器

浏览数:234

2019-3-15

随着云计算时代的到来,各公有云平台都提供了各种丰富的产品供消费者使用,商品也达到了“琳琅满目”的程度了。以阿里云为例,它就提供了10多种分类、五六十种具体的服务产品。那么,中小企业在搭建WEB服务时,利用公有云的哪些产品就能快速、便捷、低成本地搭建出高安全、高可用的、可伸缩的服务呢?我就自身经验,给出如下的实践过程,供有同类需求的业内人士参考。

打开阿里云的首页,鼠标放到“产品”这个菜单上,默认出来的子菜单的第一个,就是“弹性计算”。既然“弹性计算”被放在默认的位置,那么我们可以猜测,这个分类下所提供的产品,应该是为广大消费者所经常使用的,也是最基本的吧。事实上,我接下来介绍的实践经验,就是利用这个分类下的“云服务器 ECS”、“专有网络 VPC”、“负载均衡”三个产品实现的。

项目背景

介绍一下我们接下来要实现的WEB服务的功能和构成。这是一个向企业内部1千多名员工提供按关键字搜索专业文章的服务,由2台搜索引擎、2台服务接收器组成,其中服务接收器接收来自用户的请求,通过调用搜索引擎获取数据并包装成用户需要的格式返回给用户。考虑到阿里本身是服务于许多中小企业的,那么自然而然就选择将该服务部署到阿里云上作为生产环境。

专有网络 VPC

强烈推荐中小企业使用VPC,尽量不使用经典网络。更多的经典网络与VPC的区别请戳这里。

随着业务的发展,中小企业将会租赁更多的云服务,如果使用的是经典网络的话,那么网络带宽需要根据每台ECS购买,且处于一个非隔离的网络中。而使用VPC的话,VPC内部的所有ECS可以设置为共享公网流量,且默认不对外开放,安全性极大提高。不用担心使用VPC该如何设置交换机等,参照阿里云提供的教程可轻松搞定,所花费的精力,要比设置经典网络下的ECS的防火墙等等要少得多。

专有网络( Virtual Private Cloud ),基于阿里云构建出一个隔离的网络环境。您可以自定义IP 地址范围、网段、路由表和网关等。此外您也可以通过专线/VPN/GRE等连接方式实现VPC与传统数据中心互联,构建混合云业务。

负载均衡

阿里云提供的负载均衡服务,非常好用。不仅有易用的配置管理界面,而且免费提供5Gbps以下的四层DDoS攻击防护,同时支持删除和添加后端云服务器,实现无缝伸缩。计费模式也具有弹性,支持按流量或按带宽计费。我提及的这个项目,虽然使用人数较多,但传输的信息量较小,因而选择按流量计费。(还有一个秘密,内网间的负载均衡是免费的。)

项目生产环境结构

购买4台ECS,网络环境均为VPC,然后购买1台按流量计费的公网负载均衡,购买1台免费的内网负载均衡,构成如下的拓扑图。将应用部署上去,就可以提供服务啦。

项目生产环境结构

如何远程访问处于VPC中的ECS?

大家肯定已经知道了,可以通过公网负载均衡,将某个端口指向其中一台ECS的远程访问端口(Windows远程桌面默认端口3389,SSH默认端口22),然后远程登录到这台ECS上,再进一步远程登录到其它ECS上。

VPC中的ECS需要主动访问外网的其它服务,怎么办?

有两个办法:1、为ECS绑定EIP,即弹性公网IP。 2、再购买阿里云的“NAT网关服务”,通过NAT网管的端口映射实现ECS访问外网。

相比较而言,使用NAT网关服务,更加安全,因为弹性IP会导致你好容易布设的VPC出现“裂缝”——外部的任何人都可以通过你绑定的弹性IP扫描攻击你的VPC中的那台ECS。

后记

即使是小型企业,应用服务的安全性也不容忽视,否则多多少少会带来不断的麻烦,影响工作效率影响操作人员心情。如果有方便又便宜的方法,可以实现高安全的服务部署,何乐而不为呢?