【企业实战】：阿里云高可用架构之“CDN+WAF+SLB+ECS”

 相信有些朋友看过笔者之前写的这篇文章 《如何为企业快速设计高可用的阿里云架构》，并对阿里云的一些服务和产品的选型有了初步的了解，其实这篇文章写得比较粗，只是对企业选型描述大概的框架，并没有用太多笔墨来描述具体实现过程、配置操作。而导致有些博友看了也不过瘾。

 所以，笔者这就要和大家一起来讨论一下《 阿里云高可用架构之“CDN+WAF+SLB+ECS”》如何实现，以及具体配置过程是怎样的。为什么拿这个架构来讨论呢，主要是这个架构目前在企业中使用率比较通用、普遍，也比较有代表性。

 如果在企业中要具体来配置和实现，如果没有操过的朋友可能会有点晕、还会有点胆怯，具体该如何实现呢？不用担心。下面我们一起把它玩起来。

架构图

架构层级关系

CND（入口层）-> WAF（应用层防护）-> SLB（负载层）-> ECS（服务器源站） -> RDS（数据库）

 域名 cname CDN
 CDN指向WAF
 WAF指向SLB
 SLB负载ECS
 
说明：在企业中当然还会有其他的服务，比较redis、oss、nfs、监控、弹性ip、日志等等服务，这些都不是本文的重点，本文的重点主要介绍CDN>WAF>SLB>ECS这几层服务的关系该如何配置，从哪一层开始配置是最为适合。

规划配置思路

无非是两种思路：从外到内、从内到外。

从外到内：什么是从外到内呢？刚才也分析了，即从CDN开始配置，逐渐往内配置一直到最里面的ECS服务器，这种思路方法笔者不建议。

从内到外：理解了从外到内之后，在来理解从内到外就简单多了。从最底层ECS服务器开始配置测试，在慢慢的往外层配置和测试，直到CDN最外那一层，建议用这种方法配置，便于在配置过程中的测试及问题排查。

下面我们来看下从内到外的配置方法具体是怎么实现的(ECS>SLB>WAF>CDN>域名)。

具体实现

1.ECS服务器

服务器上无非是部署项目，在企业中比较普遍的是php项目或者java项目。

• php项目：服务器上部署nginx+php

• java项目：服务器上部署nginx+jdk+tomcat

至于具体怎么配置这些，相信大家都很熟悉。不过笔者建议在nginx的配置时候不建议使用upstream，因为ecs服务器前面已经有一层slb了。举个例子吧：

upstream tomcat_server { 
      server 10.0.0.10:8080; 
      server 10.0.0.20:8080; 
}location / { 
            root  html; 
            index  index.html index.htm; 
            proxy_pass http://tomcat_server;

像上面这种upstream就可以省去了，ecs前面挂了slb之后，nginx上的upstream就没有实际的意义了。

2.SLB负载均衡

SLB配置思路

开通SLB > 配置“虚拟服务器组” > “添加监听”

开通SLB实例

 SLB负载均衡，开通即用。有两种类型的方式（公网、私网）。顾名思义，公网就是带公网IP的负载地址。私网就是带私网IP的负载地址。如下图：

说明：
 本文中选用的是公网负载，因为在本案中SLB上面（外）有一层WAF，WAF下面（内）必须是公网IP的服务器或SLB，WAF上面（外）为CDN。

 SLB的计费方式有两种，流量和固定带宽，根据公司的预算进行选择，建议带宽和规格也要根据业务需求来选型。比如，开通某个SLB，下面挂载的ECS服务器集群不大，业务访问量也不多，那么开通的这个SLB带宽和实例规格就可以小一点。

 开通SLB还要注意一点，如果公司项目多，ECS集群多，那么最好1个SLB对应1个ECS集群环境。不要为了省这点钱影响以后业务性能。如果公司就一个项目，就那么3、5台ECS服务器，开通一个SLB我觉得完全就够用了。比如下图，就开通了好几个SLB实例，每个SLB对应相应的ECS集群服务器：

配置“虚拟服务器组”

开通好了之后，开始配置，点击“管理“进入SLB实例，添加”虚拟服务器组“，如下图


把服务器添加到右边的列表中，配置端口，权重默认都为100，如果你们服务器每台配置都不一样，可适当调一下权重，比如配置低一点的服务器，把权重调小一点（70、60等）。

“添加监听”

• a,添加监听，配置“基本配置”，如下图：
  
  前端协议：HTTP 80
  后端协议：HTTP 80

调度算法：加权轮询（默认），权重值越高的后端服务器，被轮询到的次数（概率）也越高。
使用虚拟服务器组：把刚才配置的“虚拟服务器组”选上就行

• b,高级配置，如下图：
  

会话保持：开启，HTTP 协议会话保持基于cookie。如果业务不需要会话保持，可不用开启此功能。
会话保持时间：3600，这个时间和开发商量一下配置多少合适。
Gzip数据压缩：开启，开启将对特定文件类型进行压缩；关闭则不会对任何文件类型进行压缩。

• c，健康检查，如下图：
  当然，你可以不开启健康检查，如不开启，SLB不管后端ECS服务器是不是存活，它都会按照策略进行负载下去。所以一般建议开启它。
  
  域名：自定义
  检查端口：80
  检查路径：/test.html，这也是自定义静态页面，用于SLB检查ECS服务器的页面，放在ECS服务器的根目录下面就行，test.html里面内容可以为空，也可以随便写点东西进去。比如笔者自定义了一个server，如下图：

  server {listen 80;server_name test.ganbing.com
  index index.html index.htm;root html;access_log off;
  }

  注意：上面的 access_log建议off掉，不然access.log会因为slb的健康检查每天会生成一大堆无用的日志。

到此，SLB就配置到这里了，如果有HTTPS协议，需要在添加一项监听，并把证书挂上去。下面我们来看一下waf的配置。

3.WAF防火墙

WAF配置思路

添加网站 > 初步的“防护配置”

配置waf

• a,添加网站，如下图：
  
  
  域名：test.ganbing.com，配置项目的域名。
  协议类型：如果公司没有HTTPS,就选HTTP。
  服务器地址：IP，这里配置SLB 的IP地址。如果没有SLB（或者你们公司不打算用SLB），这里就直接配置ECS服务器的公网IP。
  WAF前是否有七层代理（高防/CDN等）：是，这个选项已经提示很明显了，如果WAF前面有CDN就选是，没有就选否。
  负载均衡算法：IP hash。

注意，如果公司有HTTPS协议，而且需要强HTTPS强制跳转，需要配置“高级设置”，如下图：

（开启后,HTTP请求将显示为HTTPS，默认跳转到443端口）

• b,初始化“防护配置”
  
  web应用×××防护：模式/防护，防护规则策略/正常
  恶意IP惩罚：启用
  CC安全防护：模式/正常
  精准访问控制：启用

先把防护初始化一下，简单配置开启相关防护项，后期在慢慢细化它。

• c,复制配置好的waf域名，如下图：
  

把waf的域名先复制，后面配置cdn用得上，然后我们继续下去，把最后一层CDN搞定。

4.CDN

CDN配置思路

添加域名 > 基础配置 > 其它可选项配置

配置CDN

• a，添加域名，建议使用“全站加速域名”新的CDN产品，如下图：
  
  说明：全站加速产品，是融合了 动态加速 和 静态加速 技术的CDN产品。该产品一站式解决了页面动静态资源混杂、跨运营商、网络不稳定、单线源站、突发流量、网络拥塞等诸多因素导致的响应慢、丢包、服务不稳定的问题，提升全站性能和用户体验。

• b，基础配置，如下图：
  
  加速域名：test.ganbing.com，输入使用的域名。
  源站信息：选择“源站域名”，粘贴刚才复制的waf域名。
  端口：80端口

• c，回源配置，可选项配置，可根据业务需求配置，这里笔者开启了“静态协议跟随加源”，如下图：
  
  说明：开启"静态协议跟随加源"该功能后，回源使用协议和客户端访问资源的协议保持一致。即如果客户端使用 HTTPS 方式请求资源，当节点上未缓存该资源时，会使用相同的 HTTPS 方式回源获取资源；同理，客户端使用 HTTP 方式请求资源，节点回源时以 HTTP 方式请求。

• d，动静态加速规则，这里笔者也开启了，这个是可选项，可以不用开启，也是根据自身业务需求来使用，如下图：
  
  说明：
  开启：可自定义动静态资源加速规则，静态内容使用边缘缓存，动态内容采用最优路由回源 
  关闭：无动态内容加速效果，仅保留静态边缘缓存功能

• e，https配置，如果你们公司用的是https，一定要配置此项，如果没有https，这项可不用配置，如下图：
  
  

如果业务需要httt强制https，则需要修改强制跳转的配置，如下图：

• f，另外，还可以开启智能压缩，页面优化等功能，这也是可选项配置，如下图：
  
  页面优化：去除页面冗余内容如HTML页面、内嵌Javascript和CSS中的注释以及重复的空白符。
  智能压缩：对静态文件类型进行压缩，有效减少用户传输内容大小。

复制CDN地址

把CDN的CNAME地址复制好，用于等下解析到域名上，如下图：

好了，cdn也配置好了，最后把域名解析到cdn即可。

测试验证

进入ganbing.com域名，配置cname解析，如下图：

域名解析好了之后，在浏览器进行验证吧。

整个过程到此结束，这么一套架构配置下来扛住上百万的用户是绝对妥妥的，安全、稳定、可靠。老铁们开搞吧。

总结

1、整个配置过程最主要的是顺序和思路不要乱，最好画个草图，先从哪开始，到哪结束。
2、每配置好一层的时候，可以当时就解析到域名进行验证，比如你把SLB配置好了，当时就可以把SLB的IP解析到域名进行验证，确定没问题后，在配置上一层。
3、HTTP和HTTPS的需求搞清楚，公司的域名有没有买CA证书，如果有，整个业务是HTTP、HTTPS共享呢，还是HTTP强制跳转HTTPS呢？如果没有CA证书，那就只能用HTTP协议了。
4、配置好了之后，一层一层的把监控报警做好，建议也是从最内层（底层）开始配置。

本章内容到此结束，喜欢我的文章，请点击最上方右角处的《关注》！！！