一般企业应用上云架构优化实践

大部分企业应用都可以进行“无改造”上云，对于核心的产品服务仅为“云服务器”“云硬盘”，无架构规划的情况下使用默认“VPC私有网络”及“安全组”。

通用架构如下；

架构特点：

1：与本地IDC架构基本一致，完成上云后，仅提升了服务可用性（减少硬件的故障性运维）

2：直接映射应用/web 服务器公网，公网IP和带宽绑定在云服务器上

对于一般用户，基于运维优化的角度，我们建议对对VPC ，安全组，公网IP 进行一定的规划从而满足阶段扩展的需求；

架构规划特点：

1： 规划Subnet子网，归类应用系统主机群，基于Subnet子网间ACL策略进行流量的安全约束

2：规划安全组，特别对于公网开发主机实例进行归类，减少公网开放端口，减少网络攻击风险

3：增加弹性公网IP服务，将公网IP 和主机进行绑定脱离，保障公网的访问

4：通过多个VPC ，将生产环境和测试环境完全隔离

5：本架构无额外费用产生，无需研发参与，但进一步加强了安全性和稳定性

在拥有一定研发支持下，更好的发挥云架构的优势，我们可以进一步的优化架构，使应用架构更稳定，应用的用户体验更好；

架构规划特点：

1：增加负载均衡CLB，将公网流量进行分流，一方面多前端节点提高应用可用性（需要应用支持多节点架构），一方面应对突发流量可通过横向扩展节点进行负载

2：取消云服务器自建数据库，通过云数据库进行替换，提高数据库稳定性和性能

3：讲web服务，应用服务，数据库服务通过子网，安全组进行安全加固，仅必要的公网端口，仅对web 开发80 等高风险端口

4：增加COS存储，将静态文件进行分离，提高站点加载速度，例如js, css ,图片，视频等静态文件存放至COS中。COS 的容量优势可进行归档数据存储

5：增加CDN服务，对站点动静态数据进行加速

基于对安全的关注，我们在云化的架构下增加基础安全防护架构如下：

架构规划特点：

1：泛互场景中，游戏/电商对于DDOS防护 属于刚需安全产品

2：SSL证书（HTTPS）用于防护互联网链接安全，对于域名访问安全防护

3：Web应用防火墙对于web应用进行安全加固

4：主机安全可对生产环境下主机进行加固

5： 部分企业存在运维人员/研发人员外包情况下，基于堡垒机实现行为审计

6：建立V**通道，内部研发人员基于V**通道实现内网访问

以上是对于上云架构的演变，其中的产品服务可以通过官网查询，由于都是基础云产品服务，架构同时适用于不同的云厂商，所以对于服务的细节介绍就靠大家自主学习了。

在充分理解以上架构的逻辑下，我们可以更好的服务客户，基于上云合理的架构建议。