物理架构&网络规划

业务需求

完全基于腾讯云基础服务构建一套安全可靠的系统，前文技术选型-语言、框架、中间价已经介绍了选择的存储、中间等，现在我们需要为云服务器，、云数据库等中间件构建逻辑隔离的网络空间，提供云上资源的安全性，我们通过规划私有网络（Virtual Private Cloud，VPC）和子网（Subnetwork）来解决。

私有网络.png

网络规划

私有网络/子网规划

规划2个私有网络

1. 生产环境(私有网络)
2. 开发/测试环境(私有网络) 生产和开发/测试网络不互通，避免开发/测试使用不当影响生产网络， 开发/测试规划在一个私有网络里，方便资源共享（共享cvm、网关、存储中间件等）节省研发成本。 一个私有网络规划2个子网
   

   image.png

网络开放策略

网络开放规则如下：

网络策略安全组

规划策略安全组，最小开放原则按需开发网络测试，确保资源安全。

1. redis 网络安全组 （只对需要访问的cvm子网络开放 6379）
2. tdsql 网络安全组（只对需要访问的cvm子网络开放 3306）
3. elasticsearch 网络安全组（只对需要访问的cvm子网络开放 9200）
4. mongodb 网络安全组 （只对需要访问的cvm子网络开放 27017）
5. tdmq 网络安全组（只对需要访问的cvm子网络开放协议端口 ）
6. 网关网络安全组（对web防火墙WAF回源IP开放80和443）
7. 业务cvm安全组（对网关开放80，对堡垒机开放远程访问端口）
8. 堡垒机安全组（按需开放web管理、认证、协议端口）

web应用防火墙WAF

使用WAF作为互联网入口，waf支持Saas型和负载均衡型， 如果没有单独采购外网负载均衡建议直接使用Saas型，两种接入方式如下图：

Saas型

负载均衡型

证书管理

腾讯云提供了SSL证书管理，WAF防火墙管理配置域名的时候，可以配置SSL证书，可配置https回源方式，我这边建议使用http的方式回源，有2个好处：

1. 私有网络王关或服务都不需要使用证书部署，证书更新时只需在腾讯云更新即可
2. 内部使用http通信能提高一定的性能。
   

   WAF证书配置

域名管理

域名作为web应用入口是必不可少的，域名管理推荐使用腾讯云dnspod，有免费版DNS解析支持，我们的使用的WAF是Saas型，因此需要配置cname记录WAF负载均衡实力的域名。

物理架构图

物理架构图如下，如果选购的WAF是Saas型，那么外网负载均衡可以省略，防火墙直接解析网关服务器IP（注：网关网络策略安全组开放WAF回源IP）。

image.png