阿里云运维技术分享

先看一张图，我们的服务运行都需要什么

云网络

虚拟专用网络VPC

1. 阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台
2. VPC（Virtual Private Cloud）一个虚拟私有网络环境，连接云上所有网络设备
3. 包括网关、虚拟路由器、虚拟交换机以及连接的各种云资源，与真实网络环境是一样的

VPC对外连接

网络连接基本信息

1. 网段与子网掩码说明，每一个设备都会占用一个IP
2. 子网网段常见以下几个网段

1. 当前我们用到的网段范围如下：

1. 1. 办公网：192.168.0.0/24
   2. 测试日常环境VPC：10.0.0.0/8
   3. 预发生产环境VPC：172.16.0.0/12 （主路由），172.16.3.0/24（交换机D），172.16.3.0/24（交换机H），172.16.3.0/24（交换机I），172.16.3.0/24（交换机G）

1. 来大学课程复习-IP网段的划分

1. VPC的连接分为以下几种

1. 1. VPC内部的设备访问公网
   2. VPC内部的设备与办公网连接
   3. VPC与VPC的连接（我们暂时没有用到这个场景，大致等同于VPC与办公网连接）
   4. 公网访问VPC内部提供的服务

服务网关NAT

1. 阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台
2. NAT（Network Address Translation，网络地址转换）是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法
3. NAT网关分类

1. 1. VPC-NAT网关，VPC互联使用（由于没有VPC互联的需要，所以暂未启用）
   2. 公网NAT网关，提供两种服务SNAT和DNAT。

1. 1. 1. SNAT：局域网共享一个公网IP接入lnternel，内部设备访问公网（我们办公网、日常环境VPC、生产环境VPC全部使用这种方案对外访问）
      2. DNAT：向internel发布内网服务器，提供内部服务端口的对外映射（暂时没有启用直接的端口映射对外服务，后面是一种可以考虑到服务提供方法）

1. NAT图解

虚拟专用连接VPN

1. 阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台
2. VPN网关是一款基于互联网的网络连接服务，通过加密通道的方式实现企业本地数据中心、企业办公网络或互联网终端与阿里云专有网络VPC（Virtual Private Cloud）之间安全可靠的连接。
3. VPN连接类型分为SSL-VPN和IPSEC-VPN

1. 1. SSL-VPN是一种基于OpenVPN架构的网络连接技术，当前我们使用的VPN客户端连接，可以实现个人办公电脑日常环境VPC的直连，直接访问日常环境VPC内部各种资源
   2. IPsec-VPN是一种基于路由的网络连接技术，当前我们对办公网环境和日常环境VPC建立了IPSEC连接，只要在办公网络内部的设备，均可以直接访问VPC内部各种资源（由于办公网对外IP经常变换，所以这个连接也是时常断开）

1. VPN连接图解

1. 办公网与日常测试环境VPC的连接方式

1. 1. 设置VPC的IPSEC连接
   2. 设置办公网路由器的IPSEC连接
   3. 调试各种加密与传输方式

弹性公网IP

1. 阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台
2. 弹性公网IP（Elastic IP Address，简称EIP）是可以独立购买和持有的公网IP地址资源。EIP支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、专有网络类型的辅助弹性网卡、NAT网关和高可用虚拟IP上。
3. EIP是一种NAT IP，它实际位于阿里云的公网网关上，通过NAT方式映射到被绑定的云资源上。当EIP和云资源绑定后，云资源可以通过EIP与公网通信。
4. 当前EIP的使用情况，主要两种场景，NAT网关和应用服务网关

1. 1. 测试日常环境

1. 1. 预发生产环境

对外服务

应用对外服务网关

1. 目前应用对外服务网关有两种自建nginx，以及K8S的ingress

1. 1. 测试环境与预发环境，通过一台有公网IP的服务器安装nginx做反向代理，提供服务路由转发

1. 1. 日常环境与生产环境，通过K8S的ingress，配置转发规则到K8S的service

域名与解析

1. 域名服务：阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台
2. 玩点旅行目前拥有的域名有15个，启用解析的只有一个：wdtrip.com
3. 开发相关的域名会区分环境，

1. 1. 服务端使用gateway.wdtrip.com, 对应还有gateway-test，gateway-daily，gateway-pre
   2. 前端商家后台ebk.wdtrip.com，对应其他环境也类似ebk-xxx
   3. 前端小二后台admin.wdtrip.com，对应其他环境也类似admin-xxx
   4. 前端玩点旅行官网：www.wdtrip.com，对应其他环境也一样www-xxx
   5. 图片服务：images.wdtrip.com

1. 非开发的域名解析

1. 1. 邮件系统：mail.wdtrip.com
   2. 办公自动化：work.wdtrip.com

数字证书与HTTPS

1. https://yundun.console.aliyun.com/?spm=5176.b45069876.top-nav.4.f36b2b72vDW991&p=cas#/certExtend/buy
2. SSL 证书 就是遵守 SSL协议，由受信任的数字证书颁发机构CA，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。
3. SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。
4. SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。
5. 服务器端证书设置

云服务器

云主机ECS

1. 阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台
2. ECS（Elastic Compute Service），是阿里云提供的性能卓越、稳定可靠、弹性扩展的IaaS（Infrastructure as a Service）级别云计算服务。云服务器ECS免去了您采购IT硬件的前期准备，让您像使用水、电、天然气等公共资源一样便捷、高效地使用服务器，实现计算资源的即开即用和弹性伸缩。阿里云ECS持续提供创新型服务器，解决多种业务需求，助力您的业务发展。
3. 当前资源情况

安全组

1. 阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台
2. 安全组是一种虚拟防火墙，用于控制安全组内ECS实例的入流量和出流量，从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力，您可以基于安全组的特性和安全组规则的配置在云端划分安全域。
3. 我们对于安全组的使用，主要分为两类，内网服务器的安全组和有对外ip的网关安全组

1. 1. 内网安全组：开放所有端口，允许所有IP访问，因为在vpc内部的服务器，除了通过vpn或者在阿里云官网在线登录的访问形式之外，没有任何的访问形式，所以不存在被外部访问到的安全隐患，在VPC内部访问不设置任何的限制
   2. 网关安全组：仅开放需要对外服务的端口，且严格限制部分服务仅有办公网出口IP可以访问。因为有公网IP，所以是开放在互联网上，不该让外部访问到的端口必须严格限制。

云数据库

自建数据库

1. mysql 及其他中间件 登录 · 北京玩点旅行有限公司
2. mongodb 登录 · 北京玩点旅行有限公司

云数据库RDS

1. 生产环境RDS管理控制台

阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台

1. RDS部署结构

1. 性能指标

1. 已经建立的生产数据库

数据库管理系统DMS

云开发

代码管理

制品库

流水线

云部署

常规部署

1. 应用打jar包上传制品库，下载到服务器，用启动脚本命令启动
2. nginx做应用网关，通过路径转发到后面的服务

K8S集群部署

1. dockerfile打包成镜像
2. k8s拉取镜像在pod执行
3. 通过ingress按路径将请求分发到服务