版权声明:版权归个人以及www.soaringroad.com所有,转载注明出处。 https://blog.csdn.net/weixin_29444181/article/details/84939622
文章同步发表在我的个人博客上
http://www.soaringroad.com/article/123
前言
最近对网站网络进行重构升级,加强安全措施,分享一下实践经验。
网络架构
直接上一张图吧,然后慢慢解释。
首先,整个系统部署在一个虚拟私有云(Virtual Private Cloud,简称VPC)中。
在VPC中,含有一个公有子网(Public Subnet)和一个私有子网(Private Subnet)。
公有子网中部署了弹性伸缩组(Auto Scaling Group),并为其成员分配公有IP,公有子网中的成员可以通过Internet Gateway访问Internet以及接收Internet请求。
私有子网中,主要部署数据服务,包括RDS,ElasticCache,ElasticSearch等等,这些成员不接收来自Internet的请求,但是可以通过访问控制列表ACL,利用公有子网中的NAT,访问Internet资源,来进行版本升级。
VPC,子网以及各种服务或者实例,通过安全组(Security)来定义流量过滤防火墙。