部署方案设计
部署设计原则
- 总体设计原则:
基于应用系统逻辑架构的网络隔离业务应用一般按照逻辑架构划分,可以划分为接入层、应用层、数据层,每一层级部署如果干弹性云服务器。考虑到每一层级的实际功能,同一应用相同层级内部的弹性云服务器建议二层互通。不同的业务系统部署在不同的子网,同一子网内,仅部署一种应用。应用的不同层级,通过安全组进行隔离。
基于网络安全的最小访问域某些业务应用需要对外提供服务,此时在VPC中,通常是在接入层子网中创建Web应用实例,为应用实例申请EIP来连通应用实例与Internet等外部网络,通过安全组规则以及防火墙规则设定Web应用实例端口的入站和出站请求,以保护系统安全(可类比传统数据中心的DMZ区域)。从系统安全上考虑,原则上不建议将应用层子网、数据层子网中的弹性云服务器直接绑定EIP与外部进行互通。
尽量减少跨网络区域的应用互访上云方案设计时,应尽量减少跨网络区域的应用互访请求。如互联网数据采集场景,可以先将数据做初步的分析之后,再将数据交换到其他网络区域,减少需要交换的数据量;为多个网络区域提供服务场景,可以考虑在多个网络区域内分别部署接入服务器和应用服务器,缓存常用的数据,减少数据的跨网络区域交换。
- 地址规划设计原则
- 确保VPC网络地址范围与企业私有网络的地址范围不重合;如果是多Region场景,不同Region之间的网络CIDR建议不要有重合;
- 子网及IP地址不要一次分配完,确保为未来预留扩容空间;
- VPC 网络地址范围(CIDR)大小需要考虑未来业务增长;
- VPC网络地址范围需要考虑多Region和多AZ,VPC可以跨AZ,子网不能跨AZ,需要为多个AZ 预留子网和地址。
- VPC设计原则
- 端到端业务划分到同一个VPC;
- 强隔离业务创建单独的VPC;
- 内外部业务划分不同VPC;
- 生产和测试划分不同VPC;
- 管理面和业务面划分不同VPC。
- 命名设计原则:
- 环境代码:dev、test、uat、stage、prod
- 逻辑区域:dmz、prod、dev、opm
- 防火墙action:allow、deny、reject
通用应用部署方案
Web类应用是常见的企业自研应用,大部分企业都会有自研的、面向互联网的应用,包括门户网站、电商平台、工单管理等。其架构主要包含展现层、服务层和数据层。展现层负责前端页面的展示,服务层负责后端业务逻辑处理,数据层负责业务数据和管理数据的存储与分析。技术架构选型上,通常会选择比较成熟的开源组件或商业软件。
- Web前端:基于HTML/HTML5/Vue/CSS3开发web前端页面。展现层和数据层完全分离,通过跨域实现前后端数据通信
- 小程序:基于微信、支付宝平台,开发H5的小程序,增加用户操作体验和访问便捷性服务层
- Web API:通过Https/Http对外提供API,支撑Web前端或小程序访问后端数据
- 微服务化:实现业务逻辑,通常基于Spring Cloud架构实现微服务化,可以独立部署、水平扩展数据层
- Mysql:存储事务性数据,以及关联性将强的数据。如订单、资金、交易数据
- Mongodb:存储非结构化、关联性弱的业务数据。如网站评论数据,视频监控解析数据
- HDFS:大数据存储,以及上传的图片和视频等,用于数据分析和检索
- ElasticSearch:存储日志数据,实现日志分析,从日志中可以分析用户和运营信息
知识中心应用部署方案
工业互联网公共技术服务平台知识中心整体部署方案如下图所示:
整体方案采用边云协同方式部署,通过华为混合云服务和边缘一体机(分布式工厂基础设施)共同部署知识中心相关的解决方案和服务。
云侧即华为混合云,利用华为混合云提供的服务,支撑知识中心应用上云部署与创新,实现应用的云端共享与节省硬件维护成本。IOT物联平台、工业数据工具链、行业知识库及工业App应用等皆部署于混合云上。
边缘节点即企业侧分布式工厂基础设施,通过在企业部署边缘一体机的方式与平台互联互通,将平台能力开放给广大需求企业,同时还可以负责企业侧数据接入和数据预处理,实现业务上云便捷性与低成本控制。
