1.
部署前的网络与合规性准备
1) 确认澳门本地网络供应商(例如澳门电讯)对外链路、带宽峰值及合规条例;2) 评估是否需要本地化IP段与备案要求,避免被国内外防火墙阻断;
3) 测算带宽与并发:以电商为例,预计每天峰值并发5000,平均带宽需求约80–120Mbps;
4) 选择合适的实例规格示例:4 vCPU / 8GB RAM / 160GB SSD,可支撑中小型业务;
5) 制定上线时间窗口与回滚方案,建议测试阶段保留7日流量日志以便回溯。
2.
安全组(Security Group)策略实操
1) 最小权限原则:默认拒绝所有入站,只开放必要端口;2) 示例安全组规则(请看下方表格):允许80/443对外,SSH仅限管理IP;
3) 开启状态监控:记录连接数阈值,超阈值自动触发告警与限速;
4) 使用分层安全组:应用层、管理层、数据库层分别独立;
5) 定期审计规则:每月一次核查未使用规则并删除冗余开放口。
3.
日志管理策略与容量规划
1) 日志分级:access.log、error.log、system.log、audit.log分别存放与索引;2) 保留策略:关键业务日志保留90天,普通访问日志保留30天;
3) 日志容量估算:单台应用每日access日志约500MB,90天约45GB;
4) 采用轮转与压缩:logrotate按日轮转并gzip,减少本地占用;
5) 集中化:通过Fluentd/Logstash汇聚到ELK或云日志服务,实现检索与告警。
4.
DDoS 防御与 CDN 层设计
1) CDN 前置:将静态内容放在CDN(如Cloudflare或本地CDN)减少源站带宽压力;2) DDoS 护城河:业务关键节点使用专业抗DDoS服务,默认清洗阈值例如500Mbps或百万QPS规则;
3) 弹性伸缩:结合负载均衡和自动扩容,遇激增流量自动扩展实例;
4) 黑白名单与速率限制:对敏感API设置令牌与速率限制,防止滥用;
5) 监控与响应:配置秒级流量监控与自定义脚本自动切换到保护模式。
5.
真实案例:澳门电商上线与故障处置
1) 案例背景:某澳门本地电商双11促销,单日PV峰值约1.2M;2) 部署规格:3台应用 4 vCPU/8GB + 1台数据库 8 vCPU/32GB,带宽200Mbps;
3) 遇到问题:在促销高峰出现突发爬虫流量导致响应延迟,清洗后平均响应从800ms降至120ms;
4) 处置流程:1) 临时封禁异常IP段;2) 启用CDN页面缓存;3) 扩容应用实例并调低日志详细级别;
5) 事后总结:将日志保留期从30天提升到90天,增加WAF规则并调整安全组阻断策略。
6.
配置示例表格与常用端口建议
下面表格展示推荐的安全组规则示例与端口用途(示例数据):| 序号 | 端口 | 协议 | 来源(SRC) | 说明 |
|---|---|---|---|---|
| 1 | 22 | TCP | 管理IP/32 | SSH,仅管理网络访问 |
| 2 | 80 | TCP | 0.0.0.0/0 | HTTP,CDN前置 |
| 3 | 443 | TCP | 0.0.0.0/0 | HTTPS,强制TLS1.2+ |
| 4 | 3306 | TCP | 应用子网 | MySQL,仅内部访问 |
| 5 | 6379 | TCP | 应用子网 | Redis,仅内部访问 |
1) 建议将SSH绑定到非标准端口并配合密钥登录;2) HTTPS启用HSTS与OCSP Stapling;3) 定期导出安全组配置并版本化管理;4) 结合WAF规则与速率限制实现多层防护;5) 日志与报警结合,确保故障秒级响应。
