在阿里云部署一整套容器基础环境

一、阿里云计算资源
1、数据库不建议容器化部署
数据库是核心业务系统，追求极致稳定和性能，比如金融交易系统，优先考虑ECS。
根据实际业务需求，部署主从数据库服务器数量。

2、Nginx机器
根据实际业务需求，每一套NG部署两台服务器，最好是区分内部使用和对外域名接入使用的NG。

3、前置使用机器如VPN对接外部
根据实际业务需求，部署一定数量前置机器

4、NFS服务器
给Kubernetes集群的容器动态提供NFS持久化存储卷‌‌服务器。

5、Kubernetes使用阿里云容器服务ACK版本
主要特点是：集群控制面板、关键组件全托管，集群版本自动升级，节点全生命周期免费运维管理和异常风险自愈。
按需自动弹性扩缩容，自动选择匹配实例规格，优化节点资源成本等。
根据实际业务需求，部署一定数量Worker节点。

二、阿里云的网络和安全相关资源

1、云安全中心
云安全中心主要是防病毒、防篡改、威胁检测、主动防御、安全加固、支持等保合规要求等主机安全管理系统。

2、Waf防火墙
Waf防火墙主要作用是防御Web攻击‌、过滤恶意输入‌、‌防止会话劫持、抵御DDoS攻击‌等为你网站或App业务提供一站式安全防护。
具体使用示例：
1)网站接入域名如test.zhansan.com、接入模式为Cname、源站IP为弹性公网IP(入口)、更新SSL证书。

2)在云解析DNS添加A记录test、记录类型为Cname、记录值为Waf接入的别名。

3)在NG服务器配置文件新增阿里云的Waf IP列表这样流量才会经过nginx并记录访问日志。

#在nginx的配置文件nginx.conf增加waf的IP列表

http {
    include       mime.types;
    default_type  application/octet-stream;
    underscores_in_headers on;

    #log_format  main  '$remote_addr – $remote_user [$time_local] “$request” '
    #                  '$status $body_bytes_sent “$http_referer” '
    #                  '”$http_user_agent” “$http_x_forwarded_for”';
#把下面这段取消注释
    log_format  main  '$http_x_forwarded_for – $remote_user [$time_local] “$request” '
                    '$status $body_bytes_sent “$http_referer” ' 
                  '”$http_user_agent”';

    #access_log  logs/access.log  main;
    client_max_body_size    50m;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    #limit_req_zone $binary_remote_addr zone=allips:10m rate=50r/s;

#    add_header Strict-Transport-Security “max-age=31536000; includeSubDomains;preload” always;
     include    /usr/local/nginx/conf/vhosts/*.conf;

#增加以下这段waf的IP列表

          real_ip_header    X-Forwarded-For;
           
          set_real_ip_from 112.124.159.192/27;
          set_real_ip_from 112.124.159.128/27;
          set_real_ip_from 112.124.159.96/27;
          set_real_ip_from 118.178.15.64/27;
          set_real_ip_from 118.178.15.96/27;
          set_real_ip_from 118.178.15.128/27;
          set_real_ip_from 118.178.15.160/27;
          set_real_ip_from 118.178.15.224/27;
          set_real_ip_from 120.25.115.0/24;
          set_real_ip_from 120.27.173.0/27;
          set_real_ip_from 120.27.173.32/27;
          set_real_ip_from 120.27.173.64/27;
          set_real_ip_from 120.27.173.96/27;
          set_real_ip_from 120.76.16.0/26;
          set_real_ip_from 120.76.16.128/26;
          set_real_ip_from 120.76.16.224/27;
          set_real_ip_from 120.77.139.0/25;
          set_real_ip_from 120.78.44.128/26;
          set_real_ip_from 123.57.117.128/27;
          set_real_ip_from 123.57.117.160/27;
          set_real_ip_from 182.92.253.32/27;
          set_real_ip_from 39.106.237.192/26;
          set_real_ip_from 39.96.119.64/26;
          set_real_ip_from 39.96.119.128/26;
          set_real_ip_from 39.96.119.192/26;
          set_real_ip_from 39.96.130.0/26;
          set_real_ip_from 39.96.130.64/26;
          set_real_ip_from 39.96.130.128/26;
          set_real_ip_from 39.96.158.0/24;
          set_real_ip_from 47.101.16.64/27;
          set_real_ip_from 47.102.187.0/25;
          set_real_ip_from 47.106.31.128/26;
          set_real_ip_from 47.106.31.192/26;
          set_real_ip_from 47.110.182.0/25;
          set_real_ip_from 47.110.182.128/26;
          set_real_ip_from 47.97.242.96/27;
          set_real_ip_from 47.98.74.0/25;
          set_real_ip_from 60.205.193.64/27;
          set_real_ip_from 60.205.193.96/27;
          set_real_ip_from 2408:400a:3c:4800::/56;
          set_real_ip_from 2408:4005:1:be00::/56;
          set_real_ip_from 2408:4003:10d4:2e00::/56;
}

3、云防火墙
云防火墙主要作用是统一流量管理、威胁检测与防御‌、资产安全防护、合规与智能运营的网络防线。

4、负载均衡(CLB)
负载均衡主要作用是提升系统性能、保障业务高可用‌、智能分发流量、实现弹性扩展、优化资源利用、‌提供基础安全防护。
具体使用示例：
创建一个对外提供服务的CLB实例并绑定弹性公网IP(入口)、配置一个私网VIP(虚拟IP)，添加默认服务器组(对外域名接入使用的两台Nginx服务器)，
添加80、443监听端口(如有其它对外开放的端口添加即可)。

5、弹性公网IP(出口)
弹性公网IP(出口)主要作用是绑定ECS、NAT网关能通过一个独立的公网IP地址与互联网进行双向通信
弹性公网IP可以直接绑定到VPC内的具体资源(如ECS、NAT网关等)上，而不是直接绑定到VPC本身。

6、弹性公网IP(入口)
弹性公网IP(入口)主要作用是绑定ECS、负载均衡(SLB)能通过一个独立的公网IP地址与互联网进行双向通信

7、公网NAT网关
公网NAT网关主要作用是可以绑定到VPC让VPC内的云服务器(ECS)安全地访问互联网。
可以通过SNAT(源网络地址转换)功能，将多个ECS的私网IP映射到一个或多个弹性公网IP(EIP)上，实现共享上网，这样既能节省公网IP资源，又能隐藏内部服务器，提升安全性‌。
还可以支持DNAT(目的网络地址转换)，可以将公网IP映射给ECS，使其能对外提供服务‌。

8、OSS存储
OSS存储主要作用是提供海量、安全、低成本且高可靠的云存储。
具体使用示例：
创建一个Bucket：oss-bucket-test
创建一个角色：app-role-test(引用策略oss_bucket_test_sts)
角色的ARN：roleArn: acs:ram::111333:role/oss-bucket-test
创建策略一条策略：oss_bucket_test_sts用于控制角色对oss-bucket-test存储桶的访问权限
{
  “Statement”: [
    {
      “Action”: [
        “oss:Get*”,  #下载
        “oss:List*”, #获取
        “oss:Put*”   #上传
      ],
      “Effect”: “Allow”,
      “Resource”: [
        “acs:oss:*:*:oss-bucket-test”,
        “acs:oss:*:*:oss-bucket-test/*”
      ]
    }
  ],
  “Version”: “1”
}         
这样APP端就可以使用的ARN访问Bucket并获得相应的权限了。

9、OSS下行流量包
主要用来抵扣你的数据从阿里云OSS服务器下载到公网时产生的流量费用‌，如从OSS下载文件到本地电脑或手机。

10、SSL证书
SSL证书主要作用是为你的网站或应用提供HTTPS加密保护，确保数据传输安全‌
它能对客户端与服务器之间的通信进行加密，防止数据在传输过程中被窃取或篡改‌
同时，它还能验证网站身份，帮助用户识别真实网站，避免钓鱼风险‌。

11、短信服务
短信服务主要作用是通过API或控制台，向全球手机用户发送验证码、通知和营销短信等