• support@thclouds.com
  • +400-990-1512
注册 登录

门户及应用市场容灾平台

上海晁图网络科技有限公司

项目需求

  •     • 随着市场影响力增大、用户数量的急剧增多,以及云平台不定期的维护和偶发的故障,现有玩家门户和游戏客户端下载平台出现了几次用户访问缓慢、无法下载游戏客户端的情况,影响了客户的使用体验和企业收入。
  •     • 为获得更高的平台可用性,同时也为避免现有门户系统偶发的访问性能瓶颈,晁图网络决定在AWS平台上搭建了一套系统作为备份站点承担一部分高峰期访问用户的流量,同时也能够在主平台发生严重异常时作为容灾平台使用,主要用于支撑玩家门户和游戏客户端下载等两部分功能。
  •     • 门户及软件下载容灾平台 是上海晁图网络科技有限公司一个重要的容灾系统,需要在国内(AWS 北京区域)进行系统部署。此系统中涉及到与原云平台间的对象存储文件同步、与原平台 CI/CD 流水线的集成以及与原平台用户信息数据库间的数据同步,同时还涉及到与新的CDN厂家的集成及负载均衡设计。

对于整个系统容灾的关键指标要求如下:

  • • 对象存储同步传输效率:1GB 文件传输时间不超过10分钟
  • • RTO:小于1小时。
  • • RPO:小于30 分钟。

架构图

架构图

架构设计

在本方案中为实现项目需求中容灾平台的构建,我们将主要采用以下的技术方式实现架构设计和部署 :

  • • 通过 Amazon Virtual Private Cloud (Amazon VPC) 实现隔离应用网络环境;
  • • 在不同的可用区创建公有子网及私有子网,分别用于面向互联网访问的 Elastic Load Balancing 负载均衡器,以及不可被互联网直接访问的 Amazon Elastic Compute Cloud Web(Amazon EC2)服务器、Amazon Elastic Compute Cloud(Amazon EC2)应用服务器及 Amazon Relational Database Service (Amazon RDS) 数据库服务;
  • • 通过AWS Secrets Management创建 Credentials,用于访问腾讯云平台的对象存储;
  • • 创建国内(北京)Amazon Simple Storage Service(Amazon S3) 存储桶,用于门户系统中静态媒体文件以及游戏软件客户端软件的存放,并配置 Amazon Simple Storage Service(Amazon S3) 服务端加密设置提供高安全性;
  • • 通过 AWS 提供的 对象存储同步解决方案 —— Data Transfer Hub,完成原平台上对象存储服务中的文件到 Amazon Simple Storage Service(Amazon S3) 的文件同步;
  • • 通过 Amazon Elastic Compute Cloud(Amazon EC2) 构建 Web 服务和应用服务集群,配置自动伸缩功能;并与 ISV 原有的 CI/CD 流水线集成,以实现新版本的及时发布和更新;
  • • 通过 Amazon Relational Database Service (Amazon RDS) 构建门户系统的数据库服务,并与 ISV 开发的数据同步接口集成,实现用户信息的准实时同步;
  • • 通过 Elastic Load Balancing 和 Amazon Simple Storage Service(Amazon S3) 和三方 CDN 的集成来实现来自互联网的用户访问加速以及后端的高可用设计。

安全设计

在本方案中除了实现业务需求和技术需求,我们也将针对项目中所涉及的信息在数据传输安全、数据存储安全方面进行良好的规划、设计和协助部署。包括:

  • • AWS Identity and Access Management (IAM)安全设计
    •     o 确认用户、组、角色、联合认证设计、命名及安全规范标准;
    •     o 编制用户、组、角色、联合认证设计列表,制定各部门权限并和用户确认并调整
  • • 网络安全设计
    •     o Amazon Virtual Private Cloud (Amazon VPC)、子网、网络地址数量规模、命名规范、以及基础网络环境互通策略
    •     o 编制Amazon Virtual Private Cloud (Amazon VPC)、子网、网络地址、弹性IP地址、NAT网关设计列表及基础网络访问控制,和用户确认并调整
    •     o 网络安全组、网络访问控制列表设计
    •     o 确认各个应用系统的关联关系和子网流量控制策略规划,确认运维管理的安全组策略
    •     o 编制网络安全组策略列表、Network Access Control List以及子网关联和路由策略列表,请用户确认并调整
  • • 存储安全设计
    •     o 确认数据分类、保密级别等要求
    •     o 确认各部门、人员对数据访问的权限设计
    •     o 确认需加密存储的数据范围
    •     o 设计针对 Amazon Elastic Block Store(Amazon EBS)、Amazon Simple Storage Service(Amazon S3)、Amazon Relational Database Service(Amazon RDS)、Amazon Elastic File System 等存储的数据加密方式
    •     o 设计相应的数据访问权限,如 Amazon Simple Storage Service(Amazon S3) Access Control List、AWS Identity and Access Management (IAM) Policy 等
  • • 日志/审计安全设计
    •     o 确认企业安全合规对于日志管理的要求,日志收集范围,日志存放方式以及日志生命周期保留策略
    •     o 编制日志收集策略、存储桶列表,请用户确认并调整
    •     o 确认企业安全合规对于安全审计的要求,建议开启 AWS Cloudtrail、AWS Config 等服务监控
    •     o 指导用户完成AWS Cloudtrail、AWS Config 等服务监控的查看和分析,并协助制定相应的应急措施