互联网应用全球加速
部署操作
40
https://www.aliyun.com/solution/tech-solution/gaoia
方案概览
互联网应用加速解决方案面向各行各业的互联网应用,提供一站式加速网络访问、提高网络稳定性的服务。例如,您在法兰克福有对应的互联网业务,用户可以通过访问域名www.example.com来获取网站服务。中国内地的用户访问该网站的速度需要提升,则可使用本方案实现加速并安全地访问域名。
方案架构
您的域名,例如www.example.com通过阿里云解析DNS服务解析到全球加速实例的CNAME,然后经过全球加速的监听功能流转到WAF,最后再通过WAF配置的监听和转发功能流转至NLB,并实现后端服务的负载均衡。
方案提供的默认设置完成部署后在阿里云上搭建的网站运行环境如下图所示。实际部署时您可以根据资源规划修改部分设置,但最终形成的运行环境与下图相似。
本方案的技术架构包括以下基础设施和云服务:
1个专有网络VPC:为网络型负载均衡NLB、云服务器ECS、云数据库PolarDB MySQL版等云资源形成云上私有网络。
2台交换机:将2台云服务器ECS连接在同一网络上,实现服务器之间的通信,并提供基本的网络分段和隔离功能。
1个公网网络型负载均衡NLB:对外提供访问并将用户请求分配到不同云服务器ECS上的博客网站服务。
4台云服务器ECS:用于部署博客网站服务。
1个Web应用防火墙 3.0(按量付费):为网站服务提供安全服务。
1个全球加速标准型实例:为中国内地用户加速访问欧洲网站。
云解析DNS:将用户的请求分别解析到全球加速GA。
部署准备
10
开始部署前,请按以下指引完成账号申请、账号充值、RAM用户创建和授权。
准备账号
如果您还没有阿里云账号,请访问阿里云账号注册页面,根据页面提示完成注册。阿里云账号是您使用云资源的付费实体,因此是部署方案的必要前提。
本方案的云资源支持按量付费,且默认设置均采用按量付费引导操作。如果确定任何一个云资源采用按量付费方式部署,账户余额都必须大于等于100元。
完成本方案的部署及体验,预计产生费用不超过2元。
假设您选择可用的最低规格资源,且资源运行时间不超过1小时。实际情况中可能部分实例无法购买需要根据实际情况调整资源规格,同时因您操作过程中实际使用的流量差异,会导致费用有所变化,请以控制台显示的实际报价以及最终账单为准。
阿里云账号拥有操作所有资源的最高权限,为了安全起见,建议您使用RAM用户。RAM用户需要获得相关权限才能完成方案部署,自定义权限策略请参考以下示例:
云服务
需要的权限
描述
云服务器ECS
AliyunECSFullAccess
管理云服务器ECS的权限
全球加速GA
AliyunGlobalAccelerationFullAccess
管理全球加速GA的权限
专有网络VPC
AliyunVPCFullAccess
管理专有网络VPC的权限
网络型负载均衡NLB
AliyunNLBFullAccess
管理网络型负载均衡NLB的权限
Web应用防火墙
AliyunYundunWAFv3FullAccess
管理WAF的权限
云解析DNS
AliyunDNSFullAccess
管理云解析DNS的权限
资源编排ROS
AliyunROSFullAccess
管理资源编排ROS的权限
规划网络和资源
10
网络规划
请参考表格中的说明和方案默认示例值为每个规划项做详细规划并在实际部署时将默认示例值修改为您的实际规划。
规划项 | 数量 | 说明 |
地域 | 1 | 您的云服务部署的地域。选择地域的基本原则请参见地域和可用区。 |
专有网络VPC | 1 | 在部署过程中新建一个VPC作为本方案的专有网络。 |
交换机 | 2 | 本方案需要至少2台交换机,用来连接不同的云资源实例。 |
网络型负载均衡NLB | 1 | 本方案需要1台网络型负载均衡NLB实例,用于对网站的多台云服务器进行流量分发。NLB可以通过流量分发扩展应用系统的服务能力,通过消除单点故障提升应用系统的可用性。 |
全球加速 | 1 | 创建1台按流量计费型的标准实例。 |
安全组 | 1 | 用于限制专有网络VPC下云服务器ECS的网络流入和流出规则。 |
规划云资源
请参考表格中的说明和方案默认示例值为每个规划项做详细规划并在实际部署时将默认示例值修改为您的实际规划。
规划项 | 数量 | 说明 |
ECS | 4 | 本方案需要4台ECS实例,用于同时部署网站服务。 |
Web应用防火墙 | 1 | 本方案需要1套Web防火墙,用于对NLB提供服务的网站进行安全保护。 |
一键部署
10
规划好资源后,请按照以下步骤部署方案中的所有资源。
步骤一:一键部署资源
一键配置基于阿里云资源编排服务ROS(Resource Orchestration Service)实现,旨在帮助开发者通过IaC(Infrastructure as Code)的方式体验资源的自动化配置。本方案中的一键部署脚本可完成除WAF以外的资源部署。
单击一键部署前往ROS控制台,系统自动打开使用新资源创建资源栈的面板,并跳转至配置模板参数页签。
说明ROS控制台默认处于您上一次访问控制台时的地域,请根据您创建的资源所在地域修改地域后再执行下一步。本方案设置为德国(法兰克福)。
资源栈名称可保持默认值。
在可用区配置区域,分别选择可用区A和可用区B。
在ECS实例配置区域,选择共享型实例,推荐使用最低规格,并设置实例密码。
在加速域名配置区域,设置加速地域ID为中国香港,设置加速域名为您所需加速的域名。
单击创建。
步骤二:添加网站配置
访问Web应用防火墙3.0(按量付费)购买页,在非中国内地区域开通服务。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(非中国内地)。
在左侧导航栏,单击接入管理。
在CNAME接入页签,单击接入。
在配置监听向导页,完成如下配置后,单击下一步。
配置项
配置说明
域名
填写要防护的域名,本文示例www.example.com。
协议类型
本文选择HTTP并配置端口为80。
WAF前是否有七层代理(高防/CDN等)
本方案选择是。
资源组
从资源组下拉列表中选择该域名所属资源组。如果不选择,则默认加入默认资源组。
说明您可以使用资源管理服务创建资源组,根据业务部门、项目等维度对云资源进行分组管理。更多信息,请参见创建资源组。
在配置转发向导页,完成如下配置后,单击提交。
配置项 | 说明 |
负载均衡算法 | 本示例选择轮询。 |
服务器地址 | 本示例选择域名,并填写NLB的CNAME。 说明 服务器地址为域名时,只支持IPv4地址,暂不支持IPv6地址,即WAF只会将客户端请求转发到源站域名解析出来的IPv4地址。 |
步骤三:配置全球加速监听WAF CNAME
登录全球加速管理控制台。
在实例列表页面,找到目标全球加速实例,在操作列单击配置监听。
在监听页签下,单击添加监听,完成以下配置后,单击提交。
在配置监听和协议配置向导页面,根据以下信息配置监听,然后单击下一步。
配置
说明
监听名称
输入监听的名称。
协议
本文选择HTTP。
端口
本文输入80。
客户端亲和性
关闭。
b. 配置终端节点。
配置
说明
节点组名称
输入终端节点组的名称。
地域
选择终端节点组所属的阿里云地域,本文选择中国(香港)。
后端服务部署在
非阿里云。
后端服务类型
选择自定义域名。
后端服务
填入WAF的CNAME。
后端服务协议
勾选HTTP。
步骤四:将DNS解析到全球加速
您必须更新规则对应域名的DNS解析全球加速CNAME记录,将中国内地用户的业务流量切换至全球加速,使规则生效。
登录阿里云云解析DNS控制台。
在域名解析页面,找到目标域名,单击操作列下的解析设置。
在解析设置页面,单击添加记录。
在添加记录对话框,配置记录,然后单击确定。
完成及清理
10
方案验证
在中国内地的电脑中打开命令行窗口。
执行以下命令,查看数据包延迟情况。
请将
<DNS域名>替换为您需加速的域名。
curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "http://<GA域名/WAF域名>:80" -H "host:<DNS域名>"
其中:
time_connect:连接时间,从开始到建立TCP连接完成所用的时间。time_starttransfer:开始传输时间。在客户端发出请求后,到后端服务器响应第一个字节所用的时间。time_total:连接总时间。客户端发出请求后,到后端服务器响应会话所用的时间。
这三个参数为执行命令后的返回参数。
加速前后的示例如下:
清理资源
登录资源编排管理控制台,左侧导航栏菜单选择资源栈。
在页面的顶部选择部署的资源栈所在地域,找到部署的资源栈。单击其右侧操作列的删除并确认,可一键删除一键配置所创建的资源。
释放Web应用防火墙。
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域,在总览页面右上角的实例基本信息卡片区域,单击关闭WAF。