網站整套部署方案-負載均衡配置Nginx+寶塔+云資料庫+云WAF-有解無憂

這是一套部署特別方便的站點方案，包括使用nginx負載均衡，寶塔部署站點，云資料庫加一套安全產品云WAF，

一、結構圖

1、基本功能

負載均衡，WEB，資料庫都是在一個云平臺上，內網都屬于一個vpc二層網路，

2、安全產品

云WAf可以獨立于云平臺，在基本框架部署完畢后，修改CNAME記錄，完成除錯，在專案上線前，千萬不能暴露了原有的決議地址，否則直接可以繞過WAF，直接攻擊站點IP地址，

二、功能介紹

1、云資料庫

云資料庫在相同的vpc網路，ip地址是192.168.1.4，寶塔自帶mysql資料庫，由于是性能問題，使用獨立出來的云資料庫，只要提供云資料庫的ip地址和賬號密碼，即可完成資料庫部署，

2、站點

站點部署在兩臺寶塔上，寶塔之間使用付費購買的同步檔案，保證兩個站點之間檔案是相同的，如果需要部署證書，可使用寶塔免費證書，
檔案同步，只能同步檔案夾的資料，證書，站點名字，都需要單獨設定一樣的，

3、負載均衡

本次的負載均衡采用nginx負載，當外網訪問過來時，按照一定的規則，內網IP傳輸到兩臺web主機，實作負載功能，

4、云WAF

云WAF主要用來做安全防護，配置靈活，部署方便，只需要設定站點域名，WAF的分配給域名做cname決議，即可實作防護的功能

5、證書

證書部署，首先部署在寶塔的站點，決議先做在寶塔的公網ip，看下是否正確；nginx負載也需要部署證書，決議改到負載的公網ip，檢查；部署云WAG，需要部署域名證書，不需要改決議了，只要做cname即可，

三、設備配置

1、負載均衡

/etc/nginx/conf.d/websites.conf

http {

 gzip on;
 gzip_min_length 5k;
 gzip_buffers 16 64K;
 gzip_comp_level 6;

 client_max_body_size 25m;
 
 upstream kkk123 {
 ip_hash;
 server 192.168.1.2:80 weight=5 max_fails=3 fail_timeout=30s;
 server 192.168.1.2:80 weight=5 max_fails=3 fail_timeout=30s;
 }
 
 include /etc/nginx/conf.d/websites.conf;   

# Load configuration files for the default server block.
#       include /etc/nginx/default.d/*.conf;
}

/etc/nginx/conf.d/websites.conf

server {
        listen       80;
        listen       443 ssl ;
        #listen       [::]:80;
        server_name www.123.com;
        ssl_certificate "/etc/nginx/cert/www_123_com.pem";
        ssl_certificate_key "/etc/nginx/cert/www_123_com.key";
        ssl_session_timeout  10m;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;

        #=========301-START===========#
      #  if ($host ~ '^shop.httx3.top'){
      #  return 301 https://www.123.com$request_uri;
      #  }
        if ( $scheme = http ){
        return 301 https://$server_name$request_uri;
        }
      #  #=========301-STOP===========#
      #  #error_page 404 /404.html;

        location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_redirect off;
        proxy_pass  http://kkk123;
        }
    }

3、nginx注意點

上傳證書key和pem時，需要修改密鑰開頭的值，否則會報錯，

key檔案
BEGIN KEY改成BEGIN PRIVATE KEY
END KEY改成END PRIVATE KEY

pem檔案
BEGIN CERTIFICATE改成BEGIN TRUSTED CERTIFICATE
END CERTIFICATE改成END TRUSTED CERTIFICATE

nginx基本命令

檢查配置
nginx -t
重啟服務
nginx -s reload

2、云WAF

云WAF也需要添加證書，在使用原始的key檔案和pem檔案；不使用修改過的nginx的key和pem檔案，
在WAF上面設定需要保護的域名，會生成一個cname記錄，需要把這個cname記錄添加到域名決議，
域名決議使用負載均衡的公網IP地址，

驗證：

直接ping站點的域名，回傳的域名資訊和ip地址，均已經變成WAF的資訊，真實的負載均衡公網IP地址沒有顯示，

四、方案優勢

有一定的安全防護，部署經費低，使用云資源，開通時間短，部署方便，

轉載請註明出處，本文鏈接：https://www.uj5u.com/qiye/498805.html

標籤：其他

上一篇：ArcGIS工具 - 匯出資料庫結構

下一篇：開源LIMS系統miso LIMS（適用于NGS基因測序）