如何自助快速搭建"跨云安全容灾系统"

一句话原理：将华为云灾备中心与线下生产中心/第三方公有云进行负载分担，保证无状态应用双活，并可在流量激增时进行最优调度。

Step1：云上云下一线牵，3rd云-华为云紧相连
目标：构建全局负载分担，使你的业务流量会根据数据中心当前状态进行最优调度。
配料：BIG-IP DNS(GTM) [1] + ECS

GTM是什么？
GTM(Global Traffic Manager)提供全局负载均衡能力。它可根据业务策略、数据中心运行状态、网络运行状态、用户的位置和应用程序的性能来分配DNS和用户的应用请求。

Step1 搭建全局负载均衡

Step2：人多力量大，机多不压身
目标：搭建服务器负载均衡，让请求分配到最佳云服务器上。
配料：LTM[1] + ECS + ELB

LTM是什么？
试想你通过GTM返回的A记录访问到了华为云数据中心，而每个业务通常会由多台云服务器（ECS）对外提供服务，LTM(Local Traffic Manager)就是用来决定你的这条请求由哪台ECS处理，通过应用层负载分担以提供最优性能。同时对服务器进行监控、健康检查，时刻清楚服务器集群的可用状态。

Step2 利用LTM配置本地负载分担

Step3：应用上场，好戏开始
目标：配置LTM上的VS，并为APP对应的前置虚机挂载到所有LTM的VS上，完成容灾站点前后端应用部署。
配料：ECS

VS是什么？
VS全称Virtual Server，是LTM配置中最重要的组件。它能在多台服务器中分配Client请求，以平衡服务器负载。此外，也可针对多种流量类型或用户编写的规则实施不同的设置。

Step3 配置VS，完成容灾站点前后端应用部署

Step4: 数据库，要同步
目标：部署主备数据库（如MySQL），并通过MySQL数据半同步能力，实现数据库之间的同步。配合生产中心的数据库主备，形成一主两备模式。备数据库一般不提供服务或只读。

Step4 部署主备数据库

Step5: 全副武装起来，安全才放心
目标：搭建符合等保建设要求的安全灾备中心，保证云上业务安全
配料：DDoS高防 + WAF + HSS + DBSS + 堡垒机

DDoS高防：网络层大门，任你DDoS流量滔天，我自岿然不动
WAF(Web Application Firewall)：应用层攻击花样百出，逃不过WAF火眼金睛
HSS(Host Security Service)：暴破、病毒、木马、挖矿、勒索，统统Say goodbye
DBSS(Database Security Service)：数据库防攻击、数据脱敏、数据库审计，All in one
堡垒机：统一安全运维，安全审计，安心管理云上所有资产

Step5 配置安全服务

正常工作时，两数据中心都可正常运行并对外提供业务，当其中一个故障时通过全局负载均衡进行业务分发，同时由业务模块检测资源利用率并进行业务弹性部署。RPO时间取决于数据库复制间隔，而由于两个数据中心一直运行，可使RTO≈0。

本文转载自华为云产品与解决方案公众号。

原文链接：https://mp.weixin.qq.com/s/bZgcmlbx_eZ1qtjOK5X9bg

创作场景

如何自助快速搭建跨云安全容灾系统