阿里云-电商架构案例
电商网站生产级架构 0-1搭建全案例
先定死所有基础信息(不用改,直接用)
业务场景
小型电商网站(企业生产标准,双可用区容灾,符合大厂规范),支持用户访问商品页、下单,有运维管控、数据安全防护
固定基础参数
| 项目 | 固定值 | 说明 |
|---|---|---|
| 云厂商 | 阿里云 | 和你之前看的教程界面完全一致 |
| 地域 | 华东2(上海) | 国内访问延迟最低 |
| 双可用区 | 上海可用区A(AZ-A)、上海可用区B(AZ-B) | 单机房故障业务不中断 |
| VPC大网段 | 10.0.0.0/16 |
超大网段,无IP冲突风险 |
| 公网EIP1(SLB用) | 120.26.100.100 |
用户访问网站的唯一入口 |
| 公网EIP2(NAT用) | 120.26.100.101 |
所有内网机器统一公网出口 |
一、第一步:创建VPC(基础底座,5分钟完成)
操作路径
登录阿里云控制台 → 搜索「专有网络VPC」→ 进入VPC控制台 → 点击左上角「创建VPC」
填写参数(完全照着填)
| 参数 | 填写值 |
|---|---|
| VPC名称 | 电商生产VPC |
| IPv4网段 | 10.0.0.0/16 |
| 描述 | 电商生产环境专属VPC |
| 其他参数 | 保持默认 |
点击「确定」,VPC创建完成
二、第二步:创建分层交换机(子网,核心架构,10分钟完成)
操作路径
在刚创建的「电商生产VPC」详情页 → 点击左侧「交换机」→ 点击「创建交换机」
按下面的表格,逐个创建6个交换机(双可用区各3个,完全照着填)
| 交换机名称 | 所属可用区 | IPv4网段 | 所属分层 | 核心作用 |
|---|---|---|---|---|
网关交换机-AZ-A |
上海可用区A | 10.0.0.0/24 |
网关层 | 放NAT网关、SLB |
网关交换机-AZ-B |
上海可用区B | 10.0.1.0/24 |
网关层 | 双可用区容灾 |
业务交换机-AZ-A |
上海可用区A | 10.0.10.0/24 |
业务应用层 | 放电商网站ECS |
业务交换机-AZ-B |
上海可用区B | 10.0.11.0/24 |
业务应用层 | 双可用区容灾 |
缓存交换机-AZ-A |
上海可用区A | 10.0.20.0/24 |
中间件层 | 放Redis缓存 |
缓存交换机-AZ-B |
上海可用区B | 10.0.21.0/24 |
中间件层 | 双可用区容灾 |
数据库交换机-AZ-A |
上海可用区A | 10.0.30.0/24 |
数据存储层 | 放RDS主库 |
数据库交换机-AZ-B |
上海可用区B | 10.0.31.0/24 |
数据存储层 | 放RDS备库 |
运维交换机-AZ-A |
上海可用区A | 10.0.40.0/24 |
运维管控层 | 放堡垒机 |
运维交换机-AZ-B |
上海可用区B | 10.0.41.0/24 |
运维管控层 | 双可用区容灾 |
✅ 完成后,你就有了大厂标准的分层子网,所有网段都在10.0.0.0/16内,无冲突。
三、第三步:创建NAT网关+绑定EIP+配置SNAT(公网出口,10分钟完成)
3.1 先申请2个固定EIP
操作路径:VPC控制台 → 左侧「弹性公网IP」→ 「创建EIP」
- 申请2个按量计费EIP,带宽峰值100Mbps,地域选上海
- 申请完成后,记录EIP地址:
- EIP1:
120.26.100.100(给SLB用) - EIP2:
120.26.100.101(给NAT用)
- EIP1:
3.2 创建公网NAT网关
操作路径:VPC控制台 → 左侧「NAT网关」→ 「创建NAT网关」
| 参数 | 填写值 |
|---|---|
| 地域 | 华东2(上海) |
| VPC | 选择刚创建的「电商生产VPC」 |
| 可用区 | 上海可用区A |
| 交换机 | 选择「网关交换机-AZ-A」 |
| 规格 | 小型(满足1000并发) |
| 名称 | 电商生产NAT网关 |
点击「立即购买」,创建完成
3.3 给NAT网关绑定EIP
操作路径:NAT网关列表 → 找到「电商生产NAT网关」→ 操作列「绑定弹性公网IP」
- 选择刚申请的EIP2:
120.26.100.101 - 点击「确定」,绑定完成
3.4 配置SNAT规则(让内网机器能上网)
操作路径:NAT网关详情页 → 「SNAT管理」→ 「创建SNAT条目」
| 参数 | 填写值 |
|---|---|
| 条目名称 | 内网全量上网SNAT |
| 源网段 | 选择「交换机粒度」,勾选以下4个交换机: 业务交换机-AZ-A、业务交换机-AZ-B、 缓存交换机-AZ-A、缓存交换机-AZ-B、 运维交换机-AZ-A、运维交换机-AZ-B |
| 公网IP | 选择绑定的EIP2:120.26.100.101 |
点击「确定」,SNAT规则生效
✅ 现在,所有勾选的交换机里的机器,都能通过NAT网关访问外网了。
四、第四步:创建路由表+配置路由规则(流量管控,10分钟完成)
4.1 创建2张自定义路由表(严格分层)
操作路径:VPC控制台 → 左侧「路由表」→ 「创建路由表」
第一张路由表:公网出口路由表
| 参数 | 填写值 |
|---|---|
| 名称 | 公网出口路由表 |
| VPC | 「电商生产VPC」 |
| 描述 | 给需要上网的业务/运维子网用 |
第二张路由表:纯内网路由表
| 参数 | 填写值 |
|---|---|
| 名称 | 纯内网路由表 |
| VPC | 「电商生产VPC」 |
| 描述 | 给数据库/缓存子网用,禁止访问外网 |
4.2 给「公网出口路由表」配置核心路由规则
操作路径:「公网出口路由表」详情页 → 「路由条目」→ 「添加路由条目」
| 目标网段 | 下一跳类型 | 下一跳实例 | 大白话作用 |
|---|---|---|---|
0.0.0.0/0 |
NAT网关 | 选择「电商生产NAT网关」 | 所有外网流量,全部走NAT网关出去 |
10.0.0.0/16 |
本地 | 本地 | 内网流量直接走内网,不绕NAT |
点击「确定」,路由规则生效
4.3 给路由表关联对应的交换机
「公网出口路由表」关联的交换机(需要上网的):
- 业务交换机-AZ-A、业务交换机-AZ-B
- 运维交换机-AZ-A、运维交换机-AZ-B
「纯内网路由表」关联的交换机(禁止上网的):
- 缓存交换机-AZ-A、缓存交换机-AZ-B
- 数据库交换机-AZ-A、数据库交换机-AZ-B
✅ 完成后,数据库/缓存子网彻底断了外网访问,安全拉满。
五、第五步:创建SLB负载均衡(公网入口,8分钟完成)
操作路径
阿里云控制台 → 搜索「负载均衡SLB」→ 「创建负载均衡」
填写参数(完全照着填)
| 参数 | 填写值 |
|---|---|
| 地域 | 华东2(上海) |
| 实例类型 | 公网 |
| 可用区 | 主可用区A,备可用区B |
| 实例规格 | 简约型I(slb.s1.small) |
| 带宽计费 | 按流量计费,带宽峰值100Mbps |
| 名称 | 电商公网SLB |
| 所属VPC | 「电商生产VPC」 |
| 所属交换机 | 「网关交换机-AZ-A」 |
点击「立即购买」,创建完成
给SLB绑定EIP
操作路径:SLB详情页 → 「实例管理」→ 「绑定弹性公网IP」
- 选择之前申请的EIP1:
120.26.100.100 - 点击「确定」,绑定完成
✅ 现在,用户访问120.26.100.100,就能到达SLB了。
六、第六步:创建ECS业务服务器(应用层,10分钟完成)
操作路径
阿里云控制台 → 搜索「云服务器ECS」→ 「创建实例」
一共创建4台ECS(双可用区各2台,配置完全一致,照着填)
| 参数 | 填写值 |
|---|---|
| 地域 | 华东2(上海) |
| 可用区 | 2台选可用区A,2台选可用区B |
| 实例规格 | 2核4G(满足电商网站需求) |
| 镜像 | CentOS 7.9 64位 |
| 系统盘 | 40G高效云盘 |
| 网络 | 「电商生产VPC」 |
| 交换机 | 可用区A的ECS选「业务交换机-AZ-A」,可用区B的选「业务交换机-AZ-B」 |
| 公网IP | 不分配公网IP(绝对不能开,所有上网走NAT) |
| 登录凭证 | 自定义密码,设置强密码 |
| 实例名称 | 电商Web-AZ-A-01、电商Web-AZ-A-02、电商Web-AZ-B-01、电商Web-AZ-B-02 |
4台ECS固定私网IP(创建后自动分配,记录下来)
| 实例名称 | 固定私网IP |
|---|---|
| 电商Web-AZ-A-01 | 10.0.10.10 |
| 电商Web-AZ-A-02 | 10.0.10.11 |
| 电商Web-AZ-B-01 | 10.0.11.10 |
| 电商Web-AZ-B-02 | 10.0.11.11 |
给SLB配置后端服务器组
操作路径:SLB详情页 → 「服务器组」→ 「创建虚拟服务器组」
- 组名称:
电商Web服务器组 - 添加刚创建的4台ECS,端口80,权重100
- 配置监听规则:80端口转发到该服务器组
✅ 现在,用户访问120.26.100.100,SLB会把流量均匀分给4台ECS。
七、第七步:创建Redis缓存(中间件层,8分钟完成)
操作路径
阿里云控制台 → 搜索「云数据库Redis」→ 「创建实例」
填写参数(完全照着填)
| 参数 | 填写值 |
|---|---|
| 地域 | 华东2(上海) |
| 可用区 | 主可用区A,备可用区B |
| 架构类型 | 主备版 |
| 实例规格 | 2G内存(标准型) |
| 网络类型 | 专有网络 |
| VPC | 「电商生产VPC」 |
| 交换机 | 主节点选「缓存交换机-AZ-A」,备节点选「缓存交换机-AZ-B」 |
| 公网访问 | 关闭(绝对不开,只允许内网访问) |
| 实例名称 | 电商生产Redis |
Redis固定内网信息(创建后获取)
- 内网连接地址:
r-xxxxxx.redis.rds.aliyuncs.com - 内网IP:
10.0.20.10(主节点)、10.0.21.10(备节点) - 端口:6379
✅ 现在,ECS可以通过内网地址访问Redis了。
八、第八步:创建RDS数据库(数据层,10分钟完成)
操作路径
阿里云控制台 → 搜索「云数据库RDS」→ 「创建实例」
填写参数(完全照着填)
| 参数 | 填写值 |
|---|---|
| 地域 | 华东2(上海) |
| 可用区 | 主可用区A,备可用区B |
| 数据库类型 | MySQL 8.0 |
| 架构 | 高可用版(一主一备) |
| 实例规格 | 2核4G |
| 存储 | 100G SSD云盘 |
| 网络类型 | 专有网络 |
| VPC | 「电商生产VPC」 |
| 交换机 | 主节点选「数据库交换机-AZ-A」,备节点选「数据库交换机-AZ-B」 |
| 公网地址 | 不开启(绝对不开,只允许内网访问) |
| 实例名称 | 电商生产MySQL |
RDS固定内网信息(创建后获取)
- 内网连接地址:
rm-xxxxxx.mysql.rds.aliyuncs.com - 内网IP:
10.0.30.10(主库)、10.0.31.10(备库) - 端口:3306
✅ 现在,ECS可以通过内网地址访问RDS了。
九、第九步:创建堡垒机(运维管控层,8分钟完成)
操作路径
阿里云控制台 → 搜索「堡垒机」→ 「创建堡垒机」
填写参数(完全照着填)
| 参数 | 填写值 |
|---|---|
| 地域 | 华东2(上海) |
| 版本 | 企业版 |
| 资产数 | 10台 |
| 网络 | 「电商生产VPC」 |
| 交换机 | 「运维交换机-AZ-A」 |
| 公网访问 | 关闭,只允许内网/VPN访问 |
| 实例名称 | 电商生产堡垒机 |
堡垒机固定内网IP
- 内网IP:
10.0.40.10
✅ 现在,运维人员必须先登录堡垒机,才能跳转ECS/RDS,全程操作留痕。
十、第十步:安全组配置(核心防护,15分钟完成)
一共创建5个安全组,对应5个分层,规则完全照着填
1. Web业务安全组(绑定4台ECS)
| 方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 作用 |
|---|---|---|---|---|---|
| 入方向 | 允许 | TCP | 80/443 | SLB的内网网段 | 只允许SLB访问网站端口 |
| 入方向 | 允许 | TCP | 22 | 10.0.40.0/24(运维子网) |
只允许堡垒机SSH登录 |
| 出方向 | 允许 | 全部 | 全部 | 0.0.0.0/0 |
允许访问外网、Redis、RDS |
2. Redis安全组(绑定Redis实例)
| 方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 作用 |
|---|---|---|---|---|---|
| 入方向 | 允许 | TCP | 6379 | 10.0.10.0/24、10.0.11.0/24(业务子网) |
只允许业务ECS访问Redis |
| 出方向 | 拒绝 | 全部 | 全部 | 0.0.0.0/0 |
禁止访问外网 |
3. RDS安全组(绑定RDS实例)
| 方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 作用 |
|---|---|---|---|---|---|
| 入方向 | 允许 | TCP | 3306 | 10.0.10.0/24、10.0.11.0/24(业务子网) |
只允许业务ECS访问数据库 |
| 出方向 | 拒绝 | 全部 | 全部 | 0.0.0.0/0 |
禁止访问外网 |
4. 堡垒机安全组(绑定堡垒机)
| 方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 作用 |
|---|---|---|---|---|---|
| 入方向 | 允许 | TCP | 22/443 | 公司办公网固定IP | 只允许公司内网访问堡垒机 |
| 出方向 | 允许 | TCP | 22/3306 | 10.0.0.0/16 |
允许跳转内网ECS/RDS |
5. SLB安全组(绑定SLB实例)
| 方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 | 作用 |
|---|---|---|---|---|---|
| 入方向 | 允许 | TCP | 80/443 | 0.0.0.0/0 |
允许所有用户访问网站 |
| 出方向 | 允许 | TCP | 80/443 | 10.0.10.0/24、10.0.11.0/24 |
只允许转发到业务ECS |
十一、全架构IP&组件对照表(收藏备用)
| 组件 | 公网IP/内网地址 | 所属网段 | 可用区 |
|---|---|---|---|
| 电商生产VPC | - | 10.0.0.0/16 |
上海 |
| 公网SLB | 120.26.100.100 |
10.0.0.0/24 |
AZ-A+AZ-B |
| NAT网关 | 120.26.100.101 |
10.0.0.0/24 |
AZ-A |
| 电商Web-AZ-A-01 | - | 10.0.10.0/24 |
AZ-A |
| 电商Web-AZ-A-02 | - | 10.0.10.0/24 |
AZ-A |
| 电商Web-AZ-B-01 | - | 10.0.11.0/24 |
AZ-B |
| 电商Web-AZ-B-02 | - | 10.0.11.0/24 |
AZ-B |
| Redis缓存 | 10.0.20.10 |
10.0.20.0/24 |
AZ-A+AZ-B |
| RDS数据库 | 10.0.30.10 |
10.0.30.0/24 |
AZ-A+AZ-B |
| 堡垒机 | - | 10.0.40.0/24 |
AZ-A |
十二、全链路流量走向验证(测试是否正常)
1. 用户访问网站
用户 → 120.26.100.100(SLB公网IP)→ SLB → 4台ECS(10.0.10.10等)→ Redis(10.0.20.10)→ RDS(10.0.30.10)
2. ECS访问外网
ECS → 路由表0.0.0.0/0 → NAT网关 → SNAT转换为120.26.100.101 → 互联网
3. 运维登录ECS
运维办公网 → VPN/专线 → 堡垒机(10.0.40.10)→ 跳转ECS/RDS
十三、大厂规范合规检查项
✅ 所有核心组件双可用区部署,无单点故障
✅ 数据库/缓存无公网地址,彻底隔离外网
✅ ECS无独立公网IP,统一出口NAT网关
✅ 所有公网入口只有SLB,层层防护
✅ 运维必须通过堡垒机,全程可追溯
✅ 安全组最小权限,只开放必要端口和IP
【和之前电商架构100%兼容】K8s(ACK)在生产架构中的完整落地案例
完全基于你之前的电商生产VPC架构无缝嵌入,不推翻任何已有配置(VPC、交换机、NAT、SLB、RDS、Redis、堡垒机全复用),完全符合阿里/腾讯大厂生产规范,每一个网段、IP、部署位置都给你定死,可直接照着抄。
一、先搞懂核心:K8s在架构里的定位
一句话说清
K8s(阿里云ACK托管集群)直接替换掉你之前架构里的「4台ECS业务服务器」,作为业务应用的统一运行平台。
- 原有架构的VPC、分层交换机、NAT网关、SLB、RDS、Redis、堡垒机、路由表、安全组,全部保留、100%复用,不用改一行配置;
- 你之前学的所有VPC、路由、NAT、SNAT/DNAT知识,完全适用,没有任何冲突;
- 大厂标准玩法:K8s只跑无状态的业务应用(网站、接口、微服务),有状态的数据库/缓存/消息队列,全部用云厂商托管服务,放在K8s外面,稳定性拉满,运维成本最低。
二、先定死:K8s和现有VPC兼容的网段规划
你之前的VPC大网段是 10.0.0.0/16,K8s有3个核心网段,必须和现有网段完全不冲突,同时贴合你的分层架构,大厂生产级固定配置如下:
| K8s网段类型 | 固定网段 | 对应你架构里的位置 | 核心作用 | 大厂规范 |
|---|---|---|---|---|
| Master节点网段 | 10.0.40.0/24(AZ-A)、10.0.41.0/24(AZ-B) |
运维管理子网(之前放堡垒机的交换机) | 放K8s的控制面Master节点 | 控制面和业务面严格隔离,只有运维能碰,绝对不暴露公网 |
| Worker节点网段 | 10.0.10.0/24(AZ-A)、10.0.11.0/24(AZ-B) |
业务应用子网(之前放电商ECS的交换机) | 放K8s的数据面Worker节点(业务跑在这里) | 复用原有业务交换机,路由表、安全组完全不用改,和RDS/Redis内网天然互通 |
| Pod网段 | 10.1.0.0/16 |
独立大网段,和VPC不冲突 | K8s里每个业务Pod的IP地址 | 用阿里云Terway网络插件,Pod可直接和VPC内网互通,性能拉满 |
| Service(ClusterIP)网段 | 10.2.0.0/16 |
独立大网段,和VPC不冲突 | K8s里服务的集群内IP,用于服务发现 | 仅集群内可见,不对外暴露 |
✅ 关键优势:所有网段和你之前的VPC架构完全兼容,没有IP冲突,原有路由、安全组、NAT配置全复用,不用做任何修改。
三、K8s集群完整部署细节(和你的电商架构一一对应)
3.1 集群基础配置(阿里云ACK托管版,大厂99%都用托管版)
| 参数 | 固定填写值 | 对应你的架构 |
|---|---|---|
| 集群名称 | 电商生产ACK集群 |
和你的业务匹配 |
| 地域/可用区 | 华东2(上海),双可用区A+B | 和你的VPC地域一致 |
| 集群版本 | K8s 1.28(稳定版) | 生产环境首选长期支持版 |
| 网络插件 | Terway 企业版 | 阿里云生产级首选,Pod直接接入VPC内网,和RDS/Redis无差别互通 |
| 所属VPC | 「电商生产VPC」10.0.0.0/16 |
完全复用你之前创建的VPC |
| 安全组 | 复用之前的「Web业务安全组」 | 不用新建,原有规则完全适用 |
3.2 节点固定规划(双可用区高可用,大厂标准)
(1)Master控制面节点(3台,高可用,托管版由阿里云维护)
| 节点名称 | 固定内网IP | 所属交换机 | 可用区 |
|---|---|---|---|
| ack-master-az-a-01 | 10.0.40.20 |
运维交换机-AZ-A | 上海可用区A |
| ack-master-az-a-02 | 10.0.40.21 |
运维交换机-AZ-A | 上海可用区A |
| ack-master-az-b-01 | 10.0.41.20 |
运维交换机-AZ-B | 上海可用区B |
✅ 大厂规范:Master节点放在运维子网,和业务节点隔离,绝对不分配公网IP,只能通过堡垒机/内网访问,杜绝被攻击的风险。
(2)Worker数据面节点(4台,业务跑在这里,替换之前的4台ECS)
| 节点名称 | 固定内网IP | 所属交换机 | 可用区 | 配置 |
|---|---|---|---|---|
| ack-worker-az-a-01 | 10.0.10.20 |
业务交换机-AZ-A | 上海可用区A | 4核8G(电商业务标准配置) |
| ack-worker-az-a-02 | 10.0.10.21 |
业务交换机-AZ-A | 上海可用区A | 4核8G |
| ack-worker-az-b-01 | 10.0.11.20 |
业务交换机-AZ-B | 上海可用区B | 4核8G |
| ack-worker-az-b-02 | 10.0.11.21 |
业务交换机-AZ-B | 上海可用区B | 4核8G |
✅ 关键细节:
- 所有Worker节点绝对不分配公网IP,和之前的ECS规范完全一致;
- 复用你之前的「公网出口路由表」,默认路由
0.0.0.0/0指向NAT网关,所有节点/Pod上网全走之前的NAT网关,不用改任何路由配置; - 复用之前的「Web业务安全组」,只允许SLB访问80/443端口,只允许堡垒机访问22端口,安全规则完全不用改。
四、K8s和你原有架构组件的100%融合方案
你之前创建的所有云产品,全部不用改,直接和K8s打通,下面逐个讲透怎么配合、流量怎么走。
4.1 和NAT网关的配合(公网出口,完全复用)
之前的配置
NAT网关绑定EIP 120.26.100.101,配置了SNAT规则,业务子网的机器可以通过它上网。
K8s怎么用
完全不用改任何配置,直接用:
- Worker节点、Pod访问外网(比如调用微信支付、拉取镜像、更新依赖),会匹配路由表的默认路由
0.0.0.0/0,直接走你之前的NAT网关; - 经过SNAT转换后,外网看到的源IP还是你的NAT网关EIP
120.26.100.101,和之前的ECS完全一致; - 第三方接口的IP白名单,还是加这个EIP就行,不用改。
4.2 和SLB负载均衡的配合(公网入口,大厂标准Ingress方案)
之前的配置
公网SLB绑定EIP 120.26.100.100,转发流量到4台ECS。
K8s的标准玩法(替换之前的SLB转发)
大厂不会用NodePort暴露服务,统一用 SLB + Nginx Ingress Controller 作为K8s集群的唯一公网入口,和你的原有架构完全兼容:
- 在K8s集群里部署
Nginx Ingress Controller,自动创建一个公网SLB(复用你之前的SLB和EIP120.26.100.100); - 你所有的电商业务(前端网站、商品接口、下单接口),都通过Ingress规则配置域名/路径转发,比如:
shop.xxx.com转发到前端Pod集群api.xxx.com转发到后端接口Pod集群
- 用户流量路径和之前完全一致:
用户 → SLB EIP → Ingress Controller → 业务Pod,和之前的「用户→SLB→ECS」路径没有区别,只是把ECS换成了Pod。
4.3 和RDS/Redis的配合(数据层,完全复用,内网直接访问)
之前的配置
- RDS内网地址:
rm-xxxxxx.mysql.rds.aliyuncs.com,IP10.0.30.10,端口3306 - Redis内网地址:
r-xxxxxx.redis.rds.aliyuncs.com,IP10.0.20.10,端口6379 - 安全组只允许业务子网
10.0.10.0/24、10.0.11.0/24访问。
K8s怎么访问
和之前的ECS完全一样,一行代码都不用改:
- 业务Pod直接通过内网地址访问RDS/Redis,Pod的流量会直接走VPC内网路由,不用绕NAT,延迟和之前的ECS完全一致;
- RDS/Redis的安全组不用改,因为Pod所在的Worker节点就在业务子网里,天然被允许访问;
- 数据库还是纯内网、无公网地址,安全规范完全符合大厂要求。
4.4 和堡垒机的配合(运维管控,完全复用)
之前的配置
堡垒机内网IP 10.0.40.10,放在运维子网,只能公司内网访问,运维必须通过堡垒机跳转业务机器。
K8s的运维规范
完全复用堡垒机,不用新增任何配置:
- 运维人员必须先登录堡垒机,再从堡垒机跳转Worker节点/Master节点,全程操作录像、可追溯;
- K8s的APIServer只开放内网访问,只能通过堡垒机/公司内网操作,绝对不暴露公网,杜绝被黑客攻击;
- 所有kubectl操作、集群配置,全部在堡垒机上执行,符合等保合规要求。
五、完整流量走向(和之前的架构对比,一目了然)
场景1:外网用户访问电商网站(核心用户流量)
之前的ECS架构
用户 → 120.26.100.100(SLB EIP)→ SLB → 4台ECS → Redis → RDS
K8s架构(路径几乎完全一致)
用户 → 120.26.100.100(SLB EIP)→ SLB → Ingress Controller Pod → 电商业务Pod → Redis → RDS
场景2:业务Pod主动访问外网(调用第三方接口)
之前的ECS架构
ECS → 路由表 0.0.0.0/0 → NAT网关 → SNAT转换为120.26.100.101 → 互联网
K8s架构(完全一致,不用改任何配置)
业务Pod → Worker节点 → 路由表 0.0.0.0/0 → NAT网关 → SNAT转换为120.26.100.101 → 互联网
场景3:运维人员操作集群/节点
之前的ECS架构
运维办公网 → 专线/VPN → 堡垒机 → 跳转ECS/RDS
K8s架构(完全复用,仅新增集群操作)
运维办公网 → 专线/VPN → 堡垒机 → 跳转Worker节点/Master节点/执行kubectl操作
六、大厂K8s架构的核心进阶规范(生产必做)
1. 网络隔离:用NetworkPolicy做Pod级别的防火墙
- 只允许前端Pod访问后端接口Pod,不允许前端Pod直接访问RDS;
- 只允许后端接口Pod访问Redis/RDS,禁止其他Pod访问;
- 彻底杜绝Pod之间的横向越权,就算某个Pod被攻击,黑客也不能横向扫到数据库。
2. 弹性扩缩容:应对大促流量峰值
- 配置HPA(水平Pod自动扩缩容),比如CPU使用率超过70%,自动扩容Pod,最高扩到100个;
- 流量回落时,自动缩容,不用手动改ECS数量,完美应对电商大促、秒杀场景,这也是大厂用K8s的核心原因。
3. 日志/监控全链路打通
- 把Pod的业务日志、访问日志,全部收集到阿里云SLS日志服务,和你之前的日志方案完全兼容;
- 用Prometheus+Grafana监控Pod的CPU、内存、接口响应时间,出问题立刻报警,和你之前的云监控方案打通。
4. 配置/密钥分离
- 用ConfigMap存业务配置文件,不用打包到镜像里,改配置不用重启服务;
- 用Secret存数据库密码、API密钥,不用明文写在代码里,符合安全规范。
七、一句话终极总结
K8s没有改变你之前的VPC网络架构,只是把业务从「固定的ECS服务器」,搬到了「弹性的K8s容器集群」里,你之前学的所有VPC、交换机、路由、NAT、SLB知识,100%适用,没有任何冲突。
需要我给你一份和这个架构配套的、可直接复制执行的K8s部署命令清单吗?包括Ingress安装、电商业务部署、HPA扩缩容配置、NetworkPolicy隔离规则,直接照着执行就能跑通。
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐


所有评论(0)