福布斯中國

大流量新舊異構系統的可持續運維

運維保障
稻殼以系統健康穩定運行為目標出發,通過系統性的分析,設計合理的方案,規范的實施步驟全方位對福布斯中文網進行了升級維護,成功讓系統能持續穩定的給用戶提供服務。

福布斯(Forbes),一家專注于商業、投資、科技、創業以及生活等方面的專業且權威的全球性知名媒體企業。2016年福布斯重組了福布斯中國運營商,并將業務重點集中在福布斯中文網上。隨著品牌自帶的巨量流量而來的系統穩定性、可持續性、安全性等都會給福布斯中文網運營團隊帶來嚴峻的考驗,這就需要團隊具有更強的系統能力來保障系統的健康運行。

Forbes China

非常幸運的是稻殼團隊的專業度和服務態度得到了福布斯中文網運營團隊的認可,不管是從公司內部的形象的塑造出發還是從系統對外的社會影響力上出發,我們必須以我們的專業度來保證福布斯中文網的健康穩定運行。所以我們以系統健康穩定運行為目標出發,通過系統性的分析,設計合理的方案,規范的實施步驟全方位對福布斯中文網進行了升級維護,成功讓系統能持續穩定的給用戶提供服務。

初探:全面分析發現潛在問題

整個系統有十幾年的歷程,隨著技術的迭代更新,福布斯中文網并沒有得到持續性的維護迭代,這必然會導致整個系統有很多歷史包袱。在福布斯中文網發展過程中其技術團隊幾經更迭,系統的代碼也必然會顯得臃腫冗余。要維護好這樣的系統,必須要先了解熟悉整個系統,因此需要在產品、開發、運維等層面做全面的分析總結。

通過對系統代碼、歷史維護工作分析,可以看出系統程序框架雜亂、文件規劃不合理;安全方面無任何保障;系統穩定性差,無任何備案;雖然靜態化保證了日常的性能要求,但是無法防御突然爆發的并發性能要求。

可見整個系統在可持續性、穩定性、安全性上都沒有相應的保障,這也將是我們的工作重心。

規劃:全方位的運維方案為工作指引方向

首先需要對整個系統運行結構做升級,主要集中在部署層面來處理。

技術拓補圖

  1. 因為面向用戶提供服務的是靜態化的內容,CDN(內容分發網絡)是針對此場景最佳的工具。CDN能大幅度降用戶和服務之間的物理距離;分散服務器壓力,且在高并發訪問場景下服務的穩定性不在受限于服務器網絡。

CDN全稱是Content Delivery Network,即內容分發網絡。CDN是構建在現有網絡基礎之上的智能虛擬網絡,依靠部署在各地的邊緣服務器,通過中心平臺的負載均衡、內容分發、調度等功能模塊,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率。CDN的關鍵技術主要有內容存儲和分發技術。CDN能夠根據設置的緩存策略緩存JavaScript腳本,css樣式表,圖片,圖標,Flash等資源,這些資源的訪問頻率很高,將其緩存在CDN可以極大地提高網站的訪問速度。

  1. 使用堡壘機隔離系統運行環境是最基礎的保證運行環境安全的方法;通過限制訪問網絡的方式限制非運營人員訪問管理后臺能最大程度保證系統的安全性。

堡壘機,即在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、及時處理及審計定責。其從功能上講,它綜合了核心系統運維和安全審計管控兩大主干功能,從技術實現上講,通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。目前的開源堡壘機方案有很多,目前做的較好的諸如有CrazyEye、Teleport、Jumpserver、GateOne、麒麟開源堡壘機等

  1. 在以前結構下,當數據庫服務器或者應用服務器宕機時,必定會導致服務不可用。所以我們必須讓WEB服務和數據庫服務高可用,因此我們針對WEB服務做負載均衡和集群,對數據庫服務器做雙機熱活。

負載均衡,英文名稱為Load Balance,其含義就是指將負載(工作任務)進行平衡、分攤到多個操作單元上進行運行,例如FTP服務器、Web服務器、企業核心應用服務器和其它主要任務服務器等,從而協同完成工作任務。

負載均衡構建在原有網絡結構之上,它提供了一種透明且廉價有效的方法擴展服務器和網絡設備的帶寬、加強網絡數據處理能力、增加吞吐量、提高網絡的可用性和靈活性。負載均衡一般有的實現方式有軟件和硬件兩種方式;軟件有:Nginx 、Haproxy 、Lvs等,硬件有:F5、A10、Redware等。

其次,需要在系統維護過程中加入正常的日常維護,安全防護等。

通過“代碼安全掃描”、“Sql注入檢測”、“跨站請求攻擊漏洞檢測”、“網站病毒掃描”、“服務器安裝防病毒軟件”、“網絡訪問策略完善”、“滲透測試”等工作來對整個系統的代碼做安全檢測,來盡可能發現系統存在的安全漏洞。

實施:實時響應、高效執行是提供優質服務的基礎保障

正如開始我們預料到到的一樣,通過工具掃描發現系統中存在大量的后門程序;大約兩百多個代碼文件是有安全漏洞或直接是木馬程序。

木馬文件

專業的工具,多次的清理、檢測讓我們在代碼安全上有了信心。同時也證明一個不專門維護的系統是很容易被不法分子入侵、掛馬。

滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。常用的滲透測試工具有:Nmap、Wireshark、Metasploit、Airecrack-ng、Burp Suite、SqlMap、THC HYdra等。

SQL注入是將Web頁面的原URL、表單域或數據包輸入的參數,修改拼接成SQL語句,傳遞給Web服務器,進而傳給數據庫服務器以執行數據庫命令。如果Web應用程序的開發人員對用戶所輸入的數據或cookie等內容不進行過濾或驗證(即存在注入點)就直接傳輸給數據庫,就可能導致拼接的SQL被執行,獲取對數據庫的信息以及提權,發生SQL注入攻擊。

CDN的效果往往令人欣喜,良好的網頁打開速度也讓客戶更加的信任我們團隊,而信任更是良好合作的基礎條件,我們像是一個團隊一樣在保證著整個系統的穩定運行。

CPU用量.jpg

訪問統計分析是網站運營的基礎工作之一,通過訪問數據分析、制定相應的運營策略,持續的訪問統計分析給客戶運營工作提供了有效的依據。

流量統計.jpg

以消費者為中心、以技術為基礎保障,讓運營高效強有力。

在互聯網時代下,良好的用戶體驗、服務體驗一直是企業競爭力的體現,這必然要求系統能持續穩定的給用戶提供服務,所以企業更應該防患于未然、未雨綢繆。運營的多樣性必然需要系統支持這種多樣性,這就必然會涉及到技術對網站運營工作的支持,及時的技術響應、高效的技術執行成為影響運營工作的重要因素。所以一個專業的、可信的、有良好服務意識的團隊在技術層面協助、保證運營工作的開展,同時保障系統的穩定性、安全性、穩健性等。

回到稻殼首頁

掃一掃,微信咨詢

請留下需求和聯系方式,我們即刻為您準備方案

提交成功

免費服務熱線4008-228-408

掃一掃,微信咨詢

龙王捕鱼破解