• 个人笔记汇总菜单：【熊说星空认证】系统管理员（笔记汇总目录）

• 本节课涉及到的视频链接：12金蝶云星空公有云环境运维：时长26分20秒 (kingdee.com)

• 涉及到论坛上的知识帖：金蝶云性能问题分析思路及流程(公有云) (kingdee.com)

• 主讲老师：金蝶云星空业务运维部-陈华锋老师（老师社区账号huafeng_chen）

• 课程总结：暂无

• 课后思考题：暂无

1.公有云部署架构介绍

1.1从星空产品蓝图、业务架构、技术架构引入

部署在Windows上，中间件为IIS，开发语言：.NET

1.2部署架构：角色与服务

1.3部署架构：云端部署

• 部署在云端：分A、B区的，所以说云端也是按高可用的模式的
  

• 安全性：https加密

• CND：针对部分客户（海外客户、或者网速不是特别快的客户等）

• VPC：虚拟私有云（Virtual Private Cloud）

• ELB：弹性负载均衡（Elastic Load Balance）
  

• WAF：Web应用防火墙（Web Application Firewall）

• 防火墙：WAF第一层防火墙和后续的防火墙有什么区别？

• WAF：进来做了一层防火墙的拦截

• 防火墙（有开通白名单的，不允许VPC随便下载病毒的）：数据出去再经过一层防火墙，数据出去就是调用其他应用服务

• 堡垒机
  

2.公有云安全与可用性

2.1IaaI平台：多云战略

2.2责任分担模型

安全责任共担原则：

• 金蝶云产品安全责任分担原则：客户参与，责任共担

• 金蝶安全责任：金蝶与云服务厂商共同负责云产品基础设置及业务系统的安全控制

• 客户安全责任：

• 应用入口的安全（如登录域名、用户名、密码等）

• 业务数据操作安全

• 二次开发产品及第三方独立产品（若有）的产品与部署安全及使用安全

2.3安全架构

2.3.1基础架构安全

2.3.2数据安全

• TLS：传输层安全性协议（Transport Layer Security）

• 两侧加密：客户到Cloud、Cloud到IaaI

• 备份数据（跨可用区部署）：北京、广州、上海三个数据中心（数据都有备份）

• IAM：身份识别与访问管理（Identity and Access Management）
  

SSL/TLS

2.3.3SaaS应用安全

客户访问http，返回也会是https的地址

2.3.4安全合规

2.3.5可用性

BGP：Border Gateway Protocol（边界网关协议），不管哪个运营商出现问题，会自动切换到备用运营商

• 可用区：可以理解成物理机房

• 部署到不同的可用区

容量不够自动扩容

• 数据库服务：

• 主备高可用模式

• 云厂商的IDS：分别部署在不同的可用区上的，故障发生时会自动切换的

3.日常运维

3.1补丁更新

流程闭环、策略与决策、测试与灰度、客户申请、批量更新

• 区分多租户还是单租户部署

• 一般部署补丁都是放在周末（对客户的使用）

• 多租户：一个客户的补丁的安装会影响到其他客户，管控策略会比单租户严格

3.2数据备份

3.3运维安全