阿里云系统部署备忘录

系统上云需求

需求为类互金行业，有一套系统作为数据接入前置系统需对接各个渠道的数据，有联机和文件交互，整个系统需要部署在阿里云金融云上，由于等保要求四级，数据传输必须考虑安全性同事兼顾带宽，数据不能走公网，云上资源运维要求可以审计及安全管控。

系统部署设计

金融云上部署系统，走专线到公司内部IDC的DMZ区，DMZ区安装堡垒机进行云上资源的运维，并建立运维规范和机房规范；
数据传输上进行非对称加密并进行压缩传输，传输协议采用SFTP和HTTPS，对数据本身的安全等级需求按国家对个人、企业数据安全要求进行数据等级方面的设计，避免数据泄漏产生法律方面的问题；
调用链上进行单向的设计，渠道系统被云上系统调用，再被公司内网调用，反向不对外暴露接口，无法主动调用；

阿里云基础设施

金融云认证

1、需以企业进行金融云进行申请及通过金融云的认证；
https://help.aliyun.com/document_detail/29856.html?spm=5176.12202034.0.0.2c19ad1215w0kV

2、购买ECS、RDS、SLB
注意网络类型上经典网络和VPC的区别，需确认现有网络的类型避免出现网络无法打通的问题，相关网络解决方案资料可参考classic link、高速通道
https://help.aliyun.com/document_detail/44848.html?spm=5176.11065259.1996646101.searchclickresult.57b5658cljofrB

3、购买专线
需对接阿里云商务后者阿里云的合作伙伴进行购买，价格有所差异，后者整体比较省事，但价格贵，相当于多了一道中间商，建议自己谈电信供应商和阿里云；

外部组网

云企业网ECS

为打通与外部渠道的网络，推进用ECS方式进行组网，另一个方案作为备选；

云企业网组网-3.jpg

运维审计

为提高运维的规范和安全性，进行堡垒机的设置，可以购买专用厂商的，也可以购买阿里云的云盾堡垒机，相比较专营的堡垒机厂商功能更强大。