服务部署常见概念

服务打包好后，需要将其在公司内部环境、公有云、私有云等地方进行部署。而不同的公司对这些云服务都有不同的安全策略，需要分别处理。

公有云和私有云

公有云是放在阿里云/腾讯云/华为云/AWS上的云服务。代码和数据都放在托管的服务中，使用的也是服务提供商的物理机。而私有云是公司自己的云服务，所有的云服务均跑在公司本地的机房上。一般而言，公有云更方便，私有云更安全。

公有云的 IP 地址由云服务提供商直接给，而私有云则需要移动/联通/电信等运营商分配 IP 地址。获得 IP 地址后，可以到域名解析商（阿里云/cloudflare/电信/谷歌）购买域名并进行域名解析。

安全措施

无论是公有云还是私有云，都不能让外部人员随便 ssh 进去，因此需要进行各种限制措施。

IP 白名单

只有特定 IP 的机子才能进入里面。该方法适合作为最外层的防护，也是后续很多防护措施的基础。一般的 ECS 的 IP 白名单都是通过控制面板的安全组策略来实现放行的。

VPN

通过 IP 白名单限制后，只有内网和指定 IP 的外网地址才能 ssh 进入。不是内网的用户想要进入内网中 ssh 相应的机器，就需要 VPN 进行链接。这是除了翻墙之外，VPN 最广泛的用途。

跳板机与堡垒机

除了 VPN，为了访问内网的资源，还可以部署一台可以链接内外网的跳板机。外网的人员只有进入到这台跳板机当中，才能进入到指定的内网环境中。这台机子的构造可以很简单，简单到没有权限控制、没有操作记录与审计，只要拿到账号密码 ssh 进去，就能进入到内网之中。

而复杂到一定程度后，就称为堡垒机了。堡垒机拥有强大的记录功能，并且统一入口，统一权限，支持各种赋权操作，允许不同权限的用户访问不同数量的服务器。

这些机子起到了网关的作用，以防止外网的用户 ssh 或通过其他途径进入到公司内部环境中。一般生产环境下几种手段往往相互配合，比如，只有连上 VPN 的机子才能进堡垒机。

开发流水线

一般的服务从开发到生产，往往需要经历以下几次部署

1. 开发环境
   在自己的 web 接入区上部署，用于自己测试以及前后端，不同服务间联调。
2. 测试环境
   对初具规模的服务进行功能测试，并修复 bug。
3. 预发/仿真环境
   其实仍然是测试环境，但其架构、配置、链路和生产环境完全一样，是生产环境的预演。此时开始小规模上线使用
4. 生产环境
   正式上线使用。