技术干货｜如何在企业内部实现云信私有化？

网易数智

于 2020-03-27 11:30:00 发布

阅读量423

点赞数

文章标签：网络分布式 nginx docker 运维

本文链接：https://blog.csdn.net/netease_im/article/details/110049516

版权

导读：在信息安全愈发重要的今天，企业越来越重视和业务有关的数据，视其为企业的生命线，云信针对这一特点专门构建了一整套私有化方案，并且在多家行业龙头企业内部稳定运行，成为企业内部发展的助推器。本文将从为何企业要做私有化、云信私有化的架构、云信私有化的部署运维三个方面来阐述云信私有化的实现和优点。

为什么要做私有化？

和公有云相比，私有化有以下优势：

1. 企业对数据、安全性具有实际有效控制

私有化部署在企业数据中心的防火墙内，也可以部署在一个安全的主机托管场所，和外界无接触。所有的节点均自主可控。

2. 服务质量可控

整个服务的SLA均和企业自身的数据中心相关，企业内部访问私有化服务基本上无网络延迟，SLA更加稳定可靠，服务体验更好。

3. 充分利用现有的硬件资源

云信私有化可以重复使用企业现有的硬件资源。比如底层数据库可以复用MySQL，负载均衡可以复用F5等，避免资源浪费，节约企业成本。

4. 可与现有系统有效交互

在企业内部，都会有已有的业务系统。在云信私有化中，可与类似OA、监控等企业常用系统有效集成。

业务架构和安全

如上图所示，云信私有化主要分为三部分：

1. NIM-API服务端api，用于第三方服务器调用，可以实现消息广播、系统通知、用户增删改等功能。在调用服务端api时，均需要指定appkey和secret，并混淆加密生成特定md5，服务器校验通过之后方可执行，在管理用户发生secret泄漏等安全问题时，均可在服务端重置相应secret，有效避免API的非法调用。

2. NIM-SDK 客户端SDK，客户端只要集成了云信私有化SDK，即可使用云信私有化所有功能。客户端和服务端之后会建立一条tcp四层长连接，交互内容为云信私有的二进制传输协议，可以保证数据稳定安全的传输交互。

3. 管理平台，云信私有化单独提供了管理控制台。在管理控制台上，企业用户可以动态新增修改应用、新增服务节点、调整云信相关配置、接口频控，还可以查看一系列运营数据。

网络架构

企业内部一般分为内外网(DMZ为内外网缓冲区，常见于银行、军工等安全要求较高的企业)，云信私有化支持内网部署，并且IM和音视频均支持内外网互通，网络拓扑图如下：

1. 云信内外网客户端IM分别走不同的入口，连接同一套服务集群，实现了内外网互通。

2. 云信私有化的音视频服务器地址下发走的是IM信令，音视频服务端集群会根据客户端真实IP来判断客户端的网络环境，针对性的下发音视频服务器的内网或外网地址。此功能需要上图中F5设备(实际中可能为SLB/NGINX)开启IP透传功能。音视频功能使用的为udp四层协议，需要在防火墙上开放相关udp端口。

安装运维

1. 目前云信产品本身涉及的模块众多，技术架构和编程语言不同，依赖的环境和网络也有所区别，因此我们在云信私有化中使用docker来实现各个模块的封装和运行时资源隔离，每个服务均为一个独立的docker镜像。在宿主机上，使用supervisor监控每个docker服务，当某个服务异常时，supervisor会自动将该服务重新拉起；在docker镜像内部，也同样使用supervisor来监控业务。

2. 监控告警层面，云信私有化采用的ELK监控平台，将日志格式化存储，便于用户查询分析。告警使用的elastalert，可动态调整告警规则，触发告警时使用smtp发送告警邮件。

END

你可能还喜欢

点击下方图片即可阅读