Download presentation
Presentation is loading. Please wait.
1
HTTPS改造项目 阿里技术保障部-PE1部-千山 2014/9/18
2
背景 数据安全风险 HTTP明文传输 数据爬虫 数据监听 数据篡改
3
解决方法 HTTP ==> HTTPS 数据传输加密 提高爬虫门槛 避免数据监听 防止数据篡改
4
页面改造 页面分析 找出要改造的链接 找出下游依赖应用 改造内容 URL头: ==> // 域名替换 CDN 应用
5
img src CDN图片链接 imgxxx.tbcdn.cn 应用接口 /static
6
script src Assets – CDN css js 应用接口 json jsonp
7
iframe src 后端应用 img src script src iframe src
8
其它 javascript调用
9
兜底方案 获取分析结果 生成替换规则-nginx配置 nginx渲染时自动替换
10
CDN做什么 同时支持http/https 域名映射规则 域名 源站 Vip member 备注 操作 a.tbcdn.cn
assets00[2-4].cm10 /home/admin/cai/htdocs/assets 改为assets.alicdn.com g.tbcdn.cn /home/admin/cai/htdocs/assets/g 改为g.alicdn.com assets.taobaocdn.com Trip.taobaocdn.com N/A CDN上不存在 at.alicdn.cn不存在 at.alicdn.com OSS at.alicdn.cn不存在,应为笔误 源不同,无法合并,单独一个域名,或者把assets源都迁到OSS 暂时做不了,保持at.alicdn.com img.taobaocdn.com img0[1-8].taobaocdn.com VIP of imgsrc/TFS Imgsrc/TFS 合成一个gtd.alicdn.com,表示graphictrade gtms*.alicdn.cn gtms0[1-4].alicdn.com 原文中alicdn.cn不存在,应为笔误 pics.taobaocdn.com gsnapshot.alicdn.cn gsnapshot.alicdn.com i.mmcdn.cn
11
PE做什么 页面分析 兜底方案配置 跟进前端/开发改造 推动下游应用改造 其它 VIP 443申请/新域名申请 证书申请
HTTPS集群/日志服务器部署
12
前端做什么 vm中src属性的URL协议头&域名替换 vm vmcommon Javascript调用中的URL协议头&域名替换 js
13
开发做什么 渲染到vm中src属性的变量的URL协议头&域名替换 Diamond XML vm Java
14
HTTPS/HTTP容灾切换 https接入集群 主应用 下游应用 CDN https模式:80端口302到https
http模式:80端口正常服务 主应用 URL去除协议头://:兼容http和https 下游应用 同时支持http&https CDN
15
trademanager部署架构
16
trademanager部署架构 CM3+CM4: 10台 N.ET2+S.ET2: 10台 HTTPS接入集群容量:20*5000=10w
HTTPS接入集群带宽:20*1Gb=20Gb trademanager流量:7w QPS trademanager带宽:7w*(30k+10k)=2.8GB=22.4Gb
17
Q&A -THE END-
Similar presentations