HTTPS改造项目 阿里技术保障部－PE1部－千山 2014/9/18.

Presentation on theme: "HTTPS改造项目 阿里技术保障部－PE1部－千山 2014/9/18."— Presentation transcript:

1 HTTPS改造项目 阿里技术保障部－PE1部－千山 2014/9/18

2 背景 数据安全风险 HTTP明文传输 数据爬虫 数据监听 数据篡改

3 解决方法 HTTP ==> HTTPS 数据传输加密 提高爬虫门槛 避免数据监听 防止数据篡改

4 页面改造 页面分析 找出要改造的链接 找出下游依赖应用 改造内容 URL头： ==> // 域名替换 CDN 应用

5 img src CDN图片链接 imgxxx.tbcdn.cn 应用接口 /static

6 script src Assets – CDN css js 应用接口 json jsonp

7 iframe src 后端应用 img src script src iframe src

8 其它 javascript调用

9 兜底方案 获取分析结果 生成替换规则－nginx配置 nginx渲染时自动替换

10 CDN做什么 同时支持http/https 域名映射规则 域名 源站 Vip member 备注 操作 a.tbcdn.cn
assets00[2-4].cm10 /home/admin/cai/htdocs/assets 改为assets.alicdn.com g.tbcdn.cn /home/admin/cai/htdocs/assets/g 改为g.alicdn.com assets.taobaocdn.com Trip.taobaocdn.com N/A CDN上不存在 at.alicdn.cn不存在 at.alicdn.com OSS at.alicdn.cn不存在，应为笔误 源不同，无法合并，单独一个域名，或者把assets源都迁到OSS 暂时做不了，保持at.alicdn.com img.taobaocdn.com img0[1-8].taobaocdn.com VIP of  imgsrc/TFS Imgsrc/TFS 合成一个gtd.alicdn.com，表示graphictrade gtms*.alicdn.cn gtms0[1-4].alicdn.com 原文中alicdn.cn不存在，应为笔误 pics.taobaocdn.com gsnapshot.alicdn.cn gsnapshot.alicdn.com i.mmcdn.cn

11 PE做什么 页面分析 兜底方案配置 跟进前端/开发改造 推动下游应用改造 其它 VIP 443申请/新域名申请 证书申请
HTTPS集群/日志服务器部署

12 前端做什么 vm中src属性的URL协议头＆域名替换 vm vmcommon Javascript调用中的URL协议头＆域名替换 js

13 开发做什么 渲染到vm中src属性的变量的URL协议头＆域名替换 Diamond XML vm Java

14 HTTPS/HTTP容灾切换 https接入集群 主应用 下游应用 CDN https模式：80端口302到https
http模式：80端口正常服务 主应用 URL去除协议头：//:兼容http和https 下游应用 同时支持http&https CDN

15 trademanager部署架构

16 trademanager部署架构 CM3+CM4: 10台 N.ET2+S.ET2: 10台 HTTPS接入集群容量：20*5000=10w
HTTPS接入集群带宽：20*1Gb=20Gb trademanager流量：7w QPS trademanager带宽：7w*(30k+10k)=2.8GB=22.4Gb

17 Q&A -THE END-