Quantum Health是一家美國(guó)的醫(yī)保機(jī)構(gòu)，為美國(guó)各地的公共和私人雇主中需要自行投保的雇員提供服務(wù)，指導(dǎo)他們完成復(fù)雜的醫(yī)療流程。其客戶(hù)主要來(lái)自自籌資金的大型組織，Quantum Health為這些組織的雇員提供優(yōu)質(zhì)的醫(yī)療服務(wù)。為了更好地管理數(shù)百個(gè)SSL/TLS證書(shū)，Quantum Health選擇了NGINX Plus作為應(yīng)用交付解決方案，從而實(shí)現(xiàn)證書(shū)管理流程的自動(dòng)化，并且獲得了更好的可視性和全面的指標(biāo)分析。由于NGINX Plus支持零宕機(jī)維護(hù)，Quantum Health的業(yè)務(wù)連續(xù)性也得到了可靠保障。

借助NGINX Plus管理SSL/TLS證書(shū)

Quantum Health解決方案的關(guān)鍵組件之一就是門(mén)戶(hù)網(wǎng)站。通過(guò)這個(gè)門(mén)戶(hù)網(wǎng)站，會(huì)員可以管理他們的帳戶(hù)、查看報(bào)銷(xiāo)狀態(tài)并進(jìn)行相關(guān)活動(dòng)。Quantum Health會(huì)為每個(gè)客戶(hù)托管并部署一個(gè)具有唯一域名的獨(dú)特門(mén)戶(hù)網(wǎng)站。雖然每個(gè)客戶(hù)都有一個(gè)單獨(dú)的域空間，其實(shí)所有的站點(diǎn)共用同一個(gè)代碼庫(kù)，其中包含了針對(duì)每個(gè)客戶(hù)的定制化內(nèi)容。與每個(gè)客戶(hù)都有一個(gè)獨(dú)立的站點(diǎn)相比，這種方案更有助于簡(jiǎn)化維護(hù)操作。

最初，Quantum Health的IT基礎(chǔ)架構(gòu)團(tuán)隊(duì)管理兩個(gè)SSL/TLS證書(shū)，通過(guò)使用主題備用名稱(chēng) (SAN)字段，每個(gè)證書(shū)最多可支持100個(gè)客戶(hù)域。然而，Quantum Health希望摒棄這種模式。因?yàn)楣蚕碜C書(shū)的模式使得查看證書(shū)所保護(hù)的所有的域變?yōu)榭赡?，即其他人有可能看到Quantum Health的客戶(hù)名單。為此，Quantum Health決定轉(zhuǎn)向?yàn)槊總€(gè)客戶(hù)域提供獨(dú)立證書(shū)的模式，從而在確保系統(tǒng)安全性的同時(shí)也保護(hù)客戶(hù)的隱私。然而，在實(shí)施新方法的過(guò)程中，Quantum Health的Web服務(wù)器 Microsoft IIS 遇到了一個(gè)障礙——如果IIS要為每個(gè)域部署一個(gè)證書(shū)，那么IT團(tuán)隊(duì)必須為每個(gè)客戶(hù)都創(chuàng)建一個(gè)相同的后端服務(wù)器。因此，公司的IT基礎(chǔ)架構(gòu)團(tuán)隊(duì)開(kāi)始不斷尋找能夠使操作流程更順暢的方法，從而可以大規(guī)模地管理SSL/TLS證書(shū)。

根據(jù)之前參與的個(gè)人項(xiàng)目和在Gogo的工作經(jīng)驗(yàn)，Quantum Health公司IT基礎(chǔ)架構(gòu)經(jīng)理Rick Breidenstein對(duì)NGINX和NGINX Plus已經(jīng)非常熟悉。NGINX Plus基于開(kāi)源NGINX軟件進(jìn)行了擴(kuò)展，不僅增加了高級(jí)功能，還提供屢獲殊榮的支持服務(wù)，從而得以提供完整的應(yīng)用交付解決方案。

Breidenstein表示：“我們正在轉(zhuǎn)向?yàn)槊總€(gè)網(wǎng)站部署單個(gè)證書(shū)的模式，每個(gè)域都有自己的唯一證書(shū)，這意味著我們從管理兩個(gè)證書(shū)轉(zhuǎn)向管理數(shù)百個(gè)證書(shū)。通過(guò)證書(shū)管理流程的自動(dòng)化來(lái)減少管理開(kāi)銷(xiāo)，對(duì)于我們擴(kuò)大規(guī)模非常重要”，并且 Breidenstein還表示，“輕松管理SSL/TLS證書(shū)是Quantum Health選擇NGINX Plus的最初原因，除此之外，NGINX Plus還為我們提供了高可用性以及在白天執(zhí)行系統(tǒng)維護(hù)任務(wù)的靈活性，即無(wú)需停機(jī)或中斷面向客戶(hù)的服務(wù)就能實(shí)現(xiàn)系統(tǒng)維護(hù)”。

實(shí)現(xiàn)最后一英里的站點(diǎn)安全

Quantum Health使用一對(duì)具有高可用性的NGINX Plus實(shí)例保護(hù)其應(yīng)用安全

Quantum Health在其私有云中的Microsoft IIS前面部署了一對(duì)具有高可用性 (HA) 的NGINX Plus實(shí)例，用于處理SSL/TLS卸載。借助NGINX Plus，Quantum Health可以達(dá)成每個(gè)客戶(hù)提供單獨(dú)的SSL/TLS證書(shū)的目標(biāo)，同時(shí)還可維持只使用單個(gè)后端應(yīng)用的架構(gòu)。實(shí)現(xiàn)這個(gè)效果的方式是在NGINX Plus中指定多個(gè)虛擬服務(wù)器，每個(gè)客戶(hù)域都對(duì)應(yīng)一臺(tái)虛擬服務(wù)器，同時(shí)讓每個(gè)虛擬服務(wù)器代理都指向同一個(gè)后端服務(wù)。另外，針對(duì)來(lái)自同一IP地址端口所對(duì)應(yīng)的不同客戶(hù)域，NGINX Plus使用服務(wù)器名稱(chēng)指示 (SNI) 來(lái)對(duì)其進(jìn)行區(qū)分。

通過(guò)將NGINX Plus作為處理SSL/TLS卸載的代理，Quantum Health能夠通過(guò)一個(gè)應(yīng)用支持所有客戶(hù)域，并通過(guò)為每個(gè)客戶(hù)提供單獨(dú)的證書(shū)而提高安全性。

Breidenstein說(shuō)道：“我們之前所有SSL/TLS站點(diǎn)的SSL實(shí)驗(yàn)室評(píng)分都為B。NGINX Plus使我們能夠調(diào)整相關(guān)配置，并將分?jǐn)?shù)從B提高到A。NGINX Plus 讓我們能夠順利通過(guò)這最后一英里。”

可見(jiàn)性和指標(biāo)分析得到增強(qiáng)

借助NGINX Plus，Quantum Health的IT團(tuán)隊(duì)具備了從未有過(guò)的更深入的分析能力。由于IIS由web團(tuán)隊(duì)支持，在安裝 NGINX Plus 以前，Breidenstein的團(tuán)隊(duì)不得不向同事尋求信息，例如請(qǐng)求和連接的數(shù)量，以及在需要中斷時(shí)關(guān)閉系統(tǒng)的最佳時(shí)間。

Breidenstein解釋說(shuō)：“自從安裝了NGINX Plus，我的團(tuán)隊(duì)擁有了前所未有的可見(jiàn)性。我們能夠獲得NGINX Plus的訪(fǎng)問(wèn)日志，并將其發(fā)送到Sumo Logic來(lái)收集大量指標(biāo)。例如，我們可以看到有多少404錯(cuò)誤、404錯(cuò)誤最多的域，以及其他更多信息?；旧螻GINX Plus訪(fǎng)問(wèn)日志中的所有數(shù)據(jù)都可以在Sumo Logic中進(jìn)行分析。在擁有這些數(shù)據(jù)之前，當(dāng)我們有需要影響服務(wù)的事件時(shí)，我們必須依賴(lài)另一個(gè)團(tuán)隊(duì)來(lái)告訴我們何時(shí)可以關(guān)閉系統(tǒng)?，F(xiàn)在，我們可以自己回答這個(gè)問(wèn)題并做出靠譜的決定，從而支持不斷增長(zhǎng)的業(yè)務(wù)。”

與此同時(shí)，Quantum Health也在使用NGINX Amplify。Breidenstein表示：“通過(guò)NGINX Amplify，我能看到活動(dòng)連接的數(shù)量和系統(tǒng)負(fù)載等一些關(guān)鍵指標(biāo)，這樣，我們就不會(huì)遇到任何處理容量問(wèn)題。任何時(shí)候，我都可以看到活躍客戶(hù)的平均數(shù)量是150個(gè)，每天總點(diǎn)擊量為400,000次。通過(guò)NGINX Amplify，我們發(fā)現(xiàn)自己還遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到CPU和內(nèi)存的極限。”并且Breidenstein還補(bǔ)充道：“我認(rèn)為，NGINX Plus沒(méi)有帶來(lái)任何限制來(lái)阻礙我們贏得更多客戶(hù)并持續(xù)擴(kuò)展業(yè)務(wù);在這過(guò)程中使用 NGINX Plus，我們不必?fù)?dān)心業(yè)務(wù)會(huì)突然中斷。”

NGINX Amplify允許輕松訪(fǎng)問(wèn)關(guān)鍵指標(biāo)，有助于應(yīng)用監(jiān)控

通過(guò)自動(dòng)化更智能地開(kāi)展工作

Breidenstein的目標(biāo)是實(shí)現(xiàn)NGINX Plus的自動(dòng)化部署，讓不熟悉NGINX Plus或Linux的員工也能夠部署新代碼。

借助于Python腳本、用于證書(shū)管理的Lemur和Rundeck編排器，Breidenstein全面實(shí)現(xiàn)了NGINX Plus的自動(dòng)化部署，為Web開(kāi)發(fā)人員提供了一個(gè)用于輕松部署新站點(diǎn)的自助服務(wù)門(mén)戶(hù)。

現(xiàn)在，開(kāi)發(fā)人員只需插入幾個(gè)變量并在Rundeck的測(cè)試區(qū)域生成一個(gè)配置文件，就可以部署一個(gè)新站點(diǎn)。只需要單擊一個(gè)按鈕，Rundeck就可以將新配置和SSL/TLS證書(shū)從測(cè)試區(qū)域部署到生產(chǎn)環(huán)境中的兩個(gè)NGINX Plus代理，以便它們能保持同步。在將配置推送到生產(chǎn)環(huán)境后，新站點(diǎn)就可以上線(xiàn)。

Quantum Health使用SVN來(lái)幫助控制對(duì)NGINX Plus配置文件的更改，以便團(tuán)隊(duì)在需要排除故障時(shí)可以看到這些更改。

專(zhuān)業(yè)服務(wù)和支持服務(wù)助您擺脫遷移煩惱

選擇NGINX Plus后，Quantum在兩周內(nèi)完成了從決策到部署的過(guò)程。這中間需要大量的咨詢(xún)和講解，而NGINX的專(zhuān)業(yè)服務(wù)團(tuán)隊(duì)使這一遷移過(guò)程變得輕松很多。

在遷移期間，Breidenstein與NGINX的一名專(zhuān)職的專(zhuān)業(yè)服務(wù)工程師通力合作，他表示：“NGINX的專(zhuān)業(yè)服務(wù)團(tuán)隊(duì)精通業(yè)務(wù)并提供了極大的幫助，與我一起工作的工程師非常善于溝通，并向我介紹了遷移過(guò)程的相關(guān)知識(shí)，因此我能夠在這個(gè)過(guò)程中不斷學(xué)習(xí)。NGINX為我們提供了寶貴的支持，我建議在未來(lái)的更多項(xiàng)目中借助NGINX的專(zhuān)業(yè)服務(wù)。

遷移完成以后，Quantum Health還沒(méi)有再次需要技術(shù)支持的情況。但技術(shù)支持是被包括在NGINX Plus中的，這是Quantum Health早期選擇NGINX Plus的一個(gè)關(guān)鍵因素。Breidenstein指出：“如果出現(xiàn)什么問(wèn)題，我不想獨(dú)自面對(duì)。NGINX Plus是我唯一的選擇，因?yàn)槲倚枰獙?zhuān)家的支持作為強(qiáng)大后盾。”

為未來(lái)奠定堅(jiān)實(shí)的基礎(chǔ)

轉(zhuǎn)向NGINX Plus解決了當(dāng)前的SSL/TLS和部署問(wèn)題，同時(shí)，這也幫助Quantum Health為實(shí)現(xiàn)未來(lái)的增長(zhǎng)做好了準(zhǔn)備。隨著Quantum Health引入新客戶(hù)并建立新的Web門(mén)戶(hù)，NGNIX Plus為Quantum Health提供了堅(jiān)實(shí)的架構(gòu)基礎(chǔ)，使其比以前更容易擴(kuò)展。Breidenstein表示： “NGINX Plus使我們能夠支持更多客戶(hù)，而不必改變后端配置。”

由于Quantum Health的架構(gòu)是為高可用性而設(shè)計(jì)的，因此能夠在任何時(shí)候執(zhí)行站點(diǎn)維護(hù)而無(wú)需中斷對(duì)客戶(hù)的服務(wù)。

最后，隨著流量的增加，NGINX Plus為Quantum Health提供了負(fù)載均衡功能，使Quantum Health能夠進(jìn)行擴(kuò)展并處理比當(dāng)前多幾倍的吞吐量。最終NGINX Plus將成為Quantum Health的前端負(fù)載均衡器以支持多個(gè)上游后端服務(wù)器。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。

關(guān)鍵詞：