阿里云香港换cn2后安全配置与访问控制实践攻略

1. 概述与目标

- 目标：在阿里云香港节点启用 CN2 线路后，完成安全基线与访问控制，保证业务可达性与抗攻击能力。
- 背景：CN2 对大陆回程有明显优势，常见目的为降低延迟、提升稳定性，但同时需要调整防护策略。
- 风险点：IP 变更、BGP 路由差异、DDoS 防护阈值与白名单需同步更新。
- 输出：提供可执行命令、配置片段与一例真实迁移数据对比。
- 适用对象：中小型网站、API 服务与游戏服运维人员，需具备基本 Linux 操作能力。

2. 迁移前的准备工作

- 备份：快照与数据备份（示例：nvme-1 200GB 快照，mysqldump 全库文件），并保留至少两套快照。
- DNS：降低 TTL 至 60 秒，迁移当天先同步域名解析到临时 IP（预留 24 小时）。
- 白名单与安全组：记录原安全组规则，导出 JSON，以便在新 IP 上重建。
- 测试 IP：向阿里云申请 CN2 公网 IP（示例：预留测试 203.0.113.45），并通过 ping/traceroute 验证路由。
- 流量策略：在切换前设定回滚窗口与监控阈值（例如 5 分钟内错误率 <1%）。

3. 网络与路由实战调优（含数据对比）

- MTU 与 TCP MSS：CN2 回程典型 MTU 1500，若存在隧道需设置 iptables MSS clamping：iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu。
- Keepalive 与 TFO：在 nginx 与内核启用 tcp_keepalive_time=300；可选启用 TCP Fast Open 测试。
- 带宽与限速：样例 ECS：4 vCPU / 8GB / 5Gbps 带宽；若遇突发流量建议启用阿里云 DDoS 高防或流量清洗。
- 延迟对比（真实迁移案例数据）：将流量从新加坡搬到香港 CN2 后的 ping 平均值如下表：

节点	迁移前（新加坡）平均 RTT	迁移后（香港 CN2）平均 RTT
北京客户端	80 ms	32 ms
上海客户端	75 ms	28 ms
广州客户端	70 ms	26 ms

- 路由验证：示例 traceroute（简要）显示 CN2 中间跳数减少并经由 ASN 4134 到达：traceroute -n 203.0.113.45 -> 跳数 8，延迟稳定。

4. 主机安全配置示例

- SSH 强化：/etc/ssh/sshd_config 示例片段：PermitRootLogin no，PasswordAuthentication no，Port 22022，AllowUsers deploy admin。
- 密钥与 2FA：使用 SSH 公钥认证并结合 Google Authenticator 或 LDAP 两步校验。
- 防爆破与自动封禁：fail2ban 示例 jail.local：

[sshd]
enabled = true
port = 22022
maxretry = 5
bantime = 3600

- 防火墙规则（iptables 示例）：

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22022 -s 198.51.100.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -P INPUT DROP

- 文件系统与日志：启用定期审计（auditd），将关键日志同步到异地日志服或阿里云日志服务。

5. 访问控制、WAF 与 CDN 配置要点

- 安全组示例规则：仅开放必需端口（TCP 22022、80、443），并对 SSH 限制源 IP（示例源 IP 列表 203.0.113.0/24、198.51.100.5/32）。
- WAF 策略：启用阿里云 WAF 的常见规则集与自定义黑名单，拦截 SQLi、XSS 与常见扫描。
- CDN 设置：将香港 CN2 实例作为源站，开启回源限速与回源鉴权，配置 origin header 与白名单。
- DDoS 防护：基础防护与按需开启高防（示例阈值：HTTP 请求 2000 qps 或带宽 200 Mbps 为触发条件）。
- 日志与告警：在阿里云监控中设定流量/错误率阈值（例如 5 分钟内 5xx 错误占比 > 2% 触发告警）。

6. 真实案例回顾与故障排查流程

- 案例简介：某电商将主站从新加坡迁移到阿里云香港 CN2，配置 4vCPU/8GB，公网带宽 5Gbps，迁移后峰值并发提升 30%。
- 遇到问题：切换后出现部分地区访问 502，排查发现为 Nginx keepalive 设置过低与后端连接数不足。
- 解决步骤：调整 nginx.conf：worker_connections 10240，keepalive_timeout 65，proxy_connect_timeout 10s，并增大 upstream max_fails。
- 恢复与验证：流量回流 10 分钟内错误率降至 0.3%，并在 24 小时内无异常。
- 回滚策略：保留原新加坡 ECS 72 小时，若错误率持续高于阈值（>2%），立即恢复 DNS 至原 IP 并关闭 CN2 流量。

来源：阿里云香港换cn2后安全配置与访问控制实践攻略