LeapCloud商领云后台服务设计

概述

整个后台服务构建于亚马逊 AWS 和 MaxLeap PaaS 平台之上，具有安全、可靠、可扩展的特性。同时获得ISO20000信息技术管理和ISO27001信息安全管理两项国际认证。

层级架构图如上所示。

“IaaS层”使用亚马逊的AWS。AWS在全球公有云市场排名第一，在新推出的“全球云基础设施即服务魔力象限”（2016 年 8 月）中，Gartner Research 将 Amazon Web Services 定位在“领导者象限”中。目前在中国北京有两个可用区，未来会推出宁夏等多个可用区。

“数据存储层”包含MySQL RDBMS集群，MongoDB NoSQL集群，Hadoop分布式文件系统，AWS S3等存储服务。均采用高可用方式部署，每个数据节点确保有两个以上可用区的服务同时可用，其中S3提供高达99.999%的SLA。

“缓存和中间件层”包含数据缓存的集群，数据库和NoSQL中间件，消息队列等服务。缓存集群用于提升数据访问的速度，降低对底层数据库的访问压力。中间件用于对数据库和NoSQL集群进行路由和管控。消息队列为推送、IM、统计分析等功能提供支持。

“基础服务层”在MaxLeap平台中实现，构建出了支付、即时通信、推送、统计分析、云参数配置、流媒体、云容器等基础PaaS服务。所有服务支持水平扩容、高可用、跨机房部署。

“业务层”是LeapCloud商领云平台的核心实现，提供电商、直播、社交、论坛、分销、预定等功能。所有服务支持水平扩容、高可用、跨机房部署。

“接入层”是商领云平台所有流量的入口，所有流量的分发、负责均衡、反向代理、安全处理在这一层处理。所有服务支持水平扩容、高可用、跨机房部署。

整体设计

多租户

多租户场景常见于SaaS平台，其是指于多用户的环境下共用相同的系统或程序组件，并且仍可确保各用户间数据的隔离性。在商领云平台中，每一个商户对应一个租户，虽然多个商户共享商领云的公共服务，但是商领云通过技术手段和加密措施，确保商户之间数据的完全隔离。

数据隔离

默认隔离级别

商领云平台用到两种类型的数据库。RDBMS数据库存储订单、支付、会员等结构化要求高，同时需要ACID特性以及事务支持的数据；NoSQL数据库存储非结构化，没有事务要求，同时访问量比较大的数据。两种类型的数据库都做了隔离处理,确保每个租户有独立的库，每个商户的数据表和数据完全保存于自己的数据库。

更高隔离级别

默认隔离级别已经能保障租户的数据安全，数据在物理上隔离。同时，平台也为有更严格安全策略需求的租户提供的更高级别的隔离方案。

权限隔离

商领云在确保数据物理隔离的同时，对数据的访问权限也进行了隔离。确保每个租户有独立的数据访问权限，这个权限仅有租户自己可以获取。

性能保证

商领云会确保每个商户的网络请求速度和数据访问性能，对于小型商户采用共享公共资源的方式，但是对于中、大型商户会独享CPU、内存等资源。下图中的商户A、B、C属于小型商户，中、大型商户D和E会部署独享的资源。

弹性可扩容

访问量扩容

商领云的数据请求到达服务器后，从接入层、业务层、数据访问层、到数据缓存、数据存储层，每一层都弹性可扩容。确保商户在访问量不断增加、商业规模不断扩大时，商户的业务一切正常。

数据量扩容

商领云的商户在规模小的时候，使用共享的数据库主机资源，通过代理层控制数据请求的服务器，规模慢慢扩大后，使用独立的主机资源，平台会帮商户实现数据的平滑迁移。商领云在数据代理层实现了数据访问路由，鉴权，Metrics采集，流控能力，能够支持共享、独享、定制多种部署模式支持迁出。

功能可扩展

开放API

商领云API1.0版本目前已经正式对外开放。API提供商品管理、订单管理和会员管理等服务，使用这些API可以快速和自有系统进行数据对接。

安全性

数据安全

物理隔离，商户数据分库存储

在多租户设计中已经详细介绍，在此不赘述。

权限隔离，商户数据权限独立

在多租户设计中已经详细介绍，在此不赘述。

数据容灾

商领云针对RDBMS和NoSQL的数据均支持 7 * 24 小时的实时增量备份和每天的全量备份，确保用户数据万无一失。

服务安全

访问鉴权

商领云采用RBAC（基于角色的访问控制）进行访问鉴权。权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。遵循RBAC的最小权限原则，责任分离原则和数据抽象原则。

支持更安全的服务独享部署

商领云默认采用共享主机方式（多租户）部署用户的服务，对于更高安全需求的商户可以采用独享主机资源的部署方式，商户D和E会采用独享主机资源的方式部署。

网络安全

请求加密Https

商领云所有的请求均采用https协议，利用SSL/TLS来对数据包进行加密，即使http请求被抓包，也无法破解出报文内容。

防火墙

商领云所有的主机和子网均开启防火墙，为主机和子网规划严格的网络进出规则。普通数据、核心数据、普通服务、核心服务、公共服务等不同的安全级别进行严格区分。

VPC

商领云在AWS环境上构建了VPC虚拟专用网。设置安全组，关联所有主机的防火墙，可在实例级别控制入站和出站的数据流；设置网络访问控制列表 (ACL)，作为关联子网的防火墙，在子网级别控制入站和出站数据流；开启流日志 - 捕获VPC中传入和传出网络接口的IP流量的信息，确保网络安全。

可靠性

存储高可用

RDBMS 高可用规划

用户存储在RDBMS系统的数据都按照下图的高可用方式部署，主节点负责正常的数据处理，同时会有两个备份节点负责和主节点的数据进行同步。确保用户数据的高可用性，即使一个节点出问题也不会影响整个RDBMS数据库的正常访问。

RDBMS监控服务监控到异常情况时，会立刻调整RDBMS集群到可用状态，并确保数据的完整性。

NoSQL 高可用规划

每一份用户存储在NoSQL系统的数据都按照下图的高可用方式部署，NoSQL主节点负责正常的数据处理，同时会有一个备份节点负责和主节点的数据进行同步，另外还有一个仲裁节点负责参与异常情况下的处理。确保用户数据的高可用性，即使一个节点出问题也不会影响整个NoSQL数据库的正常访问。

极端异常情况发生时，NoSQL集群会立刻发现问题，同时自动恢复可用状态。

服务高可用

商领云所有的服务模块，比如电商、设计、支付等，都会同时有2个以上的主机在运行，并且部署在2个以上可用区，确保在突发状况下所有服务仍可正常运行。