Quantum Health是一家美國的醫(yī)保機(jī)構(gòu)，為美國各地的公共和私人雇主中需要自行投保的雇員提供服務(wù)，指導(dǎo)他們完成復(fù)雜的醫(yī)療流程。其客戶主要來自自籌資金的大型組織，Quantum Health為這些組織的雇員提供優(yōu)質(zhì)的醫(yī)療服務(wù)。為了更好地管理數(shù)百個(gè)SSL/TLS證書，Quantum Health選擇了NGINX Plus作為應(yīng)用交付解決方案，從而實(shí)現(xiàn)證書管理流程的自動(dòng)化，并且獲得了更好的可視性和全面的指標(biāo)分析。由于NGINX Plus支持零宕機(jī)維護(hù)，Quantum Health的業(yè)務(wù)連續(xù)性也得到了可靠保障。

借助NGINX Plus管理SSL/TLS證書

Quantum Health解決方案的關(guān)鍵組件之一就是門戶網(wǎng)站。通過這個(gè)門戶網(wǎng)站，會(huì)員可以管理他們的帳戶、查看報(bào)銷狀態(tài)并進(jìn)行相關(guān)活動(dòng)。Quantum Health會(huì)為每個(gè)客戶托管并部署一個(gè)具有唯一域名的獨(dú)特門戶網(wǎng)站。雖然每個(gè)客戶都有一個(gè)單獨(dú)的域空間，其實(shí)所有的站點(diǎn)共用同一個(gè)代碼庫，其中包含了針對(duì)每個(gè)客戶的定制化內(nèi)容。與每個(gè)客戶都有一個(gè)獨(dú)立的站點(diǎn)相比，這種方案更有助于簡化維護(hù)操作。

最初，Quantum Health的IT基礎(chǔ)架構(gòu)團(tuán)隊(duì)管理兩個(gè)SSL/TLS證書，通過使用主題備用名稱 (SAN)字段，每個(gè)證書最多可支持100個(gè)客戶域。然而，Quantum Health希望摒棄這種模式。因?yàn)楣蚕碜C書的模式使得查看證書所保護(hù)的所有的域變?yōu)榭赡?，即其他人有可能看到Quantum Health的客戶名單。為此，Quantum Health決定轉(zhuǎn)向?yàn)槊總€(gè)客戶域提供獨(dú)立證書的模式，從而在確保系統(tǒng)安全性的同時(shí)也保護(hù)客戶的隱私。然而，在實(shí)施新方法的過程中，Quantum Health的Web服務(wù)器 Microsoft IIS 遇到了一個(gè)障礙——如果IIS要為每個(gè)域部署一個(gè)證書，那么IT團(tuán)隊(duì)必須為每個(gè)客戶都創(chuàng)建一個(gè)相同的后端服務(wù)器。因此，公司的IT基礎(chǔ)架構(gòu)團(tuán)隊(duì)開始不斷尋找能夠使操作流程更順暢的方法，從而可以大規(guī)模地管理SSL/TLS證書。

根據(jù)之前參與的個(gè)人項(xiàng)目和在Gogo的工作經(jīng)驗(yàn)，Quantum Health公司IT基礎(chǔ)架構(gòu)經(jīng)理Rick Breidenstein對(duì)NGINX和NGINX Plus已經(jīng)非常熟悉。NGINX Plus基于開源NGINX軟件進(jìn)行了擴(kuò)展，不僅增加了高級(jí)功能，還提供屢獲殊榮的支持服務(wù)，從而得以提供完整的應(yīng)用交付解決方案。

Breidenstein表示：“我們正在轉(zhuǎn)向?yàn)槊總€(gè)網(wǎng)站部署單個(gè)證書的模式，每個(gè)域都有自己的唯一證書，這意味著我們從管理兩個(gè)證書轉(zhuǎn)向管理數(shù)百個(gè)證書。通過證書管理流程的自動(dòng)化來減少管理開銷，對(duì)于我們擴(kuò)大規(guī)模非常重要”，并且 Breidenstein還表示，“輕松管理SSL/TLS證書是Quantum Health選擇NGINX Plus的最初原因，除此之外，NGINX Plus還為我們提供了高可用性以及在白天執(zhí)行系統(tǒng)維護(hù)任務(wù)的靈活性，即無需停機(jī)或中斷面向客戶的服務(wù)就能實(shí)現(xiàn)系統(tǒng)維護(hù)”。

實(shí)現(xiàn)最后一英里的站點(diǎn)安全

Quantum Health使用一對(duì)具有高可用性的NGINX Plus實(shí)例保護(hù)其應(yīng)用安全

Quantum Health在其私有云中的Microsoft IIS前面部署了一對(duì)具有高可用性 (HA) 的NGINX Plus實(shí)例，用于處理SSL/TLS卸載。借助NGINX Plus，Quantum Health可以達(dá)成每個(gè)客戶提供單獨(dú)的SSL/TLS證書的目標(biāo)，同時(shí)還可維持只使用單個(gè)后端應(yīng)用的架構(gòu)。實(shí)現(xiàn)這個(gè)效果的方式是在NGINX Plus中指定多個(gè)虛擬服務(wù)器，每個(gè)客戶域都對(duì)應(yīng)一臺(tái)虛擬服務(wù)器，同時(shí)讓每個(gè)虛擬服務(wù)器代理都指向同一個(gè)后端服務(wù)。另外，針對(duì)來自同一IP地址端口所對(duì)應(yīng)的不同客戶域，NGINX Plus使用服務(wù)器名稱指示 (SNI) 來對(duì)其進(jìn)行區(qū)分。

通過將NGINX Plus作為處理SSL/TLS卸載的代理，Quantum Health能夠通過一個(gè)應(yīng)用支持所有客戶域，并通過為每個(gè)客戶提供單獨(dú)的證書而提高安全性。

Breidenstein說道：“我們之前所有SSL/TLS站點(diǎn)的SSL實(shí)驗(yàn)室評(píng)分都為B。NGINX Plus使我們能夠調(diào)整相關(guān)配置，并將分?jǐn)?shù)從B提高到A。NGINX Plus 讓我們能夠順利通過這最后一英里。”

可見性和指標(biāo)分析得到增強(qiáng)

借助NGINX Plus，Quantum Health的IT團(tuán)隊(duì)具備了從未有過的更深入的分析能力。由于IIS由web團(tuán)隊(duì)支持，在安裝 NGINX Plus 以前，Breidenstein的團(tuán)隊(duì)不得不向同事尋求信息，例如請(qǐng)求和連接的數(shù)量，以及在需要中斷時(shí)關(guān)閉系統(tǒng)的最佳時(shí)間。

Breidenstein解釋說：“自從安裝了NGINX Plus，我的團(tuán)隊(duì)擁有了前所未有的可見性。我們能夠獲得NGINX Plus的訪問日志，并將其發(fā)送到Sumo Logic來收集大量指標(biāo)。例如，我們可以看到有多少404錯(cuò)誤、404錯(cuò)誤最多的域，以及其他更多信息?；旧螻GINX Plus訪問日志中的所有數(shù)據(jù)都可以在Sumo Logic中進(jìn)行分析。在擁有這些數(shù)據(jù)之前，當(dāng)我們有需要影響服務(wù)的事件時(shí)，我們必須依賴另一個(gè)團(tuán)隊(duì)來告訴我們何時(shí)可以關(guān)閉系統(tǒng)?，F(xiàn)在，我們可以自己回答這個(gè)問題并做出靠譜的決定，從而支持不斷增長的業(yè)務(wù)。”

與此同時(shí)，Quantum Health也在使用NGINX Amplify。Breidenstein表示：“通過NGINX Amplify，我能看到活動(dòng)連接的數(shù)量和系統(tǒng)負(fù)載等一些關(guān)鍵指標(biāo)，這樣，我們就不會(huì)遇到任何處理容量問題。任何時(shí)候，我都可以看到活躍客戶的平均數(shù)量是150個(gè)，每天總點(diǎn)擊量為400,000次。通過NGINX Amplify，我們發(fā)現(xiàn)自己還遠(yuǎn)遠(yuǎn)沒有達(dá)到CPU和內(nèi)存的極限。”并且Breidenstein還補(bǔ)充道：“我認(rèn)為，NGINX Plus沒有帶來任何限制來阻礙我們贏得更多客戶并持續(xù)擴(kuò)展業(yè)務(wù);在這過程中使用 NGINX Plus，我們不必?fù)?dān)心業(yè)務(wù)會(huì)突然中斷。”

NGINX Amplify允許輕松訪問關(guān)鍵指標(biāo)，有助于應(yīng)用監(jiān)控

通過自動(dòng)化更智能地開展工作

Breidenstein的目標(biāo)是實(shí)現(xiàn)NGINX Plus的自動(dòng)化部署，讓不熟悉NGINX Plus或Linux的員工也能夠部署新代碼。

借助于Python腳本、用于證書管理的Lemur和Rundeck編排器，Breidenstein全面實(shí)現(xiàn)了NGINX Plus的自動(dòng)化部署，為Web開發(fā)人員提供了一個(gè)用于輕松部署新站點(diǎn)的自助服務(wù)門戶。

現(xiàn)在，開發(fā)人員只需插入幾個(gè)變量并在Rundeck的測(cè)試區(qū)域生成一個(gè)配置文件，就可以部署一個(gè)新站點(diǎn)。只需要單擊一個(gè)按鈕，Rundeck就可以將新配置和SSL/TLS證書從測(cè)試區(qū)域部署到生產(chǎn)環(huán)境中的兩個(gè)NGINX Plus代理，以便它們能保持同步。在將配置推送到生產(chǎn)環(huán)境后，新站點(diǎn)就可以上線。

Quantum Health使用SVN來幫助控制對(duì)NGINX Plus配置文件的更改，以便團(tuán)隊(duì)在需要排除故障時(shí)可以看到這些更改。

專業(yè)服務(wù)和支持服務(wù)助您擺脫遷移煩惱

選擇NGINX Plus后，Quantum在兩周內(nèi)完成了從決策到部署的過程。這中間需要大量的咨詢和講解，而NGINX的專業(yè)服務(wù)團(tuán)隊(duì)使這一遷移過程變得輕松很多。

在遷移期間，Breidenstein與NGINX的一名專職的專業(yè)服務(wù)工程師通力合作，他表示：“NGINX的專業(yè)服務(wù)團(tuán)隊(duì)精通業(yè)務(wù)并提供了極大的幫助，與我一起工作的工程師非常善于溝通，并向我介紹了遷移過程的相關(guān)知識(shí)，因此我能夠在這個(gè)過程中不斷學(xué)習(xí)。NGINX為我們提供了寶貴的支持，我建議在未來的更多項(xiàng)目中借助NGINX的專業(yè)服務(wù)。

遷移完成以后，Quantum Health還沒有再次需要技術(shù)支持的情況。但技術(shù)支持是被包括在NGINX Plus中的，這是Quantum Health早期選擇NGINX Plus的一個(gè)關(guān)鍵因素。Breidenstein指出：“如果出現(xiàn)什么問題，我不想獨(dú)自面對(duì)。NGINX Plus是我唯一的選擇，因?yàn)槲倚枰獙＜业闹С肿鳛閺?qiáng)大后盾。”

為未來奠定堅(jiān)實(shí)的基礎(chǔ)

轉(zhuǎn)向NGINX Plus解決了當(dāng)前的SSL/TLS和部署問題，同時(shí)，這也幫助Quantum Health為實(shí)現(xiàn)未來的增長做好了準(zhǔn)備。隨著Quantum Health引入新客戶并建立新的Web門戶，NGNIX Plus為Quantum Health提供了堅(jiān)實(shí)的架構(gòu)基礎(chǔ)，使其比以前更容易擴(kuò)展。Breidenstein表示： “NGINX Plus使我們能夠支持更多客戶，而不必改變后端配置。”

由于Quantum Health的架構(gòu)是為高可用性而設(shè)計(jì)的，因此能夠在任何時(shí)候執(zhí)行站點(diǎn)維護(hù)而無需中斷對(duì)客戶的服務(wù)。

最后，隨著流量的增加，NGINX Plus為Quantum Health提供了負(fù)載均衡功能，使Quantum Health能夠進(jìn)行擴(kuò)展并處理比當(dāng)前多幾倍的吞吐量。最終NGINX Plus將成為Quantum Health的前端負(fù)載均衡器以支持多個(gè)上游后端服務(wù)器。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：