基础架构
Home-DC(主中心)
先看结果
自我判断建设成为T2级别Home-DC
Tier II(冗余组件型):
- 可用性:99.741%,年平均停机时间约22小时。
- 特点:关键组件具备冗余,如备用电源和冷却设备,但仍为单一供电和冷却路径,存在单点故障风险。
- 适用场景:对连续性有一定要求,但可容忍短暂中断的业务。
能效比计算
PA-440: 34W
TS-464C: 35W
N100: 6W
G4S: 6W
Edge510: 15W
H3C Magic RC3000: 12W
Huawei WIFI6: 12W
设备风扇: 3.3W
NAS风扇: 4W
.gif)
PUE = 127.3W / 120W = 1.06
按照国际通用标准,已经达到A++级(极优) PUE ≤ 1.2 卓越能效,达到国际领先水平,支持极低能耗。
基础设施
空间方案
家用路由器设备架 - 所有网络设备和计算资源
电视柜储物空间 - 威联通TS-464C和施耐德UPS
更新Mini Rack
示意图
冷却方案
家用路由器设备架分配一个静音风扇
电视柜背面安装一个排风扇,保证NAS和UPS风道通畅
供电方案
UPS备用电源,可以提供390W
由于各种设备的稳压器实在太多了
为了摆脱这些稳压器,采用二手服务器电源,闲鱼35块钱,稳定输出12V电源
然后搭配一些5525/5521的电源线,做成脏辫的形态
环境监控
小米温湿度计
噪音控制
业务发布
DNS
公网DNS采用阿里云DNS方案,购买10年域名
证书
Let's Encrypt申请,每次三个月有效期
IDP
目前有采用Onprem AD / Azure Entrea ID / Okta-dev等方式,下一步准备整合统一
硬件设备
普通家用WIFI盒
存储设备
Mini Rack — 10" Rack Project
近日看到半款式网络机柜,颇为欣喜,于是淘宝闲鱼搜索多日,终于找到一家成品卖家(后来一聊还是位同行,锐捷上班),3D打印的10"机柜
整体方案
UPS电源+威联通NAS+Mini Rack
网络资源
入户光信号检测
Office-DC(同城备中心)
看了几个自组NAS之后,我也萌生了自己攒一个备份存储的想法,也可以给vSphere做集中式的存储用,于是说干就干,当时还在VMware,靠近珠江路,就当组个电脑了!
先买了8块二手硬盘,最早的为2012年出厂的,估计工作年限比现在很多小伙伴都长了,加上之前购入的2块二手SAS硬盘,组件磁盘阵列
TrueNAS Core(FreeNAS)系统管理,距离上次搬迁关机又过了186天(我的电费😭)
网络配备一个千兆网口做管理和远端数据同步和一个万兆网卡给vSphere做集中存储
强烈推荐TP-Link的5U开放式机架,实在太适合放家用网络设备,我直接买了两个,堆起来用
安全防护
拓扑架构
最直接的串糖葫芦结构,WAF→NGFW→App
WAF
趁着优惠活动时,我在阿里云上买了一个2c2g的VM
有了固定公网ip之后做什么方便很多,比如我在Ubuntu上起了长亭科技的雷池社区版(https://waf-ce.chaitin.cn),而后通过WAF的Nginx来转发到放在家里的PA-440上
雷池的帮助手册不错
https://docs.waf-ce.chaitin.cn/zh/home
目前就是用自带的防护方式,还是比较简单易用的
打开频率限制
采用长亭默认的黑白名单机制
防护模块全部用默认的“平衡模式”
防护日志 - 拦截的源IP地理位置分布
1月15日有一个美国IP,应该是一个扫描器
还有Expanse的扫描记录
Palo Alto NGFW PA-440
根据Palo Alto的 Data Center最佳实践进行部署
首先打开SSL解密策略
安全策略上设置了各种安全Profile
- 防病毒
- 防恶意软件
- 漏洞保护
- URL过滤
- 文件下载过滤
- 沙箱-野火
可能是由于发布的主要是Web类应用,被前面的WAF都挡掉了,这里没有什么拦截的log,欢迎各位大神春节七天乐,来测试一下玩玩
参考文档
https://docs.paloaltonetworks.com/best-practices/10-2/data-center-best-practices
