Quantum Health是一家美國的醫保機構,為美國各地的公共和私人雇主中需要自行投保的雇員提供服務,指導他們完成復雜的醫療流程。其客戶主要來自自籌資金的大型組織,Quantum Health為這些組織的雇員提供優質的醫療服務。為了更好地管理數百個SSL/TLS證書,Quantum Health選擇了NGINX Plus作為應用交付解決方案,從而實現證書管理流程的自動化,并且獲得了更好的可視性和全面的指標分析。由于NGINX Plus支持零宕機維護,Quantum Health的業務連續性也得到了可靠保障。
借助NGINX Plus管理SSL/TLS證書
Quantum Health解決方案的關鍵組件之一就是門戶網站。通過這個門戶網站,會員可以管理他們的帳戶、查看報銷狀態并進行相關活動。Quantum Health會為每個客戶托管并部署一個具有唯一域名的獨特門戶網站。雖然每個客戶都有一個單獨的域空間,其實所有的站點共用同一個代碼庫,其中包含了針對每個客戶的定制化內容。與每個客戶都有一個獨立的站點相比,這種方案更有助于簡化維護操作。
最初,Quantum Health的IT基礎架構團隊管理兩個SSL/TLS證書,通過使用主題備用名稱 (SAN)字段,每個證書最多可支持100個客戶域。然而,Quantum Health希望摒棄這種模式。因為共享證書的模式使得查看證書所保護的所有的域變為可能,即其他人有可能看到Quantum Health的客戶名單。為此,Quantum Health決定轉向為每個客戶域提供獨立證書的模式,從而在確保系統安全性的同時也保護客戶的隱私。然而,在實施新方法的過程中,Quantum Health的Web服務器 Microsoft IIS 遇到了一個障礙——如果IIS要為每個域部署一個證書,那么IT團隊必須為每個客戶都創建一個相同的后端服務器。因此,公司的IT基礎架構團隊開始不斷尋找能夠使操作流程更順暢的方法,從而可以大規模地管理SSL/TLS證書。
根據之前參與的個人項目和在Gogo的工作經驗,Quantum Health公司IT基礎架構經理Rick Breidenstein對NGINX和NGINX Plus已經非常熟悉。NGINX Plus基于開源NGINX軟件進行了擴展,不僅增加了高級功能,還提供屢獲殊榮的支持服務,從而得以提供完整的應用交付解決方案。
Breidenstein表示:“我們正在轉向為每個網站部署單個證書的模式,每個域都有自己的唯一證書,這意味著我們從管理兩個證書轉向管理數百個證書。通過證書管理流程的自動化來減少管理開銷,對于我們擴大規模非常重要”,并且 Breidenstein還表示,“輕松管理SSL/TLS證書是Quantum Health選擇NGINX Plus的最初原因,除此之外,NGINX Plus還為我們提供了高可用性以及在白天執行系統維護任務的靈活性,即無需停機或中斷面向客戶的服務就能實現系統維護”。
實現最后一英里的站點安全
Quantum Health使用一對具有高可用性的NGINX Plus實例保護其應用安全
Quantum Health在其私有云中的Microsoft IIS前面部署了一對具有高可用性 (HA) 的NGINX Plus實例,用于處理SSL/TLS卸載。借助NGINX Plus,Quantum Health可以達成每個客戶提供單獨的SSL/TLS證書的目標,同時還可維持只使用單個后端應用的架構。實現這個效果的方式是在NGINX Plus中指定多個虛擬服務器,每個客戶域都對應一臺虛擬服務器,同時讓每個虛擬服務器代理都指向同一個后端服務。另外,針對來自同一IP地址端口所對應的不同客戶域,NGINX Plus使用服務器名稱指示 (SNI) 來對其進行區分。
通過將NGINX Plus作為處理SSL/TLS卸載的代理,Quantum Health能夠通過一個應用支持所有客戶域,并通過為每個客戶提供單獨的證書而提高安全性。
Breidenstein說道:“我們之前所有SSL/TLS站點的SSL實驗室評分都為B。NGINX Plus使我們能夠調整相關配置,并將分數從B提高到A。NGINX Plus 讓我們能夠順利通過這最后一英里。”
可見性和指標分析得到增強
借助NGINX Plus,Quantum Health的IT團隊具備了從未有過的更深入的分析能力。由于IIS由web團隊支持,在安裝 NGINX Plus 以前,Breidenstein的團隊不得不向同事尋求信息,例如請求和連接的數量,以及在需要中斷時關閉系統的最佳時間。
Breidenstein解釋說:“自從安裝了NGINX Plus,我的團隊擁有了前所未有的可見性。我們能夠獲得NGINX Plus的訪問日志,并將其發送到Sumo Logic來收集大量指標。例如,我們可以看到有多少404錯誤、404錯誤最多的域,以及其他更多信息。基本上NGINX Plus訪問日志中的所有數據都可以在Sumo Logic中進行分析。在擁有這些數據之前,當我們有需要影響服務的事件時,我們必須依賴另一個團隊來告訴我們何時可以關閉系統。現在,我們可以自己回答這個問題并做出靠譜的決定,從而支持不斷增長的業務。”
與此同時,Quantum Health也在使用NGINX Amplify。Breidenstein表示:“通過NGINX Amplify,我能看到活動連接的數量和系統負載等一些關鍵指標,這樣,我們就不會遇到任何處理容量問題。任何時候,我都可以看到活躍客戶的平均數量是150個,每天總點擊量為400,000次。通過NGINX Amplify,我們發現自己還遠遠沒有達到CPU和內存的極限。”并且Breidenstein還補充道:“我認為,NGINX Plus沒有帶來任何限制來阻礙我們贏得更多客戶并持續擴展業務;在這過程中使用 NGINX Plus,我們不必擔心業務會突然中斷。”
NGINX Amplify允許輕松訪問關鍵指標,有助于應用監控
通過自動化更智能地開展工作
Breidenstein的目標是實現NGINX Plus的自動化部署,讓不熟悉NGINX Plus或Linux的員工也能夠部署新代碼。
借助于Python腳本、用于證書管理的Lemur和Rundeck編排器,Breidenstein全面實現了NGINX Plus的自動化部署,為Web開發人員提供了一個用于輕松部署新站點的自助服務門戶。
現在,開發人員只需插入幾個變量并在Rundeck的測試區域生成一個配置文件,就可以部署一個新站點。只需要單擊一個按鈕,Rundeck就可以將新配置和SSL/TLS證書從測試區域部署到生產環境中的兩個NGINX Plus代理,以便它們能保持同步。在將配置推送到生產環境后,新站點就可以上線。
Quantum Health使用SVN來幫助控制對NGINX Plus配置文件的更改,以便團隊在需要排除故障時可以看到這些更改。
專業服務和支持服務助您擺脫遷移煩惱
選擇NGINX Plus后,Quantum在兩周內完成了從決策到部署的過程。這中間需要大量的咨詢和講解,而NGINX的專業服務團隊使這一遷移過程變得輕松很多。
在遷移期間,Breidenstein與NGINX的一名專職的專業服務工程師通力合作,他表示:“NGINX的專業服務團隊精通業務并提供了極大的幫助,與我一起工作的工程師非常善于溝通,并向我介紹了遷移過程的相關知識,因此我能夠在這個過程中不斷學習。NGINX為我們提供了寶貴的支持,我建議在未來的更多項目中借助NGINX的專業服務。
遷移完成以后,Quantum Health還沒有再次需要技術支持的情況。但技術支持是被包括在NGINX Plus中的,這是Quantum Health早期選擇NGINX Plus的一個關鍵因素。Breidenstein指出:“如果出現什么問題,我不想獨自面對。NGINX Plus是我唯一的選擇,因為我需要專家的支持作為強大后盾。”
為未來奠定堅實的基礎
轉向NGINX Plus解決了當前的SSL/TLS和部署問題,同時,這也幫助Quantum Health為實現未來的增長做好了準備。隨著Quantum Health引入新客戶并建立新的Web門戶,NGNIX Plus為Quantum Health提供了堅實的架構基礎,使其比以前更容易擴展。Breidenstein表示: “NGINX Plus使我們能夠支持更多客戶,而不必改變后端配置。”
由于Quantum Health的架構是為高可用性而設計的,因此能夠在任何時候執行站點維護而無需中斷對客戶的服務。
最后,隨著流量的增加,NGINX Plus為Quantum Health提供了負載均衡功能,使Quantum Health能夠進行擴展并處理比當前多幾倍的吞吐量。最終NGINX Plus將成為Quantum Health的前端負載均衡器以支持多個上游后端服務器。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
關鍵詞:
營業執照公示信息