云原生时代下的网关V.S反向代理 (云原生时代下的FinOps降本增效)

技术教程 2025-05-10 22:51:19 浏览次

云原生时代下的网关V.S反向代理

2021-01-13 07:15:41WEB1.0/2.0时代，使用前置反向代理，由运维负责 nginx，进行反向代理和负载均衡、安全认证、限流缓存等功能。网站升级频率较低，反向代理大多采用静态配置方式。

简介

发展演进史

WEB1.0/2.0时代，使用前置反向代理，由运维负责 nginx，进行反向代理和负载均衡、安全认证、限流缓存等功能。网站升级频率较低，反向代理大多采用静态配置方式。

微服务时代，API 服务升级频率高，传统的 nginx 动态配置较差，且运维执行效率低，就需要使用动态配置的网关服务，便于研发自主配置。

云原生时代提出更高要求，还需要支持灰度发布。要求网关不仅可动态配置，还要能动态编程，所以出现网关和反向代理融合的趋势，典型产品比如 envoy 和 Traefik。

云原生时代下的可编程网关

在k8s中，和网关等价的概念叫Ingress，像kong/envoy/traefik这些可编程网关，都有支持对接Ingress。

所有不同的端，ios 安卓 h5 web，要不要分，还是要看业务和团队规模，比如携程内部就有超过十套以上面向不同端的网关，总网关集群规模超过百台。对大体量多团队的公司，网关如果分的不够，不同团队容易打架。微服务也是这个道理，服务分分多少多细，也主要看体量和团队规模，小团队不分也没事。

安全认证要求，对于不同部门可能不一样，比如支付部门要求更严格，所以可以独立定制部署。

总之nginx偏运维，spring gateway对中国java程序员更友好。

二者概念区分

如果你意识到它们不是互斥的，则更容易考虑它们。将API网关视为特定类型的反向代理实现。

经常将两者结合使用时，API网关被视为位于反向代理后面的应用程序层，以进行负载平衡和运行状况检查。一个例子就是类似WAF的三层结构，其中Web应用程序防火墙/ API网关被反向代理层夹持，其中一个反向代理层用于WAF本身，另一个用于与之对话的单个微服务。

关于差异，它们非常相似。这只是术语。当进行基本的反向代理设置并开始使用更多功能(如身份验证，速率限制，动态配置更新和服务发现)时，人们更有可能调用该API网关。

反向代理+网关部署架构

由于架构演进的历史原因，很多公司都是反向代理和网关并存的架构

这样就得维护两套系统，肯定比较复杂，所以最好是结合统一：

参考

电脑杀毒，哪种软件好点

其他杀毒软件如果无法识别某个病毒，或者杀了又出来，那就就只能干瞪眼，免杀就更别提了。只有McAfee的【自定义规则】可以完全保护病毒不会被入侵。【没有时间限制，没有key,序列号烦恼,永久使用到公司倒闭】【绝对不是破解，美国企业版的杀毒软件从来就没有验证措施，McAfee如此，symantec亦如此。】【因为增加了验证措施就会多一条不稳定因素，不用攻破你的杀毒软件，只要攻破你的验证措施，杀毒软件自然失效】【现在不都是流行(主动防御)吗？其实McAfee最先创造的这个概念。很多杀毒厂家才从依靠病毒库杀毒的道路上改变了新思路】McAfee VirusScan Enterprise Version 8.5i 静默重阳增订版【完全的官方原版】补丁下载与卡巴斯基走完全相反的路子，现在病毒曾出不穷，卡巴是充分依赖病毒库杀毒，更新频率也使相当的高。但是不管怎么更新，总是先有病毒，后有病毒库。然而McAfee却提出了防御为主的新思路，就是不管病毒什么变化，我是以不变应万变。一个规则可以【永久免疫U盘病毒】，一个规则可以【永久免疫防范IFEO映像劫持】。一个规则可以【永久保护安全模式】，【永久保护隐藏文件的显示】。这是主动的，头一次站到了病毒的前面。我可以无视病毒的更新与变种，只要他还是利用某个技术的病毒，就不能在有McAfee的规则下运行。 McAfee杀毒之星(McAfee VirusScan)是全球最杰出的反病毒软件之一。早在“软盘病毒时代”，反病毒先驱John McAfee——美国防御系统领导者Lockheed中的一位工程师所写的“译解程序的程序”就成为世界上第一款反病毒武器。这之后，McAfee在反病毒领域继续前进，反病毒技术表现卓越。获得McAfee资格认证工程师,可以让您增加求职砝码，获得与自身技术水平相符的技术岗位,轻松跨入IT白领阶层拿取高薪。【考试认证代码 1T0-035】2000年11月，根据世界权威统计机构Internetnationl Date Corp.最新报告：McAfee杀毒软件的全球市场占有率达47%以上，连续三年在世界杀毒市场排名第一。美国《财富》杂志排名前1000位的企业有80%采用McAfee 作为自己的反病毒保护神。其中，著名企业如：IBM、微软、思科、HP、美国在线、福特、P&G等等。在中国推出中文版的McAfee杀毒之星5.13则是针对个人电脑用户专门设计，因为音译的缘故，McAfee VirusScan被国内一些用户称之为“麦咖啡”。 McAfee公司的防病毒产品在美国拥有50,000+家组织机构用户，97%的《财富》1000家组织机构选用了McAfee产品。据IDC统计，McAfee公司已经连续六年占据企业级防病毒市场的第一名，并且占据硬件网关防病毒市场第一名。 McAfee的特点是脱壳能力世界第一。咖啡企业版（MCAFEE VIRUSSCAN ENTERPRISE）是一款更倾侧与防毒的杀毒软件，它看起来像HIPS，但觉得不是，咖啡官方实验室从来就没宣布过企业版是HIPS，咖啡注重的是让本机使用者DIY规则来保护自己的电脑，而不是像其他杀软那样更注重与病毒库或者高启发能力来判断能力，而且咖啡的病毒也不是一般的大，足有40W，这也足以另许多业内的竞争对手望而惊叹了。很多软件的主要精力和各样改进，就是为了各种各样的病毒扫描测试，因为那些都是静态的扫描测试，并不会测试杀软是否可以完全阻止病毒的运行与加载.说到这里，我不禁想起Igor Danilov的话，The Anti-Virus software market is a big bubble”，【让那些崇尚扫描能力、以为扫描测试第一就是“杀毒第一”“安全第一”的思想见鬼去吧!】(不知道Igor Danilov是谁？google一下吧，我想在当今反病毒安全领域中，没有多少人比他更有技术，更有发言权了。 )[俄罗斯反病毒界的传奇人物,反病毒软件的开发者Igor Danilov]卡巴斯基是一款相当好的杀毒软件，但他从来算不上世界第一。哪怕是在它的老家俄罗斯，它的杀毒技术是否第一都值得怀疑。不少人认为，俄罗斯的杀毒软件中，技术最厉害的其实是。事实上，尽管卡巴斯基的技术的确极为优秀，但卡巴斯基连一线厂商都算不上，与赛门铁克，迈克菲，趋势科技等这些属于第一阵营的安全厂商相比，卡巴斯基顶多算是二线厂商中的翘楚罢了。【企业版的精髓在于规则（访问保护）】，但也绝对不限于此，咖啡的【缓冲区+隔离区+按访问扫描程序】绝对足以构成一个小的【安全防护网】，并且咖啡默认提供的规则也都十分有针对性，利用好了+良好的上网习惯绝对可以一本万利。但是既然咖啡提供了灵活的访问保护，就要利用，但绝对不是盲目的利用，咖啡的规则在于少，在于精，而不在于臃肿，不在于严厉。如果你认为它是个不伦不类的HIPS那你就错了，这仅仅是一个外表看似HIPS，但实际却是一款注重于防毒的杀毒软件。麦咖啡这个产品其实和美国人的性格很相似--追求高、大、全，包括“内慕”操作。但仔细想想也很有道理，毕竟是针对企业用户居多的杀软，除了赛门铁克还真没几个敢叫板咖啡的存在。在企业级这道门槛上国产安软厂家的路还有很长要走。迈克菲(McAfee)公司于1998年进入中国，不断向中国企业提供全球领先的网络安全和网络管理解决方案，得到了广大中国企业用户，特别是重点行业用户的认可和肯定。经过不懈的努力，mcafee公司产品和解决方案被广泛应用于银行、保险、证券、电信、交通等领域，获得了中国人民银行、中国银行、中国工商银行、中国建设银行、中国平安保险公司、中国网通、中国电信、中国联通等客户的大力支持。 McAfee全面保护全球300万美国国防部用户,已经被美国国防部主机安全系统选作标准系统。美国国防部采用McAfee的工具为网络提供深层防护的同时，为主机安全系统提供管理，并且提高主机设备的标准配置。 McAfee VirusScan Enterprise 是全球第一款提供主动式入侵防护系统 (IPS) 保护能力的防病毒产品。这些 IPS 功能是由 McAfee Entercept 的缓冲区溢出保护功能提供的，McAfee Entercept 是我们的主机入侵防护安全产品。综上所述，无论在反病毒技术实力上，还是在服务支持上，McAfee杀毒之星都是当今网络病毒时代当之无愧的国际超级巨星.用户真实感受：本人是因为学习的需要，在去年配了一台电脑，可能是因为学校没有安装过滤器的原因，在寝室上网竞常常中病毒，开如使用的杀软是卡巴斯基，最多一次杀出的病毒达1300个，恐怖啊，室友也杀出好几百个，而且几乎是每上一次网（我们学校是拨号上网的）就会中几十到几百病毒，于是杀毒便浪费了我大部分的电脑使用时间。卡巴斯基，BD，瑞星等因为差不多都是先中毒而杀毒，这不是我想要的。我要的是能拒病毒于电脑之外的杀毒软件。我在网上找了一下这方面的资料，试用了如下三个有这个功能的杀软：1.诺顿,诺顿的广告宣传是做得相当好的，开始使用觉得还可以，不过后来发现更新很难，于是我采用离线升级方法，诺顿升级病毒库，每天都有更新，一周下去下载一次更新下就OK了。不过后来使用的时候机子很卡，就卸载了。 2006 当初选择它是因为看到了这句话：“AVK 最大优点是，只要病毒或木马录入病毒库，它在病毒运行前拦截，不会出现中毒后再杀毒的情况。 AVK2006 目前病毒库已经超过 33W 卡吧 / BD 双杀毒引擎效果绝对一流！” 不过这个扫描速度太慢了，当然了它采用了双杀毒引擎，效果建立在牺牲速度上的。一个全盘扫描花了我近7个小时，而且不过人性化的一点是连个暂停键都没有，共享的KEY根本就找不到，只能手动升级，相当麻烦，而且BD病毒库很难更新，太痛苦了！8.0版本，使用的时候觉得升能太慢了，病毒库一直没有更新，而且也不会监控方面的设置，所以并没有体会到它在监控方面的优势。于是在网上寻找了这方面的使用经验，最让我高兴的是找到了这个网站：在这里我看了很多关于如何使用mcafee的贴子，下载了8.5版本，还下载Mcafee FansUpdate 1.3，升级起来相当的快，真是太感谢了这个软件作者了，网站版主等工作人员。使用8.5版本已有三个月了，感觉相当的好。前两天从macfee官方网站下载了原汁原味的8.5版本，安装时毅然选择永久，安装好之后发现多了个已安装的补丁程序1个，相信使用起来更好。在此由衷的感谢的全体工作人员，尤其细水大哥，总是耐心的解决mcafeefans提出的问题。在这个网站我学到了很多macfee的使用知识及技巧，让我在使用mcafee上得以登堂入室并得以提高。再次对网站工作人员的辛苦付出表示敬意！相信这是所有受益的mcafeefans都会铭记于心。

描写竹子的诗句或成语

诗句：咏竹（齐.谢眺）窗前一丛竹，清翠独言奇。南条交北叶，新笋杂故枝。月光疏已密，风声起复垂。青扈飞不碍，黄口独相窥。但恨从风箨，根株长相离。竹（梁.刘孝先）竹生空野外，梢云耸百寻。无人赏高节，徒自抱贞心。耻染湘妃泪，羞入上宫琴。谁人制长笛，当为吐龙吟。赋得阶前嫩竹（陈 . 张正见）翠云梢云自结丛，轻花嫩笋欲凌空。砌曲横枝屡解箨，阶来疏叶强来风。欲知抱节成龙处，当于山路葛陂中。咏竹（唐.李峤）高簳楚江濆，婵娟含曙气。白花摇风影，青节动龙文。叶扫东南日，枝捎西北云。谁知湘水上，流泪独思君。郡斋左偏栽竹百余诗（唐 . 令狐楚）斋居栽竹北窗边，素壁新开映碧鲜。青蔼近当行药处，绿阴深到卧帷前。风惊晓叶如闻雨，月过春枝似带烟。老子忆山心暂缓，退公闲坐对婵娟。秋日白沙馆对竹（唐 . 许浑）萧萧凌雪霜，浓翠异三湘。疏影月移壁，寒声风满堂。卷帘秋更早，高枕夜偏长。忽忆秦溪路，万竿今正凉。初食笋呈座中（唐 . 李商隐）嫩箨香苞初出林，於陵论价重如金。皇都陆海应无数，忍剪凌云一寸金。咏竹（唐.郑谷）宜烟宜雨又宜风，拂水藏村复间松。移得萧骚从远寺，洗来疏净见前峰。侵阶藓拆春芽迸，绕径莎微夏荫浓。诬赖杏花多意绪，数枝穿翠好相容。竹风（唐.唐彦谦）竹映风窗数阵斜，---人愁坐思无涯。夜来留得江湖梦，全为乾声似荻花。春日山中竹（唐.裴说）数竿苍翠拟龙形，峭拔须教此地生。无限野花开不得，半山寒色与春争。咏竹（唐.张必）树色连云万叶开，王孙不厌满庭载。凌霜尽节无人见，终日虚心待凤来。谁许风流添兴咏，自怜潇洒出尘埃。朱门处处多闲地，正好移云抚翠苔。霜筠亭（宋.苏轼）解箨新篁不自持，婵娟已有岁寒姿。要看凛凛霜前意，须待秋风粉落时。赋园中所有（宋.苏辙）寒地竹不生，虽生常若病。斸根种幽砌，开叶何已猛。婵娟冰雪姿，散乱风日影。繁华见孤深，一个敌千顷。令人忆江上，森耸缘崖劲。无风箨自飘，策策鸣荒径。新竹（宋.杨万里）东风弄巧补残山，一夜吹添玉数竿。半脱锦衣犹半著，箨龙未信怯春寒。咏东湖新竹（宋.陆游）插棘编篱谨护持，养成寒碧映沦漪。清风掠地秋先到，赤日行天午不知。解箨时闻声簌簌，放梢初见叶离离。官闲我欲频来此，枕簟仍教到处随。野竹（元.吴镇）野竹野竹绝可爱，枝叶扶疏有真态。生平素守远荆榛，走壁悬崖穿石埭。虚心抱节山之河，清风白月聊婆娑。寒梢千尺将如何，渭川淇澳风烟多。新笋歌（明.岳岱）满林黄鸟不胜啼，林下新笋与人齐。春风闭门走山兔，白昼露滴惊竹鸡。雨中三日春已过，又近石床添几个。竞将头角向青云，不管阶前绿苔破。竹石（清.郑燮）咬定青山不放松，立根原在破岩中。千磨万击还坚劲，任尔东西南北风。竹（清.郑燮）一节复一节，千枝攒万叶。我自不开花，免撩蜂与蝶。无数春笋满林生，柴门密掩断行人。会须上番看成竹，客至从嗔不出迎。 ――唐.杜甫《咏春笋》绿竹半含箨，新梢才出墙。雨洗娟娟净，风吹细细香。 ――唐.杜甫《咏竹》宁可食无肉，不可居无竹。无肉令人瘦，无竹令人俗。人瘦尚可肥，士俗不可医。 ――宋.苏轼《于潜僧绿筠轩》好竹千竿翠，新泉一勺水。 ――宋.陆游竹劲由来缺祥同，画家虽巧也难工。细看昨夜西风里，若今琅玕不向东。 ――明.徐渭《风竹》细细的叶，疏疏的节；雪压不倒，风吹不折。 ――清.郑板桥《题墨竹图》雨后龙孙长，风前凤尾摇；心虚根柢固，指日定干霄。 ――清.戴熙《题画竹》待到深山月上时，娟娟翠竹倍生姿。空明一片高难掇，寒碧千竿俗可医。 ――清.王慕兰《外山竹月》山南山北竹婵娟，翠涌青围别有天。两两三三荷锄去，归来饱饭笋羹鲜。 ――清.王慕兰《石门竹枝词》成语著于竹帛〖解释〗着：写作。竹帛：竹简和绢。在竹简和绢上写作。指把事物或人的功绩等写入书中。竹柏异心〖解释〗比喻志向不合或表象不同。鲇鱼缘竹竿〖解释〗比喻上升艰难。同“鮎鱼上竹竿”。鲇鱼上竹竿〖解释〗俗说鲇鱼能上竹竿，但鲇鱼黏滑无鳞，爬竿毕竟困难。后以之比喻上升艰难。弹丝品竹〖解释〗吹弹乐器，谙熟音乐。竹马之交竹马：小孩当马骑的竹竿。童年时代就要好的朋友。竹篱茅舍用竹子围的篱笆，茅草盖顶的房屋。形容住房简陋或浓郁的田园风光。着于竹帛着：写作。竹帛：竹简和绢。在竹简和绢上写作。指把事物或人的功绩等写入书中。亦作“着乎竹帛”、“着之竹帛”。永垂竹帛竹帛：竹简和绢，古时用来写字，因借指典籍。指人的姓名、事迹、功名记载于史书上，永远传于后世。易如破竹像劈竹子那样容易。形容办事顺利，毫无阻碍。朽竹篙舟烂竹竿作篙推舟。比喻做事的工具或条件不佳，难能成就。胸无成竹谓心中没有完整的谋划打算。武昌剩竹比喻尚可备用的材料。松茂竹苞《诗·小雅·斯干》：“秩秩斯干，幽幽南山。如竹苞矣，如松茂矣。 ”后遂以“松茂竹苞”比喻兴盛繁荣。势如劈竹见“势如破竹”。青竹丹枫青竹生南方，丹枫长北地。因以“青竹丹枫”借指南北。曝书见竹谓睹物思人。破竹建瓴势如破竹，高屋建瓴。比喻居高临下，所向无敌。品竹调弦亦作“品竹调丝”。泛指吹弹管弦乐器。品竹调丝见“品竹调弦”。弄竹弹丝吹奏管弦乐器。名垂竹帛比喻好名声永远流传。芒鞋竹笠芒鞋：草鞋。竹笠：用竹子编成的斗笠。穿草鞋，戴斗笠是古人外出漫游的工具。指到处漫游。柳门竹巷指幽静俭朴的住宅。柳门竹巷依依在，野草青苔日日多。「」急竹繁丝见“急管繁弦”。豪竹哀丝指管弦乐。东南竹箭《尔雅·释地》：“东南之美者，有会稽之竹箭焉。 ”后因以“东南竹箭”比喻优秀人才。调弦品竹吹奏乐器。元·杨梓《霍光鬼谏》第一折：“只听的调弦品竹，甚的是论道经邦。 ”亦作“调丝品竹”、“调丝弄竹”、“调弦弄管”。调丝品竹吹弹乐器。吹竹弹丝吹奏管乐器，弹拨弦乐器。垂名竹帛垂名：传名。竹帛：古代供书写用的竹简和白绢，借指典籍、史册。名字尺竹伍符本指记载军令、军功的簿籍和军士中各伍互相作保的守则。亦借指军队。胸有成竹原指画竹子要在心里有一幅竹子的形象。后比喻在做事之前已经拿定主意。青梅竹马青梅：青的梅子；竹马：儿童以竹竿当马骑。形容小儿女天真无邪玩耍游戏的样子。现指男女幼年时亲密无间。罄竹难书罄：尽，完；竹：古时用来写字的竹简。形容罪行多得写不完。竹苞松茂苞：茂盛。松竹繁茂。比喻家门兴盛。也用于祝人新屋落成。竹报平安比喻平安家信。竹马之友指儿童时期的朋友。竹篮打水比喻白费气力，劳而无功。竹头木屑比喻可利用的废物。丝竹管弦丝：指弦乐器；竹：指管乐器。琴瑟箫笛等乐器的总称。也指音乐。势如破竹势：气势，威力。形势就象劈竹子，头上几节破开以后，下面各节顺着刀势就分开了。比喻节节胜利，毫无阻碍。磬竹难书罄：用尽；竹：竹简，用以写字；书：写。用尽竹子也难写完。形容罪行多得写不完。后泛指事实多，写不完。敲竹杠比喻利用别人的弱点或以某事为借口来讹诈。品竹弹丝品：吹弄乐器；竹：指箫笛之类管乐器；丝：指琵琶、二胡之类弦乐器。指吹弹乐器。破竹之势比喻节节胜利，毫无阻碍。茂林修竹修：长。茂密高大的树林竹林。鲇鱼上竹比喻本想前进反而后退。金石丝竹金：指金属制的乐器；石：指石制的磬；丝：指弦类乐器；竹：指管类乐器。泛指各种乐器。也形容各种声音。刀过竹解刀一劈下去，竹子立即分开。形容事情顺利解决。翠竹黄花指眼前境物。成竹在胸成竹：现成完整的竹子。画竹前竹的全貌已在胸中。比喻在做事之前已经拿定主义。哀丝豪竹丝、竹：弦乐、管乐的通称；豪竹：粗大的竹管制成的乐器。形容管弦乐声的悲壮动人。鸠车竹马鸠车、竹马：儿童玩具。借指童年

SD-WAN路由器和防火墙如何？

SD-WAN 路由器不需要位于防火墙后面，但如果安全策略要求，则可以。分支机构中的 WAN 路由器通常直接连接到传输，而不是位于单独的防火墙设备后面。当在 WAN 边缘路由器的传输物理接口上配置隧道时，默认情况下，WAN 边缘路由器的物理接口仅限于有限数量的协议。默认情况下，除了 DTLS/TLS 和 IPsec 数据包外，还允许 DHCP、DNS、ICMP 和 HTTPs 本机数据包进入接口。默认情况下，用于底层路由的 SSH、NTP、STUN、NETCONF 和 OSPF 和 BGP 本地数据包处于关闭状态。建议禁用不需要的任何内容并最小化您允许通过接口的本机协议。

此外，请注意，如果防火墙位于 WAN 边缘路由器的前面，则防火墙无法检查大多数流量，因为防火墙会看到用于 WAN 边缘路由器数据平面连接的 AES 256 位加密 IPsec 数据包和用于 WAN 的 DTLS/TLS 加密数据包边缘控制平面连接。但是，如果使用防火墙，则需要通过打开防火墙上所需的端口来适应 SD-WAN 路由器的 IPsec 和 DTLS/TLS 连接。如果需要应用NAT，推荐一对一的NAT，尤其是在数据中心站点。其他 NAT 类型可以在分支机构使用，但对称 NAT 可能会导致与其他站点的数据平面连接出现问题，因此在部署时要小心。

请注意，对于直接互联网流量和 PCI 合规性用例，IOS XE SD-WAN 路由器支持其自己的原生完整安全堆栈，其中包括应用程序防火墙、IPS/IDS、恶意软件保护和 URL 过滤。这种安全堆栈支持消除了在远程站点部署和支持额外安全硬件的需要。 vEdge 路由器支持其自己的基于区域的防火墙。这两种路由器类型都可以与 Cisco Umbrella 集成作为安全互联网网关 (SIG)，以实现基于云的安全性。