自建atrust升级版CDN平台思路

atrust版本完成后，经常会面临客户端大量更新，尤其是低版本升级到2.3.10以上版本时，由于客户端部分功能重构，用户必须升级到2.3.10以上版本才可正常登录业务。为应对大量用户更新场景，防止升级后大量用户同时更新客户端占满公网带宽影响业务，零信任设备支持配置CDN方式实现客户端更新，使客户端更新流量不占用业务网络。

对于标准版本客户端，互联网场景，可直接使用深信服免费CDN服务器，对于定制版本客户端，本文提供三种思路实现通过CDN网络更新客户端。

思路一：走定制流程使用深信服CDN服务器。

定制客户端如需使用深信服CDN服务器，需联系原厂工程师，与产品线沟通，通过额外付费方式，由深信服研发将定制客户端上传到深信服CDN服务器上。

思路二：互联网部署客户端下载服务器，用于用户更新客户端。

为保障客户端更新流量与业务流量完全隔离，可在其他数据中心或公有云上部署客户端下载服务器，并将客户端下载相关端口发布到互联网。

下载服务器部署有两种思路

思路一：部署http/https下载站点，将客户端传到服务器上

常见的下载服务器部署方式为python环境的SimpleHTTPServer命令、常用下载服务器HFS、phpstudy或tomcat等主流中间件等。部署http服务器后，将atrust客户端上传到对应目录即可。此思路通常服务器不需要太高配置，但如自己部署http服务用于下载客户端，可能存在安全漏洞导致安全事件。

思路二：直接部署atrust控制中心或代理网关，部署后无需激活，只需要将定制客户端上传到atrust并将版本配置为stable版本即可。此方案控制中心无需激活，atrust控制中心进用于用户更新客户端使用。此方案无需担心下载服务器安全性风险，但atrust虚拟机配置较高，通常需要8C/16G，可能带来虚拟机配置成本。

客户端下载服务器部署完成，并映射到互联网后，可在业务生产环境的atrust全局策略配置下载服务器的地址，实现客户端更新通过下载服务器，与业务网络隔离。

如客户端数量众多，为保障下载效率实现多运营商线路更新客户端，可通过域名+深信服负载均衡全局负载功能，实现多运营商的链路调度。

如将atrust下载服务器映射到多个不同运营商线路后，为下载服务器分配域名，并配置NS记录将A记录解析引流至深信服AD应用交付上。

AD配置虚拟IP池

并配置静态就进行实现移动走移动，电信走电信，移动走移动等，从而实现快速更新。

上述方案为纯自建CDN下载服务器，也可直接够用公有云或者运营商的CDN服务，为自建atrust客户端下载服务器加速。

此场景适用于大型用户定制客户端场景自建CDN服务器，无论是用于新客户端灰度发布，还是atrust版本升级后，客户端升级流量与业务网络隔离，均可适用