1. 项目规划与需求确认

在开始前列出目标：业务是否需要主备、读写分离、灾备RTO/RPO、带宽与延迟要求。确认本地机房IP段、公网出口、台湾云供应商（如阿里云台湾、AWS台北、GCP或本地云）并获取VPC/子网、浮动IP与安全组限制。列出所需资源（VM规格、存储类型、公网带宽）。

2. 网络拓扑与互联方案

选择互联方式：Site-to-Site VPN（OpenVPN/WireGuard/IPsec）或专线/BGP。推荐WireGuard简洁高效：在本地防火墙与云主机安装wireguard，生成密钥对并互换、配置AllowedIPs（例如10.10.0.0/24）。示例启动命令：wg-quick up wg0。测试连通：ping、iperf3测带宽与MTU调整。

3. 子网规划与路由

为云端与本地分别规划私有网段，避免冲突（例如本地10.1.0.0/16，云端10.2.0.0/16）。在云端路由表指向VPN隧道，本地路由器设置静态路由或BGP发布路由。确保NAT策略明确：对外流量走云端公网或本地出口，设置SNAT/DNAT规则。

4. 安全组与防火墙规则

最小化开放端口：SSH仅允许管理IP、应用端口（80/443）通过负载均衡或反向代理访问，数据库端口（3306/5432）仅允许对端私网访问。示例iptables规则：iptables -A INPUT -p tcp --dport 3306 -s 10.1.0.0/16 -j ACCEPT。启用Fail2ban与SSH密钥登录。

5. 数据同步与数据库部署

选择同步策略：主从、主主或分库分表。MySQL示例：配置gtid_mode=ON，启动binlog，设置master_info，使用CHANGE MASTER TO MASTER_HOST='10.2.x.x', ...，启动slave并验证SHOW SLAVE STATUS。初次全量同步可用Percona XtraBackup或mysqldump+rsync，增量用GTID或binlog复制。

6. 负载均衡、反向代理与故障切换

在云端部署HAProxy或Nginx作为入口，配置后端为本地机房与云主机组，按权重做流量分配。示例HAProxy健康检查配置enable-agent或http-check。若需要VIP漂移，使用keepalived在两台网关间漂移虚拟IP，脚本检测VPN状态并触发failover。

7. 监控、备份与演练

部署Prometheus+node_exporter+Grafana监控网络延迟、丢包、磁盘IO、数据库延迟。备份策略：每天全量备份到云存储（例如对象存储），每小时增量备份。定期演练：切换流量到云端、断开本地链路并验证RTO。记录操作手册与回滚步骤。

8. 优化与运维自动化

调优sysctl（net.core.rmem_max, net.ipv4.tcp_window_scaling等）与MTU，使用rsync或lsyncd做文件同步，采用CI/CD自动部署镜像。配置DNS低TTL并使用健康检查实现故障切换，证书使用Let's Encrypt或云厂商托管SSL。

9. 常见问答：混合部署延迟如何控制？

问：跨境到台湾云主机的延迟如何控制与监测？ 答：在部署前用iperf3与mtr测路径，选择离用户更近的数据中心。使用CDN缓存静态内容，把数据库读请求本地化或采用读写分离。监控结合Prometheus抓取RTT并设置告警阈值。

10. 常见问答：断链时如何保证数据一致？

问：如果VPN断开，如何保证数据库一致性与业务继续？ 答：设计容错：本地写入暂存在消息队列（Kafka/RabbitMQ）或开启半离线模式。使用GTID+冲突检测的主主复制，并在链路恢复后执行一致性校验与补偿脚本。

11. 常见问答：部署初期注意事项有哪些？

问：实施混合部署的首要注意点是什么？ 答：先做可行性验证（POC）：网络互通、镜像同步、故障切换，明确SLA及恢复流程。严格控制安全组与访问权限，做好版本与配置管理，最后按步骤演练切换流程并记录。

来源：台湾云服务器云主机与本地机房混合部署案例分析