[SEO 副标题]
本指南展示了如何部署一个安全、可扩展且具有成本效益的区块链密钥管理解决方案,可适用于以太坊 2.0 权益证明网络等区块链验证工作负载。它利用 AWS Nitro Enclaves 来运行 Web3Signer。Web3Signer 是构建安全区块链网络的核心组件。该解决方案提供示例代码,用于使用 AWS Cloud Development Kit(AWS CDK)在隔离的 Nitro Enclaves 环境中安全地配置、引导和操作 Web3Signer。这使您可以建立可靠、安全的区块链网络,同时保护敏感数据并降低潜在风险。
请注意:[免责声明]
架构图
[架构图描述]
第 1 步
通过本地计算机运行 AWS Cloud Development Kit(AWS CDK)堆栈。
第 2 步
运行 AWS CDK 堆栈后,所需的容器构件将上传到 Amazon Elastic Container Registry(Amazon ECR)。所有 Docker 容器稍后都将从 Amazon ECR 中提取。
第 3 步
通过使用 AWS Key Management Service(AWS KMS)的对称加密密钥对配置构件进行加密。
第 4 步
加密的配置构件存储在 Amazon DynamoDB 中。
第 5 步
使用 AWS Systems Manager 命令运行 Web3Signer 初始化。
第 6 步
AWS Nitro Enclaves 使用加密证明通过 AWS KMS 自动解密配置构件。
第 7 步
Web3Signer 流程从 Nitro Enclaves 开始,并在父 Amazon Elastic Compute Cloud(Amazon EC2)实例上公开 HTTPS API。
第 8 步
通过 AWS Lambda 控制台控制 Web3Signer 状态。state 命令提供有关 Lambda 函数当前状态的信息。
第 9 步
请求通过网络负载均衡器路由到下一个运行状况良好、在私有子网中隔离运行的 Amazon EC2 实例。
第 10 步
来自 Amazon EC2 验证器或共识客户端的请求可以通过网络负载均衡器路由到 Web3Signer 实例。本指南中未包含验证器客户端。
第 1 步
通过本地计算机运行 AWS Cloud Development Kit(AWS CDK)堆栈。
第 2 步
运行 AWS CDK 堆栈后,所需的容器构件将上传到 Amazon Elastic Container Registry(Amazon ECR)。所有 Docker 容器稍后都将从 Amazon ECR 中提取。
第 3 步
通过使用 AWS Key Management Service(AWS KMS)的对称加密密钥对配置构件进行加密。
第 4 步
加密的配置构件存储在 Amazon DynamoDB 中。
第 5 步
使用 AWS Systems Manager 命令运行 Web3Signer 初始化。
第 6 步
AWS Nitro Enclaves 使用加密证明通过 AWS KMS 自动解密配置构件。
第 7 步
Web3Signer 流程从 Nitro Enclaves 开始,并在父 Amazon Elastic Compute Cloud(Amazon EC2)实例上公开 HTTPS API。
第 8 步
通过 AWS Lambda 控制台控制 Web3Signer 状态。state 命令提供有关 Lambda 函数当前状态的信息。
第 9 步
请求通过网络负载均衡器路由到下一个运行状况良好、在私有子网中隔离运行的 Amazon EC2 实例。
第 10 步
来自 Amazon EC2 验证器或共识客户端的请求可以通过网络负载均衡器路由到 Web3Signer 实例。本指南中未包含验证器客户端。
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读《卓越运营》白皮书
本指南提供了关于实施变更(AWS CDK)、收集反馈(GitHub)和安全实例管理(Systems Manager)的机制。这样,您就可以在不影响安全性的情况下安全地进行更新、整合改进和操作资源。遵循经过验证的最佳运营实践有助于实现可靠、高性能的工作负载。
-
安全性阅读《安全性》白皮书
通过实施本指南中强有力的安全控制措施,您可以保护您的信息、系统和资产。例如,将资源部署在具有私有子网的独立 VPC 中,只允许通过 NAT 网关进行互联网访问,从而保护资源。对 Amazon EC2 实例的访问受到限制,不允许入站访问,管理员访问权限只能通过 Systems Manager 授予。数据(包括敏感私钥材料和 Web3Signer 配置)使用 AWS KMS 加密,并存储在 DynamoDB 中,加密证明可确保仅在 Nitro Enclaves 内解密。
-
可靠性阅读《可靠性》白皮书
该指南实施了高度可用的网络拓扑,将自动扩缩组部署在两个不同的可用区中,确保任何时候都至少有两个活动实例。网络负载均衡器在这些实例之间分配流量。该应用程序级架构专为可靠性而设计,具有松散耦合的依赖关系、Nitro Enclaves 内部的无状态计算进程,以及自动从故障中恢复的能力。
-
性能效率阅读《性能效率》白皮书
该指南利用自动扩缩组来满足需求,并帮助确保仅运行所需的最低限度资源。区块链验证客户端和共识客户端可以分别部署在同一 VPC 内的私有子网和公有子网中,以减少延迟并提高性能。
-
成本优化阅读《成本优化》白皮书
该指南避免了每月固定成本较高的服务和存储选项。对于长期运营,应将 Amazon EC2 实例纳入 Amazon EC2 实例节省计划,与使用按需型实例相比,该计划可以降低成本。默认实例类型为 C6A.xlarge,这是目前支持 Nitro Enclaves 的最小实例。
-
可持续性阅读《可持续性》白皮书
通过使用自动扩缩组,本指南有助于确保工作负载高度可用,同时最大限度地减少运行的 Amazon EC2 实例数量。该解决方案可以根据需要轻松横向扩展或缩减,从而根据需求优化资源利用率。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。