本指南展示了如何部署一个安全、可扩展且具有成本效益的区块链密钥管理解决方案,可适用于以太坊 2.0 权益证明网络等区块链验证工作负载。它利用 AWS Nitro Enclaves 来运行 Web3Signer。Web3Signer 是构建安全区块链网络的核心组件。该解决方案提供示例代码,用于使用 AWS Cloud Development Kit(AWS CDK)在隔离的 Nitro Enclaves 环境中安全地配置、引导和操作 Web3Signer。这使您可以建立可靠、安全的区块链网络,同时保护敏感数据并降低潜在风险。

请注意:[免责声明]

架构图

[架构图描述]

下载架构图 PDF 

Well-Architected 支柱

当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。

上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。

  • 本指南提供了关于实施变更(AWS CDK)、收集反馈(GitHub)和安全实例管理(Systems Manager)的机制。这样,您就可以在不影响安全性的情况下安全地进行更新、整合改进和操作资源。遵循经过验证的最佳运营实践有助于实现可靠、高性能的工作负载。

    阅读《卓越运营》白皮书 
  • 通过实施本指南中强有力的安全控制措施,您可以保护您的信息、系统和资产。例如,将资源部署在具有私有子网的独立 VPC 中,只允许通过 NAT 网关进行互联网访问,从而保护资源。对 Amazon EC2 实例的访问受到限制,不允许入站访问,管理员访问权限只能通过 Systems Manager 授予。数据(包括敏感私钥材料和 Web3Signer 配置)使用 AWS KMS 加密,并存储在 DynamoDB 中,加密证明可确保仅在 Nitro Enclaves 内解密。

    阅读《安全性》白皮书 
  • 该指南实施了高度可用的网络拓扑,将自动扩缩组部署在两个不同的可用区中,确保任何时候都至少有两个活动实例。网络负载均衡器在这些实例之间分配流量。该应用程序级架构专为可靠性而设计,具有松散耦合的依赖关系、Nitro Enclaves 内部的无状态计算进程,以及自动从故障中恢复的能力。

    阅读《可靠性》白皮书 
  • 该指南利用自动扩缩组来满足需求,并帮助确保仅运行所需的最低限度资源。区块链验证客户端和共识客户端可以分别部署在同一 VPC 内的私有子网和公有子网中,以减少延迟并提高性能。

    阅读《性能效率》白皮书 
  • 该指南避免了每月固定成本较高的服务和存储选项。对于长期运营,应将 Amazon EC2 实例纳入 Amazon EC2 实例节省计划,与使用按需型实例相比,该计划可以降低成本。默认实例类型为 C6A.xlarge,这是目前支持 Nitro Enclaves 的最小实例。

    阅读《成本优化》白皮书 
  • 通过使用自动扩缩组,本指南有助于确保工作负载高度可用,同时最大限度地减少运行的 Amazon EC2 实例数量。该解决方案可以根据需要轻松横向扩展或缩减,从而根据需求优化资源利用率。

    阅读《可持续性》白皮书 

实施资源

示例代码为起点。它经过行业验证,是规范性但不是决定性的,可以帮助您开始。

[主题]
[内容类型]

[标题]

[子标题]
此[博客文章/电子书/指南/示例代码]演示了如何 [插入简短描述]。

免责声明

示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。

本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。

此页内容对您是否有帮助?