1. 前期准备与需求评估

步骤：明确业务流量、带宽峰值、合规与延迟要求。小分段：①统计并发连接数与每连接带宽；②决定主站点（云或VPS负载主/备）；③记录IP白名单与端口需求；④准备SSH密钥与账号。

2. 选择云服务与马来西亚VPS供应商

步骤：比较可用区、出口带宽、SLA与价格。小分段：①云侧选AWS/GCP/Aliyun等按需选择实例规格；②马来西亚VPS选“独享带宽”方案（确认带宽独占与公网IP）；③确认机房是否支持直连或BGP；④签订带宽合约并保留开通凭证。

3. 设计混合网络拓扑

步骤：决定主备流量路径、VPN隧道数量、是否双向NAT。小分段：①常见拓扑：云作为应用层、VPS做出口/地域优化；②考虑双VPN（冗余）；③规划子网和路由表（避免CIDR冲突）；④标注公网IP、私网段与网关IP。

4. 在马来西亚VPS上部署基础环境

步骤：安装操作系统并做硬化。小分段：①创建非root用户并配置SSH公钥；②禁用密码登陆，设置Fail2ban；③更新系统：sudo apt update && sudo apt upgrade -y；④关闭不必要服务，仅保留ssh和vpn端口。

5. 使用WireGuard建立站点到站点VPN（示例）

步骤：在云与VPS之间建立WireGuard隧道以保证高效路由。小分段：①安装：sudo apt install wireguard -y；②生成密钥：wg genkey | tee privatekey | wg pubkey > publickey；③配置/etc/wireguard/wg0.conf（示例：Interface Address = 10.200.0.1/24, ListenPort = 51820, PrivateKey = ...，Peer填对端公钥与AllowedIPs）；④启用并持久化：sudo systemctl enable --now wg-quick@wg0；⑤验证：sudo wg show，ping 私网IP。

6. 路由与策略控制（Policy-Based Routing）

步骤：设定哪个流量通过VPS出口。小分段：①在云侧添加静态路由或使用VPC路由表指向VPN网关；②在Linux上使用ip rule/ip route设置策略路由（示例：ip route add default via 10.200.0.2 table 100; ip rule add from 10.0.1.0/24 table 100）；③检验路由：ip route show table 100；④测试目标IP走向：traceroute。

7. 公网NAT与端口转发设置

步骤：在马来西亚VPS上配置SNAT/MASQUERADE与端口映射。小分段：①启用IP转发：sysctl -w net.ipv4.ip_forward=1并加入/etc/sysctl.conf；②iptables示例：iptables -t nat -A POSTROUTING -s 10.200.0.0/24 -o eth0 -j MASQUERADE；③端口转发：iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.200.0.10:80；④持久化iptables规则（iptables-save/restore或使用ufw/nftables）。

8. DNS与Split-horizon配置

步骤：实现内外网不同解析以就近访问与流量分流。小分段：①在云DNS中设置主域和权重；②内部通过DNS服务器（CoreDNS/Bind）返回私有IP；③测试：dig @内部DNS yourdomain +short；④对外配置来路由到VPS公网IP或负载均衡地址。

9. 负载均衡与反向代理实现

步骤：可在云侧使用负载均衡器或在VPS上部署HAProxy/Nginx做全局流量分配。小分段：①若云LB支持后端主机，注册云实例与VPS私网IP；②在VPS上配置Nginx upstream将流量转到云内服务；③启用健康检查路径；④SSL终端建议在云LB处理，或使用Let’s Encrypt在VPS端自动续期。

10. 监控、日志与故障切换策略

步骤：部署Prometheus+Grafana、Alertmanager及脚本化故障切换。小分段：①采集WireGuard/网络吞吐/连接数指标；②设置阈值报警（丢包/延迟/带宽饱和）；③自动化脚本在故障时切换路由或更新DNS（使用低TTL）；④定期演练：切断VPN并观察恢复流程。

11. 安全加固与合规注意事项

步骤：TLS、WAF与审计。小分段：①确保所有管理面使用双因素和IP白名单；②对外接口启用WAF或limit_conn防护；③日志上云备份并配置审计保留策略；④若有跨境数据需遵循当地法规。

12. 部署验证与性能测试清单

步骤：逐项验证连通性、吞吐、延迟与切换。小分段：①连通性：ping、traceroute；②吞吐：iperf3测试云->VPS与VPS->互联网；③负载测试：ab/JMeter对应用做并发测试；④故障演练并记录RTO/RPO。

13. 问：为什么要用马来西亚独享带宽VPS而不是普通共享带宽？

答：独享带宽保证带宽带宽稳定与延迟可预测，适合对出口带宽和连续流量有要求的业务；共享带宽在高峰期会被其他租户影响，导致抖动与丢包。

14. 问：如果WireGuard掉线，怎么自动切换到云直连？

答：可在云与VPS两端部署健康检查脚本（cron或systemd timer），检测隧道状态后通过ip rule/ip route或调用云API调整路由或修改DNS（低TTL）实现自动故障切换。

15. 问：部署中常见的性能瓶颈有哪些，如何排查？

答：常见瓶颈包括VPS出口带宽不足、CPU无法处理加解密（VPN）、MTU导致分片、云端网络限制。排查用iperf3测吞吐、sar/top查看CPU、tcpdump捕获分片并调整MTU（例如将MTU降至1420）。

来源：混合部署方案结合云服务与马来西亚独享带宽vps的实践