1.
准备与总体规划
a) 确认业务流程:支付走HTTPS API或重定向,物流走API或SFTP批量文件。
b) 列出所有对接方的IP/CIDR、端口、回调URL、超时时间与证书要求。
c) 与越南VPS服务商确认静态公网IP、带宽、路由和是否支持BGP/浮动IP。
2.
基础网络与防火墙端口
a) 必开端口:443(HTTPS)、80(HTTP)、22(SSH)、21/990(FTP/FTPS仅备选)、22(SFTP)。
b) 若数据库远程:3306(MySQL)、5432(Postgres)仅通过私网或SSH隧道开放。
c) Linux示例:ufw allow 443/tcp; ufw allow 22/tcp;或iptables -A INPUT -p tcp --dport 443 -j ACCEPT。
3.
TLS/证书与安全要求
a) 支付网关通常要求TLS1.2+与强加密套件,使用Let's Encrypt或CA签发的证书。
b) 检查证书链:openssl s_client -connect your.domain:443 -servername your.domain -showcerts。
c) 强制HSTS与安全头,Nginx示例:add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
4.
IP白名单与回调设置
a) 将支付和物流方的公网IP加入VPS防火墙白名单,确保回调/通知能到达。
b) 日志记录来源IP:nginx access_log 中记录 $remote_addr 和 $http_x_forwarded_for。
c) 若对方IP频繁变更,要求对方提供CIDR或使用动态DNS/VPN方式接入。
5.
私有链路与VPN建议
a) 对敏感数据或数据库同步,优先使用WireGuard或OpenVPN建立站点到站点VPN。
b) WireGuard快速示例:安装wg,生成密钥对,配置 /etc/wireguard/wg0.conf 并开启 systemctl enable wg-quick@wg0。
c) 配置路由和防火墙只允许VPN子网访问内网服务。
6.
反向代理、负载均衡与高可用
a) 使用Nginx或HAProxy做反向代理,保护后端与做HTTPS终端。
b) 多VPS建议使用keepalived+VRRP做浮动VIP或云厂商负载均衡。
c) 健康检查:设置/health接口,反向代理轮询并下线异常节点。
7.
Webhook/回调的可达性测试
a) 本地开发可用ngrok或frp映射公网测试;生产必须使用真实域名并有有效证书。
b) 用curl测试:curl -v -H "Content-Type: application/json" -d '{"test":1}' https://your.domain/callback。
c) 若回调被拒,抓包定位:tcpdump -i eth0 port 443 -w webhook.pcap,然后用Wireshark分析。
8.
文件传输(SFTP/FTPS/AS2)对接注意
a) 优先SFTP(SSH),避免明文FTP;创建受限用户并用chroot目录。
b) SFTP示例:adduser ftpuser; mkdir /home/ftpuser/upload; chown root:root /home/ftpuser; chown ftpuser:ftpuser /home/ftpuser/upload。
c) 若使用AS2,确保HTTP(S)端口和MIME头符合对方规范,并记录MDN(回执)。
9.
性能、延迟与CDN策略
a) 跨境延迟不可避免,测延迟用mtr target 或 ping,优选越南本地节点提升回调稳定性。
b) 静态资源可用CDN部署,支付/回调仍需回到原点服务。
c) 配置TCP keepalive与合理超时(nginx proxy_read_timeout、fastcgi_read_timeout)以避免长连接中断。
10.
监控、日志与自动化排障
a) 部署Prometheus+Grafana监控网络带宽、连接数、HTTPS握手失败率。
b) 集中日志:Filebeat->ELK,设置告警规则(回调失败次数、非2xx响应)。
c) 常用排查命令:ss -tunlp 查看监听;openssl s_client 检查TLS;tcpdump 抓包分析。
11.
合规与支付安全操作
a) 不在VPS存储明文卡号,使用支付网关token化或遵循PCI-DSS要求。
b) 定期更新系统与OpenSSL,禁用TLS1.0/1.1和弱加密套件。
c) 对接文档中关于重试、幂等号、时间窗口和签名验证(HMAC)要严格实现。
12.
问:越南VPS最常见导致支付回调失败的网络原因是什么?
a) 回答:最常见是防火墙未放行支付方IP/端口、证书链错误、或者公网带宽与路由丢包导致连接超时。
b) 排查建议:先curl测试、检查nginx日志、用tcpdump抓包确认对方请求到达,最后确认防火墙和IP白名单。
13.
问:如何快速验证TLS配置满足支付方要求?
a) 回答:使用openssl s_client -connect host:443 -servername host 查看协议版本和证书链;再用SSL Labs(Qualys)扫描获取评分与加密套件详情。
b) 若发现问题,更新nginx配置强制使用TLS1.2+并重启服务。
14.
问:物流方需要批量SFTP对接,如何保证稳定文件传输?
a) 回答:用专用SFTP账号+chroot、配合rsync或scp做断点续传;在VPS上配置足够带宽与磁盘I/O,监控传输失败并自动重试。
b) 若跨境不稳定,考虑在物流方或第三方部署中转节点或开启VPN提高可靠性。
来源:越南vps 电商跨境支付和物流系统对接的网络要求详解