1. 环境与选型准备

1.1 评估延迟与合规：柬埔寨本地公有云有限，优先考虑邻近亚太区（如新加坡）Region或本地机房（colocation）。确认数据主权、合规要求与带宽预算。

1.2 选择方案：云原生优先使用容器与Kubernetes；混合云则采用本地机房（或私有云）+公有云（如AWS/Azure/GCP或本地服务商）连接。

2. 账号与基础资源准备

2.1 创建云账号：注册云厂商账号并完成实名认证，开通计费与API权限（Access Key/Service Principal）。

2.2 生成密钥：本地生成SSH密钥对 ssh-keygen -t rsa -b 4096 -C "your@email" 并保存公钥到云控制台作为登录密钥。

3. 网络与子网规划（VPC）

3.1 设计CIDR：预留足够IP，示例10.0.0.0/16，分配子网10.0.1.0/24（管理）、10.0.2.0/24（工作负载）、10.0.3.0/24（数据库）。

3.2 安全组与路由：创建安全组，开放仅必要端口（SSH 22/Azure RDP 3389/HTTP 80/HTTPS 443/K8s API 6443），配置NAT网关和路由表实现Outbound访问。

4. 在公有云上部署虚拟机（示例步骤）

4.1 选择镜像与规格：选择操作系统（Ubuntu 22.04/CentOS 7+），确定vCPU/内存/磁盘类型（SSD）。

4.2 通过控制台或CLI创建：示例AWS CLI：aws ec2 run-instances --image-id ami-xxxx --count 1 --instance-type t3.medium --key-name mykey --subnet-id subnet-xxxx --security-group-ids sg-xxxx

4.3 基本配置：登录后配置时间同步（timedatectl set-ntp true）、安装基础软件（docker、curl、git）、关闭不必要服务，设置自动安全更新。

5. 在本地机房/私有云部署节点（混合云一端）

5.1 物理/虚拟机准备：准备裸机或VM，统一安装相同系统版本并配置网络可达公有云VPN出口。

5.2 配置VPN/专线：建议使用IPSec VPN或SD-WAN，若需要更高性能可申请云厂商的Direct Connect/ExpressRoute/Interconnect并完成BGP路由对等。

6. 部署Kubernetes集群（云原生核心）

6.1 选择方式：Managed K8s（EKS/GKE/AKS）优先；也可自建kubeadm或k3s用于轻量边缘节点。

6.2 Managed示例：在控制台创建集群，配置节点组（按可用区），设置Pod CIDR、服务CIDR及CNI插件（Calico/Flannel/Cilium）。

6.3 自建示例：在主节点执行 kubeadm init --pod-network-cidr=10.244.0.0/16，记下join命令，工作节点执行 kubeadm join :6443 --token ...；然后安装CNI：kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml

7. 镜像管理与CI/CD流水线

7.1 私有镜像仓库：部署Harbor或使用云厂商私有Registry，配置镜像拉取凭证。

7.2 CI/CD实践：使用GitLab CI/GitHub Actions/Jenkins，构建镜像并推送到Registry，使用Helm Chart或Kustomize进行部署和回滚。示例：helm install myapp ./chart --namespace prod --create-namespace

8. 监控、日志、备份与高可用

8.1 监控与告警：部署Prometheus + Grafana采集节点和应用指标，配置Alertmanager发送Slack/邮件告警。

8.2 日志与审计：使用Fluentd/Fluent Bit将日志送至ELK或云日志服务，开启K8s审计日志。

8.3 备份与恢复：VM快照用于磁盘备份，K8s使用Velero备份资源与PV，定期验证恢复流程。

9. 安全加固与运维要点

9.1 身份与权限：使用最小权限原则，启用MFA，使用IAM角色代替长期密钥，K8s启用RBAC与网络策略。

9.2 服务网格与流量管理：引入Istio/Linkerd实现流量控制、熔断与mTLS加密。

9.3 成本与弹性：启用自动伸缩（Cluster Autoscaler/HorizontalPodAutoscaler）、定期Rightsize并使用预留实例/节省计划降低成本。

10. 问：在柬埔寨地区如何选择公有云或本地机房？

答：根据延迟与合规：若对延迟敏感可选近邻区域（新加坡）并结合本地CDN/边缘节点；若需要数据驻留在国内或法规限制，优先选择本地机房或与本地运营商合作的托管服务。

11. 问：混合云网络如何保证稳定与安全的互联？

答：建议采用IPSec VPN或云厂商专线（Direct Connect/ExpressRoute）并结合BGP做路由，使用加密通道、NAT、ACL和流量镜像做流量分析，定期演练故障切换。

12. 问：我如何快速在柬埔寨环境上线第一个云原生应用？

答：流程：①在公有云或本地准备一台控制节点与2个工作节点；②部署Managed K8s或kubeadm集群并安装CNI；③构建容器镜像并推到Registry；④用Helm部署应用并配置Ingress和LB；⑤启用监控与备份并做压力测试与故障演练。

来源：云原生与混合云环境下东南亚柬埔寨云服务器部署指南