阿里云ACA学习笔记
阿里云概述
阿里云:构建下一代信息经济基础设施强大的基础设施。
阿里云特点
- 规模最大的集群
- 多运营商BGP接入
- 最优质的CDN网络
阿里云设计理念:
- 大规模效应降低成本
- 多地域、多可用容灾
- 服务化方式开放
- 通用解决方案和行业解决方案
阿里云基础引用架构建议
- 前台逻辑:SLB——负载均衡,流量入口
- ECS——运行应用,高可用,
- 机构化数据类型:云RDS数据库
- 非结构化:oss对象存储
基础架构的简单介绍
- ECS云服务器:是处理能力可弹性伸缩的计算服务,帮助您快速构建刚稳定安全的应用弹性,安全(开机自带DDOS/CC),按使用付费,应用的应用快照,
- SLB负载均衡服务:高可用(消除单点故障),低成本,安全,按量付费
- RDS关系型数据库:是一种稳定可靠性、可弹性伸缩的在线数据库服务 快速部署、高可用、可弹性升级、易维护
- OSS对象存储:海量、弹性、低成本、按量付费 断点续传,
云服务器ECS
云服务器是一种简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、更安全的应用,提升运维效率,降低IT成本。
按需扩展
最基础的计算服务
1.10分钟可以启动和释放100台云服务器
2.5分钟内停机和升级CPU和内存
3.在线不停机升级带宽
ECS是应用的基础运行环境
用户的应用程序运行在实例的操作系统之上
最简化的弹性架构
ECS的弹性伸缩能力
水平(快速部署多台服务器),垂直(快速升级服务器的性能)
ECS的优点:稳定,弹性、安全、成本、易用性、可扩展性
ECS的产品概念
I.实例,instance
2.磁盘,disk
3.快照,snapshot
4.镜像,image
5.安全组,security group
两个重要的逻辑位置概念
* Region 地域
* Zone 可用区
注意事项
同一地域两个可用区可是使用内网相互连接
安全组是可以跨可用区的
但是磁盘只能挂在一个可用区上
实例只能在同一个可用区进行迁移
快照和镜像是可以在Region内有效
云服务器ECS实例的介绍
CPU,内存,系统盘,运行的操作系统
磁盘的种类:
- 基于飞天分布式文件系统盘古,每份数据存储 三个拷贝 分布在不同的交换机下、不同的服务器上。具有极强的数据可靠性,支持单独挂载。
- 存储介质分为:
- SSD云盘:采用SSD云盘作为存储介质
- 高效云盘:采用固态硬盘和机械硬盘混合介质作为存储材料
- 普通云盘:采用机械硬盘作为存储介质
磁盘的操作:
创建磁盘、挂载磁盘、卸载磁盘、释放磁盘、回滚磁盘,扩容磁盘、更换系统盘
磁盘的使用限制:
- 每个用户最多可以创建250块云盘
- 一个实例最多挂载4块磁盘
- 高效云盘和SSD云盘最大支持32TB容量,普通云盘最大支持2Tb
- 磁盘只能挂载在同一可用区的ECS上
- 同一时间,一块磁盘只能挂载在一个ECS上
- 系统盘不支持挂载和卸载
快照功能
ECS快照是磁盘数据在某一个时间点的拷贝
常见用途就是备份数据
系统盘的快照可以创建出自定义镜像
数据盘的快照
快照的分类:
手动快照
自动快照,自动快照的策略
快照的原理为增量快照
镜像:本质是系统盘快照
- 阿里云的官方公共镜像
- 镜像市场
- ECS实例创建的自定义的镜像
- 给其他阿里云用户共享的镜像
RDS产品概要
承担数据库管理任务
根据业务需求对RDS进行弹性伸缩
RDS可靠性保证
主从备份架构,高可用性和数据可靠性
99.95%的服务可用性和99.9999%的数据可靠性
RDS功能(一)
专业数据库管理平台DMS
DMS不仅仅是为RDS定制的数据库管理平台,还可使用户通过浏览器即可安全方便的进行数据库管理和维护
轻松实现数据库回溯
RDS能够提供备份文件将数据库恢复7日内任意时刻
RDS功能(二)
专业的数据库优化建议
RDS提供直观的慢SQL分析报告和完整的SQL运行报告,并提供如主键检查、索引检查等多种优化建议
完善的监控体系
RDS展示近20种性能资源监控视图,可对部分资源设置阈值报警,并提供WEb操作,sql审计多种日志
RDS实例(Instance)
实例是阿里云关系型数据库的运行环境
各实例之间相互独立、资源隔离、相互之间不存在CPU,内存,IOPS等抢占的问题
同一实例中的不同数据库之间是资源共享
RDS实例目前支持的最大内存为48G,最大磁盘容量为1TB
RDS只读实例
分担数据库压力,增加应用的吞吐量
RDS可用区
单可用区:有效控制云产品间的网络延时
多可用区:轻松实现同城容灾
地域(Region)
RDS数据库
是用户实例下的一个逻辑单元
一个实例可以创建多个数据库,命名唯一
MySQL实例最多可以创建500个数据库,而Sql server则只能够创建50个数据库
所有数据库都会共享该实例下的资源
RDS数据库账户
每个数据库账户可以用于多个数据库
同时每个数据库的读写权限被分配给多个数据库账号
一个账号可以创建多个实例
对于MySQL和SQL server,最多500个账号
RDS支持的最大链接数
RDS磁盘容量
RDS管理控制台 WEB模式
DMS介绍(用于管理RDS)
DMS提供了数据管理、对象管理、数据流转和实例管理功能。
可以在“SQL窗口”和“命令窗口”上通过SQL语句来访问数据,
也可以在“打开表”上通过鼠标点击完成数据的便捷操作。
提供表、索引、视图、存储过程、函数、触发器、事件等对象的丰
富操作功能。库、表级别的导入和导出功能令数据流转更加顺畅。
诊断报告、实时性能、实例会话、锁检测等专业实例管理功能让你轻松应对。
MAC平台:SEQUELPRO
http://www.sequelpro.com
windows平台 :MySQL-Front
http://www.mysqlfront.de
数据迁入
RDS提供专业工具和向导式迁移服务来帮助用户将数据迁入RDS
1.mysqldump逻辑备份,数据导入
2.DTS数据迁移服务
迁移类型:
结构迁移:DTS会将迁移对象的结构定义迁移到目标实例
支持对象:表,试图、触发器、存储过程、存储函数
全量迁移:
DTS会将源数据库的数据全部迁移到目标实例中
增量迁移:
将迁移过程进行数据变更同步到目标实例
如果在迁移期间进行了DDL操作,那么这些结构变更不会迁移到目标实例
RDS云数据库
Relational Database Service,关系型数据库
可靠、可弹性伸缩的在线数据库服务
支持Mysql,SQL server和PostgreSQL和PPAS
提供容灾、备份、恢复、监控、迁移等方面的全套解决方案,
postgreSQL全球最先进的开源数据库
数据类型支持(JSON数据、IP数据、几何数据等)
PPAS(Postgres Plus Advanced Server)
是一个稳定的、安全且可扩展的企业级关系型数据库
基于全球最先进的开源数据库Postgresql
在性能方面上,兼容性方面进行了增强,提供直接运行Oracle应用的能力
OSS产品概要
对象存储服务(Object Storage Service)对外的云存储服务
RESTFul API的平台无关性,容量和处理能力的弹性扩展、按量计费
海量、安全、高可靠性、低成本
OSS是面向互联网的分布式存储服务,
用户可以使用API或者WEB页面进行上传下载
弹性扩展
大规模:高并发、大流量读写
图片处理:支持缩略、裁剪、水印、压缩、格式转换
按需付费:
OSS的基本概念
Object
用户的每一个文件都是一个Object
文件大小限制
Object 包含 key、data、meta data
Bucket
每个Object必须都包含在Bucket
一个用户最多有10个Bucket
BUcket中的Object 的数量和大小总数没有限制
一个应用可以对应一个或多个Bucket
虚拟的存储空间
Access ID & Access Key(API密钥)
OSS访问域名
针对OSS的网络请求,除了GetService这个API以外,其他所有的请求的域名都是针对具体的Bucket的三级域名
bucketname.endpoint
endpoint根据bucket所在的数据中心不同,内外网的访问方式不同会有所区分
Object操作:
通过OSS控制台仅可上传小5GB的文件,如果大于5GB,可以通过API或者SDK进行上传
如果想要下载文件夹这种特殊的eObject,只能通过API或者SDK
OSS API调用说明
调用方式
外网调用
内网调用
OSS SDK进行开发
必须要创建Access Key
http://i.aliyun.com/access key/
ossFTP
OSSBrowser
阿里云OSS之静态网站的支持
网站静态内容存储在OSS Bucket中
负载均衡(Server Load Balancer)
是对多台云服务器进行流量分发的服务。
负载均衡可以通过分发扩展应用系统对外的服务能力
通过取消单点故障来提高应用程序的可用性
SLB服务中服务通过设置虚拟服务地址(IP),将位于同一地域的(Region)的多台云服务器资源虚拟成一个高性能、高可用的应用服务池
健康检查,当一台服务器出现故障,自动避开此台服务器,当服务器正常时,自动连接服务器
防DDoS攻击
SLB需要与ECS混合使用
SLB的主要功能
- 当前提供4层(TCP/UDP协议)和七层(HTTP/HTTPs协议)的负载均衡服务
会话保持,在一个Session的生命周期中,可以将听一个客户端的请求都在同一个ECS上 - 加权轮询(WRR),加权最小连接数(WLC)
- 支持针对监听来分配其对应服务所能到达的峰值带宽
- 支持公网和私网类型的负载均衡服务
- 提供丰富的监控数据
- 结合云盾,提供WAF以及DDoS攻击能力,包括CC,SYN,FLOOD等
- 支持同一区域(REGION)跨数据中心容灾,结合DNS还可以支持跨区域容灾
- 针对HTTPS,提供统一的证书管理服务
- 提供控制台,API,SDK多种管理方式
DNS轮询的方式对外提供服务
互联网常见的形式及安全威胁
感染网络病毒、被篡改网站、植入后门的网站、仿冒页面、安全漏洞
DDoS攻击,
口令暴力破解, SSH RDP协议
Web应用攻击 SQL注入
阿里云安全
防御:
服务器安全:安骑士
网络安全:DDoS高仿IP,Web应用防火墙
业务安全:反欺诈、绿网
数据安全:加密服务、证书服务
安全服务:云盾SOS服务
移动安全:移动安全
检测:
安全情报:先知
大数据安全:态势感知
云市场:云安全生态
安全相关概念
基础运营商:联通、移动、电信
骨干网:城域网,省域网
IDC数据中心:在某一个基础运营商,一个IDC的带宽来自于一个或多个基础运营商
BGP边际网关协议:同时引入多个运营商,并且自动路由
ABTN阿里巴巴骨干网
路由器:路由之间的选择
交换机:快速交换数据
防火墙:网络成,应用层,
安全策略
DDoS 分布式拒绝服务攻击
让服务器无法提供服务
DRDoS 分布式反射攻击
请求的请求包和相应的包不对称
基础DDoS防护的实现流程
网络入口——> 核心路由器——> 路由器——>业务服务器
基础DDoS防护的主要功能
攻击流量的发现、牵引和自动处理
能够有效的防御各类基于网络层、应用层的各种DDoS攻击
包括最新的 DNS Query Flood、NTP reply Flood
大数据分析技术实现全自动检测
攻击策略自动匹配
总体相应时间<2 s
清洗服务可用性99.99%
高仿IP接入流程
解析、切换、回源
阿里云云盾——WAF
Web应用防火墙(Web Application Firewall)是一款网站必备的安全产品
防护网站/APP应用防护
避免数据资产的泄露、保障网站的安全性和可用性
WAF的应用场景
网站变卡:恶意肉机访问
网站数据被恶意爬取、短信流量被乱刷
账号数据,资金丢失
获取服务器管理员权限、篡改网站数据和页面
云盾安骑士
主机的安全防护模块
基于云端联动防御
木马查杀
防密码暴力破解
异地提醒
漏洞检测修复
(Agent)
云监控功能概览:
对阿里云资源和互联网应用进行监控的服务
站点监控、
http、ping、dns、tcp、udp、smtp、pop3、ftp等服务的可用性和相应时间的统计、### 监控和报警
云产品监控、
提供对ecs、rds、slb、cdn、ocs、oss等云服务的监控报警
自定义监控
对用户开放自定义监控的服务、允许用户自定义个性化的监控需求
报警及联系人管理
云监控的应用场景
帮助运维人员实时了解网络状况
在ECS部署时及时了解网络的运行状况,为后续的网络升级提供性能指标
在升级过后,监控SLB负载均衡是否实现
作为弹性伸缩服务ESS的触发条件
云盾:DDoS基础防护,DDoS高防IP、安骑士、应用防火墙WAF
运监控:站点监控、云产品监控、自定义监控
报警:开关、报警联系人、报警方式