阿里云ACA认证
云安全课程:云平台使用安全
it架构演进趋势
大型机 计算能力被极少数机构独占,一般企业无法使用 计算操作
pc机和小型机 企业购买硬件设备获得计算和存储能力,存在架构不灵活,资源利用率不高,已 被厂家锁定不可控等问题
互联网数据中心(IDC) 放弃自建数据中心,开始硬件租用
云计算 以服务方式提供能力,按需获取,降低门槛
云计算:只关心自己的应用就可以
三种服务方式
SAAS(软件级服务) 直接获取即可
PAAS(平台级服务) 中间件 不用部署
IAAS(基础设施级服务) 经常接触,计算资源、存储、网络
云上常见架构
常在一个(ECS部署应用和数据库),最后流量大了,可以RDS进行数据库和应用分离
信息安全现状和形势
2014.01 DNS域名解析被劫持
2014.04 快递1400万信息泄露
2014.12 用户信息被泄露 用户账号、明文密码、身份证号、手机号、电子邮箱
2014.04 OpenSSL心脏出血漏洞,可窃取服务器敏感信息,实时抓取用户账号和密码
2016 雅虎用户信息泄露
IT系统风险构成
云上安全服务方式:责任分担,共建安全
用户:物理和环境由云服务厂商 复制网络和通信安全,设备和计算安全,数据和应用安全
云上安全防护的关键点:
all in one: 登录安全、账户授权管理、服务器安全漏洞、应用访问攻击、数据备份和加密、网络攻击风险
应用和数据分离:数据传输安全、网络通信安全、数据库访问白名单授权、数据库的备份和容灾
应用集群部署:服务器访问授权、服务器安全区域隔离、负载均衡加密访问
动静资源分离:云存储数据备份和加密、云存储数据容灾
产生安全风险的主要原因:云平台、ISV(第三方软件漏洞)、用户
阿里云安全解决方案:
安骑士:软件,服务级(云上、云下都可),提供漏洞管理、基线检查、入侵告警等功能
主要防护功能:木马查杀、防密码暴力破解、异地登录提醒、漏洞检测修复
网络:免费:安全组
专有网络vpc
基础DDOS防护
收费:DDOS高防IP
数据安全防护:数据备份和容灾:云快照、备份实例和灾备实例、云存储多副本和异地备份
数据加密:云数据库加密存储、云存储加密存储、加密机
数据传输安全:云盾证书 HTTPDNS
应用:web应用防火墙
监控管理:云监控(cpu、内存等使用)、态势感知(监控系统是否有黑客攻击)
网络安全法:企业:提高了准入门槛和运行安全能力
个人:信息受保护更加明确
信息安全向网络安全转变、强调个人信息及隐私的保护、违法处罚更严格
云账号安全:登录验证、账号授权、权限分配
虚拟MFA(阿里云上,软件) 银行(物理的MFA)
RAM(权限管理):访问权限、密钥、资源访问方式
云资源管理:管理方式:web管理控制台、客户端工具、API
云监控:实时监控,设置报警规则(报警阈值)到期提醒和自动续费
云数据管理与数据迁移
云数据库与传统数据库
云数据库:基于云计算平台构建,克服了传统数据库引擎的局限性,按量付费,可弹性伸缩,操作简 单 ,节省时间,用在业务方面
传统数据库:时间,计划,软件,硬件,细节,维护,备份,恢复,升级等
云数据库的特点(也是云的特点):按量付费、按需扩展、高可用(HA, high available)、可移植性
阿里云数据库:RDS(关系型数据库服务,既不是一种软件也不是一种硬件,只是一种服务),支持mysql、sql server、PostgreSQL、PPAS数据库引擎
防DDOS攻击,流量清洗;及时修复各种数据库安全漏洞
云数据库mysql版
云数据库mysql版:优良的性能和吞吐量、经过优化的读写分离、数据压缩、智能调优等高级功能。
特点:安全性、可用性、可扩展性、易用性
应用场景:多样化存储、异地容灾DTS(将自建的同步),大数据分析
阿里云mysql分类:单机基础版、双机高可用版、金融版
云数据的基本概念:实例、数据库、账号、内外网地址、访问模式(标准模式、高模式模式)、白名单(修改和清空,不能删除)
云数据库运维常用设置:变更配置(配置不能满足需求或配置过高)、设置参数(修改需谨慎)、设置可维护的时间段(业务清空维护)、迁移可用区、切换主备实例、数据复制方式(半同步、异步)、切换网络访问模式(标准模式、高安全模式)
网站建设——部署与发布
建站的基本步骤
用户访问网站的过程:
1.浏览器上输入域名
2.浏览器调用DNS解析,将域名解析成IP地址
3.浏览器通过IP找到网站服务器(公网IP是唯一的)
4.服务器返回网页到浏览器
建设网站的基本步骤:
1.申请一个独立域名
2.申请一台云服务器ECS,存储和运行网站内容,包括:HTML、图片、PHP
3.在服务器上安装网站环境
4.发布网站内容至云服务器
5.将第一步注册的域名解析至云服务器的外网IP地址
6.进行ICP备案(实际一般会提前,可能的一周到半个月)
域名分类
1.英文域名:.com .cn .net(数字或英文字母)
2.中文域名: .中国 .cn .com .网络(支持中文)
3.新顶级域名:.xin .vip .win .集团(保有量较多)
注册及使用域名
注册域名的操作步骤:所有者(姓名,电话,email,地址,证件)--->查询状态(yes/no)--->提交注册(期限,期限,付费)--->实名认证(证件)
开通云服务器:计费方式、规格(CPU、内存)、操作系统、存储空间(硬盘)、公网带宽、管理密码、安全组
管理云服务器:ssh协议(putty)
搭建网站环境:和真实机一致
发布网站内容:SFTP协议(filezilla)
域名解析:ip和域名绑定即可
ICP备案:证件、备案服务号(阿里云特殊支持)
网站建设——简单动态网站搭建
网站搭建的类型
静态网站和动态网站(最大的区别是动态需要数据库支持)
静态网站:HTML标记语言、css样式表、JavaScript脚本语言
特性:减轻服务器负担、打开页面速度快、管理和维护的工作量大、内容相对稳定
动态网站:HTML标记语言、css样式表、JavaScript脚本语言、服务器端脚本语言、数据库
特性:页面响应速度比静态要慢、服务器负担较大、减少了管理和维护的工作量
动态网站的实现方式
1.Windows+IIS+SQLServer+ASP
2.lamp
3.lnmp(nginx更加灵活)
动态网站搭建
动态网站搭建涉及内容:操作系统(Windows、linux)、Web服务器(IIS、Apache、Nginx)、数据库工具(SQLServer、MySQL、Oracle)、开发语言(asp、jsp、php)
云上搭建:便捷和快速
步骤: 1.创建云服务器ECS:地域、可用区、硬件配置、操作系统等
2.安装和配置开发环境、web服务器、数据库等
3.部署:下载安装包、安装和配置等
云上管理网站(WordPress为例):主题管理(提供了众多的主体和丰富的插件,WordPress支持在线搜索和在线上传主体文件两种主题安装方式)和插件管理
云上WordPress网站的优化:微博功能(博客挂件工具(外观--小工具--文本(粘贴代码))、CNZZ统计(统计访问量,友盟CNZZ数据专家服务)、视频嵌入(Smartideo)
网站的负载均衡
负载均衡的介绍
负载均衡的介绍:load Balance,通过水平扩展的方式来增加业务的处理能力,扩容无上限
产生: 1.业务量的不断提高,访问量增大
2.24小时不间断服务
3.处理速度和内存访问速度的增长远低于网络带宽和应用服务的增长
4.传统单机模式,容易成为网络故障点
向上扩展(垂直扩展):加硬件(磁盘、内存,内核等,有限制,有瓶颈,业务不做改动)
向外扩展(水平扩展):加服务器(无限制,业务需要做基础的改动,常用)
云上负载均衡
优势:低成本、可扩展性、高可靠性
云负载均衡(服务方式):组成:负载均衡实例(开通和创建)、监听规则配置(策略和转发)、后端服务器(一组)
一般不单独使用,后端服务器去处理数据
阿里云负载均衡服务SLB:对多台云服务器进行流量分发的服务。可通过分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性
公网实例和私网(针对单独服务)实例
基本功能:
1.支持公网或私网类型的负载均衡服务
2.流量分发:支持4层(tcp/udp协议)/7层(HTTP/HTTPS协议)负载均衡
3.流量调度:支持加权轮询(WRR)、加权最小连接数转发方式(WLC)(转发方式工作原理:轮询模式、最小连接数模式)
4.会话保持:在session的生命周期内,可以将同一客户端请求到同一台后端的ECS上
5.健康检查:可以对后端ECS进行健康检查,自动屏蔽异常状态的ECS,待该ECS回复后自动解除屏蔽
会话保持:四层(同IP地址的请求持续发往一台服务器)、七层(相同cookie发送一台)
权重设置:连接数大小 监听(主要操作)
云负载均衡高可用:(地域和可用区),每个机房就是一个可用区,同城和异地
默认就会让创在不同的区域(考虑地域即可)
SLB部署(内部采用集群):4层采用开源lvs+keepalived 7层采用开源tengine
配置最佳方案: 1.同一地域的不同可用区,跨可用区访问会有访问延迟
2.开启健康检查
3.后端至少有2台ECS
4.业务层面要配置重连机制
云服务器管理运维
云服务器(ECS ELastic Compute Service):是一种处理能力可弹性伸缩的计算服务。
具有:简单易用、高效稳定、成本低等特性
简单易用:可视化管理、无需运维、服务化方式(点点鼠标即可)
高效稳定:服务可用性、数据可靠性
开通:获取使用资格--->根据需求选配置--->下单&收货
ECS概念:
实例:cpu、内存、操作系统等
地域和可用区:每个机房就是一个可用区,同城和异地
磁盘:可随时扩容
镜像:linux、windows两类
虚拟专用网VPC:公有云上划分给用户的专属区域,保障安全
安全组:虚拟防火墙,隔离不需要的访问源
管理ECS:便捷管理,完全掌握,可随时随地:远程管理实例、远程重启实例、修改登录密码、提高性能、扩大存储
按量付费不可进行升级操作,可转换成包年包月后在进行升级
扩大存储: 1.源数据盘扩容 需要扩容之后进行重启ECS
2.添加新数据盘 可用区相同,挂载后重启
运维和使用:
快照(恢复数据),可以做定时快照,阿里云快照是采用增量方式做的
性能监控、自动报警(云监控)
云存储:对象存储管理与安全
传统存储介绍
存储介质:磁带、存储卡、移动硬盘、硬盘、U盘、光盘、软盘
发展历史:打孔设备、磁带设备、硬盘光盘、磁盘阵列
SSD硬盘:存储速度快、故障率低、绿色环保、重量轻便
RAID:多块硬盘,以某种方式做一种数据冗余
RAID0:安全性不高,图形工作站
RAID5:数据库
...
云上存储介绍
主机访问存储模式:直连式存储(DAS)、网络存储设备(NAS)和存储网络(SAN)
存储备份:全备份、全量备份、增量备份
存储灾备:同城灾备、异地灾备、两地三中心(同城+异地)
全球数据储量:GB TB PB EB ZB
云存储分类:块存储、OSS对象存储、NAS文件存储、表格存储、归档存储
阿里云对象存储服务OSS:三副本
对象存储服务(Object Storage Service,简称OSS)是一种面向互联网的分布式存储服务,具有海量,安全,高性能,高可靠性,低成本的特点
适合用来存储大量不同大小,格式的非结构化数据
具有:稳定、安全、大规模,高性能
飞天系统 对比:可靠性、安全、成本、数据处理能力
应用:网站/应用动态分离、海量文件存储、云端数据处理、数据下载加速
云存储OSS基本概述
概念: object:用户的每个文件都是一个object
bucket:每个object都包含在bucket中,bucket中存数据
service
access ID & access key
管理方式:OSS控制台、API、客户端工具、SDK开发包
数据的上传和下载: 客户端直传(授权,acccess key & access ID )、服务器上传 下载收费,上传不用
控制台上传下载(用户)、API(开发)、SDK(根据不同程序选择不同的SDK)上传下载
图片处理(图片旋转、裁剪、切割、索引切割、水印)与静态网站托管(设置一个默认页和404页面)
安全设置:数据安全和安全
备份容灾(提供同城多机房备份)、数据冗余(三份数据冗余备份,存储在不同交换机的不同机器中)、碎片化存储(将文件拆分成多个碎片多副本,多磁盘存储)
跨区域复制(支持双向同步)
安全控制:bucket权限控制
防盗链(http headerde 的refere字段)
加密存储
访问控制RAM