阿里云ACP云计算工程师认证攻略--转载
ACP 认证有四个认证,最简单的是云计算。本文只介绍 云计算 的考试内容。
先简单了解一下考点占分比例和题型
注意:多选题会提示正确答案的个数。
满分100分,80分及格
报名费 1200 元
下面是攻略,来自网上
云服务器ECS
在上述这些产品中,云服务器ECS在试题中所占的比例最大,达到了30%。
想要拿到这30%,需要掌握ECS的相关概念、适用对象、基本的使用操作、要求能够排除一般问题、能够根据客户需求提出针对性解决方案,这些要求,不仅适用于ECS,也适用于阿里云的其他产品。
虽然30%已经是很高的比例了,但仅掌握ECS对于你通过ACP其实帮助不大,因为ACP需要80%以上正确才能够通过,掌握ECS是基本要求,如果连ECS都不掌握就不要去考了。但掌握了ECS对于构建阿里云相关的解决方案是非常有帮助的,因为几乎所有的阿里云解决方案中都需要ECS。
下面来看看ECS产品的相关概念吧:
考点就是对ecs产品的定义,建议搭建多看定义以及理解定义,此处不再敖述
下面,来看看ECS的适用对象
- 优势、安全、可靠、性能、最重要的是便宜,而且会越来越便宜。
- 计费、ECS的计费方式分成包年包月和按量计费两种方式。
- 应用场景、只要需要服务器,就选择ECS吧。
- API及SDK、ECS支持通过API进行自动化管理和调度,其实阿里云的所有产品都支持API调度。
要求掌握的阿里云ECS操作
- 能够基于云服务器ECS产品进行应用的部署、这是最终的要求。
- 实例、ECS实例的开关机、连接控制台、变更配置。
- 磁盘、购买数据盘、挂载与卸载。
- 安全组、规则的配置,经典网络的安全组设置分成内外入方向、内网出方向、公网入方向、外网出方向,专有网络的安全组设置分成内网入方向、内网出方向。
- 快照、能够设置快照规则、执行快照管理操作。
- 镜像、选择镜像、制作自定义镜像、共享镜像、跨区域同步镜像。
- 标签、给ECS实例打标签,方便大量实例的管理。
排除问题
- ECS实例操作系统、操作系统出了问题可以初始化,可以恢复快照。
- 服务器登陆、很多时候登陆不上服务器都是操作系统自身防火墙设置的问题,可以通过阿里云的控制台登陆上去修改操作系统防火墙。
- 及其他产品、ECS和负载均衡、对象存储等产品结合时产生的问题。
ECS和阿里云其他产品结合的解决方案
- SLB、在一组ECS前面放个SLB(负载均衡)可以解决单个服务器性能不足和单个服务器挂掉后服务可用性的问题。
- VPC、VPC中的ECS可以通过VPN或专线连接用户的自建数据中心。
- OSS、OSS可以做ECS集群的共享存储,对于多台服务器要共享访问的图片、音视频等数据可以放到OSS中,OSS可以提供近乎无限的存储空间。
- CDN、CDN可以加快图片、音视频等静态内容到达客户端的速度,因为这些内容已经缓存在离用户最近的地方了,阿里云全球有500多个CDN缓存节点,CDN的流量成本更低、用户体验更好。
- RDS、可以把关系型数据库从ECS中剥离,使用阿里提供的数据库服务RDS,RDS有专业团队维护,安全性更有保障,而且支持在线弹性扩容升级。
- 弹性伸缩、针对弹性浮动的负载,可以通过弹性伸缩设置自动扩展和伸缩操作,动态的增加和减少集群中ECS实例的数量。
- 云盾、云盾是阿里云安全产品的总称,包括一大票产品,后面再介绍。
- 云监控、云监控负责ECS、RDS、SLB等这些产品的监控和报警。
弹性伸缩
虽然弹性伸缩相关的试题分值只占10%,但以我的经验来看,没能通过的同学,有很大程度上都是折在这弹性伸缩的10%上,所以说,弹性伸缩对于通过认证是非常重要的。
和弹性伸缩有关的概念有
- 伸缩组、一个容器,弹性伸缩的所有配置对象都包含在伸缩组中。伸缩组的配置包括最大和最小实例数、相关的RDS和SLB配置。
- 伸缩配置、在进行弹性伸缩时,如果要增加ECS实例,ECS实例的配置,包括实例的规格(CPU、内存、磁盘、网络配置),使用的镜像。
- 伸缩规则、增加或减少多少个实例,或直接调整实例个数到指定的数量。这里仅有增减动作的配置,不包括什么情况下,或什么时间进行伸缩。
- 伸缩活动、伸缩活动就是增减ECS实例的动作,ECS还是虚拟机,进行实例分配和启动还是需要一定的时间的,伸缩速度方面容器更有优势。
- 伸缩触发任务、设定在什么情况下触发伸缩规则,支持和云监控联动的条件触发或简单的定时触发伸缩规则。
- 伸缩模式、包括定时模式就是定时触发、动态模式是基于负载变化的触发、固定数量模式通过设定伸缩组的最小实例数来保证总有多少个实例可以对外提供服务,此外还有自定义模式、健康模式等,这些模式可以组合在一起使用。
- 冷冻时间、在触发一个伸缩活动之后,为避免集群过于频繁的负载抖动,会将自动伸缩活动冻结一段时间,这就是冷冻时间。
和弹性伸缩有关的适用对象、使用操作、排除问题、解决方案
- 常用应用场景、弹性伸缩适合对自动化有一定要求但同时又不想研究阿里云API的用户,其实弹性伸缩的所有功能通过阿里云API都能实现,也更加灵活。
- 使用操作、在操作上只要明确了相关概念,配置其实很简单。
- 排除问题、和操作一样,主要的问题来自概念不清。
- 解决方案、弹性伸缩通常和ECS、SLB(负载均衡)一起使用,通过弹性伸缩增加的ECS实例会被自动的添加到SLB之下。
负载均衡SLB
负载均衡相关的试题占15%的比重,和负载均衡相关的概念有
- 负载均衡定义、能够将访问流量根据转发策略分发到后端ECS服务器的云服务、一方面提升访问流量的处理性能、另一方面提高业务连续性。
- 实现原理、阿里的负载均衡是在开源LVS(4层负载均衡)、和Tengine(7层负载均衡)的基础上打造的,自身具有高可用设计,不必担心SLB服务本身的可用性。
- 支持协议、SLB支持4层(TCP和UDP)、7层(http和https)负载均衡。
- 会话保持、有些遗留应用的状态信息保存在服务器上,一旦用户使用了一台服务器(比如在一台服务器上登陆成功)就希望在一段时间内一直使用该服务器,这时就需要用到会话保持功能,4层的回话保持是基于源地址的会话保持、7层的会话保持基于Cookie(支持植入和重写)。
- 健康检查、SLB会一直持续不断的监视后端ECS服务器的状态,如服务器无法响应请求将自动将该服务屏蔽,待该服务器通过检测后在重新启用。针对4层支持端口检查、针对7层支持对缺省首页或指定URL发起http head请求,根据http返回状态判断服务器健康情况。
- 后端服务权重、对于性能不同的服务器,SLB支持分配不同的权重,在分配流量时可以选择基于权重的转发策略,性能高的服务器可分配更多流量。
- 证书、SLB支持导入安全证书,从而提供https卸载功能,降低对后端ECS服务器的处理压力,SLB目前仅支持PEM格式的证书。
- 转发策略、SLB支持通过三种策略向后段服务器转发流量:加权轮询、加权最小连接数、轮询。
适用对象、使用操作、解决方案
- 产品优势、我认为最主要的优势是便宜,便宜到免费的地步,目前阿里云的SLB其实收的还是流量带宽和IP地址的占用费,SLB实例是免费提供的。
- 适用场景、适用于所有使用ECS的场景,哪怕目前就一台服务器,毕竟SLB本身是免费的嘛。另外,SLB还有一个很多人都不知道的应用场景:那就是解决黑洞问题、当ECS服务器因DDOS攻击被拉入黑洞时,可以给服务器配个SLB,立马就能访问了。
- 操作、SLB的配置就是实例申请、开通监听、添加后端ECS这么简单。
- 注意事项、4层的会话保持有时会失败,主要的原因通常来自客户端使用了防火墙并配置了地址池,同一个客户使用了多个源IP访问SLB导致的识别失败,这时可以考虑使用7层的负载均衡。使用7层负载均衡时客户端真实的IP地址获取需要一定的配置,可以通过配置服务器端解析http header:X-Forwarded-For来获得。不同的WEB服务器配置不同,具体操作可以参考网站说明。
专有网络VPC
专有网络VPC在试题中占10%的比重。
首先还是熟悉概念
相关概念请阅读文档,理解定义,不再敖述。
VPC的适用对象
VPC专有网络的优势有
- 安全隔离、VPC实现了与VLAN类似的隔离效果,满足了机构客户对网络隔离性的要求。
- 访问控制、在VPC内还可以继续划分网段,结合内置的安全组访问控制规则可以实现精细化的网络访问控制。
- 软件定义网络、自动化配置,用户的自定义网络配置操作即时生效。
- 可接入组织内网、支持通过VPN、专线连接组织机构的内网,实现混合云网络。
VPC专有网络的适用场景
- 搭建混合云架构、VPC与用户的内网可建立专线或VPN连接,可实现阿里云ECS、RDS与内网服务器的互访,建议配置:VPC+高速通道(专线)+ECS+RDS。
- 提高安全性、通过在VPC中部署ECS和RDS实现与互联网的网络隔离,只通过SLB对外提供有限服务端口,提高服务器的安全性。建议配置:VPC+ECS+RDS+SLB。
- 单向对外访问、有些应用只希望单向的访问互联网而不希望在互联网上被访问到,例如抓取类服务、虚拟桌面资源池等。此时可利用VPC建立一个内网环境,再通过NAT网关实现对外的地址转换,VPC中的服务器就可以访问外网而外网则无法访问VPC中的服务器。建议配置:VPC+ECS+NAT网关。
- 多个应用共享带宽、如果应用之间在带宽使用上具有互补特性,可利用NAT网关的共享带宽包减轻波谷波峰效应,降低带宽使用成本。建议配置:VPC+ECS+NAT网关。
VPC专有网络的使用操作
- 创建专有网络、在创建专有网络时需要制定专有网络的名称、名称以大小写英文字母或中文开头,可以包含数字、中横线或下划线。此外,创建专有网络时需要指定网段范围,未来该VPC下的所有设备的IP地址均在此范围内,该地址段范围不可修改。
- 创建交换机、创建交换机时同样需要指定名称和网络地址范围,该地址范围需要是VPC地址范围的子集,VPC在一个地域内可跨多个可用区,而交换机则需要从属于某一个可用区。
- 申请EIP、VPC内的ECS实例可通过绑定EIP(弹性公网IP)来获得公网IP,申请EIP时如果采取按量计费的方式时需要指定地域、带宽峰值(软限制,可随时调整,防止突发流量过高造成成本失控),带宽峰值与成本无关。如果采取固定带宽方式则指定地域、带宽,此时带宽决定成本。
- 维护路由表、除了系统自定义的路由条目外,用户可增加或删除自定义路由,自定义路由条目在建立时需要指定目标网段用于转发地址匹配,一旦匹配后数据将发送到该路由表指定的下一跳设备,下一跳可以是ECS服务器(该服务器可能是一台网关设备),下一跳也可以是路由器接口,该路由器接口连接了高速通道服务接入了用户的数据中心内网。
排除问题、监控、运维
- VPC专有网络的限制、默认情况下单个账号只能建立两个专有网络,鉴于这两个实在不够用,在每个区域,阿里为用户额外提供了一个默认专有网络,在这个默认专有网络中在每一个区域中都默认创建了一个默认交换机(不占交换机的配额),此外,用户还可以继续创建自定义的交换机,默认专有网络和默认交换机的地址范围是由系统指定的,用户无法修改。专有网络内最多只能创建24个交换机、每个专有网络只有一个路由表,路由表中最大可以有48个路由条目。
- EIP弹性IP只支持VPC内的ECS,一个弹性IP只能绑定在一个ECS实例上、一个ECS实例也只能绑定一个EIP实例,为避免公网IP地址的浪费,用户能够申请的弹性IP总数不能超过20个。
解决方案
- VPC互联方案、VPC与VPC之间、VPC与客户的数据中心内网之间都可以通过高速网络实现互联。
- 高速通道、高速通道是阿里云推出的专线产品,高速通道在各个阿里云数据中心所在地域设有一个或多个接入点,用户自行拉专线或借助于第三方通信公司的专线接入该接入点后即可使用高速通道将私有云数据中心与阿里云VPC实现互联。
- 第三方防火墙、阿里云VPC中可在ECS实例中部署第三方软件防火墙,通过该防火墙的IPSEC VPN可与另一端VPC或者私有云数据中心的软件或硬件防火墙建立VPN通道实现互联。
- 负载均衡、在VPC内也可部署负载均衡,目前,阿里云在VPC内的负载均衡是免费的。
- 对象存储、在VPC内部也可以使用OSS的内网地址访问OSS,但OSS在VPC内具有专用的接入点。
对象存储OSS
对象存储占15%,已经是很高的比重了,是仅次于ECS的产品。
概念、概念、概念
- 地域、OSS的地域概念和ECS一样都是指所在的物理位置,不过OSS是不存在可用区概念的,用户不用关心数据存储在哪一个可用区,阿里会帮你复制多份。
- Bucket、OSS是对象存储,所有的对象都是放在Bucket(桶)里存储的,在一个Bucket里可以存储近乎无限的对象。在一个地域,可创建多个Bucket,创建Bucket时阿里会自动绑定一个域名,因此Bucket的命名是全局唯一的,你用了这个名字,其他人就用不了了,这个域名和地域无关,换个地域一样冲突。
- Object、对象存储就是用来存储对象的,对象就是一个文件,单个对象最大到48.8TB。
- 防盗链、阿里云的OSS是按照下载流量收费的,别人盗用了你的资源,你来付钱,所以要解决非法盗链的问题。
- 对象生命周期、对象一旦上传就不可修改,可以覆盖,删除,不支持修改部分内容。对象可以通过设定生命周期策略实现过期自动删除。
适用对象
- 产品优势、首先是不丢数据,数据持久型十个九高可用,其次是高安全、低成本、最后是支持图片处理、音视频转码、图片内容鉴别等增值服务。
- 应用场景、OSS可用于海量图片和音视频文件的存储、可用于网站或移动应用的动态资源和静态资源分离,解放服务器资源,减少带宽成本。还可用于云端海量数据处理,大数据的海量非结构化数据可先存储于OSS再通过云计算的能力转化为结构化数据。
- 计费模式、支持按量和资源包两种计费方式,资源包通常具有使用期限。资源包具有三种类型:存储包、数据存储在OSS中的存储量;外网流出流量包、从OSS下载数据时的流量;CDN回源流量包、阿里CDN和OSS结合时,如CDN中无用户访问的对象,则CDN服务会通过专用线路从OSS回源下载用户访问的对象,该流量成本比公网成本低。
使用操作、排除问题、解决方案
- Bucket的权限、创建bucket时需要指定读写权限:私有、公共读、公共读写,私有一般用在应用程序的内部存储上、公共读用的比较多,公共读写考虑到安全很少使用。
- OSS的图片处理能力、图片存储于OSS中后,可以通过阿里云的图片处理API进行图片的裁切、缩放、加水印、叠加等操作,图片处理API通过http请求调用,多个处理操作在一条请求中可顺序放置、阿里云将逐一执行。为简化图片处理过程,阿里云OSS支持自定义样式。
- 鉴黄服务、阿里云绿网的鉴黄服务是与OSS协同工作的,图片需要先存储在OSS的bucket中,然后对阿里云开放权限,阿里云绿网即可读取图片进行识别。
- 媒体转码服务、阿里云MTS媒体转码服务可与OSS一起使用,视频文件可存储于OSS中,再调用MTS转码服务转换为目标编码,另外MTS还支持实时转码。
- 内容分发网络CDN、阿里云CDN支持和OSS协同工作,OSS的Bucket可以直接绑定CDN服务,自动对OSS中存储的内容提供就近加速服务。
CDN 内容分发网络
CDN只占5%,重点是理解概念。
概念、还是概念
- DNS 解析、网站的域名需要通过DNS服务解析为IP地址才能访问。阿里云CDN需要借助于DNS解析来发挥作用,也就是说有了域名才可以进行CDN加速。
- 智能DNS、CDN服务使用的智能DNS根据用户使用的DNS服务器的位置来返回离用户最近的加速节点的IP地址。
- CNAME、通过CNAME记录可定义某个域名的别名,DNS缓存服务器在获得一个CNAME域名后会继续解析该域名直到查询到A记录为止。用户在使用CDN时,需要将需要加速的域名记录从A记录修改为CNAME类型的记录,记录后面的域名是阿里云CDN提供的,DNS加速服务器在获得该域名后会查询该域名的IP地址,而阿里云CDN针对该加速域名启用了智能DNS解析,会根据客户使用的DNS服务器的位置返回一个离用户最近的CDN加速节点的IP地址。
- 缓存、用户在获得CDN加速节点的IP地址后会就近向该IP地址请求所需的资源而避免长途奔袭从源站下载,从而加快了用户的响应速度,改善了体验。
- 边缘节点、就是离用户最近的CDN加速服务节点,阿里云在全国各运营商假设边缘节点,目前已经有500多个边缘节点。
- 加速域名、阿里云利用智能DNS技术提供的专用域名,用户使用CDN服务时需要将原有的域名的A记录修改为CNAME记录,CNAME记录中填写的就是阿里云提供的加速域名。
- 回源、在CDN加速节点中无所需的资源时,CDN加速节点回访问源站取得资源,该动作称为回源。回源动作需要占用公网流量,但阿里云OSS结合CDN使用时可以通过专用网络线路回源,成本较低。
CDN服务整体工作过程如下:
适用对象、排除问题、解决方案
- 产品优势、阿里云CDN具有500+节点、单节点带宽40G+、单节点存储40TB—1.5PB,95%命中率,ms级响应,视频95%+流畅率。
- 应用场景、CDN可用于网站加速、视频点播、直播、移动应用加速。
- 计费模式有两种,按量和日带宽峰值、除非流量曲线非常平直,否则不适合使用日带宽峰值方式,按量计费可购买流量资源包。
- 解决方案、除了结合ECS、OSS实现网站、移动APP的内容加速外、目前大热的视频直播服务大量的在使用CDN服务。在阿里云上开通视频直播服务后,会得到一个推流地址,通过该推流地址推送的视频流会自动的通过阿里CDN服务进行加速。
云安全、云盾、云监控
云盾的一堆产品和云监控一起占10%的比重。
这下直接看产品吧
- DDOS基础防护、阿里云免费提供了5G+的DDOS防护能力,用户在加入了安全信誉联盟后还可以再获得额外的防护能力,据说有的用户已经获得20G+的免费DDOS防护能力了。
- DDOS高防IP、如果用户希望获得更高的DDOS防护能力,可以额外购买DDOS高防IP,DDOS高防IP在专用的高防机房提供服务,该机房靠近互联网主干,可以防御数百G的攻击流量。高防IP具有三种类型:三线(BGP、电信、联通)、双线(电信、联通)、BGP单线。三线、双线高防IP推荐使用CNAME接入方式,当其中一条线路被攻击后,阿里云智能DNS将动态返回其他线路的IP地址。
DDOS高防IP和DDOS基础防护的架构对比
- 安骑士、是阿里云提供的服务器安全解决方案,通过安装在服务器上的轻量级Agent代理程序与云端安全控制中心联动来保障服务器安全。安骑士具有免费的基础版、以及收费的专业版、增强版、企业版。安骑士按照安装的服务器台数进行收费,安骑士通过安装Agent代理程序支持对阿里云外的服务器提供防护。安骑士的主要功能包括:木马查杀、补丁管理、基线检查(高级版,基础版基线检查很简单)、主机访问控制(增强版)、安全运维(企业版)等。
- 绿网、阿里云绿网提供了内容检查服务,打开绿网的网站内容检查开关后,阿里云自动扫描用户网站内容,发现非法内容将自动向用户发送报警信息,内容检查支持自定义词库。绿网还具有黄色图片鉴别功能,用户将图片存储在OSS中,即可通过绿网的鉴黄服务自动识别海量图片。
- 态势感知、态势感知结合云端大数据和用户的安全资产情况对用户的安全态势进行分析,根据当前流行的网络安全攻击手段对用户提出建议。态势感知以数据可视化的方式提供友好的展示界面,态势感知提供免费、专业版、企业版三个版本,专业版提供漏洞扫描功能,提供的安全建议也更加详细,企业版在专业版的基础上增加了10块可视化大屏的功能,还支持通过云端数据对用户组织机构内人员的安全情况分析,比较适合机构客户使用。
- 服务器安全托管、对于有更高安全需求的客户,阿里提供有专人提供的安全托管服务,托管服务由阿里专业安全专家提供,适用于大型活动保障、关键服务加固以及攻击后的恢复。
- 云监控、云监控是阿里免费提供的,具有云服务监控(ECS、RDS、OSS、等等所有阿里云服务产品)、站点监控(指定URL,支持HTTP、FTP、TCP等协议)、自定义监控(自定义指标进行组合)的云端监控产品,要自己搭建一套这么完备的监控系统还是要花一大把时间的,现在阿里免费提供给用户了。云监控结合阿里的MNS消息服务还可以将监控事件通过消息系统发送给客户自己的监控系统实现更加灵活复杂的监控功能。
- WAF、WEB应用防火墙、针对WEB攻击最好的防护手段就是启用WAF,WAF的使用和CDN一样,需要用到CNAME域名,客户需要将自己域名的A记录替换为CNAME记录,CNAME记录填写的内容就是阿里WAF提供的接入点域名。阿里云WAF支持防护SQL注入、XSS跨站脚本(脚本注入)、常用WEB服务器插件漏洞的防护,此外还支持CC攻击的防护(耗尽服务器端资源)。一般的黑客在攻击服务器时,通常都会首先尝试利用服务器端漏洞、如无法得逞就会尝试SQL注入或XSS来获取用户信息
使用操作、识别销售机会
- DDOS基础防护的使用、很简单,默认就是开启的,需要手工开启的是安全信誉联盟,加入后会根据消费额度和信誉情况升级DDOS基础防护的防护上限。
- 安骑士、阿里云ECS是默认安装安骑士的、云外的服务器需要手工安装,按照安骑士控制台提升的方式进行即可,安骑士控制台上还可以查看安全事件、进行基线扫描等操作。
- 态势感知、态势感知的基础版本提供的信息较少,升级到专业版之后就可以进行漏洞扫描、升级到企业版之后还可以启动大屏展示。
- 绿网、开启或选择不开启网站内容检查、不开启的话出现不合规内容被阿里发现也要关停网站的。开启也没有额外费用,出现了问题还会报警,为啥不开启呢?
- 云监控产品、云监控产品支持按照业务的角度将各种服务放入业务组中进行统一管理。支持自定义的监控大盘,用户可以根据自己的喜好将各种指标放入大盘中显示。
- 销售机会、当有DDOS攻击时,免费的流量上限被攻破时,可以选择高防IP。当有密码暴力破解的威胁时,可以选择安骑士、态势感知。当存在WEB攻击时,可以选择阿里WAF防火墙。对于常见的安全威胁,安骑士、态势感知、WAF应该是足够用了。
云计算通用知识
最后的这一部分占比5%,如果没有概念的话,看看科普文章就够了。
原文地址:https://mp.weixin.qq.com/s/K1cAdw4rU6tSy45Fz1S75g
每日一题:https://mp.weixin.qq.com/s?__biz=MzI1MTM0MjQyMA==&mid=100000404&idx=1&sn=c09a642c598906ae27c077a49f31e12b&scene=19#wechat_redirect