阿里云ecs学习笔记：第五章：握负载均衡SLB、第6 章 ： 云上安全防护

前言：

最近，云计算7天实践训练营第二期开营了，因为早有关注，所以就报名了云计算7天实践训练营的进阶路线，今天学习了阿里云简介和掌握云服务器ECS，搞了笔记当作业。
这是高校计划的链接的链接，欢迎大家关注。

第五章：握负载均衡SLB

一、SLB产品概要

1.概念

负载均衡：负载均衡( Server Load Balancer)是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。

2.SLB可以做什么?

1.负載均衡( Server Load Balancer,简称SLB)是对多台云服务器进行流量分发的负載均衡服务。

• SLB可以通过流量分发扩展应用系统对外的服务能力,通过消除单点
  故障提升应用系的可用性

2.SLB服务通过设置虚拟服务地址(IP),将位于同一地域( Region)的多台云服务器(ECS)资源虚拟成一个高性能、高可用的应用服务池根据应用指定的方式,将来自客户端的网络请求分发到云服务器池中。
3.SLB服务会检查云服务器池中ECS的健康状态,自动隔离异常状态的ECS,从而解决了单台ECS的单点问题,同时提高了应用的整体服务能力
4.在标准的负載均衡功能之外,SLB服务还具备TCP与HTP抗DDoS攻击的特
性,增强了应用服务器的防护能力。
5.SLB服务是ECS面向多机方案的一个配套服务,需要同ESC结合使用。

二、SLB简介

1.SLB核心概念

阿里云SLB主要由3个基本概念组成:

• Loadbalancerf代表个SLB实
• Listener代表用户定制的负载均衡策略和转发规则
• Backend Server是后端的一组云服务器

• 2.SLB术语

• ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200625120639913.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzcxODQyNA==,size_16,color_FFFFFF,t_70

3.SLB主要功能

• 当前提供4层(TCP/UDP协议)和7层(HTP/HTTPS协议)的负载均衡服务。
• 可以对后端ECS进行健康检査,自动屏蔽异常状态的ECS,待该ECS恢复正常后自动解除屏蔽。
• 提供会话保持功能,在 Sessione的生命周期内,可以将同一客户端请求转发到同一台后端ECS上。
• 支持加权轮询(WR),加权最小连接数(WLC)转发方式,后端ECS权重越高被分发的几率也越大。
• 支持针对监听来分配其对应服务所能达到的带宽峰值。
• 可以支持公网或私网类型的负载均衡服务。
• 提供丰富的监控数据,实时了解SLB运行状态。
• 结合云盾,提供WAF及防DDOS攻击能力,包括CC,SY等。
• 支持同一地域( REGION)跨数据中心容灾,结合DNS还可以支持跨REGION容灾。
• 针对HTPS协议,提供统一的证书管理服务,证书无需上传后端ECS,解密处理在SLB上进行,降低后端 ECS CPU开销。
• 提供控制台,API,SDK多种管理方式。

三、SLB主要操作

四、SLB相关问题

1.SLB支持的协议有哪些

• SLB当前支持4层(TCP协议、UDP)和7层(HTPs协议)。

2.SLB服务本身解决了后端ECS服务的灾备问题,但如何避免SLB服务本身故障导致的单点问题?关于SLB的灾备,有什么好的建议?

• SLB实例后端的ECS可以是不同Zone下的机器,从而提高本地可用性。
• 在同一地域( Region)创建多个SLB实例,通过DNS轮询的方式对外提供服务,从而提高本地- 可用性。
• 在不同地域( Region)创建多个SLB实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。

3.SLB最多支持对几台ECS进行负载均衡服务?

• 我们不会限制用户在SLB实例后配置的ECS数量。但是,为了保证您对外服务的稳定与高效,我们建议您可以根据业务分类或应用服务的模块划分来将提供不同服务或执行不同任务的应用服务器配置在不同的SLB实例后。

4.不同操作系统的ECS可以同时做SLB服务吗?

• 可以。SLB本身不会限制后端的ECS使用哪种操作系统,只要您的2台ECS中的应用服务部署是相同且保证数据的一致性即可。但是,我们建议您选择2台相同操作系统的ECS进行配置,以便您日后的管理维护。
• 您也可以将您的ECS配置成无状态的应用服务器,而数据和文件统一存放在RDS和OSS服务上。

5.我有2台ECS,分别创建在杭州和青岛,为什么无法把他们添加到个SLB实例后面?

• SLB不支持跨地域( Region)部署,一个SLB实例后端的多台ECS必须处于同一地域( Region)才可以配置。

第6 章 ： 云上安全防护

一、互联网常见形式及安全威胁

1.2014年重要的安全事件

• 事件一、121中国互联网DNS大劫难2014年1月21日下年3点10分左右,国内.Cn域名根服务器出现异常,超过85%的用户遭遇了DNS故障,引发网速变慢和打不开网站的情况,持续数小时。
• 事件二、中国快递1400万信息泄露2014年4月,国内某黑客对国内两个大型物流公司的内部系统发起网络攻击,非法获取快递用户个人信息1400多万条。
• 事件三、12306用户数据泄露2014年12月25日,乌云漏洞报告平台报告称,大量12306用户数据在互联网疯传,内容包括用户帐号、明文密码、身份证号码、手机号码和电子邮箱等。
• 事件四、 Openssl心脏出血漏洞2014年4月爆出了 Heartbleed漏洞,该漏洞是近年来影响范围最广的高危漏洞,涉及各大网银、门户网站等。该漏洞可被用于窃取服务器蚊感信息,实时抓取用户的账号密码。

2.安全形势

3.常见威胁

DDo5攻击：

• 每周2000起左右
• 近一半攻击事件超过5G
• 几乎每周都有单IP超过1006大流量攻击

口令暴力破解

• 每周数亿次攻击
• 以SSH、RDP协议为主

Web应用攻击

• 每周数百万次攻击
• 以SQL注入攻击为主

二、阿里云安全体系

三、云盾的基础DDOS防护

１.安全相关的概念

２.DDoS攻击是什么

DDoS( Distributed Denial of Service)即分布式拒绝服务攻击。攻击主要目的是让指定目标无法提供正常服务,是最强大、最难防御的攻击之近年出现的 DRDOS(分布式反射攻击)让DDoS攻击水平迅速提升,互联网安全被网络暴力所威胁。

３.基础DDos防护的实现流程

４.　基础DDos防护的实现流程

５.基础DDos防护的主要功能

• 攻击流量的发现,牽引和自动处理
• 能有效抵御所有各类基于网络层、应用层的各种DDoS攻击包括最新 DNS Query Flood、 NTP reply Flood。
• 大数据分析技术实现全自动检测
  • 攻击策略全自动匹配
  • 总体响应时间<2秒
  • 清洗服务可用性99.99%

６.高防ＩＰ

７.高防IP接入流程

高防接入步骤
①DNS服务器更换对外服务P根据高防提VIP1,在DNS服务器把,把原域名IP1更换为VIPL
⑦流量完成切换,客户端向源站的访问流量直接流向VIP1,安全防护由高防接管。
③回源正常用户。回注方式与传统方式不同传统是要打上VPN标签进行回注隔离主机路由我们采用协议栈更換技术,把处理完成的流量再送给源站P1实现回注。

四、应用防火墙和安骑士

1.阿里云云盾-WAF

• Web应用防火墙( Web Application Firewall简称WAF)是一款网站必备的安全产品。
• 阿里云.云盾Web应用防火墙:基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全
• 通过防御SQL注入、XS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等 OWASP常见攻击;过滤海量恶意CC攻击;禁止恶意的接口滥刷,数据爬取
• 避免您的网站资产数据泄露,保障网站的安全与可用性。

2.云盾.AF的发展历程

十年Web攻防经验积累、淘宝/皮付宝都在用、双11性能稳定
2005.4阿里安全初创Web攻防研究
2013.3产品上线对阿里云用户开放
2015.11经历淘宝/天猫双11海量请求考验
2016.4集成CC防护精准防护功能商业化上线

3.云盾-MAF的应用场景

• 网站变卡、打不开恶意海量肉鸡访问网站资源被耗尽。
• 账号数据、资金损失：官网充值、商品交易、恶意免费/低价成交、盗取用户账户数据。
• 网站数据被恶意爬取：短信流量被滥刷数据接口被刷、如短信流量滥刷**网站用户数据信息被恶意爬取。
• 获取服务器管理员权限篡改网站数据、页面利用最新0day漏洞、命令执行注入、获取服务器管理权限、获取数据、篡改页面等各种危害

4.云盾-WAF的工作原理

5.阿里云云盾-安骑士

是云盾安全防护体系中的主机安全防护模块
基于云端联动防御,可以为云服务器提供防黑客入侵的服务
主要防护功能

• 木马查杀
• 防密码暴力破解
• 异地登录提醒
• 漏洞检测修复
  基于云端黑客检测模型,实时防护服务器安全

五、云监控功能

1.阿里云-云控

• 云监控( Cloudmonitor)是一项针对阿里云资源和互联网应用进行监控的服务。
• 云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务可用性,以及针对指标设置警报。
• 云监控服务能够监控云服务器ECS、云数据库RDS和负载均衡等各种阿里云服务资源,同时也能够通过HTTPICMP等通用网络协议监控互联网应用的可用性。
• 借助云监控服务,您可以全面了解您在阿里云上的资源使用情况、性能和运行状况。借助报警服务,您可以及时做出反应,保证应用程序顺畅运行。

2.云监控功能概览

站点监控：提供对htt、ping、dns、tcp、udp、smtp、pop3、ftp等服务的可用性和响应时间的统计、监控、报警服务。
云产品监控：提供对eCs、rds、sIb、cdn、OCS、oS等云服务的监控报警服务。
自定义监控：对用户开放自定义监控的服务,允许用户自定义个性化监控需求。
报警及联系人管理：提供对报警规则,报警联系人的统一、批量管理服务支持多报警方式:短信、邮件、旺旺。

3.云监控CMS的应用场景

• 云监控可以帮助运维人员实时了解网络状态、获取监控指标。
• 在ECS部署时及时了解网络的运行状况,为后续网络升级提供性能指标。
• 在网络升级后,监控SLB的负载衡能否实现。
• 监控到的数据可以作为弹性伸缩服务ES的触发条件。