课件:https://gitee.com/HanFerm/technical-documentation/tree/master/阿里云acp教材
本文档为公开内容
内容范围:
ECS是由多个并列又相互关联的产品概念组成:
实例(Instance)/ 实例规格(InstanceType)
磁盘(Disk)/ 快照(Snapshot)
镜像(Image)
虚拟专有网络(VPC, Virtual Private Cloud)/ EIP
安全组(Security Group)
地域(Region)/ 可用区(Zone)
实例(Instance) 是提供计算服务的最小单位,由vCPU、内存、系统盘和镜像组成。
实例规格(InstanceType)定义了实例的vCPU和内存的配置,代表能提供的计算能力。
入门级实例 VS 企业级实例 本质区别:非绑定CPU调度模式 固定CPU调度模式
系统盘:ECS必选组件,随ECS一起创建。 建议系统盘大小至少为40G
系统镜像:阿里云提供了多个Window和Linux发行版本。
磁盘快照:是磁盘数据在某一个时间点的拷贝,可以方便的创建实例的快照,保留某个时间点上的
系统数据状态,作为数据备份,或者制作镜像。
自定义镜像:从一个实例的系统盘快照,可以创建自定义镜像。当需要大规模复制同样的云服务器
时,自定义镜像是必不可少的,自定义镜像是可水平扩展的web层的自动伸缩服务的基础
VPC 基于软件定义网络(SDN)和隧道技术(Tunneling),为用户建立隔离的、可自定义的虚拟专有网络。
1、提供 VLAN 级别的安全隔离,阻断外部网络通讯;
2、用户可以自定义网络拓扑,包括选择自有 IP 地址范围、划分网段、配置路由表和网关等;
3、通过专线或VPN与原有数据中心连接,云上和云下的资源使用同一个网络地址规划,实现应用的平滑迁移上云
是阿里云上的虚拟防火墙。每个ECS实例至少要加入一
个安全组,同一安全组中的ECS拥有共同的安全策略。
安全组规则:
指定了一个或多个防火墙规则,规则包含容许/拒绝访
问的IP、端口等。
典型的规则由:source(ip range或安全组),
protocol, port, policy(accept/deny), network
type(内网或公网)组成
是一种可以附加到专有网络VPC类型ECS实例上的虚拟网卡。通过弹性网卡,您可以在任何阿里云地域下实现高可用集群搭建、低成本故障转移和精细化的网络管理
弹性网卡类型:主网卡:在创建专有网络实例时随实例默认创建的弹性网卡称作主网卡。主网卡的生命周期和实例保持一致,无法分离
主网卡与实例。
辅助网卡:可以创建辅助网卡,并将其附加到实例上或从实例上分离。每个实例能附加的辅助弹性网卡上限与实例规格相关
标签
标签可以识别资源和用户组别,允许企业或个人将
相同云服务器ECS资源归类。便于搜索和资源聚合。
•支持添加标签的ECS服务或功能为:
ECS 实例、存储(包括云盘和共享块存储)、快
照、镜像和安全组等。
•每个标签都由一对键值对(Key-Value)组成。
•每个实例最多可以绑定20个标签,每次最多绑定
或解绑20个标签。
•每个
资源的任一标签的标签键(Key)必须唯一,
相同标签键(Key)的标签会被覆盖
可以通过ECS管理控制台查看当前支持的权益和ECS资源的配额。如果某项资源的配额无法满足业务需求,可以申请提升配额
是控制实例分布的策略,能在创建ECS实例的时候就设计容灾能力和可用性。
可以自动地批量地执行日常维护命令,完成运行自动化运维脚本、轮询进程、安装或者卸载软件、更新应用以及安装补丁等一些日常任务
云助手应用
应用场景:
运行自动化运维脚本
运行实例上已有的脚本
软件生命周期管理
部署代码或者应用
轮询进程
安装补丁
从OSS或者yum源获取更新
修改主机名或登录密码
目录
\1. 阿里云盘古功能及原理简介
1.1 什么是盘古
1.2 盘古功能特性
1.3 盘古原理简述
\2. 阿里云块存储产品介绍
\3. 其他块存储产品简介
\4. 阿里云NAS简介
盘古在飞天中的地位——飞天底层统一存储平台
盘古的优势
盘古系统在一个核心基础层之上,通过为不同应用场景而抽象的适配层设计,提供了分布式块存储系统和分布式文件系统两种形态,基于这一套系统同时提供对象存储、块存储、文件存储以及大数据等一系列服务。
三副本强一致
三副本位于不同故障域,故障时自动数据复制
块存储优势:数据备份能力
• 基于分布式多副本技术,结合云盘快照技术,满足数据持久化保存需求
• 通过预先设置自动快照策略来实现自动快照功能,定期为块存储上的业务数据做备份
块存储优势:数据加密功能
ECS云盘加密:阿里云通过ECS磁盘加密功能实现对云盘和共享块存储的数据加密,提供了一种简单的安全的加密手段,能够对新创 建的云盘进行加密处理
云盘加密的依赖 :ECS 云盘加密功能依赖于同一地域的密钥管理服务,但是无需到密钥管理服
务控制台做额外的操作,除非有单独的KMS 操作需求。
• 数据盘在同一时间,只能挂载在1个实例上;可设置是否随实例一起释放
• 只支持按量付费,每个小时收取上一小时产生的费用
• 快照是某一时间点上一块云盘和共享块存储(以下简称磁盘)的数据状态文件。
• 常用于数据备份、磁盘恢复、更换操作系统和制作自定义镜像等。
• 按类别分为手动快照和自动快照
快照链:快照链是一块磁盘中所有快照组成的关系链,一块磁盘对应一条快照链,所以快照链ID即磁盘 ID。
一条快照链会包括以下信息:
• 快照节点:快照链中的一个节点表示磁盘的一份快照。
• 快照容量:快照链中所有快照占用的存储空间
应用场景 :
数据日常备份,应对误操作、攻击、病毒等导致的数据丢失风险
• 快速数据恢复,回滚磁盘数据
• 对生产数据创建快照,为数据挖掘、报表查询和开发测试等应用提供近实时的真实数据
ECS提供了以下四种灵活多样的镜像种类:
• 公共镜像
• 自定义镜像
• 云市场镜像
• 共享镜像
获取镜像的方法
• 根据现有的ECS实例创建自定义镜像。
• 选择其他用户共享给您的镜像。
• 把线下环境的镜像文件导入到ECS的集群中生成一个自定义镜像。
• 把自定义镜像复制到其他地域,实现环境和应用的跨地域一致性部署。
使用限制
除公共镜像外,阿里云的自定义镜像、云市场镜像和共享镜像是地域级别的资源,镜像资源会因为地域不同而不同。
需求:重要的数据文件需要放置在共享块存储上,并通过集群文件系统对共享块存储进行统一管理。在前端多个计算节点并发进行读写访问时,保持数据在多个节点间的一致性。
场景:重要的数据文件需要放置在共享块存储上,并通过集群文件系统对共享块存储进行统一管理。在前端多个计算节点并发进行读写访问时,保持数据在多个节点间的一致性。
文件存储NAS
• 企业内部文件数据的存储
• NFS/SMB访问协议,不同操作系统之间共享数
据访问能力
• 线性扩展的吞吐能力
• 容灾能力强
• 面向PB级别的数据存储与访问场景
小结
\1. 盘古在飞天中的位置是什么,它最主要的特性有哪些?
\2. 标准的块存储分为哪几类,它们之间的异同各是什么?
\3. 磁盘的快照与镜像之间的区别和联系是什么?
\4. 本地盘有哪几类,它们的应用场景分别是什么?
\5. 共享块存储最主要的用途是什么?
\6. 文件存储NAS支持几种协议,典型应用场景是什么?
什么是对象存储
• 阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云提供的海量、安全、低成本、高可靠的云存储服务。
• 它具有与平台无关的RESTful API接口,能够提供99.999999999%(11个9)的数据可靠性和99.99%的服务可用性。
• 您可以在任何应用、任何时间、任何地点存储和访问任
意类型的数据
请求路由规则
\1. OSS 使用域名系统(DNS, Domain Name System)将请求发往正确的服务器
\2. 从 URL 中通过三级域名提取 bucket 名称,然后将请求路由到 Bucket 所在的数据中心,即所谓的三级域名访问方式
\3. 当一个数据中心的 OSS 服务器收到属于其他数据中心 bucket 的请求时,OSS服务器会返回 HTTP 403(禁止访问)错误码,并在 HTTP 消息体内提示正确的数据中心服务域名
OSS使用快速入门:下载文件
OSS提供三种下载方式:
OSS实践1:数据备份与跨域复制
能够提供
异地容灾:通过跨区域复制功能可在另一数据中心维护副本,实现异地容灾
数据合规:在远距离的OSS数据中心之间复制数据以满足数据合规性要求
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v9VQwPkp-1643479376801)(C:/Users/HAN/AppData/Roaming/Typora/typora-user-images/image-20220130012812321.png)]
CDN的产生背景
时延——用户请求网页到网页最终呈现的时间差。时延是由多种因素造成的,其中普遍存在的因素是用户和网站服务器的物理距离。
8秒定律:用户满意的网页打开时间是在2秒以下,如果等待网页打开的时间超过8秒,会有超过30%的用户放弃等待。
造成网络拥塞的原因:
"第一公里”
"最后一公里”
对等互联关口
长途骨干传输
网站管理者面临的问题场景
场景1:一个企业的网站服务器在北京,运营商是电信,在广东的联通用户
访问企业网站时,因为跨地区,跨运营商的原因,网站打开速度就会比北京
当地的电信客户访问速度慢很多,很容易造成这个企业的客户流失。
场景2:一个网站的服务器性能比较差,承载能力有限,有时面临突发流量,
招架不住,直接导致服务器崩溃,网站打不开,尤其是电商网站在节日期间,
因为这种情况网站打不开,销售额白白流失的占比都高涨至60%。
场景3:一些中小企业租用的虚拟主机,因为跟好几个网站共用一台服务器,
每个网站所分带宽有限,带宽过小经常导致流量稍微一多,网站打开速度就
很慢,甚至打不开。
CDN解决了哪些问题?
\1. 不用担心自己网站访客,在任何时间,任
何地点,任何网络运营商,都能快速打开网站。
\2. 各种服务器虚拟主机带宽等采购成本,包
括后期运维成本都会大大减少。
\3. 给网站直接带来的好处就是:流量,咨询
量,客户量,成单量,都会得到大幅度提升。
CDN,通俗理解就是网站加速,可以解决跨运营商,跨地区,服务器负载能力过低,带宽过少
等导致的网络响应速度慢的问题
阿里云内容分发网络(Content Delivery Network,简称CDN)是建立并覆盖在承载网之上、由分布在不同区域的边缘节点服务器群组成的分布式网络。替代传统以Web Server为中心的数据传输模式,将源站资源缓存到阿里云全国各地的边缘服务器,供用户就近快速获取,提升用户体验,降低源站压力。
CDN产品功能(一)-HTTPS安全加速
全链路内容加速分发
客户端访问、节点间互联、回源请求均支持HTTPS加密技术,仅需开启安全加速模式后上传
加速域名证书/私钥,支持对证书进行查看、停用、启用、编辑操作
强制HTTPS跳转
加速域名开启“HTTPS安全加速”的前提下,支持自定义设置,将用户的原请求方式进行强
制 HTTPS 跳转
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YLc5zZrM-1643479376804)(C:/Users/HAN/AppData/Roaming/Typora/typora-user-images/image-20220130013048039.png)]
阿里云RDS概述
阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠、可弹性伸缩的
在线数据库服务。基于阿里云分布式文件系统和SSD盘高性能存储,RDS支持MySQL、SQL
Server、PostgreSQL和PPAS(Postgre Plus Advanced Server,高度兼容Oracle数据库)引擎,
并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。
云数据库RDS支持五种数据库引擎:
云数据库RDS提供两种实例规格族:通用型和独享型
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Mc4Fu7lf-1643479376810)(C:/Users/HAN/AppData/Roaming/Typora/typora-user-images/image-20220130013600229.png)]
DMS简介
数据管理(DMS,原iDB Cloud)是一款访问管理云端数据的WEB服务,支持MySQL、
SQL Server、PostgreSQL和ADS等数据源,覆盖RDS、ADS、TAE和万网等阿里云环境。
SLB的定位
阿里云SLB:是阿里云结合自身弹性计算平台的特点以及强大
的技术优势,提供的一套软件负载均衡解决方案,以更好的满
足弹性计算平台负载均衡的需求。
什么情况下使用SLB?
简单说就是单台云服务器不能满足需求的时候
使用多台云服务器进行流量分发,提升服务能力
使用多台云服务器消除单点故障,提升可用性
采用集群部署,当前提供四层(TCP协议和
UDP协议)和七层(HTTP和HTTPS协议)
的负载均衡服务。
系统由三部分构成:四层负载均衡、七层
负载均衡、控制系统。
• 四层:LVS+Keepalived
• 七层:Tengine
来自外部的访问请求,通过负载均衡实例并根据相关的策略和转发规则分发到后端云服务器进行处理
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wTJFV2qN-1643479376819)(C:/Users/HAN/AppData/Roaming/Typora/typora-user-images/image-20220130015708829.png)]
四层:支持TCP/UDP
基于连接做流量调度。TCP和UDP创建一
个socket访问负载均衡实例,这个源和目的
IP和端口就是一个连接。
• 七层:支持HTTP/HTTPS
基于请求做调度。比如:http get请求访
问一个页面。
• WS/WSS协议支持:
无需配置,当选用HTTP监听时,默认支
持无加密版本WebSocket协议(WS协议);
当选择HTTPS监听时,默认支持加密版本的
WebSocket协议(WSS协议)
针对HTTPS协议,提供统一的证书管理服务。证书无需上传到后端ECS实例,解密处理在负载均衡上
进行,降低后端ECS实例的CPU开销
监听转发/HTTPS重定向
SLB支持通过将HTTP监听转发至HTTPS监听,
实现HTTPS重定向。
配置方法:
1、创建HTTPS监听
2、创建HTTP监听,在配置监听时,点击开启
“监听转发”功能,选择目的监听为上一步中
创建的HTTPS监听。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-u441nXl8-1643479376824)(C:/Users/HAN/AppData/Roaming/Typora/typora-user-images/image-20220130015847712.png)]
SLB提供监听级别的访问控制,即:为不同监听配置不同的访问控制策略。
支持黑名单、白名单两种访问控制策略,通过“访问策略组”进行黑/白名单的IP管理。
黑名单 白名单
注意:若开启了访问控制,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
弹性伸缩服务的产生背景
场景1:某视频公司,春晚或每周五热门节目来临时,如
临大敌,需要按负载自动弹性伸缩
场景2:某视频直播公司,无法预估业务负载情况,需要
根据CPU利用率、Load、带宽利用率,自动弹性伸缩
场景3:某游戏公司,每天中午12点,每天晚上6点~9点,
需要定时扩容
弹性伸缩(AutoScaling)是一种服务,可以自动调整弹性计算资源(ECS),以满足业务需求的变化。
应用场景:弹性扩张、弹性收缩、弹性自愈
最佳实践:多种伸缩模式结合
使用弹性伸缩,要提前判断、评估业务场景。
(1)定时伸缩模式(定时任务):基于已知的周期性变化,定时增加或减少ECS实例;
(2)动态伸缩模式(报警任务):基于云监控性能指标(如CPU、内存利用率),自
动增加或减少ECS实例,应对不可预期的变化;
(3)为了应对异常情况(如遭受黑客DDoS攻击),使用云监控及其报警功能,及时
发现问题、及时处理。或者使用云安全产品。
• 专有网络VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境,专有
网络之间逻辑上彻底隔离。VPC 主要提供了两个能力:
• 用户可以自定义网络拓扑,包括选择自有 IP 地址范围、划分网段、配置路由表和网关等;
• 通过专线或VPN与原有数据中心连接,云上和云下的资源使用同一个网络地址规划,实现
应用的平滑迁移上云。
• 路由器和交换机是VPC的两个基础组件’
路由器(VRouter)可以连接VPC
内的各个交换机,同时也是连接
VPC和其他网络的网关设备。
• 每个专有网络创建成功后,系统会
自动创建一个路由器。每个路由器
关联一张路由表。
• 交换机(VSwitch)是组成专有网
络的基础网络设备,用来连接不同
的云产品实例。
路由表与路由条目
弹性公网IP(Elastic IP Address,简称EIP),独立的公网IP资源,可以绑定到阿里云专有网络VPC类型的ECS、NAT网关、私网负载均衡SLB上,并可以动态解绑,实现公网IP和ECS、NAT网关、SLB的解耦,满足灵活管理的要求。
高速通道是一款为用户提供网络互连能力的产品,为用户实现高速、稳定、安全的私网互通。
高速通道可实现云下IDC接入阿里云、IDC与云上VPC互通以及云上VPC之间跨地域互通的能力
VPN网关
注意:阿里云VPN网关在国家相关政策法规内提供服务,不提供访问Internet功能。
VPN网关(VPN Gateway)是一款基于Internet,通过加密通道将企业数据中心、企业办公网络、或internet终端和阿里云专有网络(Virtual Private Cloud)安全可靠连接起来的服务
注意:阿里云VPN网关在国家相关政策法规内提供服务,不提供访问Internet功能。
NAT网关
NAT网关(NAT Gateway)是一款企业级的VPC公
网网关,提供SNAT和DNAT功能,支持多IP,支
持共享带宽,具备TGbps级别的集群转发能力和
Region级别的高可用性(跨可用区的容灾)
• IPv6网关(IPv6 Gateway)是专有网络(VPC)的一个IPv6互联网流量网关。
• 您可以通过配置IPv6互联网带宽和仅主动出规则,灵活定义IPv6互联网出流量和入流量
设置EIP网卡可见模式
• 弹性公网IP本质上是一个NAT IP。
• 由于普通模式(NAT模式)下的公网IP存在于网关设备,并不在ECS实例的网卡上,所以在操
作系统内看不到公网IP,只能看到网卡上的私网IP。
• EIP网卡可见模式功能使EIP在网卡上可见,解决了
上述问题:
EIP替换辅助弹性网卡的私网IP,辅助弹性网卡将
变为一个纯公网网卡,私网功能不再可用。
EIP在操作系统内部的弹性网卡上可见,可直接通
过ifconfig或ipconfig获取网卡上的公网IP地址。
EIP可支持全部IP协议类型,支持FTP、H.323、
SIP、DNS、RTSP、TFTP等协议。
VPC的网络规划
问题一,应该使用几个VPC?
问题二,应该使用几个虚拟交换机?
问题三,应该选择什么网段?
问题四,考虑一个比较复杂的业务系统,云上存在多个VPC且需要和云下IDC互通,如何规划网段?
ECS——安全组
安全组是一种虚拟防火墙,具备状态检测包过滤功能——网络安全隔离手段,用于在云端划分安全域;
当访问控制规则冲突时,优先级高的规则生效,优先级相同时,“拒绝”的规则生效
安全组应作为白名单使用,且遵循“最小授权”原则
• 云数据库 RDS 版——白名单
用户可定义允许访问 RDS 的 IP 地址,指定之外的 IP 地址将被拒绝访问,云服务器的IP地址加入到需要
访问的RDS的白名单后,云服务器才能访问RDS实例;
• 负载均衡——白名单
用户可定义允许访问 SLB 的 IP 地址,指定之外的 IP 地址将被拒绝访问,适用于应用只允许特定 IP 访
问的场景;
VPC的路由表和路由条目
VPC内网路由
VPC互连–高速通道连接两个VPC
VPC互连-- VPN网关连接两个VPC
高速通道物理专线连接专有网络和本地网络
VPN网关连接专有网络和本地网络
最佳实践:基于VPC构建混合云
混合云是目前应用比较多的一种形态,它将用户线下IDC和云上VPC连接起来,既保护了用户线下
IDC的现有投资,又充分利用了云的弹性,低成本等优势。
云环境面临新的安全问题
边界和责任越来越模糊 资产业务的多元化 安全威胁的预谋化
• 云的边界/安全责任(共担模型)越来越模糊 ,用户的保护资产涉及云上云下资产,且资产类型将越来越多元化。
• 云环境安全威胁、传统环境安全威胁攻击方式和手段由原先的撒网式无差别扫描攻击转向有预谋的定向攻击,且随着资产的变
化也在随之变化,例如IoT、移动安全 以上是挑战同时也是机遇,新的安全场景需要由新的方式来进行解决
云安全中心应用场景及功能:主动防御
• 基于系统内核分析技术实现防勒索、防病
毒、防篡改
防勒索、防病毒:实时拦截已知勒索病毒、
挖矿、蠕虫、DDoS等七类病毒
防篡改:防止网站被植入涉恐涉政、暗链、
后门等,保障网页正常
应用白名单:防止未经授权的应用异常启
动,影响业务正常运行
为什么要使用WAF?
Web应用防火墙(Web Application Firewall, 简称 WAF):是一款网站必备的安全产品。
传统Web应用防火墙用户的痛点
阿里云.云盾Web应用防火墙:是阿里云提供的一款新型WAF产品,它基于云安全大数据能力
实现运营+数据+攻防体系,综合打造网站应用安全。
云盾WAF的服务优势
DDoS(Distributed Denial of Service)即分布式拒绝服务攻击。
攻击主要目的是让指定目标无法提供正常服务,是最强大、最难防御的攻击之一。
近年出现的DRDoS(分布式反射攻击)让DDoS攻击水平迅速提升,互联网安全被网络暴力所威
胁。