阿里云高校ACA笔记

阿里云ACA

阿里云概述：构建下一代信息经济基础设施强大的基础设施。

阿里云特点

规模最大的集群
多运营商BGP接入
最优质的CDN网络

阿里云设计理念：

• 大规模效应降低成本
• 多地域、多可用容灾
• 服务化方式开放
• 通用解决方案和行业解决方案

阿里云基础引用架构建议

  1. 前台逻辑：SLB——负载均衡，流量入口

  2. ECS——运行应用，高可用，

  3. 机构化数据类型：云RDS数据库

  4. 非结构化：oss对象存储

基础架构的简单介绍

• ECS云服务器：是处理能力可弹性伸缩的计算服务，帮助您快速构建刚稳定安全的应用弹性，安全（开机自带DDOS/CC）,按使用付费，应用的应用快照，
• SLB负载均衡服务：高可用（消除单点故障），低成本，安全，按量付费
• RDS关系型数据库：是一种稳定可靠性、可弹性伸缩的在线数据库服务 快速部署、高可用、可弹性升级、易维护
• OSS对象存储：海量、弹性、低成本、按量付费 断点续传，

云服务器ECS

云服务器是一种简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、更安全的应用，提升运维效率，降低IT成本。只需专注核心业务。

ECS是应用的基础运行环境

• 用户的应用程序运行在实例的操作系统之上
• 最简化的弹性架构
• ECS的弹性伸缩能力
• 水平（快速部署多台服务器），垂直（快速升级服务器的性能）

ECS的产品概念

I.实例，instance
2.磁盘，disk
3.快照，snapshot
4.镜像，image
5.安全组，security group
两个重要的逻辑位置概念

• Region 地域
• Zone 可用区

注意事项

同一地域两个可用区可是使用内网相互连接
安全组是可以跨可用区的
但是磁盘只能挂在一个可用区上
实例只能在同一个可用区进行迁移
快照和镜像是可以在Region内有效

云服务器ECS实例的介绍

CPU，内存，系统盘，运行的操作系统

磁盘的种类：

1. 基于飞天分布式文件系统盘古，每份数据存储 三个拷贝 分布在不同的交换机下、不同的服务器上。具有极强的数据可靠性，支持单独挂载。
2. 存储介质分为：
   1. SSD云盘：采用SSD云盘作为存储介质
   2. 高效云盘：采用固态硬盘和机械硬盘混合介质作为存储材料
   3. 普通云盘：采用机械硬盘作为存储介质

磁盘的操作：

创建磁盘、挂载磁盘、卸载磁盘、释放磁盘、回滚磁盘，扩容磁盘、更换系统盘

RDS产品概要

承担数据库管理任务
根据业务需求对RDS进行弹性伸缩
RDS可靠性保证
主从备份架构，高可用性和数据可靠性
99.95%的服务可用性和99.9999%的数据可靠性

RDS功能（一）

专业数据库管理平台DMS
DMS不仅仅是为RDS定制的数据库管理平台，还可使用户通过浏览器即可安全方便的进行数据库管理和维护
轻松实现数据库回溯
RDS能够提供备份文件将数据库恢复7日内任意时刻

RDS功能（二）

专业的数据库优化建议
RDS提供直观的慢SQL分析报告和完整的SQL运行报告，并提供如主键检查、索引检查等多种优化建议
完善的监控体系
RDS展示近20种性能资源监控视图，可对部分资源设置阈值报警，并提供WEb操作，sql审计多种日志

RDS实例（Instance）

实例是阿里云关系型数据库的运行环境
各实例之间相互独立、资源隔离、相互之间不存在CPU，内存，IOPS等抢占的问题
同一实例中的不同数据库之间是资源共享
RDS实例目前支持的最大内存为48G，最大磁盘容量为1TB

RDS只读实例

分担数据库压力，增加应用的吞吐量

RDS可用区

单可用区：有效控制云产品间的网络延时
多可用区：轻松实现同城容灾

地域（Region）

RDS数据库

是用户实例下的一个逻辑单元
一个实例可以创建多个数据库，命名唯一
MySQL实例最多可以创建500个数据库，而Sql server则只能够创建50个数据库
所有数据库都会共享该实例下的资源
RDS数据库账户
每个数据库账户可以用于多个数据库
同时每个数据库的读写权限被分配给多个数据库账号
一个账号可以创建多个实例
对于MySQL和SQL server，最多500个账号

RDS支持的最大链接数
RDS磁盘容量
RDS管理控制台 WEB模式

OSS产品概要

对象存储服务（Object Storage Service）对外的云存储服务
RESTFul API的平台无关性，容量和处理能力的弹性扩展、按量计费
海量、安全、高可靠性、低成本

OSS是面向互联网的分布式存储服务，
用户可以使用API或者WEB页面进行上传下载
弹性扩展
大规模：高并发、大流量读写
图片处理：支持缩略、裁剪、水印、压缩、格式转换
按需付费：

OSS的基本概念

Object

用户的每一个文件都是一个Object
文件大小限制
Object 包含 key、data、meta data

Bucket

每个Object必须都包含在Bucket
一个用户最多有10个Bucket
BUcket中的Object 的数量和大小总数没有限制
一个应用可以对应一个或多个Bucket
虚拟的存储空间

Access ID & Access Key（API密钥）

OSS访问域名

针对OSS的网络请求，除了GetService这个API以外，其他所有的请求的域名都是针对具体的Bucket的三级域名
bucketname.endpoint
endpoint根据bucket所在的数据中心不同，内外网的访问方式不同会有所区分

Object操作：

通过OSS控制台仅可上传小5GB的文件，如果大于5GB,可以通过API或者SDK进行上传
如果想要下载文件夹这种特殊的eObject，只能通过API或者SDK

OSS API调用说明

调用方式
外网调用
内网调用

OSS SDK进行开发

必须要创建Access Key
http://i.aliyun.com/access key/
ossFTP
OSSBrowser

阿里云OSS之静态网站的支持

网站静态内容存储在OSS Bucket中

负载均衡（Server Load Balancer）

是对多台云服务器进行流量分发的服务。
负载均衡可以通过分发扩展应用系统对外的服务能力
通过取消单点故障来提高应用程序的可用性

SLB服务中服务通过设置虚拟服务地址（IP），将位于同一地域的（Region）的多台云服务器资源虚拟成一个高性能、高可用的应用服务池

健康检查，当一台服务器出现故障，自动避开此台服务器，当服务器正常时，自动连接服务器
防DDoS攻击
SLB需要与ECS混合使用

SLB的主要功能

1. 当前提供4层（TCP/UDP协议）和七层（HTTP/HTTPs协议）的负载均衡服务会话保持，在一个Session的生命周期中，可以将听一个客户端的请求都在同一个ECS上
2. 加权轮询（WRR），加权最小连接数（WLC）
3. 支持针对监听来分配其对应服务所能到达的峰值带宽
4. 支持公网和私网类型的负载均衡服务
5. 提供丰富的监控数据
6. 结合云盾，提供WAF以及DDoS攻击能力，包括CC，SYN，FLOOD等
7. 支持同一区域（REGION）跨数据中心容灾，结合DNS还可以支持跨区域容灾
8. 针对HTTPS，提供统一的证书管理服务
9. 提供控制台，API，SDK多种管理方式

DNS轮询的方式对外提供服务

互联网常见的形式及安全威胁
感染网络病毒、被篡改网站、植入后门的网站、仿冒页面、安全漏洞
DDoS攻击，
口令暴力破解， SSH RDP协议
Web应用攻击 SQL注入

阿里云安全

防御：
服务器安全：安骑士
网络安全：DDoS高仿IP，Web应用防火墙
业务安全：反欺诈、绿网
数据安全：加密服务、证书服务
安全服务：云盾SOS服务
移动安全：移动安全
检测：
安全情报：先知
大数据安全：态势感知

云市场：云安全生态

安全相关概念
基础运营商：联通、移动、电信
骨干网：城域网，省域网
IDC数据中心：在某一个基础运营商，一个IDC的带宽来自于一个或多个基础运营商
BGP边际网关协议：同时引入多个运营商，并且自动路由
ABTN阿里巴巴骨干网
路由器:路由之间的选择
交换机：快速交换数据
防火墙：网络成，应用层，
安全策略

DDoS 分布式拒绝服务攻击
让服务器无法提供服务
DRDoS 分布式反射攻击
请求的请求包和相应的包不对称

基础DDoS防护的实现流程
网络入口——> 核心路由器——> 路由器——>业务服务器

基础DDoS防护的主要功能
攻击流量的发现、牵引和自动处理
能够有效的防御各类基于网络层、应用层的各种DDoS攻击
包括最新的 DNS Query Flood、NTP reply Flood
大数据分析技术实现全自动检测
攻击策略自动匹配
总体相应时间<2 s
清洗服务可用性99.99%

高仿IP接入流程
解析、切换、回源

阿里云云盾——WAF
Web应用防火墙（Web Application Firewall）是一款网站必备的安全产品
防护网站/APP应用防护
避免数据资产的泄露、保障网站的安全性和可用性

WAF的应用场景
网站变卡：恶意肉机访问
网站数据被恶意爬取、短信流量被乱刷
账号数据，资金丢失
获取服务器管理员权限、篡改网站数据和页面

云盾安骑士
主机的安全防护模块
基于云端联动防御
木马查杀
防密码暴力破解
异地提醒
漏洞检测修复
（Agent）

云监控功能概览：
对阿里云资源和互联网应用进行监控的服务

站点监控、
http、ping、dns、tcp、udp、smtp、pop3、ftp等服务的可用性和相应时间的统计、### 监控和报警
云产品监控、
提供对ecs、rds、slb、cdn、ocs、oss等云服务的监控报警

自定义监控
对用户开放自定义监控的服务、允许用户自定义个性化的监控需求
报警及联系人管理

云监控的应用场景
帮助运维人员实时了解网络状况
在ECS部署时及时了解网络的运行状况，为后续的网络升级提供性能指标
在升级过后，监控SLB负载均衡是否实现
作为弹性伸缩服务ESS的触发条件

云盾：DDoS基础防护，DDoS高防IP、安骑士、应用防火墙WAF
运监控:站点监控、云产品监控、自定义监控
报警：开关、报警联系人、报警方式