一、阿里云整体架构
IaaS:基础设施即服务
PasS:平台即服务
SasS:软件即服务
阿里云:
致力于打造公共、开放的以数据为中心的云计算服务平台,借助技术创新,不断提升计算能力与规模效益,将云计算变成真正意义上的公共服务,为下一代信息经济建设新的基础设施。
阿里云地域:
地域是阿里云定义的Region,每个地域完全独立。资源创建成功后不能更换地域。
阿里云可用区:
可用区是指在同一地域内,电力和网络互相独立的物理区域。同一可用区内实例之间的网络延时更小。
在同一地域内可用区与可用区之间内网互通,可用区之间能做到故障隔离。是否将实例放在同一可用区内,主要取决于对容灾能力和网络延时的要求。
如果应用需要较高的容灾能力,建议您将实例部署在同一地域的不同可用区内。
如果应用要求实例之间的网络延时较低,建议您将实例创建在同一可用区内。
一个可用区可以看做一个机房(数据中心)
地域和可用区:
每个地域完全独立。每个可用区完全隔离,但同一个地域内的可用区之间使用低延时链路相连。
如何选择地域和可用区?
选择地域时,需要考虑以下几个因素:
实例所在的地域、您以及您的目标用户所在的地理位置
阿里云产品之间的关系
资源的价格
某些地区的特殊要求,如中国大陆地域的ECS实例用作Web服务器,需要完成经营许可证备案
多个阿里云产品一起搭配使用,需要注意:
不同地域的云服务器ECS、关系型数据库RDS、对象存储服务器OSS内网不互通。
不同地域之间的云服务器ECS不能跨地域部署负载均衡,即在不同的地域购买的ECS实例不支持跨地域部署在同一负载均衡实例下。
二、弹性计算服务
1、阿里云云服务器ECS
1.1 云服务器ECS的概念
服务器发展历程
单机架构:一台服务器提供给客户所用应用
集群架构:多台服务器提供应用
云计算架构:弹性、扩展
云服务器的灵魂:虚拟化技术
虚拟化前:IT资源独立、硬件资源产生浪费
虚拟化后:IT资源抽象为共享资源池、从资源池中灵活分配资源
云服务器(Elastic Compute Service, 简称ECS),是IasS级别云计算服务
云服务器ECS的组件
实例:一台虚拟服务器,内含CPU、内存、操作系统、网络配置、磁盘等基础的计算组件。实例的计算性能、内存性能和适用业务场景由实例规格决定,其具体性能指标包括实例vCPU核数、内存大小、网络性能。
镜像:提供实例的操作系统、初始化应用数据及预装的软件。操作系统支持多种Linux发行版和Windows Server版本。
块存储:块设备类型产品,具备高性能和低时延的特性。提供基于分布式存储架构的云盘、共享块存储以及基于物理机本地存储的本地盘。
快照:某一时间点一块云盘或共享块存储的数据状态文件。常用于数据备份、数据恢复和制作自定义镜像等。
安全组:由同一地域内具有相同保护需求并相互信任的实例组成,是一种虚拟防火墙,用于设置实例的网络访问控制。安全组内是可以彼此互通的,安全组之间要做授权。
网络:专有网络(Virtual Private Cloud):逻辑上彻底隔离的云上私有网络。可以自行分配私网IP地址范围、配置路由表和网关等。
经典网络:所有经典网络类型实例都建立在一个共用的基础网路上。由阿里云统一规划和管理网络配置。
1.2 ECS实例
选购云服务器
按照用户群体不同,选购云服务器主要有下面分类:
个人用户:个人用户只需要完成云服务器的购买即可。
企业用户:企业用户需要完成规划后再进行云服务器的购买使用。
实例规格
实例是能够为业务提供计算服务的最小单位,不同的实例规格可以提供的计算能力不同。
根据业务场景和使用场景,ECS实例可以分为多种实例规格族。根据CPU、内存等配置,一种实例规格族又分为多种实例规格。ECS实例规格定义了实例的基本属性:CPU和内存(包括CPU型号、主频等)。
根据系统架构以及使用场景,ECS实例规格族可以分为:
企业级x86计算规格族群
企业级异构计算规格族群
弹性裸金属服务器(神龙)超级计算集群(SCC)实例规格族群
入门级x86计算规格族群
注意:ECS实例只有同时配合块存储、镜像和网络类型,才能唯一确定一台实例的具体服务形态。各个地域下可供售卖的实例规格可能存在差异,可以前往ECS实例可购买地域,查看实例的可购情况。
弹性裸金属服务器
首先它是一台物理服务器,硬盘是放在云端的,集成在阿里云控制台中
弹性裸金属服务器融合了物理机与云服务器的各自优势,实现超强的计算能力。业务应用可以直接访问弹性裸金属服务器的处理器和内存,无任何虚拟化开销。
弹性裸金属服务器通过自研芯片和自研Hypervisor系统软件,打造了全球领先的深度融合物理机和虚拟机特性的创新型计算架构。能与阿里云产品家族中的其他计算产品无缝对接。
计算能力是自己的,存储和网络是云端的
ECS实例的生命周期
准备中
启动中
运行中
即将过期
停止中
已停止
已过期
过期回收中
欠费回收中
已锁定
等待释放
镜像的概念
镜像是云服务器实例运行环境的模版,模版中包括了特定的操作系统和运行时环境,也可能包含预装的应用程序。
阿里云镜像分类:
公共镜像
自定义镜像
云市场镜像
阿里云网络VPC概述
阿里云推荐使用专有网络VPC(Virtual Private Cloud),专有网络之间逻辑上彻底隔离。
VPC作为用户上云首选的产品,主要有如下特点:
隔离的网络环境
可控的网络配置
安全组的作用
安全组是一种虚拟防火墙,用来控制出站和入站流量
在同一个VPC内,位于相同安全组的实例私网互通。默认的安全规则:
80、443、ICMP协议、22、3389端口
默认安全组中的默认规则如下:
入方向:默认拒绝所有访问。为了方便您管理云服务器,默认安全组包含了ICMP协议、SSH 22端口、RDP 3389端口的放行规则,您还可以勾选放行HTTP 80端口和HTTPS 443端口。
出方向:允许所有访问。
1.3 ECS的优势
ECS的产品优势
高可用性
安全性
弹性
2、ECS的使用方法
2.1 ECS的创建
购买ECS的流程
按照如下步骤创建ECS服务器:打开创建实例页 -> 完成基础配置 -> 配置网络和安全组 -> 系统配置(可选) -> 分组设置(可选) -> 确认订单和购买
配置自定义安全组规则
安全组规则无法满足业务需求的情况下,可以添加自定义规则。操作步骤如下:登录阿里云控制台 -> 选择网络和安全>安全组 -> 选择地域 -> 点击配置规则 -> 点击添加安全组规则 -> 设置具体规则内容
优先级:1 ~ 100,数值越小,优先级越高。
2.2 ECS的管理
管理方式
控制台:直接使用控制台管理ECS,最常用方法。
API:熟悉网络服务协议和一种以上编程语言,使用云服务器ECS API管理的云上资源和开发自己的应用程序。
API管理ECS
调用云服务器ECS API的方法:不同编程语言的云服务器ECS SDK、阿里云CLI、阿里云API Explorer、API URL请求
创建的云服务器ECS实例、磁盘、安全组、快照和实例公网带宽流量等资源均有数量和规格限制。
其中CLI、API Explorer和SDK免去了您手动身份验证环节,进而能快速调用接口。推荐使用SDK,方便调用接口以及管理资源。
SDK的编程语言
云服务器ECS提供了以下编程语言的SDK
Java
Python
PHP
.NET
C/C++
Go
2.3 ECS的登录
常见的登录交付方式
ECS控制台登录:直接使用阿里云ECS控制台进行管理,ECS不需要公网接入。
直接登录:ECS接入公网,客户在自身网络中可以直接登录ECS,不同环境连接方式各不相同。
3、ECS的计费和使用限制
3.1 ECS的计费
阿里云ECS计费资源
阿里云对以下ECS资源计费:实例规格、镜像、云盘、公网带宽、快照
ECS计费模式
ECS实例有三种计费模式:包年包月、按量付费、抢占式实例。
3.2 ECS的使用限制
云服务器ECS的限制
不支持虚拟化软件安装和再进行虚拟化(例如安装使用VMware Workstation)。目前,仅弹性裸金属服务器和超级计算集群支持再虚拟化。
不支持声卡应用。
不支持直接加载外接硬件设备(如硬件加密狗、U盘、外接硬盘、银行U key等),可以尝试软件加密狗或者动态口令二次验证等。
不支持SNAT等IP包地址转换服务。可以使用自己搭建VPN或者代理方式来实现。
不支持多播协议。如果需要使用多播,建议改为使用单播点对点方式。
日志服务不支持32位Linux云服务器。
3.3 ECS的应用案例
ECS的使用场景1
企业官网或轻量级的Web应用:网站初始阶段访问量小,只需要一台低配置的云服务器ECS实例即可运行Apache或Nginx等Web应用程序、数据库、存储文件等。随着网站发展,可以随时升级ECS实例的配置,或者增加ECS实例数量,无需担心低配计算单元在业务突增时带来的资源不足。
多媒体以及高并发应用或网站:云服务器ECS与对象存储OSS搭配,对象存储OSS承载静态图片、视频或者下载包,进而降低存储费用。同时配合内容分发CDN和负载均衡SLB,可大幅减少用户访问等待时间、降低网络带宽费用以及提高可用性。
高I/O要求数据库:支持承载高I/O要求的数据库,如OLTP类型数据库以及NoSQL类型数据库。您可以使用较高配置的I/O优化型云服务器ECS,同时采用ESSD云盘,可实现高I/O并发响应和更高的数据可靠性。也可以使用多台中等偏下配置的I/O优化型ECS实例,搭配负载均衡SLB,建设高可用底层架构。
ECS的使用场景2
访问量波动剧烈的应用或网站:某些应用,如抢红包应用、优惠券发放应用、电商网站和票务网站,访问量可能会在短时间内产生巨大的波动。您可以配合使用弹性伸缩,自动化实现在请求高峰来临前增加ECS实例,并在进入请求低谷时减少ECS实例。满足访问量达到峰值时对资源的要求,同时降低了成本。如果搭配负载均衡SLB,还可以实现高可用应用架构。
大数据及实时在线或离线分析:云服务器ECS提供了大数据类型实例规格族,支持Hadoop分布式计算、日志处理和大型数据仓库等业务场景。
机器学习和深度学习等AI应用:通过采用GPU计算型实例,可以搭建基于TensorFlow框架等的AI应用。
三、阿里云网络管理
1、VPC的概念
1.1 网络产品概念
网络演进
传统网络:主机、交换机、路由器
网络虚拟化:物理隔离和逻辑隔离都不适用云端
SDN网络:新的网络管理方式
网络产品概览
专有网络VPC
专有网络VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。VPC主要提供了两个能力:
用户可以自定义网络拓扑,包括选择自由IP地址范围、划分网段、配置路由表和网关等;
通过专线或VPN与原有数据中心连接,云上和云下的资源使用同一个网络地址规划,实现应用的平滑迁移上云(混合云架构)。
网络虚拟化
VPC网络的组成
每个VPC都由一个私网网段、一个路由器和至少一个交换机组成。
路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。
交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的产品实例。
1.2 VPC的原理
OVERLAY技术
阿里云借鉴了成熟的OVERLAY技术来实现隔离;
基于Overlay技术,海量的租户被隔离开,所有的租户都是运行在这个网络之上;
网络实际被分为上下两层,上层是虚拟网络,下层是物理网络。
VXLAN协议
网络虚拟化
VPC间完全隔离
1.3 VPC中的概念
专有网络产品组件介绍
2、VPC的组件
2.1 弹性公网IP
2.2 云企业网
2.3 VPN网关
2.4 NAT网关(共享上网服务)
3、VPC的规划和使用
3.1 VPC的规划
问题一:应该使用几个VPC?
问题二:应该使用几个交换机?
问题三:应该选择什么网段?
问题四:VPC与VPC互通或者与本地数据中心如何互通?
3.2 VPC的使用限制
常见问题
每个专有网络可以有多少个路由器?
每个专有网络有且只有一个路由器,每个路由器维护一个路由表。
如何选择交换机网段?
交换机的网段必须从属于所属专有网络的网段。如果交换机网段和所属的VPC的网段相同,VPC内就只能创建一个交换机。
阿里云VPC提供了192.168.0.0/16,172.16.0.0/12,10.0.0.0/8以及它们的子网供用户选择使用。
使用限制
4、VPC的管理
4.1 VPC的访问控制
安全组概述
安全组是一种虚拟防火墙,具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。
安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。
最小原则:安全组应该是白名单性质的,所以需尽量开发和暴露最少的端口,同时尽可能少地分配公网IP。
不想受限的,可以将ECS放入同一个安全组中。
创建安全组
一个VPC类型的ECS实例只能加入本VPC的安全组。用户可以随时授权和取消安全组规则。用户的变更安全组规则会自动应用于与安全组相关联的ECS实例上。
安全组规则
入方向:授权/拒绝某个IP或CIDR通过某个协议类型访问安全组内部实例指定的端口范围
出方向:授权/拒绝安全组内部实例通过某个协议访问某个IP或CIDR的指定的端口范围
当访问控制规则冲突时,优先级高的规则生效,优先级相同时,“拒绝”的规则生效
4.2 VPC的路由管理
系统路由
创建专有网络后,系统会自动为用户创建一张默认路由表并为其添加系统路由来管理专有网络的流量。一个VPC只有一张系统路由表。该系统路由表在创建VPC的时候自动为用户创建,用户不能手动创建也不能删除默认系统路由表。
系统路由(续)
查看路由表
登录专有网络管理控制台;
在左侧导航栏,单击路由表;
选择地域,然后单击管理或路由表的ID链接,查看路由表的详细信息。
添加自定义路由
登录专有网络管理控制台;
在左侧导航栏,单击路由表;
选择地域,然后单击管理或路由表的ID链接;
单击添加路由条目;
在弹出的对话框,配置路由条目,然后点击确定。
4.3 VPC的互联
用的最多的是云企业网
路由表和路由条目—VPC互联(VPN网关)
路由表和路由条目—VPC互联(云企业网)
路由表和路由条目—连接本地网络(VPN网关)