阿里云基础认证(ACA - Alibaba Cloud Certified Associate)是面向使用阿里云基础产品的专业技术认证,主要涉及阿里云的计算、存储、网络、安全类的核心产品。 阿里云云计算助理工程师的培训和认证的过程能够提升个人对云计算产品技术的理解,可以对这些产品进行基本的日常管理,也可以基于这些产品进行应用的部署,从而证明个人在云计算领域的专业能力,获得更多就业机会。以下为我在学习过程中所做的笔记,可供参考。
阿里云简介
云计算的概念
传统IT部署方式:自建机房(耗时耗力、人员和设备等成本高、不利于扩容等)。
云计算是一种新的服务模式(计算资源池、网络资源池、存储资源池)。
云计算按照拥有者和使用者的不同主要分为三种部署模式:
专有云:也叫私有云,属于企业内部自行构建的云环境
公有云:云服务商提供云计算服务,用户通过互联网进行连接和使用
混合云:企业内部云与共有云互通,具有私有云的私密性兼具公有云的灵活性
云计算根据对用户所提供的服务不同划分了多种不同的服务模式:
- IaaS:基础设施即服务,为用户直接提供计算资源、存储资源、网络资源等,用户需要自行构建自身系统,可操控性最高,一般云服务商都会提供该服务模式。
- PaaS:平台即服务,为开发者提供按需开发环境,主要针对开发者用户提供一个开发、测试等使用云环境。
- SaaS:软件即服务,为用户提供给按需软件服务,云服务商管理和提供软件,用户直接使用云服务商软件。
阿里云云产品
阿里云创立于2009年,是全球领先的云计算及人工智能科技公司,提供了丰富的产品类型以满足用户各场景的使用需求。
- 弹性计算:云服务器、高性能计算HPC、弹性编排。
- 存储服务:云存储、智能存储、混合云存储。
- 网络:云上网络、跨地域网络、混合云网络。
- 数据库:关系型数据库、NoSQL数据库、数据库生态工具。
- CDN与边缘:CDN、SCDN、DCDN。
- 安全:云安全、业务安全。
- 阿里云体系架构:数据中心 -> Linux -> 通用云服务市场&行业解决方案。
阿里云基础架构
地域(Region):阿里云基于地理位置进行划分,资源创建成功后不能修改地域。不同地域提供的阿里云资源也会略有不同。
可用区(Zone):同一地域内,电力和网络互相独立的物理区域。同一可用区内实例之间的网络延时更小。
每个地域完全独立。每个可用区完全隔离,但同一个地域内的可用区之间使用低时延链路相连。
选择地域时,需要考虑地理位置、阿里云产品之间的关系、资源的价格、经营许可备案等因素,根据目标用户所在的地理位置选择地域。
选择可用区时,需要考虑在同一地域内可用区与可用区之间内网互通,可用区之间能做到故障隔离,以及是否将实例放在同一可用区内,主要取决于对容灾能力和网络延时的要求。
完整的服务体系包括自助服务、技术支持、服务运营、培训认证、生态服务、电话支持。
阿里云弹性计算
ECS的概念
云服务器(Elastic Compute Service)是阿里云提供的性能卓越、稳定可靠、弹性扩展的IaaS(Infrastructure as a Service)级别云计算服务。云服务器ECS免去了采购IT硬件的前期准备,实现计算资源的即开即用和弹性伸缩。
阿里云ECS持续提供创新型服务器,解决多种业务需求,助力企业的业务发展,稳定、弹性、高安全、高性能、易用性、可拓展性强。
阿里云ECS在部署前需要进行规划,需要考虑的因素:
- 地域和可用区:地域一旦成功创建实例后,无法更换地域。
- 高可用性:通过快照实现数据备份,通过跨可用区、部署集、负载均衡(Server Load Balancer)等实现应用容灾。
- 安全方案:使用ECS的安全组,控制ECS实例的出入网访问策略以及端口监听状态。
- 网络规划:自行规划私网IP,全面支持新功能和新型实例规格。
ECS适用场景:
- 企业官网或轻量的 Web 应用。
- 多媒体以及高并发应用或网站,与对象存储OSS搭配。
- 高I/O要求数据库。
- 访问量波动剧烈的应用或网站。
- 大数据及实时在线或离线分析。
- 机器学习和深度学习等AI应用,例如GPU计算型实例。
云服务器 ECS 相对于普通 IDC 的优点:
- 易用性:在线更换操作系统,Web在线管理。
- 安全性:三副本数据设计,用户自定义快照,快速自动恢复,有效阻止MAC欺骗和ARP攻击,有效防护DDoS攻击,端口入侵扫描、挂马扫描、漏洞扫描等。
- 灵活性:在线升级配置、带宽升降自由、在线使用负载均衡。
ECS的实例规格
实例:一台云服务器ECS实例等同于台虚拟机,包含vCPU、内存、操作系统、网络、磁盘等最基础的计算组件,可以方便地定制,更改实例的配置。
实例规格:根据业务场量,ECS实例可以分为多个规格族,同一个规格族里,根据vCPU和内存的配置,可以分为多种不同的规格,不同实规格具有不同vCPU和内存等配置,包含物理CPU型号、主频等。某些软件或应用对实例规格的配置有要求。
系统存储:一台ECS实例必须包合一块系统盘,用来存储操作统和核心配置,镜像主要用于初始化系统盘,决定ECS实例的操作系统和初始软件配置。
网络类型:ECS实例区分网络类型,实例在相同的网络中,例如一个VPC,可以使用私网地址通过内网通信。
实例的生命周期:创建实例 -> 准备中 -> 启动中 -> 运行中 -> 停止中 -> 已停止 -> 删除实例。
为应对不同业务场景,阿里云ECS提供多种实例规格族:
通用型(g系列)、计算型(c系列)、内存型(r系列)、大数据型(d系列)。
本地SSD型(i系列)、高主频计算型(hfc、hfg、hfr系列)。
弹性裸金属服务器(神龙)
弹性裸金属服务器(ECS Bare Metal Instance)基于阿里云完全自主研发的下一代虚拟化技术而打造的新型计算类服务器产品,兼具虚拟机的弹性和物理机的性能及功能特性。与上一代虚拟化技术相比,下一代虚拟化技术不仅保留了普通云服务器的弹性体验,而且保留了物理机的性能与特性,全面支持嵌套虚拟化技术。
EMB弹性裸金属服务器特点:
- 弹性裸金属服务器融合了物理机与云服务器的各自优势,实现超强超稳的计算能力。业务应用可以直接访问弹性裸服务器的处理器和内存,无需任何虚拟化开销。
- 弹性裸金属服务器通过自研芯片和自研Hypervisor系统软件,打造了全球领先的深度融合物理机和虚拟机特性的创新型计算架构。能与阿里云产品家族中的其他计算产品无缝对接。
EMB 弹性裸金属服务器优势:
- 用户独占计算资源。
- 加密计算:芯片级可信执行环境。
- 兼容多种专有云:具有再次虚拟化的能力。
- 异构指令集处理器支持:零成本支持ARM等其他指令集处理器。
EMB 相对于物理机和 ECS 的优点:
- ECS不具备免性能损失、免特性损失、免资源争抢等计算特性。
- 物理机不支持云存储特性、不支持网络兼容等特性。
弹性裸金属服务器适用场景:游戏场景、金融加密场景、SCC超级计算集群。
ECS的使用
基础配置(付费模式、地域和可用区、实例规格)-> 网络与安全(专用网络、公网IP、安全组)-> 系统配置(登录凭证、登录密码)。
ECS镜像提供了创建ECS实例所需的信息。镜像文件相当于副本文件,包含了一块或多块云盘中的所有数据,官方提供公共镜像、自定义镜像、共享镜像和镜像市场。
ECS的连接方式:Workbench、VNC、putty等客户端工具、SSH命令连接或SSH Control Lite、JuiceSSH等App,除VNC外,其它连接方式均要求待连接实例分配了固定公网IP或EIP 。
阿里云存储服务
OSS的概念
常见的存储结构:
- 块存储:以数据块为存储单位,需要分区格式化才能使用(直接访问存储DAS、存储区域网络SAN等)。
- 文件存储:以文件为存储单位,由文件存储服务器NAS提供文件访问服务(CIFS、NFS等)。
- 对象存储:以对象为存储单位,扁平化结构(大数据存储)。
阿里云对象存储OSS(Object Storage Service)是阿里云提供的海量、安全、低成本、高可靠的云存储服务,可以在任何应用、任何时间、任何地点存储和访问任意类型的数据。
存储类型(Storage Class):OSS提供标准、低频访问、归档三种存储类型,全面覆盖从热到冷的各种数据存储场景。
存储空间(Bucket):用于存储对象(Object)的容器,所有对象都必须隶属于某个存储空间。
对象(Object):OSS存储数据的基本单元,也被称为OSS的文件。对象由元信息(Object Meta)、用户数据(Data)和文件名(Key)组成。
地域(Region):OSS的数据中心所在物理位置,可以根据费用、请求来源等选择合适的地域创建Bucket。
访问域名(Endpoint):OSS对外服务的访问域名。
访问密钥(AccessKey):AK,访问身份验证中用到的AccessKey Id和AccessKey Secret。
OSS 的优势和适用场景:
- 方便、快捷的使用方式:提供标准的RESTful API接口、丰富的SDK包、客户端工具、控制台,不限制存储空间大小,支持数据生命周期管理。
- 强大、灵活的安全机制:灵活的鉴权、授权机制,提供用户级别资源隔离机制和多集群同步机制
- 丰富、强大的增值服务:图片处理、音视频转码,互联网访问加速、内容加速分发CDN
- 数据冗余机制:OSS采用数据冗余存储机制,OSS Object操作具有强一致性
- 阿里云OSS 相对于自建对象存储的优点:可靠、安全、低成本、智能存储。
OSS的使用
阿里云OSS将数据文件以对象(Object)的形式上传到存储空间(Bucket)中:创建一个或者多个存储空间,向每个存储空间中添加一个或多个文件,通过获取已上传文件的覅之进行文件的分享和下载,通过修改存储空间的读写权限(ACL)来设置访问权限,通过阿里云管理控制台、各种便捷工具以及丰富的SDK包执行基本和高级OSS操作。
开通阿里云OSS服务后,需要首先创建存储空间(Bucket)来存储文件。Bucket 名称具有唯一性。
区域(创建后无法更换):如需要通过ECS内网访问OSS,需选择与ECS相同的地域。
存储类型:标准存储(经常访问)、低频访问(长期存储、较少访问)、归档存储(长期存储、极少访问)。
同城冗余存储:用户数据以冗余的方式存储在同一区域的3个可用区(AZ)中。
读写权限分为私有(private)、公共读(public-read)、公共读写(public-read-write)。
创建了存储空间(Bucket)后,可以上传任何类型的文件(Object)到存储空间中,可使用OSS图形化管理工具ossbrowser将文件上传至OSS,可使用OSS命令行工具ossutil将文件上传至OSS,OSS提供多种语言的API和SDK包,快速进行二次开发。
块存储的概念
- 块存储是阿里云为云服务器ECS提供的块设备产品,具有高性能和低延时的特点,支持随机读写
- 可以像使用物理硬盘一样格式化并建立文件系统来使用块存储,满足大部分同意业务场景下的数据存储需求
- 衡量块存储产品的性能指标主要包括IOPS、吞吐量和访问时延
- IOPS(Input/Output Operation per Second):每秒能处理的I/O个数,表示块存储处理读写(输入/输出)的能力,单位为次
- 吞吐量(Throughput):单位时间内可以成功传输的数据数量,单位为MB/s
- 访问时延(Latency):块存储处理一个I/O需要的实践,单位为s、ms或微秒
- 容量(Capacity):容量是指存储空间大小,单位为TiB、GiB、MiB或者KiB,容量无法衡量块存储性能
- 阿里云块存储的数据安全:读写稳定性(分布存储)、主动备份(快照)、数据擦除机制、数据加密(AES-256)
块存储的分类
- 云盘:数据块级别的块存储产品。云盘采用多副本的分布式机制,具有低时延、高性能、持久性、高可靠等性能,支持随时创建、扩容以及释放
- 本地盘:基于云服务器ECS所在物理机(宿主机——上的本地硬盘设备,为ECS实例提供本地存储访问能力。为对存储I/O性能和海量存储性价比有极高要求的业务场景而设计的产品。具有低时延、高随机IOPS、高吞吐量、高性价比等优势
- 本地盘来自单台物理机,数据可靠性取决于物理机的可靠性,存在单点故障风险
- 云盘类似硬盘,可以对挂载到ECS实例上的云盘做分区、格式化、创建文件系统等操作,并持久化存储数据
- 云盘根据性能分类
- ESSD云盘:基于新一代分布式块存储架构的超高性能云盘产品,结合25GE网络和RDMA技术,单盘可提供高达100万的随机读写能力和更低的单路时延能力
- SSD云盘:具备稳定的高随机读写性能、高可靠性的高性能云盘产品
- 高效云盘:具备高性价比、中等随机读写性能、高可靠性的云盘产品
- 普通云盘:具备高可靠性、一般随机读写性能的云盘产品
- 云盘的数据类型
- 系统盘:不可共享访问。初始化系统盘时,由镜像确定操作系统类型和应用数据,系统盘一定是云盘。只能随实例创建,生命周期与挂载的ECS实例相同
- 数据盘:常用于存储应用数据,可以与ECS实例同时创建,也可以单独创建。数据盘可以时云盘,也可以是其他类型块存储(本地盘),单台ECS实例上限16
- 一块云盘只能挂载到同一地域、同一可用区的一台ECS实例
块存储与对象存储
阿里云数据存储场景产品:块存储、对象存储OSS、文件存储NAS
| | 块存储 | OSS |
| ———— | —————————————————————————————————————————— | ———————————————————————————— |
| 数据模型 | 文件系统是一种典型的树状索引结构 | 分布式的对象存储服务,Key-Value对形式 |
| 数据获取 | 先访问文件夹目录再在该目录下查找文件 | 根据Object的名称(Key)唯一的获取该Object的内容 |
| 优势 | 支持文件的修改,文件夹的操作 | 支持海量的用户并发访问 |
| 劣势 | 受限于单个设备的性能,访问越深的目录消耗的资源越大,操作拥有很多文件的目录也会非常慢 | Object不支持修改,哪怕修改一个字节也需要重新上传整个目录 |
块存储的使用
云服务器ECS不支持单独创建系统盘
数据盘只能挂载同一可用区的ECS
不支持合并多块云盘,提前做好云盘数量和容量的规划
已创建的多块云盘,不建议制作LVM(Logic Volume Manager)逻辑卷
挂载数据盘
- 可以将单独创建的云盘、从ECS实例上卸载下来的系统盘挂载到ECS实例上,作为数据盘使用
- 被挂载的实例和云盘在同一可用区
- 被挂载的实例状态为运行中(Running)或已停止(Stopped),不能为已锁定(Locked)
- 云盘的状态为待挂载(Available)
- 随ECS实例一起创建的云盘,和为包年包月实例创建的包年包月数据盘无需挂载
- 一块云盘只能挂载到一台ECS实例上,一台ECS实例最多能挂载16块云盘作数据盘用
分区格式化数据盘
- 阿里云块存储支持的分区格式包括MBR(Master Boot Record)和GPT(Globally Unique Identifier Partition Table)
- MBR只支持处理不大于2TiB的容量,且只支持划分4个分区,如果需要使用大于2TiB的数据盘,必须采用GPT格式
| 操作系统 | 分区工具 | 分区格式 | 文件系统 |
| ———— | ——————- | ———— | —————————————— |
| Windows | 磁盘管理 | MBR、GPT | NTFS、fat |
| Linux | fdisk、parted | MBR、GPT | vfat、ext3、ext4、xfs、btrfs |- 在Linux系统中,分区和格式化后还需要使用mount命令将分区挂载至空白目录,并将新分区挂载信息写入至
/etc/fstab
文件中 - 具体操作
1
2
3
4
5
6
7
8
9
10
11
12fdisk –l //查看分区信息
fdisk /dev/vdb //分区管理命令
p //查看分区表信息
n //创建分区
w //保存分区表
partx //同步磁盘信息
mkfs.ext4 /dev/vdb1 //格式化分区为ext4格式
mkdir /mnt/data //创建空白目录挂载新磁盘分区
mount /dev/vdb1 /mnt/data //挂载分区至空白目录
df –h | grep vdb1 //查看分区挂载信息
echo “/dev/vdb1 /mnt/data ext4 defaults 0 0” >> /etc/fstab //设置开机自动挂载
mount –a //验证/etc/fstab文件的正确性卸载云盘
1
2umount /dev/vdb1 //在ECS中卸载分区
vim /etc/fstab //在文档中将自己新增挂载记录删除- 最后在控制台卸载云盘
在MBR磁盘管理中主分区、扩展分区和逻辑分区的区别
- 主分区:一块硬盘最多只能创建4个,可以放置任何类型数据
- 扩展分区:一块硬盘最多只能创建1个,不能放置任何数据,需要进一步划分逻辑分区后才能使用
- 逻辑分区:基于扩展分区进行创建,空间由扩展分区划分出来,可以放置普通数据,不能存放计算机的启动引导文件
阿里云网络
VPC的概念
- 专有网络VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离
- VPC主要提供两个能力:
- 用户可以自定义网络拓扑,包括选择自由IP地址范围、划分网段、配置路由表和网关等
- 通过专线或VPN与原有数据中心连接,云上和云下的资源使用同一个网络地址规划,实现应用的平滑迁移上云
- VPC组成部分:一个路由器、至少一个私网网段、至少一个交换机
- 路由器(VRouter):专有网络的枢纽
- 交换机(VSwitch):组成专有网络的基础网络设备,用来连接不同的云资源
- 私网网段:在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段
VPC连接
- 公网连接技术
- ECS固定公网IP:支持使用共享流量包,将公网IP转换外EIP后也可以使用共享带宽
- 弹性公网IP(EIP):可以动态和VPC ECS实例绑定和解绑,支持实例访问公网(SNAT)和被公网访问(DNAT),可使用共享流量包和共享带宽
- NAT网关:支持多台VPC ECS实例访问公网(SNAT)和被公网访问(DNAT)
- 负载均衡:基于端口提供四层和七层负载均衡,支持用户从公网通过负载均衡(SLB)访问ECS。在DNAT方面,负载均衡是基于端口的负载均衡,即一个负载均衡的一个端口可以对应多台ECS。负载均衡通过对多台ECS进行流量分发,可以扩展应用系统对外的服务能力,并通过消除单点故障提升应用系统的可用性
- VPC之间的互通(VPC可以有效的实现网络的隔离)
- 云企业网:支持多个不同地域、不同账号的VPC连接起来,构建互联网络(一网通、低时延高速率、就近接入与最短链路互通、链路冗余及容灾、系统化管理)
- VPN网关:通过在两个VPC之间创建IPsec连接,建立加密通信通道(安全、高可用、低成本、配置简单)
- 本地IDC和云上专有网络打通,构建混合云架构(上云)
- 高速通道:通过物理专线接入使VPC与本地IDC网络互通(低延迟、专线连接安全可靠)
- VPN网关:通过建立IPsec-VPN,将本地IDC网络和云上VPC连接起来;或通过建立SSL-VPN,将本地客户端远程接入VPC
- 云企业网:与本地IDC互通支持将要互通的本地IDC关联的边界路由器(VBR)加载到已创建的云企业网实例,构建互联网络;或多VPC与IDC互通支持将要互通的多个网络实例(VPC和VBR)加载到已创建的云企业网实例,构建企业级互联网络
- 接入网关:线下机构(IDC/分支机构/门店等)接入阿里云数据中心,轻松构建混合云,实现线下机构的互通(即插即用、网络拓扑变化自适应快速收敛、就近接入、加密互联)
VPC的基础架构
- VPC逻辑架构
- 基于隧道技术和软件定义网络SDN(Software Defined Network)技术,阿里云的研发在硬件网关和自研交换机设备的基础上实现了VPC产品
- VPC包含交换机、网关和控制器三个重要的组件。交换机和网关组成了数据通路的关键路径,控制器使用自研的协议下发转发表到网关和交换机,完成了配置通路的关键路径
- 网络规划
- VPC是地域级别的资源,不能跨地域部署,当有多地域部署系统的需求时,就必须使用多个VPC。多业务系统隔离如果在一个地域的多个业务系统需要通过VPC进行严格隔离。
- 交换机的规划:即使只使用一个VPC,也尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾
- 网段的规划:交换机的网段必须是其所属VPC网段的子集
SLB的概念
- 负载均衡(Server Load Balancer)是将访问流量根据转发策略分发到后端多台云服务器(ECS实例)的流量分发控制服务。负载均衡扩展了应用的服务能力,增强了应用的可用性
- 通过设置虚拟服务地址,将添加的同一地域的多台ECS实例虚拟成一个高性能、高可用的后端服务池,并根据转发规则,将来自客户端的请求分发给后端服务器池中的ECS实例
- 默认检查云服务器池中的ECS实例的健康状态,自动隔离异常状态的ECS实例,消除了单台ECS实例的单点故障,提高了应用的整体服务能力。此外,负载均衡还具备抗DDoS攻击的能力,增强了应用服务的防护能力
- SLB的组成部分
- 负载均衡实例(Server Load Balancer Instances),一个负载均衡实例是一个运行的负载均衡服务,用来接收流量并将其分配给后端服务器
- 监听(Listeners),用来检查客户端请求并将请求转发给后端服务器,监听也会对后端服务进行健康检查
- 后端服务器(Backend Servers),一组接受前端请求的ECS实例
- SLB的产品优势:高可用、可扩展、低成本、安全、高并发
SLB的原理
- SLB的基础架构
- 负载均衡采用集群部署,提供四层(TCP协议和UDP协议)和七层(HTTP和HTTPS协议)的负载均衡,可实现会话同步,以消除服务器单点故障,提升冗余,保证服务的稳定性
- 七层:采用Tengine实现负载均衡
- 四层:采用开源软件LVS(Linux Virtual Server)+ keepalived 的方式实现负载均衡
- SLB中提供的功能
- 调度算法:轮询、加权轮询(WRR)、加权最小连接数(WLC)和一致性哈希(CH)调度算法
- 健康检查:检查后端服务器的运行状况
- 会话保持:在会哈的生命周期内,可以将同一客户端的请求转发到同一台后端服务器上
- 访问控制:支持添加黑名单和白名单,灵活控制客户端访问
- 高可用:将流量转发给多个可用区的后端服务器
- 安全防护:结合云顿,可提供5Gbps的防DDos攻击能力
- SLB的应用场景:应用于高访问量的业务,扩展应用程序、消除单点故障、同城容灾(多可用区)、跨地域容灾
SLB的配置
- 创建负载均衡实例 -> 添加监听 -> 添加后端服务器 -> 域名解析
- SLB使用的注意事项
- 规划实例地域(提供主备可用区)
- 选择实例的网络类型(公网或私网)
- 选择协议类型:四层监听将直接转发给后端服务器,不会修改标头,七层监听原理上是反向代理的一种实现
- 准备后端服务器(不支持跨地域部署)
- 后端服务器不需要配置公网IP地址(固定和弹性都不需要),外面客户访问通过SLB的公网IP地址进行访问,后端服务器添加的公网IP目的为了方便管理和控制后端服务器
AS的概念
- 弹性伸缩(Auto Scaling)可以根据业务需求和策略设置伸缩规则,在业务需求增长时自动增加ECS实例以保证计算能力,在业务需求下降时自动减少ECS实例以节约成本
- 弹性伸缩不仅适合业务量不断波动的应用程序,同时也适合业务量稳定的应用程序
- AS的使用场景
- 弹性扩张:自动完成底层资源升级,避免访问时延和超负荷运行
- 弹性收缩:自动完成底层资源释放,避免资源浪费
- 弹性自愈:提供健康检查功能
AS的原理
AS的工作流程:创建伸缩组、伸缩配置、伸缩规则、伸缩触发任务
- 伸缩出发任务按照各自触发生效的条件来触发伸缩活动
- 系统自动通过ExecuteScalingRule接口触发伸缩活动,并在该接口中指定需要执行的伸缩规则的阿里云资源唯一标识符(Ari)
- 根据Rule Ari获取伸缩规则、伸缩组和伸缩配置信息
- 自动创建ECS实例并配置负载均衡和RDS
- 伸缩活动完成后启动伸缩组的冷却功能
AS的伸缩模式:定时模式、动态模式、固定数量模式、自定义模式、健康模式、多模式并行
AS的配置
- AS的使用流程:创建伸缩组 -> 创建伸缩配置 -> 其用伸缩组 -> 创建伸缩规则 -> 创建定时任务 -> 创建报警任务
- AS使用的功能限制
- 弹性伸缩不支持纵向扩展,即不支持自动提升或降低ECS实例的vCPU、内存、带宽等配置
- 部署在伸缩组内ECS实例上的应用必须是无状态并且可横向扩展的
- 伸缩组内ECS实例可能会被自动释放,因此不适合保存会话记录、应用数据、日志等信息
- 弹性伸缩不支持自动将ECS实例添加到Memcache实例的访问白名单
- 弹性伸缩AS是调整ECS服务器的数量,SLB是提供负载均衡服务
- 一个完整的AS服务,需要后端服务器与SLB结合提供负载均衡访问,然后再由AS来调整SLB的后端服务器的数量
阿里云云数据库
PolarDB的概念
- PolarDB是阿里云自研的下一代关系型云数据库,有三个独立的引擎。分别可以100%兼容 MySQL、100%兼容 PostgreSQL、高度兼容 Oracle语法,存储容量最高可达100TB,单库最多可扩展到16个节点,适用于企业多样化的数据库应用场景
- PolarDB既融合了商业数据库稳定可靠、高性能、可扩展的特征,又具有开源云数据库简单开放、自我迭代的优势
- PolarDB采用存储和计算分离的架构,所有计算节点共享一份数据,提供分钟级的配置升降级、秒级的故障恢复、全局数据一致性和免费的数据备份容灾服务
- PolarDB特点
- 集群架构,计算与存储分离:PolarDB采用多节点集群的架构,集群中有一个Writer节点(主节点)和多个Reader节点(读节点)
- 读写分离:当应用程序使用集群地址时,PolarDB MySQL/ PostgreSQL通过内部的代理层(Proxy)对外提供服务,应用程序的请求都先经过代理,然后才访问到数据库节点
- 集群:一个集群包含一个主节点以及最多15个只读节点(最少一个,用于提供Active-Active高可用)
- 节点:一个独立占用物理内存的数据库服务进程,节点ID以pi开头
- 数据库:在节点下创建的逻辑单元,一个节点可以创建多个数据库,数据库在节点内的命名唯一
PolarDB的优势
- 容量大、高性价比、分钟级弹性、读一致性、毫秒级延迟(物理复制)、无锁备份
- 云数据库PolarDB既融合了商业数据库稳定可靠、高性能、可扩展的特性,又具有开源云数据库简单开放、自我迭代的优势
- PolarDB的产品架构及特点:一写多读、计算与存储分离、读写分离、高速链路互联、共享分布式存储、数据多副本
RDS的概念
- 阿里云关系型数据库RDS(Relational Database service)是一种稳定可靠、可弹性伸缩的在线数据库服务。基于阿里云分布式文件系统和SSD盘高性能存储,RDS支持MySQL、SQL Server、PostgreSQL、PPAS(Postgre Plus Advanced Server,高度兼容Oracle数据库)和 MariaDB TX引擎,并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案
- RDS相关概念:实例(虚拟化的数据库服务器)、数据库引擎、网络类型(VPC)、产品系列、规格族、存储类型
- 地域和可用区概念与其他阿里云产品中的定义相同
- RDS vs 自建数据库:便宜易用、高性能(参数优化和SQL优化建议)、高可用、高安全性
RDS的产品选型
- 产品系列
- 基础版:单节点实例,计算与存储分离架构
- 高可用版:一主一备高可用架构
- 集群版:仅SQL Server提供,基于AlwaysOn技术实现,支持横向扩展集群读能力
- 三节点企业版:仅MySQL提供,一主两备的三节点架构,通过多副本同步复制确保数据的强一致性,金融级可靠
- 实例规格族
- 共享型:独享被分配的内存,与同一物理机上的其他共享型实例共享CPU和存储资源
- 通用型:复用率小于共享型实例
- 独享型:具有完全独享的CPU和内存,独占物理机型
- 存储类型
- 本地SSD盘:与数据库引擎位于同一节点的SSD盘,低I/O延时
- SSD云盘:基于分布式存储架构的弹性块存储设备,实现计算与存储分离
- ESSD云盘:SSD云盘结合25GE网络和RDMA技术
- RDS的可靠性、持久性和读写性能满足产品SLA承诺
PolarDB MySQL的管理步骤
- 创建数据库集群 -> 设置集群白名单 -> 创建数据库账号 -> 查看连接地址 -> 连接数据库集群
- 数据库集群账号:高权限账号(只能通过控制台创建管理)、普通账号(可通过SQL语句创建管理)
- 集群连接地址(支持私网和公网):集群地址、主地址(总是连接到主节点)
PolarDB MySQL的连接
PolarDB MySQL集群支持使用DMS(Data Management Service)和通用MySQL客户端连接
- DMS是阿里云提供的图形化的数据管理工具,它是一种集数据管理、结构管理、访问安全、BI图表、数据趋势、数据轨迹、性能与优化和服务器管理于一体的数据管理服务。
- 支持对关系型数据库(MySQL、SQL Server、PostgreSQl等)和NoSQL数据库(MongoDB、 Redis等)的管理,同时还支持Linux服务器管理
可以使用任何通用的客户端连接PolarDB集群,例如HeidiSQL
命令行连接
1
mysql -h<连接地址> -P<端口> -u<用户名> -p<密码> -D<数据库>
PolarDB MySQL的数据管理
- 数据迁移/同步方案
- 云数据库PolarDB提供了多种数据迁移同步方案,可满足不同上云、迁云、同步的业务需求,可以在不影响业务的情况下平滑将数据库迁移、同步至阿里云云数据库PolarDB上
- 通过使用阿里云数据传输服务(DTS),可以实现PolarDB的结构迁移、全量迁移和实时同步
- 多种迁移类型:结构对象迁移、全量数据迁移和增量数据迁移
- DTS的特点
- DTS具备极高的链路稳定性和数据可靠性
- 数据传输支持同/异构数据源之间的数据交互,提供数据迁移/订阅/同步交互功能
- 支持节点的故障容灾,可实现链路的秒级恢复
- 支持断点续传,可有效解决因硬件、网络等异常导致的传输中断
- DTS支持RAM主子账号体系,用户可以使用子账号创建并管理DTS实例,提高企业安全性
阿里云CDN
CDN的概念
- CDN解决的问题:最后一公里传输质量、弹性带宽、低成本、减少源站压力、节省源站带宽成本
- 阿里云内容分发网络(Content Delivery Network,简称CDN)是建立并覆盖在承载网之上,由分布在不同区域的边缘节点服务器群组成的分布式网络。阿里云CDN分担源站压力,避免网络拥塞,确保在不同区域、不同场景下加速网站内容的分发,提高资源访问速度。
- 阿里云CDN将源站资源缓存至阿里云遍布全球的加速节点上,当终端用户请求访问和获取该资源时,无需回源,系统自动调用离终端用户最近的CDN节点上已缓存的资源。
- CDN相关产品:对象存储OSS、视频直播点播、阿里云云解析、云服务器ECS、负载均衡(IP地址)
- 阿里云CDN的主要优势:稳定快速、性价比高、简单易用、高效智能
CDN的工作原理
- CDN的衡量指标:延时、下载速度、打开速度、丢包率、回源率、缓存命中率
- 回源率分为回源请求数比和回源流量比
- 回源请求数比指边缘节点对于没有缓存、缓存过期(可缓存)和不可缓存的请求占全部请求记录的比例,越低则性能越好
- 回源流量比是回源请求文件大小产生的流量和请求本身产生的流量,比值越低,性能越好
- 回源流量比 = 回源旑量 / (回源流量 + 用户请求访问的流量)
- 由于业务场景和业务类型的不同,即使选择了相同配置的CDN服务,实际产生的加速效果也不相同
CDN中常见名词
- CNAME记录:Canonical Name,别名,用来把一个域名解析到另一个域名,再由另一个域名提供IP地址
- CNAME域名:接入CDN,在阿里云控制台添加域名后,阿里云CDN将分配一个CNAME域名
- DNS:Domain Name System,域名解析服务,DNS的作用是把域名转换成为网络可以识别的IP地址
- 边缘节点:在阿里云中,边缘节点、CDN节点、Cache节点、缓存节点、加速节点、阿里云节点、节点等都指阿里云边缘节点
- 源站指实际业务的服务器,源站类型可以选择OSS域名、IP、源站或函数计算域名
- 回源:CDN节点未缓存请求资源或缓存资源已到期时,回源站获取资源,返回给客户端
- CDN的业务使用场景分为静态内容加速、动态内容加速和安全加速。其中,阿里云CDN只针对于静态内容加速的使用,动态内容加速需使用阿里云全站加速,安全加速需使用阿里云安全加速
- 阿里云CDN的业务场景:图片小文件、大文件下载、视音频点播、全站加速、安全加速
CDN的使用
- 开通CDN服务 -> 添加加速域名 -> 配置CNAME -> 停止CDN服务
- 如果需要使用CDN加速指定网站上的业务,则需要将该网站作为源站,为其创建加速域名,CDN通过加速域名将源站上的资源缓存到CDN的加速节点,实现资源访问加速
- 加速域名注意事项
- 加速名一殷使用子域名或泛域名
- 支持泛域名加速,不支持中文域名加谜速
- 加速域名不允许重复添加
- 如果泛域名未被添加到任何CDN账号下,则其支持多个CDN账号添加不同的子域名
- 加速内容必须合法且符合CDN业务规范
- 域名添加成功后,阿里云CDN会分配对应的CNAME地址。如果想启用CDN加速服务,则需要将加速域名指向CNAME地址,访问加速域名的请求才能转发到CDN节点上,达到加速效果
- 不同的DNS服务商修改CNAME记录方式略有不同,请参考相应DNS服务商进行配置
- 当不想使用CDN加速服务时,可以在CDN控制台上删除指定加速域名。删除加速域名后,不会产生任何费用
阿里云云上安全防护
云计算常见威胁
- 针对网络中的一个运行系统而言,网络安全是指网络系统的硬件、软件及其系统中的信息受到保护。包括系统连续、可靠、正常地运行,网络服务不中断,系统中的信息不因偶然的或恶意的行为而遭到破坏、更改或泄露
- 网络安全的威胁:病毒、木马、网络攻击、人为篡改、自然灾害
- 传统集中式管理方式有很大安全问题,云计算的多租户、分布性、对网络和服务提供者的依赖性为安全问题带来新的挑战。除了传统信息系统的安全问题外,云计算由于其本身的特点,带来了新的安全威胁
- 云计算安全风险:数据丢失或泄露、系统和技术漏洞、账号与身份管理不善、数据集中的安全问题、API安全存疑、DoS攻击泛滥
- 云上安全是由阿里云和用户共同负责构建云安全环境
- 阿里云安全体系:云盾、云产品安全、云操作系统安全、安全运维
阿里云DDoS防护
- 分布式拒绝服务(Distributed denial of service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络者宽,从而造成服务器无法正常地提供服务
- DDoS攻击会对业务造成:重大经济损失、数据泄露、恶意竞争
- 阿里云DDoS原生防护是一款针对阿里云ECS、SLB、Web应用防火墙、EP等产品直接提升DDoS防御能力的安全产品。相比于DDoS高防,DDoS原生防护可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。同时,DDoS原生防护部署简易,购买后只需要绑定需要防护的云产品的IP地址即可使用
- DDoS高防(Anti-DDoS)是阿里云提供的DDoS攻击代理防护服务。当用户的互联网服务器遭受大流量的DDoS攻击时,DDoS高防可以保护其应用服务持续可用。DDσS高防通过DNS解析调度流量到阿里云高防网络,代理接入阿里云DDoS防护系统,抵御流量型和资源耗尽型DDoS攻击
- DDoS高防支持通过DNS解析和IP直接指向两种引流方式,实现网站域名和业务端口的接入防护,根据用户在DDoS高防服务中为业务配置的转发规则,DDoS高防将业务的DNS域名解析或业务IP指向DDoS高防实例IP或CNAME地址进行引流
- 来自公网的访问流量都将优先经过高防机房,恶意攻击流量将在高防流量清洗中心进行清洗过滤,正常的访问流量通过端口协议转发的方式返回给源站服务器,从而保障源站服务器的稳定访问
- 使用DDoS高防防护网站流程:添加网站业务转发规则 -> 接入网站业务流量 -> 设置网站业务防护策略 -> 查看网站业务防护数据
- DDoS高防除了可以防御最常用的网站类业务,同时也支持防护非网站业务
Web应用防火墙
- 云盾web应用防火墙(Web Application Firewall,简称WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性
- 云盾web应用防火墙具有部署简易、防护及时精确、大数据驱动、高可靠等优势
- 使用Web应用防火墙之前,必须将要防护的网站接入web应用防火墙。网站接入默认使用DNS配置模式,需要在web应用防火墙添加琙名,设置网站流量的转发信息,并修改域名的DNS解析设置,将网站流量解析到web应用防火墙进行防护
- 开通Web应用防火墙服务后,可以使用DNS配置模式或透明代理模式将网站接入web应用防火墙进行防护
云安全中心
- 云安全中心是一个实时识别、分析、预警安全威胁的统安全管理系统,通过防勒索、防病毒、防篡改、合规检査等安全能力,实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地服务器并满足监管合规要求
- 云安全中心提供基础版、基础杀毒版、高级版和企业版多个版本
- 云安全中心产品优势:安全事件告警和检索、漏洞和基线配置检测、安全风险量化和预测、安全可视化界面、支持病毒云查杀、符合多项国际安全认证标准
- 资产安全状态通过云安全中心Agent插件收集和检测得出
- Agent插件:云安全中心提供的本地安全插件,必须在要防护的服务器上安装该插件才能使用云安全中心的服务
阿里云云监控
云监控(Cloud monitor)是一项针对阿里云资源和互联网应用进行监控的服务,云监控为云上用户提供开箱即用的企业级开放型一站式监控解决方案。云监控涵盖IT设施基础监控和外网网络质量拔测监控,是基于事件、自定义指标和日志的业务监控,全方位提供更高效、全面、省钱的监控服务
云监控结合阿里云云计算平台强大的数据分析能力,提供云服务监控、站点监控和自定义监控,云产品、业务保驾护航,主要有天然集成、数据可视化、监控数据处理、灵活报警等优势
云监控的应用场景:云服务监控、系统监控、及时处理异常场景、及时扩容场景、站点监控、自定义监控
主机监控的应用
- 混合云场景下监控解决方案云监控通过插件采集用户服务器监控数据,该插件支持安装在非ECS服务器上,解决云上下双重环境的基础监控问题
- 企业级用户的监控解决方案主机监控提供应用分组功能,支持将阿里云不同地域的服务器分配在同一分组中,真正从业务角度管理服务器。同时,提供分组维度的报警功能管理能力,一次规则设置可以作用全组,极大提升监控运维效率和管理体验
自定义监控
- 提供了自由定义监控项及报警规则的功能
- 可以针对自己关心的业务指标进行监控,将采集到的监控数据上报至云监控,由云监控来进行数据处理,并根据处理结果进行报警
事件监控与自定义监控的区别:事件监控用于解决非连续的事件类型数据监控数据上报、查询与报警的场景,而自定义监控用于解决周期性持续采集的时间序列监控数据上报、查询与报警的场景
模拟CPU占用场景
1
2
3
4
5// 安装压力测试工具
yum install –y stress
// 执行压力测试命令
stress --cpu 8 --io 4 --vm 2 --vm-bytes 128M --timeout 10m
// 查看用户的邮箱,将会收到报警邮件阿里云云监控支持非阿里云主机的监控,需要手动安装插件