ECS
扩展
垂直扩展:升配
磁盘挂载
只有在稳定(运行中,已停止)状态才能挂载磁盘,其他状态都不行
水平扩展:弹性伸缩
ECS升级CPU或内存等配置需要重启才可享受升级后的配置。
隔离性
同账号下,同一地域ECS实例内网都可以互通。
成本管理
ESC暂时不用,可以制作自定义镜像,并释放该实例
安全组
网络安全控制功能
最多可以加5个,至少1个
安全组中禁止访问的规则需要高于允许访问的规则
不支持MAC授权
弹性伸缩
伸缩组
伸缩活动
冷却时间
上一次伸缩完成后开始计时
伸缩组重启后,原冷却时间失效
步骤
手工加入的步骤:
1. 判断伸缩组的健康状态、边界条件和 ECS 实例的状态、类型。
2. 分配 ActivityId 和执行伸缩活动。
3. 加入 ECS 实例。
4. 修改 Total Capacity。
5. 添加 RDS 白名单。
6. 挂载负载均衡,将权重设为当前伸缩组中已激活的伸缩配置上指定的“负载均衡权重”。此处使用了伸缩配置上指定的“负载均衡权重”。
7. 伸缩活动完成,启动 cooldown。
伸缩对象
根据伸缩配置、伸缩规则自动创建的实例
移出时会停止、释放
两种伸缩模式
定时任务、报警任务
优先级:同时只有一个伸缩任务执行,两种任务没有优先级之分
弹性自愈
弹性自愈即当检测到某台ECS实例处于不健康状态时。弹性伸缩自动释放不健康ECS实例并创建新的ECS实例,
自动添加新ECS实例到负载均衡实例和RDS实例的访问白名单中
API服务
地址:ecs.aliyuncs.com
默认返回格式XML
NetworkManager
Linux系统不要开启该服务。
该服务实现网络的配置和管理,NetworkManager服务启动以后可能会导致系统内部的网络配置出现紊乱。
SLB
基本使用
阿里云的负载均衡SLB目前只支持阿里云的云服务器ECS实例,不支持其他服务器。
移除ESC时应先将权重修改为0
流量分发
四层流量转发
LVS
基于源IP实现会话保持,保持时间最长3600s
走默认路由,如有外网网卡,则先走外网网卡
主备服务器组仅支持四层监听(TCP、UDP)
七层流量转发
通过Tengine实现
在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性;
Nginx是当前最流行的7层负载均衡开源软件之一;
根据Xhttp头部的-Forwarded-For获取来访者真实IP
基于cookie实现会话保持
基于域名或URL路径进行转发
只有7层监听(HTTPS/HTTP协议)支持配置URL转发策略
健康检查
健康检查配置|七层监听|四层监听
健康/不健康阈值的含义是尝试N次
四层监听
检查端口
UDP和TCP监听无法关闭健康检查
七层监听
检查状态码
只有HTTP和HTTPS监听支持关闭健康检查。
转发顺序
当用户流量经过负载均衡某端口时,我们首先判断其是否能够匹配上某条“转发规则”,如果匹配,则将流量转发到该规则的后端服务器组上;
若不匹配并且在该监听上设置了虚拟服务器组,那么将流量转发到该虚拟服务器组上
若用户没有在该监听上设置虚拟服务器组,即将流量转发到实例级别添加的各后端服务器中
监听设置
允许设置50个
对监听设置的峰值带宽是不共享的
不同地域的SLB负载——DNS轮询
云盾
绿网:云盾体系内的业务防护模块
保护网站内容安全,屏蔽小黄图、敏感话题等
云盾安骑士
数据风控
WEB应用系统,可以采用JavaScript方式来采集“刷库”等业务风险信息
Web应用防火墙(WAF)
防止密码破解(收费功能)
防止被爬虫
阿里云以外的服务器可以通过安骑士客户端管理控制台生成的安装验证key,实现与账号管理
DDOS:恶意网络攻击行为
高级防护
支持四层和七层抗攻击能力
支持弹性按天计算
升级防护不会导致服务中断
支持电信、联通、BGP、HK线路(海外线路)
部分免费
安全管家:专业技术人员运维实例
云安全中心(态势感知)
作用
非常用ip登录RDS时会收到报警
可以发现webshell,恶意病毒攻击
安装验证key
大数据安全分析平台,能对云上资产进行安全告警;
并用机器学习发现潜在的入侵和高隐蔽攻击,回溯攻击历史,预测即将发生的安全事件
专有网络VPC
系统路由
用于专有网络内的云产品实例访问专有网络外的云服务(用于交换机内的云产品通信)
路由器
路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备
每个路由器关联一张路由表
使用步骤:1-创建VPC,路由器会自动创建;2-创建交换机
默认专有网络与非默认专有网络的操作方式与规格限制一致
高速通道实现VPC之间的私网通信
专用网络VPC下面的ECS,不管是否绑定了EIP,在设置安全组的时候,只可以设置内网规则,外网规则是不可以选的
三层网络访问控制在阿里云中是通过安全组实现的
修改私网IP需要保证ECS处于已停止的状态
弹性公网
每个弹性公网IP只能绑定到同一地域的一个VPC网络的云产品实例上。
收费
弹性公网(EIP)
绑定条件
ECS实例的网络类型必须为专有网络
ECS实例地域必须与EIP地域相同
EIP可绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例和NAT网关上。所以不支持绑定到经典网络的ECS实例上。
OSS
ECS要通过内网访问OSS的Bucket,需要处于同一地域
OSS针对VPC有一套自己的内网地址,地址如:vpc100-oss-cn-beijing.aliyuncs.com
安全
防盗链
基于Http Header中refer字段实现
ip白名单
Bucket文件复制
文件上传
接口
CopyObject接口
节省网络带宽,无需下载、上传过程
ModifyLoadBalancerInternetSpec
修改计费方式
文件上传接口
Put Object
Multipart Upload(断点续传)
文件访问
在浏览器中直接访问图片等,需要绑定用户自定义域名
Bucket
OSS创建后其地域不可更改
名称全局唯一,且创建后不可更改
Object
单个Object的大小限制是48.8T,但是每个Bucket的容量是没有上限的
组成
元信息(Object Meta)
用户数据(Data)
文件名(Key)
域名绑定:目前仅支持3级域名;经过工信部备案
分享
私有bucket分享机制
对外分享的内容是限时有效
CDN
任何地域都会产生回源流量费
加速域名
CDN加速域名“停用”和“删除”的区别?
使用的解析服务商可以是阿里云以外的公司
ip黑名单功能
网站媒体内容可以保存在ECS的硬盘中,不一定需要使用OSS来作为媒体内容的存储。
HTTPDNS
面向移动开发者推出的一款域名解析产品,具有域名防劫持、精准调度等特性
BGP(边界网关协议)
多线BGP
解决跨运营商的网络访问速度瓶颈
单IP多线路,将IDC与其他运营商互联
BGP线路主要为OSS,和DDoS高防IP提供服务
CDN的全部缓存节点并没有采用BGP线路
云监控(CloudMonitor)
业务监控预警
支持未部署在阿里云产品上的网站
用户可以使用云监控提供的事件订阅功能,从消息队列消费报警信息
数据只能查看(控制台或接口),不能下载
计算机、网络基础
渗透测试是通过模拟恶意黑客的攻击方法
操作系统级别监控指标包含内存使用率、平均负载、磁盘 IO 读/写、磁盘使用率、TCP 连接数、进程总数等。
请注意CPU使用率不属于操作系统级别监控。
阿里云管理
RAM(Resource Access Management)——子账号管理
ICP备案需要提前一个月
