ACP考试知识点

地域、可用区问题

负载均衡: 不支持跨地域,可跨可用区。
OSS: 不支持跨地域,可跨可用区。
SLB(Server Load Balance)服务通过设置虚拟服务地址(IP),将位于同一地域(Region)的多台云服务器(Elastic Compute Service,简称ECS)资源虚拟成一个高性能、高可用的应用服务池

存储

OSS

  1. OSS 提供多种鉴权和授权机制及IP黑白名单、防盗链(用户只有通过URL签名或匿名访问Object时,才会进行防盗链验证)、主子账号功能。
  2. OSS 存储Object上传文件的大小,通过简单上传、表单上传、追加上传的方式上传单个文件,文件的大小不能超过5 GB ;通过分片上传的方式上传单个文件,文件的大小不能超过48.8 TB。
  3. OSS 提供多种文件上传的方法,以方便用户在不同场景中使用,OSS支持 从OSS管理控制台直接上传、通过OpenAPI上传、通过SDK上传、通过云市场例的FTP工具上传

  4. OSS图片处理API 一个用户最多可以创建10个channel、每个channel中存放的数量没有限制,但是单个object的最大大小为20M,每个channel存放的总和没有限制。 图片名称具有全局唯一性且不能修改。

  5. OSS开启版本控制后,则不支持设置合规保留策略、镜像回源或静态网站托管; 如果bucket已经开启版本控制,则无法返回到非版本化状态。

  6. OSS收费包含三个部分,存储空间费用、流量费用和OSS API的费用,

    • OSS API请求付费,目前云服务器和OSS间的请求次数不分内外网都会计费,API请求次数,仅支持按量付费。
    • 存储费用支持包年包月 和 按量付费。
    • 仅公网下行收费,公网上传/内网上下行都不收费。
  7. OSS免费支持 DDos攻击、自动流量清洗和黑洞功能。

  8. 修改已上传Object的元数据方法:将Object下载到本地,删除原来的Object,重新上传更改元数据后的Object; 通过CopyObject或者UploadPartCopy接口,对Object进行拷贝修改目标文件的元数据,再将原文件删除。 23年6月,新增加了set-meta 可以直接对数据的meta数据进行更新或删除

  9. OSS支持使用对象标签对存储的Bucket 进行分类,用户可以针对桶标签的Object设置生命周期规则、访问权限

  10. OSS 在断电、断网等导致某个机房不可用时,仍然能够提供强一致性的服务能力,切换过程无感知满足关键业务 RTO=0 和RPO=0 的强需求。

  • RPO(Recovery Point Objective)即数据恢复点目标,主要指的是业务系统所能容忍的数据丢失量。
  • RTO(Recovery Time Objective)即恢复时间目标,主要指的是所能容忍的业务停止服务的最长时间,也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。
  1. OSS提供保存访问日志的功能,对BucketA开启访问日志记录后,自动将请求日志,以小时为单位,按着固定命名规则,生成一个Object写入用户指定的BucketB, BucketA 和Bucket B可以是不同的Bucket,但是必须属于同一个用户。
  2. OSS域名绑定描述正确的是:OSS cname绑定的域名必须经过工信部(不是阿里云)的备案 ; OSS域名绑定,仅支持OSS以三级域名访问方式进行绑定,访问方式为(Bucket name.${region}.aliyuncs.com 。
  3. 阿里云OSS和自建存储相比,有以下优点: 海量存储 、 低成本、 安全、 多线BGP接入
  4. 针对不同的应用场景, OSS有 1.使用KMS托管秘钥进行加解密(密钥需要自管理、可指定),2.使用OSS完全托管加密 两种服务器端加密方式。
  5. OSS 原生图片处理限制有:1.调用resize默认不允许放大; 2. 支持bmp、webp图片格式。
  6. 常见状态码
    | 状态码 | 含义 |
    | —— | ———————— |
    | 403 | 用户账号禁用、AK不匹配等 |

    本地盘

  7. 云盘和本地盘异同点:云盘和本地盘均支持SSD和快照,性能均和磁盘类型有关和容量无关(相同类型块存储产品的单位容量的I/O性能均一致,但云盘性能随容量增长而线性增长,直至达到该类型块存储的单盘性能上限) ; 本地盘不支持多副本的机制 ;
  8. 磁盘快照不支持压缩

ECS

  1. ECS数据恢复
    在使用云服务器ECS的过程中,有时难免会出现数据被误删除的情况,在阿里云上恢复被误删除的数据有多种方式,比如:
    • 通过ECS管理控制台回滚已创建的快照
    • 使用开源工具Extundelete恢复误删的数据
    • 使用开源工具ext3grep恢复误删的数据
  2. ECS自动快照是保存在独立于用户自己的OSS Bucket里面,不能保存在用户的Bucket里面
  3. 阿里云服务器ECS出于安全考虑默认自带安全组(仅开放了22号和3389号端口,22:远程连接Linux服务器;3389:远程连接Windows云服务器)
  4. 云服务器ECS实例镜像选择Aliyun Linux镜像后,可以兼容Red Hat系列的操作系统(包含 Red Hat Enterprise Linux, Fedora, CentOS, Scientific Linux, Oracle Linux)
  5. 如果ECS实例发生了非预期宕机或运维,阿里云默认自动重启恢复实例,如果挂在了本地盘,可以选择的恢复方式如下:1.自动重启恢复、2.禁止重启恢复,3.自动重新部署。
  6. 阿里云的ECS支持用户名和密码登陆、SSH密钥对的鉴权方式。
  7. 阿里云可以使用SSH密钥对登陆云服务器ECS,SSH秘钥在应用过程中的优势有:1.密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁; 2. SSH密钥对便于远程登录大量Linux实例,方便管理。
  8. 云服务器ECS主要包含以下功能组件: 实例:等同于一台虚拟服务器,内含CPU、内存、操作系统、网络配置、磁盘等基础的计算组件。
  9. ECS 系统盘挂载盘:/dev/xvda ; ECS数据盘:/dev/xcdb,/dev/xcdc……/dev/xcdz
  10. 只有在稳定(运行中、已停止、已过期)状态才能挂载磁盘,其他状态都不行。
  11. ECS使用过程中,可以使用扩容功能(创建一块新云盘,作为数据盘挂载到实例上),挂载扩容后只是扩大存储容量(不会扩容文件系统),需要通过LVM手动扩容分区和刷新文件系统。
  12. 一块全新的Windows数据盘挂载到ECS实例后,还不能直接存储数据,通常您需要完成磁盘联机、新建分区、格式化等初始化操作后,才能供系统读写数据。
  13. 更换ECS实例/操作系统后,重新分配新的系统盘(系统盘ID会更新),旧系统盘会被释放。系统盘的云盘类型、实例IP地址以及弹性网卡和MAC地址保持不变;旧系统盘的自动快照策略自动失效,需要重新设置自动快照策略;旧系统盘如果开启了自动快照随云盘释放,则自动快照会被自动删除,未开启则不会自动删除,等到到期后释放。
  14. ECS相比于传统服务器,拥有每份数据多分副本单份数据损坏可在短时间内快速恢复无需额外的开发支持自动的磁盘数据备份
  15. Windows示例系统盘由40G扩容到100G,分区C显示大小99.9GB,但是可用空间(百分比)反而比之前更小,这个错误出现的原因是: 虚拟内存被开启且设置的是系统自动管理。
  16. ECS的相关操作注意事项:
    • 禁止使用ECS实例做流量穿透服务
    • 不要随意修改网卡MAC地址
    • 对于4GiB以上内存的云服务器,需选择64位操作系统
    • 不要开启SeLinux
    • 不要编译Linux系统的内核,或对内核进行任何其他操作
  17. 在Liux实例里,您重启系统后,可能会出现数据盘分区丢失或者数据丢失的问题。这可能是因为您未在etc/fstabi文件里设置自动挂载。此时,您可以先手动挂载数据盘分区。如果手动挂载时报分区表丢失,您可以尝试如下三种办法进行处理:1.通过fdisk恢复分区;2.通过testdisk恢复分区;3.通过testdisk直接恢复数据。
  18. 阿里云api的访问地址是: http://ecs.aliyuncs.com/
  19. 如果仅在特定的时段有较高的CPU性能需求,为了尽可能节约成本,应该选用突发性能型实例。不同类型实例的适用场景:
  • 突发性能型实例(Burstable Performance Instances):
    示例:AWS T3、Google Cloud N1、Azure B系列
    适用场景:适合工作负载的 CPU 使用率具有突发性需求的场景,例如开发环境、小型应用服务器、低流量网站、测试和开发环境。

  • 密集计算型实例(Compute-Optimized Instances):
    示例:AWS C5、Google Cloud C2、Azure F系列
    适用场景:适合需要高性能计算的工作负载,例如科学计算、模拟、高性能集群、批处理处理、视频编码和游戏服务器等。

  • 通用计算型实例(General Purpose Instances):
    示例:AWS M5、Google Cloud N2、Azure Dv3系列
    适用场景:适用于广泛的工作负载,包括 Web 服务器、应用服务器、小型数据库、微服务、中间件和开发/测试环境等。

  • 共享型实例(Shared Burstable Instances):
    示例:AWS T2、Google Cloud E2、Azure B1S
    适用场景:1.中小型网站和Web应用程序;2.开发环境、构建服务器、代码存储库、微服务、测试和暂存环境等:3.轻量级数据库、缓存;4.轻量级企业应用、综合应用服务;适合个人项目、学习、小型网站、轻负载应用或低流量网站等对计算资源需求较低的场景。

  1. ECS的生命周期管理状态包括:中间状态(待启动、启动中、停止中)和稳定状态(已删除、已停止、即将过期、已过期、欠费回收中、过期回收中、已锁定、等待释放)
  2. ECS通过使用AccessKey ID和AccessKey Secret进行对称加密,以验证请求的发送者身份。 其中AccessKey ID用于标识访问者的身份AccessKey Secret是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密
  3. 在重置ECS密码时,ECS实例必须在稳定状态下:已停止或运行中
  4. ECS的磁盘控制台,可以进行磁盘的扩容、回滚和备份,不能进行磁盘的共享

磁盘操作时间

更换系统盘需要ECS实例处于已停止状态; 更换系统盘,原系统的所在实例的ID不会发生变化; 更换系统盘,原系统的自动快照会被释放,手动创建的快照不会被释放,这些快照仍然可以创建自定义镜像。

更换迁移

  1. ECS从经典网络迁移至VPC网络,实例本身系统硬件配置无变化(实例ID不变、系统盘ID不变)和公网IP不变;网络切换VPC网络,实例的私网IP会变化。

监控指标

  1. ECS监控指标分基础监控和操作系统级别指标监控,操作系统级别监控指标包含内存使用率、平均负载、磁盘IO读/写、磁盘使用率、TCP连接数、进程总数
  2. ECS监控指标分基础监控和操作系统级别指标监控,操作系统级别监控指标包含内存使用率、平均负载、磁盘IO读/写、磁盘使用率、TCP连接数、进程总数

云盘

  • ESSD AutoPL云盘:支持根据业务需求自定义云盘的预配置性能以及性能突发。该类云盘在保持ESSD云盘原有功能与性能的同时,可以实现云盘容量与云盘性能解耦。
    建议在以下业务场景中使用:

    • 应用于ESSD云盘所适用的场景(大型OLTP数据库、NoSQL数据库和ELK分布式日志等场景)。
    • 业务所需的云盘容量固定,但需要更高的云盘性能支撑业务的运行。
    • 业务波动较大,波峰高频出现。需要云盘具备应对突发业务的能力。
  • ESSD PL-X云盘:具备超高IOPS(Input/Output Operations Per Second)、超高吞吐量和超低时延等多维度的超高性能。您可以在配置ESSD PL-X云盘容量的同时,根据业务需求灵活自定义云盘的IOPS。更多信息,请参见ESSD PL-X云盘。
    建议在对云盘性能有更高要求的OLTP数据库和KV数据库场景中使用。

  • ESSD云盘:基于新一代分布式块存储架构的超高性能云盘产品,结合25GE网络和RDMA技术,单盘可提供高达100万的随机读写能力和更低的单路时延能力。
    建议在大型OLTP数据库、NoSQL数据库和ELK分布式日志等场景中使用。

  • SSD云盘:具备稳定的高随机读写性能、高可靠性的高性能云盘产品。
    建议在I/O密集型应用、中小型关系数据库和NoSQL数据库等场景中使用。

  • 高效云盘:具备高性价比、中等随机读写性能、高可靠性的云盘产品。
    建议在开发与测试业务和系统盘等场景中使用。

弹性伸缩

  1. 弹性伸缩只支持ECS的伸缩,不支持其他服务的伸缩。只能使用阿里云的ECS实例。
  2. 用户手动添加到伸缩组中的ECS实例不会停止和释放,弹性伸缩只会停止和释放自动创建的ECS
  3. 弹性伸缩的伸缩模式有多种,如定时模式、动态模式、固定数量模式、自定义模式以及健康模式
  4. 开启实例释放保护后,用户不能手动释放,但是不能阻止合理的自动释放行为:1.账号欠费15天; 2.设置了自动释放时间到期; 3. 实例存在安全合规风险;4.弹性伸缩自动创建,缩容时被移除释放
  5. 报警任务支持:CPU、内存、系统平均负载、内外网出和入流量,TCP总连接数和已建立连接数
  6. 在Forcedelete为False时,删除伸缩组需要满足:1. 伸缩组没有任何伸缩活动正在执行。2.伸缩组当前的ECS实例数量(Total Capacity)为0
  7. 阿里云的同一个ECS只能加入一个伸缩组经典网络的ECS不能加入专有网络VPC
  8. 伸缩活动特点:1.伸缩活动不可以中断2. 伸缩活动保持ECS实例级的完整性,而非伸缩活动级事物的完整性。
  9. 伸缩组支特关联负载均衡实例和RDS实例,但是暂时不能关联Redis实例。如果您有业务数据存诸在Redis实例上,手动配置ECS实例加入或移出Rdis实例白名单,操作效率较低。您可以通过生命周期挂钩和OOS模板将ECS实例自动加入和移出Redis实例白名单。
  10. 弹性伸缩使用伸缩配置创建ECS实例,这种方式不够灵活,需要进行更多的自定义设置时,可以使用生命周期挂钩 或 实例自定义数据。

伸缩配置

  1. 弹性伸缩的伸缩配置支持多种特性,例如: 标签、SSH密钥对、实例RAM角色、实例自定义数据
  2. 弹性伸缩创建出来的机器配置和规格相同,但是不会出现IP相同的情况。

伸缩组

  1. 创建伸缩组后,负载均衡实例、RDS数据库实例 不可以修改。
  2. ECS同一时刻只能加入一个伸缩组
  3. 伸缩组自动扩展必备的活动是: 1. ECS实例分配IP; 2. 启动ECS实例。

冷却时间

  1. 如果在伸缩活动中,没有ECS实例成功加入或者移出伸缩组,则弹性伸缩服务不会开始计算冷却时间
  2. 如果您停用再启用伸缩组,伸缩组启用后的首次伸缩活动可以立即执行,不会受冷却时间影响。当伸缩组启用后首次成功执行伸缩活动,弹性伸缩服务才开始计算冷却时间
  3. 冷却时间不能为空,如果不配置使用默认冷却时间。
  4. 由于伸缩组正在发生伸缩活动或者伸缩组停用等原因,导致定时任务触发执行伸缩规则失败后,在LaunchExpirationTime内,定时任务会自动重试触发,否则放弃本次定时触发
  5. 自动触发的伸缩活动有冷却时间,冷却时间指伸缩组成功执行伸缩活动后的一段锁定时间。在冷却时间内,伸缩组会拒绝由报警任务触发的伸缩活动请求。
    但非报警任务(手动执行任务、定时任务、健康检查等)触发的伸缩活动可以立即执行,绕过冷却时间。

    ECS实例状态

  6. 保护状态:处于保护状态的ECS实例负载均衡权重不受影响。弹性伸缩不会检查处于保护状态的ECS实例健康状态,也不会释放ECS实例,不希望被移出伸缩组的ECS实例转为保护状态。
  7. 备用状态:设置备用状态会把ECS的负载均衡权重置零,弹性伸缩不会检查处于备用状态的ECS实例健康状态,也不会释放实例。

移除策略

  1. 移除策略选择最早伸缩配置对应的实例:筛选添加时间最早的伸缩配置和启动模板对应的实例。手动添加的实例没有关联伸缩配置或启动模板,因此不会首先选出手动添加的实例。如果已移出全部关联的实例,仍需要继续移出实例,则随机移出手动添加的实例

负载均衡

  1. 性能保障型实例的三个关键指标:

    • 最大连接数-Max Connection
      最大连接数定义了一个负载均衡实例能够承载的最大连接数量。当实例上的连接超过规格定义的最大连接数时,新建连接请求将被丢弃。
    • 每秒新建连接数-Connection Per Second(CPS)
      每秒新建连接数定义了新建连接的速率。当新建连接的速率超过规格定义的每秒新建连接数时,新建连接请求将被丢弃。
    • 每秒查询数-Query Per Second(QPS)
      每秒请求数是七层监听特有的概念,指的是每秒可以完成的HTTP或HTTPS的查询(请求)的数量。当请求速率超过规格所定义的每秒查询数时,新建连接请求将被丢弃。
  2. SLB判断流量转发的顺序:当用户流量经过负载均衡端口时,首先判断其是否能够匹配上某条“转发规则”, 如果匹配,则将流量转发到该规则的后端服务器组上;若不匹配并且在该监听上设置了虚拟服务器,那么将流量转发到该虚拟服务器组上; 若用户没有在该监听上设置虚拟服务器组,即将流量转发到实例级别添加的各后端服务器中。

  3. 公网类型负载均衡实例,系统会为其分配一个公网服务地址。

  4. 负载均衡的必要配置:

    • 负载均衡SLB实例的属性配置 / LoadBalancer:负载均衡实例。
    • 负载均衡SLB实例的监听配置 / Listener:用户定制的监听器,定义了负载均衡策略和转发规则
    • 负载均衡SLB实例的后端ECS实例配置 / BackendServer:后端的一组ECS(云服务器)。
  5. 四层和七层负载均衡差异点

  • 四层负载均衡,采用开源软件LVS(linux virtual server),并根据云计算需求对其进行了定制化。适合无状态的 ; 七层负载均衡,采用开源软件Tengine

  • 四层网络是基于 源IP实现7层网络是基于Cookie实现的

  • 健康检查过程中,4层服务健康检查基于端口七层服务检查是基于返回的健康码
  • 四层无法关闭健康检查 ,七层可以关闭健康检查。
  • 共享实例带宽, 如果给某个监听设置带宽峰值,则会再总带宽中剥离出对应的带宽作为该监控的独享带宽(其他监听任务无法使用)
  1. 主备服务器组仅可适用于TCP和UDP监听
  2. 负载均衡SLB不提供CNAME地址只提供IP地址;后端服务器的权重之和没有限制; 后端服务池中的ECS可能由于异常机制导致不能正常运行,会出现非运行中的情况。
  3. 一般情况下默认路由在有外网情况下会先走外网网卡,如无外网则走内网网卡。
  4. 用户在使用SLB负载均衡时,发现在HTTP请求的头部增加了Transfer-Encoding:chunked字段,但是从本地主机直接访问后端服务器时是没有这个字段的是因为:由于七层负载均基于Tengine反向代理实现。
  5. 健康检查: 4层负载均衡健康检查通过检查端口,7层负载均衡健康检查通过服务器端返回码。
  6. 四层负载均衡可以直接获取用户真实IP; 七层服务可以通过X-Forwarded-For获取用户真实IP
  7. CLB可以包年包月(计费项:实例费用、规格费用、公网网络费)和按量付费(实例费用、规格费用/LCU费、公网网络费)

监听

四层负载均衡(传输层)

  • 四层负载均衡,采用开源软件LVS(linux virtual server),并根据云计算需求对其进行了定制化。
  • 会话保持基于IP
  • 在4层SLB服务中,不支持添加进服务器池的云服务器既作为RS,又作为客户端向所在的SLB发送请求。返回的数据包只在云服务器内部转发,不经过SLB,所以通过配置在SLB内的云服务器去telnet SLB的IP是不通的。

TCP(Transmission Control Protocol,传输控制协议)

  • 建议的应用场景
    注重可靠性,对数据准确性要求高,速度可以相对较慢的场景;
    示例:文件传输、发送或接收邮件、远程登录、无特殊要求的 Web 应用
  • 健康检查: 健康检查通过定制的TCP探测来获取状态信息。
  • 特性
    • 面向连接的协议;
    • 在正式收发数据前,必须和对方建立可靠的连接;
    • 基于源地址会话保持,在网络层可直接看到来源地址;
    • 监听支持 TCP 和 HTTP 两种方式进行健康检查;
    • 转发路径短,所以性能比 7 层更好,数据传输速度更快

UDP (User Datagram Protocol,用户数据包协议)

  • 建议的应用场景
    • 关注实时性而相对不注重可靠性的场景;
    • 示例:视频聊天、金融实时行情推送
  • 健康检查: 健康检查通过UDP报文探测来获取状态信。
  • 特性
    • 面向非连接的协议;
    • 在数据发送前不与对方进行三次握手,直接进行数据包发送,不提供差错恢复和数据重传;
    • 可靠性相对低;数据传输快
    • 通过UDP保温探测来获取状态信息。

七层负载均衡(应用层)

  • 七层负载均衡,采用开源软件Tengine。
  • 会话保持基于cookie
  • 针对七层(HTTP或HTTPS协议)监听,健康检查通过HTTP HEAD探测来获取状态信息,
  • HTTP/HTTPS监听可使用植入cookie和重写cookie来进行会话保持。

    HTTP

  • 建议的应用场景
    • 需要对数据内容进行识别的应用,如 Web 应用、小的手机游戏等
  • 特性
    • 应用层协议,主要解决如何包装数据;
    • 基于 Cookie 会话保持;使用 X-Forward-For 获取源地址;
    • 监听只支持 HTTP 方式健康检查

HTTPs

  • 建议的应用场景
    • 有更高的安全性需求,需要加密传输的应用
  • 特性
    • 加密传输数据,可以阻止未经授权的访问;
    • 统一的证书管理服务,用户可以将证书上传到负载均衡,解密操作直接在负载均衡上完成

网络

经典网络

经典网络支持私网互通。

专有网络VPC

  1. 专有网络VPC下面的ECS,无论是否绑定EIP,在设置安全组的时候,规则同时控制公网和内网流量。
  2. 专有网络VPC的高级功能包括:网络ACL、流日志和自定义路由表
  3. 创建专有网络后,系统会在路由表中自动添加一条以 100.64.00.0/10 为目标网段的路有条目,用于VPC内的云产品通信。
  4. 每个交换机的第一个和最后三个IP地址为系统保留地址。以192.168.1.0/24为例,192.168.1.0、 192.168.1.253、192.168.1.254192.168.1.255这些地址是系统保留地址。
  5. 一个交换机只能绑定一张路由表,交换机的路由策略由其关联的路由表管理。
  6. VPC网络下,可以通过弹性公网IP、NAT网关、公网负载均衡和ECS固定公网IP等方式链接公网。

  7. 实现VPC中ECS服务器切换/迁移到同VPC下的其他交换机,包括以下几步,

    1. 打开云服务器管理控制台;
    2. 找到对应的需要切换/迁移的云服务器;
    3. 修改云服务器的私网地址;
    4. 选择您所需的交换机,同时指定新交换机下的IP;
  8. 使用隧道封装技术对云服务器的IP报文进行封装,所以云服务器的数据链路层(二层MAC地址)信息不会进入物理网络,实现了不同云服务器间二层网络隔离,因此也实现了不同VPC间二层网络隔离。;VPC内的云服务器使用安全组防火墙进行三层网络访问控制
  9. 对VPC下的云服务器实例的私网IP进行修改,可以通过 需要修改的地址超出交换机地址范围时,变更ECS实例所在的交换机并变更ECS的私网IP需要修改的地址没有超出ECS所在交换机地址范围时,直接变更ECS实例的私网IP 方式变更。
  10. 安全组和交换机绑定; 子网和交换机绑定; 路由表和交换机绑定。
  11. vpc目前只有两种状态: pending(配置中), available(可用) 。
  12. 创建VPC后,可以通过创建交换器为专有网络划分一个或多个子网,设置交换机的IPv4网段时,用户需要了解交换机的网段限制:
    • 交换机的网段必须是VPC网段的子集;
    • 交换机的第一个和最后三个IP为系统保留地址;
    • 如果交换机有和其他专有网络的交换机或本地数据中心通信的需求,确保交换机的网段和要通信的网段不冲突;
    • 交换机的网段不能与所属VPC路由表中路由的目标网段范围相同或大于该范围;
    • 交换机网段不能与所属VPC下其他交换机的网段重叠。
  13. 创建VPC后,需要完成创建交换机的操作之后才能够在专有网络内创建其他的云产品实例。
  14. 默认交换机和非默认交换机的异同点:
    • 默认交换机只能创建在默认专有网络中
    • 默认交换机与非默认交换机支持相同操作方式,且规格限制一致
    • 默认交换机由阿里云为您创建,您自行创建的均为非默认交换机
  15. 路由条目包括系统路由、自定义路由、动态路由

    NAT网关

  16. DNAT:Destination Network Address Translation 目的网络地址转换。内部服务对外发布。
  17. SNAT:Source Network Address Translation 源网络地址转换,其作用是将ip数据包的源地址转换成另外一个地址。主要用于内部共享IP访问外部
  18. 一个公网NAT 网关支持绑定20个EIP

    EIP

  19. 经典网络公网IP转换为EIP后,1. 采用按使用流量计费方式,2.公网带宽值和原ECS实例保持一致,3.不能挂在到经典网络类型ECS实例上, 4.不同于专有网络VPC类型ECS实例,经典网络ECS实例具有公网网卡,如果经典网络公网IP转换为EIP,则无法保留公网网卡和实例的MAC地址。
  20. 通过对绑定EIP的ECS实例分配一块弹性网卡,并将EIP绑定到弹性网卡,可以实现公网出口IP保持一致。
  21. 云数据库不能绑定EIP
  22. 1个弹性公网IP只能绑定到1个ECS上 ; 弹性公网IP只能绑定到相同地域(可以是不同可用区)的VPC类型的云服务器ECS实例上;不能绑定到经典网络上。

网络ACL 特性

  1. 网络ACL规则仅过滤绑定的交换机中ECS实例的流量(包括SLB实例转发给ECS实例的流量)。
  2. 网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。无状态指的是每个网络ACL规则都是独立的,不考虑其他规则或之前的通信历史记录。换句话说,ACL规则仅根据每个流量数据包的源地址、目的地址、协议类型和端口号等信息来决定是否允许该数据包通过,而不关心之前是否有类似的数据包通过了。因此,即使两个数据包从同一个源地址发送,但如果它们的目的地址、协议类型或端口号不同,则它们可能会被ACL处理为完全不同的情况。-- by chatGPT
  3. 网络ACL无任何规则时,会拒绝所有出入方向的访问。
  4. 网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量

CDN

  1. CDN加速,在添加域名页面,源站信息可以选择:IP、源站域名、OSS域名、函数计算域名
  2. CND节点在全国多地均有分布,所以与其他云产品间流量通过公网传输,不管是否同一地域都会产生回源流量费。
  3. 开启CND加速时,源站域名不能与加速域名相同,否则会造成循环解析,无法回源。
  4. CND可以开启状态码过期时间,避免无效文件的频繁回源导致源站压力过大。

安全

阿里云的云盾补丁管理服务里发布的补丁来自阿里云自己研发。

安全管家

  1. 大型互联网用户,现有网上资产比较多;但是不清楚自己那些资产联网了,无法及时对这些资产进行清理和关停,存在较大的安全隐患,可以使用阿里云的 安全管家

操作审计

  1. 操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务SLS或对象存储OSS,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

云盾

  1. 数据风控 目前只支持在Web中插入指定的JS代码的方式来采集信息。
  2. 数据风控 产品具体可以防范 垃圾注册、营销作弊、盗卡支付
  3. 云盾面可以免费开通的功能包括:DDoS基础防护、阿里绿网、安骑士
  4. 云盾加密服务采用 符合

安骑士

  1. 安骑士是云盾提供的保护服务器的产品,功能包括:1.木马文件检查,异地登陆报警,操作系统暴力破解,高危漏洞修复,网页防篡改

事态感知(可以预测即将发生的安全事件)

  1. 态势感知具备异常登录检测、网站后门查杀、进程异常行为、敏感文件算改、异常网络连接、Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应急漏洞、Web漏洞扫描、主机基线、云产品基线、资产指纹、AK和账号密码泄露、数据大屏、日志检索、全量日志分析等功能。
  2. 事态感知支持通过手机短信和电子邮件的方式向用户发送报警信息。
  3. 事态感知是云上资产的诊断服务,不是针对ECS的托管服务。

安全组

  1. 安全组授权主要限制IP,端口,和安全组。无法指定MAC地址。
  2. 安全组是一种虚拟防火墙,具备状态监测和包过滤功能。而不是ECS实例之间的隔离
  3. 实例加入安全组的规则如下:
    • 实例至少加入一个安全组,可以同时加入多个安全组。每个ECS最多可以加入5个安全组。
    • 实例上挂载的弹性网卡中,辅助网卡可以加入和实例不同的安全组。
    • 实例不支持同时加入普通安全组和企业安全组。
  4. 安全组只能设置内网访问规则(无论是否绑定EIP)
  5. 创建安全组的顺序是:创建安全组-添加安全组规则-ECS加入安全组-管理安全组-管理安全组规则
  6. 安全组优先级的取值范围是1~100,数字越小优先级越高

云安全

  1. 云安全中心提供 添加白名单 的功能,开启后,云安全中心不在对对应风险项进行告警。

防火墙(收费)

  1. Web应用防火墙的功能包括: 防Web应用系统的密码破解、敏感信息泄露。
  2. 云防火墙是用户上云后的首个安全组件,支持全网流量识别、统一策略管控、入侵检测、日志等核心功能。
  3. 应对CC攻击

实人认证

  1. 实人认证服务是指依托活体检测、人脸比对等生物识别技术、证件OCR识别技术等,进行的自然人真实身份的校验服务,目前仅支持拥有中华人民共和国第二代居民身份证的人士进行认证。

云监控

  1. 自定义监控是指:用户可以对自己关心的业务进行监控,将采集到的监控数据上报至云监控,由云监控进行数据的处理,并根据结果进行报警; 自定义的监控项的数量是没有数量限制的,且阿里云提供接口可以给开发者上报数据。
  2. 云监控可以通过手机短信、钉钉机器人、电子邮件、电话进行报警通知。
  3. 云监控提供站点监控、 云服务监控、自定义监控、报警服务 功能,
  4. 负载均衡开启云监控后,可以使用的报警方式有短信、邮件、旺旺。不支持电话报警。

攻击

  1. 跨站脚本攻击(XSS: Cross-site scripting) 可被用于进行窃取隐私,钓鱼欺骗,偷取密码,传播恶意代码等攻击行为,主要发生在用户浏览器

  2. CC(Challenge Collapsar)是指攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装。CC主要是用来攻击页面的。预防CC注册是Web应用防火墙的功能。

    内容安全

    内容安全提供: 内容审核(机审)、人工审核、图片OCR识别、人脸识别功能

日志服务

如果想利用日志服务提供的分析功能,则必须将日志存储在Standard Logstore中,且在配置索引时打开对应字段的开启统计开关。

告警管理

  1. 告警策略是告警管理系统的配置实体,当告警管理系统接收到告警事务(含恢复通知)时,自动按照对应的告警策略,进行告警降噪等操作。
    • 告警合并
      告警合并是将具有相同特征的告警进行分组,便于进行统一通知或后续处理,在一定程度上避免告警风暴。
    • 告警静默
      告警静默用于禁止一段时间内的告警通知。例如在特定时间内维护测试环境,会产生大量的相关告警,此时可通过静默功能避免接收到大量的告警通知。
    • 告警策略继承
      告警策略之间可以有继承关系,最终的作用效果相当于父策略和子策略合并后的作用效果。更多信息,请参见告警策略继承机制。
    • 告警抑制
      告警抑制用于阻止有某告警引发的其他告警通知。
    • 数据隔离
      不同告警策略之间的数据是完全隔离的。

域名

注册局安全锁

注册局安全锁是目前最高等级的域名安全保护措施,由注册局在根服务器层面操作,禁止域名被恶意转移、篡改及删除。开启注册局安全锁后,域名将被置为以下三种锁定状态:

  • 注册局设置禁止删除(serverDeleteProhibited)
  • 注册局设置禁止转移(serverTransferProhibited)
  • 注册局设置禁止更新(serverUp
  • dateProhibited)

其他

  1. 针对常见的HTTP字段(如IP、URL、Referer、UA、参数等)进行条件组合,配置支持业务场景定制化的防护策略,可用于盗链防护、网站管理后台保护等

  2. IaaS、PaaS、SaaS

    • IaaS(Infrastructure as a Service,基础架构即服务): 基于云的服务,按需付费,用于存储,网络和虚拟化等服务。
    • PaaS(Platform as a Service,平台即服务): Internet上可用的硬件和软件工具。
    • SaaS(Software as a Service,软件即服务): 可通过互联网通过第三方获得的软件。
    • DaaS(Data as a Service,数据即服务):最新产生的,稳定的数据提供
  3. 虚拟化技术包括:全虚拟化、半虚拟化、硬件辅助虚拟化。

  4. SDN(Software Defined Network) :软件定义网络

  5. 阿里云作为云计算服务公提供商,提供的安全保障服务

  6. APP客户端经常因本地DNS篡改导致连不上服务器,可以使用HTTPDNS, HTTPDNS是一款面向移动开发者推出的一款域名解析产品,具有域名防劫持、精准调度等特性。

  7. SMC 服务器迁移中心SMC(Server Migration Center)是阿里云自主研发的迁移平台。使用SMC,可将您的单台或多台迁移源迁移至阿里云。迁移源(或源服务器)概指您的待迁移IDC服务器、虚拟机、其他云平台的云主机或其他类型的服务器。迁移过程无需停机,不影响原服务器业务。

  8. 一个完整的云计算环境由云端、计算机网络终端三部门组成(也就是常说的云、管、端)。云端就是指计算设备,负责完成软件的计算;终端是指我们用来完成输入/输入的设备;计算机网络负责将云端和终端连接起来,完成信息传输(将终端的输入指令传输到云端,将云端的执行结果反馈给终端)。

  9. CAP原则又称为CAP理论,主要思想是在任何一个分布式系统中都无法同时满足CAP。

    • C(Consistency):表示一致性,所有的节点同一时间看到的是相同的数据。
    • A(Avaliablity):表示可用性,不管是否成功,确保一个请求都能接收到响应。
    • P(Partion Tolerance):分区容错性,系统任意分区后,在网络故障时,仍能操作。
  10. SQL注入可能造成的危害包括: 网页被篡改,数据被篡改,核心数据被窃取,数据库所在服务器被攻击编程傀儡主机

  11. 可以公网接入的云服务是 EIP、 NAT网关、 固定公网IP

  12. 堡垒机服务功能特性:1.满足《萨班斯法案》、金融监管、《等级保护》的审计合规要求;2. 支持SSH、Windows远程桌面、SFTP等常见运维协议。

  13. 某用户在创建ECS实例(分配了公网P地址)后的六小时内,想要更换该ECS实例的公网IP地址,但在控制台操作界面找不到更换公网P选项,这种问题的原因可能是: ECS实例为VPC网络,停止实例时选择停机不收费停机不收费的ECS则为按量付费的ECS, 按量付费的ECS在购买创建后的6小时内,并不能更换公网IP,这是由于更换公网IP需要停止实例,而按量付费的ECS实例在停止后会自动释放公网IP地址,所以按量付费ECS实例停止后,并没有“更换公网IP”的选项。

  14. PPPoE是拨号上网相关协议,已经过时了。不可能在API协议中使用。

  15. 在创建ECS实例后,如果需要更换ECS实例的操作系统,用户可以通过更换系统盘来更换操作系统。用户进行更换系统盘操作后,下列选项中不一定发生的是:原系统盘自动快照被自动删除。(如果未开启自动快照随云盘释放,则到期后自动释放。)

  16. ECS服务器使用注意事项说法正确的是:1.云服务器的内核和操作系统版本不要随意升级;2. Liux的云服务器数据盘未做分区和格式化,使用前请挂载数据盘;3. 网卡的MAC地址不要修改。

  17. Google在2003年到2006年公布了关于GFS、MapReduce和BigTable三篇大数据处理系统技术论文。

  18. 云数据库RDS不能绑定EIP。

  19. 网络通信五元组: 源IP地址,源端口,目的IP地址,目的端口,传输层协议。

  20. BGP机房特点: BGP机房的服务器并不是都具备双机或多机冗错功能。参考BGP机房的优点:(1)服务器只需要设置一个P地址,最佳访问路由是由网络上的骨干路由器根据路由跳数与其它技术指标来确定的,不会占用服务器的任何系统资源。服务器的上行路由与下行路由都能选择最优的路径,所以能真正实现高速的单P高速访问。(2)由于BGP协议本身具有冗余备份、消除环路的特点,所以当DC服务商有多条BGP互联线路时可以实现略由的相互备份,在一条线路出现故障时路由会自动切换到其它线路。(3)使用BGP协议还可以使网络具有很强的扩展性可以将DC网络与其他运营商互联,轻松实现单P多线路,故到所有互联运营商的用户访问都很快。这个是双IP双线无法比拟的。

  21. PolarDB 是阿里巴巴自研的新一代云原生数据库,在计算存储分离架构下,利用了软硬件结合的优势,为用户提供具备极致弹性、高性能、海量存储、安全可靠的数据库服务。100%兼容MySQL和PostgreSQL生态,高度兼容Oracle语法。

  22. 主机边界防火墙可以对ECS实例间的入流量和出流量进行访问控制,限制ECS实例间的未授权访问。

  23. TTL:TTL是Time-To-Live的缩写,指生存时间。而域名解析中提到的TTL值是指全国各地的localdns服务器中缓存解析结果的时间周期。

  24. ACK集群需要自行创建Master节点和Worker节点,仅支持专有网络VPC。

  25. ACK支持5种公网访问方式:节点访问,负载均衡,NGinx Ingress ,域名,DNAT网关
  26. 加密服务支持的加密机类型包括:通用服务器密码机GVSM、金融数据密码机EVSM和签名验证服务器SVSM
  27. 使用弹性伸缩管理业务所用的ECS实例时,伸缩组是基本的管理单元。伸缩组用于管理具有相同应用场景的ECS实例,并支持关联多个负载均衡实例和RDS实例。
  28. OCSP Stapling功能,可实现由CDN预先缓存在线证书验证结果并下发给客户端,无需浏览器直接向CA站点查询证书状态,从而减少用户验证时间。本文主要介绍OCSP Stapling功能的概念、使用前提和配置方法。
  29. MapReduce:是一种编程模型,用于大规模数据集的并行运算,可以非常好地和云计算相结合以处理海量数据计算。MapReduce的设计目标包括:1.易于编程; 2.易于扩展;3.高容错性
  30. 如果您的应用访问量很高,您可以通过配置监听规则将流量分发到不同的云服务器ECS(Elastic Compute Service)实例上。此外,您可以使用 功能将同一客户端的请求转发到同一台后端ECS,提高访问效率。
  31. SSL证书类型:DV(域名型)、OV(企业型)、EV(企业增强型)
  32. 云数据库RDS提供了以下数据存储类型:ESSD云盘、本地SSD盘、SSD云盘、通用云盘。
  33. 云数据库Redis支持标准架构、集群架构和读写分离架构,可满足不同的业务场景对业务读写能力、数据量和性能的要求。
  34. HaVip,
-------------本文结束感谢您的阅读-------------