ECS
- 用户购买ECS后,无需购买单独的服务就可以抵御的安全攻击包括: DDos攻击、异地登录、暴力密码破解、Web漏洞发现。
- ECS产品的实例系列(实例系列I采用IntelXeon CPU实例系列II采用Haswell CPU):实例系列I的用户可以获得更大的实例规格 ;实例系列II相对于实例系列I增加了一些新的指令集使整数和浮点运算的性能翻倍 ; 实例系列I1全部为I/0优化实例,配合SSD云盘使用可以获得更高的I/O性能
- 专有网络内的ECS使用安全组防火墙进行三层网络访问控制
- ECS从经典网络迁移到专有网络, 公网IP、实例ID、实例用户名和密码都不会发生变化;私网IP会重新分配;。
- ECS实例磁盘上的数据如果需要回滚,要求ECS实例的状态为已停止
- 想长期使用某个公网IP地址可以选择EIP(绑定到ECS上); 实例带宽设置为 0Mbit/s,可以释放NatPublicIP; PublicIP会随实例一起释放。一个ECS仅能绑定一个公网IP
- 企业级异构计算规格簇群可以提供更好的浮点运算性能 ; 实例均为I/O优化实例,可以发挥更好的性能; Windows系统的ECS实例部署Web环境,至少选择2GB内存的实例规格。
- 按量付费的ECS转为包年包月实例,需要满足条件:不是停售的实例规格、不是抢占式实例、没有未支付的订单、未设置自动释放时间、处于运行中或已停止状态。
- ECS实例释放保护不能阻止因合理原因自动执行的释放行为,包括但不限于:账号欠费超过15天实例被自动释放。实例设置了自动释放时间,到期后被自动释放。实例存在安全合规风险,被停止或释放。实例由弹性伸缩自动创建,在缩容时被移出伸缩组并释放。
- 保证ECS正常运行,不要卸载相关硬件的驱动程序、不要开启SElinux、不要修改Linux实例的/etc/issue文件内容、不要使用ECS做流量穿透服务 操作。
SMC服务器迁移服务
- 能够将单台或多台迁移源迁移至阿里云。
- 迁移源包括IDC服务器、虚拟机、其他云平台的云主机或其他类型的服务器。
- 数据传输安全有保证默认采用SSL2048位RSA密钥加密传输通道,支持通过VPN网关、高速通道物理专线等私网迁移。
- 支持不停机迁移,迁移过程无需停机,不影响源服务器系统业务。
- 一键迁移,自动在待迁移服务器执行导入迁移源脚本,迁移脚本会下载、解压并运行SMC客户端
部署集注意事项
- 部署集内不能创建抢占式实例
- 部署集不支持创建专有宿主机
- 部署集之间不支持相互合并
OSS
- 通过Web前端技术向OSS上传数据的方式有:使用表单上传、使用OSS Brdser.js SDK上传、 通过支付宝小程序上传。
- OSS的静态托管支持html格式的文件。
- 阿里云数据存储平台中,有三类角色,分别是Client(客户端)、Master(主服务器)和Chunk Server(数据块服务器)
- OSS请求数据不存在时,会返回404错误,如果设置了正确的回源规则,可以通过回源规则从OSS获取正确的数据,回源类型有 镜像回源 和 重定向 两种。
- SS标准存储适合于各种 社交、分享类的图片、音视频应用、大型网站、大数据分析 等业务场景。
OSS简单上传
- 上传单个文件不超过5G;
- 上传单个文件过程中可以携带meta信息;
- 基于PUT方式的http请求上传。
bucket属性
- 自定义域名绑定、读写权限设置、防盗链设置可以通过Bucket属性进行设置
- 存储空间(Bucket)具备多种配置属性包括:地域、访问权限、存储类型等
OSS高防
- 每个地域可以创建一个高防OSS实例,每个实例最多可以绑定同一地域下的10个Bucket。
- Bucket绑定高防实例后,无法在浏览器预览Bucket内的资源。
- OSS高防只有在超出DDos原生防护阈值时才生效
- OSS高防默认不对Bucket关联的自定义域名进行防护。
图片处理限制(处理收费)
- 只支持JPG、PNG、BMP、GIF、WebP、TIFF格式
- 原图大小不超过20M
- 图片旋转对原图高宽不超过4096px,其他操作高或宽不超过30,000px,总像素不超过2.5亿px
- 其中gif格式的图片支持指定宽高缩放,不支持等比缩放(所以对缩略后图片大小有限制)
图片处理方式
- 用户可以通过多种方式处理图片: 通过文件URL、 API、SDK使用图片样式对OSS内图片进行处理。
CPFS
- CPFS支持两种存储规格: 100MB/s/TiB基线和200MB/s/TiB基线。
云数据库
- 云数据库默认提供 按备份集恢复 和 按指定时间点恢复。
云数据库Redis(键值对数据库)
- 云数据库Redis支持三种不同的部署架构,即标准架构、集群架构、读写分离架构。
慢日志
- 数据节点慢日志
数据节点慢日志中统计的命令执行时间仅包含命令在数据节点中的执行时间,不包含数据节点与代理或客户端的通信时间以及命令在单线程队列上的排队延迟等。 - 代理慢日志
代理慢日志中统计的命令执行时间从代理向数据节点发出请求开始,到代理从数据节点收到相应的回复为止,包含了命令在数据节点中的执行时间、数据在网络中的传输时间以及命令的排队延迟等。
云数据库RDS(关系型云数据库)
- 云数据库RDS提供三种数据存储类型,分别是:ESSD云盘,本地SSD盘,SSD云盘。
- RDS支持多种数据库引擎,包括SQL Server、PostgreSQL、MYSQL、MariaDB ,并提供了容灾、备份、回复、监控、迁移等方面的解决方案
- 进行变更配置操作的实例状态需要是运行中;变更配置后实例的链接地址不会发生变化
备灾实例
- RDS通过数据传输服务(DTS)实现主实例和异地灾备实例之间的实时同步
- 异地灾备实例切换为主实例后,需要在应用端修改数据库连接地址,恢复业务系统
- DTS支持全量迁移也支持增量迁移,DTS 的增量迁移是实时获取在迁移过程中,源数据库产生的增量数据,然后在全量迁移完成后,开始同步到目标 RDS 实例中。当增量迁移第一次追平源库的写入时,增量迁移的状态为无延迟,此后增量迁移会一直同步源数据库的业务写入。
VPC
- VPC创建后,其主IPv4网段不能修改
- 每个VPC有且只有一个路由器; 删除VPC时,会自动删除对应的路由器,创建VPC时,会自动创建一个路由器。不支持直接创建或删除路由器。
- 路由表支持通过专有网络VPC的控制台 和 阿里云VPC的OpenAPI进行配置。
- 若VPC中创建了ECS实例规格族限制中的ECS实例,则该VPC不支持使用高级功能,包括:括网络ACL、流日志和自定义路由表
- VPC的交换机通常指的是二层交换机,但也可能涉及到三层交换机。
- VPC对等链接、云企业网和VPN可以实现VPC的跨地域安全互访。
- 网络ACL无任何规则时,会拒绝所有出入方向的访问。
VPC支持操作
- 创建自定义路由条目
- 创建新的系统路由表进行流量管理
- 创建自定义路由表,并将自定义路由表和交换机(一个交换机只能绑定一张路由表)绑定。
附加网段
- 添加附加网段后,主网段和附加网段同时生效,但创建交换机时,交换机只能属于VPC的一个网段
- 同VPC下,如果主网段内的ECS实例与附加网段内的ECS实例加入同一安全组且被VPC的网络ACL规则允许通行,则可以实现互通。
EIP
- 为方便关系,阿里云支持申请多个连续的EIP,连续EIP掩码范围为/24~/28,对应的EIP数目分别为 /28对应16个EIP;/27默认分配32个;/26默认分配64个;/25默认分配128个;/24默认分配256个
交换机
- 交换机创建完成后,不能修改CIDRBlock(Classless Inter-Domain Routing,无类域间路由:表示一个连续的IP地址范围)
- 删除交换机之前,必须先删除目标交换机所链接的云产品实例。
- VPC的交换机通常指的是二层交换机,但也可能涉及到三层交换机
VBR(Virtual border router)边界路由器功能
- 作为VPC和本地IDC的中间路由器,负责交换数据包。
- 决定物理专线端口模式为三层路由接口或基于VLAN的三层子接口。
- 支持BGP协议
- 每个BGP有且只有一张路由表
- VBR和VPC之间需要使用静态路由实现网络互通。
HaVip(High-Availability Virtual IP Address)高可用虚拟IP
HaVip是一种可以独立创建和释放的私网IP资源,具备与ECS实例主私网IP地址一样的网络接入能力,可以与高可用软件,例如Keepalived配合使用,搭建高可用主备服务,提高业务的可用性。
- HaVip支持绑定一个弹性公网IP(EIP)、多个(最多10个)ECS实例或多个ECS实例的主网卡或辅助网卡,以实现同可用区、多服务器高可用架构下的IP漂移,确保对外提供服务的私网IP始终不变。
- HaVip只支持单播。
AS/ESS 弹性伸缩
- 伸缩报警任务支持:CPU、内存、系统平均负载、内外网出和入流量、TCP总连接数和已建立连接数、系统盘读写BPS、系统盘读和写IOPS、内网网卡收包数和发包数。
- 弹性伸缩过程中,指定多种实例规格,伸缩组会按照单位vCPU的价格从低到高排序,优先选择单位vCPU价格更低的实力规格。
- 伸缩组的状态: Active、Inactive和Deleting。
- 伸缩配置支持的镜像类型有 自定义镜像、公共镜像、共享镜像, 不支持云市场镜像,主要是因为云市场镜像是收费的。
- 弹性伸缩的伸缩配置支持 实例RAM角色、SSH密钥对、标签、实例自定义数据 特性,用于帮助用户高效、灵活的自定义ECS实例配置。不支持设置密码。
- 期望实例数只能在新建伸缩组时开启,不能对已有伸缩组进行修改开启该功能。
- 在一个伸缩组中,您可以创建多个伸缩配置,且最多可以拥有70个伸缩配置。但一个伸缩组中只能有一个伸缩配置处于生效状态,选用一个新的伸缩配置后,原生效中的伸缩配置会进入未生效状态。
- 伸缩组类型为 ECI (Elastic Container Instance弹性容器实例) 的伸缩组可以选择启动模板作为组内实例配置信息来源; 伸缩组类型为ECS的伸缩组可以选择已有实例作为组内实例配置信息来源。
- 一个伸缩组可以支持多个SLB实例,一个SLB实例可以绑定多个伸缩组。
- 同一个伸缩组内,同一时刻只能有一个伸缩活动在执行。
- 弹性伸缩支持多种模式,如 定时模式、动态模式、固定数量模式、自定义模式以及健康模式。
SLB
- SLB绑定EIP必须满足如下条件:SLB的网络类型是专有网络;SLB和EIP地域相同; 一个SLB仅能绑定一个EIP。
- 性能保障型负载均衡实例的关键指标:最大连接数、每秒新建连接数、每秒查询数。
云上架构搭配使用了云安全中心(安骑士)和DDS高防IF产品。业务架构搭建完毕后,用户访问时出现以下情况:Web应用报502错误(Bad Gateway),以下哪几项可能是导致该错误的原因:
- 在业务层面存在通过SLB实例IP地址访问SLB实例的情况
- SLB防火墙(iptables)规则配置错误,不能正常接收请求
- 源站配置了高防,但是没有在高防中配置七层转发规
- Web应用处理HTTP请求的时间超过了负载均衡的超时时间
后端实例权重设置为零时,负载均衡不会在将流量转发给服务器(四层监听异常、7层监听不会显示异常); 相当于ECS移除实例。
- 七层协议转发中,实现基于Cookie的会话保持,阿里云的负载均衡提供 Cookie重写 和 Cookie植入的处理方式
- 负载均衡支持HTTPS监听,并提供证书托管:服务器证书(PEM)需要上传证书内容和私钥 , CA证书只需要上传证书内容。
- 负载均衡组成部分:LoadBalancer、Listener、Backend Server。
- SLB实例必须开启健康检查,否则无法和弹性伸缩配合使用。
私网负载均衡
- 经典网络类型的私网负载均衡实例,其服务地址由阿里云统一分配和管理
- 专有网络类型私网负载均衡实例,其服务地址从指定的专有网络的交换机网段内分配
- 私网负载均衡是免费的
LVS 主要组成部分:
网络型负载均衡 ALB
- ALB健康检查支持 GRPC、TCP、HTTP协议 ;
- ALB支持灰度发布,可以选择基于Cookie、 HTTP标头、 不同服务器组 实现灰度发布。
传统型负载均衡CLB的限制
- 需要通过域名和URL进行请求转发时,可以选择使用虚拟服务器;
- 不同的监听可以关联不同的服务器组,这样一个负载均衡实例可以将请求根据不同监听转发给不同的服务器组内不同端口的后端服务器。
- 如果您在配置监听时,选择使用虚拟服务器组或主备服务器组,那么该监听会将请求转发到关联的服务器组中的后端服务器,而不会再将请求转发给默认服务器组中的后端服务器
- 一个主备服务器组只包括两台后端服务器,一台作为主服务器,一台作为备服务器。由于备服务器不会做健康检查,所以只要主服务器健康检查失败,系统会直接将流量切到备机。当主服务器健康检查成功恢复服务后,流量会自动切到主服务器。
轮询算法
- SLB四层支持轮询、加权轮询(WRR)和-致性哈希(CH)调度算法。
- 七层支持轮询、加权轮询(WRR)调度算法
CDN
- CDN节点的系统关键组件有哪些: LVS(四层负载均衡)、Tengine(七层负载均衡)、Swift(做参考链接)、http(缓存)。
- CND由 缓存系统、调度系统、链路质量系统和支撑系统 这四大系统组成。
- CDN加速指定源站,在添加域名时,可以选择 函数计算域名、 源站域名、OSS域名。
- 可以通过OpenAPI和SDK进行CDN的开通和关闭; Web管理控制台可以自定义防盗链、缓存策略、HTTP响应头 ; CDN和加速域名在同一个阿里云账号下可以实现自动修改解析; CDN访问日志可以通过openAPI下载也可以通过CDN控制台下载。
- CDN回源仅支持公网,会产生公网流量费或带宽费用。
- CDN用户想要获取访客真实IP的方法有:
- “访客真实IP”保存在HTTP协议的”X-Forwarded-For” Header中,可以在Apache和Nginx的自定义Log中直接获取;
- Windows下,如果使用IIS,需要安装一个”FXForwardedFor”的扩展模块,才可以在日志里面看到”访客真是IP”
云监控
- 创建EIP后,云监控服务自动开启,无需手动开启即可对EIP进行监控。
- 云监控是意向针对阿里云资源和互联网应用进行监控的服务,可以监控主机的CPU、内存、磁盘、网络等监控项,不支持GPU的性能监控;在主机监控中,可以为单个主机设置报警规则 ;可以通过在主机上安装插件采集丰富的操作系统层面的监控项; 除阿里云的ECS还可以监控其他厂商的虚拟机或物理机。
报警服务
- 云监控的报警服务支持 电话、短信、邮件、钉钉机器人 等多种方式。
- 云监控可以在报警规则中选择日志服务,将报警信息写入日志服务的日志库
- 可以支持绑定弹性伸缩
日志服务
日志服务SLS是云原生观测与分析平台,为Log(日志)、Metric(时序数据)、Trace(链路数据)等数据提供大规模、低成本、实时的平台化服务。
安全
阿里云提供的安全解决方案有: 等保合规解决方案、企业上云安全建设解决方案。
DDos
- 购买DDos高防后,可以通过 域名接入和端口接入的方式接入DDos高防。
- DDos防护说法正确的是
- DDoS原生防护提供基础版默认为阿里云资源公网IP免费开启,无需购买
- DDoS原生防护企业版实例的地域必须与需要防护的阿里云公网IP资产地域一致
内容安全
- OSS违规检测功能,检测到违规时可以进行冻结,冻结方式支持:将违规文件进行删除、 将违规文件访问权限设置为私有。
- 内容安全是一款多媒体内容智能识别服务,可以通过API调用,提供 人工审核、人脸识别、内容审核、图片OCR识别 功能。
云安全中心
Agent
- Agent卸载后有一段保护期,在保护期内重新安装的Agent会被自动卸载。
- 一键自动安装仅在阿里云服务器支持;
- 云安全中心Agent支持Linux系统和Windows系统
- 如果服务端在10个小时内没有收到Agent客户端登录、采集到的数据等信息,会将客户端状态更改为离线。
WAF
负载均衡的WAF可以针对 跨站脚本、SQL注入、CSRF、本地文件包含、WebShell 进行安全防护。
Web应用防火墙WAF
- Web应用防火墙可以为不同网站防护模块设置白名单,使满足条件的请求忽略指定模块的检测,支持设置的模块白名单包括:Bot管理白名单、Web入侵防护白名单、数据安全白名单。
- WAF支持使用透明接入和CNAME接入两种方式。
地域
镜像、快照
VPC
安全组
可用区
实例挂载磁盘
阿里云系统
- 飞天:是阿里巴巴自研的分布式操作系统,能够支持大规模分布式计算和存储任务。由盘古和伏羲构成
- 夸父:是阿里巴巴自研的集群部署服务。
- 盘古:是阿里巴巴自研的存储管理服务。
- 神龙:是阿里巴巴自研的弹性裸金属服务。
- 伏羲:是阿里巴巴自研的资源调度服务。
ACK容器服务
- 容器服务ACK支持企业级容器化应用的全生命周期管理,包含三种产品形态:专有版kubernetes、Serverless kubernetes、托管版 kubernetes。
ACK专有版
- Master节点的系统盘支持开启云盘备份以备份云盘数据
- ACK集群仅支持专有网络VPC
- ACK专有版需要自行创建Master节点及Worker节点。
容器网络
- 每个Pod都拥有自己独立的网络空间和IF地址。不同Pod的应用可以监听同样的端口而不冲突。Pod可以通过各自的IP地址互相访问。集群中Pod可以通过它独立的IP地址与其他应用互通:同一个集群中,Pod之间相互访问。Pod直接访问同一个VPC下的ECS。同一个VPC下的ECS直接访问Pod。
备份中心
- 备份中心提供了 定时增量备份、 按时间点的全量急速快照备份 功能
全球加速实例
- 基础型:基础型全球加速可用于三层(IP协议)网络加速场景,您只需要配置加速区域和终端节点组即可实现业务加速。
- 标准型:标准型全球加速主要用于四层(TCP和UDP协议)和七层(HTTP和HTTPS协议)网络加速。
其他
- 服务器迁移中心支持的操作系统有: Linux 和 Windows
- 数据传输服务DTS(Data Transmission Service)支持 RDBMS(Relational Database Management System)、NoSQL(Not Only SQL)、OLAP(Online Analytical Processing)、DB2 等数据源间的数据交互,集数据迁移/订阅/同步于一体。
- 开启注册局安全锁后,域名将被设置为三种状态:禁止转移、禁止更新、禁止删除。
- 域名注册完成后支持多种操作,包括:域名转移和域名交易。
- 阿里云SSL证书服务支持 ECC、RSA、 SM2 三种加密算法。
- 在使用DSC(数据安全中心)检测云产品中存在的敏感数据或审计数据库活动前,需要完成对应产品的授权,支持一键授权(对目标资产添加只读账户)和输入数据库账号密码授权。
- 云解析DNS是由管控层和解析数据层两部分组成管控层:云解析DNS为客户提供可视化的域名解析管理平台,可以帮助客户实现快速关系域名解析的增删改查。解析数据层: 云解析DNS会将客户在管控层的解析配置,实时同步到云解析DNS在全球部署的解析服务器节点上。
- 数字证书管理服务,支持购买 DV域名型、 OV企业型、 EV企业增强型三种类型的SSL证书。
- 加密服务支持的密码机类型包括金融数据密码机和通用数据密码机。
- Web应用防火墙WAF和内容分发网络CDN结合使用,为开启内容加速的域名提供Web攻击防御。该管理员将CDN作为入口层用来实现内容加速,流量经过作为中间层的WAF进行防护再到源站。下列关于这个架构的配置,正确的是:
- 在CDN中配置源站信息时,源站域名不能与加速域名相同,否则会造成循环解析,无法回源
- 需要在WAF中生成要防护的源站域名的专用CNAME地址
- 一个分布式系统不可能同时满足 一致性、可用性和分区容错性 这三个基本需求。