ACP云计算工程师考试知识点
文章来源:https://www.toymoban.com/news/detail-536297.html
目录
- ECS
- 安全组
- 伸缩组
- SLB
- VPC
- OSS
- RDS
- CDN
- DNS
- DTS
- 云安全
- 云监控
一、ECS实例
- ECS组件:在ECS中,是由CPU、内存、磁盘(ECS中没有硬盘概念)、网络配置、操作系统构成
- ECS使用限制:①不支持安装虚拟化软件和二次虚拟化;②不支持声卡应用;③不支持直接加载外接硬件设备
- ECS状态:分为中间状态和稳定状态。①中间状态:启动中,停止中,准备中;②稳定状态:运行中,已停止,已过期。
- ECS实例分为很多规格,其中通用型是ECS主体,其他的计算型、内存性、大数据型、本地SSD型、高主频型、GPU计算型、突发性、共享型。其区别是CPU/内存/网络配置/镜像的区别。
- 通用型实例:适用于高网络包收发场景,例如视频弹幕、电信业务转发等;各种类型和规模的企业级应用;网站和应用服务器;游戏服务器;中小型数据库系统、缓存、搜索集群;数据分析和计算;计算集群、依赖内存的数据处理
- 突发型实例:是一种通过CPU积分来保证计算性能的实例规格,适用于平时CPU使用率低,但偶尔有突发高CPU使用率的场景。突发性能实例在创建后可以持续获得CPU积分,在性能无法满足负载要求时,通过消耗更多CPU积分来无缝提高计算性能,不会影响部署在实例上的环境和应用。说白了按CPU使用量收费的实例。
- 共享型实例:共享型实例采用非绑定CPU调度模式。每个vCPU会被随机分配到任何空闲CPU超线程上,不同实例vCPU会争抢物理CPU资源,并导致高负载时计算性能波动不稳定,有可用性SLA保证,但无性能SLA保证。与企业级实例相比,共享型实例在资源利用上侧重于资源性能的共享,所以无法保证实例计算性能的稳定,但是成本更低。说白了这不是一台实例,而是一坨可被按需分配的CPU资源。
- 共享型实例用途:中小型网站和Web应用程序;开发环境、构建服务器、代码存储库、微服务、测试和暂存环境等;轻量级数据库、缓存轻量级企业应用、综合应用服务,搭载不了数据库服务。
- ECS实例启动模板:实例启动模板是一项持久化ECS实例配置的功能,可用于快速创建实例。实例启动模板中包含了用于创建实例的配置信息,可以存储除了密码以外的任意配置信息,包括密钥对、RAM角色、实例类型和网络设置等
- ECS部署集:部署集是控制ECS实例分布的策略,使您能在创建ECS实例的时候就设计容灾能力和可用性。您可以使用部署集将业务涉及到的ECS实例分散部署在不同的物理服务器上,以此保证业务的高可用性和底层容灾能力。在部署集内创建ECS实例时,会根据您事先设置的部署策略,ECS实例在指定地域下被分散启动。
- ECS部署集使用限制:
①部署集之间不支持相互合并。
②部署集内不能创建抢占式实例。
③部署集不支持创建专有宿主机。
④在部署集内创建ECS实例时,一个可用区内最多能创建7台ECS实例 - ECS系统资源监控:云服务器ECS系统资源监控DashBoard页面内容有哪些? CPU使用率、磁盘IO、网络带宽
- ECS连接方式-Linux实例:①WIN本地电脑连接方式有Workbench、VPN、PuTTY等客户端工具;②Linux本地电脑连接方式有Workbench、VPN、SSH命令连接。
- ECS连接方式-Windows实例:①WIN本地电脑有Workbench、VPN、远程桌面;②Linux本地电脑有Workbench、VPN、rdesktop等客户端工具
- ECS连接方式-API调用ECS常识(必考):ECS API支持HTTP或者HTTPS网络请求协议,允许GET和POST方法。用HTTP调用ECS时,返回结果主要有 XML 和 JSON 两种格式,默认为 XML(模拟题中至少遇到过2次关于默认返回格式的考试)
- ECS连接方式-API调用ECS常识(偏门考点):云服务器ECS的API服务地址是ecs.aliyuncs.com 而不是ecs.aliyun-api.com
- ECS连接方式-唯一识别码:ECS无论每次接口调用请求是否成功,系统都会返回一个唯一识别码(返回参数)Requestld
- 远程连接考题:windows自带的远程桌面工具,只能远程链接windows系统。如果ECS是CentOS,自己的电脑是WIN,远程桌面是连不上的ECS的,只能选择阿里云的控制台、putty、xshell、secureCRT等工具链接。
- 远程链接考题:阿里云为登录ESC提供了多种方式,如使用VNC或workbench登录。其中VNC登录适合:①1.实例启动自检等原因导致启动速度慢,解决方案:查看自检进度;②实例误开启操作系统防火墙 ③云服务器失陷、CPU和带宽消耗高。
- 操作系统-Linux实例设置冲突:ECS安装Cent OS后,尤其是Linux系统中不要开启NET Work Manager服务,该服务会跟阿里云内部网络服务冲突,导致网络异常。
- 操作系统-SELINUX:安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。开启SELINUX后会对ECS的监控功能有极大影响。
- 磁盘-ECS更换磁盘:实例更换系统盘或扩容数据盘时,需要停止实例,因此会短暂的中断您的业务;而且扩容系统盘后,ECS的IP地址不会发生变化。
- 磁盘-更换系统盘:指为ECS实例重新分配一块系统盘,系统盘ID会更新(因此之前系统盘的快照在新系统盘上不能用),旧系统盘会被释放。系统盘的云盘类型、实例IP地址以及弹性网卡MAC地址保持不变。如果您在创建ECS实例时选择了错误的操作系统,或者需要使用其他操作系统,您能通过更换系统盘来更换操作系统。
- 磁盘-更换系统盘的高风险:①您需要在新系统盘中重新部署业务运行环境,有可能会对您的业务造成长时间的中断;②历史系统盘快照不能用于回滚新系统盘;③您手动创建的快照不会被释放,这些快照仍可以创建自定义镜像。如果旧系统盘设置了自动快照随磁盘释放,则自动快照会被自动删除;④如果更换前后都是Linux系统,且ECS实例上挂载了数据盘并设置了开机自动挂载分区。更换系统盘后,旧系统盘中的数据盘分区挂载信息丢失;
- 磁盘-卸载系统盘:阿里云ECS支持卸载系统盘。当文件损坏无法启动ECS实例时,您可以卸载系统盘后作为数据盘挂载到其他ECS实例进行修复,修复完毕后再作为系统盘挂载到源ECS实例。
- 黑暗常识:可以将一台ECS的系统盘卸载下来,给同一地域的另一台ECS作为数据盘使用
- 磁盘-本地盘:本地盘是ECS实例所在物理机上的本地硬盘设备。本地盘适用于对存储I/O性能、海量存储性价比有极高要求的业务场景。
- 磁盘-本地盘缺点:①本地盘来自单台物理机,数据可靠性取决于物理机的可靠性,存在单点故障风险,说白了,使用本地盘存储数据有丢失数据的风险,例如ECS实例所在物理机发生硬件故障时。请勿在本地盘上存储需要长期保存的业务数据;②本地盘不支持自行挂载,不支持使用快照建立本地盘,不支持扩容,不支持初始化,不支持快照回滚;③挂载本地盘后,ECS实例除了升级带宽,不能扩展配置和更换操作系统,也不支持从ECS上卸载。只支持释放ECS时连同本地盘一同释放。
- 磁盘-挂载本地磁盘的一个深坑:当ECS绑定了阿里云的本地磁盘或SSD磁盘,因为本地盘时阿里云机房内给用户专属专用的物理盘,所以购买了带本地盘的ECS,不能进行升降配,只能升级带宽。
- 磁盘-ECS挂载数据盘:随实例一起购买的数据盘,已自动挂载到该实例。单独购买的数据盘必须挂载到实例后才能格式化。ECS挂载的数据盘在挂载时,需要先对数据盘进行格式化,挂在前可以进行二次分区,所以也可以对数据盘进行多分区配置。如果不用win或Linux自带的磁盘管理工具,使用第三方工具进行分区,很有可能出现异常。
- 磁盘-ECS卸载数据盘:数据盘的计费方式为按量付费时,您可以从ECS实例上卸载数据盘。阿里云ECS不支持卸载作为数据盘使用的本地盘。
- 磁盘-释放云盘:手动释放云盘以及为按量付费数据盘开启或关闭随实例释放时,云盘状态必须为待挂载,如果您设置了自动快照随云盘释放,云盘的自动快照会被一起释放,手动快照不受云盘释放的影响。
- 黑暗常识:可以将一台ECS的系统盘卸载下来,给同一地域的另一台ECS作为数据盘使用
- 存储容量单位包SCU:(Storage Capacity Unit)支持抵扣多存储产品的按量付费账单,例如云盘、OSS、NAS、快照等。SCU采取预付费计费方式,支持全预付的支付方式。
- 地域:①不同地域的云服务器ECS、关系型数据库RDS、对象存储服务OSS内网不互通;②不同地域之间的云服务器ECS不能跨地域部署负载均衡;③不同地域的资源价格可能有差异
- 上云迁移:当你在本地将服务器上云时,可以通过在阿里云部署好一台ECS并做好配置后,通过镜像模式,快速复制服务器,并将本地的应用部署在ECS上(因本地服务器直接做镜像时,存在本地系统与阿里云系统不兼容导致本地镜像在阿里云ECS中无法执行)
- SMC:服务器迁移中心SMC(Server Migration Center)是阿里云自主研发的迁移平台,SMC能够将单台或多台迁移源迁移至阿里云。迁移源包括IDC服务器、虚拟机、其他云平台的云主机或其他类型的服务器。
- SMC优势:①支持多平台、多环境迁移;②不依赖源服务器的底层环境;③支持不停机迁移;④简单轻量且配置灵活;⑤迁移安全稳定且成功率高
- SMC迁移流程:服务器迁移中心SMC包含客户端和控制台两部分。首先通过客户端导入源服务器信息至控制台,将源服务器连接到您的阿里云账号。然后通过控制台为源服务器创建并启动迁移任务,将源服务器迁移至阿里云。
- ECS在网站动态页应用:如果用户的网站包含动态内容,则需要ECS来做动态部署,需要用RDS保存动态数据。
- ECS私网IP:如果想修改ECS的私网IP,需要对ECS进行停机操作
- ECS与EIP:EIP是一种NAT IP,位于阿里云的公网网关上,通过NAT方式映射到被绑定的ECS实例位于私网的网卡上。因此,绑定了EIP的专有网络类型ECS实例可以直接使用这个IP进行公网通信。但您无法在ECS实例的网卡上看到这个IP地址。
- EIP绑定ECS的前提:①ECS必须处于稳定状态如running或stopped;②ECS与EIP必须为同一Region;③ECS主网卡上没有绑定公网IP,且ECS处于专用网络。
- ECS与安全组:每个ECS实例最多可以加入5个安全组,当超过5个后,就无法再添加进其他安全组。安全组添加ECS时,与ECS的状态和带宽没关系。
- 镜像-复制镜像:适用于跨地域部署ECS实例、跨地域备份数据。复制镜像后,您会在目标地域获得同样配置不同ID的镜像。
- 镜像-共享镜像:可用于跨账号部署ECS实例。创建自定义镜像后,您可以将镜像共享给其他阿里云账号使用。该账号可以使用您共享的自定义镜像,快速创建运行同一镜像环境的ECS实例。
- 共享镜像限制:①不支持跨地域共享镜像。如果您需要跨地域共享镜像,请先复制镜像到目标地域后再共享;②您只能共享自己的自定义镜像,其他用户共享给您的镜像无法二次共享。
- 快照:在做快照时,当开启自动快照策略时,自动快照的名称为auto开头。手动创建的快照开头不得以auto开头
- 快照回滚要求:①您已经为云盘创建快照,而且要回滚的云盘当前没有正在创建的快照;②更换系统盘后,历史系统盘快照不能用于回滚新的系统盘(坑不坑,这是缺陷);③云盘被用作创建动态扩展卷或者RAID阵列时,您必须预先停止所有I/O操作,再使用快照回滚云盘;④云盘必须已经挂载到某台ECS实例上,而且已经停止实例。
- 快照与镜像的区别:①镜像可直接用来创建ECS实例,而快照不可以。②快照只能用于当前ECS实例磁盘的数据恢复,而镜像可用于当前ECS实例及其他实例更换系统盘或创建新的ECS实例;③快照可以是ECS实例系统盘或数据盘的数据备份,而镜像一定包含ECS实例系统盘的数据。
- 快照被动删除的因素:当更换系统盘后,您手动创建的快照不会被释放,这些快照仍可以创建自定义镜像。如果旧系统盘设置了自动快照随磁盘释放,则自动快照会被自动删除。
- 生僻考题:在阿里云ECS中,无论每次接口调用请求是否成功,系统都会返回一个唯一识别码(返回参数)Requestld给用户
- 易错题:ECS监控与云监控功能区别。题目:您可以通过方式进行您的阿里云的云服务器ECS实例的运行数据的监控,从而进行监控信息的分析来判断业务的运行状态。(正确答案的数量: 2个) ①通过阿里云的ECS管理控制台的实例详情页面进行CPU利用率和网络的出网和入网情况的监控;②通过云监控服务的管理控制台进行实例运行情况的监控,并设置报警规则进行定制化的监控;③通过云服务器ECS的管理控制台可以进行监控告警的设置;④通过云盾进行ECS实例CPU利用率情况的监控 答案:首先排除④ 因为云盾不带有监控ECS资产情况的能力 则易错选项在于①和③ 这是一个非常细节的问题,需要有控制台比较深的实操。目前只支持在云监控的管理控制台来进行监控告警的设置。ECS页面的资源监控中,只能看,不能设置报警阈值和规则。
- 实践(考点)ECS与web:前提如果用户的WEB应用或网站提供的内容,需要授权才能观看,则需要ECS产品,才能部署授权应用,提供授权服务。
- 实践(考点)ECS与web:客户小王准备建立一-个静态的网站,想基于阿里云提供的多线BGP能力为客户提供网站的快速访问,小王可以仅通过阿里云对象存储OSS这个产品就能实现。 答案是错的。因为是静态的网站,可以直接托管在对象存储OSS_上面就可以直接提供服务,假如是动态网站,就需要通过ECS来部署项目来提供服务。
- 实践(考点)ECS与web:阿里云对象存储OSS提供了丰富的文件上传和下载接口,用户可以通过API方便地实现大容量存储空间的管理。如果您想建立一-个大型图片分享站点,该网站允许大量用户通过WEB方式进行图片的上传和分享,可以使用阿里云的_产品与OSS配合实现。 答案:ECS。由于用户需要通过WEB进行分享。因此该行为与动态、授权一样,需要应用支撑,所以需要ECS部署该应用。
二、安全组
- 创立安全组规则:必填字段为授权对象,授权策略,端口范围
- 安全组:安全组是一种虚拟防火墙,具备状态检测和包过滤功能。加入同一个普通安全组内的实例之间默认允许所有协议、端口的互相访问。为了满足普通安全组内实例之间网络隔离的需求,阿里云丰富了安全组网络连通策略,实现普通安全组组内网络隔离。
设置安全组内网络隔离时,需注意以下事项:
① 仅设置指定的普通安全组内的网络隔离,不改变默认的网络连通策略, 即其他已有和新建的普通安全组,以及企业安全组仍采用默认策略。
② 安全组内网络隔离是网卡之间的隔离,而不是ECS实例之间的隔离。若实例上绑定了多张弹性网卡,需设置每个网卡所属安全组的组内网络隔离。
③ 安全组内网络隔离的优先级最低,即设置组内网络隔离后,仅在安全组内没有任何自定义规则的情况下保证组内实例之间网络隔离。
以下情况,安全组内实例之间仍然可以互相访问:
实例同时归属于多个安全组时,有一个及以上的安全组未设置组内隔离。
既设置了安全组内隔离,又设置了让组内实例之间可以互相访问的ACL。
这是一个很偏的考题 - 安全组规则:在安全组规则设置中,只要入方向和出方向两个页面,页面设置内容相同,都是授权策略(允许或拒绝),权重,协议类型,端口范围,授权对象。没有所谓的内网规则或外网规则,所有的安全规则说到底都是VPC下的内网规则。非常欠打的一道考题里,有两个选项A. 在这台云服务器实例的安全组规则中添加一条内网规则,拒绝TCP协议来自3389端口的入方向访问 B. 在这台云服务器实例的安全组规则中添加一条外网规则,拒绝TCP协议来自3389端口的入方向访问 这里面就是坑人,哪里有什么内网规则或外网规则。其实选哪个都是错,但正确答案非要选A。
- ECS与安全组:每个ECS实例最多可以加入5个安全组,当超过5个后,就无法再添加进其他安全组。安全组添加ECS时,与ECS的状态和带宽没关系。
- SSH密钥对:阿里云SSH密钥对是一种安全便捷的登录认证方式,由公钥和私钥组成,仅支持Linux实例。
- SSH密钥对使用方法:SSH密钥对通过加密算法生成一对密钥,默认采用RSA 2048位的加密方式。要使用SSH密钥对登录Linux实例,您必须先创建一个密钥对,并在创建实例时指定密钥对或者创建实例后绑定密钥对,然后使用私钥连接实例。成功创建SSH密钥对后:①阿里云会保存SSH密钥对的公钥部分。在Linux实例中,公钥内容放在~/.ssh/authorized_keys文件内;②您需要下载并妥善保管私钥(使用密钥对绑定ECS实例后,如果没有私钥,您将无法登录该ECS实例)。私钥使用未加密的PEM(Privacy-Enhanced Mail)编码的PKCS#8格式。
- 优先级VS权重:都是以数字设置。但是,其中优先级数字越小,优先级越高,比如1,是优先级最高;但是相反,权重,则是数字越大,权重越大。 虽然这是常识,但在考试时非常容易蒙。
- 安全组策略优先级:如果两个安全组规则其他都相同,只有授权策略不同,则拒绝授权生效,允许策略不生效。与负载均衡的转发策略不同,SLB的多个定时任务同时到期时,最新创建的任务先执行。
- 易错题:有一个判断题:对安全组的操作调整,对用户的服务连续性没有影响。 分析:用户的服务,是哪个用户,是购买阿里云的用户;还是使用阿里云的企业对外提供的服务的客户或顾客。 首先说安全组内,只能设置的是入方向和出方向的协议和端口的允许或拒绝。随意改变安全组规则,肯定会有几率造成,ECS对外连接的中断。 但阿里云文档上原话却说,对安全组的操作调整,对用户的服务连续性没有影响。看来阿里云出题的视角,还是做为阿里云员工的视角,他口中的用户,是使用阿里云的企业。这样的视角解释题目的话就是,用户操作了安全组,可能导致请求访问ECS的失败,但不会影响ECS上搭载的服务的运行。你说这话负不负责任!
- 思考题:在购买ECS的时候必须设置安全组, 安全组在ECS中是非常重要的服务,其中安全组的主要使用方式为? A.白名单的使用;B.黑名单的使用;C.黑名单出入网规则限制;D.内网入流量限制。 在安全组中主要设置的是入方向和出方向的协议和端口的允许或拒绝。其中如果设置拒绝的话,会有无数个端口需要设置,因此安全组主要是设置允许的端口或IP,因此安全组主要使用方式为白名单的使用。
三、弹性伸缩
- 创建伸缩组:用户在创建伸缩组时,需要设置伸缩配置、伸缩活动、伸缩规则。而伸缩触发任务,不是创建伸缩组的必须选项
- 删除伸缩组:在删除伸缩组时,有强制删除与非强制删除两种模式,在非强制删除模式下,必须满足:①伸缩组没有任何伸缩活动进行;②伸缩组当前实例为0
- 伸缩组:定义了最小与最大实例数
- 伸缩规则:定义了在收缩和扩展中,加入或移出多少实例。
- 伸缩模式分为:云监控报警任务(一般指需求不确定情况下,根据CPU/内存占用率阈值,自动伸缩)、固定数量模式(手动设置伸缩组加入的实例固定数量)、定时任务、健康模式(保持伸缩组内所有实例均为健康)所以题目:某视频公司,使用SLB将访问分发到20台实例中,春节将至,根据经验判断,访问量会增加一倍,这时采用哪种伸缩模式比较合适。这道题目中,已经点到了用户可以准确判断未来访问量的数量,将实例增加到固定的40台就可以满足应用,因此云报警任务这种动态模式,就没什么必要,起码是非必要。
- 手动ECS释放:如果伸缩组中对于手动创建的ECS托管给自动伸缩组,则在收缩活动是,ECS将会被移除,而不会被停用和释放;只有当ECS不处于保护状态时,再托管给伸缩组,在收缩时,才回把手动创建的ECS停用或释放。
- 如何释放正在运行应用的ECS而不影响客户体验?在阿里云弹性收缩中,如果进行收缩活动是,将正在运行应用的ECS停止或释放,会影响客户使用,因此如果想复杂设置成被释放的ECS需要将本机正在运行的任务处理完再释放,需要在创建ECS使用的镜像中存放一个包含处理逻辑的脚本,并设置成ECS操作系统关机时自动执行脚本。
- 弹性伸缩-实例备用状态:您可以将暂时不使用的ECS实例转为备用状态,处于备用状态的ECS实例负载均衡权重会被置零。弹性伸缩不会检查处于备用状态的ECS实例健康状态,也不会释放ECS实例。
- 弹性伸缩-备用状态作用:①该ECS实例的负载均衡权重会被置零。 ②该ECS实例保持备用状态,直至手动将其移出备用状态。③弹性伸缩不会管理ECS实例的生命周期,而是由您管理。 ④伸缩组内发生伸缩活动时,不会移出处于备用状态的ECS实例。 ⑤该ECS实例被停止或者重启时,不会更新ECS实例的健康检查状态。 ⑥您需要预先从伸缩组内移出该ECS实例才能将其释放。⑦如果您删除伸缩组,ECS实例会自动解除备用状态并随伸缩组一起释放。 简单说,开启备用状态的ECS立马不分配工作了,而且除了用户能直接整死它以外,弹性伸缩服务拿它已经没办法了。
- 弹性伸缩-实例保护状态:您可以将不希望被移出伸缩组的ECS实例转为保护状态,处于保护状态的ECS实例负载均衡权重不受影响。弹性伸缩不会检查处于保护状态的ECS实例健康状态,也不会释放ECS实例。简单说,开启保护状态的实例还在工作,但你爱咋咋地吧,弹性伸缩不管你了。
- 弹性伸缩-保护状态作用:①如果ECS实例所在伸缩组配置了负载均衡,不会影响该ECS实例的负载均衡权重。②该ECS实例保持保护状态,直至您将其移出保护状态。 ③如果伸缩组内ECS实例数量的变化和监控任务触发自动缩容的伸缩活动,不会移出处于保护中状态的ECS实例。您需要自行移出ECS实例后才能释放ECS实例。④该ECS实例被停止或者重启时,不会更新ECS实例的健康检查状态。
- 弹性伸缩-停机状态:如果伸缩组的实例回收模式为停机回收模式,您可以手动将ECS实例的服务状态转为停用中。在发生弹性扩张活动时,弹性伸缩会优先启动停用中的ECS实例。停机状态说白了就是,这个实例年老色衰被皇上打入冷宫,等宫内开除人时候,第一个开除它。
- 弹性伸缩-停机状态使用前提:①伸缩组网络类型为专有网络。 ②伸缩组实例回收模式为停机回收模式。 ③实例为自动创建的ECS实例。
- 弹性伸缩-伸缩组托管实例:当手动实例,未开启保护状态,托管给伸缩自,手动实例会随着自动实例,在甚多活动时被停用或释放;如果手动实例不托管给伸缩组,伸缩活动时,只会移除手动实例。说白了就是,爷没工夫管你了,把你托付给隔壁老王,要杀要剐就随老王了。
- 伸缩规则:伸缩规则定义了具体的扩展或收缩操作,例如加入或移出 N 个 ECS 实例。
- 伸缩配置:伸缩配置定义了用于弹性伸缩的 ECS 实例的配置信息。
- 使用伸缩配置的特性实现自动化部署:为了提供更加弹性、灵活的伸缩服务,伸缩配置支持标签、密钥对、实例RAM角色和实例自定义数据。
- 伸缩配置镜像:在配置中,实例创建镜像,支持自定义镜像、共享镜像、公共镜像,不支持云市场镜像。
- 伸缩活动:伸缩规则成功触发后,就会产生一条伸缩活动。伸缩活动主要用来描述伸缩组内 ECS 实例的变化情况。特点:①伸缩活动不可以中断。例如,某个创建20台ECS实例的伸缩活动正在执行中,当创建到第5台ECS实例时,您无法强行终止该伸缩活动。②伸缩活动有ECS实例加入伸缩组失败时,需要保持ECS实例级事务的完整性,而非伸缩活动级事务的完整性,即只进行ECS实例级回滚,而不是伸缩活动级回滚;③由于弹性伸缩是借助阿里云的RAM(Resource Access Management)服务,通过ECS OpenAPI弹性创建ECS实例,所以回滚的ECS实例在被释放前仍然会被扣费。
- 伸缩(触发)任务:用于触发伸缩规则的任务,如定时任务、云监控的报警任务。
- 多触发任务同时出发优先级:伸缩组中如果有多个定时任务同时启动,则最新创建的定时任务将被第一个启动,其余的定时任务在冷却时间后将会尝试启动。
- 健康检查:健康检查任务会定期检查伸缩组和 ECS 实例的健康情况,如发现有不健康的 ECS 实例(如 ECS 为非 Running 状态)会触发执行 移出该 ECS 实例 的请求。
- 冷却时间:冷却时间是指,在同一伸缩组内,一个伸缩活动执行完成后的一段锁定时间。特点:①在冷却时间内,伸缩组只会拒绝云监控报警任务类型的伸缩活动请求,其他类型的触发任务(例如手动执行伸缩规则、定时任务等)可以绕过冷却时间立即执行伸缩活动;②每个伸缩活动的最后一个ECS实例加入或移出伸缩组成功后,整个伸缩组冷却时间才开始计时。
- 通过停止和重启伸缩组可以跨过冷却时间:当发生伸缩活动后,会进入冷却时间,如果用户停用伸缩组后重新启动伸缩组,之前正在进行的冷却时间会失效,重启后可立刻进行伸缩活动。
- 伸缩组与ECS关系:①伸缩组与ECS必须在同一Region下;②在伸缩活动时,自动创建ECS并配置RDS与SLB(按照伸缩配置和规则,创建指定数量和配置的ECS后,将新创建的ECS内网IP自动绑定在RDS白名单中,并将新创建的ECS自动添加到伸缩组指定的SLB中);③伸缩组内的ECS必须为running状态,非running则健康检查时会自动将ECS释放并创建新的ECS;④伸缩组自动创建的ECS只能为按量收费或抢占式ECS,ECS停机不收费;⑤如账号欠费,伸缩组内所有自动创建的已停机的ECS都将被自动释放 ;⑥一个ECS只能加入一个伸缩组中。⑦手动创建的ECS可以开启保护模式,则伸缩规则不会释放或停用,另手动ECS如果不托管给伸缩组,则手动ECS只会被移除伸缩组,不做释放和停用。
- AS功能限制:①只支持增加和减少ECS数量,不支持自动降低或提升单台ECS配置;②部署在伸缩组内ECS实例上的应用必须是无状态并且可横向扩展的;③伸缩组内ECS实例可能会被自动释放,因此不适合保存会话记录、应用数据、日志等信息。
- 伸缩组与SLB/RDS:①同一伸缩组可以绑定多个SLB(一个伸缩组最多绑定20个SLB, 只有配置过监听并开启安全检查,而且要与AS在同一地域的负载均衡才能被伸缩组使用)和RDS;②伸缩活动中自动创建的ECS会自动绑定RDS白名单与SLB;
- 弹性伸缩基本操作:创建伸缩组的前提条件是:1.管理弹性伸缩服务相关角色2.设置安全组(安全组必须与伸缩组在同一region下),创建伸缩组后,无法变更region,并且创建伸缩配置时,只能创建经典网络下的ECS;
- 伸缩组状态:inactive、active、deleteing。
- 期望伸缩实例数(简称期望数):设定期望数后,伸缩组自动将ECS数量维持在期望数,无须人工干预。如不填写,伸缩组只会按照伸缩规则内填写的最小实例数进行初步创建。期望数优先级属于最低级,因此手动操作、健康检查、最小实例数检查等都会改变期望数。
- 期望数的用途:①当伸缩活动执行失败后,期望数进行二次调整,避免手动重试;②当存在执行的伸缩活动时,就不能再执行另一个伸缩活动,这时期望数可以在有伸缩活动的同时,并发一个伸缩活动。
- 伸缩配置考点:①最早伸缩配置对应的实例:筛选添加时间最早的伸缩配置和启动模板对应的实例。手动添加的实例没有关联伸缩配置或启动模板,因此不会首先选出手动添加的实例。如果已移出全部关联的实例,仍需要继续移出实例,则随机移出手动添加的实例。(最早伸缩配置对应的实例中提到的伸缩配置泛指组内实例配置信息来源,包括伸缩配置和启动模板);②最早创建的实例:筛选创建时间最早的实例。③最新创建的实例:筛选创建时间最新的实例。
- 实例回收模式:停机回收:①在弹性收缩时,自动创建的ECS实例将进入停机状态。ECS实例处于停机不收费状态时,vCPU、内存和固定公网IP被回收,因此vCPU、内存和固定公网带宽不再收费,但是云盘、弹性公网IP等资源仍然保留并收费。这些处于停机状态ECS实例形成了停机实例池。②在弹性扩张时,停机实例池内的ECS实例会优先进入运行中状态,在停机实例池内ECS实例数量不足以满足需求时,会继续自动创建新的ECS实例。但停机实例池内ECS实例不能保证成功进入运行中状态。如果由于库存等原因,处于停机不收费状态的ECS实例不能进入运行中状态,伸缩组会释放这些ECS实例并创建新的ECS实例,保证弹性扩张的结果达到预期。
- 生命周期挂钩:说白了就是在出发了伸缩任务后,在开始伸缩活动前,将即将投入伸缩组的ECS勾到一个区域一段时间,这段时间里可以让用户进行更加复杂的设置,比如装个小软件,装个小环境什么的,用户如果不做·操作,过了这段时间,ECS自动被放进伸缩组内。
- 生命周期挂钩通知方式:MNS主题、MNS队列、OOS模板。(考试考他妈这玩意!!)
- OOS:运维编排服务(OOS)是阿里云提供的云上自动化运维服务,能够自动化管理和执行任务。您可以通过模板定义执行任务、执行顺序、执行输入和输出,然后执行模板完成一组运维操作。OOS模板是运维操作的集合,提供公共模板,您无需关心具体实现即可一键完成常用运维操作,同时也支持自定义模板。
- 使用OOS模板响应生命周期挂钩通知:生命周期挂钩通知直接触发运维动作,无需手动解析通知内容。流程:①ECS实例被生命周期挂钩挂起,进入挂起中状态;②弹性伸缩自动发送通知,触发执行OOS模板中定义的运维操作;③运维操作执行成功,结束挂起状态并继续伸缩活动,扩容时继续完成扩容流程且ECS实例加入伸缩组,缩容时继续完成缩容流程且ECS实例被移出伸缩组。
- OSS与生命周期挂钩考题:(多选)某用户在云_上搭建ECS+SLB+RDS业务应用架构,同时使用了Auto Scaling服务对服务资源ECS进行弹性扩展和收缩。因业务需要,用户需要使用开通云数据库Redis作为热点数据的缓存存储,保证应用对数据的高速访问。但由于伸缩组暂不能关联Redis实例,用户需手动配置ECS实例加入或移出Redis实例的访问白名单,费时费力且效率较低。如果你是阿里云产品经理,你会建议用户通过___配置弹性生命周期挂钩和阿里云服务的模板,实现ECS实例的自动加入和移出Redis实例白名单。(正确答案个数:2个) A.弹性伸缩生命周期挂钩 B.OOS模板 C.MNS D.实例启动模板 答案:AB
- 弹性自愈:弹性伸缩提供健康检查功能,自动监控伸缩组内的ECS实例的健康状态,避免伸缩组内健康ECS实例低于您设置的最小值。当检测到某台ECS实例处于不健康状态时。弹性伸缩自动释放不健康ECS实例并创建新的ECS实例,自动添加新ECS实例到负载均衡实例的后端服务器和RDS实例的访问白名单中。
- 弹性自愈易错题:一道易错题,经常有题目选项考什么是弹性自愈,对自愈一次描述的神乎其神,比如①如果伸缩组中某台ECS实例状态不是运行中,阿里云弹性伸缩首先会自动重启该ECS,重启成功后继续保持在伸缩组中,如果重启失败,则会使用指定的镜像恢复该ECS实例到初始状态,继续保持在伸缩组中 或者②如果伸缩组中某台ECS实例状态不是运行中,阿里云弹性伸缩首先会自动重启该ECS,重启成功后继续保持在伸缩组中,如果重启失败,则从伸缩组中移除,同时创建新的ECS实例键入到伸缩组中来 或者③如果伸缩组中某台ECS实例的状态不是运行中,阿里云弹性伸缩会启动ECS实例的故障检查与修复进程,对ECS实例进行自动修复,都是错的。其实这是对阿里云的非常好的愿景,但阿里现在还没做到,所以无奈,这三个选项只能判断为错误的弹性自愈的解释。
- 弹性伸缩报警触发条件:①对ECS:CPU占用率、内外网出入流量、系统盘读写BPS/IOPS ②对于云监控:CPU使用率、CPU空闲率、内存%、系统平均负载、TCP、内网/外网网卡发包数。 其中云监控报警触发条件最多,尤其是支持系统平均负载这个参数,让人感觉很高级。
- 考题:在使用阿里云弹性伸缩(Auto Scaling)时如果在伸缩组中指定了RDS实例,伸缩组会自动将加入伸缩组的ECS实例的内网IP添加到指定的RDS实例的访问白名单当中,下面说法错误的是? A、如果ECS实例无法加入到RDS访问白名单,那么该ECS实例将被回滚操作并释放 B、指定的RDS实例必须是运行中状态。 C、指定的RDS实例访问白名单的IP个数不能达到上限。 D、伸缩组创建成功后,伸缩组不会立即生效,只有启用伸缩组,才能接受伸缩规则的触发和执行相关的伸缩活动。
答案:A 分析:①先增加一个知识点,RDS的白名单是有上限的 ②这是个陷阱题,A选项初看没毛病,但ECS实力分为手动和自动创建两种,其中自动创建的会被AS释放,手动的只会被移除。 - 考题:阿里云弹性伸缩(Auto Scaling)的伸缩配置(Scaling Configuration)中支持设置的镜像类型包含下面哪些? (正确答案的数量: 3个) A、自定义镜像 B、公共镜像 C、共享镜像 D、云市场镜像
答案:D 分析:我自己为了验证这道题,操作了云控制台,在创建伸缩组后,在伸缩配置里确实没有云市场镜像!这题只能说出的太偏。
四、SLB负载均衡
- SLB:属于阿里云网络产品,分为公网和私网SLB。负载均衡SLB(Server Load Balancer)是一种对流量进行按需分发的服务,通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力,并且可以消除系统中的单点故障,提升应用系统的可用性。往往说SLB,其内涵已经配套了弹性伸缩。
- SLB的构成:负载均衡实例、监听、后端服务器。 SLB只必须搭配ECS才能用,与什么RDS或者CDN、OSS没关系。
- SLB的收费:分为两项。①负载均衡实例,创建负载均衡时,是需要创建一个实例的,只要不释放实例,即便不用SLB,实例本身也会每小时扣一定的费用;②流量费用:负载均衡通过转发流量给后端服务器完成负载,因此不管是私网还是公网SLB,只要转发业务给后端ECS都会收取流量费;③带宽费用:公网SLB,是需要通过公网接受访问数据的,因此只要是公网访问,都会产生运营商宽带的流量。
- SLB收费考题(很有意思):阿里云的负载均衡SLB提供对多台云服务器ECS实例进行流量分发的服务,具有高可用、低成本、安全可靠等优点。关于低成本以下说法中正确的有__(2个正确答案) A、无论公网还是私网类型实例都支持按流量和带宽计费 B、无需一次性采购昂贵的负载均衡设备 C、运维投入大大减少 D、只收取流量费用,即根据实际使用流量付费,无需为负载均衡支付租费。 答案:乍一看,感觉首先是C不是那么合适,D选项看起来更像是对的。 但D选项中“无需为负载均衡支付租费”,说的很含糊,仔细想想,SLB实例自身不管用不用都需要按小时交费的。因此D是错误选项,但D选项蒙了我好几回。
- SLB规格类型:①传统型负载均衡CLB(原负载均衡SLB):支持TCP、UDP、HTTP和HTTPS,具备强大的4层处理能力,以及基础的7层处理能力;②应用型负载均衡ALB:专门面向7层,提供超强的业务处理性能,例如HTTPS卸载能力。单实例每秒查询数QPS(Query Per Second)可达100万次。同时ALB提供基于内容的高级路由特性,诸如基于HTTP报头、Cookie和查询字符串进行转发、重定向和重写等,是阿里云官方云原生Ingress网关。
- 负载均衡实例类型:共享型实例与性能保障型实例。其中性能保障型实例的三个关键指标是:①最大连接数Max Connection ②每秒新建连接数(CPS) ③每秒查询数(QPS)
- SLB网络类型:负载均衡SLB是对多台云服务器进行流量分发的负载均衡服务,提供公网和私网两种类型的负载均衡实例。其中与ECS分配私有和公网IP不同。公网SLB,只分配一个公网IP,可以通过internet访问SLB,不分配私网IP。
- SLB私网类型:支持公网被动访问的SLB,和私网被动访问的SLB,其中私网中的VPC和经典网络,都可以选择。因此存在经典网络负载均衡。
- SLB与EIP:EIP为可不用绑定任何产品的条件下而独立购买的公网IP,一个专有网络的负载均衡只能绑定一个EIP。
- SLB与ECS关系:①SLB云产品需要部署在一台专门的实例上,叫做负载均衡实例。②不管公网/私网的负载均衡SLB和后端ECS之间是通过内网进行通信的。③负载均衡不支持跨地域部署,确保ECS实例的所属地域和负载均衡实例的所属地域相同;④负载均衡本身不会限制后端ECS实例使用哪种操作系统,只要您的两台ECS实例中的应用服务部署是相同的且保证数据的一致性即可;⑤您可以在任意时刻增加或减少负载均衡实例的后端ECS数量,还可以在不同ECS实例之间进行流量分发切换。
- SLB与ECS关系考题:某在线教育网站在云端采取SLB+ECS组合,如果网站想将访客/用户的访问信息(源IP、访问页面URL、停留时间)保存下来,以便作为市场活动分析的依据。可将数据保存在哪里? 答案:有一个易错选项“伸缩组中的每台ECS,均保存各自处理的用户访问信息,这些ECS上的数据可以随时访问、分析,这种方式最高效、稳定、节约”。乍一看没毛病,但细想想伸缩组中的知识,“由于伸缩组中的实例会随伸缩规则与伸缩活动而有可能被释放,因此伸缩组中的实例不宜保存重要数据或需要长期保存的数据” ,因此这个选项最大的毛病,在于不稳定。是不可选的方案。
- 后端服务器与EIP:①如果后端ECS仅仅处理来自负载均衡的请求,可以不购买公网带宽(ECS、公网IP、弹性公网IP、NAT网关等)②如果需要直接通过后端ECS对外提供服务,或后端ECS有访问外网的需求, 那么需要相应的配置或购买ECS、公网IP、弹性公网IP、NAT网关等服务。
- 后端ECS通过公网IP访问SLB:与SLB的转发原理有关,后端ECS已经作为一个realserver通过内网绑定在指定SLB下,这是即便ECS购买了EIP,也不能再作为一台跟SLB逻辑上独立的客户端访问SLB。
- SLB后端ECS的容灾部署:将SLB和后端ECS分为主备,其中主ECS部署目标是低延时,即将ECS和SLB实例部署在同一zone下,而备ECS则是兼顾高可用的平衡,将备ECS部署在与SLB不同的可用区,最好是每个备ECS部署在不同的可用区。
- SLB与ALB性能区别:①SLB单实例QPS为5万,ALB单实例QPS达到100万;②SLB面向四层转发,七层转发能力不足;ALB面向HTTP/HTTPS/QUIC,可以说只专门面向7层业务流量;③ALB是云原生产物
- 负载均衡适用对象:SLB中的后端服务器,只能是阿里云的ECS实例。不能负载本地IDC服务器或其他云厂商的ECS。
- SLB计费模式:负载均衡SLB提供按带宽计费和按流量计费实例:1.按流量计费实例的带宽峰值仅作为参考值和带宽峰值上限,带宽峰值不作为业务承诺指标。2.按带宽计费实例的带宽峰值为业务承诺指标,按带宽计费实例的入云方向带宽峰值与出云方向带宽峰值一致,用户只需为出云方向的带宽付费。3.当出现资源争抢时,按带宽计费实例的带宽峰值有保证,按流量计费实例的带宽峰值可能受到限制。
- SLB架构:其中四层负载均衡通过LVS(Linux Virtual Server)+ keepalived的方式实现,七层负载均衡通过Tengine(淘宝网发起的Web服务器项目,在Nginx的基础上,针对有大访问量的网站需求进行了优化)实现。
- LVS集群的三层结构:负载调度器、服务器资源池、共享存储。
- 架构优劣考题:判断负载均衡集群采用LVS和Tengine实现,其中4层监听(TCP/UDP) 经过LVS后直接到达后端服务器,而7层监听(HTTP/HTTPS) 经过LVS和Tengine最后达到后端服务器。7层性能没有4层性能好。 答案:是对的。由于7层监听转达,需要通过4层的LVS后再转发到7层的Tengine进行转发,因此7层比4层多了一个环节。4层负载均衡性能比7层好。
- SLB转发算法:在支持回话保持的功能同时(四层基于源端口,七层基于cookie),支持最小连接数,加权轮询,与轮询,还包括一致性哈希(CH)调度算法。注意!大坑题! 7层负载均衡不支持一致性哈希!这是阿里文档一个感叹句的注释!
- 权重-考题:如果在SLB的4台后端服务器的权重设置中,给一台ECS权重设置为100,那么在负载转发时会有什么影响? 分三方面分析 ①权重的总值不是100,你可以给所有ECS权重都设成100,权重最终,采取的是百分比的计算 ②题目中剩下3台ECS没说设置为0,因此当访问来时,SLB还是会将访问分发给每设置权重的服务器;③4台服务器,只给一台设置权重,其他权重为空,没有对比,相当于没有设置权重,所以slb没办法计算给这几台分配多少比例的访问,会导致无法判断!
- 监听作用:监听负责检查连接请求,然后根据调度算法定义的转发策略将请求流量分发至后端服务器。负载均衡提供四层(TCP/UDP协议)和七层(HTTP/HTTPS协议)监听,您可根据应用场景选择监听协议
- TCP协议监听适用场景:适用于文件传输、发送或接收邮件、远程登录;
- UDP协议监听适用场景:关注实时性而相对不注重可靠性的场景,如视频聊天、金融实时行情推送。
- HTTP协议监听适用场景:需要对数据内容进行识别的应用,如Web应用、小的手机游戏等;
- HTTPS协议监听适用场景:需要加密传输的应用
- 转发策略:负载均衡支持配置基于域名或URL路径的转发策略。您可以将来自不同域名或URL路径的请求转发给不同的后端服务器组,合理分配服务器资源。只有七层监听(HTTPS/HTTP协议)支持配置转发策略
- 监听转发考题:某电商网站使用阿里云的负载均衡SLB实例和后端云服务器ECS实例组合的架构实现。某用户发起一个商品查询的请求,会返回商品的说明以及商品图片。如果希望请求中的图片类的请求较发到特定的图片服务器进行处理,请求中的文字类请求转发到特定的文字服务器进行处理。上述场景适合使用负载均衡SLB的哪种服务实现? A、七层服务 B、四层服务(TCP协议) C、四层服务(UDP协议) D、网络接入协议交换
答案:A 解析,用户从网站上HTTP中发起一个商品查询请求,当然是HTTP/S转发了。 - 负载均衡SLB四层(TCP/UDP)健康检查出现异常的解决方法:1.健康检查参数设置错误2.监听端口问题3.安全类防护软件问题4.后端服务器负载过高
- 日志功能:SLB的访问日志功能收集了所有发送到负载均衡的请求的详细信息,包括请求时间、客户端HP地址、延迟、请求路径和服务器响应等。负载均衡作为公网访问入口,承载着海量的访问请求,您可以通过访问日志分析客户端用户行为、了解客户端用户的地域分布、进行问题排查等。因此,当题目:在使用负载均衡过程中,发现某段时间访问速度很慢,如何快速定位异常后端服务器?答案:帮助文档原话:某段时间客户端访问延迟时,您可以结合阿里云日志服务,通过仪表盘巡检,分析负载均衡的响应时间,快速定位异常后端服务器。
- 监听与健康检查:针对四层服务(TCP/UDP)是使用端口监听(①对TCP:使用SYN请求包,看后端服务器是否返回ACK+SYN;②对UDP发送报文,看是否返回报错信息);对七层(HTTP/S)则是通过检查服务器返回的状态码进行判断(健康检查通过HTTP HEAD探测来获取状态信息)。7层服务的监控检查机制为由负载均衡SLB实例向后端云服务器ECS实例的内网IP地址的应用服务器配置的缺省首页发起HTTP请求,然后判断请求的返回码来进行健康检查。
- 健康检查时间窗:健康检查间隔(每隔多久进行一次健康检查)响应超时时间 (等待服务器返回健康检查的时间)检查阈值(健康检查连续成功或失败的次数)。健康检查失败时间窗=响应超时时间×不健康阈值+检查间隔×(不健康阈值-1)。
- 健康检查时间题目:①ECS响应超时时间为5s,健康检查间隔为2s,检查阈值为3次,则从发现后端ECS异常后,需要多少秒将ECS移除?答案:3次检查,每次响应超时5s,这就是15秒,3次检查中间有2次检查间隔,检查间隔是2秒,这是4秒,加起来是19秒。②(上接①)当该ECS被移除,新的ECS被加入后,假设健康的ECS响应时间为1秒,则SLB判断新ECS健康的时间为,1s,重复3次,中间间隔2次,每次2秒,攻击7秒。
- 健康检查时间窗的副作用:如果目标ECS存在异常,正处于健康检查失败时间窗,而健康检查还未达到检查失败判定次数(默认为三次),则相应请求还是会被分发到该ECS,进而导致前端访问请求失败。
- 关闭健康检查:只有7层HTTP和HTTPS监听支持关闭健康检查。4层的UDP和TCP监听无法关闭健康检查。
- 状态码—HTTP状态码:首先说2XX代表请求成功,3XX代表需要进一步操作,4XX代表是访客自己的问题(请求错误、口令错误、或被网站拉入黑名单),5XX代表网站服务端的错误。
- 状态码—4XX状态码:400 Bad Request 客户端请求的语法错误,服务器无法理解 401 Unauthorized 请求要求用户的身份认证 402 Payment Required|保留, 将来使用 403 Forbidden 服务器理解请求客户端的请求,但是拒绝执行此请求 404 Not Found 服务器无法根据客户端的请求找到资源(网页) 其中403是口令错误 404是输入网址错误。
- 状态码—5XX状态码:502 错误网关 504 网关超时
- 会话保持(考点):SLB中的会话保持,在7层http/https中,是基于cookie。SLB为七层会话保持,提供了cookie植入与cookie重写两项功能。
- 负载均衡证书托管::您可以直接使用SSL证书服务中的证书或者将所需的第三方签发的服务器证书和CA证书上传到负载均衡。上传后,无需在后端服务器再配置证书 ①服务器证书:需要上传证书内容与私钥 ②CA证书:只需要上传证书内容
- 负载均衡挂载多Https网站:背景在负载均衡中已上传多个HTTPS证书,将来自不同https的请求发送到各自的后端服务器组中。 ①添加HTTPS监听:在SLB控制台选择SLB实例添加监听,选择https协议-选择监听端口-选择服务器证书,后创建转发,并未不同的https设置各自的虚拟服务器组;②添加重定向(可选) 将http设置监听转发到https地址 ③配置转发规则 可以将来自不同域名的请求转发给不同服务器组 在实例-监听-点击添加监听转发策略-填写域名和选择服务器组 ④配置扩展域名 给新增的https监听扩展 想要添加的几个https域名,实现单个SSLIP地址上承载多个证书。
- HTTPS双向认证策略:需要在SLB上托管服务器SSL证书和客户端CA证书
- SLB的SB黑名单与白名单:负载均衡白名单和黑名单中都不添加任何IP的反应:①开启白名单:访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。②开启黑名单:访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。 总之一句话,负载均衡的白名单和黑名单,只要添加IP,一律放行转发。
- 真实IP(坑很多):①基于监听转发机制,4层天生具备看到用户真实ip的功能,而7增需要从http header中查看;②使用阿里云的负载均衡SLB实例时,针对7层(HTTP协议) 服务,由于采取替换HTTP头文件IP地址的方式来进行请求转发,所以后端云服务器ECS实例看到的访问IP是负载均衡SLB实例的IP地址,而不是实际来访者的真实IP。(这句话是正确的)
- 实践(考点):为什么有100或10开头的IP频繁的访问SLB后端ECS?负载均衡系统除了会通过系统服务器的内网IP将来自外部的访问请求转到后端ECS实例之外,还会对ECS实例进行健康检查和可用性监控,这些访问的来源都是由负载均衡系统发起的。负载均衡系统的地址段为100.64.0.0/10,(是阿里云保留地址,其他用户无法分配到该网段内,不会存在安全风险),所以会有很多100开头的IP地址访问ECS实例。为了确保您对外服务的可用性,确保对上述地址的访问配置了放行规则。如果您的业务对负载敏感性高,高频率的健康检查探测可能会对正常业务访问造成影响。您可以结合业务情况,通过降低健康检查频率、增大健康检查间隔、七层检查修改为四层检查等方式,来降低对业务的影响。但为了保障业务的持续可用
- 实践(考点):为什么在HTTP请求的头部增加了Transfer-Encoding: chunked字段?将域名解析到七层负载均衡的服务地址后,从本地主机访问域名时发现在HTTP请求的头部增加了一个Transfer-Encoding: chunked字段,但是从本地主机直接访问后端服务器时是没有这个字段的。
由于七层负载均衡基于Tengine反向代理实现。Transfer-Encoding字段表示Web服务器如何对响应消息体编码,例如Transfer-Encoding: chunked表示Web服务器对响应消息体做了分块传输。 - 实践(考点):为什么SLB中后端实例的权重一样,但实际访问时却出现访问不均衡的情况?答:如果您同时开启了会话保持功能,那么有可能会造成后端服务器的访问并不是完全相同的。如果出现了访问不均衡的情况。
- 实践(考点):如何将将HTTP访问重定向至HTTPS?通过新建一条监听,设置端口转发。
- 实践(考点):下列哪个参数代表的是SLB实例的唯一标识? LoadBalancerId!
- 实践(考点):在使用阿里云负载均衡SLB时后端服务器可以设置主备服务器组,当主机工作正常时,流量将直接走主机;当主机宕机时,流量将走到备机。关于主备服务器组支持的协议,以下说法正确的是仅支持四层协议(TCP/UDP)
- 实践(考点):SLB将负载分发给多台ECS是,如何获得用户的真实IP?答案:①7层服务可以通过HttpHeader:X-Forwarded-For获取来访者真实IP ,并保证配置负载均衡SL B监听时开启“获取真实访问IP;②4层服务不用任何设置。 解释因四层协议TCP和UDP,是基于真实的源IP和源端口进行的传输层协议连接,因此不需要设置就可以得到用户真实IP。
- 总结一下,哪些功能或配置,只能在四层,或只能在七层?①一致性哈希,有4,无7;②关闭健康检查,只7,无4;③转发性能,4比7强;④配置转发策略,有7可配,4强制;⑤主备架构,只4,无7;⑥获取用户真实IP,4层天然获取,7层需要HTTP Header设置。
五、VPC专用网络
- VPC—网络类型:分为公网和私网。公网为互联网,私网为局域网。而阿里云将私网分为经典网络与专用网络。
- IP:经典网络的IP是由系统创建分配,不可更改;而VPC的IP可以用户自定义。
- VPC—构成:每个VPC都由一个路由器、至少一个私网网段和至少一个交换机组成。
- VPC—搭配云产品:ECS、RDS、SLB。云资源不可以直接部署在VPC,必须属于VPC内的一个交换机(子网)内。您可以在交换机中创建云资源。阿里云的云产品已全部支持VPC,这个判断题是错的。
- VPC—隔离机制:不同VPC内的ECS实例因为在不同的隧道ID中,本身处于不同的路由平面,所以不同VPC内的ECS天然进行了隔离。
- VPC—常识:VPC是一个二层隔离的网络环境,VPC中的交换机属于三层交换机。
- VPC—默认VPC:在创建阿里云产品实例时,可以选择系统默认的VPN和交换机,这两项确认了云产品实例在专有网络中可用区内的默认网络位置,每个地域默认的VPC只有一个,是阿里云系统自动创建的,系统默认创建的VPC不占用用户的VPC配额。
- 对内连接—VPC内交换机连接:①VPC内各交换机默认连接②如果想让VPC内的几个交换机互相不允许访问,可以依靠安全组策略,安全组添加的ECS首先必须是同一地域,其次只能添加同一VPC下的实例可以通过建立不同的安全组,将不同交换机下的ECS分配到不同的安全组中,先为安全组设置允许全网段访问,再设置一条规则,不允许其他交换机所在的网段访问(后者优先级要高于前者)。
- 对外连接—VPC与公网(Internet)打通:EIP、负载均衡、NAT网关、固定公网IP。
- 对外连接—两个VPC之间连接(同/不同地域):云企业网、VPN网关
- 对外连接—VPC与本地IDC连接:高速通道、云企业网、智能接入网关、VPN网关。
- 对外连接—云企业网牛逼:云企业网(高速通道)非常牛逼,同账号同地域VPC互连/同账号跨地域VPC互连/跨账号同地域VPC互连/跨账号跨地域VPC互连。
- 跨网连接—经典网络与VPC互联:VPC自身带有的 ClassicLink功能就能实现,不需要依靠任何其他产品。
- 跨网连接—经典网络迁移到VPC:在云控制台——实例管理中,实例列表中找到目标ECS实例后,单击更多 > 网络和安全组 > 预约迁移至专有网络 。
- 路由器:路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。
- 交换机:交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源。创建专有网络后,您可以通过创建交换机为专有网络划分一个或多个子网。同一专有网络内的不同交换机之间内网互通。您可以将应用部署在不同可用区的交换机内,提高应用的可用性。
- 交换机网段:创建专有网络后,用户可以通过创建交换机为专有网络划分一个或多个子网。在设置交换机的IPv4网段时,用户需了解交换机的网段限制,包括但不限于 交换机网段必须为其VPC网段的子集 以及 交换机的网段和要通信的网段不能冲突 以及交换机网段不能大于或等于所属VPC路由表中路由的目标网段范围。
- 路由表:创建专有网络后,系统会自动为您创建一张默认路由表并为其添加系统路由来管理专有网络的流量。您不能创建系统路由,也不能删除系统路由,但您可以创建自定义路由,将指定目标网段的流量路由至指定的目的地
- 自定义路由表:您不能创建也不能删除系统路由表,但您可以将交换机与系统路由表解绑,然后在专有网络内创建自定义路由表,将自定义路由表和交换机绑定来控制子网路由,更灵活地进行网络管理。
- 交换机——各组件与交换机的关系为:子网与交换机绑定、路由表与交换机绑定、网络ACL与交换机绑定。安全组是由ECS组成的逻辑,跟交换机没关系。
- 交换机——交换机与路由表:每个交换机只能绑定一张路由表,且必须绑定一个路由表。交换机(子网)的路由策略由其关联的路由表管理。
- 交换机——交换机另类知识:删除交换机前,必须删除交换机所连接的ECS。
- 交换机——VPC与交换机:同一VPC下的不同交换机默认内网互通。
- 交换机——考题:判断同一VPC内的ECS实例若要实现内网互相通信,需要满足两个条件:(1)处于同一交换机下(2)处于同一安全组,或处于两个安全组但规则允许互通。 答案:该题很具有迷惑性,首先说(1)(2)都是正确的,但(1)中,还有扩展项,即同一VPC下的不同交换机之间默认互通。 因此题目为错。
- 交换机——CIDR:无类bai别域间路由(CIDR) CIDR是开发用于帮助减缓IP地址和路由表增大问题的一项技术。CIDR(Classless Inter-Domain Routing,无类域间路由)的基本思想是取消IP地址的分类结构,将多个地址块聚合在一起生成一个更大的网络,以包含更多的主机。
- 交换机——CIDRBlock:新建交换机时CIDRBlock的名称是全局唯一性的,并且创建后不可更改。因此新建一台交换机所使用的CIDRBIock不能与已经存在的交换机的CIDRBlock冲突。
- 路由——VPC与路由器:用户在创建VPC时,系统默认在vpc中建立一台路由器,该路由器自带一张默认路由表。路由器不可删除也不可由用户创建,每个VPC有且仅有一个路由器。当删除VPC时,自动删除路由器。
- 路由——VPC与路由表:用户在创建VPC时,系统默认在vpc中建立一台路由器,该路由器自带一张默认路由表。默认路由表不允许创建和删改。但用户可以自行创建自定义路由表。每个VPC最多可以有10张路由表,包括系统路由表
- ACL: 网络ACL(Network Access Control List)是专有网络VPC中的网络访问控制功能。您可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制.
- ACL与安全组区别:
① ACL: 在交换机级别运行;无状态:返回数据流必须被规则明确允许;ECS实例所属的交换机仅允许绑定一个网络ACL。
② 安全组:在实例级别运行;;有状态:返回数据流会被自动允许,不受任何规则的影响;一个ECS实例可加入多个安全组。 - VPC中网络ACL特性:①网络ACL规则仅过滤绑定的交换机中的ECS实例的流量(包括负载均衡SLB转发给ECS实例的流量)。②网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。③网络ACL无任何规则时,会拒绝所有出入方向的访问,与负载均衡是反着的,负载均衡白名单和黑名单中都不添加任何IP,则均默认为转发。④网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量(ACL作用于交换机,不管交换机内的零件之间的流量)。
- 互联网协议基础:能在互联网中将千万台计算机连接在一起的基础,是TCP/IP协议。在因特网中 TCP/IP为各种协议的总称, TCP,UDP,IP,FTP,HTTP,ICMP,SMTP 等都属于 TCP/IP 族内的协议。
- 弹性公网IP:(EIP)是可以独立购买并持有的公网IP资源,可以绑定在专有网络的ECS、专有网络下私网的SLB、专用网络类型的辅助网卡、NAT网关和高可用虚拟IP中。不可绑定RDS使用。
- 弹性网卡:弹性网卡ENI(Elastic Network Interface)是一种可以绑定到专有网络VPC类型ECS实例上的虚拟网卡
- 网卡属性:①公网卡与辅助网卡。其中主网卡:随实例一起创建,生命周期与实例保持一致,不支持从实例上解绑。②可用区:弹性网卡所属的交换机与绑定的实例必须属于同一可用区。③网卡可以绑定1个或多个弹性公网IP;
- NAT网关:NAT网关(NAT Gateway)是一款企业级的公网网关,提供NAT代理(SNAT和DNAT)功能,具有10 Gbps级别的转发能力和跨可用区的容灾能力。
- NAT网关与EIP: NAT网关作为一个网关设备,需要绑定公网IP才能正常工作,NAT网关绑定多个EIP(最多20个),当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行。
- NAT网关与VPC:同一个VPC内支持创建多个增强型NAT网关,您可以通过不同的NAT网关来转发去往不同目的地址的流量,并可以针对不同的NAT网关做不同的安全防护,实现更精细化的部署公网访问网络。
- NAT网关功能:①SNAT功能:为VPC内无公网IP的ECS实例提供访问公网的代理服务,NAT网关的SNAT功能具有安全防护的能力,只有当VPC内的ECS实例主动访问外部才可以建立连接进行通信,而外部无法主动访问VPC内的ECS实例。SNAT功能会屏蔽VPC内ECS实例对外的端口,保护VPC内的ECS实例免受外部的入侵和攻击。②DNAT:将NAT网关上绑定的EIP映射给VPC内的ECS实例使用,使ECS实例可以面向公网提供服务。
- VPN:VPN网关是一款基于Internet的网络连接服务,通过加密通道的方式实现企业数据中心、企业办公网络或Internet终端与阿里云专有网络(VPC)安全可靠的连接。VPN网关提供IPsec-VPN连接和SSL-VPN连接。
- IPsec-VPN:基于路由的IPsec-VPN,您可以使用IPsec-VPN功能将本地数据中心与VPC或不同的VPC之间进行连接,适用于站-站的大型连接。IPsec-VPN支持IKEv1和IKEv2协议。只要支持这两种协议的设备都可以和阿里云VPN网关互连,例如华为、华三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM 和 Ixia等。
- SSL-VPN:SSL-VPN基于OpenVPN架构。您可以使用SSL-VPN功能从客户端远程接入VPC中部署的应用和服务。部署完成后,您仅需要在客户端中加载证书发起连接,即可实现远程接入
- VPN适用场景:①可以通过IPsec-VPN将本地数据中心和VPC快速连接起来,构建混合云。②可以通过IPsec-VPN将两个VPC快速连接起来,实现云上资源共享;③可以通过建立SSL-VPN隧道将单个移动客户端和VPC连接起来,满足远程办公的需要;④可以组合使用IPsec-VPN和SSL-VPN,扩展网络拓扑。客户端接入后,不仅可以访问VPC,还可以访问接入的办公网络。
- VPN适用限制:首先说一个账号下 VPN的数量、包括每个VPN下IPsec-VPN和SSL-VPN的数量都有限制
- VPN的计费:目前只支持包年包月。
- 云企业网:与VPN不同的是,VPN是通过公网到网关的转到,到达VPC。而云企业网是阿里云自建的一套覆盖全球范围的局域网。加入云企业网的世界各地的云上VPC和本地IDC都可以高速联通。
- 云企业网的组成:①云企业网实例是创建、管理一体化网络的基础资源。创建云企业网实例后,将需要互通的网络实例加载到云企业网实例中,再购买带宽包,设置跨地域互通带宽,便可实现全球网络资源互通。②网络实例:加载到云企业网中的网络实例全互联,网络实例包含专有网络(VPC)、边界路由器(VBR)和云连接网(CCN)。③同地域之间网络实例互通,无需购买带宽包。跨地域之间网络实例互通,必须为要互通的地域所属的区域购买带宽包并设置跨地域带宽。
- 云企业网用途:能够快速构建混合云和分布式业务系统的全球网络,实现全球网络互连。您可以将要互通的网络实例加载至已创建的CEN实例中实现网络互通
- 云企业网优势:①一网通天下;②低延时,高速率;③就近接入与最短链路互通
- 判断题:在用户自己创建的阿里云专有网络VPC内创建云产品实例的时候,必须指定云产品实例所在的交换机,否则无法创建VPC的云产品实例。
答案:首先说,我认为是对的,但模拟题库说是错的。我认为即便是系统创建的默认交换机,也是交换机啊,你创建云产品时候也得指定是默认交换机啊。 尤其是有ACP考题,是“交换机,是组成VPC网络的基础网络设备。它可以连接不同的云产品实例。在VPC网络内创建云产品实例的时候,必须指定云产品实例所在的交换机。下面关于交换机说法错误的是?” 人家题目中已经说过了,难道题目都是错的?
六、OSS对象存储
- OSS的原子性:Object操作在OSS上具有原子性,操作要么成功要么失败,不会存在有中间状态的Object。OSS保证用户一旦上传完成之后读到的Object是完整的,OSS不会返回给用户一个部分上传成功的Object。
- OSS的强一致性:Object操作在OSS同样具有强一致性,用户一旦收到了一个上传(PUT)成功的响应,该上传的Object就已经立即可读,并且Object的冗余数据已经写成功。不存在一种上传的中间状态,即read-after-write却无法读取到数据。对于删除操作也是一样的,用户删除指定的Object成功之后,该Object立即变为不存在。
- OSS合规保留策略:对象存储OSS支持WORM特性,允许用户以“不可删除、不可篡改”方式保存和使用数据,符合美国证券交易委员会(SEC)和金融业监管局(FINRA)的合规要求。OSS提供强合规策略,用户可针对存储空间(Bucket)设置基于时间的合规保留策略。
- OSS收费分为四部分:存储、流量、访问数、数据处理。其中有个大坑,内网访问流量免费,但访问次数,不管内外网都要钱。
- “私有”OSS文件共享:OSS存储的文件可以进行分享和下载。其中Buket在“私有”模式下,对外分享的URL是基于限时的,超过了限定的时间,分享链接失效。
- Object规格:OSS中的单个Object最大上限为48.8TB
- Object组成:元信息、用户数据、名称。其中由于OSS采取的K-V结构。因此名称是KEY,而不是ID。因此当出现选择题,选择Object的组成元素时,选择meta(元信息)、date(用户数据)、key(名称),不包含ID。
- Bucket命名:OSS中的Buket名称必须是全局唯一,并且一旦创建无法更改。在ACP的考点中,对Bucket命名规则考到,命名规则为只能包括小写字母、数字和短划线。
- 删除Bucket:删除存储空间之前,请确保其中存储的文件(Object)、碎片(Part)以及Livechannel已经全部删除
- 实践:在OSS API中通过COPY Object 实现设置Object头。COPY Object是修改。
- OSS常用工具有:①图形化工具: ossbrowser ②命令行工具: ossutil ③FTP工具: ossftp ④文件整理工具: ossfs
- OSS原理:对象存储服务(ObjectStorageService, OSS)是一种海量、安全、低成本、高可靠的云存储服务,而对象存储网关的核心功能是实现传统文件存储协议与对象存储OSS使用的Http协议之间的转换。
- OSS文件上传:①控制台上传文件大小不超过5G,可以在OSS控制台中上传 ②可用OSS的API上传
- OSS的API上传:简单上传;表单上传(适于web端上传分担OSS性能压力);分片上传;追加上传(神器)
- OSS 简单上传:指的是使用OSS API中的PutObject方法上传单个文件(Object)。简单上传适用于一次HTTP请求交互即可完成上传的场景,例如小文件(小于5 GB)的上传。
- OSS 表单上传:是指使用OSS API中的PostObject请求来完成Object的上传,上传的Object不能超过5GB。表单上传非常适合嵌入在HTML网页中来上传Object,比较常见的场景是网站应用;
- OSS分片上传(Multipart Upload)和断点续传功能:可以将要上传的文件分成多个数据块(OSS里又称之为Part)来分别上传,上传完成之后再调用OSS的接口将这些Part组合成一个Object来达到断点续传的效果,适用于当使用简单上传(PutObject)功能来上传较大的文件到OSS的时候,如果上传的过程中出现了网络错误,那么此次上传失败,重试必须从文件起始位置上传。针对这种情况,您可以使用分片上传来达到断点续传的效果。
- OSS 追加上传:指的是使用OSS API中的AppendObject在已上传的Appendable Object类型文件后面直接追加内容,之前提到的上传方式,比如简单上传,表单上传,断点续传上传等,创建的Object都是Normal类型,这种Object在上传结束之后内容就是固定的,只能读取,不能修改。如果Object内容发生了改变,只能重新上传同名的Object来覆盖之前的内容,这也是OSS和普通文件系统使用的一个重大区别。正因为这种特性,在很多应用场景下会很不方便,比如视频监控、视频直播领域等,视频数据在实时的不断产生。如果使用其他上传方式,只能将视频流按照一定规律切分成小块然后不断的上传新的Object。为了简化这种场景下的开发成本,OSS提供了追加上传(Append Object)的方式,在一个Object后面直接追加内容。通过这种方式操作的Object的类型为Appendable Object,而其他的方式上传的Object类型为Normal Object。每次追加上传的数据都能够即时可读。
- 基于OSS的API操作命令:必考题,常出现。①操作对象:Bucket、Object、Multipart Upload(批量上传)、跨地域共享、Live Channel(针对视音频的播放渠道)②常见的对Bucket和Object的API操作:putObject(上传)/put Bucket(创建空间)、getXX(获取)、copyXX(拷贝)、DeleteXX(删除)、HeadXX(只返回某个Object的meta信息,不返回文件内容)、PostObject(通过HTML表单上传的方式上传Object)、PutObjectACL(修改Object的访问权限)、selectObject(选择/查询内容)
- 基于OSS 上传的考题:
① 除了通过PUT Object接口上传文件到OSS以外,OSS还提供了另外一种上传模式是?
A.Put Bucket B.Head Object C.Multipart Upload D.Get Object 答案是Multipar Upload 批量上传
② 用户如果想要在OSS中模拟实现文件夹的创建操作,需要使用的API是哪个?A. putObject B. Multipart Upload C. Copy Object D. Get Object 答案是 put Object - 数据容灾-同城冗余存储:OSS采用多可用区(AZ)机制,将用户的数据分散存放在同一地域(Region)的3个可用区。当某个可用区不可用时,仍然能够保障数据的正常访问。同城冗余存储能够提供机房级容灾能力。当发生断网、断电或者灾难事件导致某个机房不可用时,OSS仍能继续提供强一致性的服务。整个故障切换过程用户无感知,业务不中断、数据不丢失,满足关键业务系统对于“恢复时间目标(RTO)”以及“恢复点目标(RPO)”等于0的强需求。
- 数据容灾-跨区域复制:跨区域复制(Cross-Region Replication)是跨不同OSS数据中心(地域)的存储空间(Bucket)自动、异步(近实时)复制文件(Object),它会将Object的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。支持实时同步数据。
- 数据容灾-跨区域复制应用场景:适用于OSS跨地域容灾,或跨地域双活,您对数据的安全性和可用性有极高的要求,对所有写入的数据,都希望在另一个数据中心显式地维护一份副本,以备发生特大灾难(如地震、海啸等)导致一个OSS数据中心损毁时,还能启用另一个OSS数据中心的备份数据。
- IMG服务: IMG是OSS提供的图片处理服务,将图片上传到OSS中,通过简单的RESTful接口,在任意时间、地点、设备上,用户都可以通过①为图片URL添加参数进行单词处理②使用OSS SDK对图片处理③使用图片样式对不同图片进行统一处理。OSS中的图片处理功能,首先需要把图片上传到OSS中的Buket中,所以处理图片是基于Buket中的图片处理功能,图片处理完后,会将成果直接返回给用户提供的文件指定位置,不是放在OSS中。
- OSS域名绑定(苛刻的考题):OSS域名绑定(CNAME)功能仅支持oss以三级域名绑定。即您的oss访问方式为(Bucke name).${region}.aliyuncs.com CNAME绑定域名必须是经过工信部备案的域名,跟阿里云备不备案没关系。
- OSS-ECS反向代理考题:阿里云OSS的存储空间(Bucket)访问地址会随机变换,您可以通过在ECS实例上配置OSS的反向代理,实现通过固定IP地址访问OSS的存储空间。
- ECS反向代理:阿里云OSS通过Restful API方式对外提供服务,最终用户通过OSS默认域名或者绑定的自定义域名方式访问。但是,某企业由于安全机制,需要在出口防火墙配策略,以限制内部员工和业务系统只能访问指定的公网P,但是OSS的Bucket访问IP会随机变换,导致需要经常修改防火墙策略。建议其采用______.的方案来解决这个问题。 答案是:通过ECS配置OSS的反向代理。
- Channel :(频道)Channel 是 IMG 上的命名空间,也是计费、权限控制、日志记录等高级功能的管理实体。IMG 名称在整个图片处理服务中具有全局唯一性,且不能修改,一个用户最多可创建10个 Channel,但每个 Channel 中存放的 Object 的数量没有限制,但每个Object的大小上限是20MB,因此Channel中存放的Object的数量和大小总和没有限制,是对的,channel的空间是无限大的,目前 Channel 跟 OSS 的 Bucket 相对应,即用户只能创建与自己在 OSS 上 Bucket 同名的 Channel。
- OSS的数据冗余机制:①OSS采用数据冗余存储机制,将每个对象的不同冗余存储在同一个区域内多个设施的多个设备上,确保硬件失效时的数据持久性和可用性,也就是说OSS的三副本存储,副本是在同一地域的不同可用区,或同一可用区的不同设备,不能跨region,因为跨地域一定产生公网费用。②数据冗余,是基于纠删码数据保护方式,所谓纠删码,就是将数据分割成片段,把冗余数据块扩展、编码,并将其存储在不同的位置,比如磁盘、存储节点或者其它地理位置。纠删码会创建一个数学函数来描述一组数字,这样就可以检查它们的准确性,而且一旦其中一个数字丢失,还可以恢复
- OSS访问控制:①ACL读写权限 ②RAM账号读写权限 ③防盗链黑白名单 ④Bucket Publice ⑤STS临时授权
- OSS-STS临时授权:OSS可以通过阿里云STS(Security Token Service)进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证
- OSS中ACL控制:Object ACL是Object级别的权限访问控制。目前有四种访问权限:private、public-read、public-read-write、default。 其中default为默认权限,ACL表明某个Object是遵循Bucket读写权限的资源,即Bucket是什么权限,Object就是什么权限,也叫作继承Bucket。
- 防盗链:防盗链功能通过设置Referer白名单以及是否允许空Referer,限制仅白名单中的域名可以访问您Bucket内的资源。OSS支持基于HTTP和HTTPS header中表头字段Referer的方法设置防盗链。OSS的Refer和CND不同,仅设置白名单。
- 防盗链触发场景:①仅当通过签名URL或者匿名访问Object时,进行防盗链验证。②当请求的Header中包含Authorization字段,是考题中经常出现的迷惑选项,也是错误选项,不会引发防盗链验证。
- 防盗链考题:当网站用户执行哪些操作时,OSS会进行防盗链验证?A、 请求的Header中有"Authorization"字段的访问object B、通过URL 签名访问object C、匿名访问object D、白名单访问object 答案:B C 分析:虽然通过URL签名访问object,字面上跟防盗链没关系,可从事实上的确是防盗链触发的两个原因之一。并且A选项很有欺骗性,因为这个单词的意思是授权验证,从感官上授权VS验证,是相关联的,但实际上跟防盗链一毛钱关系都没有。因此特别要记住这道题。
- 偏门之OSS版本控制:为了防止您存储在OSS上的数据被误删除,OSS提供了针对Bucket的版本控制功能。开启了版本控制以后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。用户在错误覆盖或者删除Object后,OSS能够将Bucket中存储的Object恢复至任意时刻的历史版本。版本控制应用于Bucket内的所有Object。当第一次针对Bucket开启版本控制后,该Bucket中所有的Object将在之后一直受到版本控制(不能解除,只能暂停),并且每个版本都具有唯一的版本ID。您可以在开启了版本控制的Bucket中进行上传、列举、下载、删除、恢复对象等操作。您也可以暂停版本控制以停止在Bucket中继续累积同一Object的新版本。暂停版本控制后,您仍可以通过指定versionId对历史版本Object进行下载、拷贝、删除等操作。OSS会针对每个版本进行收费,您可以通过生命周期规则自动删除过期版本。说白了,起的这个版本控制名字并不恰当,不如叫buket快照或objecr快照。
- 版本控制使用限制:如果Bucket已开启版本控制,则不支持设置合规保留策略、镜像回源或静态网站托管;如果Bucket已设置合规保留策略、镜像回源或静态网站托管,则不支持开启版本控制。
- 实践(偏门考题):阿里云对象存储OSS出于安全考虑,直接在浏览器地址栏输入0SS通信域名(oss.aliyuncs.com),如访问:http://bucketname.oss.aliyuncs.com/a.jpg(文件类型包括: txt、 btml、 htm、图片格式、视频格式、音频修式等安全敏感文件),均限制在浏览器客户端以“另存为”下载的方式打开文件。若需要直接在浏览器打开这类文件,需要如何配置? A、 在OSS的安全管理菜单中修改ACL, 允许浏览器直接访问,设置时需要短信验证 B、绑定用户自定义的域名(可以是三级域名) C、在OSS管理控制台–>0bject管理中, 修改文件的HTTP头信息 D、OSS不直 接提供这样的功能,需要二次开发 答案:B 分析:如果您使用OSS自带域名,均限制在浏览器中以“另存为"下载的方式打开文件,而不能直接浏览该文件。因此您需要将自定义的域名访问绑定在属于自己的Bucket上面,即CNAME。域名绑定成功后,为了使用域名正常访问OSS,还需要添加CNAME记录指向存储空间对应的外网域名。
- 实践(考点):客户小王准备建立一个静态的网站,想基于阿里云提供的多线BGP能力为客户提供网站的快速访问,小王可以仅通过阿里云对象存储OSS这个产品就能实现。 答案是对的。因为是静态的网站,可以直接托管在对象存储OSS_上面就可以直接提供服务,假如是动态网站,就需要通过ECS来部署项目来提供服务。
- 实践(偏门考点):OSS是按使用收费的服务,为了防止用户在OSS_上的数据被其他人盗链,OSS支持基于HTTP header中表头字段referer的防盗链方法。下列关于OSS防盗链的说法正确的是3 (正确答案的数量: 3个) A、Referer参数支持通配符"."和“?” B、 白名单为空时,不会检查referer字段是否为空。C、在支持通配符中,可以使用问号“?”代替0个或多个字符 D、白名单不为空,且设置了不允许referer字段为空的规则;则只有referer属于白名单的请求被允许,其他所有的请求会被拒绝。 答案:在支持通配符中,正确是用星号:代替0个或多个字符
- 敏感考试词汇:当出现 静态、文件、视频、图片等字样时,选项为OSS。如出现事务性、交互、文件家信息等动态词汇时,选项为RDS。
- 实践(考题):Channel考题(多选):以下关于OSS图片处理API channel说法正确的有哪些? A.存储容量每个Channel最高支持2PB B.一个用户最多可创建10个Channel C.每个Channel中存放的Object的数量和大小总和没有限制 D.IMG名称在整个图片处理服务中具有全局唯一-性, 且不能修改 答案:BCD
- 实践(考题):在视频点播网站或APP中,往往包含视频的上传、存储、视频转码、分发和视频播放的完整功能。因此视频的上传和存储,需要使用OSS产品;视频转码需要短视频SDK+媒体处理功能;媒体分发需要CDN;视频播放需要阿里云播放器产品。
七、RDS数据库
- RDS规格:共享规格(入门级)、通用规格(入门级)、独享规格(企业级)和专属规格(独占物理型)。
- 数据库迁移上云:可以通过DTS进行数据库上云,在上云过程中,本地数据库实时产生的数据也会被同步到云端数据库中
- 数据回溯:需要设置主备架构,并创建临时实例,进行克隆操作
- 数据仓库与数据库的区别:1.数据库:① 业务数据库中的数据结构是为了完成交易而设计的,不是为了而查询和分析的便利设计的。②业务数据库大多是读写优化的,即又要读(查看商品信息),也要写(产生订单,完成支付)。因此对于大量数据的读(查询指标,一般是复杂的只读类型查询)是支持不足的。2.数据仓库:①数据结构为了分析和查询的便利;②只读优化的数据库,即不需要它写入速度多么快,只要做大量数据的复杂查询的速度足够快就行了
- 数据库类型:关系数据库管理系统(Relational Database Management System:RDBMS);NoSQL(not onlySQL);OLAP(大数据数据引擎)
- 考题:判断题:阿里云的云数据库可以完美兼容Oracle的PL/SQL、数据类型、高级函数、数据字典。
答案:错。虽然阿里云帮助文档尽量说自己的好。但是完美兼容,这个牛逼暂时还不敢吹。目前甲骨文数据库还有不少地方没有兼容。 - 考题:数据库审计服务是一款专业、主动、实时监控数据库安全的审计产品,可用于审计阿里云平台中的_______等产品。 答案:RDS/NoSQL/Maxcompute
八、CDN内容分发网络
- CDN的基础架构:
1.LVS做四层均衡负载:①DR模式②双LVS做Active-Active互备③负载均衡算法采用wrr
2.Tengine做七层负载均衡:①主动健康检查②SPDY v3支持
3.Swift做HTTP缓存:高性能Cache;磁盘(SSD/SATA) - 什么是CND?CDN即内容分发网络(Content Delivery Network)的简称,是建立在承载网基础上的虚拟分布式网络,能够将源站内容(包括各类动静态资源)智能缓存到全球各节点服务器上,方便用户就近获取内容,提高资源的访问速度,同时分担了源站压力。
- CDN之外?除了CDN,还有全站加速和安全加速SCDN两款产品。全站加速:是阿里云的独立产品,主要用于动态网页加速,也可以实现动静分离,适用于网站含有很多动态内容、动态内容混合,尤其是包含较多动态资源请求如asp、jsp、php等格式的文件。 安全加速:适用于金融、政企、游戏、电商,需要同时兼顾安全与加速,防止DDos、CC、防爬虫、防篡改。
- CDN搭配云产品:ECS/OSS/SLB/视频直播/视频点播/云解析等产品。
- CDN计费方式:①基础服务计费:流量或峰值带宽;②增值服务计费:增值服务计费项包括HTTP和HTTPS请求数、QUIC请求数、实时日志条数、图片鉴黄和全站加速。
- CDN网络属性:CDN属于完全的公网产品,因此CDN与任何云产品连接都通过公网,都会产生费用。哪怕,CDN节点与云产品在一个地域,只要数据需要往CDN网络传,必须通过公网。
- CDN网络属性考题:判断题:同一地域的CDN和云服务ECS实例之间,不收回源流量费 答案:错误
- CDN提供不同的业务类型:①《图片和小文件加速》类型如果网站是门户类、新闻类、电商类、图片类或者游戏类网站,内容主要是图片和小文件,文件类型主要是图片、html、css、js小文件。②《大文件下载》业务类型,主要适用网站是各类客户端下载,APP商店等类型,内容主要是单个文件大于20M,甚至可以使GB级别下载时;③《视频直播》和《直播流媒体》业务类型,适用网站或APP业务主要是内容分发或综合类视频分发;
- 阿里云CDN优势:①阿里云在全球拥有2800+节点。中国内地(大陆)拥有2300+节点,覆盖31个省级区域,大量节点位于省会等一线城市。海外、中国香港、中国澳门和中国台湾拥有500+节点,覆盖70多个国家和地区。②阿里云所有节点均接入万兆网卡,单节点存储容量达40TB1.5PB,带宽负载达到40Gbps200Gbps,具备130Tbps带宽储备能力。③广泛布局的高性能节点,显著提升信息传递效率。面对紧急情况时,也能更好应对。④扛住双11流量洪峰:凭借全国加速节点、智能弹性调度系统及安全防护能力,完美支持过亿QPS峰值,保证全球数亿买家快速浏览高清图片和视频,流畅下单。
- CDN缓存节点:缓存节点分为LI和L2,其中L1位全国各省市节点,L2位于L1上层,为CDN大区节点。当L1节点有缓存资源时,会命中该资源,直接将数据返回给客户端。当L1节点无缓存资源时,会向L2节点请求对应资源,如果L2节点有缓存资源,则将资源同步到L1节点,并返回给用户;如果L2节点无缓存资源,则直接回客户源站获取资源,并按照配置的缓存策略进行缓存。
11. CND工作原理:
①当终端用户(北京)向www.a.com下的指定资源发起请求时,首先向LDNS(本地DNS)发起域名解析请求。
②LDNS检查缓存中是否有www.a.com的IP地址记录。如果有,则直接返回给终端用户;如果没有,则向授权DNS查询。
③当授权DNS解析www.a.com时,返回域名CNAME www.a.tbcdn.com对应IP地址。
④域名解析请求发送至阿里云DNS调度系统,并为请求分配最佳节点IP地址。
⑤LDNS获取DNS返回的解析IP地址。
⑥用户获取解析IP地址。
⑦用户向获取的IP地址发起对该资源的访问请求
12. CDN的使用场景:分为静态内容加速、动态内容加速和安全加速。其中,阿里云CDN只针对于静态内容加速的使用;动态内容加速需使用阿里云全站加速;安全加速需使用阿里云安全加速。
13. CDN使用限制:①接入阿里云CDN进行加速的域名需要根据加速区域决定是否要完成ICP备案。如果您添加域名时,选择的加速区域为全球或仅中国内地,则域名必须备案;②所有接入CDN的域名都要经过内容审核,目前阿里云CND不支持接入的域名包括:无法正常访问或内容不含有任何实质信息;游戏私服;传奇或纸牌类游戏;P2P金融网站;彩票类网站;
14. CDN停用:当停用CDN后,CDN节点中的缓存数据还在,恢复CDN后,不用全部回源;在停用CDN后,当有访问时,访问会跨过CDN自动返回源站进行访问
15. CDN访问控制:①配置Refere防盗链:设置黑名单与白名单,实现访问过滤;②通过配置IP黑名单和白名单来实现对访客身份的识别和过滤,从而限制访问CDN资源的用户③通过配置User-Agent黑名单和白名单来实现对访客身份的识别和过滤,从而限制访问CDN资源的用户;④URL鉴权:通过配置URL鉴权来保护用户站点的资源不被非法站点下载盗用。简单说CDN的访问控制可以针对referer、IP、UESR-Agent、URL进行访问控制(CDN的访问控制是经常的考点)。
16. Referrer黑名单: 您可以通过配置访问的Referer黑名单和白名单来实现对访客身份的识别和过滤,从而限制访问CDN缓存节点资源的用户,提升CDN的安全性。防盗链功能基于HTTP协议支持的Referer机制,通过Referer跟踪来源,对来源进行识别和判断。
17. URL鉴权:URL鉴权功能主要用于保护用户站点的资源不被非法站点下载盗用。通过防盗链方法添加Referer黑名单和白名单的方式可以解决一部分盗链问题,由于Referer内容可以伪造,所以Referer防盗链方式无法彻底保护站点资源。因此,您可以采用URL鉴权方式保护源站资源更为安全有效。
18. URL与referer与IP黑名单:①当题目中提及非法下载牟利,则应该选择URL和refer,其中URL性能优于refer;②当有固定IP在盗用时,则用IP黑名单。
19. OSS/ECS权限与CDN权限:当开通CDN服务后,即便OSS/ECS设置了防盗链或IP黑名单,但CDN上的缓存仍会被不法分子下载盗用,因此开通CDN后,应当先设置CDN访问控制,切断用户访问的上层资源。
20. CDN对外资源优化功能:①页面优化:压缩与去除页面中无用的空行、回车等内容,有效缩减页面大小;②智能压缩:支持多种内容格式的智能压缩,有效减少您传输内容的大小;③Brotil压缩(无损压缩):对静态文本文件进行压缩时,可以开启此功能,有效减小传输内容大小,加速分发效果;④参数过滤:当URL请求中携带?和参数时,CDN节点在收到URL请求后,判断是否需要携带参数的URL返回源站
21. 加速域名:即您需要使用CDN加速的域名。域名是一组服务器的地址,可以是网站、电子邮件、FTP等。在阿里云CDN帮助文档中,加速域名通常指域名。每个加速域名的默认IP源站数量限制为10个IP地址。
22. 刷新和预热功能:①刷新功能是指提交URL刷新或目录刷新请求后,CDN节点的缓存内容将会被强制过期,当您向CDN节点请求资源时,CDN会直接回源站获取对应的资源返回给您,并将其缓存。刷新功能会降低缓存命中率。②预热功能是指提交URL预热请求后,源站将会主动将对应的资源缓存到CDN节点,当您首次请求时,就能直接从CDN节点缓存中获取到最新的请求资源,无需再回源站获取。预热功能会提高缓存命中率。CDN刷新与预测功能,其中刷新功能为:①目录刷新;②URL刷新;③正则刷新;CND预热只提供URL预热。
23. 预热适用场景:您可以在业务高峰前预热热门资源,也可以预热流量较低的加速域名,以提高缓存命中率。
24. CDN刷新考题:关于阿里云CDN缓存数据更新的建议和描述,错误的是._? A、缓存刷新指的是强制将分发节点上缓存的资源标记为过期当用户再次对该资源发起请求时,节点会回源拉取资源,并缓存一份更新后的资源在分发节点 B、域名更新时,可以从控制台提交刷新请求,或者使用API,完成主动刷新 C、 域名更新时,如果不主动刷新,只能等待缓存文件到期后才能回源拉取最新的文件 D、阿里云CDN支持对域名更新的实时更新,用户只要做相关配置后,不必主动提交请求,便可以实现自动刷新
答案是 D CDN刷新只能主动刷新,不能设置自动刷新。 帮助文档原话“阿里云CDN支持对同名更新的实时更新,用户只要做相关配置后,在您不主动提交请求的时候,CDN不会自动去实现刷新请求。”
25. P2P节点:(对等网络)节点是指在CDN行业里常见的用户共享带宽加速服务。由用户通过个人电脑、路由器等设备共享家庭闲置的上行网络带宽,成为一个微型的CDN分发服务节点,使得其他客户在下载、直播、游戏等场景时获得就近加速体验。
26. P2P节点作用:CDN+P2P多节点调度,一个请求可以由CDN和多个P2P源同时提供内容,通过资源冗余提升了服务可用性。
27. PCND:P2P 内容分发网络(英文名:P2P CDN,以下简称PCDN)是以P2P技术为基础,通过挖掘利用电信边缘网络海量碎片化闲置资源而构建的低成本高品质内容分发网络服务。客户通过集成PCDN SDK(以下简称SDK)接入该服务后能获得等同(或略高于)CDN的分发质量,同时显著降低分发成本。PCDN产品适用于视频点播、直播、大文件下载等业务领域。初期只针对50 Gbps以上客户提供内容加速服务。
28. Channel服务:记录文件和拥有文件的端点地址信息,为下载提供就近的端点地址
29. 源站:您实际业务的服务器。源站类型可以选择OSS域名、IP、源站或函数计算域名。
30. 回源:CDN节点未缓存请求资源或缓存资源已到期时,回源站获取资源,返回给客户端。例如:您访问某个URL时,如果解析到的CDN节点未缓存该资源,则您的访问请求会直接到源站获取资源,并根据URL请求返回给您。
31. 回源率:回源率分为回源请求数比例及回源流量比例两种。①回源请求数比:指边缘节点对于没有缓存、缓存过期(可缓存)和不可缓存的请求占全部请求记录的比例。越低则性能越好;②回源流量比:回源流量是回源请求文件大小产生的流量和请求本身产生的流量。所以回源流量比=回源流量/(回源流量+用户请求访问的流量),比值越低,性能越好。
32. CDN中回源HOST:回源HOST指CDN节点在回源过程中,在源站访问的站点域名。当您的源站有多个业务共用的情况时,可以通过用户回源请求里面携带的回源HOST来区分不同的业务。
33. CDN-源站与回源HOST区别:①源站:源站决定了回源时请求到的具体IP地址。②回源HOST:回源HOST决定了回源请求访问到该IP地址上的具体站点。
34. 回源HOST应用:①源站为www.a.com,回源HOST为www.b.com,那么实际回源是请求解析到到www.b.com即对应的主机上的站点www.a.com ②源站为1.1.1.1,回源HOST为www.b.com,那么实际回源的是www.b.com对应的主机1.1.1.1.上的站点。 总之一句话,实际回源地的地址,就是HOST的地址。
35. 缓存命中率:指终端用户访问加速节点时,该节点已缓存了要被访问的数据的次数占全部访问次数的比例。缓存命中率越高,性能越好。
36. 动静分离:某电商平台包含众多线上系统和环节,如用户注册、登录、浏览商品、购物结算等。由于站点的动静态资源混杂、跨运营商访问网络不稳定、突发流呈造成网络拥塞等问题,经常会出现在线支付、秒条、促销推广时响应时间慢、服务不稳定等问题。如果你.是阿里云产品经理,你会建议用户开通阿里云的服务来解决以问题? 选择CDN加速,因为其中一个关键词动静态资源混乱,就是CDN解决动静资源分离的标杆功能。
37. CNAME:CNAME 被称为规范名字。这种记录允许您将多个名字映射到同一台计算机。 通常用于同时提供WWW和MAIL服务的计算机。例如,有一台计算机名为“r0WSPFSx58.”(A记录)。 它同时提供WWW和MAIL服务,为了便于用户访问服务。可以为该计算机设置两个别名(CNAME):WWW和MAIL。同样的方法可以用于当您拥有多个域名需要指向同一服务器IP,此时您就可以将一个域名做A记录指向服务器IP,然后将其他的域名做别名(即CNAME)到A记录的域名上;那么当您的服务器IP地址变更时,您就可以不必对一个一个域名做更改指向了,只需要更改A记录的那个域名到服务器新IP上,其他做别名(即CNAME)的那些域名的指向将自动更改到新的IP地址上(以上操作均需要在DNS处执行)。
38. CNAME使用:接入CDN,在阿里云控制台添加加速域名后,阿里云CDN将给您分配一个CNAME域名。该CNAME域名的形式为*.kunlun.com。 您需要在您的DNS解析服务商添加一条CNAME记录,将自己的加速域名指向*.kunlun.com的域名。记录生效后,域名解析的工作就正式转向CDN服务,该域名所有的请求都将转向CDN节点,达到加速效果。
39. SSL:SSL(Secure Sockets Layer,安全通讯协议),是一个架构于TCP之上的安全套接层。它可以有效协助Internet应用软件提升通讯时的资料完整性以及安全性。标准化之后的SSL名称改为TLS(Transport Layer Security,传输层安全协议),因此很多相关的文档将二者并称(SSL/TLS)
40. CDN-HTTPS加速:在阿里云CDN控制台开启的HTTPS协议,将实现客户端和阿里云CDN节点之间请求的HTTPS加密。CDN节点返回从源站获取的资源给客户端时,按照源站的配置方式进行。建议源站配置并开启HTTPS,实现全链路的HTTPS加密。 所以源站不开HTTPS,只有CDN开启,是实现不了全链路HTTPS的。
41. HTTPS证书格式:无论是CDN还是SLB,只支持PEM格式的证书文件。如非PEM格式,需要转换格式后上传。
42. 常见网站服务性能数值:①pv 是指页面被浏览的次数,比如你打开一网页,那么这个网站的pv就算加了一次;②tps是每秒内的事务数,比如执行了dml操作,那么相应的tps会增加;③qps是指每秒内查询次数,比如执行了select操作,相应的qps会增加。
43. CDN加速后访问页面出现空白,解决办法:①使用Chrome浏览器访问源站,按F12键打开开发者工具,单击 NetWork,查看Content-Length配置项是否为0;②若Content-Length配置项为0,则查看源站是否返回Transfer-Encoding: chunked头信息。CDN不支持此头信息,去除此头信息即可(死记硬背!)。
44. 实践:近期阿里云CDN团队发现部分域名出现非正常业务访问,导致带宽突发,产生了高额账单的情况。解决办法:①分析:您的域名可能被恶意攻击、流量被恶意盗刷,进而产生突发高带宽或者大流量,因此产生高于日常消费金额的账单②措施:为保障服务的正常运行和避免高额账单的出现,建议开启防护功能(CDN有WAF防护功能)或者对流量(高级设置里有带宽峰值封顶)进行相应的管理。③措施:如果您的业务有潜在的被攻击风险,建议开通SCDN产品,SCDN产品有更强大的整体安全防护能力
45. 偏门考题:CDN域名管理中,可以添加哪些域名? 答案:函数计算域名、OSS域名、IP、源站域名;
46. 偏门考题:CDN的数据服务等级指标有哪些?答案 数据持久性、数据可靠性、数据可移植性、数据私密性、数据知情权、数据可审查性。
47. 易错题:B公司想基于阿里云的产品构建一个纯WEB版本的网盘,用于公司内3千名员工的内部文件的存储和分享。要求员工能在线上传和下载文件,并查看文件列表,员工之间可以授权共享查看和下载,存储容量为10Tb。那么B公司应该选用阿里云的产品来保证网盘的可扩展性。 答案:web应用,需要安装在ECS上,文件上传和存储,需要OSS;员工信息、下载链接、文件基本信息属于动态信息,最好由RDS处理。因场景只是同一家公司的员工,不具备分布性,因此地域性和访问的快捷性等DNS内容分发系统擅长的,则在该场景不适用。
48. 易错题:不管刷新与预热都没有全站/整站刷新或预热这一选项。 因此有考题(不知是否为真实考题)阿里云CDN提供了几种刷新缓存的方法?(正确答案有3个) 答案分别是 A.全站刷新 B.目录刷新 C.URL刷新 D.URL预热 这道题本身存在命题不明确的问题 如果仅限于刷新的 答案只有BC两个,D不属于刷新,是属于预热。但除去命题外,针对阿里云帮助文档和控制台CDN实际操作页面,文档中没有全站刷新这个选项。因此在命题错误和选项错误,两个错误中,选择权重更高的那个,只能选择D。我很怀疑这道题不对。文章来源地址https://www.toymoban.com/news/detail-536297.html
九、DNS解析
- 云解析:云解析DNS(Alibaba Cloud DNS)是一种安全、快速、稳定、可扩展的权威DNS服务,云解析DNS为企业和开发者将易于管理识别的域名转换为计算机用于互连通信的数字IP地址,从而将用户的访问路由到相应的网站或应用服务器。
- DNS记录类型:云解析DNS支持A、CNAME、MX、TXT、SRV、AAAA、NS、CAA记录类型。①A记录:IPV4记录,支持将域名映射到IPv4地址使用;②AAAA记录:IPV6记录,支持将域名映射到IPv6地址使用;③CNAME:别名记录,支持将域名指向另外一个域名(对应的是HTTP referer相对立);④MX:电邮交互记录,支持将域名指向邮件服务器地址
- DNS常见名词:
① TTL:英文全称Time To Live ,这个值是告诉本地域名服务器,域名解析结果可缓存的最长时间,缓存时间到期后本地域名服务器则会删除该解析记录的数据,删除之后,如有用户请求域名,则会重新进行递归查询/迭代查询的过程;
② URL转发:云解析DNS支持用户配置显性/隐性URL转发,可实现将访问当前域名的用户引导到客户指定的另一个网络地址;
③ 请求量统计:云解析DNS为客户提供域名或子域名的解析请求量数据汇总和报表下载功能;
④ 辅助DNS:云解析DNS可以设置为辅助DNS,当客户使用主DNS更新记录时,云解析DNS中的相应记录会自动更新;
⑤ 全局流量管理(Global Traffic Manager),简称 GTM,能够实现用户访问应用服务的就近接入、高并发负载均摊,并能够据健康检查进行流量切换,能够灵活快速的构建同城多活和异地容灾服务。 - 云解析DNS应用:①应用于网站建设:客户可以通过应用A记录,将网站域名指向网站的服务器地址,来实现用户可以打开网站的效果。②应用于高访问量业务:当多台服务器都服务于同一个业务时,可利用加权轮询解析机制,实现将流量分摊到每台服务器上,以此分散业务压力;③应用于用户跨网/跨地域访问的场景:当用户分散于不同的运营商或者地域,通过智能解析配置,可根据用户不同的地理位置或网络环境来智能返回解析结果;④应用于CDN加速:客户可以通过应用CNAME记录指向CDN服务商提供的别名,从而最终实现提高用户访问网站的响应速度或者下载速度。
- DNS的分层结构:根DNS服务器-顶级域名服务器-权威域名服务器-本地域名服务器
- 域名的分级结构:顶级域名(com)-主域名(aliyun.com)-子域名/二级域名(examle.aliyun.com)-三级域名(www.example.aliyun.com)
- 递归查询:是指DNS服务器在收到用户发起的请求时,必须向用户返回一个准确的查询结果。如果DNS服务器本地没有存储与之对应的信息,则该服务器需要询问其他服务器,并将返回的查询结构提交给用户。
- 迭代查询:是指DNS服务器在收到用户发起的请求时,并不直接回复查询结果,而是告诉另一台DNS服务器的地址,用户再向这台DNS服务器提交请求,这样依次反复,直到返回查询结果。
- DNS缓存:是将解析数据存储在靠近发起请求的客户端的位置,也可以说DNS数据是可以缓存在任意位置,最终目的是以此减少递归查询过程,可以更快的让用户获得请求结果。
- 智能解析:传统DNS解析,不判断访问者来源,会随机选择其中一个IP地址返回给访问者。而智能DNS解析,会判断访问者的来源,为不同的访问者智能返回不同的IP地址,可使访问者在访问网站时可获取用户指定的IP地址,能够减少解析时延,并提升网站访问速度的功效。
- 智能解析应用:例如域名www.dns-example.com,有三台服务器,分别是联通IP,移动IP,电信IP,DNS解析配置如下。①传统DNS解析不判断访问者的来源,会将1.1.1.1、2.2.2.2、3.3.3.3三个地址全部返回给访问者的LocalDNS,由访问者的LocalDNS通过随机或者优选的方式将其中一个IP地址返回给访问者,传统DNS解析有可能会造成访问者跨网访问。②云解析会判断访问者的来源,为来源于移动运营商的访问者云解析返回2.2.2.2的解析地址,为来源于电信运营商的访问者云解析返回3.3.3.3的解析地址,其他来源的访问者云解析返回1.1.1.1的解析地址。
- 智能解析实现原理:云解析是通过识别LOCALDNS的出口IP,来判断访问者来源。
- 智能解析应对引擎爬虫:①网站被搜索引擎爬虫访问会耗费服务器的流量和带宽,可通过在搜索引擎线路专门指向一个服务器地址,从而有效的控制蜘蛛的爬取路径。②临时闭站做SEO收录排名保护,可通过搜索引擎线路设置个搜索引擎专线,这样虽然站点关闭,但是蜘蛛爬虫还可以正常抓取网站信息,从而达到降低对站点SEO收入排名影响。
- DNS的轮询功能:可以使得在多个Regioon下创建的SLB协同在一起,形成高可靠的地域级容灾SLB。
- DNS监控:DNS监控是利用全国节点,模拟用户每5分钟向域名发起一次DNS查询请求,可以实现监控用户本地运营商DNS的可用性和本地运营商DNS的查询响应时间。
- DNS监控使用限制:①DNS监控添加的子域名仅限A和CNAME两种记录类型使用。②DNS监控仅支持DNS托管在云解析DNS中的域名使用。③DNS监控不支持泛解析域名添加监测。
- 辅助DNS:辅助DNS 是云解析为使用自建DNS或第三方DNS的用户提供的 DNS容灾备份服务,当为域名 开启辅助DNS ,则域名当前使用的DNS为 主DNS ,云解析则默认为 辅DNS,我们基于RFC标准协议,在主DNS和辅DNS之间建立区域数据传输机制,当主DNS遇到故障或者服务中断时,辅DNS仍可以继续提供解析服务,因此可以保障您的业务在全球范围稳定运行。辅助DNS面向云解析DNS企业旗舰版用户开放。
- 云解析日志:云解析DNS提供两个维度的日志查询,分别是操作日志、解析日志。
- 云解析操作日志:在云解析DNS操作控制台,可查看解析DNS域名列表中的域名管理操作日志,可以查看操作时间、操作域名、操作行为。操作行为例如添加域名、删除域名、找回域名等操作。
- 云解析解析日志:在云解析DNS操作控制台,可查看解析记录的操作日志,可以查看操作时间,操作行为、操作者IP。操作行为例如解析记录的增删改等。
- HTTP DNS:专门用来解决互联网应用的顾客,因为本地DNS篡改IP,导致顾客无法连接网站或应用的问题。
十、DTS数据迁移
- 阿里云DTS数据迁移服务:是一款数据库迁移工具,支持支持RDBMS、NoSQL、OLAP等数据源间的数据交互。DTS广泛应用在数据库上云、本地数据库扩容、合并,以及数据库汇总。其中在上云前一种①在迁移过程中实现零停机,也就是说在数据迁移时,本地数据库可以提供正常服务,迁移完成之后,业务可从本地直接切换到云RDS中;②DTC提供迁移回滚方案,也就意味着,迁移完成后,业务切换到云数据库出现异常时,业务可以秒级切换回本地数据库。 在本地数据库云扩展时,DTS实现端到端的毫秒级延时的实时数据同步。使用数据库同步功能,可以实现数据库的异地灾备,异地多活,数据实时仓库,以及数据库读写分离的应用场景。
- DTS优势:①丰富多样:DTS支持多种同构或异构数据源之间的迁移,例如Oracle->MySQL、Oracle->PPAS,对于异构数据源之间的迁移,数据传输服务支持结构对象定义的转化,例如将Oralce中的同义词转换为PPAS中对应的同义词定义。②高性能:DTS的实时同步功能能够将并发粒度缩小到事务级别(比表更小的颗粒——”记录”级别),能够并发同步同张表的更新数据,从而极大地提升同步性能。③安全可靠:DTS底层为服务集群,如果集群内任何一个节点宕机或发生故障,控制中心都能够将这个节点上的所有任务秒级切换到其他节点上,链路稳定性高。
- 数据迁移:帮助您实现同/异构数据源之间的数据迁移,适用于数据上云迁移、阿里云内部跨实例数据迁移、数据库拆分扩容等业务场景。
- 数据迁移类型:数据迁移支持结构迁移、全量数据迁移及增量数据迁移。①结构迁移:DTS将源库中待迁移对象的结构定义迁移至目标库(例如表、视图、触发器、存储过程等),支持异构。②全量数据迁移:DTS将源库中待迁移对象的存量数据,全部迁移到目标库中。如果在配置数据迁移任务时,仅选择了结构迁移和全量数据迁移,那么在迁移过程中,源库的新增数据不会被迁移至目标库。③增量数据迁移:DTS会先在源库中实现静态快照,然后将快照数据迁移到目标库,最后再将迁移过程中源库产生的增量数据实时同步至目标库(增量数据迁移会保持实时同步的状态,所以迁移任务不会自动结束,您需要手动结束迁移任务)。
- 数据迁移限制:以MySQL为例:①请勿在链路创建阶段执行库或表结构变更的DDL操作;②如需执行增量数据迁移,需开启Binlog;③源库为自建库时,请勿在数据迁移期间执行主备切换;④数据库所属的服务器需具备足够的出口带宽和CPU资源。
- 数据集成:数据集成功能作为数据迁移功能的延伸,可根据调度策略的配置,定期地将源库中的结构和存量数据迁移至目标库中,帮助您构建更加灵活的数据仓库(例如构建T+1的周期性数仓)。
- 数据同步:帮助您实现数据源之间的数据实时同步,适用于数据异地多活、数据异地灾备、本地数据灾备、跨境数据同步、查询与报表分流、云BI及实时数据仓库等多种业务场景。
- 数据同步特点:①同步对象的选择粒度为库、表、列,您可以根据需要选择同步的对象。;②动态增减同步对象:在数据同步过程中,用户可以随时增加或减少需要同步的对象;③完善的监控体系:数据同步提供同步作业状态、同步延迟的报警监控功能。用户可以根据业务敏感度,自定义同步延迟报警阈值;④多种ETL特性:支持库表列三级对象名映射,可以实现对源跟目标实例的库名、表名或列名不同的两个对象之间进行数据同步;支持数据过滤,可以对待同步的表设置某种SQL条件过滤要所需同步的数据。
- 数据同步限制:为保障DTS可以正常读取源库的库表信息、连接源和目标库,在配置或修改数据同步作业时,源库和目标库不能处于升级、变配、网络切换、跨可用区迁移等状态,即源库和目标库须处于正常运行的状态。
- 数据订阅:(增量数据同步)帮助您获取自建MySQL、RDS MySQL、PolarDB MySQL、DRDS、Oracle的实时增量数据,您可以根据业务需求自由消费增量数据,适用于缓存更新策略、业务异步解耦、异构数据源的数据实时同步和复杂ETL的数据实时同步等多种业务场景。
- 数据订阅类型:订阅对象选择的粒度为库、表。DTS将源库的增量数据类型分为结构变更DDL和数据变更DML。①结构变更DDL:订阅整个实例所有对象的结构创建、删除及修改,您需要使用订阅客户端过滤所需的数据。②数据变更DML:订阅已选择对象的增量数据更新,包含数据的INSERT、DELETE和UPDATE操作。
十一、云安全
- DDos阈值:阿里云的DDos防护功能可以在管理控制台对访问ECS的流量设置清洗的阈值,其中可设置的阈值为①每秒流量②每秒报文③每秒HTTP请求数。都是以秒为单位的临界值。
- DDos基础防护特点:①BGP骨干线路防护;②精准防护;③免安装维护
- DDos基防介绍:阿里云云盾默认为云产品免费提供总量最大5 Gbit/s的流量攻击的防护,因此如果网站部署的ECS或云产品,遭受3次2G的打击,总量为6G,就已经超过免费的服务范围了。
- DDos攻击类型:有以下一些类型,但不限于:畸形报文、传输层 (Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等)、Web应用DDoS攻击、DNS DDoS攻击、连接型DDoS攻击。
- 实践(考题):云盾DDoS防护功能可以防护哪些类型的攻击? (多选)ACK、SYN、ICMP、UDPflood。答案:全都是DDOS传输层攻击的防护类型。
- DDos高防服务:支持按天计费,提供精确地流量表与攻击详情,防护阈值弹性调整,可随时升级跟高级别的防护,业务不中断
- DDOS高防引流方式:DDoS高防支持通过DNS和IP直接指向两种引流方式,实现网站域名和业务端口的接入防护
- DDOS基础与高防服务范围:阿里云Ddos基础防御:只为阿里云产品服务,免费开通,提供总额5G的防护;但是!DDOS高防产品可以为阿里云或非阿里云主机提供防护。
- DDOS防护的保护对象:ECS、负载均衡、EIP、NAT网关、VPC提供。不为OSS或者RDS提供。
- 流量清洗:启用DDoS基础防护后,云盾会实时监控进入ECS实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时,在不影响正常业务的前提下,云盾会将可疑流量从原始网络路径中重定向到净化产品上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程,就是流量清洗。
- 流量清洗的方法:过滤攻击报文、限制流量速度、限制数据包速度等
- 阿里云为ECS提供DDOS防护功能的安全产品有:云安全中心、DDOS高防、DDOS基础防护
- 安骑士与安全管家的区别:①阿里云安骑士是一款经受百万级主机稳定性考验的主机安全加固产品,支持自动化实时入侵威胁检测(端口检查、异地登录提醒、密码暴利破解、WEBSHELL检查)、病毒查杀、漏洞智能修复、基线一键检查、网页防篡改等功能,是构建主机安全防线的统一管理平台。②阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务,为云上用户建立和持续优化云安全防御体系,保障用户业务安全。安全管家服务具体为分企业版,护航版,服务器安全版等三个版本,也就是三个不同的服务类别,其中有服务器托管这项人工服务。 因此安骑士是一款软件,安全管家是人工服务。
- 安骑士考点:题目中有安骑士提供WEB应用系统的密码暴力破解,是错误的。
- 云安全中心:云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,提供安全告警、病毒防御、漏洞检测及修复、基线检查、资产指纹、攻击分析等全面的安全服务,安骑士是安全中心的主机版,功能一样。简单说针对系统的漏洞、病毒查杀、账号的管理、和资产管理,四部分。不包含DDOS攻击。
- 云安全中心告警方式:支持通过短信、邮件、站内信和钉钉机器人的方式向您发送告警通知
- 云安全中心白名单:在云安全中心,有些合法程序、正常行为会被识别成安全威胁或告警事件,针对该场景,云安全中心提供了白名单的功能,开启后云安全中心将不再提示该告警。
- 云安全中心的功能实现,需要在需要提供防护功能的ECS上安装Agent插件(在非阿里云产品中手动安装agent,必须以管理员权限运行安骑士Agent插件安装程序),才能被安全中心访问和监控,显示该资产的任何漏洞、告警、资产指纹。不安装或卸载Agent的ECS将不被安全中心防护,但云安全中心不提供解绑ECS服务,所以即便卸载了Agent后,ECS将以离线形式出现在安全中心的服务器列表中。
- 云安全在非阿里云主机安装:用户在非阿里云服务器(阿里云以外的服务器)安装云安全中心(安骑士)的客户端后,非阿里云服务器需要输入安装验证Key关联您的阿里云账号
- 态势感知:态势感知具备异常登录检测、网站后门查杀、网站后门查杀、进程异常行为、敏感文件篡改、异常网络连接、Linux软件漏洞、Windows 系统漏洞、Web-CMS漏洞、应急漏洞、Web 漏洞扫描、主机基线、云产品基线、资产指纹、AK和账号密码泄露、数据大屏、日志检索、全量日志分析。
- WAF:Web应用防火墙(Web Application Firewall,简称 WAF)为网站或App业务提供一站式安全防护。WAF可以有效识别Web业务流量的恶意特征,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致服务器性能异常等问题,保障网站的业务安全和数据安全。
- 云防火墙:阿里云云防火墙是业界首款云平台SaaS化的防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能。
- 云防火墙控制模块:①南北向流量控制模块:主要用于实现互联网到主机间的访问控制,支持4-7层访问控制;
②东西向流量控制模块:主要是利用安全组对主机之间的交互流量进行控制,实现4层访问控制。 - 操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为,都会被追踪记录,可以通过创建跟踪,将操作日志保存到指定储存空间,以便将日志长久保存和用于行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。
- 密钥管理服务KMS(Key Management Service)提供密钥的安全托管及密码运算等服务。KMS内置密钥轮转等安全实践,支持其它云产品通过一方集成的方式对其管理的用户数据进行加密保护。借助KMS,您可以专注于数据加解密、电子签名验签等业务功能,无需花费大量成本来保障密钥的保密性、完整性和可用性。
- 加密服务:云盾加密服务的密钥是,必须通过身份卡USER KEY方式认证,因为所有的密钥管理都必须依赖身份卡,如果身份卡被用户丢失,阿里云也没办法找回。加密服务类似于银行U盾,用户有一个物理的加密身份卡(U盘形式)
- CA证书:在电子合同中,为了确认真伪和身份。CA是权威可信的第三方机构,是“发证机关”。CA证书是CA发的“证件”,用于证明自身身份,就像身份证和驾驶证。
- RAM服务:访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。RAM允许在一个阿里云账号下创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同资源访问权限的目的,比如用于分配员工账号,并设置各账号访问权限。其中RAM用户可以被分配到各种云产品的使用权限中。
- 先知计划:先知计划是一个帮助企业建立私有应急响应中心的平台,企业加入先知(安全众测)平台后,可自主发布奖励计划,激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞。
- 先知计划的目的:企业需要建立一个漏洞收集渠道。先知计划通过企业悬赏,集合各种实名认证的专家,为企业提供漏洞标题与详情、漏洞等级、漏洞状态,并显示漏洞提交人,且漏洞不经企业同一和授权,不会主动公开。但并不为企业提供漏洞修补方法,如企业作为漏洞修补的主体,先知计划会在能力内协助企业修补漏洞。
- 内容安全:在互联网中,如有有黄赌毒或者危害国家安全,对人民群众造成错误误导的内容,都是违法或违规内容。但国家包括圈子里基本上不说对内容做审计,而是用一个含糊的词,叫互联网内容安全。阿里云绿网,也是所谓提供互联网内容安全的产品。
- 内容安全占用资源:内容安全是以API方式提供服务,不占用用户ECS的CPU资源。
- 风险识别:风险识别下属很多专项场景产品:①注册风险识别主要针对企业在拉新、营销等活动中出现的大量虚假用户风险;②登录风险识别主要针对具有高价值资产(例如:余额、银行卡、积分、信用额度等)的账户,防止被黑产通过恶意手段产生盗号资损甚至引发账户用户安全感问题的风险,阿里云搭建基于地理位置、风险网络、设备环境、行为异常等多维识别策略与模型,可以快速精准识别账户被盗行为风险;③营销风险识别主要针对企业在采用补贴、优惠等方式获取用户时产生的“薅羊毛”风险,阿里云风险识别通过大数据、人工智能结合淘宝、支付宝等多年的活动作弊防控经验,有效、快速、准确的识别活动作弊风险行为和用户;④设备风险识别主要针对企业在移动APP业务场景中遇到的恶意用户使用模拟器、多开软件等攫取收益产生的风险;⑤业务风险情报主要针对互联网、金融等企业的平台遭遇黑灰产使用虚假信息进行恶意欺诈、作弊、虚假交易等问题;⑥邮箱画像主要针对企业在面对黑灰产大量使用低成本批量生成的邮箱产生的批量注册、刷票、薅羊毛等风险;⑦地址评分主要针对电商、物流、银行等企业在面对恶意用户大量使用无效地址而造成的公司人力资源浪费和资金损失风险
- (偏门考题)安全大屏登录方式:①直接访问:单击直接访问进入大屏页面;②免登配置:单击免登配置创建大屏免登地址,方便您在不登录云安全中心控制台的情况下直接通过免登链接打开安全大屏页面。
- 荷鲁斯之眼:荷鲁斯之眼为您提供云上资产全景、网络拓扑和安全态势的可视化界面。从安全评分、安全产品和云产品三个维度全面展示您资产的安全态势。荷鲁斯之眼不属于安全大屏产品的子产品,是独立产品。
- 重点常识:口令暴力破解主要是针对SSH和RDP(远程桌面)协议发起攻击的。
- 哪些云盾服务免费:云安全中心、内容安全、Ddos基础防护都提供免费版。
- 非阿里云服务器可以使用哪些安全产品:DDOS高防(不含基础防护!)、云安全、云监控、安骑士、WAF。
- ISC责任:云计算服务的安全需要云服务的提供方(如阿里云)、ISV (独立软件开发商)和用户来共同参与,任何一方的疏漏都可能产生安全风险。云计算服务的ISV需要(正确答案的数量: 2个) A、制定完善的业务流程 B、 制定良好的开发规范和测试规范,有完整的软件交付验收流程 C、部署云计算应用时有统一的操作规范,操作过程可追溯 D、应用系统中不同角色的岗位划分不同的权限,禁止共享帐号密码
答案:CD 记住就行 ISV为云安全需要提供①部署云计算应用时有统一的操作规范,操作过程可追溯 ②应用系统中不同角色的岗位划分不同的权限,禁止共享帐号密码
十二、云监控
- 云监控产品提供为阿里云或非阿里云(安装云监控插件)①云产品监控,可以查看目标云产品中指定资源的运行状态和各个指标的使用情况,并对监控项设置报警规则;②主机监控,通过监控云服务器ECS的CPU使用率、内存使用率、磁盘使用率等基础指标,确保主机的正常使用;③站点监控,目前仅提供对协议HTTP(HTTPS)、ICMP、TCP、UDP、DNS、SMTP、POP3、FTP的监控设置,可探测您站点的可用性、响应时间和丢包率,让您全面了解站点的可用性并在站点异常时及时处理
- 云监控通知方式:目前云监控报警服务支持电话、短信、旺旺、邮件、钉钉机器人等多种方式。旺旺仅支持PC端报警消息推送。如果您安装了阿里云APP,也可以通过阿里云APP接收报警通知;(更新变化的太快了,但考试缺要考这玩意)
- 易混词:云安全中心中的态势感知,指的是基于大量前端用户的安全情报汇总,及时的将新出现的恶意IP和最新漏洞分发给全网用户。 而云监控中通过对站点进行监控或用户自定义监控,通过访问流量和带宽等阈值,可以及时知道自己网站的突发流量。
- 监控指标:硬件的固定基本知识,操作系统级别监控指标包含CPU占用率,内存总量、平均负载、磁盘I0读/写、磁盘使用率、TCP连接数、进程总数等。请注意内存使用率不属于操作系统级别监控。
- 云监控监控数据查看与下载:监控数据,可以通过云监控控制台和OpenAPI两种方式查看;目前云监控数据不支持下载。
- 自定义监控:用户可以对自己关心的业务进行监控,将采集到的的监控数据上报到云监控,并由云监控进行数据的梳理,并可设置报警,同时自定义监控的数量是没有上限的,而且基于云监控产品性质,可为非阿里云服务器提供服务的性质。
- 自建报警系统接入:如果用户想自建报警系统,需要将阿里云监控现有报警通知对接过去,需要:调用云监控提供的查询数据的接口,定时查询,然后自己写code判断指标是否异常 因为操作很麻烦,所以不建议用户自建报警系统。
- 云监控中报警组与报告联系人:①当报警联系组中只有一个报警联系人时,不允许删除;②删除报警联系组,不会删除该报警联系组的报警联系人;③删除报警联系人时,报警联系组中的该报警联系人自动被删除。
- 云监控联系人—考题:某公司一名负责运维阿里云产品的员工离职了,应该进行_______操 作可以保证这名离职人员不再收到云监控的报警通知。 答案:云监控中的联系人组中包含联系人,通知方式包括邮箱、电话、钉钉。删除联系人不用通过验证,可以直接删除。
到了这里,关于ACP云计算工程师考试知识点的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!