7层服务的监控检查机制为由负载均衡SLB实例向后端云服务器ECS实例的内网IP地址的应用服务器配置的缺省首页发起HTTP请求,然后判断请求的返回码来进行健康检查操作。四层是检查端口,七层是检查服务器返回的状态码
私网ip是可以用于SLB的负载均衡,同一地域内实例之间通过私网ip进行的通讯是不收取流量费的。
消费者只需要通过网络使用软件,不需要管理和维护软件,所以选择SaaS(软件即服务)
IASS为基础设施即服务,IAAS公司会提供场外服务器,存储和网络硬件,也可以选择租用。节省了维护成本和办公场地,公司可以在任何时候利用这些硬件来运行其应用。比如阿里云的ECS,亚马逊的EC2都属于IAAS
同一个伸缩组内ECS配置相同;一个伸缩组可以对应多个负载均衡实例SLB,但是两者必须在同一个地域
云计算的核心理念就是通过互联网络为用户提供按需的IT资源服务。为了达到这个目标,云服务提供商首先要保证拥有一个容量重组的资源池以满足在并发的业务高峰时候仍能满足用户的服务要求。
阿里云的对象存储OSS可以与云服务器ECS实例协同来实现文件存储的功能,需要注意的是,
走内网流量是不收费的,但是每次的请求次数还是收费。
oss没有空间上限,不需要担心快速增长的问题,同时还可以满足快速读取的需求
阿里云OSS产品的账单费用由三部分组成,包括:
存储空间费用,流量费用和OSS API 的请求费用
。其中流量费用是根据用户使用OSS的下行流量多少收费,上行流量和通过内网访问的流量免费,
通过弹性伸缩来完成的拓展,称之为水平扩展,如果是
通过增加ECS配置等,为垂直扩展
;弹性伸缩要求每台ECS是无状态的,否则不能保证数据的统一。弹性伸缩是可以根据客户业务需求横向扩展ECS实例的容量,即自动增加和减少ECS实例,但是
伸缩组内不限制ECS实例;
复制镜像仅适用于自定义镜像。如果您需要复制其他类型的镜像,可先使用镜像创建实例,再使用该实例创建自定义镜像。然后,复制该自定义镜像;
需要弹性伸缩Auto Scaling跟库业务来实现ECS的弹性增加或减少
实例启动模版是一项持久化ECS实例配置的功能,可用于快速创建实例,实例启动模版中包含了用于创建实例的配置信息,可以存储
除了密码以外的任意配置信息
,包括密钥对,RAM角色,实例类型和网络设置等;
在创建阿里云的云服务器ECS实例时,必须要选择镜像来创建实例的系统盘;
弹性伸缩是横向扩展,扩展的是云服务器ECS的实例的个数,云服务器ECS实例的配置是不支持伸缩的;在创建伸缩配置时,可以指定ECS实例的参数,例如实例规格,镜像类型,存储大小,登录实例用的密钥对等;ECS的纵向扩展指的是配置的扩展。横向指的是节点的增减;
阿里云弹性伸缩可以通过设置定时任务来定时的增加或减少ECS实例,如果多个定时任务在同一时间内触发执行同一个伸缩组的伸缩规则,会选取最近创建的定时任务执行,排在后面的定时任务会在 LaunchEcpirationTime内自动重试定时触发;
系统盘快照,不能用来作为创建新的数据盘;
伸缩规则定义了具体的扩展或收缩操作,例如加入或移除n个实例;弹性伸缩是可以根据客户业务需求横向扩展ECS实例的容量,即自动增加和减少ECS实例,但是
伸缩组内不限制ECS实例的数量
共享镜像可用于跨账号部署ECS实例。创建自定义镜像后,您可以将镜像共享给其他阿里云账号使用,该账号可使用您共享的自定义镜像,快速创建运行同一个镜像环境的ECS实例
AccessKeySecret 是用来鉴权校验的,AccessKeyId是用来区分用户的。阿里云accessKeyId 和accessKeySecret 是您访问阿里云Api的唯一凭证。AccessKeyId是类似身份的标识。而accessKeySecret的作用是签名您的访问参数,以防被篡改。类似您的登录密码,不要向任何人泄露;
根据
实例创建快照时,实例必须处于运行中或已停止状态
;
数据即服务(DaaS)是一种云战略,用于以及时,受保护和负担得起的方式促进业务关键性数据的可访问性。DaaS依赖于这样的原则:无论消费者和提供者之间是否存在任何组织和地理分离,都可以按需向用户提供指定的有用数据;
扩容系统盘是需要ECS处于停滞的状态
,所以会中断ECS中的服务
实人认证服务是指依托活体检测,人脸对比生物识别技术,证件ocr识别技术等进行的自然人真实身份的校验服务,目测仅支持对拥有中华人民共和国第二代居民身份证法的人士进行认证;
如果在创建Windows实例时配了数据盘,您需要先格式化分区数据盘后才能正常使用数据盘;
挂载云盘(磁盘)需要实例状态必须为运行中或者已停止,不能为已锁定;
只有稳定(运行中、已停止)状态才能挂载磁盘,其他状态都不行;
停止中,启动中,准备中是中间状态,其他都是
稳定状态(运行中,已停止,已过期)
ECS外部系统可以通过API在请求时传入参数来指定返回的数据格式,默认为XML格式;
您可以将不希望被移出伸缩组的ECS实例转为保护状态,处于保护状态的ECS实例负载均衡权重不受影响,弹性伸缩不会检查处于保护状态的ecs实例健康状态,也不会释放ecs实例
;
将暂时不用的ECS实例转为备用状态,处于备用状态的ECS实例负载均衡权重会被置零。弹性伸缩不会检查处于备用状态的ECS实例健康状态,也不会释放ECS实例
CC攻击主要用来攻击页面的, 可以归为DDoS攻击的一种。他们之间的原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。 当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
SNI技术是为了解决一个服务器使用多个域名和证书的Secrue Socket Layer(SSL)/Transport Layer Security(TLS)的一个扩展,它允许服务器在同一个IP地址和TCP端口数下支持多张证书,从而允许多个HTTPS网站,或其他服务在TLS的网站,被同一个IP地址而不需要所有的网站使用相同的证书;
ECS的更换系统盘是指为ECS实例重新分配一块系统盘,系统盘ID会更新,旧系统盘会被释放,系统盘的云盘类型,实例ip地址以及弹性网卡MAC地址保持不变;
在阿里云上恢复数据有多种方式,例如:通过ECS管理控制台回滚已创建的快照,恢复自定义镜像等方式;在linux下,基于开源的数据恢复工具有很多,常见的有debugfs,R-Linx,extrgrep、extundelete等;
操作系统级别监控指标包含内存使用率、平均负载、磁盘IO读写,磁盘使用率、TCP连接数、进程总数等;
伸缩配置具有以下几种状态:Active:生效状态,伸缩组会采用处于生效状态的伸缩配置自动创建ECS实例;Inactive:失效状态,该伸缩配置存在于伸缩组中,但伸缩组不会采用处于失效状态的伸缩配置自动创建ECS实例;
弹性伸缩目前只支持ECS及其数据盘的弹性伸缩,不支云数据库RDS,负载均衡等云产品;
在冷却时间内,伸缩组会拒绝由云监控报警任务触发的伸缩活动请求。但其他类型任务(手动执行任务,定时任务)触发的伸缩活动可以立即执行,绕过冷却时间;
删除伸缩组的条件:a.伸缩组没有任何伸缩活动正在进行,b. 伸缩组当前的ECS实例数量为 0
云计算的特点:大规模,虚拟化,高可靠性,通用性,按需服务,高可伸缩性,廉价性,云计算是支持多租户而不是仅支持单租户;
正常情况下用fdisk -l 命令,可以查看到新增的硬盘。/dev/xvda为系统盘,/dev/xvdb,/dev/xvdc...../dev/xvdz都是数据盘。所以/dev/xvda 为系统盘不会用来挂载做数据盘用;
一台ECS实例最多能挂载16块云盘作数据盘用,且云盘只能挂载到同一个地域下同一个可用区内的实例上,不能跨可用区挂载;
用户通过ECS管理控制台查看其拥有的某个区域拥有的所有ECS实例的步骤的顺序是:
登录进入ECS管理控制台,选择对应的ECS实例管理,最后再选择地域;
如果旧系统盘设置了自动快照随磁盘释放,则自动快照会被自动删除,如果没有设置自动快照随磁盘释放,那就不会被自动删除了;
SSD云盘与普通云盘共同的优势:1.三副本机制;2.最大提供32768GB存储空间;SSD云盘独有的优势为:SSD云盘的随机和顺序读些的IOPS都比普通云盘高;2.访问时延可以达到0.5-2ms;
伸缩活动执行伸缩规则、手动添加或移除已有ECS实例时,均会触发实现扩张或收缩;
实例健康状况侧重于网络配置的异常活动
、软件崩溃和硬件使用情况等。通过监视实例健康状况,可及时记录网络、软件、或硬件的问题;
修改配置操作完成后,
必须
通过管理台重启实例
或使用Reboot Instance接口重启实例,新配置才能生效。而非操作系统内重启;
磁盘序列号特性可以用于在操作系统内为磁盘(包括云盘和本地盘)提供唯一身份标识,从而达到识别和区分不同磁盘的目的;序列号特性使用限制说明:
只支持新创建的磁盘,已创建过的磁盘不具有该特性;
停机不收费仅面向于按量付费的ECS,包年包月的ECS关机仍然继续收费,只有在ECS实例到期后才不继续收费;
您需要在阿里云上创建云服务器ECS实例,可能导致您创建的云服务器ECS实例的所产生的费用不同的原因可能有:1.云服务器ECS实例的地域;2.云服务器ECS实例的付费模式;3.云服务器ECS实例的镜像类型;4.云服务器ECS实例的公网带宽不同;----ECS实例上的应用不同不会影响到ECS定价;
购买ECS时需要指定的有:CPU,内存,地域,镜像
;注意IP地址是购买ECS随机分配的,不支持指定;
选择阿里云本地磁盘或者本地SSD盘的ECS实例,一旦创建后,不能修改实例规格
,由于本地SSD盘采用物理服务器本地盘的方式,购买带有本地SSD盘的实例(包含系统盘和数据盘)无法升级磁盘/CPU/内存等配置,仅支持带宽升级;
ECS上面挂载一块数据盘,可以使用和它同一个可用区的非系统盘快照来创建
。
快照和镜像的使用
:a.需要先创建包含系统盘数据的快照,才能创建自定义镜像;b.使用系统盘快照创建自定义镜像时,可以添加数据盘快照;c.使用系统盘快照,可以创建自定义镜像;
另外,
系统盘需要通过镜像来生成,新数据盘用快照生成;
弹性自愈即当检测到某台ECS实例处于不健康状态时。弹性伸缩自动释放不健康ECS实例并创建新的ECS实例,自动添加新ECS实例到负载均衡实例和RDS实例的访问白名单中;
实例启动模版是一项持久化ECS实例配置的功能,可用于快速创建实例。实例启动模版中包含了用于创建实例的配置信息,可以存储除了密码以外的任意配置信息,包括密钥对,RAM角色,实例类型和网络设置等;
弹性伸缩的伸缩配置支持多种特性,例如:标签,密钥对,实例RMA角色和实例自定义数据相关链接;(事件通知不包含)
ECS实例转为备用状态
后,如果ECS实例所在伸缩组配置了负载均衡,则该ECS实例的负载均衡权重会被置零;该ECS实例保持备用状态,直至您将其移出备用状态。弹性伸缩不会管理ECS实例的生命周期,而是由管理员管理;
伸缩组内发生伸缩活动时,不会移出处于备用状态的ECS实例;
需要预先从伸缩组内移出该ECS实例才能将其释放;
服务器ECS实例可以是自己创建,也可以自动添加闲置的云服务器ECS资源
根据ECS实例加入伸缩组的方式,ECS实例可以分为自动创建的ECS实例和手动创建的ECS实例。对于手动创建的ECS实例,如果某用户想要设置伸缩组在弹性收缩时负责停止和释放ECS实例,
用户需要设置将ECS实例托管给伸缩组;
弹性伸缩中即支持自动伸缩,也支持手动添加闲置的ECS实例
,手动添加的ECS的规格配置不需要和伸缩配置中的配置相同
没有历史数据做参考,即无法确定需要伸缩的ECS的数量,所以选择
动态模式
最合适
如果多个定时任务在相近的时间内触发执行同一个伸缩组的伸缩规则,则
最早
触发的定时任务会先执行伸缩活动
。由于同一个伸缩组同一时刻内只能有一个伸缩活动,排在后面的定时任务会在LanuchExpirationTime内自动重试定时触发;
根据业务场景和使用场景,ECS实例可以分为多种实例规格族。根据CPU,内存等配置,一种实例规格族又分为多种实例规格。ECS实例规格定义了实例的基本属性:cpu和内存,但是ECS的实例只有同时配合块存储、镜像和网络类型,才能唯一确定一台实例的具体服务形态;
影响ECS实例产生费用不同的因素有:ECS实例的地域;ECS实例的付费模式;
ECS实例的镜像类型
;ECS实例的公网带宽
本地盘和云盘都支持SSD,
本地盘不支持快照,不支持副本
,就是一块普通的硬盘,坏了就坏了,请勿在本地盘上存储需要长期保存的业务数据;
一个伸缩组可以对应多个负载均衡SLB实例,但是两者必须在同一个地域;一个负载均衡实例只能绑定一个弹性伸缩的伸缩组;
如果弹性伸缩的ECS实例无法加入到RDS访问白名单,
自动创建的ECS会被回滚和释放。手动创建的ECS不会被回滚和释放;
为了提供更加高效灵活的伸缩服务,弹性伸缩配置新增了
实例自定义数据
。可以利用实例自定义数据自动完成ECS实例配置,从而安全快速地实现应用级别的扩容和缩容。可以使用伸缩配置或实例启动模版定义创建ECS实例时的通用模版,但是,面对复杂的业务情况,您可能希望在
启用ECS实例前进行更多自定义操作,这就需要使用生命周期挂钩;
冷却时间锁定的是同一个伸缩组的伸缩活动,对于多伸缩组内的不同伸缩活动不会锁定
ECS实例的运行状态是ECS实例从创建开始到释放结束的可能状态,并非ECS实例在伸缩组内的服务状态;
当用户释放云盘时,存储系统立即销毁元数据,确保无法继续访问数据;
虚拟化是云计算的底层结构,它是一种资源管理技术,是将计算机的各种实体资源,如服务器,网络,内存及存储等,予以抽象、转换后呈现出来,打破实体结构件的不可切割的障碍;使用户可以比原本的组态更好的方式来应用这些资源。
对于虚拟实例的实现方式包括:全虚拟化,半虚拟化,硬件辅助虚拟化
通过阿里云弹性伸缩服务自动创建的ECS
配置都是相同的;
在使用阿里云弹性伸缩创建伸缩组之后,
除地域属性之外,负载均衡实例,RDS数据库实例的属性也不可以修改;
创建弹性伸缩组时,不能指定实例的配置
云服务器的系统和传统服务器的系统内核都是一致的,所以不会存在云服务器可以运行传统物理服务器不可以运行的应用;
同一个云服务器ECS实例只能添加到同一个伸缩组中;云服务器ECS实例的状态必须为运行中才能添加到伸缩组中去;同一个伸缩组中云服务器ECS实例必须加入负载均衡的SLB白名单;
阿里云弹性伸缩的伸缩配置支持设置的镜像类型包括:自定义镜像;公共镜像;共享镜像;
不支持云市场的镜像
,主要是因为部分云市场的镜像是收费的,阿里云控制台没有云市场镜像的选项;
弹性伸缩组配置移除策略为”最早伸缩配置对应的实例“,为根据实例添加到伸缩组的时间判断,
优先移除先添加的ECS实例;
目标追踪规则
需要选择一项云监控指标,并指定目标值,弹性伸缩会自动计算所需的实例数量并进行扩缩容,从而将云监控指标维持在目标制附近
公网SLB与ECS之间的流量费用不仅有实例收费,流量计费,还有按带宽收费等;
云盘只能挂在到同一个地域下同一个可用区内的实例上,不能跨可用区挂载
磁盘也不能跨可用区挂载
在创建伸缩组之后,除地域属性之外,负载均衡实例,RDS数据库实例的属性也不能修改;但伸缩组名称和移出策略可以修改
服务器迁移中心SMC是阿里云自主研发的迁移平台。使用SMC可将您的单台或多台迁移源迁移至阿里云。
迁移
源概指您的待迁移IDC服务器、虚拟机,其他云平台主机或类型服务器
服务器迁移中心SMC是阿里云自主研发的迁移平台,可将单台或多台源服务器迁移至阿里云,
SMC支持的类型包括:linux ,windows
用户手动释放不会释放掉该ECS实例
修改
私网
ip需要保证ECS处于已停止状态
移出策略
配置为”最早伸缩配置对应的实例“,会根据ECS实例添加到伸缩组的时间判断,优先移出先添加的ECS实例
(不区分手动场景)
弹性扩张时,弹性伸缩使用伸缩组的组内实例配置信息自动创建ECS实例,实例配置信息支持实例的规格,
操作系统
,用户自定义数据等;
创建快照时,实例必须处理运行中或已停止状态
如果同时设置期望实例数并添加已有实例,期望实例数会自动增加
阿里云ECS的可用区是在用户购买时指定的,购买后不支持更改
自动快照是保存在OSS里面,但是是保护在独立于用户自己的OSS Bucket里面,而不是用户的Bucket里面;
大数据分析平台提供的是数据分析的功能,所以
大数据安全分析平台就是一个软件SaaS平台
在更换系统盘的时候,镜像是可以修改的;
扩容云盘只是创建一块新云盘,作为数据盘挂载到实例上,需要用户自行操作
分区格式化
在云盘的控制台可以通过快照进行磁盘备份,磁盘的回滚,也可以直接进行扩容,
无法进行共享;
定时任务独立于伸缩组存在,不依赖伸缩组的生命周期管理,
删除伸缩组不会删除定时任务
WAF防火墙可以防止恶意CC攻击
如果云服务器ECS实例中部署虚拟化程序,服务器出现的问题是不可预测的。阿里云强烈不建议在云服务器实例中部署虚拟化程序,这样会导致云服务器ECS出现不可预测的问题;
包年包月的ECS实例到期后因没有及时续费,或者按量付费的实例因账户欠费都会导致ECS实例变成已过期状态;
使用windows操作系统的时候,只有机器内存较低(低于2g)的时候,建议使用虚拟机内存;
回滚磁盘
必须要求云盘必须已经挂载到某台ECS实例上,而且已经停止实例。
传统虚拟机也支持自动备份;
ECS实例操作系统内是没办法查到公网ip的;
linux 云服务器数据盘未做分区和格式化,使用前请挂载数据盘;(
使用windows操作系统的时候,只有机器内存较低时(低于2g)的时候,建议使用虚拟内存)
南北向流量控制模块:主要用于实现互联网到主机间的访问控制,支持4-7层访问控制
;;;;
;东西向流量控制模块:主要是利用安全组对主机之间的交互流量进行控制,实现4层访问控制
数据库审计服务是一款专业,主动,实时监控数据库安全的审计产品,可用于
审计阿里云平台中的RDS
;;
ECS自建数据库
等产品;
弹性伸缩生命周期挂钩
和
OOS模板
可以帮助用户实现ECS实例的自动加入和移除Redis实例白名单
Bucket命名规则如下:
Bucket名称在OSS范围内必须全局唯一。只能包括小写字母、数字和短划线(-)。必须以小写字母或数字开头和结尾。长度为3-63个字符;同一个Bucket中的文件不能重名;且文件Object不支持重命名
OSS 使用基于纠删码,多副本的数据冗余存储机制,将每个对象的不同冗余存储在同一个区域内多个设施的多个设备上,确保硬件失效时的数据可靠性和可用性;
根据快照的增量原理,磁盘的第一份快照为全量快照,耗时较久。再次创建快照,相对耗时较短,但依然取决于和上一份快照之间的数据变化量,变化越大,耗时越久;快照存放在OSS上,快照不会自动保存到已有的OSS Bucket,快照存放的位置与您自建的OssBucket相互独立,您无需为快照创建新的Bucket
OSS的下行带宽都是没有限制的,上行的流量是免费的。同时OSS的Bucket空间是没有上限的;
单个Object的大小限制是48.8T
,但是每个Bucket 的容量是没有上限的。
阿里云OSS与自建存储相比,具有海量存储,低成本,安全,多线BGP接入,,
支持数据备份非OSS独有的优势
当一个Bucket开启访问日志记录功能后,OSS自动将访问Bucket中文件的请求访问记录,以小时为单位,按照设置的命名规则,生成一个Object写入用户制定的Bucket。日志每一小时自动生成一次,通过对生成的日志文件进行分析,可以轻松定位在OSS Bucket上的所有操作;
RAM(Resource AccessManagement),即用户身份管理与资源访问控制服务,如子帐号权限控制等
;
阿里云对象存储OSS是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务。与自建存储对比,OSS在可靠性,安全,成本和数据处理能力等几个方面都具有优势,如:提供实时缩放图片的处理功能;提供实时的文字水印的图片处理功能;提供实时的图片水印的图片处理功能;
OSS安全性主要表现在三方面:
1.提供企业及多层次安全防护,2.多用户资源隔离机制,支持异地容灾机制。3.提供多种鉴权和授权机制及白名单,防盗链,主子账号功能等
;(
OSS可以直接使用oss的ip白名单功能进行文件配置)
每个Bucket存储空间的名字全局唯一,bucket 存储空间一旦创建成功,名称和所处地域不能修改
OSS域名绑定(CNAME)功能目前仅支持OSS以三级域名访问方式进行绑定。即您的OSS访问方式为(Bucketname).S(region).aliyuncs.com。OSScname绑定的域名不是必须经过阿里云备案,而是必须经过工信部的备案。
阿里云对象存储OSS,拥有丰富,强大的增值服务,比如图片的处理,但是
不支持对 原图大小40M,及需要使用图片旋转的原图宽4096px,高5000px的图片的处理
关于OSS图片处理APIChannel,一个用户最多可创建10个Channel,Img名称在整个图片处理服务中具有全局唯一性,且不能修改,
每个channel中存放的object数量和大小总和没有限制;
云存储特点:a.超大规模:云存储具有相当的规模,单个用户存储的数据可达TB级别甚至PB级别;b.高可扩展性:云存储的规模可以动态伸缩,满足数据规模增长的需要;c.高可靠性和高可用性:通过副本复制以及节点故障自动容错等技术,提供很高的可靠性和可用性;d.按需服务:云存储是一个庞大的资源池,用户可按需申请使用;e.透明服务:提供统一的接口,比如Restful接口的形式提供服务,后端存储节点对用户透明;
云服务器ECS服务的api服务地址是
ecs.aliyuncs.com
OSS可以对图片格式转换,缩放,
裁剪,旋转
,水印,样式封装等操作;
出去安全考虑,目前控制台针对私有bucket的获取url连接签名操作做了优化,使用的AccessKey是临时生成的密钥对,
主账号用户最长的有效时间是64800秒(18小时),RAM子账号及sts用户最长有效时间是1小时,超时后就无法访问了;
OSS 的CopyObject 接口可以发送一个Put请求给oss,并在put请求header中添加元素 x-oss-copy-source 来指定源object
;所以
使用Copy Object 来复制文件可以节省网络带宽的成本
;
对象是oss存储数据的基本单元,也被称为oss的文件。对象由元信息(ObjectMeta),用户数据(Data)和
文件
名(key)
组成
ECS需要通过内网访问OSS的Bucket的话,需要和此Bucket处于同一地域,就可以进行内网访问;
简单上传场景下上传文件最大不超过5GB
OSS中的文件夹其实是一个大小为0KB的空文件(叫文件、oject、元素都可以)
虽然OSS默认对每个存储的对象在物理盘上有多份副本,但合规性要求所规定的数据需要跨一定距离保存一份副本。
通过跨区域复制功能,可以在远距离的OSS数据中心之间复制数据以满足这些合规性要求
ftp 有两个端口,21号端口控制连接,。22号端口传输数据,读取目录内容以及传输数据
防盗链功能通过设置Referer白名单以及是否允许为空Referer,限制白名单中的域名可以访问您Bucket内的资源。OSS支持基于HTTP和HTTPS header中表头字段Referer的方法设置防盗链。是否进行防盗链验证的具体场景如下:仅当通过签名url或者匿名访问Object时,进行防盗链验证。当请求的header中包含Authorization字段,不进行
手工添加的ECS实例,不受伸缩配置中定义的规格的限制
磁盘的快照保存在OSS里面不会占用ECS存储空间
OSS使用样式对多张图片进行操作,用户可以使用指定处理参数的方式新建图片样式,
多个参数之间用 正斜线(/) 连接
修改已上传Object的元数据,可采用方法有两种:
1.将object下载到本地,删除原来的object,重新上传更改元数据后的object;2.通过CopyObject或者UploadPartCopy接口对Object进行拷贝,修改目标文件的元数据,再将源文件删除;
关于OSS图片处理APIChannel:
一个用户最多可创建10个Channel;且图片处理服务中名称具有全局唯一性,且不能修改;每个channel中存放的object的数量和大小总和没有限制;
Channel 是IMG上的命名空间,也是
计费,权限控制,日志记录
等高级功能的管理实体;
通过STS可以返回临时的AccessKey 和Token,这些信息可以直接发给临时用户来访问OSS;
当一个BUcket,开启访问日志记录功能后,OSS自动将访问Bucket中文件的请求访问记录,以小时为单位,按照设置的命名规则,声称一个Object写入用户指定的bucket,
日志
每一小时自动生成一次
,通过对生成的日志文件进行分析,可以轻松定位在OSS Bucket上的操作;
基于OSS并使用MaxCompute构建PB级别数据仓库。通过MaxCompute对OSS上的海量数据进行分析,将您的大数据分析工作效率提升至分钟级别,帮助您更高效、更低成本的挖掘海量数据价值;
OSS直接通过Web前端技术上传文件到OSS的方案包括:
1.使用表单上传方式,将文件上传到OSS;2.利用OSSBrdser.js SDK将文件上传到OSS;3.通过支付宝小程序上传文件到OSS;
开启OSS的存储空间版本控制特性后,
针对数据的覆盖和删除操作,会以历史版本的形式保存下来;开启Bucket版本控制后,无法返回到非版本化状态
Bucket容量是没有上限的,所以无需再创建时指定;
用户只有通过URL签名或者匿名访问Object时,才会做防盗链验证
Bucket可设置的属性:1.读写权限ACL设置,2.防盗链设置;3.自定义域名;(不支持header设置)
对象存储OSS中的
低频访问存储类型适合保存每月访问1-2次类型的数据
用户可以配置
云监控
实时关注ECS实例使用情况,当
云监控
检测到伸缩组内的ECS实例cpu使用率突破80%时,
弹性伸缩
根据用户配置的伸缩规则弹性扩张ECS资源,自动创建合适数量的ECS实例
OSS每小时结算一次OSS API的请求费用,目前只支持按量付费
OSS分块上传的场景:
1.断点上传,2.网络条件较差,经常断开连接,3.上传超过100M文件
当文件上传传输慢时,可以开启OSS服务的传输加速服务
OSS存储网关的核心功能是实现传统文件存储协议与对象存储OSS使用的http协议之间的转换;
如果客户想对访问OSS的ip进行限制,只允许有限的几个ip地址下载oss的文件,可以通过
Bucket授权策略 中的ip访问条件
来实现(
非ip白名单
)
云服务器ECS实例与OSS之间的请求次数,不分内外网都会计费
存储空间是用户用于存储对象的容器,存储具有各种配置属性,包括
地域
,
访问权限
,
存储类型
等;
OSStil 命令配合
-C 表示配置文件路径
;
-ACL 表示配置ACL信息
Bucket 开启版本控制后,被覆盖或删除的文件都会成为 历史版本被保存下来;
开启Bucket版本控制后,无法返回到非版本化状态
OSS防盗链验证场景:
通过url签名访问object
;
匿名访问object
使用工具管理OSS资源时,OSS提供图形化工具,命令行工具,
文件挂载工具和FTP工具
等方便您管理OSS资源
OSS 中object支持的特性有:强一致性,原子性(
不包含有序性,最终一致性
)
在使用云服务器ECS的过程中,如果发现ECS感染了木马病毒,建议用户最先采取措施为:a.修改系统管理员账户的密码;b.修改远程登陆接口 c.检查是否有陌生的异常进程在运行 d.安装查杀病毒木马软件,对服务器进行全盘病毒扫描和查杀;
DDoS高防IP服务提供IP级别的流量清洗策略调整功能,针对DDoS攻击提供四种四层清洗模式供用户选择,默认清洗模式为正常模式;
触发清洗阈值:指的是触发流量清洗所需要的最低值,包括每秒流量,每秒报文数量,每秒http请求数三个触发清洗的阈值,用户云服务器的流量超过三个中的任意一个,都会触发清洗;
流量清洗的触发指标有公网ip每秒处理的报文数量PPS和公网IP每秒处理的流量值bps;
阿里云的云盾免费的DDoS基础防护提供最高5G的默认DDoS防护能力,所以5G已下可以选择云盾DDoS的基础防护,5G以上可以选择云盾的DDOS高防ip服务;
DDoS高
防
ip是需要付费购买的功能,基础DDoS防护是可以免费开通的;DDoS基础防护是在云产品购买后自动开通的,无需手动开通;
阿里云的云盾DDoS高防护ip是阿里云在”基础上DDoS防护“之上提供的高级防护产品,支持四层和七层的抗攻击能力,防护多种DDoS类型攻击,包括但不限于以下攻击类型UDPFlood,TCPFlood,SYNFlood,ACKFlood等,支持弹性按天计费,且提供实时净赚的流量报表及攻击详情,让您即使准确获得当前服务详情;
DDoS攻击并不是尝试破解服务器密码,窃取机密信息或是破坏数据库。DDoS攻击时一种针对目标系统的恶意网络攻击行为,DDoS攻击经常会导致被攻击者的业务无法正常访问,也就是所谓的拒绝服务;
阿里云的云盾的先知计划,
它的目的是帮助企业建立私有的应急响应中心
;是调动众多网络安全专家一起维护互联网平台和业务的安全,降低客户的安全损失,为企业提供众测服务;云盾先知计划的特点:
a.私有的安全中心,b. 可靠的安全专家,由实名认证过的白帽子和阿里云授权的安全公司组成;c.按效果付费,d.具有完善的漏洞闭环,从漏洞发现到解决建议的完整连接
;
云
盾安骑士
是阿里云推出的一款服务器安全管理产品,
安骑士的主要功能包括:a.木马文件的查杀,b.密码破解的发现与处理,c.异地登陆提醒,d.安骑士企业版可以检测并修复漏洞DDOS
阿里云负载均衡SLB的WAF可以提供针对SQL注入,跨站脚本,WEBShell,CSRF 等攻击类型的安全防护;
阿里云的
云盾数据风控产品
,对业务请求进行风险判断时,可以调用数据风控产品提供的API进行”服务风险识别结果“查询,
风险识别平台可对不同状态(可信、可疑、恶意)的请求进行不同的处理;
可信:可以直接进入业务流程,对用户无感知;可疑:需要进一步验证或打标记观察;风险:可以直接拦截或将业务权限级别调低;
态势感知
具备异常登录检测,网站后门查杀,进程异常行为,敏感文件篡改,异常网络连接,linux软件漏洞,windows系统漏洞,应急漏洞,web漏洞扫描,主机基线,云产品基线,资产指纹,ak和账号密码泄露,数据大屏,日志检索,全量日志分析,回溯攻击历史;
阿里云的安骑士
是云盾提供的用来保护服务器的产品,包含的功能如:木马文件检查,异地登录报警,防操作系统密码暴力破解,,
防Web应用系统的密码破解属于防火墙的功能
;(
注意:安骑士不具备DDOS防护功能
)
阿里云的云盾安骑士防暴力密码破解功能可以保护:windows远程桌面服务,linux远程控制服务,文件传输服务,mysql数据库服务,SQLServer 数据库服务等;;
不包含 web服务
CC注册攻击防范是WEB应用防火墙的功能
服务器安全托管不属于云盾功能,而是属于安全管家的功能;服务器安全托管是阿里云云盾的一项高级服务,服务内容包括专家人工安全体检,清除木马,vip技术支持等。
阿里云的云盾补丁管理服务里发布的补丁来自
阿里云自己的研发
每个ECS实例最多可以加入5个安全组,当超过5个了以后就无法继续加入其他安全组;且ECS至少加入一个安全组
;
阿里云的云监控产品的自定义监控是提供给用户自由定义监控项脊报警规则的一项功能,用户可以对自己关心的业务进行监控,将采集到监控数据上报至云监控,由云监控进行数据的处理,并根据结果进行报警;
自定义的监控项的数量是没有上限的,上报监控数据的程序可以部署在阿里云的云服务器以外的机器;
用户开启内容安全(绿网)后,不会占用云服务器ECS实例的CPU资源
云防火墙是用户上云后的首个安全组件,支持全网流量识别,统一策略管控,
入侵检测
,日志等核心功能;
渗透测试是通过模拟恶意黑客
的攻击方法,来评估计算机网络安全的一种评估方法
安全组是一种虚拟防火墙,由同一地域内具有相同保护需求并相互信任的实例组成,具备状态检测和数据包过滤能力,用于在云端划分安全域,其步骤为:1.创建安全组;2.添加安全组规则;3.ECS加入安全组;4.管理安全组;5.管理安全组规则;
如果云安全中心对agent没有按时上报其在线信息,云安全中心服务器端会在12小时后判定该服务器不在线,并在云安全中心控制台中将该服务器的保护状态变更为未受保护
事件订阅
是云监控推出的一种报警信息获取方式,将生产出的报警信息写入用户的消息队列,供用户自行消费,对接自己的报警通知系统;
WAF保护的是ECS上应用层的用户服务,而不能保护ECS的被保密破解;先知(安全众测)是一个帮助企业建立私有应急响应中心的平台(帮助企业收集漏洞信息),也不能保护ECS的被保密破解;
所以最安全的是提升ECS登录密码的复杂度,关闭ECS远程登陆管理的端口;
防敏感信息泄露是Web应用WAF防火墙提供的功能;防敏感信息泄露针对网站中存在的敏感信息(手机号,身份证号等)泄露,敏感词汇泄露提供脱敏和告警措施,并支持拦截指定的http状态码;
DDoS高防支持对已接入防护的网站业务设置精准访问控制策略。开启精确访问控制后,您可以使用常见的http字段(例如ip,url,regerer,use-agent,参数等)设置匹配条件
,筛选访问请求,并对命中条件的请求设置放行、封禁、挑战操作。精准访问控制支持业务场景定制化的防护策略,可用于防盗链,防护网站后台等;
云计算服务网络安全管理的基本要求,提出了:安全管理责任不变,数据归属关系不变,安全管理标准不变,敏感信息不出境 四条基本要求。不包含 运维管理方式不变
敏感信息泄露
属于web应用防火墙的功能,是需要收费的服务
安全大屏不支持展示资产,漏洞相关的数据
报警任务支持:CPU,内存,系统平均负载,内外网出和入流量,TCP总连接数和已建立连接数。系统盘读和写BPS,内网网卡收报数和发包数;;
磁盘IOPS不是具体的确定的属性,具体的要区分系统盘读和写BPS,系统盘读和写IOPS
云盾态势感知支持
手机短信,电子邮箱
报警方式,通过这些方式,用户可以在出现风险的第一时刻收到事件通知;
云防火墙是用户上云后的首个安全组件,支持全网流量识别,统一策略管控,
入侵检测
,日志等核心功能
每个ECS实例最多可以加入5个安全组,且ECS至少加入一个安全组
云盾加密服务的密钥有
客户
负责保管
DDoS高防ip服务默认清洗模式为正常模式
XSS攻击主要发生在
用户浏览器
云监控报警通知的方式有:手机短信,钉钉消息,电子邮件,
旺旺消息
态势感知支持的报警通知方式有:
手机短信,电子邮箱
(不包含钉钉消息)
云盾安骑士防暴力密码破解功能
不能保护web服务
,可以保护windows,linux,ftp,mysql,SQLServer等服务
云服务器ECS系统资源监控
DashBoard 页面不支持对TPS的监控
,可监控cpu,磁盘io,网络带宽等;
由于使用隧道封装技术对云服务器的IP报文进行封装,所以云服务器的数据链路层信息不会进入物理网络,实现了不同云服务器间二层网络隔离,因此也实现了不同专有网络间的二层网络隔离;
基于隧道技术和SDN技术,阿里云的研发在硬件网关和自研交换机设备的基础上实现了VPC产品;
弹性公网ip(EIP)提供高精度秒级监控功能,借助秒级监控功能,可以实时监控互联网业务流量变化,及时调整弹性公网ip的带宽峰值;
只有在同一个地域前提下,可用区之间的内网才是互通的。
可用区是指在同一地域内,电力和网络互相独立的物理区域。所以云产品一旦购买了,不支持更改可用区;
VPC之间默认是隔离的,不能直接通信,VPC中需要有一个路由器实现不同网络的互通;且云服务器ECS创建的时候需要制定所属的VPC;
路由器是阿里云专有网络VPC的枢纽,创建VPC时,系统会自动为每个VPC创建1个路由器;删除VPC时,会自动删除对应的路由器;不支持直接创建和删除路由器表;
阿里云转悠网络VPC支持多种的网络连接方式,打通VPC与传统数据中心的网络连接方式包括VPN与专线连接;
阿里云经典网络由阿里云统一规划和管理,更适合对网络易用性要求比较高的用户;专有网络是指用户在阿里云的基础网络内建立一个可以自定义的专有网络隔离网络;
所有接入CDN的域名都要经过域名内容审核。CDN目前不支持接入的域名包括但不限于:无法正常访问或内容不含有任何实质信息,游戏私服类,传奇游戏类、纸牌类游戏、盗版软件等,下载网站,P2P类金融网站,彩票类网站,违规医院和药品类网站,涉黄,涉毒等;
边界网关协议,简称BGP,使用BGP协议还可以使网络具有很强的扩展性,可以将IDC网络与其他运营商互联,轻松实现单IP多线路,做到所有互联运营商的用户访问都很快。所以BGP的接入,解决的主要问题是避免运营商的网络访问的所读瓶颈。
每个弹性公网ip只能绑定到同一地域的一个vpc网络的云产品实例上,不一定要求是在同一个可用区
两个在不同地域创建了专有网络vpc,如果希望实现两个vpc之间的私网通信,采用
高速通道实现vpc之间的私网通信
NetworkManager服务来实现网络的配置和管理,NetworkManager服务启动以后可能会导致系统内部的网络配置出现紊乱。
云服务器是BGP多线机房,全国访问流畅均衡,传统IDC是以单线和双线为主;
创建专有网络后,系统会自动为您创建一张默认路由表并为其添加系统路由来管理专有网络的流量,路由表由路由条目组成,每个路由条目指定了网络流量的目的地;
每个交换机只能绑定一张路由表;
删除VPC时,系统会自动删除对应的系统路由,不能创建系统路由也不能删除系统路由;
目前
云服务器ECS,数据库RDS,负载均衡SLB
都是支持专用网络VPC网络的;
不同专有网络之间通过隧道ID进行隔离。专有网络内部由于交换机和路由器的存在,所以可以像传统网络环境一样划分子网,
每一个子网内部的不同云服务器使用同一个交换机互联,不同子网间使用路由器互联;
交换机是组成专有网络的基础设施,用来连接不同的云资源实例。
专有网络是地域级别的资源,专有网络不可
以跨地域,但包含所属地域的所有可用区。
可以在每个可用区内创建一个或多个交换机来划分子网;
创建转有网络后,用户可以通过创建交换机为专有网络划分一个或多个子网。在设置交换机的ipv4网段时,用户需要了解交换机的网段限制,包括但不限于:
交换机的网段必须为VPC网段的子集;交换机的网段和要通信的网段不能冲突;
VPC可以像传统网络环境一样划分子网,
每一个子网内部的不同云服务器使用同一个交换机互联,不通过子网间使用路由器互联
;
不同专有网络之间内部网络完全隔离,可以通过对外映射的ip互联;专有网络内的ECS使用安全组防火墙进行
三层网络
访问控制;
网络五元组由
:源ip,源端口,目标ip,目标端口,
传输层协议
;互联网可以在此基础上对某些传输过程进行安全控制和防护;
EIP可以绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例和NAT网关上。
不支持绑定到经典网络的ECS的实例上
每个交换机网段的
第一个和最后三个IP地址为系统保留地址,
共四个保留地址;
后端ECS希望主动发起公网访问,用户可以通过配置/购买:
ECS公网带宽,NAT网关,弹性公网ip
进行实现;
将ECS实例从经典网络迁移到专有网络中,为避免迁移对用户的业务应用造成影响。用户需要提前评估对ECS实例的影响,对于ECS在迁移后的变化:
公网ip,实例id,用户名和密码都不会变化,私网ip会变化
同一个VPC内的交换机间默认内网是互通的;
同一个地域之间内网是互通的;
安全组内网络隔离是
网卡之间的隔离
每个交换机可以绑定一张路由表,每个路由器可以有多个路由表,且每个路由器是可以创建自定义路由表的
一般情况下默认路由在有外网情况下会先走外网网卡,如无外网则走内网网卡
;SLb四层流量走默认路由
两个不同地域的VPC之间的私网通信,需要通过高速通道实现VPC之间的私网通信;
云服务器ECS是BGP多线机房
,全国访问流畅均衡,
传统IDC是以单线和双线为主
黑洞是指服务器受攻击流量超过本机房黑洞阈值时,阿里云屏蔽服务器的外网访问。当服务器进入黑洞一段时间后,如果系统监控到攻击流量停止,黑洞会自动解封;
VPC下的云服务器ECS实例可以绑定EIP实现公网的访问,可以将其配置成网关,实现vpc其他云服务器ECS实例的公网访问;
BGP机房的服务器并不是都具备双机或多机冗错功能;
http dns 是面向移动开发者推出的一款域名解析产品,具有域名方劫持、精准调度等特性。主要是用在客户端的时候请求url防止域名劫持情况;
Internet使用 TCP/IP 协议实现了全球范围的计算机网络的互联;
修改私网ip地址有两种方式:如果您不需要更换交换机,则直接修改私网ip即可。如果需要更换交换机,则可以变更云服务器ECS实例所在的交换机,然后直接修改云服务器ECS实例的私网ip
专有网络类型的ECS实例只能在创建时指定,这类实例只可以属于单个虚拟交换机;
路由器可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备;
默认交换机与非默认交换机支持相同操作方式,且规格限制一致
;默认交换机由阿里云为您创建,您自行创建的均为非默认交换机;如果您有已经创建的专有网络VPC和交换机,在创建专有网络VPC类型的云产品实例时,云产品实例就不会创建在默认交换机中;(
默认交换机创建在专有网络中
)
同一VPC内,不需要处于同一交换机下,走默认路由就行,然后安全组放行就能互通;
专有网络VPC是用户独有的云上虚拟网络,用户可以将云资源部署在自定义的专有网络中。创建专有网络后,系统会在路由表中自动添加一条以
100.64.0.0/10
为目标网段的路由条目,用于VPC内的云产品通信;
VPC的交换机是一个3层交换机,不支持2层广播和组播;
删除交换机之前,必须先删除目标交换机所连接的云产品实例;
路由表中的每一项是一条路由条目,路由条目包括系统路由和自定义路由,路由条目指定了网络流量的导向目的地;
由 下一跳,下一跳类型,目标网段 三部分组成
VPC高级功能包括网络ACL、自定义路由表和DHCP选项集功能
专有云网络VPC类型的ECS实例有两种ip地址,分别为
私有IP 和公网ip
BGP线路
主要为OSS,和 DDoS高防ip提供服务
,实现不同运营商的网站都可以快速访问
如果您将经典网络公网ip转换为EIP,则无法保留该公网网卡和相应的mac地址
专有网络VPC提供的功能包括:
设置私有ip地址范围;划分网段;配置路由表
经典网络的ip都是随系统分配的,不支持用户自定义网段
;VPC网络可以支持用户自定义网络,按需配置网络,可自定义ip地址范围与路由表等;
当创建一个云产品实例时,如果没有可用的专有网络和交换机,可以使用默认专有我那刚落和交换机。在实例创建后,一个默认的专有网络和交换机也会随之创建好;
VPC会自动为用户创建1条系统路由,这条路由的作用为
用于专有网络内的云产品实例访问专有网络外的云服务(该云服务支持VPC内的云产品实例直接访问)
网络ACL规则仅过滤绑定的交换机中的ECS流量(包括SLB转发给ECS的流量)
由于使用隧道封装技术对云服务器的ip报文进行封装,所以云服务器的
数据链路层
信息不会进入物理网络,实现了不同云服务器间二层网络隔离
VPC需要与互联网联通通过
NAT网关绑定EIP实现
交换机
是组成专有网络的基础网络设备,用来连接不同的云资源实例。专有网络是地域级别的资源,专有网络不可以跨地域,但包含所属地域的所有可用区,可以在每个可用区内创建一个或多个
交换机
来划分子网;
客户可以通过
负载均衡将专有网络和公网打通
,通过
云企业网连接两个VPC
,通过
智能接入网关将本地IDC和云上专有网络打通
;
通过NAT网关使VPC与公网联通
高速通道是一款基于IP VPN的便捷高效的网络服务,用于在云上的不同网络环境间实现高速,稳定,安全的私网通信,包括跨地域/跨用户的vpc内网互通,专线接入等场景;
SLB 后端主动发起公网访问,可以通过配置
ECS公网带宽,NAT网关,弹性公网ip;
同一个账号在同一个地域的情况下,通过安全组实现内网互通,不在同一个安全组下面,组相互授权对方可以访问;
VPC的交换机是一个3层交换机,不支持2层广播和组播
;交换机创建完成之后,无法修改CIDRBlock,且CIDRBlock不可冲突重复
经典网络具有公网网卡,如果您将经典网络公网ip转换为EIP,则无法保留该公网网卡和mac地址;
通过物理专线
将自有数据中心和阿里云VPC连接起来,实现用户网络和阿里云专有网络之间的内网互通;
VPC中需要有一个
路由器
实现不同网络的互通
使用阿里云的负载均衡SLB实例时,通过会话保持可以实现与某个连接(session)相关的所有应用请求能够由同一台后端云服务器ECS实例进行处理。为了在七层协议转发中,实现基于cookie的会话保持,阿里云的负载均衡SLB提供了
Cookie 植入 和 Cookie 重写
的方式
SLB 默认的正常响应时间为1秒;
负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务,应用场景常见为:a.同城容灾,b.消除单点故障 c. 高访问量业务
在移除伸缩组的弹性伸缩中,伸缩组对应的伸缩配置使用的
自定义镜像里存放了执行脚本,并设置命令在操作系统关机时自动执行该脚本,其中该脚本中存放了此种状况下的处理逻辑;
负载均衡提供获取客户端真实ip地址的功能,针对4层(TCP)负载均衡服务,SLB后端云服务器ECS可以直接获取来访者的真实ip,七层协议通过X-forwarder-for来获取真实ip
slb转发规则在一般默认情况下,在有外网情况下会先走外网,如无外网再走内网,,slb四层流量走默认路由
负载均衡slb在四层TCP转发时是基于源IP的会话保持
,四层会话保持最长的时间是3600秒
流量转发
四层是通过lvs实现的,七层是通过tengine实现
,,,且只
有七层监听http或https支持配置url转发策略
只有7层监听(HTTP/HTTPS协议)支持配置URL转发策略;
每个SLB实例绑定的标签数量
有限制
;
只有7层监听(http/https)支持配置url转发策略
;
负载均衡Slb实例和服务器ECS搭配使用的时候,两者必须是在同一个地域;
一台服务均衡实例可以加入多个伸缩组;
使用阿里云的负载均衡SLB实例时,针对7层(http协议)服务,由于采取替换http头文件ip地址的方式来进行请求转发,所以
后端云服务器ECS实例看到的访问ip是负载均衡SLB实例的ip地址,而不是实际来访者的真实ip
;真实ip需要通过 x-forward-for的方式来获取真实ip
因为负载均衡系统会根据负载均衡实例类型来分配不同的服务地址(公网ip或私网ip),所以当您要进行负载均衡
实例类型切换操作时,必须通过先删除后创建的方式,在新建实例时重新选择负载均衡实例类型;
SLB中的四层负载均衡采用开源软件lvs,阿里云在LVS官方问题上进行了定制化包括:
1.采用LVS集群部署方式2.优化keepAlived性能
阿里云负载均衡支持的策略:轮训,加权轮训,加权最小连接数,,,,
注意不存在 最近最少使用算法
阿里云的负载均衡SLB包含了几个主要的部分:来自外部的访问请求、listener、loadBalancer、BackendServer;其中
listener 主要包括用户定制的负载均衡策略和转发规则;
阿里云CDN支持对同名更新的实时更新,用户只要做相关配置后,
在您不主动提交请求的时候,CDN不会自动去实现刷新请求
负载均衡SLB中的公网或者私网访问的选择是由用户在购买时候的选择,并不是系统自动选择;
七层服务可以关闭健康检查,四层服务无法关闭健康检查,
只有http和https监听支持关闭健康检查,udp和tcp监听无法关闭健康检查;
云服务器是关联在交换机下面的,vpc下面可以包含同一个地域多个不同可用区的交换机。所以想具备容灾的能力,可以考虑ECS在一个vpc下面跨交换机部署,是关联在交换机下面的,vpc下面可以包含同一个地域多个不同可用区的交换机,所以想具备容灾的能力,可以考虑ECS在
一个VPC下面跨不同可用区交换机部署,从而实现多可用区容灾
。
负载均衡SLB判断云服务器ECS实例是否可用的方法为:
四层是检查端口,七层是检查服务器端返回的状态码
云上用户目前因业务需要,将多个域名绑定到同一个负载均衡服务地址上,通过不同的域名区分不同的访问来源,并且使用https加密访问,这种情况,可以通过
配置扩展域名
实现。
通过CDN来进行请求时原图保护会失效,这种情况有可能是CDN回源到了私有Bucket,造成原图保护失效。原图保护功能仅针对匿名访问文件有效,对于带签名的访问时无效的;
如果负载均衡开启了黑名单访问,但访问策略组中没有添加任何ip,则负载均衡监听会转发全部请求;
四层服务的会话保持是基于源ip实现的,七层服务的会话保持是基于cookie实现的;
SLB API Server Certificate 一次只能上传一份服务器证书和对应的私钥
SLB实例的收费不仅有流量费还要实例费和规格费
SLB四层是通过slb中设定的转发策略和规则和报文中的目标ip地址和端口分发流量,七层是通过报文中真正有意义的应用层内容和负载均衡SLB中设定的转发策略和规则分发流量
当您对可用性的要求特别高,负载均衡实例自身的可用性保障机制可能无法满足您的需求时,
此时可以创建多个SLB实例,通过云解析DNS对访问进行调度,或通过全球负载均衡解决方案实现跨地域容灾备份;
负载均衡slb需要将不同的请求转发到不同的后端服务器上时,或需要通过域名和URL进行请求转发时,可以选择使用
虚拟服务器组
SLB的会话保持默认为关闭状态
,启动后,负载均衡会把来自同一客户端的访问请求分发到同一台后端服务器上进行处理;
阿里云负载均衡SLB的WAF可以提供针对
SQL注入,跨站脚本,WebShell,CSRF攻击类型的安全防护
;
SLB上传证书的方式有两种:1.通过负载均衡SLB的API上传,2.通过负载均衡SLB的管理控制台上传,(不包含ftp上传)
负载均衡SLB实例的服务能力与后端ECS实例的公网带宽无关;在使用负载均衡SLB实例的过程中,可以随时调整后端ECS实例的数目;不同操作系统的云服务器ECS实例可以同时作为负载均衡SLB实例的后端服务器
使用多个地域的云服务器ECS实例来部署服务,可以提升服务的可用性
服务监听Listener包含了
监听端口,负载均衡策略,健康检查配置
SLB负载均衡实例同时支持
挂载VPC和经典网络
的混挂
slb 负载均衡支持TCP监听方式,
TCP监听方式支持HTTP和TCP两种健康检查方式
SLB判断实例可用的方法:
四层是检查端口,七层是检查服务器端返回的状态码
SLB同时支持4层和7层的会话保持
如果某个用户开启了白名单或黑名单访问,但访问策略组中没有添加任何ip,则负载均衡会
转发所有请求
LVS集群内的每台LVS通过
组播报文
将会话同步到该集群内的每台LVS机器上,从而实现LVS集群内各台机器见得会话同步;
URL鉴权是CDN的功能;不是OSS的功能
SLB主备服务器只支持四层监听(TCP和UDP)
;;;;;SLB负载均衡支持TCP监听方式,
TCP监听方式支持 HTTP 和 TCP 两种健康检查方式
CDN节点系统关键组件有
:LVS 做四层负载均衡,Tengine 做七层负载均衡,Swift 做http 缓存
使用cdn 必须的操作步骤:
1.开通CDN服务,2.添加加速域名;3.配置CNAME
修改域名的DNS解析支持
手动添加网站
和
自动添加网站
如果相应的SLB实例服务端口使用的是七层http协议,那么lvs集群内每个节点会先将其承载的服务请求均分到Tengine集群,Tengine集群内每个节点再根据SLB策略,将服务请求按策略最终分发到后端ECS服务器;如果相应的SLB实例服务端口使用的是七层https协议,与http处理过程类似,差别是在按策略将服务请求最终分发到后端ECS服务器前,先调用Key Server 进行证书验证及数据包加解密等前置操作;
一般来说,LVS集群采用三次架构,主要组成部分为:
负载均衡器,服务器池,共享存储
一个SLB实例可以绑定多个伸缩组,,,
一个伸缩组同时只支持一个 SLB实例
用户上传证书的方式:通过负载均衡SLB的api上传;通过负载均衡SLB的管理控制台上传;
(不能通过ftp上传)
SLB负载均衡集群中ECS实例如果有公网ip,禁用公网网卡就会影响负载均衡服务,因为在有公网网卡的情况下,默认路由会走公网,
如果禁用就无法回包从而影响负载均衡
若4层健康检查异常,
传统虚拟机也支持自动备份;
;
ECS的安全组规则入方向配置错误
;(与网络类型无关)