Final
Docker
keepalived
sonarqube
Varnish
Openstack🗒️ACP笔记
type
status
date
slug
summary
tags
category
icon
password
这里写文章的前言:
一个简单的开头,简述这篇文章讨论的问题、目标、人物、背景是什么?并简述你给出的答案。
可以说说你的故事:阻碍、努力、结果成果,意外与转折。
📎 参考文章
🤗 总结归纳
全虚拟化 假设客户机指令被主机操作系统转换或者识别 所有虚拟机操作系统都通用,但是性能较差 因为需要识别和转换
半虚拟化 相比全虚拟化性能提升 但windows不支持 有局限性 基于修改操作系统内核 关键是CPU硬件
快照
COW 写时拷贝
写数据共2次
源 —> 快照
数据 —> 源
写两次数据会带来一定的性能损耗
读取快照 先读取快照中的数据 若快照没有数据 重写向到源卷中读取
快照越多读取越慢
快照不需要要做太多 也不需要保存太久
删除快照 会做数据合并 快照越多性能越慢
ROW 写时重写向 又称写时重写向
对数据卷的写请求重写向给快照预留存储空间
读取时,创建快照前数据从源卷读取,创建快照后从快照卷读
删除快照 先锁源卷 停止IO写入 根据映射表中的逻辑地址,将对应的数据从快照中拷贝到源卷,完成后,源卷解锁,恢复可用状态
COW的快照存放是原始数据,而ROW快照存放的新数据
快照有3种,只能3选1
普通 快 瞬间就完成 回滚后是关机
内存 慢 主要看内存大小 回滚后开机 快照占用空间大,会额外增加内存大小的存储空间
一致性 需要tools 完整保留数据
普通快照有可能会丢失数据 为什么
因为对密度计算,内存中的数据有可能没有落地到硬盘
underlay 物理网络,底层网络,负责互联胡同
overlay 虚拟网络,基于隧道实现,流量需要跑在Underlay上
DNS技术是CDN根本
证书是安全的基石
📝 主旨内容
云计算基础
传统IT系统面临的问题
- 资源利用率低
传统服务器的资源占用率不均衡,个别在30%-40%,大多在10%,企业所投资产的IT资源未得到有效利用
- 业务上线时间长
准备机房 购买设备 业务上线
整个周期下来需要几个月到几年时间
- 能耗高
传统IDC机房功率密度已经由以前的3-5KW/柜上升至10KV+/柜
单个机柜耗电量 1天=240KW.H=普通家庭电量X2月
- 故障恢复时间长
知道某个硬件损坏需要一定的时间
是否有备件 需要报修或者采购等
替换备件 更换备件时间,根据实际情况还需要重启系统或服务
架构对比
云计算
云计算 将原有的资源(计算、网络、存储)逻辑划分到一个资源池中,通过虚拟化技术将硬件解耦,以服务的形式进行提供
云计算五大特征
- 按需自助服务(On-demand Self-service)
用户可自动选择服务进行购买
- 广泛网络接入(Broad Network Access)
连接到互联网即可使用
- 资源池化(Resource Pooling)
资源池化分配资源给虚拟机
- 快速弹性伸缩(Rapid Elasticity)
当业务请求高峰时,快速增加服务避免服务压力过大导致响应慢
当精力请求低峰时,快速减少服务避免额外的费用,降低成本
- 可计量服务(Measured Service)
按需计费,使用多少资源付多少费用
可以有包月包年
云计算4类部署模式
- 私有云(Private Cloud)
企业利用自有或租用的基础设施资源自建的支持
- 社区云/行业云(Community Cloud)
为特定社区或行业所构建的共享基础设施的云
- 公有云(Public Cloud)
出租给公众的在大型的基础设施的云
- 混合云(Hybrid Cloud)
由两种或两种以上部署模式组成的云
简单理解可以比较停车场,公有云,面向所有的用户,私有云,面向企业的用户,混合云,两种以上
行业云,对某个行业云服务,针对行业的方案
云计算3种服务模式
- Iaas 云基础设施即服务 Infrastructure as a Service
出租处理能力、存储空间、网络容量等基本计算资源
- Paas 云平台即服务 Platform as a Service
为客户开发的应用程序提供可部署的云环境
- Saas 云软件即服务 Software as a Service
在网络上提供可直接使的应用程序
简单理解
Iaas 相当于厨房,厨具食材需要自己提供,自己制作一盘菜
PaaS 提供厨具食材,自已去制作一盘菜
SaaS 一盘成品即可食用的菜
云计算服务
云计算技术发展
云计算技术发展
云计算关键技术
🤗总结归纳
云计算总结 4部署-3总结-5特性-8个通用点
简单理解
IAAS其实一台虚拟机的基础资源
PAAS除了提供资源还提供应用程序相关的环境
SAAS操作软件,可以操作软件或数据等方面
计算虚拟化
传统物理架构
虚拟化架构
虚拟化
- 一种将硬件转变为软件(一种形式的资源抽象成另一种形式)的技术
- 虚拟化是资源的逻辑表示,其不受物理限制的约束
- 虚拟化创建了一层隔离层,把硬件和上层应用分离开来,允许在一个硬件资源上运行多个逻辑应用。
- 常见虚拟化:服务器虚拟化、网络虚拟化、存储虚拟化、桌面虚拟化等
主流厂商
计算虚拟化中的重要概念
物理服务器-服务器虚拟化
Hypervisor
- Hypervisor:虚拟化技术的核心、虚拟化层的具体体现
- 创造并运行虚拟机的软件、固件、或者硬件(维基百科)
- 以软件的形式,实现一套和物理主机环境完全一样的虚拟环境,物理主机有的所有资源、包括CPU、内存、网络IO、设备IO等,它都有
主流Hypervisor
上图Red Hat Enterprise V其实也是属于KVM,Red Hat Enterprise V核心技术是KVM
🤗总结归纳
云计算核心技术是虚拟化
虚拟化技术大部分就几家厂商,而且是国外的 微软hyper-v、思捷xen、红帽kvm、vmware esxi
参考文章
CPU、内存虚拟化
服务器虚拟化架构类型
虚拟机嵌套
CPU虚拟化
CPU
- Socket:槽 单路 双路
槽表示CPU槽位
单路表示单颗CPU
双路表示两颗CPU
- Core:物理核心 超线程
物理核心,单颗CPU有几个内核
超线程是一门技术
- Thread:线程
线程 假设单颗CPU有4个物理核心,一般来说只有4线程,若该CPU支持超线程,那么物理核心X2,即是8线程
此线程也决定了给虚拟机分配多少核心 vCPU
多核vs超线程?
2颗单核vs1颗超线程
2个线程性能接近2个核心
两颗单核单线程CPU
单核心超线程CPU 快
单核超线程
双核单线程快
NUMA新和性调度
两个单核跑不过一个双核的CPU
先有多核才有超线程
从性能来说多核比超线程好一点
NUMA亲和性调度
NUMA:Non-Uniform Memory Access,非一致内存访问
当前服务器架构中,一般有多个物理CPU及对应的内存资源
分配给指定CPU的内存与CPU通信最快
CPU绑定的所有内存和IO资源,可归为一个NUMA节点,也称为node
在双路的情况下,任一CPU可访问整个系统的内存,但远程内存访问的性能远低于本地内存访问
CPU与vCPU之间的关系
物理机—>物理CPU—>物理核心—>超线程==vCPU
超分场景
超分:虚拟化需求的资源总数超过物理机的资源总数
作用:增加虚拟机密度 劣势:会引用资源争用的情况 会抢资源
超分成本降低,当虚拟机不是满载的情况下可以设置,万一满载此时会很卡,资源争用,引起性能降低
主机内存超分配
- Host Memory和Guest Memory之间并不是一一对应
- 可以超额分配内存给VM
- 通过内存复用技术实现超分配功能
内存虚拟化
- 操作系统对内存的认识与管理达成以下两点认识
内存都是从物理地址0开始的
内存都是连续的
- 内存虚拟化需要解决两个的问题:
从物理地址0开始:物理地址0只有一个,无法同时满足所有客户机从0开始的要求;
地址连续:虽然可以分配连续的物理地址,但是内存使用效率不高,缺乏灵活性。
- 内存虚拟化:把物理机的真实物理内存统一管理,包装成多个虚拟机的内存给若干虚拟机使用
上图下面还有一层物理的内存地址
内存虚拟化
GVA—>GPA—>HVA—>HPA(Host Physical Address)
内存复用
内存共享
- 虚拟机之间共享同一物理内存空间,此时虚拟机仅对内存做只读操作
- 写时复制:当虚拟机需要对内存进行写操作时,开辟另一内存空间,并修改映射
简单来说 多个虚拟机共用一个内存地址,当有写数据,内存会分配一个新的内存用于写数据
内存置换 SWAP
- 虚拟机长时间未访问的内存内容被置换到存储中,并建立映射,当虚拟机再次访问该内存内容时再置换回来
内存气泡
- 将较为空闲的虚拟机内存释放给内存使用率较高的虚拟机,从而提升内存利用率
简单来说 当某个虚拟机内存利用率低时,可以将此内存空间给予其他虚拟机使用
🤗总结归纳
物理服务器
硬件 HostMachine
操作系统 Host OS
服务器虚拟化
硬件 Host Machine
虚拟机监视器 Hypervisor
虚拟机 Guest Machine
操作系统 Guest OS
全虚拟化 假设客户机指令被主机操作系统转换或者识别 所有虚拟机操作系统都通用,但是性能较差 因为需要识别和转换
半虚拟化 相比全虚拟化性能提升 但windows不支持 有局限性 基于修改操作系统内核 关键是CPU硬件
硬件辅助虚拟化 简单来说两层权限 虚拟特权指令和特权指令 无需要修改内核 硬件层面比全虚拟化和半虚拟化性能要好
需要CPU支持 EVC
从性能来说多核比超线程好一点
在双路的情况下,任一CPU可访问整个系统的内存,但远程内存访问的性能远低于本地内存访问
超分根据应用场景,尽量少用
内存超分一般在150%
内存利用有3种
内存共享 多个虚拟机共用一个内存地址,当有写数据,内存会分配一个新的内存用于写数据
内存置换 SWAP
内存气泡 当某个虚拟机内存利用率低时,可以将此内存空间给予其他虚拟机使用
阿里云综述
阿里云技术架构
飞天平台内核包含的模块覆盖了以下主要的功能:
- 分布式系统底层服务:提供分布式环境下所需要的协调服务、远程过程调用服务、安全管理服务和资源管理服务。这些底层服务为上层的分布式文件系统、任务调度等模块提供支持。
- 分布式文件系统:提供海量的、可靠的、可扩展的数据存储服务,将集群中各个节点的存储能力聚集起 来,并能够自动屏蔽软硬件故障,为您提供不间断的数据访问服务支持增量扩容和数据的自动平衡,提 供类似于POSIX的用户空间文件访问AP1,支持随机读写和追加写的操作
- 任务调度:为集群系统中的任务提供调度服务,同时支持强调响应速度的在线服务和强调处理数据吞吐量 的离线任务,自动检测系统中故障和热点,通过错误重试、针对长尾作业并发备份作业等方式,保证作业 稳定可靠地完成。
- 集群监控和部署:对集群状态、上层应用服务运行状态、上层应用服务性能指标进行监控,对异常事件 产生警报和记录;为运维人员提供整个飞天平台以及上层应用的部要和配置管理,支持在线集群扩容、缩 容和应用服务的在线升级、关于飞天各模块的洋细介绍,可以参考何里云官网中关于“专有云”的文档,也可以上网查询公开资料 或者阅读相关书籍。
阿里云产品架构
阿里云解决方案架构
阿里云自研解决方案:100个行业解决方案 110个通用解决方案
网络架构与设置详解
TCP/IP常见协议
TCP/IP协议栈定义了一系列的标准协议
OSI参考模型
TCP/IP参考模型
因为OSI协议栈比较复杂,且TCP和IP两大协议在业界被广泛使用,所以TCP/IP参考模型成为了互联网的主流参考模型
数据通信网络基本概念
- 数据通信网络: 由路由器、交换机、防火墙、无线控制器、无线接入点,以及个人电脑、网络打印机、服务器等设备构成的通信网络。
- 功能: 数据通信网络最基本的功能是实现数据互通
传输介质
同轴电缆 目前已淘汰
双绞线
光纤
串口电缆
网络设备 交换机
交换机:交换机(Switch) 就是一种在通信系统中完成信息交换功能的设备,它应用在数据链路层实现二层数据转发
- 对以太网帧进行高速而透明的交换转发
- 自行学习和维护MAC地址信息
早期使用的是HUB,以总线的方式接入
若HUB下面的的PC都发送消息,会产生线路产生拥堵情况,会有冲突域,如何解决
CSMD/CD 载波监听冲突检测技术 先听后发 边听边发 冲突停发
交换机可以隔离冲突域
多路复用:频分复用 时分复用 码分复用
交换机分类
- 按网络构成方式:接入层交换机、汇聚层交换机和核心层交换机
- 按照TCP/IP模型划分:二层交换机和三层交换机
- 按照交换机的外观划分:盒式交换机和框式交换机
盒式交换机
- 华为CloudEngine S5731-S系列交换机,即属于盒式交换机;
- 硬件系统由机箱、电源、风扇、插卡及交换主控单元SCU(Switch Control Unit)组成
框式交换机
华为CloudEngine S12700E系列交换机,属于框式交换机
网络设备 路由器
- 网关(Gateway):又称网间连接器协议转换器,是一个网络的关口在网络层以上实现网络互连由器:
- 路由器 (Router) 是连接两个或多个网络的硬件设备,在网络间起网关的作用口实现网络互连
- 对数据进行处理
- 依据路由表的信息,对数据包
- 进行外部网关协议和其他自治
下一传输目的地进行选择口
域之间拓扑信息的交换
路由器可以隔离广播域
路由器分类
- 按网络构成方式:接入层路由器、汇聚层路由器和核心层路由器
- 按照外观划分:盒式路由器和框式路由器
盒式路由器
- 华为AR 1200系列路由器,即属于盒式路由器。
- AR系列路由器采用多核CPU、无阻塞交换架构,融合Wi-Fi、语音安全等多种业务,具有灵活的扩展性,可以为客户提供All-in-One的灵活组网能力
框式路由器
- 华为NetEngine 8000系列路由器,属于框式路由器。
- 它是基于VRP路由平台、专注于城域以太业务的接入、汇聚和传送的高端以太网网络产品
网络设备 无线设备
AC设备
- 华为AC6605系列无线接入控制器
- 提供大容量、高性能、高可靠性。
- 易安装、易维护的无线数据控制业务。
- 具有组网灵活、绿色节能等优势
AP设备
- AP7050DE是华为发布的支持802.11ac Wave2标准的最新一代技术引领级无线接入点。
- 同时支持4×4 MU-MIMO和4条空间流,最高速率可达2.53Gbps。
- 内置智能天线,实现802.11n与802.11ac标准平滑过渡,可充分满足高清视频流、多媒体、桌面云应用等大带宽业务服务质量要求
网络设备 防火墙
防火墙:网络安全设备,用于控制两个网络之间的安全通信。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现对网络的安全保护。
- 隔离不同安全级别的网络
- 实现不同安全级别的网络之间的访问控制(安全策略)
- 用户身份认证
- 实现远程接入功能
- 实现数据加密及虚拟专用网业务
- 执行网络地址转换
- 其他安全功能
防火墙设备
华为USG6000系列防火墙,不仅可以防护使用者、设备端口和报文内容安全的风险特征,还可为小型企业、行业分支、连锁商业机构设计开发的安全网关产品,其集成多种安全能力于一身,全面支持IPv4/IPv6下的多种路由协议,适用于各种网络接入场景
服务器
华为公司服务器产品
- RH2288H
- TaiShan 200
eSight
eSight是华为公司研制的面向企业数据中心、园区/分支网络、统一通信、视讯会议、视频监控的一体化融合运维管理解决方案。可实现服务器、存储、虚拟化、交换机、路由器、WLAN、防火墙、eLTE终端设备、基站、业务引擎、机房设施、统一通信、智真、视频监控、应用系统等的统一管理,为企业ICT设备提供自动化部署,支持可视化故障诊断、智能容量分析等功能,能有效帮助企业提高运维效率、提升资源使用率、降低运维成本,保障ICT系统稳定运行
网络拓扑形态
按照网络的拓扑形态来划分,网络可分为星型网络、总线型网络、环形网络、树形网络、全网状网络和部分网状网络
局域网、城域网、广域网
按照地理覆盖范围来划分,网络可以分为局域网 (Local Area Network)、城域网
(Metropolitan Area Network) 和广域网(Wide Area Network)。
- 局域网(LAN):
- 在某一地理区域内由计算机、服务器以及各种网络设备组成的网络。局域网的覆盖范围一般是方圆几千米以内。
- 典型的局域网有:一家公司的办公网络,一个网吧的网络,一个家庭网络等。
- 城域网(MAN)
- 在一个城市范围内所建立的计算机通信网络
- 典型的城域网有:宽带城域网、教育城域网、市级或省级电子政务专网等
- 广域网(WAN):
- 通常覆盖很大的地理范围,从几十公里到几千公里。它能连接多个城市甚至国家,并能提供远距离通信,形成国际性的大型网络
- 典型的广域网有:Internet(因特网)
网络工程
在信息系统工程方法和完善的组织机构指导下,根据网络应用的需求,按照计算机网络系统的标准、规范和技术,规划设计可行性方案,将计算机网络硬件设备、软件和技术系统地集成在一起,以成为满足用户需求、高性价比的网络系统的组建工作
网络工程所涵盖的技术模块
🤗总结归纳
无线控制器 AC
无线胖AP 自己独立的管理 如家用的TPLINK
无线瘦AP 信号传输的功能 有统一的无线控制器AC
交换机 路由器 电源模块是150W
AC是500W 给瘦AP供电 POE
网络在云计算的重要性
路由器走三层
交换机走二层
简单来说 框式交换机是插槽的形式替换,而刀片式交换机是像抽屉那样替换的
IP编址
IP地址构成
- 一个IPv4地址有32 bit
- IPv4地址通常采用“点分十进制”表示
- IPv4地址范围:0.0.0.0~255255255255
- 网络部分:用来标识一个网络
- 主机部分:用来区分一个网络内的不同主机
- 网络掩码:区分一个IP地址中的网络部分及主机部分
IP地址分类
为了方便IP地址的管理及组网,IP地址分成五类
- A类:8 bit, 0.0.0.0~127.255.255.255/8
- B类:16 bit,128.0.0.0~191.255.255.255/16
- C类:24 bit,192.0.0.0~191.223.255.255/24
- D类:用于组播 224.0.0.0~239.255.255.255
- E类:用于研究 240.0.0.0~255.255.255.255
IP地址类型
例 192.168.10.0/24
网络地址 192.168.10.0
例 192.168.10.255/24
广播地址 192.168.10.255
例 192.168.10.1/24
可用地址 192.168.10.1
注意:
- 网络地址和广播地址不能直接被节点或网络设备所使用
- 一个网段可用地址数量为: 2n-2(n:主机部分的比特位数)
公、私网IP地址
- 公网IP地址:IP地址是由IANA统一分配的,以保证任何一个IP地址在Internet上的唯一性。这里的IP地址是指公网IP地址。(IANA是互联网号码分配机构(Internet Assigned Numbers Authority)的简称。它是一个全球性的技术组织,负责管理和分配互联网的一些关键技术资源,如域名系统根域、互联网协议地址、传输控制协议(TCP)端口号等)
- 私网IP地址:实际上一些网络不需要连接到nternet,比如一个大学的封闭实验室内的网络,只要同一网络中的网络设备的IP地址不冲突即可。在IP地址空间里,A、B、C三类地址中各预留了一些地址专门用于上述情况,称为私网IP地址
特殊地址
IP地址空间中,有一些特殊的IP地址,这些IP地址有特殊的含义和作用
为什么要子网划分
- 一个B类地址用于一个广播域,地址太浪费。一个B类地址有2的16次方65536个IP地址
- 广播域太庞大,一旦发生广播,内网不堪重负
- 将一个网络号划分成多个子网,每个子网分配给一个独立的广播域。
- 如此一来广播域的规模更小、网络规划更加合理。
- IP地址得到了合理利用
如何子网划分
- 向主机借位,形成子网
- 可变长子网掩码,VLSM(Variable Length Subnet Mask)
- 主机位全为0,计算子网网络地址
- 主机位全为1,计算子网广播地址
网络通用知识—网络地址转换NAT介绍
网络通用知识—VPN介绍
虚拟专用网络 (Virtual Private Network,简称VPN): 在公用网络上建立专用网络,进行加密通讯。
- 通过对数据包的加密和数据包目标地址的转换实现远程访问
- 利用隧道协议来达到发送端认证、消息保密与准确性等功能
- 可通过服务器、硬件、软件等多种方式实现
🤗总结归纳
IPV6 128位 XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX 十六进制表示
每组开头的0可以省略
连续为0的组,可以使用::代替 仅能用一次
IP地址分配需要 -2 网络位 广播位
VPC专用网络
阿里云上的网络服务—飞天云平台顶层架构中的洛神云网络
阿里云数据中心网络组件介绍
专有网络VPC概述—专有网络的概念
专有网络VPC(Virtual Private Cloud)是用户专有的云上私有网络:
- 用户可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等;
- 用户可以在自己定义的专有网络中使用阿里云资源,如云服务器、云数据库RDS和负载均衡等;
- 可以通过高速通道将专有网络连接到其他专有网络或本地网络,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展
每个专有网络都由至少一个私网网段、一个路由器和至少一个交换机组成。
- 私网网段:在创建专有网络和交换机时,需要指定专有网络使用的私网网段。
- 路由器:路由器(vRouter)是专有网络的枢纽。
- 交换机:交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源
规划网段【10.0.0.0/8】【172.16.0.0/12】【192.168.0.0/16】
专有网络与交换机
交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源实例
- 专有网络是地域级别的资源,专有网络不可以跨地域,但包含所属地域的所有可用区。
- 可以在每个可用区内创建一个或多个交换机来划分子网。
专有网络与路由
- 路由器(vRouter)是专有网络的枢纽。路由器可以连接专有网络的各个交换机,同时也是连接专有网络与其它网络的网关设备。路由器根据路由条目来转发网络流量。
- 路由条目(Route Entry)定义了通向指定目标网段的网络流量的下一跳地址。路由条目包括系统路由和自定义路由两种类型。
- 路由表(Route Table)路由表是指路由器上管理路由条目的列表
系统路由:
- 创建专有网络后,系统会自动创建一张系统路由表并为其添加系统路由来管理专有网络的流量。
- 一个专有网络只有一张系统路由表,不能手动创建也不能删除系统路由表。
自定义路由:
- 可以在专有网络内创建自定义路由表,然后将其和交换机绑定来控制路由
- 每个交换机只能关联一张路由表
- 路由表采用最长前缀匹配原则作为流量的路由选路 规则
VPC基本概念
VPC操作配置
创建VPC—>创建子网—>配置路由—>安全配置—>连通性测试
配置路由表
- 系统路由表
- 创建VPC后,系统会默认创建一张系统路由表来控制VPC的路由,VPC内所有交换机默认使用系统路由表。
- 用户不能创建也不能删除系统路由表,但可以在系统路由表中创建自定义路由条目
- 自定义路由表
- 用户可以在VPC内创建自定义路由表,将自定义路由表和交换机绑定,更灵活地进行网络管理
- 网关路由表
- 定义:用户可以在VPC内创建自定义路由表(即网关路由表),将自定义路由表和IPv4网关绑定。
- 作用:控制进入VPC的公网流量的路由,可以将公网流量重定向到VPC中的安全设备做统一安全防护
一个VPC最多10张路由表(含系统路由表)
一个交换机只能绑定一张路由表
多个交换机可以绑定同一张路由表
交换机默认与系统路由表绑定
配置路由条目
路由表中的每一项是一条路由条目。路由条目由目标网段、下一跳、下一跳类型三部分组成。
- 目标网段:即希望网络流量传输到的IP地址范围;
- 下一跳类型:即用于传输网络流量的云产品,例如,ECS实例、VPN网关或辅助弹性网卡等;
- 下一跳:即所选择的具体传输网络流量的云产品实例
路由条目包括系统路由、自定义路由和动态路由:
- 系统路由:分为IPv4路由和IPv6路由,不能修改系统路由。
- 自定义路由:添加自定义路由来替换系统路由或将目标流量路由到指定的目的地。
- 动态路由:通过云企业网学习的路由或者通过VPN网关、边界路由器BGP路由协议学习的路由
VPC安全配置
网络ACL
- 网络ACL是VPC中的网络访问控制功能。
- 可以自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中ECS实例的流量的访问控制
ECS安全组
- 安全组是一种虚拟防火墙,具备状态检测和数据包过滤能力,用于在云端划分安全域。
- 通过配置安全组规则,用户可以控制安全组内一台或多台ECS实例的入流量和出流量
RDS白名单
- 在VPC中使用云数据库RDS实例,需要将云服务器的IP地址加入到需要访问的RDS的白名单中,云服务器才能访问RDS实例,而其他IP地址将拒绝访问RDS实例
SLB白名单
- 负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。
- 用户可以为负载均衡监听设置允许转发请求的IP地址,适用于只允许特定IP访问应用的场景
VPC业务规划问题
- 应该使用几个VPC?
- 应该使用几个交换机?
- 应该选择什么网段?
- VPC与VPC互通或VPC与本地数据中心互通有什么要求?
单VPC网络规划
推荐使用一个VPC:
- 没有多地域部署系统的要求
- 各系统之间也不需要通过VPC进行隔离
多VPC网络规划
多地域部署系统
VPC是地域级别的资源,不支持跨地域部署
- 多地域部署系统,必须使用多个VPC
- 通过使用VPC对等连接、VPN网关、云企业网等产品实现跨地域VPC间互通
多业务系统隔离
同地域的多个业务系统需要通过VPC进行严格隔离:
- 生产环境和测试环境
- 通过使用VPC对等连接、VPN网关、云企业网等产品实现同地域VPC间互通
多VPC网络规划
VPC对等连接实现多个VPC之间互通
VPC对等连接
- 是两个VPC之间的网络连接,可以通过VPC对等连接,实现两个VPC之间私网互通;
- 支持跨地域、跨账号
多VPC交换机规划
- 即使只使用一个VPC,也尽量使用至少两个虚拟交换机,并且两个虚拟交换机分布在不同可用区,做到跨可用区容灾。
- 使用多少个虚拟交换机和系统规模、系统规划有关
规划VPC网段
- 建议您使用RFC私网地址作为专有网络的网段如10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,多VPC互通场景或混合云场景需确保地址规划不能冲突。
- 不能使用 100.64.0.0/10、224.0.0.0/4、127.0.0.0/8 或 169.254.0.0/16 网段作为VPC的网段
- 如果有多个VPC,或者有VPC和本地IDC构建混合云的需求,建议使用三个标准网段子网,掩码建议不超过16位,且彼此不冲突。
- VPC网段的选择还需要考虑到是否有地址冲突
规划交换机网段
交换机的网段必须是其所属VPC网段的子集。
- 例如VPC的网段是192.168.0.0/16,那么该VPC下的交换机的网段可以是92.168.0.0/17,一直到192.168.0.0/29
注意事项:
- 交换机网段的大小需在16位到29位网络掩码之间。
- 每个交换机网段的第1个和最后3个IP地址为系统保留地址。
- ClassicLink功能允许经典网络的ECS和10.0.0.0/8、172.16.0.0/12或192.168.0.0/16三个VPC网段的ECS通信。
- 交换机网段的规划还需要考虑该交换机下容纳ECS的数量
VPC与VPC互通或VPC与本地数据中心互通要求
有VPC与VPC互通或VPC与本地数据中心互通的需求时,请确保VPC的网段与需要互通网络的网段没有冲突。建议遵循以下原则:
- VPC可以使用标准网段的子网来增加VPC可用的网段数,请尽量做到不同VPC的网段不同。
- 如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同。
- 如果不能做到不同VPC的交换机网段不同,则保证要通信的交换机网段不同
私网类产品选择
公网类产品选择
VPC网络下,可以通过弹性公网IP、NAT网关、公网负载均衡(SLB)和ECS固定公网IP等方式连接公网。
结合共享流量包和共享带宽两个产品节省公网成本
实例
创建VPC1
创建VPC2
对等连接
查看下拓扑
🤗总结归纳
VPC不能跨地域,地域是城市的意思
不同可用区是可以联通的,但不能跨地域,若需要跨地域需要其他连接产品
单VPC没有多地域要求和各系统之间无需要隔离
多VPC有多地域要求,需要VPC之间连接通过对等连接、VPN、云企业网等产品跨地域连接
多VPC有多业务要求,需要VPC之间连接
不同VPC联通可使用对等连接
对待连接同地域免费,跨地域收费
删除对等连接需要先删除路由条目,不影响业务可以在对等连接直接删除
删除VPC需要先删除交换机,在删除VPC
参考文章
NAT网关
VPC NAT网关
VPC NAT网关监控与运维
使用阿里云云监控服务来监控VPC NAT网关:
- 云监控可以从VPC NAT网关中实时收集监控指标
- 在VPC NAT网关控制台生成可视化的时序曲线图
- 可以根据各监控指标来排查问题
NAT网关配置流程
创建NAT网关—>绑定EIP(可选)—>SNAT条目(可选)—>连通性测试
有两种NAT SNAT和DNAT
创建NAT网关—>绑定EIP—>通过公网NAT网关的SNAT功能—>实现VPC内的多ECS实例共享EIP上网
创建NAT网关—>绑定EIP—>配置公网NAT网关的DNAT功能—>通过端口或IP映射面向公网提供服务
创建公网NAT网关实例
公网NAT网关支持以下两种配置方式:
- 非VPC全通模式:创建公网NAT网关时,只购买公网NAT网关。购买成功公网NAT网关之后,需要手动将EIP绑定至公网NAT网关,之后配置SNAT条目。
- VPC全通模式:创建公网NAT网关时,购买公网NAT网关且直接绑定EIP至公网NAT网关,之后系统使用绑定的EIP配置SNAT条目
为公网NAT网关绑定EIP
公网NAT网关作为一个网关设备,需要绑定EIP才能正常工作
为公网NAT网关创建SNAT条目
- VPC粒度:公网NAT网关所属VPC下的所有ECS实例可以通过配置的SNAT规则访问互联网。
- 交换机粒度:指定交换机下的ECS实例通过配置的公网IP访问互联网。
- ECS粒度:指定的ECS实例通过配置的公网IP访问互联网。
- 自定义网段粒度:输入任意网段后,该网段的下ECS实例都可以通过配置的SNAT规则访问互联网
VPC NAT网关应用实践
🤗总结归纳
SNAT 内外通过公网IP访问外网 实现内网上网
DNAT 外网通过公网IP及商品访问内网服务 将内网服务暴露出去
您在创建VPC NAT网关时需要选择VPC,还需要指定VPC内的交换机,为了便于路由配置,建议您使用独立的交换机供VPC NAT网关使用
参考文章
负载均衡
负载均衡SLB(Server Load Balancer)
是一种对流量进行按需分发的服务,通过将流量分发到不同的后端服务器来扩展应用系统的吞吐能力,并且可以消除系统中的单点故障,提升应用系统的可用性
应用型负载均衡ALB(Application Load Balancer)
应用型负载均衡ALB(Application Load Balancer)是阿里云推出的专门面向HTTP、HTTPS和QUIC等应用层负载场景的负载均衡服务,具备超强弹性及大规模应用层流量处理能力,并提供最高99.995%的SLA可用性保障。ALB具备处理复杂业务路由的能力,与云原生相关服务深度集成,是阿里云官方提供的云原生Ingress网关
概念 | 说明 |
实例 | 面向七层,提供了超强七层负载均衡能力,通过将流量分发到不同的后端服务器来扩展应用系统的服务吞吐能力。单实例可处理高达100万QPS。 |
监听 | 监听是ALB最小业务单元,监听上需要配置协议与端口以告知ALB需要处理什么流量,例如HTTP协议,80端口。每个ALB至少有一个监听,才能开始流量处理与分发。每个ALB最多可以配置50个监听,用于处理不同的业务流量。 |
转发规则 | 转发规则用于确定ALB实例如何将请求路由到一个或多个后端服务器组中的后端服务器。ALB具备强大的高级路由能力,在传统的路由规则基础上,还可以基于HTTP标头、Cookie和HTTP请求方法等多种规则进行转发,实现基于业务的灵活调度。 |
服务器组 | 服务器组是一个逻辑组,包含多个后端服务器用于处理ALB分发的业务请求。ALB中服务器组独立于ALB存在,可以将同一服务器组挂载在不同ALB内。服务器组最大可以包含1000个后端服务器。ALB服务器组支持云ECS、ECI、ENI等多种类型的后端服务器。 |
健康检查 | ALB通过健康检查来判断后端服务器的业务可用性。ALB探测服务器组中不健康的服务器,并避免将流量分发给不健康的服务器。ALB支持丰富灵活的健康检查配置,如协议、端口、以及各种健康检查阈值。同时ALB提供健康检查模板,可将健康检查模板快速地应用到不同的服务器组。 |
网络型负载均衡NLB(Network Load Balancer)
网络型负载均衡NLB(Network Load Balancer )是阿里云面向万物互联时代推出的新一代四层负载均衡,支持超高性能和自动弹性能力,单实例可以达到1亿并发连接,帮您轻松应对高并发业务
概念 | 说明 |
实例 | NLB面向四层,提供了强大的四层负载均衡能力,通过将流量分发至不同的后端服务器来扩展应用系统的服务吞吐能力。单实例最大支持1亿并发连接。 |
监听 | 监听是NLB最小业务单元,监听上需要配置协议与端口以告知NLB需要处理什么流量,例如TCP协议,80端口。NLB支持TCP、UDP、TCPSSL协议。每个NLB至少有一个监听,才能开始流量处理与分发。每个NLB默认最多可以配置50个监听,用于处理不同的业务流量。 |
服务器组 | 服务器组是一个逻辑组,包含多个后端服务器用于处理NLB分发的业务请求。NLB中的服务器组独立于NLB存在,可以将同一服务器组挂载在不同NLB内。每个服务器组默认最多可以添加1000个后端服务器。NLB服务器组支持云服务器ECS(Elastic Compute Service)、弹性容器实例ECI(Elastic Container Instance)、弹性网卡ENI(Elastic Network Interface)和IP类型的后端服务器。更多信息,请参见:
• 什么是云服务器ECS
• 什么是弹性容器实例ECI
• 弹性网卡ENI概述
• IP类型后端服务器说明 |
健康检查 | NLB通过健康检查来判断后端服务器的业务可用性。NLB探测服务器组中不健康的服务器,并避免将流量分发给不健康的服务器。NLB支持丰富灵活的健康检查配置,如协议、端口、以及各种健康检查阈值。 |
传统型负载均衡CLB(Classic Load Balancer)
组成 | 说明 |
实例 | 一个CLB实例是一个运行的负载均衡服务,用来接收流量并将其分配给后端服务器。要使用负载均衡服务,您必须创建一个CLB实例,并至少添加一个监听和两台云服务器。 |
监听 | 监听用来检查客户端请求并将请求转发给后端服务器。监听也会对后端服务器进行健康检查。 |
后端服务器 | 后端服务器是一组接收前端请求的云服务器,目前CLB支持添加云服务器ECS(Elastic Compute Service)、弹性容器实例ECI(Elastic Container Instance)和弹性网卡ENI(Elastic Network Interface)作为后端服务器。您可以单独添加云服务器到后端服务器池,也可以通过虚拟服务器组或主备服务器组来批量添加和管理。更多信息,请参见:
• 什么是云服务器ECS
• 什么是弹性容器实例ECI
• 弹性网卡ENI概述 |
🤗总结归纳
应用型负载均衡
针对7层
网络型负载均衡
针对4层
传统型负载均衡
针对4层和7层
和开源软件相似之处
LVS、Haproxy、Nginx
参考文章
全球加速GA & 弹性公网IP
全球加速GA(Global Accelerator)
全球加速GA(Global Accelerator)是一款覆盖全球的网络加速服务:
- 依托BGP带宽和全球传输网络
- 实现全球网络就近接入和跨地域部署
- 减少延迟、抖动、丢包
全球加速GA实例类型
全球加速实例分为标准型和基础型
标准型:
- 主要用于四层(TCP和UDP协议)和七层(HTTP和HTTPS协议)网络加速
- 支持弹性公网IP和任播弹性公网IP两种类型的加速IP
- 客户端流量通过加速IP或CNAME,就近接入加速网络
- 智能选择路由自动完成网络调度
- 终端节点支持:ECS/CLB/ALB/OSS/阿里云公网IP、自定义源站IP或域名
基础型:
- 主要用于三层(IP协议)网络加速
- 默认分配一个EIP类型的加速IP
- 客户端流量通过加速IP接入阿里云
- 终端节点支持专有网络类型的CLB和辅助网卡类型的弹性网卡ENI
弹性公网IP
弹性公网IP(Elastic IP Address,简称EIP)是可以独立购买和持有的公网IP地址资源。
- EIP支持绑定到专有网络类型的云服务器ECS(Elastic Compute Service)实例
- 专有网络类型的私网传统型负载均衡CLB(Classic Load Balancer)实例
- 私网类型的应用型负载均衡ALB(Application Load Balancer)
- 专有网络类型的辅助弹性网卡
- NAT网关
- 高可用虚拟IP
EIP与ECS固定公网IP的区别
优势特点:EIP可独立购买,灵活绑定不同类型的资源,灵活解绑与释放,灵活调整带宽
应用场景:云上业务提供公网服务、优化国际业务访问质量、自带IP上云、降低公网成本等
弹性公网IP功能介绍
共享带宽与共享流量包介绍
共享带宽:
- 提供地域级带宽共享和复用功能
- 支持同地域下所有EIP共享带宽
- 能够让绑定EIP的云服务器ECS、NAT网关、负载均衡同时共享带宽
- 提供包括按带宽峰值、增强型95等多种计费模式
共享流量包:
- 通用流量套餐产品
- 可视化管理多地域流量
- 购买即生效,自动抵扣费用,无额外操作
- 支持按流量计费的ECS、EIP、SLB和NAT网关产生的IPv4流量
共享带宽使用实践
- 节省公网带宽使用成本
对需要提供公网访问的的应用场景,希望能尽量共享公网带宽,降低公网带宽使用成本。
- 能够解决: 创建弹性公网IP(EIP)的同时将EIP添加到共享带宽中,然后将EIP绑定到没有公网IP的ECS实例,复用共享带宽中的带宽
共享流量包使用实践
国内多个区域的按流量计费的云服务器ECS、弹性公网IP、负载均衡和NAT网关产品优先使用共享套餐中的流量共享,进一步降低流量使用成本。
- 更省钱 流量消耗量较大,通过有价格优惠的流量包套餐能节省很多流量成本。
- 更便于管理 流量包是公网流量的总出入口,通过多产品的流量共享套餐,便于集中统计和管理流量消耗
🤗总结归纳
负载均衡SLB 流量分发解决并发过大的问题
全球GA加速 对用户访问进行加速 如日常的游戏加速器
共享带宽 共享流量 将产品的带宽或流量整合在一起 节约成本
参考文章
云企业网CEN & 转发路由器TR
云企业网CEN(Cloud Enterprise Network)是运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR(Transit Router)帮助您在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,为您打造一张灵活、可靠、大规模的企业级云上网络
云企业网组成
功能特性
云企业网通过转发路由器TR搭建私网通信通道,同时转发路由器提供关联转发、路由学习、自定义路由表、路由策略等丰富的网络互通和路由管理能力
使用流程
操作配置创建云企业网实例
- 一个云企业网实例管理一张网络,可覆盖一个或多个地域。
- 一个地域支持创建一个转发路由器实例。转发路由器实例作为地域内的核心转发网元,可转发同地域或跨地域的流量。
- 基础版和企业版转发路由器实例均支持自动创建和手动创建
连接网络实例
- 使用企业版转发路由器创建VPC连接前,请确保VPC实例在企业版转发路由器支持的可用区拥有至少一个交换机实例,且该交换机实例拥有至少一个空闲的IP地址
路由管理
- 可以在转发路由器下查看其已连接的各个网络实例的路由条目。
- 可以为网络实例添加路由条目,目标网段的下一跳指向当前地域的转发路由器。
- 可以将转发路由器连接的专有网络实例的路由发布到转发路由器中,在没有路由冲突的条件下,转发路由器中的其他网络实例可以学习到该路由
应用场景
转发路由器
转发路由器TR(Transit Router)帮助云企业网在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,是云企业网的重要组成部分。包提供企业版和基础版转发路由器
企业版转发路由器工作原理
连接网络实例:网络实例连接到企业版转发路由器后可实现网络互通,支持:
- 一个或多个专有网络VPC实例
- 一个或多个边界路由器VBR实例
- 一个或多个转发路由器实例(其他地域)
管控路由
- 路由表:连接网络实例后,通过路由表存储网络实例的路由。
- 路由学习:控制网络实例的路由传播。
- 关联转发:控制网络实例的流量转发。
- 自定义路由条目:辅助控制网络实例流量的转发。
- 路由策略:控制企业版转发路由器路由表的路由传播
- 默认行为:连接网络实例后,默认不会向网络实例传播任何路由条目。
基础版转发路由器工作原理
连接网络实例
- 一个或多个VPC实例
- 一个或多个VBR实例
- 一个或多个CCN实例
- 一个或多个转发路由器实例(其他地域)
管控路由
路由表:
- 存储网络实例的路由,通过查询路由表转发网络实例流量
- 有且仅有一个默认路由表,不支持创建自定义路由表
路由传播:
- 将已连接网络实例的路由传播至默认路由表
- 将学习来的路由传播给已连接的所有网络实例
路由策略:控制路由表的路由传播
🤗总结归纳
实现跨地域组网
多种方式接入云企业网
通过专线/VPN网关/智能接入网关组合使用,将IDC/分支机构/门店等通过CEN互联,就近接入阿里云,构建一张混合云网络
创建转发路由器需要注意下尽量不要使用已存在的网段
跨地域需要购买带宽包
参考文章
智能接入网关SAG
智能接入网关
智能接入网关SAG(Smart Access Gateway)是阿里云提供的软件定义广域网SD-WAN(Software Defined Wide Area Network)解决方案。企业可通过智能接入网关实现一站式接入阿里云,获得更加智能、安全和可靠的上云体验
产品形态
硬件CPE(Customer Premises Equipment)设备形态
- 适用于站点接入上云。
- 在IDC、企业分支和门店部署硬件设备
- 自动和云上形成私网连接
镜像vCPE
- vCPE是智能接入网关的软件镜像版
- 适用于站点接入上云
- 支持部署在本地IDC的服务器、ENS实例
- 支持多个公共云云服务器部署
APP
- 适用于终端接入上云
- 支持Windows、MacOS、Android
智能接入网关SAG产品组件
组件 | 说明 | 相关介绍 |
智能接入网关设备(SAG) | 用户侧CPE设备 | |
智能接入网关vCPE(SAG vCPE) | 用户侧虚拟CPE设备 | |
智能接入网关App(SAG App) | 智能接入网关客户端 | |
云连接网CCN(CloudConnect Network) | 阿里云接入点组成的接入网络 | |
云企业网CEN(Cloud Enterprise Network) | 阿里云云上跨地域网络 | |
专有网络VPC(Virtual Private Cloud) | 阿里云云上私有网络 |
技术架构
- ZTP(Zero Touch Provisioning)安装部署,集中管理运维
- 混合网络接入
- 云网融合
产品功能
部署模式
智能接入网关支持直挂和旁挂两种部署模式
云连接器
云连接网CCN(Cloud Connect Network)是由阿里云分布式接入网关组成的设备接入矩阵,是智能接入网关的另一个重要组成部分。您将智能接入网关与云连接网绑定后,智能接入网关便可通过云连接网将本地网络连接至阿里云
产品功能
连接方式
- 云连接器通过专用APN在物联网终端和阿里云之间建立定向网络连接。
- 也支持通过云上组网,实现物联网终端到物联网应用或本地数据中心IDC的定向连接
云连接器产品组成
云连接实践
🤗总结归纳
硬件CPE其实就是一台设备中存入专用的阿里云流量卡
镜像VCEP 镜像安装在操作系统之上 不需要购买硬件CPE,但需要自己自建主机或者云上部署
APP 通过终端设备去连接 笔记本、手机、PC
云连接 实现物联网终端定向上云
参考文章
VPN网关 & 高速通道
VPN网关
VPN网关是一款网络连接服务,通过建立加密隧道的方式实现企业本地数据中心、企业办公网络、互联网客户端与阿里云专有网络VPC(Virtual Private Cloud)之间安全可靠的私网连接
- 安全:使用IKE和IPsec协议对传输数据进行加密,保证数据安全可信。
- 稳定:底层采用双机热备架构,故障时秒级切换,保证会话不中断,业务不受影响。
- 简单:功能开通即用,配置实时生效,实现快速部署。
- 低成本:基于互联网建立加密通道,相比使用物理专线成本更低
VPN网关网络连接方式
VPN网关提供IPsec-VPN和SSL-VPN两种
IPsec-VPN
- IPsec-VPN是一种基于路由的网络连接技术
- 提供灵活的流量路由方式,方便配置和维护VPN策略
- 适用于在企业本地数据中心或企业办公网络与VPC之间建立网络连接
- IPsec连接可绑定VPN网关实例,也可以绑定转发路由器实例
SSL-VPN
- SSL-VPN是一种基于OpenVPN架构的网络连接技术
- 适用于在互联网客户端与VPC之间建立网络连接。
- 部署后,仅需要在互联网客户端中加载证书并发起连接,互联网客户端便可与VPC互通。
- SSL-VPN仅支持绑定国际标准商用密码算法的公网VPN网关实例
VPN网关类型
创建用户网关
- 通过创建用户网关,将本地数据中心网关设备的信息注册到阿里云上。
- IP地址:本地数据中心网关设备的静态公网IP地址。
- 自治系统号:本地数据中心网关设备的自治系统号ASN(Autonomous System Number)。 自治系统号取值范围:1~4294967295。
创建IPsec连接
- IPsec连接是VPN网关实例和本地数据中心网关设备建立连接后的加密通信通道。
- 如果IPsec连接需要绑定转发路由器实例,请选择云企业网或者不绑定。
- IPsec连接的网络类型:
- 公网(默认值):表示IPsec连接通过公网建立加密通信通道。
- 私网:表示IPsec连接通过私网建立加密通信通道。
- IPsec连接的路由模式:
- 目的路由模式(默认值):基于目的IP地址路由和转发流量。
- 感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量
配置VPN网关路由
- 在VPN网关实例中配置去往目标网络的路由,并将路由发布至VPC路由表以实现目标网络和VPC的私网连接。
- 为VPN网关添加如下两种路由:
- 策略路由:策略路由基于源IP和目的IP进行更精确的路由转发
- 目的路由:目的路由仅基于目的IP进行路由转发
高速通道
高速通道(Express Connect)是一款连接企业数据中心与阿里云的网络服务,可在企业数据中心与云上网络之间建立高速、稳定、安全的私网通信通道。高速通道的数据传输过程可信可控,能有效提高网络通信的质量及安全性
高速通道组成
高速通道由物理专线连接和边界路由器VBR组成:
- 物理专线连接:通过高速通道建立的一个本地IDC机房与阿里云接入点的专用网络连接
- 边界路由器:是本地CPE设备和阿里云接入点之间连接的一个路由器,作为数据转发桥梁
将VBR和要访问的阿里云VPC加入同一个云企业网后,本地IDC便可访问阿里云VPC内的全部资源
边界路由器
- 阿里云基于软件自定义网络SDN架构下的三层Overlay技术和交换机虚拟化技术,将物理专线的接入端口隔离起来,并抽象成边界路由器VBR(Virtual border router)
- VBR是CPE设备和专有网络VPC之间的一个路由器,作为数据从VPC到本地数据中心IDC的转发桥梁
物理专线和VPN网关对比
对比项 | 物理专线连接 | VPN连接 |
网络质量 | 通过专用的物理专线接入阿里云网络,提供低网络时延和丢包率的内网级通信质量。 | 使用共享的公网资源进行通信,网络时延和丢包率等无法保证。 |
安全性 | 用户独享物理专线,无数据泄露风险,安全性高。满足金融、政企等用户对网络安全性要求高的需求。 | 基于公网的加密通信,可以满足一般用户的网络传输安全性需求。 |
传输带宽 | 单链路最大支持100 Gbps的带宽,满足大数据量的业务需求。支持多条物理专线进行ECMP(Equal-Cost Multipath Routing)链路聚合,达到Tbps级别带宽,在保障服务可用性的基础上叠加扩充带宽上限。 | 网络带宽受限于公网IP的带宽。 |
功能特性
通过物理专线接入阿里云时,支持自主申请专线直接,选择共享合规运营商预连接专线和阿里云云托付产品
应用场景
面向企业非关键业务的简单网络架构
- 对于不需要高弹性和高可用性的非关键业务,例如云上搭建的开发测试环境,建议直接通过高速通道建立本地IDC和云上网络的私网连接。该拓扑结构可保证云上云下通信的安全性、可靠性
面向大中型企业的多地容灾高可用网络架构
- 当本地数据中心的关键业务对可用性要求极高时,建议在多个接入点建立专线连接,该拓扑确保了因光纤切断、设备故障或接入点位置故障导致的连接故障的恢复能力
🤗总结归纳
参考文章
云服务器ECS
云服务器ECS(Elastic Compute Service)是阿里云提供的性能卓越、稳定可靠、弹性扩展的IaaS(Infrastructure as a Service)级别云计算服务
最基础的计算服务 ECS及其上装载的操作系统,通常用作应用程序环境
云服务器ECS主要包含实例、镜像、块存储、快照、安全组、网络等功能组件
稳定可靠
实例可靠性
单实例可用性达99.975%,多可用区多实例可用性达99.995%。
云盘可靠性
云盘采用多副本,数据安全可靠性达99.9999999%。
数据可靠性
实例可实现宕机自动迁移,支持快照备份,自动告警等多种安全保障
概述
- 地域(Region)指数据中心所在的地理区域,通常按照数据中心所在的城市划分
- 可用区(Availability Zone 简称AZ)是指在同一地域内,电力和网络互相独立的物理区域
- 同一可用区内实例之间的网络延时更小
- 同一地域内可用区与可用区之间使用低时延链路相连,内网互通
- 实例(Instance)是提供计算服务的最小单位由vCPU、内存、操作系统、网络和磁盘等基础 组件组成。
- 实例规格(InstanceType)定义了ECS实例在计算性能、存储性能、网络性能等方面的基本属性
- 入门级实例:一系列面向一般中小网站或个人的实例规格(族)总称。
- 实例规格族:共享型 (s6)、突发性能型_(t6、t5)
- 适用场景:轻量级Web应用程序,轻负载应用、微服务,开发测试压测服务应用。
- 企业级实例:具有独享且稳定的计算、存储、网络资源,适合对业务稳定性具有高要求的严
- 企业场景实例规格族:通用型、计算型、内存型、大数据型等
- 适用场景:
- 大型多人在线游戏(MMO) 前端、数据分析和计算
- 中大型Web服务器(高并发)
- 利用CPU进行高精度编解码、渲染、基因计算等固定性能计算
- Cache/Redis、搜索类、内存数据库、高l/O的数据库如Oracle.MongoDB、Hadoop集群、大量的数据处理加工等
- 镜像类型 为云服务器实例提供操作系统、初始化应用数据、预装软件,通过镜像部署云服务器ECS
- 公共镜像
- 自定义镜像
- 共享镜像
- 镜像市场镜像
- 社区镜像
- 磁盘快照:是磁盘数据在某一个时间点的拷贝,可以方便的创建实例的快照保留某个时间点上的系统数据状态,作为数据备份,或者制作镜像。
- 自定义镜像:从一个实例的系统盘快照可以创建自定义镜像。当需要大规模复制同样的云服务器时,自定义镜像是必不可少的,自定义镜像是可水平扩展的web层的自动伸缩服务的基础。
- 快照原理
- 云盘格式化后会在逻辑块地址LBA (Logical Block Address)的基础上划分数据块(Block)
- 云盘第一份快照是实际使用量的全量快照,不备份空数据块
- 后续快照均是增量快照,备份自上一个快照以来的增量业务数据
- 弹性网卡是一种可以附加到专有网络VPC类型ECS实例上的虚拟网卡。通过弹性网卡,您可以在任何阿里云地域下实现高可用集群搭建、低成本故障转移和精细化的网络管理。
- 安全组:是阿里云上的虚拟防火墙。用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力
- 安全组规则: 指定了一个或多个防火墙规则,规则包含容许/拒绝访问的IP、端口等。典型的规则由 source(ip range或安全组), protocol, port, policy(accept/deny), network type(内网或公网)组成
- 安全组分为普通安全组和企业安全组。企业安全组面向企业级场景,可以容纳更多的实例、弹性网卡和私网IP,访问策略更严格.
- 普通安全组:
- 同一普通安全组内的实例及弹性网卡之间内网互通
- 不同普通安全组内的实例及弹性网卡之间内网隔离
- 默认拒绝所有入方向的访问请求
- 企业安全组:
- 同一企业安全组内的实例及弹性网卡之间内网隔离
- 不同企业安全组内的实例及弹性网卡之间内网隔离
- 默认拒绝所有入方向和出方向的访问请求
- 实例加入安全组的规则如下
- 实例至少加入一个安全组,可以同时加入多个安全组
- 实例上挂载的弹性网卡中,辅助网卡可以加入和实例不同的安全组
- 实例不支持同时加入普通安全组和企业安全组。
- 安全组具备默认规则,可以根据需要灵活维护规则
- 标签可以识别资源和用户组别,允许企业或个人将相同云服务器ECS资源归类。便于搜索和资源聚合
- 支持添加标签的ECS服务或功能为: ECS实例、存储 (包括云盘和共享块存储)、快 照、镜像和安全组等
- 每个标签都由一对键值对(Key-Value)组成
- 每个实例最多可以绑定20个标签,每次最多绑定或解绑20个标签
- 每个资源的任一标签的标签键(Key)必须唯一,相同标签键(Key)的标签会被覆盖
- 不同地域中的标签信息不互通
- 部署集是控制实例公布的策略,能在创建ECS实例的时候就设计容灾能力和可用性
- 资源编排ROS(Resource Orchestration Service) 是一项简化云计算资源管理的服务,ROS编排引擎能根据资源栈模板创建和配置资源,自动化交付项目所需的ECS实例和RDS实例等云计算资源。功能特点如下.
- 重复部署
- 标准化部署
- 全自动托管
- 身份认证和操作审计
- 云助手:
- 专为云服务器ECS打造的原生自动化运维工具,免密码、免登录、无需使用跳板机
- 在ECS实例上实现批量运维、执行命令 (Shell、PowerShell、Bat等)和发送文件等操作
- 典型使用场景包括:安装卸载软件、启动或停止服务、分发配置文件和执行一般的命令(或脚本)等
- 当一个ECS实例所在的物理机(NC)宕机时,ECS系统将自动启动宕机迁移过程,即将此物理机上运行的云服务器都迁移到其他物理机上。
容灾架构实践
🤗总结归纳
地域 可以理解为某个城市的数据中心
可用区 同一地域 电力和网络互相独立的物理区域
实例 虚拟服务器 计算服务最小单位 由VCPU、内存、操作系统、网络和磁盘等基础组件组成
实例规格 计算性能、存储性能、网络性能等方面的基本属性 应对不同的应用场景
入门级面向个人或者中小网站,共享型
企业级面向企业,独享稳定计算、存储、网络资源
镜像 公用镜像 自定义镜像 共享镜像 社区镜像
对云服务操作系统定制,做一些安全基线,软件安装等
用于云服务器ECS装机盘
磁盘快照 磁盘数据在某个时间点拷贝,保留某个时间点系统数据状态,作为数据备份或者制作镜像
云盘第一份快照是全量快照,后续是增量快照 对变化的数据做备份,后续以此类推
普通安全组 同一普通安全组内的实例和弹性网卡之间内网互通,反之隔离,默认拒绝所有入方向
企业安全组 同一企业安全组内实例和弹性网卡之间内网隔离,不同也隔离,默认拒绝所有入和出
实例至少加入一个安全组,可以加入多个安全组(5个)
实例上挂载的弹性网卡中,可加入不同安全组
实例不支持同时加入普通安全组和企业安全组
安全组可跨可用域
弹性IP可挂载区地域内任意VPC实例 可跨VPC,不可跨地域
快照和镜像在地域内可用,快照和镜像跨地域,需要复制快照和镜像到需要使用的地域才可行
云助手是专为云服务器ECS打造的原生自动化运维工具,通过免密码、免登录、无需使用跳板机的形式,在ECS实例上实现批量运维、执行命令(Shell、PowerShell、Bat等)和发送文件等操作。典型的使用场景包括:安装卸载软件、启动或停止服务、分发配置文件和执行一般的命令(或脚本)等
服务器迁移中心SMC(Server Migration Center)是阿里云自主研发的迁移平台,可将您的单台或多台源服务器迁移至阿里云
参考文章
存储
直连存储
直连式存储(DAS)是一种计算机存储,它直接连接到某台计算机且其他计算机无法获取。对于个人计算机用户来说,硬盘驱动器就是直连式存储的常见形式。可通过SCSI、SATA及SAS接口直接连在一起
存储阵列:把多个磁盘组成一个阵列,当作单一磁盘使用,它将数据以分段(striping )的方式储存在不同的磁盘中,存取数据时,阵列中的相关磁盘一起动作
RAID0没有容错设计的条带硬盘阵列,以条带形式将RAID组的数据均匀分布在各个硬盘中
RAID1又称镜像(Mirror),数据同时一致写到主硬盘和镜像硬盘
RAID5把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上
存储网络
NAS(Network Attached Storage:网络附加存储):连接在网络上,具备资料存储功能的装置,因此也称为“网络存储器”。它是一种专用数据存储服务器。
- 支持多种协议(如NFS、CIFS、FTP、HTTP等)
- 支持各种操作系统
- 由存储硬件、操作系统以及其上的文件系统等几个部分组成
存储区域网络(Storage Area Network,SAN):通过FC交换机连接存储阵列和服务器主机,建立专用于数据存储的区域网络。
- SAN网络独立于数据网络存在,因此存取速度很快
- 专用网络,扩展性强
- 常见的SAN有FC-SAN和IP-SAN
分布式存储云存储
分布式存储是一种数据存储技术
- 通过网络使用企业中的每台机器上的磁盘空间,并将这些分散的存储资源构成一个虚拟的存储备
- 数据分散的存储在企业的各个角落
传统存储对比
块存储、文件存储及对象存储介绍
块存储使用时文件系统在客户端
- 优点:读写速度快
- 缺点:可扩展性差,不易于共享
文件存储的存储端前面多了一个文件系统,来访者通过文件系统的调度来对数据的访问
- 优点:易于共享
- 缺点:读写速度慢
对象存储是一种较新的存储类型,采用二层结构
- 优点:读写速度快,易于共享,扩展性强
- 缺点:同步效率低,不适合数据库
块存储、文件存储及对象存储使用场景
块存储
- 典型设备
- 磁盘
- 磁盘阵列
- 应用场景:
- 应用系统
- 数据库
- 虚拟机磁盘存储分配
文件存储
- 典型设备
- FTP服务器
- NFS服务器
- 应用场景:
- 日志存储
- 文件服务器
- 有目录结构的文件存储
对象存储
典型设备
- 内置大容量硬盘的分布式服务器
- 应用场景:
- 备份归档
- 媒体音视频
- 静态网站托管
阿里云块存储、文件存储及对象存储产品对比
块存储产品
专属块存储集群(Dedicated Block Storage Cluster)是阿里云提供的一种以集群为整体的块存储服务,具备物理资源隔离、集群内资源独享的特点。
- 与其他公共云块存储集群物理隔离
- 所有者可独享整个集群资源
- 可以实时查看集群状态、容量等信息
- 支持作为ECS实例的系统盘及数据盘
- 适用于金融、医疗、政府等对数据安全有严格要求的行业或部门
块存储数据洞察(CloudLens for EBS)是阿里云针对块存储资源提供的数据分析、性能监控的一种功能:
- 资源概览
- 性能分析
- 接入管理
阿里云文件存储NAS
阿里云文件存储NAS(Apsara File Storage NAS)是面向阿里云ECS实例、E-HPC、容器服务等计算节点的文件存储服务。它是一种可共享访问、弹性扩展、高可靠以及高性能的分布式文件系统
- 企业内部文件数据的存储
- NFS/SMB访问协议,不同操作系统之间共享数据访问能力
- 线性扩展的吞吐能力
- 容灾能力强
- 面向PB级别的数据存储与访问场景
挂载:是将计算节点与NAS文件系统相连接的操作。完成挂载后,计算节点可以访问NAS文件系统中的数据。ECS通过命令行挂载,容器集群(例如Kubernetes)通过控制台或配置文件挂载。
- 挂载点:是NAS文件系统在网络环境中的连接点,以域名形式出现。
- 权限组:用于配置通过不同挂载点访问文件系统的权限信息,包括授权IP地址、读写操作权限等
阿里云对象存储服务
- 阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云提供的海量、安全、低成本、高可靠的云存储服务。
- 它具有与平台无关的RESTful API接口,能够提供99.9999999999%(12个9)的数据持久性和99.995%的数据可用性。
- 您可以在任何应用、任何时间、任何地点存储和访问任意类型的数据
Bucket(存储空间)
- 每个Object必须都包含在Bucket中
- 单用户同地域最多可创建100个Bucket
- 一个应用可以对应一个或多个Bucket
- Bucket名在整个OSS中具有全局唯一性,且不能修改
- 每个Bucket中存放的Object的数量没有限制,大小总和也没有限制
Bucket(存储空间)
- 用户的每个文件都是一个Object
- 文件大小限制
Put Object方式最大不能超过5GB
使用multipart上传方式Object大小不能超过48.8TB
- 由元信息、用户数据和文件名组成
访问密钥(AccessKey简称AK)
- 访问身份验证中用到的AccessKey ID和AccessKey Secret。OSS通过使用AccessKey ID和AccessKey Secret对称加密的方法来验证某个请求的发送者身份
访问域名(Endpoint)
- Endpoint 表示OSS对外服务的访问域名。 http://<你的bucket名字>.<数据中心服务域名>/<你的object名字>
http://oss-example.oss-cn-hangzhou.aliyuncs.com/aliyun-log.png
强一致性
- Object操作在OSS上具有原子性,操作要么成功要么失败,不会存在有中间状态的Object
OSS数据组织结构
对象存储类型
Bucket权限控制
OSS 提供 Bucket级别的权限访问控制。
OSS提供ACL(Access Control List)权限控制方法,OSS ACL提供Bucket级别的权限访控制,Bucket目前有三种访问权限
Public-read-write
Public-read
Private
- 创建Bucket时默认为private权限
- 可以通过OSS的Put Bucket Acl接口修改该Bucket的权限
对象存储OSS与自建存储对比
混合云存储
混合云存储包括多种形态:
产品 | 描述 |
软硬一体的存储设备,专为对存储有高性能和稳定性要求,并且希望无缝上云的企业客户而设计。集成了阿里云存储服务,融合了公共云存储和传统存储阵列的简单、灵活、高效和可靠的优点。 | |
高性能计算文件存储,支持标准的POSIX和MPI-IO协议,自带的高性能计算程序无需任何接口适配和性能优化接口即可高效率执行,满足高性能文件存储需求。 | |
弹性灵活,适合业务快速发展的私有云和互联网应用场景,支持海量非结构化数据存储。 |
- 用户可以像使用本地存储一样使用和管理本地和云端的各种存储资源(块、文件和对象)
- 本地存储可以通过云缓存、云同步、云分层、云备份等方式无缝连通云存储
🤗总结归纳
参考文章
致谢:
日志服务SLS
日志服务SLS是云原生观测与分析平台,为Log、Metric、Trace等数据提供大规模、低成本、实时的平台化服务。日志服务一站式提供数据采集、加工、查询与分析、可视化、告警、消费与投递等功能,全面提升您在研发、运维、运营、安全等场景的数字化能力
日志服务提供50多种数据接入方案:
- 支持采集服务器与应用相关的日志、时序数据和链路数据。
- 支持采集物联网设备日志。
- 支持采集阿里云产品日志。
- 支持采集移动端数据。
- 支持采集Logstash、Flume、Beats、FluentD、Telegraph等开源软件中的数据。
- 支持通过HTTP、HTTPS、Syslog、Kafka、Prometheus等标准协议接入数据
Logtail采集介绍
Logtail是日志服务SLS提供的日志采集Agent,用于采集阿里云ECS、自建IDC、其他云厂商等服务器上的日志。
- Logtail:日志服务提供的日志采集Agent,运行在待采集日志的服务器上
- 机器组:一个机器组包含一台或多台待采集同类日志的服务器。
- Logtail采集配置:Logtail采集日志的策略集合。
功能优势:
- 基于日志文件,无侵入式采集日志。
- 支持采集binlog、http数据、容器日志等
- 对容器支持友好
- 稳定处理日志采集过程中的各种异常
- 基于日志服务的集中管理能力
- 完善的自我保护机制
查询和分析
日志服务支持实时查询与分析数据:
- 支持精确查询、模糊查询、全文查询、字段查询。
- 支持上下文查询、日志聚类、LiveTail、重建索引等功能。
- 支持标准的SQL 92语法。
- 提供SQL独享实例
数据加工
日志服务提供数据加工功能,用于数据的规整、富化、流转、脱敏和过滤
- 数据规整:针对混乱格式的日志进行字段提取、格式转换,获取结构化数据以支持后续的流处理、数据仓库计算。
- 数据富化:对日志(例如订单日志)和维表(例如用户信息表)进行字段连接(JOIN),为日志添加更多维度的信息,用于数据分析。
- 数据流转:通过全球加速功能将海外地域的日志传输到中心地域,实现全球日志集中化管理。
- 数据脱敏:对数据中包含的密码、手机号、地址等敏感信息进行脱敏。
- 数据过滤:过滤出关键服务的日志,用于重点分析
可视
日志服务支持可视化展示查询和分析结果:
- 仪表盘内置图表:日志服务为您提供表格、线图、柱状图等多种统计图表,用户可以根据分析需求选用合适的图表类型展示查询和分析结果,并将结果保存到仪表盘中。
- 第三方可视化工具:日志服务支持直接对接Grafana、DataV等第三方图表
告警
日志服务提供一站式的告警监控、降噪、事务管理、通知分派的智能运维平台:
- 告警监控:支持通过告警监控规则定期检查评估查询和分析结果,触发告警或恢复通知,发送给 告警管理系统。
- 告警管理:支持通过告警策略对所接收到的告警进行路由分派、抑制、去重、静默、合并等操作,然后发送给通知(行动)管理系统。
- 通知(行动)管理:支持通过行动策略将告警动态分派给特定的通知渠道,再通知给目标用户、用户组或值班组。
- 开放告警:支持通过Webhook方式接收外部监控系统中的告警消息(例如Grafana告警、Prometheus告警),并完成告警管理、告警通知等操作
日志审计
日志审计服务在继承现有日志服务所有功能基础上还支持自动化采集、对接其他生态产品等功能:
- 支持实时自动化、中心化采集多账号下的云产品日志并进行审计。
- 覆盖基础(ActionTrail、容器服务Kubernetes版)、存储(OSS、NAS)、网络(SLB、API网关)、数据库(关系型数据库RDS、云原生分布式数据库PolarDB-X、PolarDB MySQL云原生数据库)、安全(WAF、DDoS防护、云防火墙、云安全中心)等云产品。
- 支持自由对接其他生态产品或自有SOC中心。
- 内置百种告警规则,支持一键式开启,覆盖账户安全、权限管理、存储、主机、数据库、网络、日志等各个方面的合规监控
🤗总结归纳
参考文章
RDS数据库
阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务:
- 基于阿里云分布式文件系统和SSD盘高性能存储
- RDS支持MySQL、SQL Server、PostgreSQL和MariaDB TX引擎
- 具备容灾、备份、恢复、监控、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼
云数据库RDS产品系列
云数据库RDS实例包括四个系列:基础版、高可用版、集群版和三节点企业版(原金融版)
云数据库RDS的规格族
云数据库RDS根据CPU、内存、连接数和IOPS,提供多种实例规格族:
- 共享规格:追求高性价比,需要减轻使用成本的应用场景。
- 通用规格:对性能稳定性要求较低的应用场景。
- 独享规格:以数据库为核心系统的业务场景,例如金融、电商、政务、大中型互联网业务等
云数据库RDS的存储类型
云数据库RDS提供三种存储类型:本地SSD盘、ESSD云盘和SSD云盘。
不管是哪一种存储类型,RDS的可靠性、持久性和读写性能均会满足产品SLA承诺
云数据库RDS MySQL 版
云数据库RDS MySQL 版是全球最受欢迎的开源数据库之一,作为开源软件组合 LAMP(Linux + Apache + MySQL +Perl/PHP/Python) 中的重要一环,广泛应用于各类应用场景
RDS MySQL异地灾备实例
对于数据可靠性有强需求的业务场景或是有监管需求的金融业务场景,RDS MySQL提供异地灾备实例,帮助用户提升数据可靠性
通过数据传输服务(DTS)实现主实例和异地灾备实例之间的实时同步
- 主实例和灾备实例均搭建主备高可用架构
- 灾备实例还有以下功能特点:
- 提供独立的数据库连接地址,由用户应用端自助控制连接。
- 使用主备高可用架构。
- 按量付费,即开即用、即停即止。
- 提供独立的白名单配置、账号管理。
RDS只读实例
横向扩展数据库MySQL读能力;每个只读实例拥有独立的链接地址,可由应用端控制压力分配
RDS MySQL分析实例介绍
RDS MySQL提供分析实例功能,可以将RDS MySQL主实例中的数据自动同步到MySQL分析实例中,解决RDS MySQL
复杂分析查询卡顿问题,实现毫秒级针对万亿级数据进行即时的多维分析透视和业务探索
只读实例主要面向在线读写分离应用
- MySQL分析实例专注报表查询,交互式分析和跑批等应用
- 只读实例是只能接收只读请求的RDS MySQL
- 分析实例是一个AnalyticDB for MySQL集群
RDS MySQL Serverless实例简介
RDS MySQL Serverless实例是阿里云针对中小型企业或个人开发者推出的一款数据库。
- 提供了CPU、内存的实时弹性能力,构建云盘架构下的RDS MySQL产品新形态。
- 打破固定资源付费的模式,真正负载与资源动态匹配的按量付费,可节省大量成本。
- 对高吞吐写入场景和高并发业务进行了设计优化,同时提供了弹性伸缩能力,适合业务数据量大、并具有典型的业务访问波峰波谷场景
云数据库RDS的备份恢复
云数据库RDS的安全体系
安全事前防护
- RDS可设置允许连接实例的IP白名单,严格控制访问源。
- 支持通过VPC来获取更高程度的网络访问控制
安全事中防护
- 公网地址自动开启DDoS防护,保持业务永续;
- 访问链路支持SSL加密,杜绝中间人攻击行为;
- 支持开启透明数据加密(TDE),数据落盘自动加密,固守最后防线;
- 通过高安全模式拦截SQL注入,远离拖库风险
安全事后审计
- RDS支持SQL审计功能,记录所有访问源和访问行为信息;
- 对所有安全及故障事件做到有据可查
云数据库RDS SQL Server 版概述
- 主备架构,故障秒级切换 SQL Server实例提供主备架构保证高可用,主实例故障后自动切换至镜像实例,由阿里云顶尖数据库专家维护,全面大幅度提升数据库的性能、稳定性、可靠性
- 高性价比 微软SQL Server 企业版授权许可,无需单独支付版权费用,提供全方位的硬件和软件支持,提供高性价比的企业级服务
- 安全等级 通过“等保三级”认证的高安全数据库,支持TDE,SSL等加密技术,严防拖库,目前已获得国内外十余个安全等级认证
- 全面监控报警 提供数十种性能指标监控,可自定义配置报警功能,让用户时刻了解数据库运行状态
云数据库RDS PostgreSQL 版概述
OLTP+OLAP高效复杂查询
PostgreSQL具备强大的OLTP能力,拥有与商业数据库性能功能高度接近的查询优化器、L/pgSQL存储过程语言、复杂SQL并行查询能力,轻松应对企业复杂查询下的OLTP+OLAP混合业务场景
空间/时空/时序多引擎
- 支持Ganos/PostGIS,对空间/时空数据进行高效的存储、索引、查询和分析计算。
- 引擎历经不同客户GIS场景磨炼,使用简单高效;
- 支持timescaledb时序数据库插件,分区表,BRIN索引。
- 越来越多的客户把PostgreSQL的timescaledb作为物联网实时数据采集和存储的首选
NoSQL兼容
- 云数据库RDS PostgreSQL兼容SQL:2011, JSON,JSONB,XML,HStore原生支持
- 支持NoSQL数据库的外部数据包装器
- 支持全SQL在PostgreSQL中进行JSON数据操作,NoSQL +SQL的有机整合,实现NewSQL的处理模型。
- 适用于游戏、直播类互联网应用的 JSON、Key-Value 等半结构化数据类型业务
安全稳定
- PG引擎安全特性 + 阿里云安全防护;
- SQL审计,身份隔离深入到字段级别;
- 支持IP白名单防DDoS攻击;
- 支持全加密数据库,端到端全链路避免数据泄露;
- 支持链路层、存储层加密;
- 支持接入自建AD域,用于企业中心化管理,同时提升用户访问安全性,支持数据库级别和用户级别的黑白名单能力
云数据库RDS MariaDB 版概述
云数据库 MariaDB 版基于 MariaDB 企业版全球独家合作认证,提供 Oracle 兼容性及众多企业级数据库特性。支持包括 MySQL InnoDB 等多种存储引擎,为不同需求的用户提供灵活的选择
- Oracle兼容性
支持包括:PL/SQL、序列、动态SQL及Package等语法和对象
- 企业版独家合作
MariaDB企业版合作云厂商提供更高的数据库稳定性保障
- 支持多种存储引擎
针对不同业务需求,用户可以灵活选用InnoDB、MyRocks存储引擎
- 企业级数据库特性
支持窗口函数、在线数据溯源恢复、 在线添加列等企业级特性
RDS的操作配置
RDS实例
- 实例是阿里云关系型数据库的运行环境
- 同一实例中的不同数据库之间是资源共享的
RDS数据库
- 是用户在一个实例下创建的逻辑单元
- 一个实例可以创建多个数据库,在实例内数据库命名唯一
RDS数据库账号
- 每个数据库账号可以用于多个数据库
- 同时每个数据库的读写权限也可被分配给多个数据库账号
创建实例 —> 设置白名单 —> 申请外网地址 —> 创建数据库和账号 —> 开始使用云数据库
- RDS实例购买后,地域不支持更改,如需使ECS实例通过内网连接RDS实例,请确保RDS实例与ECS实例在同一地域。
- 可选的系列取决于选择的地域和数据库类型。不同系列支持的存储类型也不同
- RDS IP白名单支持IP段的格式(如X.X.X.X/X)
- 设置为127.0.0.1表示禁止所有地址访问
- 高权限账号:
一个实例中只能创建一个高权限账号
可以管理所有普通账号和数据库
- 普通账号:
一个实例可以创建多个普通账号
普通账号默认仅拥有登录数据库的权限
- 通过DMS登录RDS MySQL实例
DMS(数据管理服务)支持数据管理、用户授权、安全审计、无锁变更、数据追踪、数据可视化等功能
云原生关系型数据库PolarDB介绍
- 云原生关系型数据库PolarDB是阿里巴巴自主研发的下一代云原生关系型数据库
- 100%兼容MySQL、PostgreSQL、高度兼容Oracle语法,可以像使用MySQL、PostgreSQL、Oracle一样使用PolarDB。具有PolarDBMySQL引擎、PolarDB O引擎、PolarDB PostgreSQL引擎。
- 计算能力最高可扩展至1000核以上,存储容量最高可达 100TB
- 经过阿里巴巴双十一活动的最佳实践,让用户既享受到开源的灵活性与价格的优惠,又享受到商业数据库的高性能和安全性
PolarDB架构
PolarDB产品系列
云原生分布式数据库 PolarDB-X介绍
- PolarDB-X 是由阿里巴巴自主研发的云原生分布式数据库
- 具备水平扩容、金融级高可用、HTAP混合负载、兼容 MySQL 等重要特性
- 专注解决超高并发吞吐、海量数据存储、大表瓶颈等数据库瓶颈难题
- 历经各届天猫双11及阿里云各行业客户业务的考验,助力企业加速完成业务数字化转型
PolarDB-X整体架构
核心组件:
- 元数据服务(Global Meta Service,GMS)
- 计算节点(Compute Node,CN)
- 存储节点 (Data Node,DN)
- 日志节点(Change Data Capture,CDC)
PolarDB-X生态工具
PolarDB-X高度兼容MySQL协议和生态,可支持MySQL开源生态中常用的MySQL驱动(JDBC/ODBC)、多语言兼容(Java/GO/C/C++/Python等)、数据导入导出工具、各种客户端GUI等。PolarDB-X提供完整的生态工具方案
数据库生态工具介绍
数据管理 DMS
数据管理DMS(Data Management Service)是一款支撑数据全生命周期的一站式数据管
理平台,提供全域数据资产管理、数据治理、数据库设计开发、数据集成、数据开发和数据
消费等功能
数据传输服务DTS
数据传输服务DTS(Data Transmission Service)是阿里云提供的实时数据流服务,支持
RDBMS、NoSQL、OLAP等,集数据迁移/订阅/同步于一体,为您提供稳定安全的传输链路
- 系统高可用数据传输服务内部每个模块都有主备架构,保证系统高可用。容灾系统实时检测每个节点的健康状况,一旦发现某个节点异常,会将链路快速切换到其他节点。
- 数据源地址动态适配对于数据订阅及同步链路,容灾系统还会监测数据源的连接地址切换等变更操作,一旦发现数据源发生连接地址变更,它会动态适配数据源新的连接方式,在数据源变更的情况下,保证链路的稳定性
数据迁移过程包括三个阶段,即结构迁移、全量数据迁移和增量数据迁移。
- 结构迁移:在迁移数据之前,DTS需要在目标数据库中重新创建数据结构。
- 全量数据迁移:在全量数据迁移阶段,DTS会将源数据库的存量数据全部迁移到目标数据库 增量数据迁移:当全量数据迁移完成后,DTS会检索本地存储的增量数据,重新格式化并将数 据更新应用到目标数据库中
🤗总结归纳
云数据库RDS规格
共享型可让CPU利用率达到最大化,劣势有资源争抢的风险,稳定性较低
通用型CPU和存储空间是共享的,但内存是独享分配的内存,复用率低于共享型,性能优于共享型
独享型利用复用存储空间,CPU和内存是独享,性能较稳定
只读实例,处理读请求,分担集群中实例的压力
分析实例,业务和分析的隔离
OLTP 用于操作数据
OLAP 用于分析数据
一个实例只能创建一个高权限账号
高权限账号可管理所有普通账号和数据库
一个实例可以创建多个普通账号
普通账号默认只有登录数据库的权限
polardb 计算和存储是分离架构,可以配合容器虚拟化和共享存储技术,增减节点只需要5分钟
polardb 秒级备份 无论多大数据量,全库只需要30秒
Parallel-Raft协议用于保持数据的一致性
GMS 元数据服务 提供数据的位置信息、全局的授权服务、维护账号安全等信息
计算节点 分布式SQL引擎、核心优化器、指引器、分布式路由计算、分布式事物协调、全局索引查询
存储节点 数据存储的引擎 提供高可靠的存储、分布式事务多版本存储、分布式计算下推要求
日志节点 兼容mysql生态主备复制协议,兼容binlog协议和数据格式、支持主备复制协议的交互
参考文章
负载均衡SLB
负载均衡集群
将多台服务器组成一个应用服务器集群,通过负载均衡设备进行访问,共同提供服务
负载均衡分类
负载均衡分为DNS负载均衡、二层(MAC)、三层(IP)、四层(IP+Port)、七层(HTTP)负载均衡等,最常见的四层和七层负载均衡,四层负载均衡效率更高、七层负载均衡更灵活
负载均衡算法
负载均衡算法主要分为静态和动态两类。静态负载均衡算法以固定的概率分配任务,不考虑服务器的状态信息,如轮询算法、加权轮询算法、随机法等;动态负载均衡算法以服务器的实时负载状态信息来决定任务的分配,如最小连接法、加权最小连接法等
阿里云负载均衡SLB产品家族介绍
负载均衡SLB(Server Load Balancer)是一种对流量进行按需分发的服务,通过将流量分发到不同的后端服务器来扩展应用系统的吞吐能力,并且可以消除系统中的单点故障,提升应用系统的可用性
负载均衡SLB产品功能特性对比
传统型负载均衡CLB
传统型负载均衡CLB(Classic Load Balancer)【原负载均衡SLB(Server Load Balancer)】是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务
传统型负载均衡CLB基础架构
负载均衡基础架构是采用集群部署,提供四层(TCP协议和UDP协议)和七层(HTTP和HTTPS协议)的负载均衡。
- 四层:LVS(Linux VirtualServer)+ keepalived
- 七层: Tengine
传统型负载均衡CLB实现原理:入网流量
对于入网流量,根据用户转发策略进行转发和处理:
- TCP/UDP协议和HTTP/HTTPS协议的流量都需要经过LVS集群进行转发。
- LVS集群内的节点服务器均匀分配访问请求,通过会话同步策略保证高可用。
- 四层协议,根据策略转发到后端服务器
- 七层协议,先转发到Tengine集群,由Tengine集群转发到后端服务器
传统型负载均衡CLB实现原理:出网流量
- SLB和后端ECS之间是内网通信
- 如需直接通过后端ECS对外提供服务,或后端ECS需访问外网,则需要相应的配置或购买ECS、公网IP、弹性公网IP、NAT网关等服务
传统型负载均衡CLB的组成
实例:接收流量,分配给后端服务器。一个CLB实例,至少添加一个监听和两台云服务器
监听:检查客户端请求,将请求转发给后端服务器。对后端服务器进行健康检查
后端服务器:一组接收前端请求的云服务器,支持ECS、ECI和ENI作为后端服务器。可单独添加或通过虚拟服务器组或主备服务器来批量添加管理
CLB实例类型
公网类型的CLB
- 创建实例时,自动分配公网IP,IP不能解绑。
- 将域名和公网IP进行绑定,通过互联网接受客户端的访问请求。
- 支持包年包月时,按量付费
私网类型的CLB
- 通过私网IP对外提供服务。
- 可配合EIP提供公网负载均衡能力,EIP和CLB可以灵活解绑。
- EIP加入共享带宽,可使用包年包月、按量计费和95带宽峰值计费
CLB实例规格
目前SLB支持两种规格:
- 性能共享型实例:资源是所有实例共享的,不保障实例的性能指标。
- 性能保障型实例:提供了可保障的性能指标。当指标超过限定值时,新建连接请求将被丢弃
CLB实例高可用
- 单CLB实例的高可用
大部分地域支持多可用区以实现同地域下的跨机房容灾
- 多CLB实例的高可用
可以创建多个CLB实例,通过云解析DNS对访问进行调度,或通过全球负载均衡解决方案实现跨地域容灾备份
两地三中心
CLB会话保持
会话保持:在Session的生命周期内,可以将同一客户端请求转发到同一台后端ECS上
- 四层:同一IP地址的请求持续发往一台服务器
- 七层:相同cookie的请求发往一台服务器
CLB健康检查
SLB通过健康检查来判断后端服务器(ECS实例)的业务可用性。
- 健康检查机制避免了后端ECS异常对总体服务的影响,提高了前端业务整体可用性。
- 负载均衡采用集群部署。集群内的相关节点服务器同时承载了数据转发和健康检查职责
CLB监听转发/HTTPS重定向
SLB支持通过将HTTP监听转发至HTTPS监听,实现HTTPS重定向。
配置方法:
1、创建HTTPS监听
2、创建HTTP监听,在配置监听时,点击开启“监听转发”功能,选择目的监听为上一步中创建的HTTPS监听
CLB虚拟服务器组
虚拟服务器组(VServer Groups)是一组云服务器实例。可实现将流量转发给关联的虚拟服务器组的后端服务器,不再转发给其他后端服务器
CLB主备服务器组
应用场景:传统的主备需求,即后端服务器中有一台主机和一台备机。
当主机正常工作时,流量转发到主机;当主机不可用时,流量将切换到备机,避免服务中断
注意:
1、主备服务器组只支持四层监听(TCP/UDP)
2、一个主备服务器组只允许添加两个ECS实例,其中一个作为主机,另外一个作为备机
CLB的SSL证书管理
针对HTTPS协议,提供统一的证书管理服务。证书无需上传到后端ECS实例,解密处理在负载均衡上进行,降低后端ECS实例的CPU开销
CLB的日志管理
操作日志
- 集成了操作审计(ActionTrail)的管控事件功能,
- 记录账号在CLB产品内的访问和使用行为
健康检查日志
- 查看三天内的健康检查日志,
- 支持将健康检查日志存储到对象存储OSS
访问日志
- 收集所有发送到负载均衡的请求的详细信息;
- 支持将访问日志存储在日志服务(SLS)的日志库(Logstore)中;
- 基于访问日志分析客户端用户行为、排查问题
应用型负载均衡ALB
应用型负载均衡ALB(Application Load Balancer)
- 专门面向应用层负载场景
- 具备超强弹性及大规模应用层流量处理能力
- 具备处理复杂业务路由的能力
- 与云原生相关服务深度集成
- 云原生Ingress网关
- 包含基础版和标准版
应用型负载均衡ALB的组成
ALB跨可用区负载均衡
ALB可将流量跨可用区分发
- 可用区间建立实时的业务容灾
- 某个可用区故障不影响其它可用区的流量转发
网络型负载均衡NLB
网络型负载均衡NLB(Network Load Balancer )是阿里云面向万物互联时代推出的新一代四层负载均衡,支持超高性能和自动弹性能力,单实例可以达到1亿并发连接,帮您轻松应对高并发业务
网络型负载均衡NLB组成
网络型负载均衡NLB类型
NLB跨可用区负载均衡
默认情况跨可用区转发功能开启,NLB分配流量到所有可用区的后端服务器
关闭跨可用区转发功能后,NLB分配流量到自己所选可用区的后端服务器
调度算法
负载均衡SLB操作流程
创建实例
登录应用型负载均衡ALB控制台。在实例页面,创建应用型负载均衡,配置地域、实例网络类型、PC、可用区、IP模式、共享带宽、公网计费方式、资源组等。
- 需要选择2个以上可用区
- IP模式:
- 固定IP:每个可用区有且只有一个IP,并且IP地址保持固定不变。
- 动态IP:每个可用区至少有一个IP,随着业务请求的增加,会自动扩展IP数量。
创建后端服务器组
- 在服务器组页面,单击创建服务器组并进行配置
- 创建完成后,添加后端服务器
- 服务器组类型:
- 服务器类型:按照ECS实例添加后端服务器。
- IP类型:按照IP地址添加后端服务器。
- 函数计算类型:按照函数形式添加后端服务器。
配置监听
在负载均衡实例内配置监听,配置负载均衡协议、监听端口、监听名称、高级配置等,并关联服务器组
负载均衡协议:
- HTTP,Web应用等
- HTTPS,加密传输的应用
- QUIC,使用QUIC协议的应用
HTTP端口所有请求均重定向至HTTPS
HTTPS是加密数据传输协议,安全性高。当企业进行HTTPS安全改造后,为了方便用户访问,可以使用ALB
在用户无感知的情况下将HTTP访问重定向至HTTPS。通过配置监听规则实现
实现健康检查探测
健康检查探测是根据负载均衡监听中的健康检查配置生成探测脚本,通过ECS云助手在您的ECS实例上
执行脚本,获取健康探测结果,用于在您配置后端服务器后提前探测后端服务器的健康状态
通过控制台查看监控
结合阿里云云监控服务,可以查看负载均衡的云监控数据,如连接数、数据包数和流量等。
🤗总结归纳
虚拟服务器组添加云服务器实例时,地域需要和CLS相同
双栈是支持IPV4和IPV6
四元组哈希 对源地址 源端口 目标地址 目标端口做匹配
弹性伸缩ESS
弹性伸缩(Auto Scaling),是根据用户的业务需求和策略,经济地自动调整弹性计算资源的管理服务。
- 弹性扩容:在业务需求增长时无缝增加ECS实例满足计算需要
- 弹性缩容:在业务需求下降时自动减少ECS实例节约成本
- 弹性自愈:定期检查ECS实例的运行状态,将不健康的实例进行替换
弹性伸缩ESS的产品优势
AutoScaling的功能
- 功能1:根据客户业务需求自动调整计算实例数量
- 定时模式
- 动态模式
- 固定数量模式
配置周期性任务,定时地增加/减少计算实例
基于云监控性能指标(如CPU、内存利用率),自动增加、减少实例
通过“最小实例数”属性,始终保持健康运行的实例数量,自动替换不健康实例
- 功能2:自动向SLB的后端服务器组中添加或移除相应的计算实例
- 功能3:自动向RDS访问白名单中添加或移除计算实例的IP
AutoScaling的组成
弹性伸缩ESS的工作原理
伸缩活动流程
冷却时间介绍
冷却时间指伸缩组成功执行伸缩活动后的一段锁定时间。在冷却时间内,伸缩组会拒绝由报警任务触发的伸缩活动请求。但非报警任务(手动执行任务、定时任务等)触发的伸缩活动可以立即执行,绕过冷却时间。两种方式配置冷却时间:
- 在伸缩组中配置默认冷却时间,默认冷却时间不能为空。
- 在伸缩规则中配置冷却时间,如果不配置,将使用默认冷却时间
生命周期挂钩
生命周期挂钩是一个管理伸缩组内ECS实例或ECI实例生命周期的工具。弹性伸缩会自动触发扩缩容活动,并触发生命周期挂钩使伸缩活动中的ECS实例或ECI实例处于挂起中的状态(即等待的状态),为您保留一段自定义操作的时间,直至生命周期挂钩超时结束
弹性伸缩ESS使用流程
- 创建伸缩组
伸缩组是弹性伸缩的核心单元,用来管理满足该公司业务需求的一组实例。弹性伸缩将会在该伸缩组内自动增加或减少实例
- 创建伸缩配置
伸缩配置是扩容时ECS实例使用的模板,包括实例规格、存储、公网IP、安全组等配置信息。弹性伸缩使用该伸缩配置创建具有相同配置的ECS实例
- 创建伸缩规则
伸缩规则用来指定每次伸缩活动的规则,如增加或者减少ECS实例的数量,或者智能设置伸缩组的最大或最小实例数
- 创建报警任务
报警任务通过监控特定的监控指标,对数据指标进行实时的统计,当统计值满足您指定的报警条件时,触发报警并执行您指定的伸缩规则
云数据库Redis
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库。
- Redis支持数据的持久化,周期性的把内存中更新的数据写入磁盘或者把修改操作写入追加的记录文件,重启的时候可以再次加载进行使用。
- Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set,zset,hash等数据结构的存储。
- Redis支持数据的备份,即master-slave模式的数据备份。
- Redis的所有操作都是原子性的,同时Redis还支持对几个操作合并后的原子性执行。
- Redis还支持 publish/subscribe, 通知, key过期等高级特性
Redis使用场景
📝主旨内容
云数据库 Redis
云数据库Redis版(ApsaraDB forRedis)是兼容开源Redis协议标准、提供混合存储的数据库服务
- 包含社区版Redis和企业版Tair
- 支持主从、集群和读写分离架构
- 具备低延迟、大吞吐、弹性扩缩容的特点。
- Tair提供多种系列满足不同场景的性价比要求,更有全球多活、数据闪回、大热Key探测与优化、丰富的数据结构,赋能大规模高性能要求的在线数据业务
部署架构
云数据库 Redis标准版-双副本
标准版-双副本模式采用主从(master-replica)模式搭建。主节点提供日常服务访问,备节点提供HA高可用,当主节点发生故障,系统会自动在30秒内切换至备节点,保证业务平稳运行。
适用场景:
- 对Redis协议兼容性要求较高的业务。
- Redis作为持久化数据存储使用的业务。
- 单个Redis性能压力可控的场景。
- Redis命令相对简单,排序和计算之类的命令较少的场景
云数据库 Redis标准版-单副本
标准版-单副本采用单个数据库节点部署架构,没有可实时同步数据的备用节点,但提供数据持久化和备份恢复机制,适用于数据可靠性要求不高的纯缓存业务场景使用。单副本版本具有明显的价格优势,性价比较高。
适用场景:
- 纯缓存类业务场景。
- 对Redis协议兼容性要求较高的场景。
- 单个Redis性能压力可控的场景。
- Redis命令相对简单,排序和计算之类的命令较少的场景
云数据库 Redis集群版-双副本
集群架构的本地盘实例默认采用代理(proxy)模式,支持通过一个统一的连接地址(域名)访问Redis集群,客户端的请求通过代理服务器转发到各数据分片,代理服务器、数据分片和配置服务器均不提供单独的连接地址,降低了应用开发难度和代码复杂度。
适用场景:
- 数据量较大的场景。
- QPS压力较大的场景。
- 吞吐密集型应用场景
云数据库 Redis集群版-单副本
针对纯缓存类业务、QPS压力较大的业务场景,云数据库Redis推出单副本集群版实例,轻松突破Redis自身单线程瓶颈,满足Redis大容量或高性能的业务需求。相比于双副本集群版,提供了更高的性价比。
适用场景:
- 数据量较大的场景。
- 纯缓存类业务场景。
- QPS压力较大的场景。
- 吞吐密集型应用场景。
- 对数据持久化无要求的缓存类型业务场景
云数据库 Redis读写分离版
读写分离版主要由主备节点、只读节点、Proxy(代理)节点和高可用系统组成。
适用场景:
- 读取请求QPS压力较大的场景。
- 对Redis协议兼容性要求较高的业务场景。
- Redis作为持久化数据存储使用的业务场景
云数据库 Redis的容灾方案
Redis社区版和企业版选型
云数据库Redis企业版(Tair)简介
云数据库Redis操作配置
规格选型—>创建Redis实例—>设置白名单—>连接Redis实例—>管理Redis实例
- 结合产品性能、价格、业务场景(例如用作高速缓存还是内存数据库 )、工作负载等因素,选择实例的类型与规格
- 根据选型规格进行实例的创建,并进行实例的地域和可用区、网络、版本类型、架构类型、节点规格、购买时长、密码等配置
- 白名单设置方法分为手动添加和安全组添加:
- 手动添加客户端所属的IP地址到Redis实例的白名单,以允许该客户端访问Redis实例。
- 如果需要授权多个ECS实例访问Redis实例,可以通过为Redis实例绑定ECS所属安全组的方式实现快速授权(无需手动填写ECS的IP地址),提升运维的便捷性
- Redis实例创建完成后,可以在实例的基本信息页面中查看到连接地址信息。直连地址和公网连接地址需要手动申请
- 常用的Redis连接方式:
- 通过DMS登录Redis
- 通过客户端程序连接Redis
- 通过redis-cli连接Redis
Redis全局概览
云数据库Redis版提供全局概览功能,展示当前账号下实例大盘、资源分布和计划内事件,以及常见功能的快速入口和产品最新动态,帮忙您更好地掌握全局实例信息,降低管理成本
了解Redis性能边界
排查Redis实例CPU使用率高的问题
排查Redis实例内存使用率高的问题
通过Proxy Query Cache优化热点Key问题
🤗总结归纳
参考文章
容器服务ACK
容器的概念
- 容器技术是一种轻量级的操作系统级虚拟化技术
- 用户通过容器镜像来交付应用,其中包含了应用程序及所需的运行时依赖。
- 容器镜像具有良好的可移植性,可以在不同环境下保证部署的一致性
- 容器之间运行时相互隔离,具有相当好的安全性
容器与虚拟化的对比
容器应用架构
kubernetes概念
kubernetes架构
① 发出指令
② API响应指令,存储etcd,创建Deployment
③ 控制器发现资源,并加入到工作队列,创建POD
④ 创建完成,更新存储etcd
⑤ 资源调度根据规则将POD绑定主机
⑥ 绑定结果存储etcd
⑦ Kubelet基于运行情况增加POD
⑧ Kubelet创建增加的新POD
⑨ kube-proxy对POD服务发现和负载均衡
⑩ 控制器检测POD运行情况,删除或重新创建
容器的应用场景
容器技术可以应用在非常多的场景热门的场景包括: DevOps、云应用管理和微服务,这三个场景对容器技术要求较高
阿里云容器服务矩阵
容器服务ACK产品
ACK包含了专有版Kubernetes(Dedicated Kubernetes)、托管版Kubernetes(Managed Kubernetes)、Serverless Kubernetes三种形态
容器服务ACK集群系统架构
ACK授权
容器服务ACK的授权体系包含对基础资源层的RAM授权和对ACK集群层的RBAC(Role-Based Access Control)授权两部分
容器服务ACK可观测性体系
ACK弹性伸缩
ACK弹性伸缩-资源层弹性组件
容器服务ACK弹性伸缩-调度层弹性组件
容器服务ACK灰度发布
灰度发布,又称金丝雀发布,是将应用的旧版本A与新版本B同时部署在环境中,业务请求可能会被路由到版本A的后端上,也可能会被路由到版本B的后端上
容器服务ACK与自建Kubernetes对比
ACK操作配置
容器服务ACK的集群创建过程
- 在容器服务管理控制台的集群列表中创建集群,并配置集群的相关参数
- 在新创建的ACK集群中部署无状态应用(Deployment)
- 设置服务的相关参数,并通过该服务公开应用
- 在服务列表页面,找到新创建的服务,单击外部端点列的IP地址,即可访问测试
- 监控应用的运行状况,如CPU使用率、内存利用率、网络I/O压力等指标可以查看应用的资源使用情况,包括创建应用时所设置的资源阈值,即所需资源和资源限制。
- Kubectl是标准的Kubernetes命令行管理工具,通过Kubectl可以连接和管理阿里云容器服ACK的所有集群类型
🤗总结归纳
敏捷基础设施
松耦合的应用架构
创新管理概念
持续交付 快速交付高质量的应用程序 本质是软件产品稳定持续保持随时可发布状态 目的促进产品迭代更频繁
持续集成 频繁的开发的分支代码合并主干分支 本质是确保开发人员新增代码与主干代码正确
在合并主干分支之前,都需要持续编译、构建和测试、以提前验证和检查存在的缺陷
cgroup 将linux底层资源进行隔离
namespace 视图隔离
chroot 文件系统隔离
参考文章
致谢:
有关Notion安装或者使用上的问题,欢迎您在底部评论区留言,一起交流~
企业应用服务的通用知识
域名DNS
域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网
- 客户端查询访问域名的IP地址,请求DNS服务器
- DNS服务器返回IP地址
- 客户端根据IP访问服务器
www.example.com.cn
- 互联网名称与数字地址分配机构(ICANN)负责管理和协调国际互联网络域名系统。
- 根据ICANN的定义,一个完整的域名至少有两个部分,各部分之间用“.”来分隔
- 最后一个“.”的右边部分称为顶级域名,也称为一级域名;
- 最后一个“.”的左边部分称为二级域名;
- 二级域名的左边部分称为三级域名
- 以此类推,每一级的域名控制它下一级域名的分配
HTTP与HTTPS访问
HTTP
- HTTP(HyperText Transfer Protocol:超 文本传输协议)是一种用于分布式、协作 式和超媒体信息系统的应用层协议
- HTTP 默认工作在 TCP 协议 80 端口,用户访问网站 http:// 打头的都是标准 HTTP服务
- HTTP 协议以明文方式发送内容,不提供任何方式的数据加密
HTTPS
- HTTPS=HTTP+SSL,基于SSL协议的网站加密传输协议,是HTTP的安全版
- HTTPS 默认工作在 TCP 协议443端口
- 数据传输过程是加密的,安全性较好,提供对网站服务器的身份认证,保护交换数据的隐私与完整性
SSL数据加密
- 安全套接层SSL(Secure Sockets Layer)协议是一种可实现网络通信加密的安全协议,可在浏览器和网站之间建立加密通道。
- SSL证书采用SSL协议进行通信,是由权威机构颁发给网站的可信凭证,具有网站身份验证和加密传输双重功能。
- SSL证书采用公钥体制,即利用一对互相匹配的密钥对进行数据加密和解密
企业网站建设流程
域名注册认证—>网站建设备案—>配置域名解析—>部署SSL证书—>网站上线
阿里云域名服务优势
域名服务使用流程
如果想通过一个域名来提供您的网站、邮箱等业务服务,您可以在阿里云域名注册平台上注册一个属于您的域名。注册域名后,您还需完成实名认证、备案、解析流程,最终您的域名可被访问并对外提供服务
注册—>域名实名认证—>备案—>域名解析
如果您中意的域名已被人注册,您可以在阿里云域名交易平台上,选择适合的方式购买域名。域名购买成功后,您需要等待卖方将域名转移给您,并进行域名过户和实名认证。可能后续还需进行备案、重新解析,最终您的域名可被访问并对外提供服务
查询—>购买域名—>转移/过户—>域名实名认证—>备案—>域名解析
域名安全
- 开启注册局安全锁
注册局安全锁是目前最高等级的域名安全保护措施,由注册局在根服务器层面操作,禁止域名被恶意转移、篡改及删除。
- 开启禁止转移锁
如果您的域名注册商是阿里云,您可以免费开启禁止转移锁。开启后域名将被置为注册商禁止转移状态(clientTransferProhibited),避免您的域名被恶意转出阿里云
- 开启禁止更新锁
如果您的域名注册商是阿里云,您可以免费开启禁止更新锁。开启后可防止您的域名注册信息(域名联系人、电话、地址、传真、电子邮箱)、域名DNS服务器被恶意篡改。
- 填写真实的所有者信息 当域名发生归属权纠纷问题时,域名管理机构会根据域名注册信息中的所有者信息判定域名的归属权。
- 严禁泄露阿里云账号和密码 不要向其他人泄漏您的阿里云账号和密码
云解析DNS
云解析 DNS(Domain Name System,简称DNS) 是一种安全、快速、稳定、可靠的权威DNS
解析管理服务。 它能够帮助企业和开发者将易于管理识别的域名转换为计算机用于互连通信的数
字IP地址,从而将用户的访问路由到相应的网站或应用服务器。
- 稳定可靠
提供100%的权威DNS解析服务可用性保障,确保用户的网站或应用始终在线并稳定运行
- 安全保障
每秒最高可承受过亿次DNS查询,保障网站或应用服务免受DNS攻击威胁
- 智能解析
可根据用户地理位置,智能返回IP地址。线路已覆盖中国6大运营商及省份,海外6大洲及88个国家/地区
- 全球节点
全球20个DNS集群节点和DNS智能加速服务。可为用户提供就近访问和最低延迟的解析能力
智能解析
DNS Cache
DNS Cache 是一种DNS代理,无需DNS系统迁移即可享受阿里DNS基础设施,即可帮助企业提升DNS防护、DNS访问速度、DNS服务备份
数字证书管理服务
数字证书管理服务(Certificate Management Service)是由阿里云联合全球多家数字证书颁发机构,在阿里云平台上直接提供数字证书申请、管理、部署等的服务:
- 数字证书管理服务同时支持SSL证书和私有证书
- 低成本将数据传输协议从HTTP转换成HTTPS
- 实现网站或移动应用的身份验证和数据加密传输
证书选型
阿里云证书品牌及加密算法
阿里云SSL证书服务支持RSA、ECC和SM2三种加密算法。
- RSA:目前应用广泛的非对称加密算法,兼容性好。
- ECC:椭圆曲线公钥密码算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
- SM2:国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。
阿里云SSL证书私钥保护原理
证书加急和部署服务
SSL证书概览
SSL证书概览页面展示了需要您处理的SSL证书维护相关任务、您拥有的SSL证书相关资源的概况,并提供了SSL证书服务的最新动态和常用教程,方便您快速应用SSL证书及掌握服务全貌
🤗总结归纳
参考文章
致谢:
有关Notion安装或者使用上的问题,欢迎您在底部评论区留言,一起交流~
CDN
- 时延——用户请求网页到网页最终呈现的时间差。时延是由多种因素造成的,其中普遍存在的因素是用户和网站服务器的物理距离。
- 8秒定律:用户满意的网页打开时间是在2秒以下,如果等待网页打开的时间超过8秒,会有超过30%的用户放弃等待。
CDN解决了哪些问题
CDN,通俗理解就是网站加速,可以解决跨运营商,跨地区,服务器负载能力过低,带宽过少等导致的网络响应速度慢的问题
- 不用担心自己网站访客,在任何时间,任何地点,任何网络运营商,都能快速打开网站。
- 各种服务器虚拟主机带宽等采购成本,包括后期运维成本都会大大减少。
- 给网站直接带来的好处就是:流量,咨询量,客户量,成单量,都会得到大幅度提升
内容分发网络CDN的概念
CDN内容分发网络(Content Delivery Network):
- 建立并覆盖在承载网之上
- 由遍布全球的边缘节点服务器群组成
- 分担源站压力,避免网络拥塞
- 解决跨地域跨运营商网络性能问题
- 提供稳定快速的加速服务
- 面向开发者的生态可自定义加速逻辑
CDN将源站资源缓存到阿里云遍布全球的加速节点,当终端用户请求访问和获取源站资源时无需回源,可就近获取CDN节点上已经缓存的资源,提高资源访问速度,同时分担源站压力
内容分发网络CDN产品架构
内容分发网络CDN加速原理
CDN操作流程
- 阿里云CDN支持的源站类型包括OSS域名、IP、源站域名和函数计算域名,每种源站类型都支持配置多个源站地址,多源站场景下,支持设置源站的主备优先级和权重,实现负载均衡
- 在阿里云CDN控制台开启的HTTPS协议,将实现客户端和阿里云CDN节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密,还需要配置CDN节点以HTTPS协议回源到源站服务器(源站服务器需要支持HTTPS协议)
- OCSP(Online Certificate Status Protocol,在线证书状态协议)可实现由CDN预先缓存在线证书验证结果并下发给客户端,无需浏览器直接向CA站点查询证书状态,从而减少用户验证时间
访问控制功能配置
- Referer是HTTP请求头的一部分,携带了HTTP请求的来源地址信息(协议+域名+查询参数),可用于识别请求来源。
- 配置Referer黑白名单后,CDN会根据名单识别请求身份,允许或拒绝访问请求。
- 允许访问请求,CDN会返回资源链接;
- 拒绝访问请求,CDN会返回403响应码
URL鉴权功能通过阿里云CDN加速节点与客户资源站点配合,形成了更为安全可靠的源站资源防盗方法。主要由以下几个部分配合:
- 源站应用服务器:根据鉴权URL生成规则(包括鉴权算法、密钥)生成鉴权URL返回给客户端。
- 客户端:发起资源请求,并发送鉴权URL给CDN节点进行验证。
- CDN节点:对鉴权URL中的鉴权信息(鉴权字符串、时间戳等)进行验证
- Range回源,指CDN节点在回源的HTTP请求里面携带了Range信息,源站在收到CDN节点的回源请求时,根据HTTP请求头中的Range信息返回指定范围的内容数据给CDN节点。
- Range回源可有效提高文件分发效率,可以提高缓存命中率,减少回源流量消耗和源站压力,并且提升资源响应速度
全站加速DCDN概述
- 全站加速DCDN(Dynamic Route for Content Delivery Network)是阿里云自主研发的产品,在CDN静态加速服务的基础上,进一步提供了动态加速、TCP和UDP四层加速、Websocket加速等能力;
- 可以快速地将安全、边缘计算等能力集成到全站加速的全球2800+节点,提升全站性能和用户体验,实现业务提效
SCDN概述
SCDN(Secure Content Delivery Network)即拥有安全防护能力的CDN服务,为您提供
安全CDN带宽和独享资源,并提供全网100万QPS,单节点6万QPS能力,同时支持频次控制和流量管理等功能。加速节点的分布式架构具备防网络攻击的能力,真正实现加速和安全兼顾
PCDN概述
- P2P 内容分发网络(英文名:P2P CDN,以下简称PCDN)是以P2P技术为基础,通过挖掘利用电信边缘网络海量碎片化闲置资源而构建的低成本高品质内容分发网络服务。
- 客户通过集成PCDN SDK(以下简称SDK)接入该服务后能获得等同(或略高于)CDN的分发质,同时显著降低分发成本。适用于视频点播、直播、大文件下载等业务场景
🤗总结归纳
参考文章
致谢:
有关Notion安装或者使用上的问题,欢迎您在底部评论区留言,一起交流~
云监控
监控是IT运维的“眼”,通过监控系统能查看整个业务系统各个环节运行的状态,及时发现IT系统中存在的问题和隐患,及时发现并解决问题,保障业务的连续性
数据采集—>异常检测—>告警通知—>状态展示
监控系统的功能
云监控的概念
云监控(CloudMonitor) 是一项针对阿里云资源和互联网应用进行监控的服务。云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务可用性,以及针对指标设置警报
云监控的产品架构
云监控收费概览
企业云监控功能概览
云监控的操作配置
- 用户的一个应用部署在多台ECS实例上,可以将部署了相同应用的多台ECS实例监控信息添加在同一张监控图表中,查看相关多台机器的监控数据变化趋势。 例如在一张图表中同时展示ECS多个实例各自的CPU使用率的时间序走势
- 云监控每分钟统计一次CPU消耗Top5的进程,记录这些进程的CPU使用率、内存使用率和打开文件数
- 事件监控提供事件类型数据的上报、查询和报警功能,方便将业务中的各类异常事件或重要变更事件收集上报到云监控,并在异常发生时接收报警
- 日志监控的业务流程
1.通过日志服务收集日志。
2.授权云监控读取日志服务数据的权限,查询您的日志。
3.使用日志监控定义监控指标和日志数据处理方式。
4.为监控指标设置报警规则
🤗总结归纳
参考文章
致谢:
有关Notion安装或者使用上的问题,欢迎您在底部评论区留言,一起交流~
上一篇
CCNP笔记
下一篇
Golang
Loading...