云计算ACP
2021-03-10 23:03:33 8 举报AI智能生成
阿里云,云计算ACP认证考试。
作者其他创作
大纲/内容
ECS
扩展
垂直扩展:升配
磁盘挂载
只有在稳定(运行中,已停止)状态才能挂载磁盘,其他状态都不行
水平扩展:弹性伸缩
ECS升级CPU或内存等配置需要重启才可享受升级后的配置。
可用区
用户购买时指定,且购买后不可更改
隔离性
同账号下,同一地域ECS实例内网都可以互通。
成本管理
ESC暂时不用,可以制作自定义镜像,并释放该实例
快照
磁盘快照存储的位置是OSS(非自建)
安全组
网络安全控制功能
最多可以加5个,至少1个
安全组中禁止访问的规则需要高于允许访问的规则
不支持MAC授权
弹性伸缩
伸缩组
伸缩规则
加入或移出N个实例
伸缩配置
设置ECS实例的规格
伸缩活动
冷却时间
上一次伸缩完成后开始计时
伸缩组重启后,原冷却时间失效
步骤
手工加入的步骤:
1. 判断伸缩组的健康状态、边界条件和 ECS 实例的状态、类型。
2. 分配 ActivityId 和执行伸缩活动。
3. 加入 ECS 实例。
4. 修改 Total Capacity。
5. 添加 RDS 白名单。
6. 挂载负载均衡,将权重设为当前伸缩组中已激活的伸缩配置上指定的“负载均衡权重”。此处使用了伸缩配置上指定的“负载均衡权重”。
7. 伸缩活动完成,启动 cooldown。
伸缩对象
手工创建的ECS实例
移出时不会停止、释放
根据伸缩配置、伸缩规则自动创建的实例
移出时会停止、释放
两种伸缩模式
定时任务、报警任务
优先级:同时只有一个伸缩任务执行,两种任务没有优先级之分
手动伸缩
条件:ECS状态为运行中
弹性自愈
弹性自愈即当检测到某台ECS实例处于不健康状态时。弹性伸缩自动释放不健康ECS实例并创建新的ECS实例,
自动添加新ECS实例到负载均衡实例和RDS实例的访问白名单中
API服务
地址:ecs.aliyuncs.com
默认返回格式XML
NetworkManager
Linux系统不要开启该服务。
该服务实现网络的配置和管理,NetworkManager服务启动以后可能会导致系统内部的网络配置出现紊乱。
服务器安全托管
是针对ECS的托管服务
SLB
基本使用
阿里云的负载均衡SLB目前只支持阿里云的云服务器ECS实例,不支持其他服务器。
移除ESC时应先将权重修改为0
流量分发
四层流量转发
LVS
基于源IP实现会话保持,保持时间最长3600s
走默认路由,如有外网网卡,则先走外网网卡
主备服务器组仅支持四层监听(TCP、UDP)
七层流量转发
通过Tengine实现
在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性;
Nginx是当前最流行的7层负载均衡开源软件之一;
根据Xhttp头部的-Forwarded-For获取来访者真实IP
基于cookie实现会话保持
基于域名或URL路径进行转发
只有7层监听(HTTPS/HTTP协议)支持配置URL转发策略
健康检查
健康检查配置|七层监听|四层监听
健康/不健康阈值的含义是尝试N次
四层监听
检查端口
UDP和TCP监听无法关闭健康检查
七层监听
检查状态码
只有HTTP和HTTPS监听支持关闭健康检查。
转发顺序
当用户流量经过负载均衡某端口时,我们首先判断其是否能够匹配上某条“转发规则”,如果匹配,则将流量转发到该规则的后端服务器组上;
若不匹配并且在该监听上设置了虚拟服务器组,那么将流量转发到该虚拟服务器组上
若用户没有在该监听上设置虚拟服务器组,即将流量转发到实例级别添加的各后端服务器中
监听设置
允许设置50个
对监听设置的峰值带宽是不共享的
不同地域的SLB负载——DNS轮询
https证书
仅支持PEM格式
状态
unavailable——未开启健康检查
云盾
补丁管理服务
补丁来自于阿里自己研发
绿网:云盾体系内的业务防护模块
保护网站内容安全,屏蔽小黄图、敏感话题等
云盾安骑士
数据风控
WEB应用系统,可以采用JavaScript方式来采集“刷库”等业务风险信息
Web应用防火墙(WAF)
防止密码破解(收费功能)
防止被爬虫
阿里云以外的服务器可以通过安骑士客户端管理控制台生成的安装验证key,实现与账号管理
DDOS:恶意网络攻击行为
基础防护
最高5GDDos防护
高级防护
支持四层和七层抗攻击能力
支持弹性按天计算
升级防护不会导致服务中断
支持电信、联通、BGP、HK线路(海外线路)
部分免费
IP白名单
屏蔽某个/某段IP频繁非法访问的情况
安全管家:专业技术人员运维实例
云安全中心(态势感知)
作用
非常用ip登录RDS时会收到报警
可以发现webshell,恶意病毒攻击
安装验证key
大数据安全分析平台,能对云上资产进行安全告警;
并用机器学习发现潜在的入侵和高隐蔽攻击,回溯攻击历史,预测即将发生的安全事件
先知计划
应急响应中心——收集漏洞情报
专有网络VPC
系统路由
用于专有网络内的云产品实例访问专有网络外的云服务(用于交换机内的云产品通信)
路由器
路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备
每个路由器关联一张路由表
使用步骤:1-创建VPC,路由器会自动创建;2-创建交换机
默认专有网络与非默认专有网络的操作方式与规格限制一致
高速通道实现VPC之间的私网通信
专用网络VPC下面的ECS,不管是否绑定了EIP,在设置安全组的时候,只可以设置内网规则,外网规则是不可以选的
三层网络访问控制在阿里云中是通过安全组实现的
修改私网IP需要保证ECS处于已停止的状态
弹性公网
每个弹性公网IP只能绑定到同一地域的一个VPC网络的云产品实例上。
收费
弹性公网(EIP)
绑定条件
ECS实例的网络类型必须为专有网络
ECS实例地域必须与EIP地域相同
EIP可绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例和NAT网关上。所以不支持绑定到经典网络的ECS实例上。
OSS
ECS要通过内网访问OSS的Bucket,需要处于同一地域
OSS针对VPC有一套自己的内网地址,地址如:vpc100-oss-cn-beijing.aliyuncs.com
安全
防盗链
基于Http Header中refer字段实现
ip白名单
Bucket文件复制
文件上传
接口
CopyObject接口
节省网络带宽,无需下载、上传过程
ModifyLoadBalancerInternetSpec
修改计费方式
文件上传接口
Put Object
Multipart Upload(断点续传)
文件访问
在浏览器中直接访问图片等,需要绑定用户自定义域名
费用
存储费用
包年包月、按量付费
流量费用
包年包月、按量付费
OSS API费用
只有按量付费
Bucket
OSS创建后其地域不可更改
名称全局唯一,且创建后不可更改
Object
单个Object的大小限制是48.8T,但是每个Bucket的容量是没有上限的
组成
元信息(Object Meta)
用户数据(Data)
文件名(Key)
域名绑定:目前仅支持3级域名;经过工信部备案
多媒体转码服务MTS
应用于在线音、视频直播
磁盘数据迁移
闪电立方
PB级数据迁移
OSSImport
生命周期管理
定期删除n天前的object
分享
私有bucket分享机制
对外分享的内容是限时有效
CDN
任何地域都会产生回源流量费
加速域名
CDN加速域名“停用”和“删除”的区别?
使用的解析服务商可以是阿里云以外的公司
ip黑名单功能
网站媒体内容可以保存在ECS的硬盘中,不一定需要使用OSS来作为媒体内容的存储。
HTTPDNS
面向移动开发者推出的一款域名解析产品,具有域名防劫持、精准调度等特性
BGP(边界网关协议)
多线BGP
解决跨运营商的网络访问速度瓶颈
单IP多线路,将IDC与其他运营商互联
BGP线路主要为OSS,和DDoS高防IP提供服务
CDN的全部缓存节点并没有采用BGP线路
RDS
内外网切换会导致IP变更
云监控(CloudMonitor)
业务监控预警
支持未部署在阿里云产品上的网站
用户可以使用云监控提供的事件订阅功能,从消息队列消费报警信息
数据只能查看(控制台或接口),不能下载
计算机、网络基础
TCP/IP
使全球计算机连接在一起的协议
渗透测试是通过模拟恶意黑客的攻击方法
操作系统级别监控指标包含内存使用率、平均负载、磁盘 IO 读/写、磁盘使用率、TCP 连接数、进程总数等。
请注意CPU使用率不属于操作系统级别监控。
阿里云管理
RAM(Resource Access Management)——子账号管理
ICP备案需要提前一个月
0 条评论
下一页
