🔥概述
阿里云云计算高级工程师ACP认证是面向使用阿里云云计算产品的架构、开发、运维类人员的专业技术认证,主要考核考生利用阿里云云计算技术服务体系设计稳定、安全、高性能、易扩展、低成本的企业云计算架构的能力。
- 前提:在写适用人群时我有犹豫,我觉得它既不像CS大学生需要提前学习的东西,也不像迈入职场的人群需要学习的东西。综合适用人群如下:
- 有考ACP云计算高级工程师证书的打算。
- 日常工作所接触,比如本人公司架构采用了阿里云架构。
- 适合刚接触云生态的攻城师,比如我,学完结合实践基本可以掌握周围环境所处的云架构。
- 其实个人还是更喜欢腾讯云一点,在ToB还是ToC方面,或许有鄙人第一台购买的服务器就是腾讯云,也有可能纯是在阿里云生态下的工作体验上…😴,或许仅仅是简单的UI体验?
- 由于目前云计算的奔跑趋势以及日常Work所需,花费了一番时间详细学习了一下阿里云acp云计算的知识概述。
- 本笔记基本囊括了对阿里云架构的入门所需,希望对各位有所帮助。
- 本笔记是第一篇需要关注可查看原文的文章,主要考虑到适用人群。
阿里云ACP云计算
1、云计算通用知识
1.1、阿里云企业理念
阿里云坚守三条生命线:
- 坚持自主研发之路
- 阿里云与合作伙伴共生共存
- 坚决不碰客户数据
1.2、经典论文
Google在2003-2006年期间陆续公布了三篇技术论文,这也逐渐成为云计算发展的基石。
- 《Google File System》:GFS,分布式的文件管理系统
- 《Google Bigtable》:根据数据的内容建立数据模型,对外提供读写数据的接口
- 《Google MapReduce》:针对大规模群组中的海量数据(大于1TB)处理分析的分布式编程模型
- MapReduce的设计目标:高容错性、易于扩展、易于编程
1.3、分布式通用知识
常规集中性数据库中强调ACID,但是在分布式强调CAP:
- 一致性 Consistency
- 可用性 Availability
- 分区容忍性 Partition tolerance : 容忍部分服务器不能正常使用,并且整体系统不被影响
注:最多只能同时满足三个特性中的两个,三者不可兼得
BASE:BASE理论是对CAP中的一致性和可用性权衡的结果(不考)
- 基本可用: Basically Available
- 软状态:Soft-state
- 最终一致性:Eventual consistency
1.4、云计算环境
- 客户端也称为终端
1.5、虚拟化技术
云计算的基石:虚拟化
- 把大量的服务器汇集起来形成一个超大的资源池,云操作系统进行统一管理,根据用户的需求,通过网络提供快捷方便的服务。
1.5.1、虚拟化分类
目前有三种技术来实现x86架构CPU敏感指令和特权指令的虚拟化,分别为:
- 使用二进制翻译的全虚拟化
- 操作系统辅助或半虚拟化
- 硬件辅助的虚拟化(第一代)
1.5.2、虚拟化架构
- CPU虚拟化:CPU的虚拟化技术可以将单个CPU模拟多个CPU并行(vCPU),允许一个平台同时运行多个操作系统(虚拟机中的操作系统和物理机上的操作系统没有本质的区别),并且应用程序都可以在相互独立的空间内运行而互不影响。
- 内存虚拟化:一台物理主机或服务器上的内存总量被所安装的操作系统所全部占用。对物理内存进行虚拟化,能够创建多台虚拟机,提高物理资源的利用率
- 网络虚拟化:在虚拟环境中,能够通过虚拟化的方式,构建虚拟以太网适配器和虚拟交换机。网络虚拟化旨在在一个共享的物理网络资源之上创建多个虚拟网络。
- 存储虚拟化:共享物理存储资源,通过存储虚拟化利用本地磁盘创建虚拟机的本地虚拟磁盘。可以通过专业的存储设备,将其磁盘进行虚拟化,最终挂载在虚拟机上。提高了本地磁盘的利用率和便携性。
- GPU虚拟化:将一块GPU卡的计算能力进行切片,分成多个逻辑上虚拟的GPU(vGPU),以vGPU为单位分配GPU的计算能力。以vGPU为单位可以将单块GPU卡分配给多台虚拟机使用,使得虚拟机能够运行3D软件、播放高清视频等,极大地提升了用户体验。
1.5.3、虚拟化特性
虚拟化有四大特性:
- 封装:虚拟机都保存在文件中,且可通过移动跟复制这些文件的方式来
移动跟复制该虚以机。 - 硬件独立:无需修改即可在任何服务器上运行虚拟机。
- 隔离:在同一服务器上的虚拟机之间互相隔离,改变了之前单台物理机
服务器只能挂以个应用的格局。即在一个物理服务器上可以同时运行N
个操作系统,每个系统中部署以个应用,这些应用可同时链接N个小时
开启,且系统间互相隔离,互不影响,合理利用了服务器的硬件资源。 - 分区:在单个物理服务器上同时运行多个虚拟机,将一个物理服务器的
硬件资源分别分区给多个虚拟机。
1.6、云计算的分类
1.6.1、按服务类型划分
IaaS(Infrastructure as a Service):基础设施即服务,从IaaS服务提供商获得计算机基础设施服务,包括服务器、存储和网络等服务。ECS属于IaaS
PaaS(PlatForm as a Service):平台即服务,提供各种开发和分发应用的解决方案,比如虚拟中间件服务器、运行环境和操作系统
SaaS(Software as a Service):软件即服务,基于多租户技术实现,直接提供应用程序。云安全中心属于SaaS
DaaS:数据即服务,一种云战略
1.6.2、按部署方式划分
1.7、云计算的特点与优势
云计算的特点:
- 大规模
- 虚拟化:例如将多个资源虚拟成一个或者将一个资源虚拟成多个
- 高可靠性
- 通用性
- 按需提供服务:消费者可以单方面的按需自动获取计算能力
- 高可伸缩性:需求增长,弹性扩张
- 廉价性
- 多租户隔离:给多个客户同时提供某一台物理资源,多个客户是无感知的
IDC:本地数据中心
总结:
- 按需使用:消费者可以单方面地按需自动获取计算能力,如服务器时间和网络存储,从而免去了与每个服务提供者进行交互的过程。
- 自由访问:网络中提供许多可用功能,可通过各种统一的标准机制从多样化的瘦客户端或者胖客户端平台获取(例如,移动电话、笔记本电脑、或PDA掌上电脑)。
- 资源共享:服务提供者将计算资源汇集到资源池中,通过多租户模式共享给多个消费者,根据消费者的需求对不同的物理资源和虚拟资源进行动态分配或重分配。
- 灵活快速:能够快速而灵活地提供各种功能以实现扩展,并且可以快速释放资源来实现收缩。对消费者来说,可取用的功能是应有尽有的,并且可以在任何时间进行任意数量的购买。
2、云网络原理与实践
2.1、网络通用知识
2.1.1、OSI参考模型
口诀:物链网淑慧适用
- 网络层会话可以用五个元素来唯一标识,通常被称为
网络通信五元组
(源IP地址、源端口、目的IP地址、目的端口、传输层协议)
2.2、专有网络VPC
2.2.1、经典网络与专有网络
- 经典网络:经典网络类型的云产品,统一部署在阿里云公共基础设施内,规划和管理由阿里云负责,更适合对网络易用性要求比较高的用户,采用三层隔离。
- 专有网络VPC:专有网络(Virtual Private Cloud,简称VPC)是您基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。您可以自定义这个专有网络的拓扑和P地址,适用于对网络安全性要求较高和有一定网络管理能力的用户,采用二层隔离,相对经典网络而言,专有网络具有更高的安全性和灵活性。
注意:目前经典网络已经下架不卖了
- 专有网络VPC是用户基于阿里云创建的自定义私有网络,不同的专有网络之间有二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、SLB、RDS等。
- 专有网络类似于您在本地数据中心的传统网络,但附带了很多阿里云基础设施的其他优势,例如可扩展、安全隔离、访问控制等。
1、专有网络IP
私有IP地址:专有网络当中不能够进行公网访问的地址
根据实例所属的专有网络VPC和虚拟交换机网段,专有网络VPC类型ECS实例一经创建即被分配一个私有IP地址。
私有IP地址可以用于以下场景:
- 负载均衡
- 同一局域网内ECS实例之间内网互访
- 同一局域网内ECS实例与其他云服务(如OSS、RDS)之间内网互访
- 可以根据业务需要,在ECS管理控制台上修改私有IP地址
公网IP地址:专有网络当中能够进行公网访问的地址
专有网络VPC类型的ECS实例支持两种公网IP地址:
- ECS系统分配的公网IP地址(PublicIP)
- 弹性公网IP(EIP)地址
2、经典网络IP
内网IP地址
每台经典网络类型ECS实例一定会被分配一个IP地址用于内网通信,这个IP地址被称为内网IP地址。(经典网络内网IP地址不支持组播和广播)
内网IP地址可以用于以下场景:
- 负载均衡
- 同一局域网内ECS实例之间内网互访
- 同一局域网内ECS实例与其他云服务(如OSS、RDS)之间内网互访
- **经典网络类型ECS实例一经分配了内网IP地址后,不支持修改。**禁止在操作系统内部自行变更内网IP地址,否则会导致内网通讯中断。
公网IP地址(6小时内可修改)
如果您购买了公网带宽,即公网带宽不为0Mbit/s,阿里云会为您的经典网络类型实例分配一个公网IP地址。
公网IP地址可以应用于以下场景:
- ECS实例与公网之间互访
- 不在同一局域网内的ECS实例与其他云服务之间互访
经典网络IP由阿里云统一分配
2.2.2、技术基础与产品架构
1、专有网络的技术基础(SDN和隧道技术)
基于隧道技术和软件定义网络SDN(Software Defined Network)技术,阿里云在将传统网络虚拟化,最终变成了SDN网络。
基于目前主流的隧道技术,专有网络隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应着一个虚拟化网络。
- 一个VPC内的ECS(Elastic Compute Service)实例之间的传输数据包都会加上隧道封装,带有唯一的隧道号标识,然后通过物理网络进行传输。
- 不同VPC内的ECS实例由于所在的隧道号不同,本身处于两个不同的路由平面,因此不同VPC内的ECS实例无法进行通信,天然地进行了隔离。
2.2.3、产品优势与应用场景
VPC的产品优势
VPC的应用场景
2.2.4、VPC基本概念
1、VPC的组成
在专有网络VPC中使用云资源前,必须先创建一个专有网络和交换机。我们可以在一个专有网络中创建多个交换机来划分子网,一个专有网络内的子网默认私网互通。
- 专有网络是独有的云上虚拟网络,可以将云资源部署在我们自定义的专有网络中。
- 注:云资源不可以直接部署在专有网络中,必须部署在专有网络内的一个交换机(子网)内。
- 专有网络VPC不可以跨地域,但包含所属地域的所有可用区,我交换机可以连接不同的云资源实例,所以我们可以在每个可用区内创建一个或多个交换机来划分子网。
路由:
2、默认专有网络和交换机
3、地域和可用性
地域 Region:物理数据中心,例如:华北2(北京),表示北京所有的阿里云机房
可用区 Availability Zone:简称AZ,同一地域内电力和网络互相独立的物理区域,例如华北2(北京)在中关村的一个机房。一个地域包含多个可用区。(同地域下可用区一般相距数十公里范围)
地域和可用区在创建时选择,选择后不可更改:
选择地域时,需要考虑以下几个因素:
- 地理位置,根据您以及您目标用户所在的地理位置选择地域
- 阿里云产品之间的关系。如果多个阿里云产品一起搭配使用,需要注意:
- 不同地域的云服务器ECS、关系型数据库RDS、对象存储服务OSS内网不互通。
- 不同地域之间的云服务器ECS不能跨地域部署负载均衡,即在不同的地域购买的ECS实例不支持跨地域部署在同一负载均衡实例下。
- 资源的价格,不同地域的资源价格可能有差异。
2.2.5、创建和管理VPC
VPC中的高级特性包括:
- 网络ACL
- 自定义路由表
- DHCP选项集
- IPv4网关
2.2.6、IPv4网关
IPv4网关是连接专有网络VPC和公网的网络组件,VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。
IPv4网关具有以下功能:
- 作为VPC路由表中的路由下一跳,控制VPC访问公网的目的地址范围。
- 为VPC中分配了IPv4公网地址的网络资源(例如弹性网卡、ECS等),提供网络地址转换功能。
IPv4网关功能限制:
- IPv4网关当前仅支持IPv4流量
- 一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。
- 只有激活成功的IPv4网关才具有公网访问能力。
- 一个IPv4网关仅能绑定一张网关路由表。
- 网关路由表的下一跳类型仅支持Local、弹性网卡或者ECS实例。
- VPC内包含以下资源时,不支持创建IPv4网关:
- VPC内存在网卡可见模式的EIP资源
- VPC内存在普通型公网NAT网关(停售)
2.2.7、创建和管理交换机
- 交换机网段的大小需要在16位到29位网络掩码之间,也就是16~29位网络号之间。
2.2.8、路由器、路由表和路由条目
- 交换机通过路由器互连,一个交换机只能绑定一张路由表。
- 创建VPC时,系统会自动为每个VPC创建1个路由器,路由器中包含一张系统路由表。
- 删除VPC时,会自动删除对应的路由器。
- 不支持直接创建和删除路由器:VPC中的路由器都是随VPC的生命周期自动创建和删除的。
- 支持自定义路由表:一个VPC最多可以拥有包括系统路由表在内的10张路由表。
系统路由表:创建VPC后,系统会默认创建一张系统路由表来控制VPC的路由,VPC内所有交换机默认使用系统路由表。您不能创建也不能删除系统路由表(可以解绑),但可以在系统路由表中创建自定义路由条目。
自定义路由表:你可以在VPC内创建自定义路由表,将自定义路由表和交换机绑定,更灵活地进行网络管理。可以通过专有网络VPC的管理控制台以及专有网络VPC的相关路由表接口来管理配置路由表。
解释一下路由器接口的应用场景:
在VPC与本地数据中心IDC进行互连的时候,也就是做混合云架构,可以用过物理专线(高速通道)来解决,VPC1的网络是172.16.0.0/12网段,数据中心的网络是192.168.0.0/16网段。
2.2.9、访问控制
VPC通过网络ACL(Network Access Control List)实现访问控制,还可以依赖云产品能力来实现安全访问。例如 ECS安全组、RDS白名单、SLB白名单
1、网络ACL
- 网络ACL规则仅过滤绑定的交换机中ECS实例的流量。
- 网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则。
- 网络ACL无任何规则时,会拒绝所有出入方向的访问。
- 网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量。
2.2.10、ECS实例内网通信
- 同一VPC只有同地域、同安全组才可以实现内网互通,不同安全组可以授权实现内网互通
- 不同VPC只有通过高速通道实现网络互通。
- 经典网络只有同账号、同地域、同安全组才会内网互通。不同安全组需要授权,并且还需要在同一地域。
2.3、弹性公网IP(EIP)
弹性公网IP,简称EIP,是一种可以独立购买和持有的公网IP地址资源。你可以申请新EIP、历史EIP或者连续EIP组。
/28
:28表示网络号,所以只能分配232-28 = 16个主机
2.3.1、EIP绑定限制
EIP可以绑定ECS实例,当EIP绑定ECS实例时,ECS实例有以下限制条件:
- 网络类型必须是专有网络VPC
- ECS地域必须和EIP的地域相同
- ECS必须处于运行中或已停止状态
- 实例的主网卡上没有绑定公网IP地址
注:
- 一个EIP只能绑定一个云资源
- 因安全原因被锁定的EIP不支持绑定、解绑和释放操作
- RDS不支持绑定EIP
绑定操作:
- 登录ECS管理控制台 - 选择实例与镜像 - 实例 - 选择地域 - 找到待绑定EIP的ECS实例 - 选择更多 - 网络和安全组 - 绑定弹性IP
- 在绑定弹性IP对话框中,选择已申请的EIP
- 如果没有可选择的EIP,可以在选择框右侧单击创建弹性公网IP先去创建EIP
解绑操作:
- 登录ECS管理控制台 - 选择实例与镜像 - 实例 - 选择地域 - 找到待绑定EIP的ECS实例 - 选择更多 - 网络和安全组 - 解绑弹性IP
解绑后的EIP仍会继续收费,如果不再使用请自行释放EIP
解绑成功后,ECS实例无法再通过EIP访问公网
2.3.2、EIP对DDos防护(增强版)的限制
每个账号最多可申请20个EIP,可以申请额度
单个EIP,支持的最大带宽峰值按流量计费时为 200Mbps,按固定带宽计费时为500Mbps
单个地域下,支持的最大带宽峰值总和按流量计费时为5Gbps,按固定带宽计费时为50Gbps
仅按量付费类型的EIP支持选择DDoS防护(增强版),且后续不支持转换为包年包月付费模式
仅支持购买EIP时选择DDoS防护(增强版),默认安全防护无法变更为DDoS防护(增强版)
目前仅部分地区支持DDoS防护(增强版)
2.3.3、EIP监控功能
EIP提供高精度秒级别监控功能。借助秒级监控功能,您可以实时监控互联网业务流量变化,及时调整EIP的带宽峰值。
优势:
秒级监控粒度:高精度秒级监控功能将监控粒度提升到秒级,监控数据更高效。
易存储:高精度秒级监控依托于阿里云日志服务,为秒级监控提供完善的日志存储、报表、告警等功能。
监控项:出、入方向-秒级带宽峰值、秒级包速率、秒级丢包速率、新建TCP连接速率
创建EIP后云监控会自动监控弹性公网IP(EIP)的出流量、入流量、出流量数据包数、入流量数据包数4个监控项。
2.4、云网络产品
2.4.1、NAT网关
- 公网NAT网关:提供公网地址转换服务
- VPC NAT网关:提供私网地址转换服务,为VPC内的ECS实例提供访问外部私有网络的能力,也能使ECS实例对外提供私网访问服务
- SNAT:使得VPC内的ECS实例访问外网
- DNAT:使得外部访问EIP就可以访问到ECS,使ECS实例对外提供私网访问服务
统一公网出口IP:VPC内的一组ECS实例通过公网NAT网关实现对外暴露一个统一的IP地址,使得进来和出去的均是一个统一IP。
思考:如果VPC内的ECS绑定了EIP,那么这个ECS会优先通过绑定的EIP访问互联网,而不走我们的公网NAT网关,这该怎么统一公网出口IP呢?
解决办法:
- 为绑定了EIP的ECS实例单独分配一块弹性网卡,并将EIP绑定到弹性网卡,这样来自互联网的访问流量会经过弹性网卡到达ECS实例,当ECS实例需要访问互联网时会通过NAT网关进行转发。
未绑定弹性网卡:ECS访问互联网走的是EIP,不走NAT网关
绑定弹性网卡:ECS访问互联网走的是NAT网关,互联网访问ECS走的是弹性网卡
2.4.2、VPN网关
阿里云VPN网关简称VPN,是一款基于Internet,通过加密通道将企业数据中心、办公网或终端与专有网络VPC连接。
专有网络VPC中会部署一些云资源,包括ECS、负载均衡等等,我们可以以VPN的方式来解决本地数据中心、客户端接入云资源。
网络连接方式 | 应用场景 |
---|---|
IPsec-VPN | 支持在企业本地数据中心、企业办公网络与VPC之间建立网络连接,支持在不同的VPC之间建立网络连接 |
SSL-VPN | 支持在互联网客户端与VPC之间建立网络连接(ECC与VPC) |
阿里云VPN网关的优势:
- 安全:使用IKE和IPsec协议对传输数据进行加密,保证数据安全可信。
- 稳定:底层采用双机热备架构,故障时秒级切换,保证会话不中断,业务不受影响。
- 简单:功能开通即用,配置实时生效,实现快速部署。
- 低成本:基于互联网建立加密通道,相比使用物理专线成本更低。
阿里云VPN网关的使用流程:
1、IPsec-VPN
使用IPsec-VPN的前提条件:
使用IPsec-VPN网关的流程:
2、SSL-VPN
使用SSL-VPN的前提条件:
使用SSL-VPN网关的流程:
2.4.3、智能接入网关SAG
智能接入网关SAG(Smart Access Gateway)是阿里云提供的软件定义网络的解决方案,企业可通过智能接入网关实现一站式接入阿里云,获得更加智能、安全和可靠的上云体验。
智能接入网关包含以下三种产品形态:
2.4.4、高速通道和边界路由器
阿里云高速通道(Express Connect)可在本地数据中心 IDC (Internet Data Center)和云上专有网络 VPC 间建立高速、稳定、安全的私网通信。高速通道的物理专线数据传输过程可信可控,避免网络质量不稳定问题,同时可避免数据在传输过程中被窃取。
组成部分:高速通道产品由物理专线连接和边界路由器组成。
边界路由器VBR:VBR和VPC的路由器类似,管理着一张路由表。通过在该路由表中配置路由条目,您可以管理VBR中的流量转发。功能如下:
- 作为VPC和本地IDC的中间路由器,负责交换数据包
- 决定物理专线端口模式为三层路由接口或基于VLAN的三层子接口。
- 在三层子接口模式下,可以识别或附加VLAN标签。
- 支持边界路由协议BGP
使用限制:
- 不支持源地址策略路由
- 每个VBR有且只有一张路由表
- VBR支持的BGP版本为BGP-4
- 每个VBR下最多建立8个BGP邻居。
- 每个BGP邻居的动态路由条数上限为110条。超过上限的路由将被丢弃,无法接收。
- 通过BGP协议连接VPC时,您需要为阿里云侧分配独立的AS号,不能和云平台内部交换机的AS号重复。
2.4.5、全球加速GA
全球加速GA(Global Accelerator)是一款覆盖全球的网络加速服务:
- 依托BGP带宽和全球传输网络
- 实现全球网络就近接入和跨地域部署
- 减少延迟、抖动、丢包
跨国音视频会议可能卡顿,所以全球加速可以解决这些问题:
1、标准型
全球加速实例分为标准型和基础型:
标准型:
主要用于四层(TCP和UDP协议)和七层(HTTP和HTTPS协议)网络加速
支持弹性公网IP和任播弹性公网IP两种类型的加速IP
客户端流量通过加速IP或CNAME,就近接入加速网络
智能选择路由自动完成网络调度
终端节点支持:ECS/CLB/ALB/OSS/阿里云公网IP、自定义源站IP或域名
全球多地域的用户就近接入,通过加速IP或者CNAME的方式接入全球加速网络,从而访问我们的网络。
2、基础型
基础型:
- 主要用于三层(IP协议)网络加速
- 默认分配一个E引P类型的加速IP
- 客户端流量通过加速IP接入阿里云
- 终端节点支持专有网络类型的CLB和辅助网卡类型的弹性网卡EN川
2.5、网络解决方案
2.5.1、私网类产品
- 若要实现两个VPC互连:可以采取高速通道,也可以采取VPN网关
- 高速通道:类似于在两个VPC之间连接一条电缆,成本高
- VPN网关:只能解决两个VPC之间的点对点通信,成本低
IDC:Internet Data Clent,本地数据中心
- 高速通道可以解决两个VPC互联、本地数据中心和VPC互连
- 是通过物理电缆建立连接的,成本高
- 限制:不支持VPC中的ECS和经典网络的ECS实现通信,同地域内网通信免费
- 云企业网可以解决多个VPC互联、本地数据中心和VPC互连
- 多点对多点通信
- 限制:云企业网不能连公网、同地域内网通信免费
- VPN网关可以解决多个VPC互联、本地数据中心和VPC互连
- 点对点通信,成本低
- 限制:只支持两个VPC互联
- 智能接入网关SAG解决本地数据中心IDC连接云上专有网络VPC
- 限制:仅用于解决上云问题
总结:
- 两个VPC互联:推荐高速通道和VPN网关
- 多个VPC互联:推荐云企业网
- VPC连接本地IDC:推荐高速通道、VPN网关、云企业网、智能接入网关SAG
- 其中高速通道和VPN网关是点对点连接
- 云企业网多点与多点连接
- 智能接入网关SAG仅用于解决上云问题
2.5.2、公网类产品
- VPC访问公网:可以采取固定公网IP、购买弹性公网EIP、公网NAT网关
- 固定公网ip:购买公网带宽,VPC根据这个固定公网ip去访问公网
- 弹性公网EIP:EIP绑定之后,绑定的对象就可以通过EIP去访问公网
- 公网NAT网关
- VPC允许公网访问:可以采取固定公网IP、购买弹性公网EIP、公网NAT网关、负载均衡SLB
- 负载均衡SLB:用户从公网通过负载均衡SLB来访问VPC中的ECS
- 注意:负载均衡不允许ECS去访问公网
2.5.3、混访
混访:指云产品同时被经典网络和专有网络中的ECS访问
OSS支持混访/混挂:OSS本身提供经典网络和VPC两个访问域名,不需要切换
RDS支持混访/混挂:云数据库混访即支持同时被经典网络和专有网络中的ECS访问。
- 在使用混访混挂方案将经典网络迁移至专有网络时,您需要将云数据库切换至混访模式(即同时保留经典网络和专有网络的访问地址),这样可避免迁移过程中业务中断。
- 在进行网络类型切换时,您可指定经典网络访问地址的保留时间,过期后系统会自动删除经典网络的访问地址。
SLB不支持混访/混挂
3、云上基础应用架构原理与实践
3.1、云服务器ECS
3.1.1、产品简介
服务器部署模式的演变:
集群架构的缺点在于每台服务器的CPU利用率、内存利用率可能无法达到极致,于是就出现了云计算架构,需要服务器时进行服务器扩展、不需要服务器时进行收缩。
云服务器ECS就是云上的一个资源池,需要的时候直接分配使用,所以ECS是属于IaaS层的,即基础设施即服务,用户不用自己构建一个数据中心等硬件设施,而是通过租用的方式,利用 Internet 从 IaaS 服务提供商获得计算机基础设施服务,包括服务器、存储和网络等服务。
3.2、ECS实例
3.2.1、规格族与选型
1、实例规格族
根据业务场景和使用场景,ECS实例可以分为多种实例规格族。根据CPU、内存等配置,一种实例规格族又分为多种实例规格。
ECS实例规格定义了实例的基本属性:CPU和内存(包括CPU型号、主频等),但是ECS实例只有同时配合块存储、镜像和网络类型,才能唯一确定一台实例的具体服务形态。
实例规格族的划分方式:
- 企业级实例规格族和共享型实例规格族
- 企业级可能会将某一台服务器全分给这个企业,共享型适合个人使用
- 入门级(共享型、突发型)
- 突发型是指的是我们在使用服务器的时候可能会出现突发的IO、CPU占用过高等问题
- 数据库不适合选择共享型,数据库的IO性能波动大,适合突发型
- 通用型和计算型和内存型
- 配置平均、计算更多、内存更多的服务器
- 通用计算和异构计算
- 通用计算以CPU为主,异构计算以GPU为主
- 虚拟机和弹性裸金属和超级计算集群
2、实例系列
3、产品选型
3.2.2、实例的生命周期与实例状态
- Pending:创建中
只有
Running
和Stopped
状态是稳定状态。
待启动、启动中、停止中是中间状态
3.2.3、购买、创建实例
实例:一台ECS实例等同于一台虚拟服务器,含CPU、内存、操作系统、网络配置、磁盘等基础的组件。可以通过如下四种方式来创建实例:
- 使用向导创建实例
- 使用自定义镜像创建实例
- 购买相同配置的实例
- 使用实例启动模板创建实例
在地域/可用区下创建ECS实例,通过镜像来提供操作系统运行环境,安全组来做访问隔离,通过块存储划分数据盘和系统盘,可以对数据盘做快照,对系统盘做镜像。
在创建实例过程中,可以通过运维编排来作自动化运维,通过云助手来作远程命令管理,通过SSH密钥对来做登录认证,通过标签进行分类管理,通过访问控制来作账号鉴权。
3.2.4、连接实例
如何连接ECS:控制台登录或第三方客户端工具登录,支持多种连接方式,包括Workbench、VNC和第三方客户端工具。
- 控制台Workbench简单快捷,要求实例开启SSH(默认端口22)或RDP服务(默认端口3389)
- 控制台VNC易用性较差但是功能强大,能进行硬件控制和修改权限,比较适合连接异常时排查问题。
- 第三方客户端工具功能和易用性都不粗哦,具体能力视客户端工具而定,要求开启实例SSH或RDP服务
3.2.5、管理实例
释放实例:
3.2.6、实例升降配
单台实例的升降配我们称为垂直弹性伸缩。
3.3、系统盘与镜像
镜像的用途:
- 创建实例
- 个性化定制运行环境
- 实例运行环境备份
- 快速部署环境
- 批量部署环境
自定义镜像:基于实例(系统盘)或快照(需包含系统盘)创建的镜像,或者从本地导入的镜像,包含已部署的应用、数据等信息。通过**共享镜像(跨账号)、复制镜像(跨地域)**等操作,可以方便的复制ECS实例。
注:只有自定义镜像支持复制操作
3.4、数据盘与快照
创建快照可能会降低磁盘的性能,应尽量避开业务高峰。
第一次创建快照时全量快照,后续增量快照。自动保存在独立于用户自己的OSS Bucket。
3.4.1、快照的应用场景
- 容灾备份:为云盘创建快照,再使用快照创建云盘获取基础数据,实现同城容灾和异地容灾。
- 环境复制:使用系统盘快照创建自定义镜像,再使用自定义镜像创建ECS实例,实现环境复制。
- 提高容错率:出现操作失误时,能及时回滚数据,降低操作风险,实现版本回退。
- 定期创建快照,避免因操作失误或外部攻击等原因导致数据丢失。
- 执行重要操作前创建一份快照。
快照还支持以下高级功能:
- 快照极速可用:启用快照极速可用功能后,即便快照还没有创建完成,您也可以使用快照回滚云盘或者跨可用区创建云盘。
- 应用快照一致性组:通过创建快照一致性组,您可以为一台或者多台ECS实例中的多块云盘同时创建快照。快照一致性组能够保证在业务系统跨多块云盘的场景下,数据写入云盘的时许一致性,并保证其崩溃一致性。
自动快照:例如每周可以自动作一次快照
3.2.6、实例升降配
单台实例的升降配我们称为垂直弹性伸缩。