Chapter2-知识点总结

1. 阿里云的ECS，在同一个地域，互相通信，通过安全组规则设置两个服务器内网互通，通过白名单方式；
2. CDN 每日按照带宽峰值计费，所以不存在带宽不足能力上限的可能性；
3. OSS 图片处理,先将图片上传到用户指定的bucket,处理完的图片不会保存在OSS，而是返回给用户。
4. ECS 升级CPU 和内存，必须重新启动才生效；
5. ECS安全组屏蔽了那段IP是不奏效的，说明对方访问的还是CDN的资源，所以需要在CDN中IP中设置黑名单；
6. VPC之间的内部网络完全隔离，只能通过对外映射的IP（弹性公网IP和NAT IP）进行互联;
7. 访问延迟可以达到0.5-2 ms ,读写IOPS速度快；
8. 快照是保留在OSS中，但不是用户自己的OSS bucket里；
9. 阿里云OSS 支持 OPENAPI , 云市场FTP, OSS 管理控制台， SDK 这四种方式上传；
10. VPC 创建完成后，需要完成创建交换机，才能在专有网络里创建云产品，包括云服务器，负载均衡。。。
11. 多个定制任务在 AS里同时触发，最早创建的先执行，排在后面的定时任务会在LaunchExpiration Time 内自动重试定时触发；
12. AS 有两种状态 ACTIVE 和Inactive 状态；
13. 服务器安全托管属于安全管家的范围；
14. 对象是OSS存储数据的基本单元，也被称为OSS的文件。对象由元信息（Object Meta）、用户数据（Data）和文件名（Key）组成。
15. OSS 防盗链 ：防盗链功能通过设置Referer白名单，限制仅白名单中的域名可以访问您Bucket内的资源。OSS支持基于HTTP和HTTPS header中表头字段Referer的方法设置防盗链。
16. 仅当通过签名URL或者匿名访问Object时，进行防盗链验证；当请求的Header中包含Authorization字段，不进行防盗链验证。
17. RAM用户调用API前，需要阿里云账号（主账号）通过创建授权策略对RAM用户进行授权。在授权策略中，使用资源描述符（Alibaba Cloud Resource Name，ARN）指定授权资源。
18. OSS API 只有按量收费；
19. 通过健康检查确认该实例是健康的时间窗是7 秒：
20. 在冷却时间内，伸缩组会拒绝由云监控报警任务触发的伸缩活动请求，但其他类型，手工执行的任务，定时任务触发的伸缩活动可以立即执行，绕过冷却时间；
21. 阿里云里的windows OS 里的administrator用户不要删除；
22. 弹性组里不限制ECS的数量；
23. 密码破解是属于 安骑士的功能，不是web应用防火墙的功能；
24. 应用防护墙功能：webshell,跨站脚本，SQL注入，CSRF,本地文件包含；
25. 购物车 少部分数据丢失原因，
    • 购物超长超过SLB定义的会话保持的时间；
    • SLB主备切换，导致用户数据丢失；
    • 某云服务器ECS实例状态不正常，导致数据异常；
26. 阿里云态势感知包括：回溯，AK泄露，进程查杀，漏洞检测和修复；
27. OSS简单上传，包括PUT或POST方式的http请求上传，上传文件不超5G,文件上传可以携带META
28. 由于云市场镜像部 分是收费的，所以阿里控制台没有云市场镜像的选择；
29. 创建快照，ECS必须在运行中状态；
30. SLB 支持region 在同一个数据中心容灾，SLB还可以结合DNS 结合对跨region容灾。
31. CDN 只能提高静态资源访问速度，和异地数据备份没有关系；
32. 创建伸缩组后， RDS实例和负载均衡实例不可以修改；
33. 流量清洗维度：报文数量PPS, 流量值bps
34. CDN 支持对同名更新的实时更新，用户做了配置后，必须主动提交请求，便可以实现自动刷新；
35. 游戏行业，阿里云的产品组合是 SLB+ECS+RDS+AS;
36. ECS 的API 服务地址是 ecs.aliyuncs.com
37. DDos 高防IP ，支持WEB应用的DDos攻击，过滤多种flood,支持URL过滤，HOST过滤，http特征过滤；
38. SLB 性能保障型实例的三个关键指标如下：

• 最大连接数-Max Connection最大连接数定义了一个负载均衡实例能够承载的最大连接数量。当实例上的连接超过规格定义的最大连接数时，新建连接请求将被丢弃。
• 每秒新建连接数-Connection Per Second （CPS）每秒新建连接数定义了新建连接的速率。当新建连接的速率超过规格定义的每秒新建连接数时，新建连接请求将被丢弃。
• 每秒查询数-Query Per Second （QPS）每秒请求数是七层监听特有的概念，指的是每秒可以完成的HTTP/HTTPS的查询（请求）的数量。当请求速率超过规格所定义的每秒查询数时，新建连接请求将被丢弃。

100 VPC 下的服务器迁移，找到服务器，先修改服务器的IP地址，再修改交换机的IP地址;
101 CDN 支持HTTP安全加速，就是HTTPS加速；
102 先知计划是一个帮助企业建立私有的应急相应中心，帮企业搜集漏洞；
103 ECS垂直扩展是ECS配置发生变化，ECS水平扩展是伸缩。
104 弹性伸缩 与SLB/RDS 紧密结合，可以自动管理SLB和RDS白名单；
105 静态的网站，可以直接托管在OSS上提供服务。
106 安全可控访问OSS, 需要ECS生成临时访问凭证，和访问控制；
107 经典网络的RDS 实例切换到VPC下， VPC下的ECS服务器可以直接访问RDS, 但是经典网络的ECS将无法访问RDS;
108 VPC 内的云服务器ECS实例绑定EIP,给RDS 实例设置外网，VPC内的云服务器ECS通过公网访问RDS实例的公网地址，
经典网络的其他服务器海可以访问RDS;
109 将负载均衡的后端ECS 的权重设置为0，相当于ECS手工下线，用于对ECS重启，配置调整 等主动运维，在该状态下，业务数据无法经过SLB发送给该服务器，所以健康检查为异常；
110、弹性公网IP只能在相同地域的VPC类型的云服务器ECS实例上；
111、一个弹性公网IP只能绑定到1个ECS实例上；
112 弹性公网IP 不能绑定在经典网络的云服务器ECS实例上；
113 风险识别平台对不同的状态（可信，可疑，恶意（风险））的请求进行不同处理。
114 OSS 分块上传，可以超过5G，但是最大不要超过48.8T

• 简单上传：文件最大不能超过5GB。
• 追加上传：文件最大不能超过5GB。
• 断点续传上传：支持并发、断点续传、自定义分片大小。大文件上传推荐使用断点续传。最大不能超过48.8TB。
• 分片上传：当文件较大时，可以使用分片上传，最大不能超过48.8TB。
• OSS提供的分片上传（Multipart Upload）功能，将要上传的较大文件（Object）分成多个数据块（Part）来分别上传，上传完成后再调用CompleteMultipartUpload接口将这些Part组合成一个Object来达到断点续传的效果

115 SLB 和AS 只需要在一个地域，建立伸缩配置时，ECS实例可以不选择公网带宽，但是为了方便管理ECS，建议您购买1Mbps带宽；
116 VPC 包括一个地域 多个不同可用区的交换机，所以想具备容灾的能力，可以考虑ECS在一个VPC下面跨交换机部署，
117 七层协议通过 X-forwarded-For获取真实的IP,四层，后端服务器可以直接获取来访者IP;
118 HTTPDNS是面向多端应用（移动端APP，PC客户端应用）的域名解析服务，具有域名防劫持、精准调度、实时解析生效的特性。
119 本地用户修改DNS造成中断，可以使用HTTPDNS降低风险；

120 专用网络可以与 VPN产品结合使用实现与传统数据中心组成一个按需求定制的网络环境，实现应用的平滑迁移上云。

121 降低存储费用和用户访问时间，选择OSS 和 CDN

122 云监控： 1 云监控支持监控未部署在阿里云产品上的网站；
2 能通过管理控制台使用云监控；
123 冷却时间： 当伸缩组加入或移出多个ECS实例时，最后一个ECS实例加入或移出完成后，整个冷却时间才开始；
124 敏感信息泄露是属于 web防火墙的功能，需要单独收费，
125 ECS 可以抵御安全攻击或者可以感知的威胁包括：1 DDos攻击，2 web漏洞发现， 3 登陆点，4，暴力密码破解；
126 选择了数据盘，要先格式化；
127 ECS 至少要加入一个安全组，最多加入5个安全组；
128 由于本地SSD盘采用物理服务器本地盘的方式，采购带有本地SSD盘的实例，无法升级 磁盘，CPU, 内存，仅支持带宽升级；

129 当创建一个云产品实例，没有可用的专用网络和交换机，会使用默认网络和交换机，则实例创建后， 默认的网络和交换机随之创建；

130 安骑士 可以保护阿里云的云服务器ECS的安全，也可以保护非阿里云的主机，只需要将agent 安装到非阿里云的服务器上；
131 如果要浏览器直接打开OSS 对象的文件，需要绑定用户自定义的域名（可以是三级域名）
132 要对负载均衡实例类型切换操作，无法变更，只能先删除后创建，在重建的时候选择类型；

134 HTTP方法——目前ECS服务的所有接口只支持GET方法的调用。
请求URL——请求的服务地址、要执行的操作名称、操作参数和公共请求参数都包含在请求的URL中。
为了使服务端能够正确地验证用户的身份并授权请求执行，请求在提交前要进行签名处理。
响应结果分为成功结果和错误消息

135 安骑士 不提供人工安全技术支持，如果需要 采用安全管家；

136 弹性伸缩手工添加ECS,ECS的状态必须为运行中。
137 创建专有网络后，系统会自动为您创建一张默认路由表并为其添加系统路由来管理专有网络的流量。您不能创建系统路由，也不能删除系统路由，但您可以创建自定义路由将指定目标网段的流量路由至指定的目的地。路由表中的每一项是一条路由条目。路由条目指定了网络流量的导向目的地，由目标网段、下一跳类型、下一跳三部分组成。路由条目包括系统路由和自定义路由。无论是系统路由表还是自定义路由表，都可以添加自定义路由条目。

138 在阿里云上创建专用网络VPC时，VPC会自动创建一个系统路由，这条路由的作业是专有网络内的云产品实例访问网络外的云服务。

139 ECS 服务器会对每个访问的请求进行身份验证，用 Access Key Id 用于标识访问者身份的。

141 数据存储OTS 用于保存海量数据，满足大数据分析的需求；

142 停用伸缩组后， 冷却时间就会失效；

143 mapreduce 将自己的程序运行在分布式系统上，他的计算速度比较慢，计算的结果会写在磁盘上，性能达不到实时的要求。

144 避免SLB服务本身故障（SLB单点故障），SLB就算挂多个可用区的ECS,但是SLB实例挂了会导致整个服务挂了，所以要用多个SLB。

145 阿里云安骑士是一款经受百万级主机稳定性考验的主机安全加固产品，支持自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键检查、网页防篡改等功能，是构建主机安全防线的统一管理平台。

146 SLB的公网和私网访问的选择是由用户在购买时的选择，并不是系统自动选择；

147 CDN 命中率低的原因有4个： 网站访问量低，缓存设置不合理，源站动态资源较多，HTTP header 设置导致无法缓存；

148 通过生命周期管理来实现定期删除等有规律的数据；
149 当不需要弹性公网IP （EIP）,可以释放指定的EIP,在释放EIP之前，要确定已经从云产品实例上解绑EIP,才能释放该EIP;
150 在控制台内，在VPC 下面的ECS,不管是否绑定了EIP,在设置安全组的时候，只可以设置内网规则，外网规则是不可以访问的。
151 删除 bucket 前，碎片文件也必须要一起删除；
152 在管理控制台，对阿里云CDN 加速域名删除或停用前，需要到该域名所在域名解析服务商出恢复域名A记录，确保网站正常访问；
153 SLB, ECS,RDS 都支持 VPC专用网络；
154 有些日常文件不需要在OSS里保存，可通过生命周期，管理控制台，OPENAPI OR SDK 批量删除，这些文件不是碎片，所以不是OSS碎片管理去删除；