date: 2021-05-12title: 备考阿里云ACP认证 #标题
tags: 阿里云 #标签
categories: linux大杂烩 # 分类
ECS相关
ECS的生命周期有哪些?
ECS的计费方式有哪些?
ECS的使用限制有哪些?
ECS的实例数量有哪些限制?
网络管理
VPC的限制有哪些?
地域和可用区之间的通信是如何解决的?
答:不同地域间通过公网互联,
同一个地域下的可用区之间使用内网通信。
VPC之间如何做到互联?
答:两种方式:1.通过云企业网互联;2.通过专用网互联;3.使用虚拟专用网 网关。建议采用云企业网,效率更高,可以实现VPC与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通。
在多VPC的情况下,网络规划原则是什么?
答:
- 尽可能做到不同VPC的网段不同,不同VPC可以使用标准网段的子网来增加VPC可用的网段数。
- 如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同。
- 如果也不能做到交换机网段不同,则保证要通信的交换机网段不同。
示意图如下:
每个专用网络可以有多少路由器?
答:每个专有网络有且只有一个路由器,每个路由器维护一个路由表。
如何选择交换机网段?
答:交换机的网段必须从属于所属专有网络的网段。如果交换机网段和所属的VPC的网段相同,VPC内就只能创建一个交换机。
阿里云VPC提供了192.168.0.0/16,172.16.0.0/12,10.0.0.0/8以及它们的子网供我们选择。
VPC相关的使用限制有哪些?
如下(可能会随着阿里云产品的更新,导致下面的限制不太精准):
创建专有网络VPC后,系统会默认存在哪些系统路由?
SLB产品
slb和硬件负载均衡设备的比较
注:SLB不可跨地域部署。
SLB中的专业术语。
SLB中会话保持如何实现?
实现方式有以下两种:
- 四层TCP:同一IP地址的请求持续发往一台服务器;
- 七层HTTP:相同cookie的请求发往同一台服务器。
SLB的工作架构
如何为SLB产品配置监听?
SLB后端服务器组的分类有哪些?
- 默认服务器组:用来接受前端请求的ECS实例,如果监听没有设置虚拟服务器组或主备服务器组,默认将请求转发至默认服务器组中的ECS。
- 主备服务器组:一个主备服务器组只包括两台ECS实例,一台作为主服务器,一台作为备服务器,由于备服务器不会做健康检查(所以我们要尽可能的保证备用服务器处于正常状态),所以只要主服务器健康检查失败,系统会直接将流量切到备机。当主服务器健康检查成功恢复服务后,流量会自动切换到主服务器。
- 虚拟服务器组:当需要将不同的请求转发到不同的后端服务器上时,或需要通过域名和URL进行请求转发时,可以选择使用虚拟服务器组。
SLB的健康检测机制
SLB根据负载均衡选择的是四层负载均衡还是七层负载均衡,会有相应的检测机制,如基于四层的检测机制,简单说,就是时不时的和后端ECS实例发送一些TCP消息,如果在规定时间内收到回复消息,则说明后端节点正常,如果没收到,则说明发生了宕机。基于七层的健康检测呢,就是对器进行http head请求,查看返回的状态码是否为200—300之间。如果是,表示正常,反之不正常。
工作示意图如下:
白名单和黑名单的区别?
在很多场景下都会听到黑名单和白名单,所谓名单,就是定义一些列表,如IP列表,白名单就是只有你这个IP在我的白名单列表中,我才允许你访问我,黑名单呢,就是如果你的IP在我的黑名单中,那么我拒绝你访问我,相比较而言,白名单的安全性更高些。
slb中的黑白名单介绍:
- 白名单:仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于应用仅允许特定IP访问的场景。
- 黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发,黑名单使用于应用只限制某些特定IP访问的场景。
如何保证SLB的高可用性?
答:可以在同一个地域不同可用区中购买多个SLB,然后前端通过智能DNS来做DNS轮询,这种解决方案不但可以解决同一地域内的高可用性,也可以解决不同地域间的SLB高可用性。
SLB的计费方式?
SLB实例的限制有哪些?
Auto Scaling(弹性伸缩)产品
AS主要的使用场景有哪些?
弹性伸缩主要有以下几个场景:
- 当业务升级时,弹性伸缩自动根据事前自定义好的模板完成底层资源的升级,避免访问延时和资源超负荷运行。
- 弹性收缩:当业务需求下降时,弹性伸缩自动完成底层资源释放,避免资源浪费。
- 弹性自愈:弹性伸缩提供的健康检查功能,自动监控伸缩组内的ECS实例的健康状态,避免伸缩组内健康ECS实例低于设置的最小值(只要发现伸缩组中可用的ECS实例低于定义的最小值,那么同样会根据模板去创建新的ECS,以便满足业务需要)。
AS的工作模式?
AS的组件有哪些?
AS的工作流程?
AS(弹性伸缩的限制)
OSS对象存储
存储分为本地存储、文件存储(NAS)和对象存储(OSS),对象是OSS存储数据的基本单元,也被称为OSS的文件,对象由元信息(object meta)、用户数据(data)和文件名(key)组成。对象由存储空间内部唯一的key来标示,对象元信息是一组键值对,表示了对象的一些属性,比如最后修改时间、大小等信息,同时也可以在元信息中存储一些自定义的信息。
示意图如下:
存储空间的概念
存储空间是用于存储对象的容器,所有的对象都必须隶属于某个存储空间,存储空间具各种配置属性,包括地域、访问权限、存储类型等。用户可以根据实际需求,创建不同类型的存储空间来存储不同的数据。
- 同一个存储空间的内部是扁平的,没有文件系统的目录等概念,所有的对象都是直接隶属于某个存储空间。
- 每个用户可以拥有多个存储空间。
- 存储空间的名称在OSS范围内必须是全局唯一的,一旦创建之后无法修改名称。
- 存储空间内部的对象数目没有限制。
对象/文件的概念
对象是oss存储数据的基本单元,也被称为oss的文件,对象由元信息(object meta),用户数据(data)和文件名(key)组成。
对象的声明周期是从上传成功到被删除为止,在整个生命周期内,只有通过追加上传的object可以继续通过追加上传写入数据,其他上传方式上传的object内容无法编辑,可以通过重复上传同名的对象来覆盖之前的对象。
oss中的其他概念
阿里云提供的块存储和对象存储,应该如何选择?
将oss映射为文件系统是非常低效的,官方也不建议这种做法,如果一定要挂载成文件系统的话,建议尽量只做写新文件、删除文件、读取文件这几种操作,使用oss应该充分发挥其优点,即海量数据处理能力,优先用来存储海量的非数据化数据,比如图片、视频、文档等。
oss和文件系统对比
对象存储oss和自建对象存储服务器的对比
oss对象存储的类型
OSS提供标准、低频访问、归档三种存储类型,全面覆盖Congo热到冷的各种数据存储场景。如下:
oss对象存储的三种存储类型区别
OSS的三种权限控制
OSS配置防盗链
对象存储OSS是按使用量收费的服务,为了减少存储于OSS的数据被其他人盗链而产生额外的费用,OSS支持设置基于http和https header中表头字段referer的防盗链方法,可以通过控制台为存储空间设置referer字段的白名单和是否允许referer字段为空的请求访问。
设置防盗链功能,包括以下参数:
- referer白名单,仅允许指定的域名访问oss资源。
- 是否允许空referer,如果不允许空referer,则只有http或https header中包含referer字段的请求才能访问oss资源。
关于referer介绍:
假如我们要访问资源:https://lvjianzhao.gitee.io/ 有两种情况:
1. 我们直接在浏览器上输入该网址。那么该请求的HTTP Referer 就为null
2. 如果我们在其他其他页面中,通过点击,如 http://www.csdn.net 上有一个 https://lvjianzhao.gitee.io/ 这样的链接,那么该请求的HTTP Referer 就为http://www.csdn.net
oss生命周期规则
为了方便的管理存储空间(bucket)内的资源,oss提供了生命周期规则,可以通过生命周期规则来批量转换bucket内对象(object)的存储累心给,也可以批量删除指定的object和碎片。
oss之间的数据迁移
可以使用阿里云在线迁移服务在阿里云对象存储oss之间进行跨账号、跨地域、以及同地域内的数据迁移。
OSS之间数据迁移包含以下场景:
- 同地域数据迁移,即同地域bucket之间数据迁移。
- 跨地域数据迁移,即不同地域bucket之间数据迁移。
- 跨账号数据迁移,即不同阿里云账号之间bucket数据迁移。
使用在线迁移服务,只需在控制台填写元数据地址和目标oss地址信息,并创建迁移任务即可,启动迁移后,可以通过控制台管理迁移任务,查看迁移进度、流量等信息;也可以生成迁移报告,查看迁移文件列表、错误文件列表。
OSS的收费规则
OSS的收费包括了存储费用、流量费用、请求费用、数据处理费用。
具体如下:
OSS的限制
块存储
阿里云中块存储的类型
注:云盘相当于nas设备,阿里云提供副本备份;
共享块存储:相当于一个共享的存储设备,适用于群集环境;
本地盘:和ecs实例存在同一个物理服务器上,而不是我们自己服务器的本地盘,一般用于装ecs的系统,它的生命周期和ecs实例一致,ecs过期后,内存、cpu、本地盘的数据都不会保留。
云盘的类型
共享块存储和本地盘的分类
块存储的使用限制
在挂载云盘前,需要了解以下注意事项:
- 随实例一起创建的云盘和单独为预付费实例创建的作数据盘用的预付费云盘,不需要执行挂载操作。
- 只能挂载作数据盘用的云盘,不需要挂载作系统盘用的云盘。
挂载云盘时,实例必须满足以下条件:
- 实例状态必须为运行中(running)或者停止(stopped),不能为已锁定(locked)。
- 实例不欠费。
挂载云盘时,云盘的状态必须为待挂载(available)。
- 云盘只能挂载到同一地域下同一可用区内的实例上,不能跨可用区挂载。
- 一台ecs实例最多能挂载16块云盘作为数据盘用,同一时刻,一块云盘只能挂载到一个实例上。
- 通过esc管理控制台上的云盘页面独立创建的云盘能挂载到同一地域下同一可用区的任意实例上(包括预付费 和按量付费的实例)。
快照
快照是某一时间点一块云盘或共享块存储的数据状态文件。常用于数据备份、数据恢复和制作自定义镜像等。应用场景如下:
快照的分类
从创建方式上,快照分为手动快照和自动快照:
- 手动快照:手动创建,随时为云盘创建快照,备份数据。
- 自动快照:定期任务创建快照,需要先创建自动快照策略,再将自动快照策略应用到云盘上,ecs会在设置的时间点自动为该云盘创建快照。
从创建的顺序上,快照分为全量快照和增量快照:
- 云盘首次创建的快照是全量快照;
- 云盘后续创建的快照均是增量快照。
快照的优势
手动创建快照注意事项
阿里云RDS产品
RDS和自建数据库的优势比较
阿里云上的mysql版本
阿里云上的mysql提供四种版本的实例:基础版、高可用版、集群版、和三节点企业版(原金融版)。
各个版本的架构如下:
RDS各个版本的使用场景
RDS的规格簇
RDS的存储类型
RDS灾备实例介绍
RDS只读实例
RDS的数据备份与恢复
- RDS默认提供备份功能,支持自动备份和手动备份。
- RDS默认支持按备份集和指定时间点进行数据恢复。
- 除了默认的备份恢复功能,RDS for MySQL 还提供跨地域备份恢复功能。
RDS的同城容灾
RDS的高可用性
什么是数据管理DMS
数据管理是一种集数据管理、结构管理、用户授权、安全审计、数据趋势、数据追踪、BI图表、性能与优化和服务器管理于一体的数据管理服务。
DMS功能特性图如下:
DMS基础架构
阿里云数据管理提供的数据库管理服务包含三层结构:业务层、调度层、连接层、用于对RDBMS、Nosql的实时数据访问和后台数据任务的调度。
具体每层的功能如下:
DMS的产品优势
DTS的概念
数据传输服务(DTS)支持RDBMS、NoSQL、OLAP等数据源间的数据交互,集数据迁移/订阅/同步于一体,构建安全、可扩展、高可用的数据架构。
数据传输服务DTS的特点如下:
DTS的系统架构
架构说明:
- 系统高可用数据传输服务内部每个模块都有主备架构,保证系统高可用。
- 数据源地址动态适配对于数据订阅及同步链路。
DTS的优势
CDN
CDN工作原理
CDN使用步骤
刷新CDN缓存
- 源站内容更新,需要在更新源站内容后,同时刷新CDN节点的缓存,这样才能保证源站内容与CDN的缓存内容保持一致。
- 目前CDN控制管理后台的【刷新】页提供两种刷新方式供客户使用。
两种刷新方式如下:
CDN使用防盗链功能
- 防盗链功能基于http协议支持的referer机制,通过referer跟踪来源,对来源进行识别和判断。
- 目前防盗链功能支持黑名单或白名单机制,访客对资源发起请求后,请求到达CDN节点,CDN节点会根据用户预设的防盗链黑名单或白名单,对访客的身份进行过滤。
注:黑名单和白名单只能配置一种,不可以两种都存在。
如何验证CDN是否生效
要验证CDN服务是否已经生效,主要有以下几种方法:
- 方法2:通过ping或dig命令所添加的加速域名,如果成功,表示CDN功能已经生效。
- 方法2:通过dig命令可以查看相应的加速域名访问CDN节点的IP和延时丢包等基本信息。
- 方法3:用户也可以获取对应加速域名的资源的response头查看是否有CDN加速对应的节点信息来判断CDN是否生效。
CDN计费方式
当用户开通阿里云CDN时,计费方式包括基础服务和增值服务两种:
- 基础服务计费方式:按流量计费或按峰值带宽计费。
- 增值服务计费方式:开启https功能或业务类型为“全站加速”的域名,将会额外对静态https请求数计费。实时日志服务和图片鉴黄功能页单独计费。
CDN的使用限制
域名备份
- 推荐使用阿里云备案完成域名备案,如果选择加速区域为港澳台及海外(无大陆内的节点),则域名无需备案。
内容审查
- 所有接入CDN的域名都要经过内容审核。
- 域名数量限制
阿里云安全
高防IP及DDOS防护包
DDOS攻击的概念
DDOS攻击的全称是:分布式拒绝服务,指借助于客户端/服务器模式,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDOS攻击,从而成倍地提高拒绝服务攻击的威力。
通常,攻击者使用一个非法账号将DDOS主控程序安装在一台计算机上,并在网络上的许多计算机上安装了代理程序,在所设定的时间,主控程序将与大量代理程序进行通讯,代理程序收到指令时就发动攻击。利用c/s模式,主控程序能在几秒中内激活成败上千次代理程序的运行。
比如:我们的线上业务是一个游戏平台,黑客通过向其他用户的计算机植入木马/病毒等方式来控制大量的肉鸡(用户的计算机被黑客控制后,就被称之为肉鸡),然后黑客在一个特定的时间点,控制这些肉鸡同时向我们的游戏服务器发起请求,当我们的服务器处理不了这么多请求时,就会造成其他正常用户的掉线,严重影响用户体验。
DDOS攻击分类
DDOS高防IP
云盾DDOS高防IP产品是针对互联网服务器(包括非阿里云主机)在遭受大流量的DDOS攻击后导致服务不可用的情况,推出的付费增值服务。可以通过配置DDOS高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
购买DDOS高防IP服务后,把域名解析到高防IP,并配置源站IP。配置DDOS高防IP服务后,当遭受DDOS攻击时,无需额外做流量牵引和回注。
整个工作流程如下:
DDOS防护包
DDOS防护包是一款正对云上ECS、SLB、web应用防火墙、EIP等云产品直接提升防御能力的安全产品。
相比于DDOS高防IP来说,DDOS防护包主要的好处是可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名等限制。同时,DDOS防护包的购买和部署过程也非常的简单,购买后只需要绑定需要防护的云产品的IP地址即可使用,只需几分钟即可生效。
阿里云安骑士
阿里云安骑士是一款经受百万级主机稳定性考验的主机安全加固产品,支持自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键检查、网页防篡改等功能,是构建主机安全防线的统一管理平台。
阿里云安骑士集网络、主机、云产品安全于一体,对云上系统的所有安全进行风险监控。
安骑士虽然功能强大,但是对于我们服务器的资源消耗是非常小的,cpu的使用率不会超过百分之十,内存的使用不会超过50M。
安骑士的架构图
安全管家
安全管家的几个版本之间的区别如下:
云安全中心
云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、相应、朔源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
云安全中心帮助我们收集并呈现10余种类型的日志和云上资产指纹,并结合网络实体威胁情报进行安全态分析,扩大安全可见性。
云安全中心功能详情
云监控的概念
云监控是意向针对阿里云资源和互联网应用进行监控的服务。
云监控为云上用户提供开箱即用的企业级开放型一站式监控解决方案。涵盖IT设施基础监控,外网网络拨测监控,基于时间、自定义指标、日志的业务监控。
云监控的架构图如下:
云监控相关的名词
若有收获,就点个赞吧
0 人点赞
