1.5-弹性伸缩 waf

用户登录名称 oldxu@1340011008759019.onaliyun.com AccessKey ID LTAI4G8uSYL3fYL7GfXDr7ka

AccessKey Secret tj44VfIynRumeAiUu3e3nZ2uzgHNG4

场景1: kodclopud对接OSS,实现私有化网盘服务;

用户登录名称 oldxu-oss@1340011008759019.onaliyun.com
AccessKey ID LTAI4GAV65K3mvyGp4XzoQXu
AccessKey Secret 7kMK1qx7kyi7Q7NCg7I0meF1PhVW8v
OSS配置:
1.创建OSS Bucket存储,选择私有;
2.通过OSS中的权限管理—>访问控制RAM,创建一个子用户;
3.采用编程访问的方式, 启用 AccessKey ID 和 AccessKey Secret;
4.再次点击用户—>添加权限—>AliyunOSSFullAccess;
5.回到OSS对象存储; 点击—>权限管理—>Bucket 授权策略, 6.将Bucket赋予为子账户管理—>授权为完全控制;


Kodcloud配置:
1.新增一个OSS存储;
2.填写OSS Bucket相应的配置
3.填写OSS Endpoint 填写公网地址;
4.通过Kodcloud上传文件测试;
5.检查OSS存储中是否存在该文件; 如若存在,则表示对接成功;

场景2: typora对接OSS存储,实现图片自动上传至互联网;

默认情况下: typora上传图片,都是相对路径,且文件存储本地;不便于分享;
改造图片存储至OSS中: typora连接picgo,当上传图片时自动调用软件推送至OSS存储;
配置typora:
1.更新Typora至最新版;
2.点击偏好设置—>图像—>插入图片时—>上传图片;
3.上传服务设定—>上传服务—>PicGo—>填写PicGo路径;

配置PicGo连接OSS:
1.创建一个OSS的Bucket存储,设定权限为公共读;
2.点击权限管理—>Bucket授权策略—>新增授权—>子账户—>完全控制权限;
3.配置PicGO—>图床设置—>阿里云OSS存储—>填写相关的配置信息;

实现自定义域名:
1.回到OSS中—>传输管理—>域名管理—>绑定域名;
2.填写对应的自定义域名—>添加CNAME别名即可;
3.为自定义域名颁发证书;否则无法通过HTTPS访问资源;
4.回到OSS中—>传输管理—>域名管理—>上传证书;
5.回到typora上传图片,使用自定义域名访问测试;
6.配置PicGO—>图床设置—>阿里云OSS—>设置自定义域名;

实现图片自动添加水印;
1.回到OSS中—>数据处理—>图片处理—>新建样式;
2.回到文件管理—>找到一张图片—>选择图片样式—>获取访问图片地址整体代码;
3.提取访问图片?后面一段样式内容代码—>?x-oss-process=style/ddd
3.配置PicGO—>图床设置—>阿里云OSS—>设置网址后缀;?x-oss-process=style/ddd

文档:
https://picgo.github.io/PicGo-Doc/zh/guide/config.html
https://blog.csdn.net/kai123wen/article/details/104027802




DNS:
1.为难以记忆的IP地址;赋予了一个别名; 用户只需要记忆别名即可访问网站的资源而无需记忆改网站对应的IP;
2.DNS在迁移的站点的时候; 非常的有用; 111 222

递归算法： 我向LocalDNS查询域名—>localDNS不知道域名对应的IP—>但它知道谁知道—>他代为帮你去查找—>最后在返回结果
迭代算法： 我向LocalDNS查询域名—>localDNS不知道域名对应的IP—>但它知道谁知道—>你自己去找它


DNS中的解析:
A记录解析: 域名—>具体的IP地址;
CNAME解析: 域名—>CNAME—>域名—>IP地址;

CDN:
DNS—>解析—>真实IP地址;
帮助网站实现分布式缓存; 就近访问原则; 内容分发网络;


物理机使用CDN,是否和云主机使用CDN一致; 配置的方法一致;
一致;
DNS—>CNAME—>CDN—>Domain—>IP


场景1: 为可道云服务配置CDN加速;
配置CDN加速前:
1.先搭建一个可道云, 接入负载均衡;
2.通过http://tool.chinaz.com/speedtest.aspx检测效果;
3.发现没加速前,无论任何地域访问都是通过负载均衡获取的资源;

配置CDN加速后:
1.配置CDN,点击域名管理—> 添加加速域名—> 回源的源站信息—>得到一个CDN的CNAME域名;
2.配置DNS—>将域名CNAME—>CDN提供的CNAME域名上;
3.在次通过http://tool.chinaz.com/speedtest.aspx 站点进行验证;
4.会发现来自不同地域的请求会由不同的CDN边缘节点服务器处理;

场景2: 源站提供mp4视频资源,然后为其进行加速访问;
1.登录ECS服务器,安装Nginx,上传视频资源;
2.通过不同的地域区wget该视频资源;
3.检查视频下载是否是从不同地域的边缘节点获取资源,而非从源站获取的资源;
场景3: CDN预热与刷新
预热的目的: 减少回源率,提高命中率;

预热配置:
1.CDN-缓存配置-缓存过期时间->添加对应格式后缀;
2.上传一张图片，使用预热方式缓存;
3.缓存多久,取决于缓存配置的时间;

刷新配置:
1.由于图片上传错误,现希望替换图片（名称一致），但测试发现无论怎么刷新都是原来旧的那张图片;
2.可以使用刷新接口,强制将源站的新图片刷新并推送到各个缓存节点;
3.通过浏览器刷新站点,检查图片是否更新成功;

HTTPS: CDN+SLB 实现HTTPS访问:

1.配置CDN对应域名的证书;
2.配置回源的IP:Port, 端口为443;
3.配置SLB 让其支持443协议;


作业:
将CDN的回源回到OSS中;
1.kod云上传资源;—>OSS
2.通过CDN的域名访问改资源; 不同的地域肯定是由不同的边缘节点来返回结果;

释放资源:
1.SLB
2.ECS
3.弹性IP
4.OSS
5.CDN
6.———-

——————————————————————————————————————————-
WAF防火墙做拦截:
WAF接入网站架构
CNAME接入
把域名解析到WAF提供的CNAME地址上，并配置源站服务器IP，即可启用WAF。启用WAF后，您网站所有的公网流量都会先经过WAF，恶意攻击流量在WAF上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。
DNS—>CNAME—WAF—>回源SLB
DNS—>CNAME—>CDN—>回源SLB

目前的架构:
DNS—>CNAME—>CDN—>回源SLB

改造后的架构:
DNS—>CNAME—>CDN—>CNAME—>WAF—>回源—>SLB


场景1: 为源站同时部署WAF和CDN

CDN（入口层，内容加速）—> Web应用防火墙（中间层，实现应用层防护）—> 源站
配置步骤:
1.购买一个WAF防火墙—>通过HTTPS协议—>回源—> SLB负载均衡
2.配置完成后WAF防火墙会提供一个WAF的CNAME域名 (4qhvuexmxectdg7j7flir0sitv8j5r99.yundunwaf1.com)
3.配置WAF防火墙—>上传对应域名的HTTPS证书
4.配置CDN—>域名管理—>基本设置—>源站信息—>WAF的CNAME地址—>端口443
5.配置DNS—>CNAME—>CDN的域名;
6.模拟漏洞注入—>通过浏览器访问：https://kod.xuliangwei.com/index.php?alert(‘xss’))
文档:
https://help.aliyun.com/document_detail/42200.html?spm=a2c4g.11186623.6.591.51a3fa4eqZE3xj
ESS弹性伸缩:
场景1: ESS弹性伸缩配置实践
配置的流程: 配置好负载均衡—>创建伸缩组—>添加伸缩配置—>添加已有ECS实例—>启用伸缩组

1) 创建伸缩组
1.1) 伸缩组名称,一个业务对应一个伸缩组;
1.2) 选择从0开始创建伸缩组
1.3) 配置伸缩组, 组内最小实例, 组内最大实例, 组内期望实例;
1.4) 选择VPC以及交换机, 关联哪个负载均衡,关联哪个RDS;

2) 配置伸缩组组内实例配置信息来源
1.1) 选购对应扩展的节点CPU,内存;
1.2) 选择对应的自定义镜像,镜像内容必须与业务环境一致;
1.3) 配置完成后启动伸缩组;
————————————————————————————————————————————
3) 创建伸缩组规则
1.1) 添加ECS实例规则—>规则名称—>伸缩规则类型—>执行操作;
1.2) 减少ECS实例规则—>规则名称—>伸缩规则类型—>执行操作;

4) 创建伸缩组规则触发器,什么情况添加或减少ECS
2.1) 定时任务
2.2) 云上监控
如果CPU大于80%,则调用伸缩组中添加ECS实例规则;
如果CPU小于30%,则调用伸缩组中减少ECS实例规则;

5) 模拟CPU大于百分之80% [ python脚本 ]
a = 0
while 1:
a+=1
NAT:
管理ECS主机;
内网主机如何连接;
内网主机如何上网;
14.NAT(运维)
Document：https://help.aliyun.com/product/44413.html?spm=a2c4g.11186623.6.540.47462f2aoaZFjK
场景1: 内网ECS没有购买公网IP，无法上网
方式一、firewalld实现内部主机共享上网（不推荐）
1.购买一台ECS专门用于共享上网，它需要有独立公网IP;
2.开启该服务器firewalld防火墙，打开masquerade路由转发功能;
3.找到需要上网的ECS实例所在的VPC网络，添加一条路由规则，去往0.0.0.0/0 下一跳为Firewall防火墙ECS实例;
方式二、NAT网关实现内网共享上网 （强烈推荐）
1.购买按量付费的NAT网关;
2.购买弹性EIP,将EIP捆绑置NAT网关;
3.配置NAT网关的SNAT—>选择以交换机为颗粒度—>进行地址转换;
4.登录ECS实例,验证主机是否都能正常上外网;
注意: NAT网关设备允许多个可用区共用一个NAT网关设备进行上网;


场景2: 解决内网主机无法通过WIndows直连的问题
方式一、购买一台带公网的ECS,安装Jumpserver堡垒机来实现外网连接内网集群节点;
方式二、通过负载均衡TCP实现端口映射,假设有100台ECS需要登录,那么此方法会显得非常的麻烦;
方式三、NAT网关设备配置DNAT端口映射,但需要额外在购买一个弹性公网IP地址;
方式四、OpenVPN实现外网访问内网集群ECS节点;
1.下载脚本: http://cdn.xuliangwei.com/openvpn-install-master.zip
2.修改一下vpn的配置,将推送的网关,DNS删除; 然后添加一条推送内网地址段路由信息;
3.配置安全组放行1194端口;
4.下载客户端证书;
5.配置VPC路由表,添加一条规则,去往10.8.0.0/24,下一跳走VPN节点;



场景3: 云企业网
场景一、同一个阿里云账户, 同一地域，不同VPC互联（免费）
场景二、同一个阿里云账户, 不同地域，实现VPC互联（专线收费）
场景三、不同账户,不同地域, 实现VPC互联;
A账户: 需要创建云企业网
B账户: 登录地域对应的VPC—>配置云企业网跨账号授权
1.添加A账户的用户UID —>(点击个人基本信息获取用户UID)
2.添加A账户的云企业网ID —>(点击A的云企业网—>基本信息—>ID)
Document：https://help.aliyun.com/document_detail/59870.html?spm=a2c4g.11186623.6.551.26564c07Ord6CQ
Document：https://help.aliyun.com/document_detail/97766.html?spm=a2c4g.11186623.6.594.6d0d791dNUvZ3I
资源释放:
1.ECS实例; 镜像删除; 快照删除;
2.SLB实例;
3.NAT网关;
4.弹性公网IP;
5.云企业网络;
3.VPC网络;
7.CDN资源释放;
8.DNS清理;