导图社区 2021云计算ACP考点大梳理
- 239
- 8
- 1
- 举报
2021云计算ACP考点大梳理
这是一篇关于2021云计算ACP考点大梳理的思维导图。阿里云计算机专业认证是面向使用阿里云计算产品架构、开发、运维类人员的专业技术认证。由于阿里云是国内云服务市场占有率绝对领先地位,招聘市场供不应求,在企业招聘绝对的加分项。
编辑于2021-06-10 22:48:34- ACP
- 阿里云ACP
- 相似推荐
- 大纲
云计算ACP考点大梳理
大家好,我是子涵先生,ACP考试高分通关,私藏思维导图大分享。版本号:v20210609
ECS
扩展
垂直扩展:升配
磁盘挂载
只有在稳定(运行中,已停止)状态才能挂载磁盘,其他状态都不行
水平扩展:弹性伸缩
ECS升级CPU或内存等配置需要重启才可享受升级后的配置。
特点
云服务器是BGP多线机房,全国访问流畅均衡,传统IDC是以单线和双线为主
可用区
用户购买时指定,且购买后不可更改
隔离性
同账号下,同一地域ECS实例内网都可以互通。
成本管理
ESC暂时不用,可以制作自定义镜像,并释放该实例
安全组
网络安全控制功能
最多可以加5个,至少1个
安全组中禁止访问的规则需要高于允许访问的规则
不支持MAC授权
API服务
地址:ecs.aliyuncs.com
默认返回格式XML
通过向ECS API的服务端地址发送HTTP GET请求来实现相关的业务请求
自定义镜像
镜像名称、描述不能为空
NetworkManager
Linux系统不要开启该服务。
该服务实现网络的配置和管理,NetworkManager服务启动以后可能会导致系统内部的网络配置出现紊乱。
Selinux
linux系统的服务器不支持开启Selinux服务,如果开启了Selinux服务,会导致系统异常并无法启动
服务器安全托管
是针对ECS的托管服务
磁盘
选择阿里云本地磁盘或者本地SSD的ECS实例,一旦创建,不能修改规格
购买带有本地SSD盘的实例(包含系统盘和数据盘)无法升级磁盘/CPU/内存等配置,仅支持带宽升级
系统盘
更换系统盘并不会导致网络层的IP地址会发生变化
数据盘
最多支持16块数据盘扩展
磁盘回滚条件:ECS实例已停止
快照
磁盘快照存储的位置是OSS(非自建)
回滚快照操作只能针对打过快照的磁盘进行
挂载
云盘只能挂载到同一地域下同一可用区内的实例上,不能跨可用区挂载。
windows服务器
内存较低(低于2G)时,建议使用虚拟内存
部署集
使用限制
部署集之间不支持相互合并。部署集内不能创建抢占式实例。部署集不支持创建专有宿主机。
费用相关
实例停机不收费功能仅适用于按量付费的 VPC 类型 ECS 实例。
弹性伸缩
伸缩组
配置
伸缩规则
加入或移出N个实例,且不限制ECS的数量
支持四类伸缩规则
简单规则
支持增加或减少指定数量的实例,或者将实例数量调整至指定值。
步进规则
基于云监控报警服务的分段扩缩容策略,在简单规则的基础上增加了分步定义,可以通过一组策略集合精细地控制扩缩容。
预测规则
基于机器学习,可以通过分析伸缩组的历史监控数据预测未来监控指标值,并支持自动创建定时任务,智能设置伸缩组边界值。
目标追踪规则
需要选择一项云监控指标,并指定目标值。弹性伸缩会自动计算所需的实例数量并进行扩缩容,从而将云监控指标维持在目标值附近。
伸缩配置
设置ECS实例的规格
自定义镜像
公共镜像
共享镜像
状态
Active:生效状态,伸缩组会采用处于生效状态的伸缩配置自动创建ECS实例。
Inacitve:失效状态,该伸缩配置存在于伸缩组中,但伸缩组不会采用处于失效状态的伸缩配置自动创建ECS实例。
支持数据盘的弹性伸缩
创建伸缩组时指定的SLB实例的所有配置的监听端口必须要求开启健康检查。
伸缩活动
冷却时间
上一次伸缩完成后开始计时
伸缩组重启后,原冷却时间失效
在冷却时间内,伸缩组会拒绝由云监控报警任务触发的伸缩活动请求。但其他类型任务(手动执行任务、定时任务)触发的伸缩活动可以立即执行,绕过冷却时间。
步骤
手工加入的步骤:1. 判断伸缩组的健康状态、边界条件和 ECS 实例的状态、类型。2. 分配 ActivityId 和执行伸缩活动。3. 加入 ECS 实例。4. 修改 Total Capacity。5. 添加 RDS 白名单。6. 挂载负载均衡,将权重设为当前伸缩组中已激活的伸缩配置上指定的“负载均衡权重”。此处使用了伸缩配置上指定的“负载均衡权重”。7. 伸缩活动完成,启动 cooldown。
伸缩活动代表伸缩正在执行,此时不能停用伸缩组
优先级:同时只有一个伸缩任务执行,两种任务没有优先级之分
一台负载均衡实例可以加入多个伸缩组,但ECS只能属于一个伸缩组
伸缩组创建后,负载均衡、RDS实例就不允许修改了
伸缩对象
手工创建的ECS实例
移出时不会停止、释放
根据伸缩配置、伸缩规则自动创建的实例
移出时会停止、释放
手动伸缩
条件:ECS状态为运行中
弹性自愈
弹性自愈即当检测到某台ECS实例处于不健康状态时。弹性伸缩自动释放不健康ECS实例并创建新的ECS实例,自动添加新ECS实例到负载均衡实例和RDS实例的访问白名单中
伸缩模式
定时任务
定时任务和报警任务,独立于伸缩组,伸缩组删除也不会影响定时任务和报警任务的存在
手动任务
健康模式
如果发现一台ECS实例未处于运行中状态,则判定为不健康并移出该ECS实例。
动态模式
结合(云监控)报警任务
参考指标:CPU,内存,系统平均负载,内外网出和入流量,TCP总连接数和已建立连接数。系统盘读和写BPS,系统盘读和写IOPS,内网网卡收包数和发包数。
固定数量模式
多模式并行
SLB
基本使用
移除ESC时应先将权重修改为0,屏蔽
提供后端ECS实例间的数据自动同步功能,采用rsync的远程同步技术
负载均衡SLB不提供CNAME地址,只提供IP地址
支持创建IPv6实例
可以挂载IPv4的ECS
阿里云的负载均衡SLB目前只支持阿里云的云服务器ECS实例,不支持其他服务器。
实例类型
根据负载均衡实例类型来分配不同的服务地址(公网IP或私网IP)
切换类型
先删除再创建
特点
支持同城容灾
性能指标(3个)
最大连接数,Max Connection
每秒新建连接数,Connection Per Second(CPS)
每秒查询数,QPS
流量分发
四层流量转发
LVS
LVS集群三层结构
负载均衡器
服务器池
共享存储
基于源IP实现会话保持,保持时间最长3600s
走默认路由,如有外网网卡,则先走外网网卡
主备服务器组仅支持四层监听(TCP、UDP)
四层是通过SLB中设定的转发策略、规则和报文中的目标IP地址和端口分发流量
七层流量转发
通过Tengine实现
在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性;
Nginx是当前最流行的7层负载均衡开源软件之一;
根据http头部的X-Forwarded-For获取来访者真实IP
基于cookie实现会话保持
植入cookie、重写cookie
基于域名或URL路径进行转发
只有7层监听(HTTPS/HTTP协议)支持配置URL转发策略
七层是通过报文中真正有意义的应用层内容和负载均衡SLB中设定的转发策略和规则分发流量
监听
监听内容
监听端口
负载均衡策略
3种调度算法
轮询(RR)、加权轮询(WRR)、加权最小连接数(WLC)三种调度算法
健康检查
健康检查配置|七层监听|四层监听
健康/不健康阈值的含义是尝试N次
降低健康检查对负载的影响
降低健康检查频率、增大健康检查间隔、七层检查修改为四层检查
状态
unavailable——未开启健康检查
通过设置主机头(Http Host),来实现对同一台ECS实例上不同站点的健康检查。
监听设置
允许设置50个
对监听设置的峰值带宽是不共享的
四层监听
检查端口
UDP和TCP监听无法关闭健康检查
主备服务器组只支持四层监听
七层监听
检查状态码
只有HTTP和HTTPS监听支持关闭健康检查。
只有7层监听(HTTPS/HTTP协议)支持配置URL转发策略
会话保持
网络切换不会影响会话保持功能
转发顺序
先规则,后虚拟,最后后端服务器
若用户没有在该监听上设置虚拟服务器组,即将流量转发到实例级别添加的各后端服务器中
若不匹配并且在该监听上设置了虚拟服务器组,那么将流量转发到该虚拟服务器组上
当用户流量经过负载均衡某端口时,我们首先判断其是否能够匹配上某条“转发规则”,如果匹配,则将流量转发到该规则的后端服务器组上;
不同地域的SLB负载——DNS轮询
https证书
仅支持PEM格式
2大费用来源
1-实际使用公网流量费用
2-实例费用
安全
补丁管理服务
补丁来自于阿里自己研发
绿网(内容安全):云盾体系内的业务防护模块
保护网站内容安全,屏蔽小黄图、敏感话题等
支持针对url进行内容屏蔽
内容安全是以API的形式提供服务,会占用部分带宽资源,但是不会占用云服务器ECS实例的CPU资源
云盾
DDOS:恶意网络攻击行为
基础防护
最高5GDDos防护
保障ECS、SLB、WAF、VPC、EIP、NAT云产品的DDoS网络安全
比如不能保障RDS、OSS
DDoS有多种类型攻击,包括但不限于以下攻击类型ICMP Flood,UDP Flood、TCP Flood、SYN Flood、ACK Flood等
流量清洗
3个触发指标
公网IP每秒处理的报文数量(PPS)
公网IP每秒处理的流量值(bps)
每秒http请求数
优势
优质的防护线路
精准防护
免安装免维护
高级防护
支持四层和七层抗攻击能力
支持弹性按天计算
升级防护不会导致服务中断
支持电信、联通、BGP、HK线路(海外线路)
精准访问控制
支持的字段不包括Source-Adress
黑洞
是指服务器受攻击流量超过本机房黑洞阈值时,阿里云屏蔽服务器的外网访问。
数据风控
首先得进行业务数据的采集
WEB应用系统,可以采用JavaScript方式来采集“刷库”等业务风险信息
IP白名单
屏蔽某个/某段IP频繁非法访问的情况
云盾和安骑士都能保护非阿里云主机。
非阿里云服务器也能使用DDoS高防服务
安骑士
功能
支持防护阿里云的ECS以及非阿里云的线下机房的实例
阿里云以外的服务器可以通过安骑士客户端管理控制台生成的安装验证key,实现与账号管理
提供端口检测、异地登录提醒、密码暴力破解、WebShell检测服务
IP白名单
屏蔽某个/某段IP频繁非法访问的情况
防护对象
云实例,无法防护web
部分免费
Web应用防火墙(WAF)
防止密码破解
防止被爬虫
防止CC攻击
攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC(Challenge Collapsar)
防止敏感信息泄露
安全管家
专业技术人员运维实例
托管
云安全中心(态势感知)
作用
非常用ip登录RDS时会收到报警
可以发现webshell,恶意病毒攻击
SaaS平台
安装验证key
大数据安全分析平台,能对云上资产进行安全告警;并用机器学习发现潜在的入侵和高隐蔽攻击,回溯攻击历史,预测即将发生的安全事件
本质是查找漏洞,需要用户自己处理
先知计划
应急响应中心——收集漏洞情报
众策服务提供者
通过实名认证的白帽子
多加阿里云授权的安全公司
数据风控
数据监控支持输出详细的风险评估报告
可做为其中一个因子参与到业务决策逻辑中,也可根据评估结果直接进行处置
云防火墙
功能
两个控制模块组成
南北向流量控制模块:主要用于实现互联网到主机间的访问控制,支持4-7层访问控制。
东西向流量控制模块:主要是利用安全组对主机之间的交互流量进行控制,实现4层访问控制
专有网络VPC
特点
二层隔离的网络环境
三层网络访问控制在阿里云中是通过安全组实现的
交换机
概念:交换机是组成专有网络的基础网络设备,用来连接不同云资源实例。
交换机创建完成之后,无法修改CIDRBlock,且新建交换机所使用的CIDRBlock不可以与已经存在的交换机的CIDRBlock重复。
VPC交换机是3层交换机,不支持2层广播和组播
同一个VPC中的交换机默认是互通的
路由器
路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备
每个路由器关联一张路由表
分类
系统路由
概念:用于专有网络内的云产品实例访问专有网络外的云服务(用于交换机内的云产品通信)
路由条目
概念:路由表中的每一项
功能:指定了网络流量的导向目的地
组成:由目标网段、下一跳类型、下一跳三部分组成
自定义路由
使用步骤:1-创建VPC,路由器会自动创建;2-创建交换机
实现原理
阿里云专有网络VPC使用了隧道技术,每个VPC都有一个独立的隧道号,一个隧道号对应着一张虚拟化网络,达到与传统VLAN方式类似的隔离效果
默认专有网络与非默认专有网络的操作方式与规格限制一致
高速通道(Express Connect)
高速通道实现VPC之间的私网通信,不支持与经典网络的内网通信
VPC下的ECS
专有网络类型的ECS实例只可以属于单个虚拟交换机
专用网络VPC下面的ECS,不管是否绑定了EIP,在设置安全组的时候,只可以设置内网规则,外网规则是不可以选的
三层网络访问控制在阿里云中是通过安全组实现的
修改私网IP需要保证ECS处于已停止的状态
弹性公网
每个弹性公网IP只能绑定到同一地域的一个VPC网络的云产品实例上。
收费
ECS实例公网出口IP不统一的问题
为ECS实例单独分配一块弹性网卡,并将EIP绑定到弹性网卡
专有网络VPC的ECS有2种ip
私有IP
不是私网IP
公网IP
OSS
ECS要通过内网访问OSS的Bucket,需要处于同一地域
OSS针对VPC有一套自己的内网地址,地址如:vpc100-oss-cn-beijing.aliyuncs.com
url
分支主题
数据加密
两种服务端数据加密方式
使用KMS托管密钥进行加解密(SSE-KMS)
使用OSS完全托管加密(SSE-OSS)
两种客户端数据加密方式
使用KMS托管用户主密钥
使用用户自主管理密钥
安全
Refer防盗链
基于Http Header中refer字段实现
用户只有通过URL签名或者匿名访问Object时,才会做防盗链验证
Refer白名单
OSS 本身不提供 IP 黑白名单,可以先使用 CDN加速,然后再 CDN上配置IP黑名单
无需另外购买清洗和黑洞设备
对外分享
私有bucket分享机制
对外分享的内容是限时有效
权限
公共读写
公共读
私有
2公1私
文件访问
在浏览器中直接访问图片等,需要绑定用户自定义域名
域名绑定:目前仅支持3级域名;经过工信部备案
费用
存储费用
包年包月、按量付费
流量费用
包年包月、按量付费
OSS API费用
只有按量付费
存储结构
Bucket
OSS创建后其地域不可更改
名称全局唯一,且创建后不可更改
Bucket文件复制
文件上传
接口
CopyObject接口
节省网络带宽,无需下载、上传过程
ModifyLoadBalancerInternetSpec
修改计费方式
文件上传接口
Put Object
Multipart Upload(断点续传)
Object
单个Object的大小限制是48.8T,但是每个Bucket的容量是没有上限的
组成
元信息(Object Meta)
用户数据(Data)
文件名(Key)
文件Object不支持重命名
文件上传
简单上传
追加上传
其他上传方式上传的 Object内容无法编辑,可以通过重复上传同名的对象来覆盖之前的对象。
分块上传(Multipart Upload)
需要支持断点上传。
上传超过100MB大小的文件。
网络条件较差,和OSS的服务器之间的链接经常断开。
上传文件之前,无法确定上传文件的大小。
多媒体转码服务MTS
应用于在线音、视频直播
磁盘数据迁移
闪电立方
PB级数据迁移
OSSImport
生命周期管理
定期删除n天前的object
图片服务(IMG)
channel
概念:IMG 上的命名空间,也是计费、权限控制、日志记录等高级功能的管理实体
特性
每个Channel中存放的object的数量没有限制
单个图片最大20Mb
一个用户最多可以创建10个channel
IMG名称在整个图片处理服务中具有全局唯一性,且不能修改
样式
保存图片处理参数
处理完的图片直接返回给用户,不会保存在OSS中
可靠性原理
1.磁盘采用RAID0+1冗余技术
2.规模自动扩展
元数据信息修改
重新上传
先copyObject,后删除
CDN
任何地域都会产生回源流量费
基本功能
静态文件访问加速
HTTPS安全加速
安全
ip黑白名单功能
获取访客真实ip
- Windows使用IIS需要安装插件F5XForwardedFor- Apache和Nginx可以直接在Header中直接添加"X—Forwarded-For",之后ECS可以直接从HTTP请求的Header中获取到
URL鉴权
Refer防盗链
UsageAgent黑白名单
加速域名
CDN加速域名“停用”和“删除”的区别?
使用的解析服务商可以是阿里云以外的公司
节点系统关键组件
LVS,四层负载
Tengine,七层负载
Swift,http缓存
网站媒体内容可以保存在ECS的硬盘中,不一定需要使用OSS来作为媒体内容的存储。
实际网络流量高于应用层统计流量
原因
TCP/IP包头的消耗
TCP重传
缓存刷新
三种方式:目录刷新、url刷新、url预热
弹性公网(EIP)
绑定条件
ECS实例的网络类型必须为专有网络VPC
ECS实例地域必须与EIP地域相同
EIP可绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例和NAT网关上。所以不支持绑定到经典网络的ECS实例上。
创建EIP后,云监控会自动开始对其监控
HTTPDNS
面向移动开发者推出的一款域名解析产品,具有域名防劫持、精准调度等特性
BGP(边界网关协议)
多线BGP
解决跨运营商的网络访问速度瓶颈
单IP多线路,将IDC与其他运营商互联
BGP线路主要为OSS,和DDoS高防IP提供服务
CDN的全部缓存节点并没有采用BGP线路
RDS
内外网切换会导致IP变更
通过云账号的AccessKey访问业务数据库RDS的API,解决权限过高、泄漏信息和难以维护。
用RAM来解决此问题
云监控(CloudMonitor)
业务监控预警
支持未部署在阿里云产品上的网站
用户可以使用云监控提供的事件订阅功能,从消息队列消费报警信息
监控日志数据只能查看(控制台或接口),不能下载
站点监控
功能:对目标站点服务的可用性和响应时间进行监控
8种监控类型
包括http监控、ping监控、tcp监控、udp监控、DNS监控、pop监控、smtp监控、ftp监控。
其中每种监控类型里面包含了两个监控项:status和responsetime。
费用
开通阿ECS后会自动开通云监控,云监控是不收费的
OTS结构化数据库
保存客户海量用能数据,满足大数据分析的需求,而不是满足大多数互联网应用的需求。
访问控制(RAM)
RAM(Resource Access Management)——子账号管理
计算机、网络基础
TCP/IP
使全球计算机连接在一起的协议
渗透测试是通过模拟恶意黑客的攻击方法
操作系统级别监控指标包含内存使用率、平均负载、磁盘 IO 读/写、磁盘使用率、TCP 连接数、进程总数等。请注意CPU使用率不属于操作系统级别监控。
五元组
通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议
云服务
IaaS(基础设施即服务)
SaaS(软件即服务)
云安全中心就是一个SaaS服务
PaaS(平台即服务)
但是可以控制部署的应用程序、控制运行应用程序的托管环境配置
关键词:环境配置
消费者不需要控制底层的设施
阿里云管理
ICP备案需要提前一个月