ECS
--------------------------
1.云服务器Elastic Compute Service(ECS)
2.Terraform:您可以使用开源工具Terraform来预配和管理ECS资源。Terraform提供一种简单机制,能够将配置文件部署到阿里云以及其他支持的云,并对其进行版本控制。
3.支持的镜像文件格式为VHD、qcow2和RAW
4.创建抢占式实例时,您必须为指定的实例规格设置一个价格上限(即您愿意为这个实例规格支付的最高价格),当指定的实例规格当前市场价格低于您的出价时,
您就能成功创建抢占式实例,并按当前市场价格计费。您能稳定持有实例一小时。之后,当市场价格高于您的出价或者资源供需关系变化时,实例会被自动释放。
5.突发性能实例(Burstable instance,以下简称为t5实例)
每种t5实例规格都有一个基准CPU计算性能,即正常工作负载时,实例每个vCPU核有一个最大使用率。
比如ecs.t5-lc1m2.small实例在正常工作负载时,CPU使用率最大为10%。
CPU积分获得率 = 基准CPU计算性能 * vCPU数量
每分钟消耗的CPU积分 = 1个CPU积分 * 实际CPU计算性能
每分钟累计的CPU积分 = 1个CPU积分 * (基准CPU计算性能 - 实际CPU计算性能)
t5实例支持的计费方式:按量付费、包年包月和按周计费。
6.弹性裸金属服务器(ECS Bare Metal Instance)
内存从32 GiB到384 GiB自由扩展。
弹性裸金属服务器:支持8核、16核、32核、96核等多个规格,并支持超高主频实例。
SCC:支持64核和96核,并支持高主频实例。
不仅支持普通虚拟云服务器,而且全面支持嵌套虚拟化技术,保留了普通云服务器的资源弹性,并借助嵌套虚拟化技术保留了物理机的体验。
超级计算集群(Super Computing Cluster,简称SCC)在弹性裸金属服务器基础上,加入高速RDMA互联支持,大幅提升网络性能,提高大规模集群加速比。
因此SCC在提供高带宽、低延迟的优质网络的同时,还具备弹性裸金属服务器的所有优点。
当您在一个地域第一次使用加密盘时,ECS 系统会为您在密钥管理服务(KMS)中的使用地域自动创建一个专为 ECS
使用的用户主密钥(Customer Master Key,CMK),这个用户主密钥,您将不能删除,您可以在密钥管理服务控制台上查询到该用户主密钥。
其他
文件存储(NAS)适合企业部门间文件共享、广电非线编、高性能计算、容器服务等业务场景。
云盘:一块云盘只能挂载到同一地域、同一可用区的一台ECS实例。
共享块存储:一块共享块存储最多可以同时挂载到同一地域、同一可用区的8台ECS实例。
作数据盘用时,云盘与共享块存储共享数据盘配额,即一台实例最多挂载16块数据盘。
加密解密的过程对于云盘的性能几乎没有衰减。
加密解密是在 ECS 实例所在的宿主机上进行的,对从 ECS 实例传输到云盘的数据进行加密。
每个新创建云盘都使用一个唯一的 256 位密钥(来自于用户主密钥)加密。此云盘的所有快照以及从这些快照创建的后续云盘也关联该密钥。
您在一个地域第一次使用加密盘时,ECS 系统会为您在密钥管理服务(KMS)中的使用地域自动创建一个专为 ECS 使用的用户主密钥(Customer Master Key,CMK),
这个用户主密钥,您将不能删除,您可以在密钥管理服务控制台上查询到该用户主密钥。
在创建加密云盘并将其挂载到 ECS 实例后,将对以下类型的数据进行加密:
云盘中的数据
云盘和实例间传输的数据(实例操作系统内数据不再加密)
加密云盘创建的所有快照(加密快照)
ECS 云盘加密有如下限制:
需要对现有数据 非加密状态 转换为 加密状态,要将数据从 非加密盘 上复制到(新创建的) 加密盘 上。
只能加密云盘,不能加密本地盘。
只能加密数据盘,不能加密系统盘。
已经存在的非加密盘,不能直接转换成加密盘。
已经加密的云盘,也不能转换为非加密云盘。
已经存在的非加密盘产生的快照,不能直接转换成加密快照。
加密快照不能转换为非加密快照。
不能共享带有加密快照的镜像。
不能跨地域复制带有加密快照的镜像。
不能导出带有加密快照的镜像。
每个地域每个用户无法自己选择用户主密钥 CMK,由系统为您生成。
每个地域 ECS 系统创建的用户主密钥(CMK),用户不能删除,但不收费用。
不支持在云盘加密后更换该云盘用于加解密的关联的用户主密钥CMK。
ECS限制
暂不支持虚拟化软件安装和再进行虚拟化(如安装使用VMware)。目前,仅 弹性裸金属服务器(神龙)和超级计算集群(SCC) 支持再虚拟化。
暂不支持声卡应用。
不支持直接加载外接硬件设备(如硬件加密狗、U盘、外接硬盘、银行U key等),您可以尝试软加密狗或者动态口令二次验证等。
暂不支持SNAT等IP包地址转换服务。您可以使用自己搭建VPN或者代理方式来实现。
暂不支持多播协议。如果需要使用多播,建议改为使用单播点对点方式。
目前日志服务不支持32位Linux云服务器。
不要开启 SELinux。
如果您使用普通云盘,不建议使用虚拟内存。如果是高效云盘或 SSD 云盘,可以根据实际情况使用虚拟内存。
如果您使用普通云盘,不建议使用 swap 分区。如果是高效云盘或 SSD 云盘,可以根据实际情况使用 swap 分区。
不要开启 NetWorkManager 服务。该服务会跟系统内部网络服务出现冲突,导致网络异常。
内网IP地址不支持组播和广播。
一台VPC类型的ECS实例最多只能关联一个公网IP地址,可以是NatPublicIp或者EIP。
VPC类型的ECS实例的公网访问通过私有网卡映射完成,所以,无论您的实例是否分配或者绑定了公网IP地址,在实例内部您都无法查询到公网网卡。
网卡多队列
单个CPU处理网络中断存在瓶颈,您可以将ECS实例中的网络中断分散给不同的CPU处理。
镜像是否支持网卡多队列与操作系统的位数无关。
弹性网卡ENI
弹性网卡ENI分为两种类型:
主网卡
在创建专有网络实例时随实例默认创建的弹性网卡称作主网卡。主网卡的生命周期和实例保持一致,您无法分离主网卡与实例。主网卡支持1个私有IP。
辅助网卡
您可以创建辅助网卡,并将其附加到实例上或从实例上分离。一个辅助网卡支持多个私有IP。
ECS实例与弹性网卡必须在同一VPC的同一可用区中,可以分属于不同交换机。
非I/O优化实例规格不支持弹性网卡。
您不能在一个实例上附加多个弹性网卡来提高实例带宽。
弹性网卡附加/删除无需停机
部署集是控制实例分布的策略,使您能在创建实例的时候就设计容灾能力和可用性。
您可以使用部署集将业务涉及到的ECS实例分散部署在不同的物理服务器上,以此保证业务的高可用性和底层容灾能力。
采用高可用策略后,部署集内所有ECS实例会在指定地域内严格分散在不同的物理服务器上。
高可用策略下,遇到地域内供货紧缺时,可能无法创建ECS实例。
部署集之间不支持相互合并。
部署集内不能创建 抢占式实例。
部署集不支持创建 专有宿主机。
在部署集内创建实例时,一个可用区内最多能创建7台ECS实例。
安全组是一种虚拟防火墙,具备状态检测和包过滤功能。
每个实例至少属于一个安全组,在创建的时候就需要指定。
一个实例中的每个弹性网卡都默认最多可以加入5个安全组。
经典网络类型的实例可以加入同一地域(Region)下经典网络类型的安全组。
单个经典网络类型的安全组内的实例个数不能超过1000。如果您有超过1000个实例需要内网互访,可以将他们分配到多个安全组内,并通过互相授权的方式允许互访。
专有网络类型的实例可以加入同一专有网络(VPC)下的安全组。
单个VPC类型的安全组内的私网IP个数不能超过2000(主网卡和辅助网卡共享此配额)。如果您有超过2000个私网IP需要内网互访,可以将这些私网IP的实例分配到多个安全组内,并通过互相授权的方式允许互访。
SSH 密钥对通过加密算法生成一对密钥,默认采用 RSA 2048 位的加密方式。
目前,ECS 只支持创建 2048 位的 RSA 密钥对。
如果使用 SSH 密钥对登录 Linux 实例,将会禁用密码登录,以提高安全性。
ECS 会保存密钥对的公钥部分。
基于数据安全考虑,在实例状态为 运行中 (Running) 绑定或者解绑密钥对时,您需要重启实例使操作生效。
流量清洗的触发条件包括:
流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。
流量大小。DDoS攻击一般流量都非常大,通常都以Gbit/s为单位,因此,当进入ECS实例的流量达到设置的阈值时,无论是否为正常业务流量,云盾都会启动流量清洗。
流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。
在使用DDoS基础防护时,您需要设置以下阈值:
BPS清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗。
PPS清洗阈值:当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。
一块磁盘对应一条快照链,快照链 ID 即磁盘 ID。
快照额度:每块磁盘最多只能创建 64 份快照。
快照节点:快照链中的一个节点表示磁盘的一份快照。每条快照链最多有 64 个节点,包括手动创建及自动创建的快照。
对象存储 OSS 资源包类目下的存储包仅适用于'标准型存储'和 ECS 快照存储,为订阅型服务。
弹性伸缩
--------------------------
停用伸缩组后,不会释放已经自动添加伸缩组的ECS实例。
2.实例自定义数据UserData
1)主要有两种用途:
作为实例自定义脚本,在实例启动时自动执行。
作为普通数据,将一定的信息传入实例中,您可以在实例中引用这些数据。
2)只有专有网络(VPC)的伸缩配置能够使用 UserData 参数。
要以 Base64 编码的方式传入 UserData 参数。
另外,UserData 将以不加密的方式传入,请避免以明文方式传入机密的信息(比如密码、私钥数据等)。
3.KeyPairName(SSH密钥对)参数时,需要注意以下几点:
Windows ECS实例,忽略该参数。即使传入了KeyPairName,也不会生效。
当传入了KeyPairName参数后,Linux ECS实例的密码登录方式会被初始化成禁止。
4.RamRoleName参数 配置了RAM 角色名称
5.标签
阿里云ECS提供标签(Tags)服务,您可以通过给ECS实例绑定不同的标签的方式,实现对ECS实例的分类管理。
6.伸缩组交换机
ESS伸缩组分为经典网络伸缩组和专有网络伸缩组。
当您在创建专有网络伸缩组的时候,需要配置伸缩组对应的交换机。
7.设置实例备用状态
弹性伸缩支持设置ECS实例备用状态(Standby)。我们不会检查处于备用状态的ECS实例健康状态,亦不会释放ECS实例。
设置备用状态后
如果对应伸缩组配置了负载均衡,则备用状态ECS实例的负载均衡权重会被置零。
伸缩组内发生伸缩活动时,不会移除处于备用状态的ECS实例。
您需要预先从伸缩组内移除该ECS实例才能将其释放。
如果您删除伸缩组,ECS实例会自动解除备用状态并随伸缩组一起释放。
7.其他
查询伸缩活动的信息,最多只能返回30天之内的伸缩活动。
同一个负载均衡SLB实例的后端服务器池中可以包含多个伸缩组。
OSS采用多副本数据冗余机制,当底层硬件出现故障时OSS服务一定会短暂中断,最快在2分钟内修复。
OSS
----------------------------------
1.OSS提供与平台无关的RESTful API接口,能够提供99.999999999%(11个9)的数据可靠性和99.99%的服务可用性
2.OSS优势
1)方便、快捷的使用方式
提供标准的RESTful API接口、丰富的SDK包、客户端工具、控制台。您可以像使用文件一样方便地上传、下载、检索、管理用于Web网站或者移动应用的海量数据。
不限文件数量和大小。您可以根据所需存储量无限扩展存储空间,解决了传统硬件存储扩容问题。
支持流式写入和读出。特别适合视频等大文件的边写边读业务场景。
支持数据生命周期管理。您可以自定义将到期数据批量删除或者转入到低成本的归档服务。
2)强大、灵活的安全机制
灵活的鉴权,授权机制。提供STS和URL鉴权和授权机制,以及白名单、防盗链、主子账号功能。
提供用户级别资源隔离机制和多集群同步机制(可选)。
3)丰富、强大的增值服务
图片处理:支持jpg、png、bmp、gif、webp、tiff等多种图片格式的转换,以及缩略图、剪裁、水印、缩放等多种操作。
音视频转码:提供高质量、高速并行的音视频转码能力,让您的音视频文件轻松应对各种终端设备。
内容加速分发:OSS作为源站,搭配CDN进行加速分发,具有稳定、无回源带宽限制、性价比高、一键配置的特点。
3.提供功能
上传文件/搜索文件/查看或下载文件/删除文件或文件夹
控制OSS资源的访问权限/记录OSS资源的访问信息/防盗链
支持使用自定义域名访问OSS资源/支持跨域CROS/支持在指定时间自动批量删除文件
支持跨区域复制
支持创建回源规则来定义通过镜像还是重定向获取源数据。回源规则通常用于数据热迁移和重定向特定请求。
支持修改 HTTP头
提供API和SDK
支持增值服务 如图片处理
图片和音视频等应用的海量存储
网页或者移动应用的静态和动态资源分离
云端数据处理
4.文件与文件夹
OSS中文件夹的概念仅是一个逻辑概念 其实是一个大小为0KB的空文件。
不同的文件夹的文件仅仅是key值的前缀不一样。
5.使用限制
存储空间(bucket)
同一账号在同一地域内创建的存储空间总数不能超过30个。
OSS总存储容量不限制,单个Bucket容量也不限制。
存储空间一旦创建成功,其名称、所处地域、存储类型不能修改。
单个存储空间的容量不限制。
上传/下载文件
通过控制台上传文件大小不能超过5GB
断点续传方式上传的文件大小不能超过48.8TB。
Put Object方式最大不能超过5GB, 使用multipart上传方式object大小不能超过48.8TB
OSS支持上传同名文件,但会覆盖已有文件。
文件删除后无法恢复。控制台批量删除文件的上限为1000个,更大批量的删除必须通过API或SDK实现。
域名绑定 账号必须在阿里云官网完成实名认证。每个存储空间最多可以绑定20个域名。
每个存储空间的生命周期配置最多可容纳1000条规则。
图片格式只能是:jpg、png、bmp、gif、webp、tiff。
文件大小不能超过20MB。
使用图片旋转或裁剪时图片的宽或者高不能超过4096。
对于缩略后的图:
宽与高的乘积不能超过4096x4096。
单边长度不能超过4096。
资源包 只支持归属地域使用,不支持其他地域使用。不支持更换地域。
同类型资源包不支持叠加,例如无法在同地域同时段购买两个存储包。
请求次数和低频/归档存储不支持包年包月付费。
常见问题处理
1.访问网络超时
添加重试逻辑,增加重试次数。
延长超时时间。
如果是通过分片上传或断点续传的的方式上传,可以减少分片大小。但是最小不要小于 100 KB。
通过CDN加速服务来提升OSS传输。
2.Access denied
确认ID、key、bucket 及 endpoint 是否正确(sdk的设置中默认 endpoint 为杭州,可尝试改为用户oss实例的地址)。
确认 bucket 权限是否设置为只读。
确认防盗链设置是否允许为空(如不允许为空,浏览器直接访问出错)。
3.数据丢失原因
您是否设置过bucket的生命周期LifeCycle,生命周期会根据您设置的自动定期删除数据。
您的bucket是否设置为公共读写权限。
是否有人通过您的AK/SK操作您的bucket,可以通过日志分析。
4.OSS上传的视频如何实现在线播放
OSS默认根据文件的后缀名来设置MIME ,如果没有后缀名,需要自行更改。
5.如何设置OSS的备份策略?
1)在业务端写入OSS数据时自行设置双份写入,保证多数据中心的 Bucket 能同步存储业务数据。这种策略由用户自行完成备份功能。
2)将OSS中的数据同步或者异步下载到本地,由用户自行备份。该策略需要调用OSS的API/SDK接口。参考文档
3)OSS提供跨区域复制功能,可将某个 Bucket 中的全量和增量数据异步地复制到其他地域的Bucket中,从而实现云端的异地备份。
6.是否可以指定Bucket下特定目录而非整个Bucket间进行同步?
可以。通过设置跨区域复制功能指定文件名前缀进行同步,只同步特定目录。
7.归档存储是否可以使用跨区域复制功能?
当源Bucket或目标Bucket是归档存储时,不支持设置跨区域复制。用户可以使用OSS API/SDK 编写代码,以实现同步。
8.镜像回源
适用于当客户端访问BucketB时,BucketB中没有该数据,触发镜像回源去BcuektA中抓取,下载到BucketB。
9.OSS收费
存储费 + 流量费 + 请求费用 + 数据处理费用
10.如何降低OSS成本
1)使用CDN CDN的外网流量费用相对OSS外网流量较低,仅为OSS外网流量的50%。一般CDN的回源流量小于您总流量的10%。
2)如果您使用CDN服务,请使用您自己的二级域名绑定OSS Bucket并配置CDN服务。
3)如果您开启了OSS图片处理服务,请不要同时使用OSS图片处理服务配置的CDN域名作为Bucket加速域名。你可以使用其他二级域名配置CDN服务。
4)您可以将适合加速的文件单独建立一个bucket配置CDN加速服务。
5)存储和流量按实际使用量,最小计费单位是GB。请求次数按PUT型每千次,GET型每万次整数计量计费收费。
6)OSS每次请求所产生的请求次数,不分内外网都会计费。
7)标准存储转换成低频访问或者归档存储,可以节省约50%到80%的费用。
11.可以删除bucket下的所有object(包括碎片),再删除bucket
12.ECS快照和OSS存储包的关系
OSS存储包可以抵扣ECS快照存储费用。
对象存储OSS和ECS快照是独立的产品,快照数据独立存储。
使用ECS快照存储服务,有两种付费方式:
预付费(购买存储包,推荐):您的快照可存放于OSS存储包中,快照存储已支持您购买OSS存储包。
按量付费:按快照实际大小进行计量计费,每小时进行扣费。
13.同一个地域,相同的资源包只能购买一次。用户可以在已购的地域资源包上进行续费、升级。
14.资源包分为:存储包、下行流量包、回源流量包。
存储包: 可抵标准型存储量和ECS快照存储量
下行流量包:可抵扣所有存储类型的外网下行流量
回源流量包:可抵扣所有存储类型的从CDN回源到OSS所产生的流量
上述资源包不适用于低频访问存储和归档存储类型的存储量抵扣。
自2018年01月05日起,除了各地域的资源包外,您还可以购买全国通用(中国大陆)资源包。
15.OSS迁移
1)将非OSS上的数据迁移到OSS中
OssImport
镜像回源
闪电立方(TB到PB级别大规模数据上云)
OSS API/SDK
2)OSS之间的数据迁移
OSS跨区域复制
源Bucket和目标Bucket属于同一个用户,且分属不同的区域。
源Bucket、目标Bucket存储类型都不是归档类型:
OssImport
OSS API/SDK
16.append操作有多种限制:
Object必须是append属性,可以通过head Object查看x-oss-object-type属性设置,如果该值为Appendable,说明是append属性的Object,可以追加上传。
如果上传同名Object,没有设置append,就变成普通Object,不能再次追加上传。
append属性的Object不能调用copy操作。
由于每次请求都需要拿到x-oss-next-append-position参数,从这个位置开始追加,append操作对于并发上传支持较弱。
17.OSS调用callback网页页面是显示的400 call back error
1)应用服务器返回OSS的响应必须带有Content-Length的Header,Body大小不要超过1MB。
大部分报错是由于服务器返回响应没有带Content-Length导致的
2)传入的callback或者callback-var不合法
3)OSS的bucket是私有属性时,则会导致文件下载后,文件的扩展名被省略。
如果下载文件想保留文件扩展名,可以将bucket属性修改成公共读写或者公共读即可。
18.OSS间接实现黑名单
OSS服务本身不提供IP黑名单的功能,OSS提供的安全机制主要包含两个方面:
权限管理:bucket 可以设为私有、公有读、公共读写三种权限根据用户应用场景而设置。
Refer防盗链设置:可以设置refer访问白名单,详情 点击查看。
注意:当bucket私有的情况下,必须使用签名URL才可以访问object。URL签名 点击查看。
如果希望限制IP访问其object,可以通过CDN来间接使用IP黑名单:
用户可以为该bucket绑定域名并开启CDN加速。CDN加速OSS配置可以参考:点击查看。
CDN加速配置成功后,借用CDN的IP黑名单来实现bucket访问的黑名单限制。
19.文件完整性检效
OSS上的object会有etag标签,etag主要是用来判断服务端数据是否存在变化。
但是,这个标签并不一定等同于文件的MD5值,所以不建议作为校验数据一致性的依据。
20.在OSS控制台,可查看以下统计数据:
基础数据
热点统计
API统计
Object统计
21.OSS沙箱
您的OSS Bucket遭受攻击或有受攻击风险,OSS会自动将您被攻击的Bucket切入到沙箱,
沙箱中的Bucket仍可以正常响应请求,但服务质量将降级,您的应用可能会有明显感知。
22.oss域名访问提示Anonymous access is forbidden for this operation.
由于域名没有在oss平台将域名与bucket绑定
23.图片处理服务目前是支持跨域请求的,具体要在OSS属性中进行CORS设置。
但是目前OSS只支持请求头中带有origin头信息的请求,其他类型的跨域请求暂时无法支持。
24.图片限制
图片缩略
1).对于原图:
a. 图片格式只支持jpg, png, bmp, gif, webp, tiff;
b. 文件大小不能超过20MB;
2)对于缩略图:对缩略后的图片大小有限制,目标缩略图宽与高的乘积不能超过4096 * 4096, 单边长度不能超过4096 * 4。
使用图片旋转:
1).对于原图:
a. 图片格式只支持jpg, png, bmp, gif, webp, tiff ;
b. 文件大小不能超过20MB;
c. 图片的宽或者高不能超过4096;
2).对于缩略图:对缩略后的图片大小有限制,目标缩略图宽与高的乘积不能超过4096 * 4096, 单边长度不能超过4096 * 4。
25.目前 OSS API 返回结果只有XML格式。
26.OSS中可以重命名bucket吗?是否支持object迁移?
OSS的bucket暂不支持重命名,若需要其他名称建议您重新创建bucket。
移动和改名object原理相同,需要手动上传object到新的路径位置,删除老文件(删除目录需要先删除目录下的文件)。
OSS 提供了COPY objcet的功能,您可以将原bucekt下的文件COPY到新bucket即可
27.删除bucket
首先,请确认要删除的 bucket 下的资源均已备份完成或已不再需要。因为OSS中的数据在删除后无法恢复。
对于空bucket,您可通过控制台右上角的“删除Bucket”或API/SDK的 DeleteBucket 接口直接删除。
对于非空的bucket,您可以使用以下方式删除:
使用oss的生命周期异步删除Object。
直接调用 osscmd 的 deletewholebucket 接口进行删除。注意该命令十分危险,将会删除所有的数据,并且不可恢复。
28.OSS支持防盗链功能,即支持域名访问的白名单。暂时不支持限制IP(黑名单)的访问,可以配合CDN等实现。
29.OSS支持分块上传操作,即可以将大文件进行分块处理后再按照分块上传,该操作适合于大文件或者网络情况较差的情况。
但是在分快上传的任务没有调用Complete Multipart Upload完成分块上传任务的话,已经上传的分块就会存放着已经上传的碎片文件。
这些碎片文件会占用用户bucket的空间,并且用户在调用delete bucket删除bucket的时候如果里面有碎片文件的话是无法完成的。
因此,对于不需要的碎片文件建议用户进行删除。
30.OSS目前已不支持二级域名访问,仅支持三级域名的访问。
31.OSS支持HTTPS访问。
使用OSS分配的域名进行访问,您无需任何配置。
如果您想要使用自己的域名通过HTTPS访问,需要购买相应的数字证书,并通过OSS托管您的证书。
如果开启了CDN加速,则绑定用户域名后,您需要通过CDN控制台进行HTTPS证书管理。
32.出于安全考虑,ECS禁止ping所有内网域名,这里可以使用curl或者telnet方式来进行简单检测。
ECS也就无法ping同oss了。
33.只要满足以下两个 keepalive 的相关条件,就会触发 OSS 的主动 Fin:
独立客户端的 TCP 流数量超过 keepalive 配置的 maxrequest NUM 150。
keepalive 的会话保持时间超过 60s。
网络
----------------------------------
负载均衡
1.特点
负载均衡由实例,监听,后端服务器组成
配合DNS解析,可实现跨地域容灾及全局流量管理,可用性高达99.95%。
结合云盾,可提供5Gbps的防DDOS攻击能力。
SLB支持跨可用区挂载后端ECS,即只要ECS和SLB实例在同一个地域即可。SLB可以同时将流量分发至不同可用区的ECS上。
2.基础架构
提供四层(TCP协议和UDP协议)和七层(HTTP和HTTPS协议)的负载均衡服务
四层采用开源软件LVS(Linux Virtual Server)+ keepalived的方式实现负载均衡。
七层采用Tengine实现负载均衡。
选择实例规格时要考虑最大连接数 每秒新建连接数 每秒查询数(QPS)
四层监听,关注的重点是长连接的并发连接数。需要根据最大并发连接数选择实例规格
七层监听,关注的重点是QPS的性能。需要预估QPS选择实例规格
3.提供功能
1)调度算法
负载均衡支持轮询、加权轮询(WRR)、加权最小连接数(WLC)和一致性哈希(CH)调度算法。
一致性哈希(CH)(四层):
源IP:基于源IP地址的一致性hash,相同的源地址会调度到相同的后端服务器。
四元组:基于四元组的一致性hash(源IP+目的IP+源端口+目的端口),相同的流会调度到相同的后端服务器。
QUIC ID(UDP):基于QUIC Connection ID一致性hash
2)健康检查 记录健康检查日志(保存3天)
3)会话保持
4)访问控制 负载均衡提供监听级别的访问控制,支持添加黑名单和白名单
5)负载均衡提供公网和私网类型的负载均衡服务。
6)支持云监控服务
7)支持IPv6地址支持
8)七层slb还支持
查看访问日志(保存1个月) 域名URL转发 证书管理 SNI(多证书/域名)支持 重定向 WS/WSS支持 HTTP/2支持
(SNI(Server Name Indication)是为了解决一个ip多个域名和证书的SSL/TLS扩展。
它的工作原理是:在连接到服务器建立SSL连接之前,先发送要访问站点的域名(Hostname),这样服务器会根据这个域名返回一个合适的证书。)
4.服务器组
主备服务器组(四层)
一个主备服务器组只包含两台ECS实例,一台作为主服务器,一台作为备服务器。当主服务器健康检查失败,系统会直接将流量切到备服务器。
只有TCP和UDP监听支持添加主备服务器组。
虚拟服务器组(七层)
不同的监听可以关联不同的虚拟服务器组,过域名和URL进行请求转发。
将虚拟服务器组和一个监听关联后,监听只会将流量转发给关联的虚拟服务器组的后端服务器,不会再将流量转发给其他后端服务器。
同时为一个七层监听添加了默认后端服务器、虚拟服务器组和转发规则,请求转发的顺序如下:
判断请求其是否能够匹配上某条转发规则,如果匹配,则将流量转发到该规则的虚拟服务器组。
若不匹配并且在该监听上设置了虚拟服务器组,那么将流量转发到监听关联的虚拟服务器组。
若您没有在该监听上设置虚拟服务器组,即将流量转发给默认服务器组中的ECS实例。
一个ECS实例可以属于多个虚拟服务器组。
一个虚拟服务器组可绑定在一个实例的多个监听上。
虚拟服务器组由ECS实例和应用端口组成。
5.SLB计费
预付费 包年包月
=实例费 + 带宽费 + 规格费
按量付费
=实例费 + 带宽费/流量费 + 规格费
欠费
24时后停机 7天后释放
回收站的实例逾期不续费后,将自动释放。
预付费实例:到期后,进入回收站,保留七天。
后付费实例:欠费后,进入回收站,保留一天。
实例费是公网SLB实例的公网IP的保留费,私网SLB实例免收实例费和流量费
性能共享型实例不收规格费 性能保障型公网和私网,都要收取规格费。
私网不收实例费和流量费 只收取性能保障型的规格费。
6.使用限制
一个账号可创建的SLB实例数量 60
一个ECS实例可关联SLB的次数 50
一个SLB实例可添加的后端服务器数量 200
一个SLB实例可添加的监听数量 50
一个HTTP/HTTPS监听可添加的域名和URL转发规则数量 40
一个HTTPS监听可创建的扩展域名数量 3
一个AccessKey的API访问频率限制 5000次/天
SLB实例监听可选择的前端/后端端口范围(公共云) 1-65535
SLB实例监听可选择的前端/后端端口范围(金-融-yun) 80/443/2800-3300/5000-10000/13000-14000
每个地域可上传的服务器证书数量 100
每个地域可上传的客户端CA证书数量 100
每个地域可创建的访问策略控制组数量 50
一个访问控制策略组可添加的访问控制条目数量 300
一次API调用可在访问控制策略组中添加的IP条目数 50
一个访问控制策略组可以被关联到监听的次数 50
7.健康检查
1)负载均衡健康检查使用的地址段是100.64.0.0/10 不要屏蔽
2)如果健康检查影响性能,可以通过降低健康检查频率、增大健康检查间隔、七层检查修改为四层检查等方式,来降低对业务的影响。
针对七层(HTTP或HTTPS协议)监听
健康检查通过HTTP HEAD探测来获取状态信息。
后端ECS收到请求后,根据相应服务的运行情况,返回HTTP状态码。
四层TCP监听
LVS节点服务器向后端ECS发送TCP SYN数据包。
后端ECS收到请求后,如果相应端口正在正常监听,则会返回SYN+ACK数据包。
LVS节点服务器随后向ECS发送RST数据包中断TCP连接。
正常的TCP三次握手,LVS节点服务器在收到后端ECS返回的SYN+ACK数据包后,会进一步发送ACK数据包,随后立即发送RST数据包中断TCP连接。
该实现机制可能会导致后端ECS认为相关TCP连接出现异常(非正常退出),并在业务软件如Java连接池等日志中抛出相应的错误信息,如Connection reset by peer。
解决方案:TCP监听采用HTTP方式进行健康检查。
在后端ECS配置了获取客户端真实IP后,忽略来自前述负载均衡服务地址段相关访问导致的连接错误。
四层UDP监听
LVS节点服务器向后端ECS发送UDP数据包。
如果后端ECS相应端口未正常监听,则系统会返回类似返回 port XX unreachable的ICMP报错信息;反之不做任何处理。
当前UDP协议服务健康检查可能存在服务真实状态与健康检查不一致的问题:
解决方案:
负载均衡通过发送您指定的字符串到后端服务器,必须得到指定应答后才认为检查成功。但该实现机制需要客户端程序配合应答。
四层(TCP和UDP)是基于连接做流量调度。TCP和UDP创建一个socket访问负载均衡实例,这个源和目的IP和端口就是一个连接。
七层(HTTP/HTTPS)是基于请求做调度。比如http get请求访问一个页面。
3)针对四层监听,后端服务器可直接获得来访者的真实IP
4)对于HTTPS监听,证书在负载均衡系统中进行管理。负载均衡与后端ECS之间的数据交互,不再通过HTTPS进行传输,以提高系统性能。
5)健康检查时间窗的计算方法如下:
健康检查失败时间窗=响应超时时间×不健康阈值(默认3次)+检查间隔×(不健康阈值-1)
健康检查成功时间窗= (健康检查成功响应时间x健康阈值)+检查间隔x(健康阈值-1)
6)只有HTTP和HTTPS监听支持关闭健康检查。UDP和TCP监听无法关闭健康检查。
7)监听为TCP协议时,健康检查方式可选TCP或HTTP模式。
TCP模式的健康检查是基于网络层探测。
HTTP模式的健康检查是通过发送head请求。
8)因为有些应用服务器会对请求中的host字段做校验,即要求请求头中必须存在host字段。
如果在健康检查中配置了域名,则SLB会将域名配置到host字段中去,反之,如果没有配置域名,
SLB则不会在请求中附带host字段,因此健康检查请求就会被服务器拒绝,可能导致健康检查失败。
综上原因,如果您的应用服务器需要校验请求的host字段校,那么则需要配置相关的域名,确保健康检查正常工作。
9)健康检查正常的HTTP状态码 默认值为http_2xx和http_3xx。
健康检查响应超时时间 范围是1-300秒,UDP监听的默认值为10秒,HTTP/HTTPS/TCP监听的默认值为5秒。
健康检查间隔时间 范围是1-50秒,UDP监听的默认值为5秒,HTTP/HTTPS/TCP监听的默认值为2秒。
健康检查健康/不健康阈值 可选值2-10,默认为3次。
健康检查端口 默认值为配置监听时指定的后端端口。
如果该监听配置了虚拟服务器组或主备服务器组,且组内的ECS实例的端口都不相同,此时不需要配置检查端口。
负载均衡系统会使用各自ECS的后端端口进行健康检查。
10)带宽峰值
配置:您可以对监听的带宽进行限制,但所有监听带宽峰值的总和不能超过实例的带宽峰值。
不限制:不限制带宽的情况下,实例下的监听共享实例带宽。
11)性能保障型负载均衡HTTPS监听支持挂载多个证书,将来自不同访问域名的请求转发至不同的后端服务器组。
服务器名称指示(Server Name Indication, SNI)是对SSL / TLS协议的扩展,允许在单个IP地址上承载多个SSL证书。性能保障型负载均衡支持SNI。
12)HTTP协议会话保持基于Cookie。
植入Cookie:只需要指定Cookie的过期时间。负载均衡会自动加入cookie信息。
重写Cookie:用户自己维护cookie
13)仅性能保障型实例支持选择使用的TLS安全策略。
8.其他
a.负载均衡只支持PEM格式的证书。只有上传服务器证书时,才需要上传私钥。
b.负载均衡不支持跨地域部署,确保ECS实例的所属地域和负载均衡实例的所属地域相同。
c.负载均衡本身不会限制后端ECS实例使用哪种操作系统,只要您的两台ECS实例中的应用服务部署是相同的且保证数据的一致性即可。
d.一个负载均衡实例最多支持添加50个监听,每个监听对应后端ECS实例上的一个应用。负载均衡的监听端口对应后端ECS实例上的应用服务端口。
f.性能共享型实例变更为性能保障型实例会有10-30秒业务中断
将性能共享型实例变更为性能保障型实例后,无法再将其变更回性能共享型。
更改性能保障型实例的规格,变更实时生效。
g.性能保障型负载均衡实例针对预付费实例提供短时升配功能,灵活应对业务带宽峰值波动。
短时升配支持的最短升级间隔为2小时,按小时单价计费
仅性能保障型负载均衡实例支持短时升配。
h.负载均衡提供标签管理功能,方便通过标签对负载均衡实例进行分类。
每个标签都由一对键值对组成
一个实例最多可以绑定10个标签。
一个实例上的每个标签的标签键必须唯一,相同标签键的标签会被覆盖。
每个地域中的的标签信息不互通。
9.故障排除
健康检查异常
确保您能够直接通过ECS访问到您的应用服务。
确保后端服务器开启了相应的端口,该端口必须与您在负载均衡监听配置中配置的后端端口保持一致。
检查后端ECS内部是否开启了防火墙或其他的安全类防护软件,这类软件很容易将负载均衡服务的本地 IP地址屏蔽掉,导致负载均衡服务无法跟后端服务器进行通讯。
检查负载均衡健康检查参数设置是否正确,建议参照缺省提供的健康检查参数进行设置。
建议使用静态页面来进行健康检查,如果您用于健康检查的页面在后端ECS应用服务器上并不是缺省首页,需要您在健康检查配置中指定该页面的URL。
健康检查指定的检测文件,建议是html形式的简单页面,只用于检查返回结果,不建议用php等动态脚本语言。
检查后端ECS资源是否有较高负载,降低了ECS对外提供服务的响应速度。
无法访问负载均衡
如果您在创建负载均衡实例后,没有添加监听,此时负载均衡实例的服务地址是无法ping通的。
四层负载均衡后端Linux ECS内核配置错误。
四层负载均衡后端添加的Linux系统的ECS实例,必须关闭其Linux内核的rp_filter特性。否则可能会导致无法从客户端使用telnet访问负载均衡的服务地址,但健康检查正常。
四层负载均衡后端Windows ECS参数配置错误。
客户端本地网络或运营商中间链路异常。
客户端IP被云盾拦截。
服务地址被安全防护(流量黑洞和清洗,WAF防护)
500/502/504错误排查
源站域名没有备案或者域名没有在高防或者安全网络中配置七层转发规则
客户端源IP地址被云盾拦截
后端ECS安全防护软件阻挡
后端ECS Linux内核参数配置错误
后端ECS性能瓶颈
健康检查失败导致负载均衡出现502错误
健康检查正常但Web应用报502错误
HTTP头部过大
业务访问逻辑问题
七层测压性能低
客户端端口不足 解决方法:客户端端使用长连接代替短连接。使用RST报文断开连接(socket设置SO_LINGER属性),而不是发FIN包这种方式断开。
后端服务器accept队列满 解决方法:默认的net.core.somaxconn的值为128,执行sysctl -w net.core.somaxconn=1024更改它的值,并重启后端服务器上的应用。
后端服务器连接过多
后端服务器依赖的应用成为瓶颈
后端服务器的健康检查状态异常
压测负载均衡转发能力建议使用短链接
压测负载均衡吞吐量建议使用长连接,用于测试带宽上限或特殊业务
后端服务器提供一个静态网页用于压测,以避免应用逻辑带来的损耗
压测时,监听配置建议如下
不开启会话保持功能,否则压力会集中在个别的后端服务器。
监听关闭健康检查功能,减少健康检查请求对后端服务器的访问请求。
用多个客户端进行进行压测最好多于5个,源IP分散,能够更好的模拟线上实际情况。
负载均衡压缩失败
在源站修改该文件的content-type属性,改成负载均衡支持的文件类型。
将七层负载均衡实例监听修改为四层实例监听。
请求不均衡
开启了会话保持功能
ECS健康检查异常
TCP Keepalive保持长连接
排查和解决方法
查看后端各台ECS的权重是否相同;
在相关时间段内是否有健康检查失败或波动现象,查找波动的原因;或者健康检查没有配置正确的响应码2xx,3xx导致了健康检查显示正常,但后端服务有异常;
是否同时使用了加权最小连接数(WLC)调度方式和会话保持,如果是,尝试改为加权加权轮询(WRR)算法和会话保持。
如何避免负载均衡服务本身的故障问题?
添加不同可用区的ECS实例作为负载均衡实例的后端服务器,从而提高本地可用性。
在同一地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高本地可用性。
在不同地域创建多个负载均衡实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。
禁用公网网卡是否影响负载均衡服务
如果ECS有公网IP,禁用公网网卡就会影响负载均衡服务。因为在有公网网卡的情况下,默认路由会走公网。
后端ECS实例为什么访问不了负载均衡服务
因为返回的数据包只在云服务器内部转发,不经过负载均衡,所以在后端ECS实例上去访问负载均衡的服务地址是不通的。
修改负载均衡实例类型(公网/私网),必须通过先删除后创建的方式
负载均衡支持HTTP重定向至HTTPS即80端口跳转到443
ping负载均衡的IP是由负载均衡集群响应,不会转发给后端的ECS;ping负载均衡后端ECS是由后端ECS直接去响应,与前端的负载均衡没有关联关系。
一个负载均衡实例最多支持添加50个监听,每个监听配置对应后端ECS实例上的一个应用。
ECS实例使用了HTTP1.0时,支持chunked transfer传输编码
负载均衡健康检查使用的地址段是100.64.0.0/10
ECS实例权重设置为零时,负载均衡不会再将流量转发给该ECS实例,且四层监听的后端服务器健康检查会显示异常(七层监听不会显示异常)
-----------------------------------
VPC
1.如果没有多地域部署的要求和不同系统VPC级的隔离要求 建议使用1个VPC 单个vpc内可以容纳15000个实例
VPC是地域级资源,不能跨地域部署。
即使只使用一个VPC,也尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾。
2.VPC连接方式
1)与本地IDC连接
可以通过IPSecVPN、高速通道、云企业网互联。城域内可通过智能接入网关连接。
2)与其他VPC连接
VPN网关、云企业网(同地域连接免费)
3)连接公网
a.通过在内部的ecs上绑定固定ip访问公网
b.通过在内部的ecs上绑定eip访问公网
c.通过nat网关访问公网
d.通过lbs访问公网
3.无类域间路由块 (CIDR block) 网段
VPC网段可以使用192.168.0.0/16、172.16.0.0/12和10.0.0.0/8这三个标准网段或其子集。
如果要使用标准网段的子网作为VPC的网段,需要使用API创建VPC。
交换机的网段可以和其所属的VPC网段相同或者是其VPC网段的子集。
每个交换机的第一个和最后三个IP地址为系统保留地址。
以192.168.1.0/24为例,192.168.1.0、 192.168.1.253、 192.168.1.254和192.168.1.255这些地址是系统保留地址。
VPC和交换机创建后,不能再修改网段。
4.限制
每个地域可创建的专有网络(VPC)数量 10个 /可提交工单调整
专有网络可选的网段范围 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8以及它们的子网 /可提交工单调整
单个专有网络的路由器数量 1个
单个专有网络的路由表数量 1个
单个专有网络的交换机数量 24 /可提交工单调整
单个路由表的自定义路由条目数量 48 /可提交工单调整
单个专有网络容纳云产品数量 15000个
交换机本身对云产品实例数量没有限制。
5.网络隔离原理
1)由于使用隧道封装技术对云服务器的IP报文进行封装,所以云服务器的数据链路层(二层MAC地址)信息不会进入物理网络,
实现了不同云服务器间二层网络隔离,因此也实现了不同专有网络间二层网络隔离。
2)专有网络内的ECS使用安全组防火墙进行三层网络访问控制。
6.访问控制
1)ECS通过安全组进行访问控制 安全组是一个虚拟防火墙,通过设置规则控制访问
2)LSB和RDS通过白名单进行访问控制
7.交换机
a.交换机不支持组播和广播。您可以通过阿里云提供的组播代理工具实现组播代理。
b.在删除交换机前,确保已经删除该交换机下创建的云资源如ECS、SLB、RDS、SNAT条目、HAVIP等。
c.交换机的网段可以和其所属的VPC网段相同或者是其VPC网段的子集。
d.每个交换机的第一个和最后三个IP地址为系统保留地址。
以192.168.1.0/24为例,192.168.1.0、 192.168.1.253、 192.168.1.254和192.168.1.255这些地址是系统保留地址。
e.交换机创建后,不能再修改网段。
f.交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8-65536个地址。
8.默认专有网络和交换机
1)当创建一个云产品实例时,如果没有可用的专有网络和交换机,您可以使用默认专有网络和交换机。
在实例创建后,一个默认的专有网络和交换机也会随之创建好。
2)每个地域只有一个默认专有网络,但每个专有网络内的每个可用区都可创建一个默认交换机。
默认专有网络的网段掩码是16位,如172.31.0.0/16,最多可提供65536个私网IP地址。
默认交换机的网段掩码是20位,如172.16.0.0/20,最多可提供4096个私网IP地址。
默认专有网络不占用阿里云为您分配的专有网络配额。默认交换机不占用专有网络中可创建交换机的配额。
9.classicLink
1)ClassicLink使经典网络的ECS实例可以和VPC中的云资源通过内网互通。
2)最多允许1000台经典网络ECS实例连接到同一个VPC。
一台经典网络ECS实例只能连接到一个VPC(同账号且同地域)。
3)使用ClassicLink功能,首先要避免网络地址冲突,做好网络地址规划。
阿里云经典网络中使用的地址段是10.0.0.0/8(不包括10.111.0.0/16),
因此只要VPC的地址段与经典网络的地址段不冲突,就可以通过ClassicLink功能通信。
可以与经典网络互通的VPC地址段有172.16.0.0/12、10.111.0.0/16、192.168.0.0/16。
4)ClassicLink安全组规则
授权方式:
经典网络 <=> 专有网络:相互授权访问,推荐使用这种授权方式。
经典网络 => 专有网络:授权经典网络ECS访问专有网络内的云资源。
专有网络 => 经典网络:授权专有网络ECS访问经典网络ECS。
10.路由/路由表
1)创建专有网络后,系统会默认创建一个路由表控制专有网络的路由,所有专有网络内的交换机默认使用该路由表。
您不能创建也不能删除系统路由,但您可以创建自定义路由替代系统路由,将指定目标网段的流量路由至指定的目的地。
您不能创建也不能删除默认路由表,但您可以创建自定义路由表替代系统路由表,然后将其和交换机绑定来控制子网路由,更灵活地进行网络管理。
2)每个专有网络最多可以有10张路由表,包括系统路由表。
每个交换机只能绑定一张路由表。交换机(子网)的路由策略由其关联的路由表管理。
交换机创建后,该交换机默认与系统路由表绑定。
如果您需要将交换机绑定的自定义路由表更换成系统路由表,直接将自定义路由表与交换机解绑即可。
如果您需要绑定其他路由表,需要先将交换机与当前路由表解绑,再绑定指定的自定义路由表。
3)创建专有网络后,系统会在路由表中自动添加如下系统路由:
以100.64.0.0/10为目标网段的路由条目,用于VPC内的云产品通信。
以交换机网段为目标网段的路由条目,用于交换机内的云产品通信。
4)下一跳类型:
ECS实例:将目的地址在目标网段范围内的流量路由至选择的ECS实例。
VPN网关:将目的地址在目标网段范围内的流量路由至选择的VPN网关。
辅助弹性网卡:将目的地址在目标网段范围内的流量路由至选择的辅助弹性网卡。
路由器接口(专有网络方向):将目的地址在目标网段范围内的流量路由至选择的VPC。
适用于使用高速通道连接VPC的场景。
路由器接口(边界路由器方向):将目的地址在目标网段范围内的流量路由至边界路由器关联的路由器接口。
适用于使用高速通道连接本地数据中心的场景。
此种模式下,您还需要选择路由的方式:
普通路由:选择一个关联的路由器接口。
主备路由:主备路由仅支持两个实例作为下一跳,主路由下一跳权重为100,备份路由下一跳权重为0。当主路由健康检查失败时,备份路由生效。
负载路由:负载分担路由需要选择2-4个路由器接口作为下一跳,且作为下一跳的路由器接口的对端路由器类型必须为边界路由器。每个实例对应权重的有效范围为1-255的整数,默认值为100,系统会根据配置的权重大小按比例进行流量分担。
11.在多VPC的情况下,建议遵循如下网段规划原则:
尽可能做到不同VPC的网段不同,不同VPC可以使用标准网段的子网来增加VPC可用的网段数。
如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同。
如果也不能做到交换机网段不同,则保证要通信的交换机网段不同。
12.公网流量节省
1)共享流量包/闲时流量包
2)共享带宽 95计费、按固定带宽计费 95计费适用于有较大突发流量峰值的场景
13.私网连接
1)VPC互连 VPN网关/云企业网
2)连接本地IDC VPN网关/云企业网/智能接入网关/高速通道/VPN软件
3)多站点连接 VPN网关(VPN-Hub)/智能接入网关/VPN网关(VPN-Hub)+ 高速通道
4)远程接入VPC VPN网关(SSL-VPN功能)/SSL-VPN软件
5)IPsec-VPN功能提供站点到站点的VPN连接。
通过VPN-Hub功能可以在多个站点之间建立安全通信。每个VPN网关支持10个IPsec连接。您可以购买一个VPN网关,连接10个位于不同地区的IDC或者办公点。
SSL-VPN功能提供点到站点的VPN连接 SSL-VPN服务器默认包含了两个不同的网关实例形成主备双机热备
14.经典网络到VPC迁移方案
混访混挂方案
a.混挂指SLB实例可以同时添加经典网络和VPC网络的ECS作为后端服务器接收监听转发的请求,且支持虚拟服务器组形式的混挂。
公网负载均衡实例和私网负载均衡实例都可开通混挂。
b.RDS和OSS等云产品支持混访,即支持同时被经典网络和专有网络中的ECS访问。
通常该类产品都提供两个访问域名,一个是经典网络访问域名,另外一个是专有网络访问域名。
c.专有网络ECS和经典网络ECS有内网通信的需求,可通过ClassicLink功能实现。
单ECS迁移方案
a.迁移过程中ECS需要进行重启
b.迁移后,私网IP会变化。
c.迁移到的目标VPC的交换机的可用区必须和待迁移的ECS的可用区相同。
d.迁移过程中实例ID及登录信息不变。
常见问题
1.经典网络类型的ECS包括两张网卡,分别是公网网卡和私网网卡。VPC类型的ECS目前默认只支持一张私网网卡,部分实例规格支持多张私网网卡。
2.每个专有网络有且只有一个路由器,每个路由器维护一个路由表。
3.交换机的网段不能与VPC中的路由条目的目标网段相同。
交换机的网段不能包含所在VPC中的路由条目的目标网段,但可以是其子集。
4.VPC不能直接与经典网络通信。可以为VPC中的ECS实例配置公网IP,通过Internet与经典网络中的云产品实例通信。
或者,通过ClassicLink实现经典网络ECS和专有网络ECS内网低延时高速互通。
5.最简单的负载均衡功能可以使用四层负载均衡实现
除了基本的流量分发,当您希望将不同的业务流量分发到不同的后端服务器时,可以使用七层负载均衡的域名和URL转发功能来实现。
--------------------------------------
EIP
1.EIP可绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例和NAT网关上。
2.本质 弹性公网IP是一种NAT IP。它实际位于阿里云的公网网关上,通过NAT方式映射到了被绑定的ECS实例位于私网的网卡上。
因此,绑定了弹性公网IP的专有网络ECS实例可以直接使用这个IP进行公网通信,但是在ECS实例的网卡上并不能看到这个IP地址。
3.特点
a.EIP只支持专有网络类型,ECS公网IP支持经典网络和专有网络。
b.EIP在ECS实例网卡上是不能看到的 ECS公网IP可以在经典网络上能看到 在专有网络VPC中看不到。
c.公网IP不可以与ECS实例解绑,而EIP可以随时解绑和绑定。
d.可以将ECS的固定公网IP转换为EIP。按固定带宽计费的包年包月ECS实例,不能转换为EIP。
e.EIP可以使用共享流量和共享带宽
f.EIP是地域级资源
g.EIP可以设置带宽峰值
4.EIP的绑定
a.一个SLB实例只能绑定一个EIP。
b.一个NAT网关最多可以绑定10个EIP。
c.一个ECS实例只能绑定一个EIP。
d.一个弹性网卡只能绑定一个EIP。
5.弹性网卡
a.弹性网卡本身提供一个私网IP,在绑定EIP后,相当于同时具备了私网IP和公网IP。
b.EIP绑定弹性网卡后收取EIP实例费
当前EIP只有绑定ECS后不收实例费,绑定其他类型的资源都收取实例费。
仅性能保障型实例后端服务器支持添加弹性网卡ENI。
c.如果ECS上部署的是主动对外提供服务的业务,如web网站,无需在ECS上或VPC中配置路由,可以直接使用弹性网卡绑定的EIP对外提供服务。
如果ECS上部署的是主动访问公网的业务,需要在ECS上自定义默认路由或明细路由。
默认路由从主网卡出,可以通过调整路由优先级的方式让报文从弹性网卡出公网。
也可以配置明细路由,让报文以负载分担的形式从多个网卡分发或从某一网卡随机地分发出公网。
6.EIP限制
1)每个账号最多申请20个EIP,更多EIP需要提工单
因安全原因被锁定的EIP无法进行绑定和解绑操作。
只有可用状态的EIP才能够进行绑定操作。
2)绑定ECS实例
网络类型必须是专有网络。
ECS实例的地域必须和EIP的地域相同。
ECS实例必须处于运行中或停止状态。
ECS实例没有配置固定公网IP或绑定其他EIP。
一个资源实例只能绑定一个EIP。
3)绑定NAT网关
NAT网关的所属账号在2017年11月3日前没有购买过NAT带宽包。
NAT网关的地域必须和EIP的地域相同。
一个NAT网关最多可以绑定10个EIP。
4)绑定SLB实例限制
SLB实例的网络类型必须是专有网络。
SLB实例的地域必须和EIP的地域相同。
一个SLB实例只能绑定一个EIP。
7.产品定价
预付费采用包年包月 只支持按固定带宽方式计费。
计费周期为30天(一个月)
预付费的EIP实例的费用= 购买时长 x 每月带宽单价
按量付费
支持按使用流量和按固定带宽计费。
按流量计费的EIP实例的总费用 = EIP保有费(EIP保有费单价 x 保有时长) + 流量费 (每小时流量单价 x 使用流量)
按固定带宽计费的EIP实例的总费用 = EIP保有费(EIP保有费单价 x 保有时长) + 带宽费( 每天带宽费用 x 绑定时长)
8.欠费
EIP欠费24小时后 弹性公网IP进入暂停服务状态,带宽会被降至1 KB。
七天后该公网IP资源会被释放。
9.共享带宽
1)前提条件
EIP的计费方式必须是按量付费。
EIP和共享带宽所在的地域必须相同。
一个共享带宽中最多可加入50个EIP,可提交工单申请更多配额。
2)加入共享带宽后 EIP本身设置的带宽峰值失效,变为加入的共享带宽所设置的带宽峰值。
3)一个共享带宽可让一个地域下所有已绑定EIP的ECS实例、SLB实例和NAT网关共享已购买的共享带宽。
10.常见问题
a. 为什么无法访问EIP?
EIP没有绑定到云产品实例上。
查看ECS实例是否有安全策略。例如ECS实例所在的安全组策略禁止80端口的访问,则无法访问该EIP的80端口。
您的EIP已经欠费。
b 为什么EIP无法绑定到ECS实例上?
EIP只能绑定到专有网络类型的ECS实例上。如果您当前的ECS实例不是专有网络类型的,则无法绑定。
EIP的地域和ECS实例的地域不同。
只有运行中或者已停止状态的ECS实例才能绑定EIP。
该ECS实例已经绑定了EIP。
该ECS实例已经分配了公网IP。
-----------------------------------------
VPN网关
1.VPN网关提供IPsec-VPN连接和SSL-VPN连接。
采用双机热备架构,故障时秒级切换。
2.应用
站点到站点连接/多站点连接
建立IPsec隧道将本地数据中心和专有网络VPC快速连接起来,构建混合云。
通过VPN-Hub功能在多个站点之间建立IPsec连接,各个站点不仅可以和VPC互通,并且站点之间可以彼此通信。
点到站点连接
SSL-VPN隧道将单个客户端和专有网络连接起来,满足远程办公的需要。
通过IPsec-VPN接入VPC的前提
需要一个静态公网IP和一个支持IKEv1和IKEv2协议的网关设备,并且VPC和本地站点之间需要互通的两个网段不冲突。
3.注意点
VPN网关目前只支持预付费,暂不支持按量计费。
VPN网关仅支持专有网络,如果您想在经典网络中使用VPN网关,需要在专有网络中开启ClassicLink功能。
VPN网关仅提供私网接入VPC功能,不提供Internet访问的功能,不能上外网。
通过VPN实现跨地域VPC互访,流量经过阿里云网络,不经过Internet。
--------------------------------
NAT网关
1.使用场景
搭建高可用的SNAT网关 避免将服务器的公网IP暴露在公网上。
提供公网服务 专有网络类型的ECS实例可以通过端口映射和IP映射的方式对外提供服务。
共享公网带宽
2.使用限制
a.一个VPC最多只能配置一个NAT网关。
b.同一个公网IP不能同时既用于SNAT又用于DNAT。
c.如果VPC中存在目标网段为0.0.0.0/0的自定义路由,需删除后才可创建NAT网关。
d.交换机添加SNAT规则后,会受到弹性公网IP的带宽峰值的限制。
如果弹性公网IP已加入到共享带宽中,则交换机会受到共享带宽的带宽峰值的限制。
e.一个DNAT表最多可添加100个端口转发条目。
f.一个SNAT规则表最多可添加40个规则。
g.一个NAT网关最多绑定10个EIP,可提交工单申请更多配额。
h.一个NAT网关最多绑定3个按流量计费的EIP,且按流量计费的EIP的最大峰值不能大于100Mbps。
3.收费
支持预付费(包年包月 月)和后付费(先使用后付费 天)两种付费方式。
仅收取实例保有费。
阿里云免费为NAT网关提供最高5G的DDoS基础防护。
云盾DDoS基础防护可以防御SYN Flood、UDP Flood、ACK Flood、ICMP Flood 和DNS Flood等DDoS攻击。
--------------------------------
--------------------------------
--------------------------------
网络安全
DDOS防护
--------------------------------
1.概念
网络层攻击:比较典型的攻击类型是UDP反射攻击,例如:NTP Flood攻击,
这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。
传输层攻击:比较典型的攻击类型包括SYN Flood攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。
会话层攻击:比较典型的攻击类型是SSL连接攻击,这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。
应用层攻击:比较典型的攻击类型包括DNS flood攻击、HTTP flood攻击、游戏假人CC攻击等,
这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。
2.DNS攻击防护
屏蔽未经请求发送的DNS响应信息
丢弃快速重传数据包
启用TTL
丢弃未知来源的DNS查询请求和响应数据
丢弃未经请求或突发的DNS请求
启动DNS客户端验证
对响应信息进行缓存处理
使用ACL的权限
利用ACL,BCP38及IP信誉功能
3.服务器安全加固内容
确保服务器的系统文件是最新的版本,并及时更新系统补丁。
对所有服务器主机进行检查,清楚访问者的来源。
过滤不必要的服务和端口。例如,对于WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上设置阻止策略。
限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量。
仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。
限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能将会陷入瘫痪。
充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阀值、禁用ICMP和UDP广播的策略配置。
通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。
4.DDoS防护解决方案
基础防护 5G以下攻击 保障ECS、SLB、WAF、EIP、NAT云产品的DDoS网络安全
防护包 100G以下攻击
高防IP 1T以下攻击
游戏盾 300G以上攻击 游戏行业
SCDN 300G以下攻击 CDN防护 同时具备CC攻击防护能力
5.黑洞策略
黑洞是指服务器受攻击流量超过本机房黑洞阈值时,阿里云屏蔽服务器的外网访问。
黑洞状态无法人工解除,需耐心等待系统自动解封。
默认的黑洞时长是2.5小时,黑洞期间不支持解封。
实际黑洞时长视攻击情况而定,从30分钟到24小时不等。
安全信誉联盟主要帮助信誉好的用户提升首次被攻击的防护量,提高黑洞阈值
6.常见DDOS攻击
畸形报文
主要包括Frag Flood、Smurf、Stream Flood、Land Flood攻击,以及IP畸形包、TCP畸形包、UDP畸形包。
传输层DDoS攻击
主要是指Syn Flood,Ack Flood,UDP Flood,ICMP Flood、RstFlood等攻击。
DNS DDoS攻击
主要是指DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器和Local服务器攻击。
连接型DDoS攻击
主要是指TCP慢速连接攻击,连接耗尽攻击,Loic,Hoic,Slowloris, Pyloris,Xoic等慢速攻击。
Web应用层DDoS攻击
Web应用层攻击主要是指HTTP Get Flood,HTTP Post Flood,CC等攻击。
7.计费
DDoS防护包计费方式
独享型DDoS防护包/共享型DDoS防护包 保底防护带宽费用(预付费)/弹性防护流量费用
高防IP计费方式
计费项: 基础防护 + 弹性防护
付费方式: 预付费 + 后付费
基础防护带宽(单位:Gbps)和 CC 防护能力(单位:QPS)按月/年计费。
弹性防护带宽(单位:Gbps)和 CC 防护能力(单位:QPS)按日计费。
其他
DDoS基础防护在引流技术上支持BGP与DNS两种方案。防护采用被动清洗方式为主、主动压制为辅的方式。
云盾DDoS基础防护是公共的DDoS防护服务,不对很小的流量攻击(小于100Mb)进行防护。
AliVulfix进程是云盾进行漏洞检测的程序,用于扫描服务器是否有漏洞。
DDoS防护包支持独享IP,同时也提供共享多个IP的防护包,满足多个IP地址都需要提升防御带宽的需求。
CC攻击/Web攻击 推荐使用DDoS防
社区微信群开通啦,扫一扫抢先加入社区官方微信群
社区微信群
