《云上运维及应用实践(提高篇)全书课件汇总整本书电子教案(最新).pptx》由会员分享,可在线阅读,更多相关《云上运维及应用实践(提高篇)全书课件汇总整本书电子教案(最新).pptx(194页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、云上运维及应用实践 -提高篇第1章 导学 基础部分围绕基础部分围绕“知途云课知途云课”项目的部署、数项目的部署、数据迁移、文件迁移、集群部署以及保存用户会据迁移、文件迁移、集群部署以及保存用户会话信息等项目场景,详细介绍了云服务器、云话信息等项目场景,详细介绍了云服务器、云数据库、对象存储、负载均衡以及缓存数据库数据库、对象存储、负载均衡以及缓存数据库RedisRedis的使用。在教材的高级篇部分,仍将继续的使用。在教材的高级篇部分,仍将继续结合结合“知途云课知途云课”部署案例,引入真实的案例部署案例,引入真实的案例场景,结合对内容分发网络场景,结合对内容分发网络CDNCDN、弹性伸缩、弹性伸
2、缩、专有网络、云安全、云监控以及云产品的专有网络、云安全、云监控以及云产品的APIAPI的的相关知识点的讲解,详细讲解各云产品的使用相关知识点的讲解,详细讲解各云产品的使用场景和操作方法。场景和操作方法。云上运维及应用实践 -提高篇第2章 弹性架构之CDN2.1 场景导入1 1、场景导入场景导入 “知途云课知途云课”系统做为在线视频点播学习平系统做为在线视频点播学习平台,在经过一段时间的细心经营后,用户数不台,在经过一段时间的细心经营后,用户数不断上升,而且访问网站学习的用户也是遍布全断上升,而且访问网站学习的用户也是遍布全国各地,但此时用户的体验却在急剧下降,时国各地,但此时用户的体验却在急
3、剧下降,时常收到用户的抱怨,说网页在某个地区打开很常收到用户的抱怨,说网页在某个地区打开很慢,视频无法加载。而在系统部署的区域,网慢,视频无法加载。而在系统部署的区域,网页访问和视频加载速度都相对正常。页访问和视频加载速度都相对正常。2.2 知识点讲解1 1、CDNCDN概述概述uCDNCDN概念概念 CDN CDN(ContentDeliveryNetworkContentDeliveryNetwork,即内容,即内容分发网络)是将源站内容分发至全国所有的节分发网络)是将源站内容分发至全国所有的节点,缩短用户查看对象的延迟,提高用户访问点,缩短用户查看对象的延迟,提高用户访问网站的响应速度与
4、网站的可用性,解决网络带网站的响应速度与网站的可用性,解决网络带宽小、用户访问量大、网点分布不均等。宽小、用户访问量大、网点分布不均等。2.2 知识点讲解1 1、CDNCDN概述概述uCDNCDN应用应用 目前目前CDNCDN服务主要应用于证券、金融保险、服务主要应用于证券、金融保险、服务提供、服务提供、ICPICP、网上交易、门户网站、大中、网上交易、门户网站、大中型公司、网络教学等领域。型公司、网络教学等领域。CDNCDN能够为网络的能够为网络的快速、安全、稳定、可扩展等方面提供保障。快速、安全、稳定、可扩展等方面提供保障。2.2 知识点讲解1 1、CDNCDN概述概述u使用使用CDNCD
5、N与传统未加缓存服务访问的差别与传统未加缓存服务访问的差别 传统的未加缓存服务的访问过程传统的未加缓存服务的访问过程:用户向浏览器提供要访问的域名;用户向浏览器提供要访问的域名;浏览器调用域名解析函数库对域名进行解析,浏览器调用域名解析函数库对域名进行解析,以得到此域名对应的以得到此域名对应的IPIP地址;地址;浏览器使用所得到的浏览器使用所得到的IPIP地址,域名的服务主地址,域名的服务主机发出数据访问请求;机发出数据访问请求;浏览器根据域名主机返回的数据显示网页的浏览器根据域名主机返回的数据显示网页的内容。内容。2.2 知识点讲解1 1、CDNCDN概述概述u使用使用CDNCDN与传统未加
6、缓存服务访问的差别与传统未加缓存服务访问的差别 使用使用CDNCDN缓存后的网站的过程缓存后的网站的过程:用户向浏览器提供要访问的域名;用户向浏览器提供要访问的域名;浏览器调用域名解析库对域名进行解析,由于浏览器调用域名解析库对域名进行解析,由于CDNCDN对域名解析过程进行了调整,所以解析函对域名解析过程进行了调整,所以解析函数库一般得到的是该域名对应的数库一般得到的是该域名对应的CNAMECNAME记录,记录,为了得到实际为了得到实际IPIP地址,浏览器需要再次对获得地址,浏览器需要再次对获得的的CNAMECNAME域名进行解析以得到实际的域名进行解析以得到实际的IPIP地址;地址;2.2
7、 知识点讲解1 1、CDNCDN概述概述u使用使用CDNCDN与传统未加缓存服务访问的差别与传统未加缓存服务访问的差别 使用使用CDNCDN缓存后的网站的过程缓存后的网站的过程:此次解析得到此次解析得到CDNCDN缓存服务器的缓存服务器的IPIP地址,浏地址,浏览器在得到实际的览器在得到实际的IPIP地址以后,向缓存服务地址以后,向缓存服务器发出访问请求;器发出访问请求;缓存服务器根据浏览器提供的要访问的域名,缓存服务器根据浏览器提供的要访问的域名,通过通过CacheCache内部专用内部专用DNSDNS解析得到此域名的解析得到此域名的实际实际IPIP地址,再由缓存服务器向此实际地址,再由缓存
8、服务器向此实际IPIP地地址提交访问请求;址提交访问请求;2.2 知识点讲解1 1、CDNCDN概述概述u使用使用CDNCDN与传统未加缓存服务访问的差别与传统未加缓存服务访问的差别 使用使用CDNCDN缓存后的网站的过程缓存后的网站的过程:缓存服务器从实际缓存服务器从实际IPIP地址得得到内容以后,地址得得到内容以后,一方面在本地进行保存,以备以后使用,另一方面在本地进行保存,以备以后使用,另一方面把获取的数据返回给客户端,完成数一方面把获取的数据返回给客户端,完成数据服务过程;据服务过程;客户端得到由缓存服务器返回的数据以后显客户端得到由缓存服务器返回的数据以后显示出来并完成整个浏览的数据
9、请求过程。示出来并完成整个浏览的数据请求过程。2.2 知识点讲解1 1、CDNCDN概述概述uCDNCDN网络实现的具体操作过程网络实现的具体操作过程 为了实现既要对普通用户透明(即加入缓为了实现既要对普通用户透明(即加入缓存以后用户客户端无需进行任何设置,直接使存以后用户客户端无需进行任何设置,直接使用被加速网站原有的域名即可访问),又要在用被加速网站原有的域名即可访问),又要在为指定的网站提供加速服务的同时降低对为指定的网站提供加速服务的同时降低对ICP ICP Internet Internet 内容提供商内容提供商(Internet Content Provider)(Internet
10、 Content Provider)的影响,只要修改整个访问过程中的域名解析的影响,只要修改整个访问过程中的域名解析部分,以实现透明的加速服务。部分,以实现透明的加速服务。2.2 知识点讲解1 1、CDNCDN概述概述uCDNCDN的技术手段的技术手段 实现实现CDNCDN的主要技术手段是高速缓存、镜的主要技术手段是高速缓存、镜像服务器。可工作于像服务器。可工作于DNSDNS解析或解析或HTTPHTTP重定向重定向两种方式,通过两种方式,通过CacheCache服务器,或异地的镜像服务器,或异地的镜像站点完成内容的传送与同步更新。站点完成内容的传送与同步更新。2.2 知识点讲解1 1、CDNC
11、DN概述概述uCDNCDN网络架构网络架构 CDN CDN网络架构主要由两大部分,分为中心网络架构主要由两大部分,分为中心和边缘两部分,中心指和边缘两部分,中心指CDNCDN网管中心和网管中心和DNSDNS重重定向解析中心,负责全局负载均衡,设备系统定向解析中心,负责全局负载均衡,设备系统安装在管理中心机房,边缘主要指异地节点,安装在管理中心机房,边缘主要指异地节点,CDNCDN分发的载体,主要由分发的载体,主要由CacheCache和负载均衡器和负载均衡器等组成。等组成。2.2 知识点讲解2 2、CDNCDN的关键技术的关键技术u内容路由技术内容路由技术 CDN CDN负载均衡系统实现负载均
12、衡系统实现CDNCDN的内容路由功的内容路由功能。它的作用是将用户的请求导向整个能。它的作用是将用户的请求导向整个CDNCDN中中的最佳节点的最佳节点。2.2 知识点讲解2 2、CDNCDN的关键技术的关键技术u内容分发技术内容分发技术 内容分发包含从内容源到内容分发包含从内容源到CDNCDN边缘的边缘的CacheCache的过程。从从现在上有两种主流技术:的过程。从从现在上有两种主流技术:PUSHPUSH和和PULLPULL。2.2 知识点讲解2 2、CDNCDN的关键技术的关键技术u内容存储技术内容存储技术 对于对于CDNCDN系统来说,需考虑两方面的内容系统来说,需考虑两方面的内容存储问
13、题。一个是内容源的存储,另一个是内存储问题。一个是内容源的存储,另一个是内容在容在CacheCache节点中的存储。节点中的存储。2.2 知识点讲解2 2、CDNCDN的关键技术的关键技术u内容管理技术内容管理技术 内容管理在广义上涵盖了内容的发布、注入、内容管理在广义上涵盖了内容的发布、注入、分发、调整、传递等一系统过程。这里主要强分发、调整、传递等一系统过程。这里主要强调内容进入调内容进入CacheCache节点后的内容管理。节点后的内容管理。2.2 知识点讲解3 3、阿里云、阿里云CDNCDNu概述概述 阿里云阿里云CDNCDN是将源内容发布到边缘节点,配是将源内容发布到边缘节点,配合精
14、准的调度系统;将用户的请求分配至最适合精准的调度系统;将用户的请求分配至最适合他的节点,使用户可以以最快的速度取得他合他的节点,使用户可以以最快的速度取得他所需的内容,有效解决所需的内容,有效解决InternetInternet网络拥塞状况,网络拥塞状况,提高用户访问的响应速度提高用户访问的响应速度。2.2 知识点讲解3 3、阿里云、阿里云CDNCDNu概述概述 使用阿里云使用阿里云CDNCDN加速过程:加速过程:2.2 知识点讲解3 3、阿里云、阿里云CDNCDNu相关术语相关术语域名域名CNAMECNAME记录记录CNAMECNAME域名域名DNSDNS边缘节点边缘节点2.2 知识点讲解3
15、 3、阿里云、阿里云CDNCDNu使用场景使用场景网站站点网站站点/应用加速应用加速视音频点播视音频点播/大文件下载分发加速大文件下载分发加速视频直播加速视频直播加速1 1、任务描述、任务描述 对于对于”知途云课知途云课”系统中上传的课程视系统中上传的课程视频通过频通过CDNCDN进行加速播放,缩短用户查看进行加速播放,缩短用户查看视频的延迟加载,提高用户访问体验。视频的延迟加载,提高用户访问体验。2.3任务1:使用CDN加速网站视频2 2、任务目标、任务目标掌握开通阿里云掌握开通阿里云CDNCDN服务的方法服务的方法熟练掌握阿里云熟练掌握阿里云CDNCDN配置过程配置过程学会使用阿里云学会使
16、用阿里云CDNCDN加速效果验证工具加速效果验证工具(阿里测)(阿里测)了解缓存刷新配置了解缓存刷新配置2.3任务1:使用CDN加速网站视频3 3、任务实施、任务实施步骤:步骤:开通开通CDNCDN服务服务2.3任务1:使用CDN加速网站视频3 3、任务实施、任务实施步骤:步骤:加速配置加速配置(详见(详见P16P16)2.3任务1:使用CDN加速网站视频3 3、任务实施、任务实施步骤:步骤:域名绑定域名绑定2.3任务1:使用CDN加速网站视频3 3、任务实施、任务实施步骤:步骤:加速效果验证加速效果验证 使用阿里测可以对使用阿里测可以对IPIP地址,网站地址进行测地址,网站地址进行测试,这个
17、可以让服务器管理员或者网站管理员试,这个可以让服务器管理员或者网站管理员了解到自己的服务器在全国的可访问情况,以了解到自己的服务器在全国的可访问情况,以及延时情况。及延时情况。阿里测地址:阿里测地址:2.3任务1:使用CDN加速网站视频3 3、任务实施、任务实施步骤:步骤:缓存刷新缓存刷新2.3任务1:使用CDN加速网站视频2.4 任务2:删除CDN1 1、任务描述、任务描述 将将“知途云课知途云课”项目测试过程中创建的项目测试过程中创建的CDNCDN服务删除。服务删除。2 2、任务目标、任务目标掌握掌握CDNCDN服务释放过程服务释放过程2.4 任务2:删除CDN3 3、任务实施、任务实施步
18、骤:步骤:停止停止CDNCDN服务服务2.4 任务2:删除CDN3 3、任务实施、任务实施步骤:步骤:删除删除CDNCDN域名域名2.4 任务2:删除CDN云上运维及应用实践 -提高篇第3章 弹性架构之弹性伸缩3.1 场景导入1 1、场景导入场景导入 “知途云课知途云课”运营人员通过运营数据的分析运营人员通过运营数据的分析发现每天晚上发现每天晚上2020:0000点至次日凌晨点至次日凌晨0000:3030,在,在线学习人数较多,此时系统页面虽然可以访问,线学习人数较多,此时系统页面虽然可以访问,但响应时间较长。运维人员在扩展一台云服务但响应时间较长。运维人员在扩展一台云服务器后确定可以解决这一
19、问题。器后确定可以解决这一问题。3.2 知识点讲解1 1、弹性伸缩概述、弹性伸缩概述 弹性伸缩控制技术因其以弹性可伸缩方式提弹性伸缩控制技术因其以弹性可伸缩方式提供资源,满足云计算提供商和终端用户在供资源,满足云计算提供商和终端用户在 Service Level Agree-ment(SAL)Service Level Agree-ment(SAL)上的协议,提高资上的协议,提高资源利用率和用户满意度,较好地解决了资源利源利用率和用户满意度,较好地解决了资源利用率和应用系统之间的矛盾,而成为云计算的用率和应用系统之间的矛盾,而成为云计算的关键技术之一。关键技术之一。3.2 知识点讲解2 2、弹
20、性伸缩的模式、弹性伸缩的模式 弹性伸缩有纵向和横向扩展的基本模式弹性伸缩有纵向和横向扩展的基本模式 在同一个逻辑单元内增加资源,以提高处在同一个逻辑单元内增加资源,以提高处理能力,即纵向的可伸缩性理能力,即纵向的可伸缩性(scale/down)(scale/down)。增加多个逻辑单元资源,利用弹性伸缩控增加多个逻辑单元资源,利用弹性伸缩控制技术,令其如同在一个单元里工作,此即横制技术,令其如同在一个单元里工作,此即横向的可伸缩性向的可伸缩性(scale/in)(scale/in)。3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩 阿里云弹性伸缩阿里云弹性伸缩(Elastic Scal
21、ing Elastic Scaling Service,ESSService,ESS)是根据用户的业务需求和策略,是根据用户的业务需求和策略,自动调整其弹性计算资源的管理服务。其能够自动调整其弹性计算资源的管理服务。其能够在业务增长时自动增加在业务增长时自动增加ECSECS实例,并在业务下实例,并在业务下降时自动减少降时自动减少ECSECS实例。实例。3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u几种模式几种模式定时模式定时模式动态模式动态模式固定数量模式固定数量模式自定义模式自定义模式健康模式健康模式多模式并行多模式并行3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u注
22、意事项注意事项弹性伸缩的弹性伸缩的ECSECS实例中部署的应用需要是无实例中部署的应用需要是无状态、可横向扩展的。状态、可横向扩展的。由于由于ESSESS会自动释放会自动释放ECSECS实例,所以用于弹实例,所以用于弹性伸缩的性伸缩的ECSECS实例不可以保存应用的状态信实例不可以保存应用的状态信息(如息(如sessionsession)和相关数据(如数据库、日)和相关数据(如数据库、日志等)。如果应用中需要保存状态信息,志等)。如果应用中需要保存状态信息,可以考虑把状态信息保存到独立的状态服可以考虑把状态信息保存到独立的状态服务器、数据库(如务器、数据库(如RDSRDS)、共享缓存(如)、共
23、享缓存(如OCSOCS)及集中日志存储(如)及集中日志存储(如SLSSLS)。)。3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u注意事项注意事项ESSESS自动扩展出来的实例暂不支持直接自自动扩展出来的实例暂不支持直接自动添加到动添加到OCSOCS访问白名单中访问白名单中,需要您自行需要您自行添加。添加。ESSESS目前不支持目前不支持“纵向扩展纵向扩展”,即,即ESSESS暂暂时无法自动升降时无法自动升降ECSECS的的CPUCPU、内存和带宽。、内存和带宽。3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u相关术语相关术语伸缩组伸缩组伸缩配置伸缩配置伸缩规则伸缩规则伸缩
24、活动伸缩活动伸缩角发任务伸缩角发任务冷却时间冷却时间3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u工作原理工作原理使用流程使用流程3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u工作原理工作原理工作流程工作流程3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u工作原理工作原理弹性伸缩规则弹性伸缩规则 伸缩规则在计算和执行过程中,可以根伸缩规则在计算和执行过程中,可以根据伸缩组的据伸缩组的MinSizeMinSize、MaxSizeMaxSize进行自动调整其进行自动调整其需要增加或减少的需要增加或减少的ECSECS实例数实例数3.2 知识点讲解3 3、阿里云弹性伸
25、缩、阿里云弹性伸缩u工作原理工作原理弹性伸缩活动弹性伸缩活动 伸缩伸缩同一伸缩组内、同一时刻只能有一个伸缩活动在执行。伸缩活动不可以中断。例如,某个创建20台ECS实例的伸缩活动正在执行中,当创建到第5台ECS实例时,您无法强行终止该伸缩活动。3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u工作原理工作原理弹性伸缩活动弹性伸缩活动 伸缩活动有ECS实例加入伸缩组失败时,需要保持ECS实例级事务的完整性,而非伸缩活动级事务的完整性,即只进行ECS实例级回滚,而不是伸缩活动级回滚。例如,当伸缩组创建了20台ECS实例,但只有19台ECS实例成功加入负载均衡时,则只对不成功的1台ECS实例
26、进行自动释放操作。3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u工作原理工作原理弹性伸缩活动弹性伸缩活动 由于弹性伸缩是借助阿里云的RAM(Resource Access Management)服务,通过ECS Open API代替用户弹性伸缩ECS实例资源,所以回滚的ECS实例仍然会被扣费。3.2 知识点讲解3 3、阿里云弹性伸缩、阿里云弹性伸缩u工作原理工作原理冷却时间冷却时间 伸缩组在冷却时间内,只会拒绝云监控报警任务类型的伸缩活动请求,其他类型的触发任务(如用户手工执行伸缩规则、定时任务等)可以绕过冷却时间立即执行伸缩活动。每个伸缩活动的最后一个ECS实例加入或移出伸缩组成
27、功后,整个伸缩组冷却时间才开始计时。1 1、任务描述、任务描述 设置定时任务,对于部署设置定时任务,对于部署“知途云课知途云课”的云服务器的云服务器ECSECS进行自动的弹性计算资源调进行自动的弹性计算资源调整,满足在访问高峰时的资源需要。整,满足在访问高峰时的资源需要。3.3任务1:弹性伸缩调整2 2、任务目标、任务目标掌握开通阿里云掌握开通阿里云ESSESS服务的方法服务的方法掌握创建伸缩组、伸缩配置、伸缩规则、掌握创建伸缩组、伸缩配置、伸缩规则、触发任务、定时任务和报警任务等操作触发任务、定时任务和报警任务等操作过程过程3.3任务1:弹性伸缩调整3 3、任务实施、任务实施步骤:步骤:进入
28、弹性伸缩管理控制台进入弹性伸缩管理控制台3.3任务1:弹性伸缩调整3 3、任务实施、任务实施步骤:步骤:创建伸缩组创建伸缩组3.3任务1:弹性伸缩调整3 3、任务实施、任务实施步骤:步骤:创建伸缩组配置创建伸缩组配置3.3任务1:弹性伸缩调整3 3、任务实施、任务实施步骤:步骤:创建伸缩规则创建伸缩规则3.3任务1:弹性伸缩调整3 3、任务实施、任务实施步骤:步骤:创建定时任务创建定时任务3.3任务1:弹性伸缩调整3 3、任务实施、任务实施步骤:步骤:验证效果验证效果3.3任务1:弹性伸缩调整3.4 任务2:停止弹性伸缩服务1 1、任务描述、任务描述 将将“知途云课知途云课”项目测试过程中创建
29、的项目测试过程中创建的弹性伸缩资源释放。弹性伸缩资源释放。2 2、任务目标、任务目标掌握弹性伸缩资源的释放过程掌握弹性伸缩资源的释放过程3.4 任务2:停止弹性伸缩服务3 3、任务实施、任务实施步骤:步骤:进入伸缩组管理页面进入伸缩组管理页面3.4 任务2:停止弹性伸缩服务3 3、任务实施、任务实施步骤:步骤:删除伸缩组删除伸缩组3.4 任务2:停止弹性伸缩服务云上运维及应用实践 -提高篇第4章 弹性架构之专有网络4.1 场景导入1 1、场景导入场景导入 如果学校需要独立部署如果学校需要独立部署“知途云课知途云课”系统,系统,并且只能在学校内部访问并且只能在学校内部访问“知途云课知途云课”系统
30、,系统,那么就需要在专有网络下部署该系统,在这个那么就需要在专有网络下部署该系统,在这个网络中学校可以完全掌控自己的虚拟网络,包网络中学校可以完全掌控自己的虚拟网络,包括选择自有括选择自有 IP IP 地址范围、划分网段、配置路地址范围、划分网段、配置路由表和网关等。此外也可以通过专线由表和网关等。此外也可以通过专线/VPN/VPN等等连接方式将连接方式将VPCVPC与校内数据中心组成一个按需与校内数据中心组成一个按需定制的网络环境。定制的网络环境。4.2 知识点讲解1 1、VPCVPC概述概述 云计算要在企业应用中实现真正的落地,需云计算要在企业应用中实现真正的落地,需要更为实效的方法。首先
31、,将现有的数据中心要更为实效的方法。首先,将现有的数据中心转化为内部云。同时,与托管和服务提供商合转化为内部云。同时,与托管和服务提供商合作,共同实现可兼容的外部云。随后,通过在作,共同实现可兼容的外部云。随后,通过在云之间进行联邦和统一管理,使内部资源和可云之间进行联邦和统一管理,使内部资源和可利用的外部资源连接起米,帮助企业获得云计利用的外部资源连接起米,帮助企业获得云计算的所有好处和灵活性,而这一结果实质上就算的所有好处和灵活性,而这一结果实质上就是虚拟私有云(是虚拟私有云(VPCVPC),即专有网络,即专有网络。4.2 知识点讲解1 1、VPCVPC概述概述VPCVPC的功能需求主要有
32、:的功能需求主要有:用户网络隔离用户网络隔离用户的主机资源在同一个用户的主机资源在同一个VPCVPC内内同一个同一个VPCVPC内可划分子网内可划分子网为用户提供为用户提供InternetInternet访问功能访问功能为用户提供为用户提供DHCPDHCP服务服务防火墙服务防火墙服务4.2 知识点讲解1 1、VPCVPC概述概述VPCVPC的功能需求主要有:的功能需求主要有:QoSQoS服务服务提供统计服务提供统计服务提供网络冗余功能提供网络冗余功能允许虚拟机迁移允许虚拟机迁移提供远程提供远程VPNVPN接入功能接入功能4.2 知识点讲解2 2、相关术语、相关术语u虚拟专用网络(虚拟专用网络(
33、VPNVPN)虚拟专用网络是在公用网络上建立专用网络,虚拟专用网络是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。进行加密通讯。在企业网络中有广泛应用。VPNVPN网关通过对数据包的加密和数据包目标地址的转网关通过对数据包的加密和数据包目标地址的转换实现远程访问。换实现远程访问。VPNVPN有多种分类方式,主要是有多种分类方式,主要是按协议进行分类。按协议进行分类。VPNVPN可通过服务器、硬件、软可通过服务器、硬件、软件等多种方式实现。件等多种方式实现。4.2 知识点讲解2 2、相关术语、相关术语uOSIOSI(Open System InterconnectionOpen
34、 System Interconnection)OSI OSI参考模型是计算机网路体系结构发展的产参考模型是计算机网路体系结构发展的产物。它的基本内容是开放系统通信功能的分层结物。它的基本内容是开放系统通信功能的分层结构。这个模型把开放系统的通信功能划分为七个构。这个模型把开放系统的通信功能划分为七个层次层次。相应地称之为物理层、数据链路层、网络相应地称之为物理层、数据链路层、网络层、运输层、会话层、表示层和应用层。层、运输层、会话层、表示层和应用层。4.2 知识点讲解2 2、相关术语、相关术语uTCP/IPTCP/IP协议协议 TCP/IP TCP/IP协议是又名网络通讯协议,是协议是又名网
35、络通讯协议,是InternetInternet最基本的协议、最基本的协议、InternetInternet国际互联网络的基础,由国际互联网络的基础,由网络层的网络层的IPIP协议和传输层的协议和传输层的TCPTCP协议组成。协议组成。协议协议定义了电子设备如何连入因特网,以及数据如何定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了在它们之间传输的标准。协议采用了4 4层的层级层的层级结构结构,分别为,分别为网络访问层、互联网层、传输层和网络访问层、互联网层、传输层和应用层应用层。4.2 知识点讲解2 2、相关术语、相关术语uVLANVLAN VLAN VLAN是一组逻
36、辑上的设备和用户,这些设是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名通信就好像它们在同一个网段中一样,由此得名虚拟局域网。虚拟局域网。4.2 知识点讲解3 3、阿里云、阿里云VPCVPCu基本原理基本原理 阿里云专有网络阿里云专有网络VPCVPC,帮助用户基于阿里,帮助用户基于阿里云构建出一个隔离的网络环境。您可以完全掌云构建出一个隔离的网络环境。您可以完全掌控自己的虚拟网络,包括选择自有控自己
37、的虚拟网络,包括选择自有IPIP地址范围、地址范围、划分网段、配置路由表和网关等。划分网段、配置路由表和网关等。4.2 知识点讲解3 3、阿里云、阿里云VPCVPCu基本原理基本原理开通阿里云专有网络的流程开通阿里云专有网络的流程:4.2 知识点讲解3 3、阿里云、阿里云VPCVPCu技术原理技术原理 比较早的解决方案,是将虚拟机的网络和物比较早的解决方案,是将虚拟机的网络和物理网络融合在一起,形成一个扁平的网络架构,理网络融合在一起,形成一个扁平的网络架构,例如大二层网络。这种类似的方案,随着虚拟化例如大二层网络。这种类似的方案,随着虚拟化网络规模的增大,网络规模的增大,ARPARP欺骗、广
38、播风暴、主机扫欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题,出描等问题会越来越严重。为了解决这些问题,出现了各种网络隔离技术,把物理网络和虚拟网络现了各种网络隔离技术,把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用彻底隔开。其中一种技术是用户之间用VLANVLAN进行进行隔离,但是隔离,但是VLANVLAN的数量最大只能支持到的数量最大只能支持到40964096个,个,无法支撑公有云的巨大用户量。无法支撑公有云的巨大用户量。4.2 知识点讲解3 3、阿里云、阿里云VPCVPCu原理描述原理描述 基于目前主流的隧道技术,专有网络(基于目前主流的隧道技术,专有网络(VPCV
39、PC)隔离了虚拟网络。每个隔离了虚拟网络。每个VPCVPC都有一个独立的隧道都有一个独立的隧道号,一个隧道号对应着一张虚拟化网络。一个号,一个隧道号对应着一张虚拟化网络。一个VPCVPC内的内的ECSECS之间的传输数据包都会加上隧道封装,之间的传输数据包都会加上隧道封装,带有唯一的隧道带有唯一的隧道IDID标识,然后送到物理网络上进标识,然后送到物理网络上进行传输。不同行传输。不同VPCVPC内的内的ECSECS因为所在的隧道因为所在的隧道IDID不同不同,本身处于两个不同的路由平面,从而使得两个,本身处于两个不同的路由平面,从而使得两个不同的隧道无法进行通信,天然的进行了隔离。不同的隧道无
40、法进行通信,天然的进行了隔离。4.2 知识点讲解3 3、阿里云、阿里云VPCVPCu逻辑架构逻辑架构4.2 知识点讲解3 3、阿里云、阿里云VPCVPCu名词解释名词解释路由器路由器交换机交换机路由表路由表路由条目路由条目4.2 知识点讲解3 3、阿里云、阿里云VPCVPCu使用场景使用场景在阿里云上管理用户在阿里云上管理用户VPCVPCVPCVPC中跨可用区部署资源中跨可用区部署资源物理专线接入物理专线接入VPNVPN接入接入4.2 知识点讲解3 3、阿里云、阿里云VPCVPCu弹性公网弹性公网IPIP 是可以独立申请的公网是可以独立申请的公网IPIP地址,只能绑定在地址,只能绑定在同一地域
41、内专有网络类型的同一地域内专有网络类型的ECSECS实例上,支持动实例上,支持动态绑定和解绑。弹性公网态绑定和解绑。弹性公网IPIP是配置在是配置在InternetInternet网关网关设备上,通过设备上,通过NatNat方式映射到方式映射到ECSECS私网网卡。所私网网卡。所以,在以,在ECSECS的私网网卡上无法查看。当前,阿里的私网网卡上无法查看。当前,阿里云云1 1个弹性公网个弹性公网IPIP只能绑定到只能绑定到1 1个个ECSECS实例上,实例上,1 1个个ECSECS实例只能绑定实例只能绑定1 1个公网个公网IPIP。每个账户最多拥有。每个账户最多拥有2020个弹性公网个弹性公网
42、IPIP,如果需要更多,可以工单申请。,如果需要更多,可以工单申请。1 1、任务描述、任务描述 在虚拟专有网络在虚拟专有网络VPCVPC环境下,划分多个环境下,划分多个子网,通过绑定弹性公网子网,通过绑定弹性公网IPIP或者是使用负载或者是使用负载均衡来访问云服务器均衡来访问云服务器ECSECS上部署的上部署的”知途云知途云课课”系统。系统。4.3任务1:创建和使用VPC2 2、任务目标、任务目标掌握在阿里云上搭建和使用专有网络掌握在阿里云上搭建和使用专有网络VPCVPC掌握弹性公网掌握弹性公网IP(EIP)IP(EIP)绑定绑定VPCVPC中的中的ECSECS掌握负载均衡掌握负载均衡(SLB
43、)(SLB)访问访问VPCVPC中的中的ECS ECS 4.3任务1:创建和使用VPC3 3、任务实施、任务实施步骤:步骤:开通专有网络服务开通专有网络服务4.3任务1:创建和使用VPC3 3、任务实施、任务实施步骤:步骤:进入专有网络管理控制台进入专有网络管理控制台4.3任务1:创建和使用VPC3 3、任务实施、任务实施步骤:步骤:创建专有网络创建专有网络4.3任务1:创建和使用VPC3 3、任务实施、任务实施步骤:步骤:创建专有交换机创建专有交换机4.3任务1:创建和使用VPC3 3、任务实施、任务实施步骤:步骤:在子网中创建在子网中创建ECSECS4.3任务1:创建和使用VPC3 3、任
44、务实施、任务实施步骤:步骤:创建外网访问创建外网访问EIPEIP4.3任务1:创建和使用VPC3 3、任务实施、任务实施步骤:步骤:创建外网访问使用创建外网访问使用SLBSLB4.3任务1:创建和使用VPC VPC VPC中的中的ECSECS实例加载到具有公网实例加载到具有公网IPIP的负载的负载均衡均衡SLBSLB后端后,用户的请求通过公网后端后,用户的请求通过公网IPIP发送给发送给负载均衡负载均衡SLB,SLB,然后然后SLBSLB会将请求转发到后端的会将请求转发到后端的ECSECS实例,从而实现用户访问实例,从而实现用户访问VPCVPC中中ECSECS实例上部署实例上部署的应用。的应用
45、。4.4 任务2:删除VPC1 1、任务描述、任务描述 将将“知途云课知途云课”项目测试过程中创建的项目测试过程中创建的VPCVPC资源释放。资源释放。2 2、任务目标、任务目标掌握掌握VPCVPC资源的释放过程资源的释放过程4.4 任务2:删除VPC3 3、任务实施、任务实施步骤:步骤:进入进入VPCVPC管理页面管理页面4.4 任务2:删除VPC3 3、任务实施、任务实施步骤:步骤:释放释放ECSECS资源资源4.4 任务2:删除VPC3 3、任务实施、任务实施步骤:步骤:删除交换机删除交换机4.4 任务2:删除VPC3 3、任务实施、任务实施步骤:步骤:删除专有网络删除专有网络4.4 任
46、务2:删除VPC云上运维及应用实践 -提高篇第5章 弹性架构之云安全5.1 场景导入1 1、场景导入场景导入 无论是在传统的服务器时代还是在云计算无论是在传统的服务器时代还是在云计算时代,安全依然是不可忽视的问题,不仅涉及时代,安全依然是不可忽视的问题,不仅涉及微观的技术层面,还需要宏观的政策法规以及微观的技术层面,还需要宏观的政策法规以及管理制度,是一个系统化的工程。在云上的安管理制度,是一个系统化的工程。在云上的安全大概分为以下全大概分为以下4 4个层次:个层次:第一是网络层面第一是网络层面第二是主机层面第二是主机层面第三是应用层面第三是应用层面第四是数据库层面第四是数据库层面5.2 知识
47、点讲解1 1、云安全概述、云安全概述 “云安全云安全”紧随云计算之后出现,它是网络紧随云计算之后出现,它是网络时代信息安全的最新体现,它融合了并行处理、时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务器端进行自动分析和最新信息,并发送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一处理,再把病毒和木马的解决方案分发到每一个客户
48、端。个客户端。5.2 知识点讲解1 1、云安全概述、云安全概述 “云安全云安全”的策略构想是:整个互联网就是的策略构想是:整个互联网就是一个巨大的一个巨大的“杀毒软件杀毒软件”,参与者真多,每个,参与者真多,每个参与者就越安全,整个互联网就会更安全。因参与者就越安全,整个互联网就会更安全。因为如此庞大的用户群,足以覆盖互联网的每个为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。出现,就会立刻被截获。5.2 知识点讲解2 2、云安全核心要素、云安全核心要素WebWeb信誉服务信誉服务电子邮件信誉服务电子
49、邮件信誉服务文件信誉服务文件信誉服务行为关联分析技术行为关联分析技术自动反馈机制自动反馈机制威胁信息汇总威胁信息汇总白名单技术白名单技术5.2 知识点讲解3 3、相关术语、相关术语分布式拒绝服务分布式拒绝服务 分布式拒绝服务分布式拒绝服务(DDoS)(DDoS)攻击指借助于客户攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动平台,对一个或多个目标发动DDoSDDoS攻击,从攻击,从而成倍地提高拒绝服务攻击的威力。而成倍地提高拒绝服务攻击的威力。入侵检测入侵检测 入侵检测是对入侵行为的检测入侵检测是对入侵行为的检测木马木
50、马5.2 知识点讲解4 4、阿里云云盾、阿里云云盾u云盾简介云盾简介 云盾就是基于云技术的一把社区盾牌,云盾就是基于云技术的一把社区盾牌,它利用阿里云计算强大的云技术,能有效识它利用阿里云计算强大的云技术,能有效识别发布的信息是否为垃圾内容,支持垃圾内别发布的信息是否为垃圾内容,支持垃圾内容的自动屏蔽和删除,所有操作系统自动执容的自动屏蔽和删除,所有操作系统自动执行,解放您的双手。行,解放您的双手。5.2 知识点讲解4 4、阿里云云盾、阿里云云盾u云盾简介云盾简介云盾的特色:云盾的特色:不限服务器网卡数量不限服务器网卡数量不限不限ip ip数量数量服务器服务器ip ip随意更换随意更换网络带宽