1. 阿里云概述
地域
地域是阿里云定义的region,每个地域完全独立。资源创建成功后不能更换地域。
可用区
可用区是指在同一地域内,电力和网络相互独立的物理区域。同一可用区内实例之间的网络延迟更小。
在同一地域内可用区与可用区之间内网互通,可用区之间能做到故障隔离。是否将实例放在同一可用区内,主要取决于对容灾能力和网络延迟的要求。
如果应用需要较高的容灾能力,建议您将实例部署在同一地域的不同可用区内。
如果应用要求实例之间的网络延时较低,建议您将实例创建在同一可用区内。
地域和可用区
每个地域完全独立。每个可用区完全隔离,但同一个地域内的可用区之间使用低时延链路相连。地域和可用区之间的关系如下图所示。
如何选择地域和可用区
选择地域时,需要考虑以下几个因素:
实例所在的地域、您以及您的目标用户所在的地理位置
阿里云产品之间的关系
资源的价格
某些地区的特殊要求,如中国大陆地域的ECS实例用作web服务器,需要完成经营许可证备案
多个阿里云产品一起搭配使用,需要注意:
不同地域的云服务器ECS、关系型数据库RDS、对象存储服务OSS内网不互通。
不同地域之间的云服务器ECS不能跨地域部署负载均衡,即在不同的地域购买的ECS实例不支持跨地域部署在同一负载均衡实例下。
2. 弹性计算服务
2.1. 云服务器ECS的概念
服务器发展历程
单机架构 一台服务器提供给客户所有应用
集群架构 多台服务器提供应用
云计算架构 弹性、扩展
云服务器ECS优势
无需自建机房,无需采购以及配置硬件设施。
分钟级交付,快速部署,缩短应用上线周期。
快速接入部署在全球范围内的数据中心和BGP机房。
成本透明,按需使用,支持根据业务波动随时扩展和释放资源。
提供GPU和FPGA等异构计算服务器、弹性裸金属服务器以及通用的x86架构服务器。
支持通过内网访问其他阿里云服务,形成丰富的行业解决方案,降低公网流量成本。
提供虚拟防火墙、角色权限控制、内网隔离、防病毒攻击及流量监控等多重安全方案。
提供性能监控框架和主动运维体系。
提供行业通用标准API,提高易用性和适用性。
云服务器的灵魂:虚拟化技术
虚拟化前
IT资源独立
硬件资源产生浪费
虚拟化后
IT资源抽象为共享资源池
从资源池中灵活分配资源
云服务器ECS概念
云服务器(Elastic Compute Service,简称ECS)是阿里云提供的性能卓越、稳定可靠、弹性扩展的Iaas(Infrastucture as a Service)级别云计算服务。云服务器ECS免去了采购IT硬件的前期准备,像使用水、电、天然气等公共资源一样便捷、高效地使用服务器,实现计算资源的即开即用和弹性伸缩。阿里云ECS持续提供创新型服务器,解决多种业务需求,助力业务发展。
云服务器ECS的组件
组件 说明 实例 一台虚拟服务器,内含CPU、内存、操作系统、网络配置、磁盘等基础的计算组件。实例的计算性能、内存性能和适用业务场景由实力规格决定,其具体性能指标包括vCPU核数、内存大小、网络性能等。 镜像 提供实例的操作系统、初始化应用数据及预装的软件。操作系统支持多种Linux发行版和多种Windows Server版本。 块存储 块设备类型产品,具备高性能和低延迟的特性。提供基于分布式存储架构的云盘、共享块存储以及基于物理机本地存储的本地盘。 快照 某一时间点一块云盘或共享块存储的数据状态文件。常用于数据备份、数据恢复和制作自定义镜像等。 安全组 由同一地域内具有相同保护需求并相互信任的实例组成,是一种虚拟防火墙,用于设置实例的网络访问控制。 网络 1. 专有网络(Virtual Private Cloud):逻辑上彻底隔离的云上私有网络。可以自行分配私网IP地址范围、配置路由表和网关等。2. 经典网络:所有经典网络类型实例都建立在一个公用的基础网络上。由阿里云统一规划和管理网络配置。
2.2. ECS实例
选购云服务器
按照用户群体不同,选购云服务器主要有下面分类:
个人用户 个人用户只需要完成云服务器的购买即可。
企业用户 企业用户需要完成规划后再进行云服务器的购买使用。
实力规格
实例是能够为业务提供计算服务的最小单位,不同的实例规格可以提供的计算能力不同。
根据业务场景和使用场景,ECS实例可以分为多种实例规格族。根据CPU、内存等配置,一种实例规格族又分为多种实例规格。ECS实例规格定义了实例的基础属性:CPU和内存(包括CPU型号、主频等)。
根据系统架构以及使用场景,ECS实例规格族可以分为:
企业级x86计算规格族群
企业级异构计算规格族群
弹性裸金属服务器(神龙)超级计算集群(SCC)实例规格族群
入门级x86计算规格族群
注意: ECS实例只有同时配合块存储、镜像和网络类型,才能唯一确定一台实例的具体服务形态。
各个地域下可供售卖的实例规格可能存在差异,可以前往ECS实例可购买区域,查看实例的可购情况。
弹性裸金属服务器
弹性裸金属服务器融合了物理机与云服务器的各自优势,实现超强超稳的计算能力。业务应用可以直接访问弹性裸金属服务器的处理器和内存,无任何虚拟化开销。
弹性裸金属服务器通过自研芯片和自研Hypervisor系统软件,打造了全球领先的深度融合物理机和虚拟机特性的创新型计算架构。能与阿里云产品家族中的其他计算产品无缝对接。
ECS实例的生命周期
在一个生命周期中,实例有其固有的几个状态,如下表所示:
控制台状态 API状态 状态属性 状态解释 控制台可见 准备中 Pending 中间状态 实例创建后,在进入运行之前的状态。如果长时间处于该状态,说明出现异常。 否 启动中 Starting 中间状态 在控制台上或通过API接口执行重启、启动等操作后,实例进入运行中之前的状态 是 运行中 Running 稳定状态 实例正常运行状态。实例处于运行中状态时,您可以运行您的业务。 是 即将过期 Running 稳定状态 包年包月实例过期前15天即进入即将过期状态。 是 停止中 Stopping 中间状态 在控制台上或通过API接口执行停止操作后,实例进入已停止之前的状态。 是 已停止 Stopped 稳定状态 实例已经创建完成等待启动,或者实例被正常停止,实例都会处于已停止状态。已停止状态下的实例不能对外提供业务。 是 已过期 Stopped 稳定状态 包年包月实例到期,按量付费实例因账号欠费而停机,都会使实例进入已过期状态。已过期状态的实例,不能提供业务。 是 过期回收中 Stopped 稳定状态 ECS类型的包年包月实例在到期后15天内,实例维持一段时间的已过期状态后,随时会从已过期进入过期回收中。进入过期回收中之前,可以续费实例。续费成功,则所有资源保留,不受影响。进入过期回收中状态后,实例计算资源(vCPU + 内存)不再保留,本地盘数据不再保留,云盘和分配的公网IP地址会保留。此时,可以续费实例。如果在此状态时续费成功,云盘和分配的公网IP地址不变。 是 欠费回收中 Stopped 稳定状态 VPC类型的按量付费实例在欠费停机后15天内,实例维持一段时间的已过期状态后,随时会从已过期进入欠费回收中。进入欠费回收中之前,可以充值账号并重开机。如果重开机成功,所有资源保留,不受影响。进入欠费回收中状态后,实例计算资源(vCPU + 内存)不再保留,本地盘数据不再保留,云盘和分配的公网IP地址会保留。可以充值重开机,但是,可能会重开机失败,请隔一段时间后再试或提交工单解决。如果在此状态时重开机成功,云盘和分配的公网IP地址不变。 是 已锁定 Stopped 稳定状态 因为账户欠费或者安全原因,实例会被锁定。 是 等待释放 Stopped 稳定状态 申请退款提早释放包年包月实例时出现的状态。 是
镜像的概念
镜像是云服务器实例运行环境的模板,模板中包括了特定的操作系统和运行时环境,也可能包含预装的应用程序。阿里云镜像分类:
镜像类型 类型描述 如何获取技术支持 公共镜像 阿里云提供以下类型公共镜像:Aliyun Linux镜像第三方商业镜像及开源镜像合作的正版镜像 Aliyun Linux镜像:阿里云提供技术支持。第三方商业镜像及开源镜像:请联系操作系统原厂或者开源社区获得技术支持。 自定义镜像 自定义镜像包括您基于公共镜像、云市场镜像制作的自定义镜像和导入的自定义镜像。 请联系操作系统原厂获得技术支持。同时,阿里云将对问题的调查提供相应的技术协助。 云市场镜像 云市场镜像由第三方服务商(ISV,Independent Software Vendor)通过阿里云云市场授权提供。云市场的镜像不仅包括应用所需的操作系统,并且提供配置环境,免除安装和配置的繁琐过程,达到一键部署ECS的效果 请联系镜像提供服务商获得技术支持。
阿里云网络VPC概述
阿里云推荐使用专有网络VPC(Virtual Private Cloud),专有网络之间逻辑上彻底隔离。VPC作为用户上云首选的产品,主要有如下特点:
隔离的网络环境
可控的网络配置
网络规划
基于容灾方面的考虑,建议将不同的弹性裸金属服务器放置在不同可用区下。
安全组的作用
安全组是一种虚拟防火墙,用来控制出站和入站流量。
在同一VPC内,位于相同安全组的实例私网互通。默认安全组的规则如下:
入方向:默认拒绝所有访问。为了方便您管理云服务器,默认安全组包含了ICMP协议、SSH 22端口、RDP 3389端口的放行规则,您还可以勾选放行HTTP 80端口和HTTPS 443端口。
出方向:允许所有访问。
VPC安全组的默认规则
VPC类型安全组规则不区分内网和公网。在安全组里也只能设置内网规则。安全组规则同时对内网和公网生效。VPC类型默认安全组的默认规则如下:
网卡类型 规则方向 授权策略 协议类型 端口范围 优先级 授权类型 授权对象 无 入方向 允许 自定义TCP(SSH) 22/22 110 地址段访问 0.0.0.0/0 自定义TCP(RDP) 3389/3389 全部ICMP -1/-1 自定义TCP(HTTP),可选 80/80 自定义TCP(HTTPS),可选 443/443
2.3. ECS的优势
ECS的产品优势
与普通的IDC(Integrated Data Center 综合数据中心)机房或服务器厂商相比,阿里云提供的云服务器ECS的优势
高可用性
提升可用性的产品和服务。包括云服务器ECS、负载均衡SLB、关系型数据库RDS以及数据迁移服务DTS等。
行业合作伙伴以及生态合作伙伴。帮助您完成更稳定的架构,并且保证服务的持续性。
多种多样的培训服务。让您从业务端到底层服务端,在整条链路上实现高可用
安全性
丰富的网络产品体系
与自建的IDC机房互连
专有网络的稳定性
专有网络的安全性
弹性
计算弹性
存储弹性
网络弹性
与IDC相比优势
对比项 云服务器ECS 普通IDC 机房部署 阿里云自主研发的直流电服务器,绿色机房设计,PUE(Power Usage Effectiveness,电源利用效率)值低 传统交流电服务器设计,PUE值高 骨干机房,出口带宽大,独享带宽 机房质量参差不齐,用户选择困难,以共享带宽为主 BGP(Border Gateway Protocol,边界网关协议)多线机房,全国访问流畅均衡 以单线和双线为主 操作易用 内置主流的操作系统,Windows正版激活 需用户自备操作系统,自行安装 可在线更换操作系统 无法在线更换操作系统,需要用户重装 Web在线管理,简单方便 没有在线管理工具,维护困难 手机验证密码设置,安全方便 重置密码麻烦,且被破解的风险大 容灾备份 三副本数据设计,单份损坏可在短时间内快速恢复 用户自行搭建,使用普通存储设备,价格高昂 用户自定义快照 没有提供快照功能,无法做到自动故障恢复 硬件故障事故中可快速自动恢复 数据损坏需用户修复 安全可靠 有效阻止MAC欺骗和ARP攻击 很难阻止MAC欺骗和ARP攻击 有效防护DDOS攻击,可进行流量清洗和黑洞 清洗和黑洞设备需要另外购买,价格昂贵 端口入侵扫描、挂马扫描、漏洞扫描等附加服务 普通存在漏洞挂马和端口扫描等问题 灵活扩展 开通云服务器非常灵活,可以在线升级配置 服务器交付周期长 带宽升降自由 带宽一次性购买,无法自由升降 在线使用负载均衡,轻松扩展应用 硬件负载均衡,价格昂贵,设置也非常麻烦 节约成本 使用成本门槛低 使用成本门槛高 无需一次性大投入 一次性投入巨大,闲置浪费严重 按需购买,弹性付费,灵活应对业务变化 无法按需购买,必须为业务峰值满配
2.4. ECS的使用
按照如下步骤创建ECS服务器
打开创建实例页 => 完成基础配置 => 配置网络和安全组 => 系统配置(可选) => 分组设置(可选) => 确认订单和购买
配置自定义安全组规则
安全组规则无法满足业务需求的情况下,可以添加自定义规则。操作步骤如下:
登录阿里云控制台 => 选择网络和安全>安全组 => 选择地域 => 点击配置规则 => 点击添加安全组规则 => 设置具体规则内容
优先级:1~100,数值越小,优先级越高
ECS的管理方式
管理方式
控制台:直接使用控制台管理ECS,最常用方法。
API:熟悉网络服务协议和一种以上编程语言,使用云服务器ECS API管理的云上资源和开发自己的应用程序。
API管理ECS
熟悉网络服务协议和一种以上编程语言,可以使用云服务器ECS API管理云上资源和开发自己的应用程序。
调用云服务器ECS API的方法:
不同编程语言的云服务器ECS SDK
阿里云CLI
阿里云API Explorer
API URL请求
创建的云服务器ECS实例、磁盘、安全组、快照和实例公网带宽流量等资源均有数量和规格限制。
其中CLI、API Explorer和SDK免去了您手动身份验证环节,进而能快速调用接口。推荐使用SDK,方便调用接口以及管理资源。
SDK的编程语言
云服务器ECS提供了以下编程语言的SDK。
Java
Python
PHP
.NET
C/C++
Go
SDK的操作步骤:
创建Profile => 创建Client => 创建Request => 设置Request的参数 => 使用Client对应的方法传入Request,获得Response。=> 在Response中获得返回的参数值。
使用Python SDK省略了创建Profile这一步,直接创建Client,然后执行后面的步骤即可。
ECS登录
常见的登录交付方式:
ECS控制台登录:直接使用阿里云ECS控制台进行管理,ECS不需要公网接入
直接登录:ECS接入公网,客户在自身网络中可以直接登录ECS,不同环境连接方式各不相同
控制台登录方式
控制台登录流程:
开始 => 登录云服务器ECS管理控制台 => 单击远程连接 => 连接管理终端(使用远程连接密码)=> 登录ECS实例(使用实例登录密码) => 结束
管理终端适用的场景包括但不限于:
如果实例引导速度慢(例如启动自检),您可以通过管理终端查看进度。
如果实例内部设置错误(例如误操作开启了防火墙),导致无法使用软件远程连接,可以通过管理终端连接到实例后修改设置(例如关闭防火墙)
如果应用消耗CPU或带宽比较高(例如云服务器被肉鸡、进程CPU或带宽跑满),导致无法远程连接,可以通过管理终端连接到实例,结束异常进程等。
登录方式对比
linux实例的连接方法
访问公网 本地设备操作系统 连接方法 是/否 Windows或类Unix 使用管理终端连接Linux实例 是 Windows 使用PuTTY等远程连接工具连接:登录凭证为SSH密钥对:使用SSH密钥对连接Linux实例登录凭证为密码:使用用户名密码验证连接Linux实例 是 Linux或Mac OS等类Unix系统 使用命令连接:登录凭证为SSH密钥对:使用SSH密钥对连接Linux实例登录凭证为密码:使用用户名密码验证连接Linux实例 是 iOS或者Android 使用SSH Control Lite或者JuiceSSH等App连接:在移动设备上连接Linux实例 Windows实例的连接方法
访问公网 本地操作系统 连接方法 是/否 Windows或者类Unix 使用管理终端连接Windows实例 是 Windows 使用远程桌面连接(MSTSC)连接:本地客户端上连接Windows实例 是 Linux 使用rdesktop等软件连接:本地客户端上连接Windows实例 是 Mac OS 使用Microsoft Remote Desktop Connection for Mac连接:本地客户端上连接Windows实例 是 iOS或者Android 使用Microsoft Remote Desktop等App连接:在移动设备上连接Windows实例
2.5. ECS的计费和使用限制
阿里云ECS计费资源
阿里云对以下ECS资源计费:
计费资源 费用 实例规格 vCPU核数和内存容量 镜像 公共镜像:Windows和Red Hat:可能产生费用。具体价格以购买时显示的信息为准。其余公共镜像:免费。 自定义镜像:如果来源于镜像市场,价格以镜像供应商提供的信息为准。 共享镜像:如果来源于镜像市场,价格以镜像供应商提供的信息为准。 镜像市场:以镜像供应商提供的信息为准。 云盘 随实例一起创建的云盘,计费方式与实例相同。通过ECS管理控制台云盘页面单独创建的云盘,只支持按量付费。为预付费实例直接创建的预付费云盘,采用预付费(包年包月)方式计费,和实例的生命周期保持一致。 公网带宽 在创建实例时购买了公网带宽,或者创建时没有购买公网带宽但是创建后将公网带宽从0Mbps改为一个非零值,就需要支付公网带宽的费用。 快照 只要开通了快照服务,并且已创建快照,就需要支付快照的费用。
ECS计费模式
ECS实例有三种计费模式: 包年包月、按量付费、抢占式实例。
对比项 包年包月 按量付费 抢占式实例 付款方式 预付费,最少1个月,资源单价以 元/周、月、年 显示 后付费,按秒计费,资源单价以 元/小时 显示,按量付费的CPC类型实例可以开启停机不收费功能 后付费,按秒计费,资源单价以 元/小时 显示 计费差异 平均价格低,不可随机释放 平均价格高,可随时释放 竞价。若出价>市场价,以市场价成交;若出价<市场价,实例被释放 使用场景 7*24固定服务,如web服务 爆发业务,如临时测试,科学计算 无状态的应用,如可弹性伸缩的Web服务、图像渲染、大数据分析和大规模并行计算等 建议:根据业务场景,选择不同计费方式的ECS实例,弹性使用云资源,可以充分发挥云计算的优势,最大限度地节约成本
云服务器ECS的限制
使用云服务器ECS有下列限制:
不支持虚拟化软件安装和再进行虚拟化(例如安装使用VMware Workstation)。目前,仅弹性裸金属服务器和超级计算集群支持在虚拟化。
不支持声卡应用
不支持直接加载外接硬件设备(如硬件加密狗、U盘、外接硬盘、银行U key等),可以尝试软件加密狗或者动态口令二次验证等。
不支持SNAT等IP包地址转换服务。可以使用自己搭建VPN或者代理方式来实现。
不支持多播协议。如果需要使用多播,建议改为使用单薄点对点方式。
日志服务不支持32位Linux云服务器。
实例的限制
限制项 普通用户限制 例外申请方式(例外上限) 创建ECS实例的用户限制 实名认证 没有例外 创建按量付费资源的限制 账户余额、代金券和信用度之和不得小于100元 提交工单 可以创建按量付费实例的规格 vCPU核数少于16(不含16)的实力规格 提交工单 一个账号在每个地域的按量付费实例的总vCPU配额 50 vCPU 提交工单 一个账号在每个地域的抢占式实例配额 50 vCPU 提交工单 一个账号在每个地域的实例启动模板数量 30 没有例外 一个实例启动模板中的版本数量 30 没有例外 按量付费转预付费 以下实例规格(族)不支持:t1、s1、s2、s3、c1、c2、m1、m2、n1、n2、e3 没有例外 预付费转按量付费 是否支持此功能根据您的云服务器使用情况而定每月5000 vCPU*小时每月有最大退款额度限制,额度以转换页面显示为准 没有例外
ECS的使用场景
企业官网或轻量的Web应用:网站初始阶段访问量小,只需要一台低配置的云服务器ECS实例即可运行Apache或Nginx等Web应用程序、数据库、存储文件等。随着网站发展,可以随时升级ECS实例的配置,或者增加ECS实例数量,无需担心低配计算单元在业务突增时带来的资源不足。
多媒体以及高并发应用或网站:云服务器ECS与对象存储OSS搭配,对象存储OSS承载静态图片、视频或下载包,进而降低存储费用。同事配合内容分发网络CDN和负载均衡SLB,可大幅减少用户访问等待时间、降低网络带宽费用以及提高可用性。
高I/O要求数据库:支持承载高I/O要求的数据库,如OLTP类型数据库以及NoSQL类型数据库,您可以使用较高配置的I/O优化型云服务器ECS,同时采用ESSD云盘,可实现高I/O并发响应或更高的数据可靠性。也可以使用多台中等偏下配置的I/O优化型ECS实例,搭配负载均衡SLB,建设高可用底层架构。
访问量波动剧烈的应用或网站:某些应用,如抢红包应用、优惠券发放应用、电商网站和票务网站,访问量可能会在短时间内产生巨大的波动。您可以配合使用弹性伸缩,自动化实现在请求高峰来临前增加ECS实例,并在进入请求低谷时减少ECS实例。满足访问量达到峰值时对资源的要求,同时降低了成本。如果搭配负载均衡SLB,还可以实现高可用应用架构。
大数据及实时在线或离线分析:云服务器ECS提供了大数据类型实例规格簇,支持Hadoop分布式计算,日志处理和大型数据仓库等业务场景。由于大数据类型实例规格采用了本地存储的架构,云服务器ECS在保证海量存储空间、高存储性能的前提下,可以为云端的Hadoop集群、Spark集群提供更高的网络性能。
机器学习和深度学习等AI应用:通过采用GPU计算型实例,可以搭建基于TensorFlow框架等的AI应用。此外,GPU计算型还可以降低客户端的计算能力要求,适用于图形处理、云游戏云端实时渲染、AR/VR的云端实时渲染等瘦终端场景。
2.6. 介绍阿里云块存储产品
块存储的概念
块存储是阿里云为云服务器ECS提供的块设备产品,具有高性能和低延迟的特点,支持随机读写。可以像使用物理硬盘一样格式化并建立文件系统来使用块存储,可满足大部分通用业务场景下的数据存储需求。
阿里云块存储类型:
块存储类型 描述 云盘 阿里云为云服务器ECS提供的数据块级别的块存储产品。云盘采用多副本的分布式机制,具有低时延、高性能、持久性、高可靠等性能,支持随时创建、扩容以及释放。 共享块存储 一种支持多个ECS实例并发读写访问的数据块级存储设备。与云盘类似,采用多副本的分布式机制,支持多实例并发访问,具有低时延、高性能、高可靠等特性,适用于完全共享性(shared-everything)架构下对块存储设备的共享访问场景。 本地盘 基于云服务器ECS所在物理机(宿主机)上的本地硬盘设备,为ECS实例提供本地存储访问能力。为对存储I/O性能和海量存储性价比有极高要求的业务场景而设计的产品。具有低时延、高随机IOPS、高吞吐量、高性价比等优势。 不同类型块存储的性能
性能指标--IOPS
IOPS指每秒能处理的I/O个数,表示块存储处理读写(输出/输入)的能力,单位为次。如果需要部署事务密集型应用,例如数据库类应用等典型场景,需要关注IOPS性能
指标 描述 数据访问方式 总IOPS 每秒执行的I/O操作总次数 对硬盘存储位置的不连续访问和连续访问 随机读IOPS 每秒执行的随机读I/O操作的平均次数 对硬盘存储位置的不连续访问 随机写IOPS 每秒执行的随机写I/O操作的平均次数 顺序读IOPS 每秒执行的顺序读I/O操作的平均次数 对硬盘存储位置的连续访问 顺序写IOPS 每秒执行的顺序写I/O操作的平均次数
性能指标--吞吐量、访问延迟
吞吐量和访问时延也是衡量块存储产品的性能指标
指标 说明 吞吐量 吞吐量是指单位时间内可以成功传输的数据数量,单位为MBps。如果您需要部署大量顺序读写的应用,例如Hadoop离线计算型业务等典型场景,需要关注吞吐量 访问时延 访问时延是指块存储处理一个I/O需要的时间,单位为s、ms或者μs。过高的时延导致性能下降或报错。如果应用对高时延比较敏感,例如数据库应用,建议使用ESSD云盘、SSD云盘、SSD共享块存储或本地SSD盘类产品。如果应用偏重数据吞吐能力,对时延相对不太敏感,例如Hadoop离线计算等吞吐密集型应用,建议使用d1或者d1ne大数据型实例规格包含的SATA HDD本地盘产品。 容量无法衡量块存储性能,但对于存储设备而言,不同的容量能达到的性能不同,容量越大,存储设备的数据处理能力越强。相同类型块存储产品的单位容量的I/O性能均一致,但云盘性能随容量增长而线性增长,直至达到该类型块存储的单盘性能上限。
阿里云块存储特点
多样性 阿里云提供多种块存储供用户选择
高效性 采用分布式存储架构,具有低时延、高性能、持久性、高可靠等特点。
安全性 采用分布式三副本机制,为ECS实例提供99.9999999%的数据可靠性保证。
本地盘来自单台物理机,数据可靠性取决于物理机的可靠性,存在单点故障风险。建议您在应用层做数据冗余,保证数据的可用性。可以使用部署集将业务涉及到的几台ECS实例分散部署在不同的物理服务器上,保证业务的高可用性和底层容灾能力。
三副本技术
阿里云分布式文件系统为ECS提供稳定、高效、可靠的数据随机访问能力。
对云盘的读写最终都会被映射为对阿里云数据存储平台上的文件的读写。阿里云提供一个扁平的线性存储空间,在内部会对线性地址进行切片,一个分片成为一个Chunk。对于每一个Chunk,阿里云会复制出三个副本,并将这些副本按照一定的策略存放在集群中的不同节点上,保证数据的可靠。
ECS块存储加密
使用ECS云盘加密功能,系统会将从ECS实例传输到云盘的数据自动加密,并在读取数据时自动解密。加密解密在ECS实例所在的宿主机上进行,对从ECS实例传输到云盘的数据进行加密。在加密解密的过程中,云盘的性能几乎没有衰减。
在创建加密云盘并将其挂载到ECS实例后,系统将对以下数据进行加密:
云盘中的静态数据
云盘和实例间传输的数据(实例操作系统内数据不加密)
从加密云盘创建的所有快照(即,加密快照)
阿里云云盘类型
阿里云为云服务器ECS提供了丰富的块存储产品类型,包括基于分布式存储架构的云盘、共享块存储产品,以及基于物理机本地硬盘的本地盘产品。
云盘的类型:
类型 说明 ESSD云盘 阿里云全新推出的超高性能云盘产品。基于新一代分布式块存储架构,结合25GE网络和RDMA技术,单盘可提供高达100万的随机读写能力和更低的单路时延能力。 SSD云盘 具备稳定的高随机读写性能、高可靠性的高性能云盘产品。 高效云盘 具备高性价比、中等随机读写性能、高可靠性的云盘产品。 普通云盘 具备高可靠性、一般随机读写性能的云盘产品。
阿里云共享块存储和本地存储分类
共享块存储和本地盘的分类:
类型 说明 共享块存储 为防止一个或多个计算节点发生故障而导致业务中断,可以使用共享块存储保证集群对外提供业务访问的持续性和高可用性。 SSD共享块存储 采用固态硬盘作为存储介质,能够提供稳定的高随机I/O性能和高数据可靠性的存储设备。 高效共享块存储 采用固态硬盘与机械硬盘的混合介质作为存储介质 本地盘 适用于对存储I/O性能、海量存储性价比有极高要求的业务场景。 NVMe SSD本地盘 搭配使用的实例规格族包括i2、i1、ga1和gn5。其中,i1和i2实例规格族适用于以下场景:网络游戏、电商、视频直播、媒体等在线业务。满足I/O密集型应用对块存储的低时延和高I/O性能需求。对存储I/O性能有较高要求,同时具备应用层高可用架构的业务场景,如NoSQL非关系型数据库、MPP数据仓库和分布式文件系统等。 SATA HDD本地盘 搭配使用的实例规格族包括d1ne和d1。适用于互联网行业、金融行业等有大数据计算与存储分析需求的行业,进行海量数据存储和离线计算的业务场景。充分满足以Hadoop为代表的分布式计算业务类型对ECS实例存储性能、存储容量和内网带宽的多方面要求。
2.7. 阿里云块存储产品的使用
阿里云块存储的使用
创建云盘(创建按量付费云盘、创建预付费云盘、使用快照创建云盘) =>
挂载云盘(从实力管理页面挂载云盘,从云盘管理页面挂载云盘) =>
分区格式化数据盘(Windows格式化数据盘,Linux格式化数据盘,分区格式大于2TiB数据盘)
块存储的扩容
在阿里云,随着业务的发展和应用数据增长,可以随时扩展云盘容量。
可以通过以下方式增加单台实例的存储容量:
扩容已有云盘,您需要自行扩展已有分区或者扩展新建分区。
创建一块新云盘,作为数据盘挂载到实例上,并需要自行分区格式化。
更换系统盘的同时指定更高的系统盘容量。
系统盘扩容上限,新值必须大于系统盘现有容量,小于等于500GiB。
镜像 扩容限制 Linux(不包括CoreOS)和FreeBSD [max{20,系统盘当前容量},500] CoreOS [max{30,系统盘当前容量},500] Windows [max{40,系统盘当前容量},500]
块存储的使用限制
在挂载云盘前,需要了解以下注意事项:
随实例一起创建的云盘和单独为预付费实例创建的作数据盘用的预付费云盘,不需要执行挂载操作。
只能挂载作数据盘用的云盘,不需要挂载作系统盘用的云盘。
挂载云盘时,实例必须满足以下条件:
实力状态必须为 运行中(Running) 或者 已停止 (Stopped),不能为 已锁定(Locked)。
实例不欠费。
挂载云盘时,云盘的状态必须为 待挂载(Available)。
云盘只能挂载到同一地域下同一可用区内的实例上,不能跨可用区挂载。
一台ECS实例最多能挂载16块云盘做数据盘用,同一时刻,一块云盘只能挂载到一台实例上。
通过 ECS管理控制台 上的 云盘页面独立创建的云盘能挂载到同一地域下同一可用区的任意实例上(包括预付费和按量付费的实例)。
快照的使用场景
快照是某一时间点一块云盘或共享块存储的数据状态文件。常用于数据备份、数据恢复和制作自定义镜像等。应用场景:
场景 说明 容灾备份 为某块云盘创建快照,将数据作为其他云盘的基础数据。实现同城容灾和异地容灾。 版本回退 当升级版本后出现系统问题是,可以使用快照回滚云盘实现版本回退。 环境复制 使用系统盘快照创建自定义镜像,再使用自定义镜像创建实例。 数据开发 通过对生产数据创建快照,从而为数据挖掘、报表查询和开发测试等应用提供近实时的真实生产数据。 提供操作容错率 当不慎在云盘上存储了错误的数据、ECS实例误被释放、应用错误导致了数据错误或者骇客利用应用漏洞恶意读写数据时,可以使用快照将云盘上的数据恢复到期望状态。 利用快照定期备份云盘上重要的业务数据,应对误操作、攻击和病毒等导致的数据丢失风险。 在更换操作系统、应用软件升级或业务数据迁移等重大操作前,建议创建一份或多份快照。一旦升级或者迁移过程中出现任何问题,可以通过快照及时恢复到正常的系统数据状态。
快照分类
从创建方式上,快照分为手动快照和自动快照:
手动快照:手动创建,随时为云盘创建快照,备份数据。
自动快照:定期任务创建的快照。需要县创建自动快照策略,再将自动快照策略应用到云盘上,ECS会在设置的时间点自动为该云盘创建快照。
从创建顺序上,快照分为全量快照和增量快照:
全量快照:云盘首次创建的快照是快照全量。
增量快照:云盘后续创建的快照是增量快照。
服务优势
阿里云快照提供了更高的快照额度和更灵活的快照策略,具有以下用户价值:
功能点 功能详情 用户价值 场景示例 快照额度 每块云盘拥有256个手动快照额度,以及256个自动快照额度 更长的保护周期与更细的保护粒度 某块非核心业务数据盘每天零点创建一次快照,可以保存超过2个月的备份数据。某块核心业务数据盘每隔4小时创建一次快照,可以保存超过10天的备份数据。 自动快照策略 支持自定义快照时间点、每周重复日期、快照保留时长、可查询自动快照策略关联的云盘数量及详情 保护策略更灵活 一天之内有24个快照时间点可供选择,可以创建多份自动快照。任意指定周一到周日多个日期自动创建快照。可以指定保存时长、或者永久保留。达到快照额度上限后,系统按创建时间顺序自动删除最早的自动快照。
手动快照创建流程
在云服务器ECS管理控制台上通过实例页面创建快照的操作路径如下:
登录控制台 => 点击[实例与镜像]>[镜像] => 选择相应地域 => 点击实例的[管理]按钮 => 点击[本实例磁盘]选择[创建快照]
手动创建快照注意事项
创建快照时,您需要注意以下事项:
创建快照涉及资源计费。
创建快照可能会轻微降低云盘的性能,I/O性能短暂变慢。需要避开业务高峰。
快照只会备份某一时刻的数据,创建快照期间,操作云盘产生的增量数据不会同步到快照中。
为保证成功创建快照,创建快照时,不能修改ECS实例状态,比如停止或重启ECS实例。
自行创建的快照会一直保留,请定期删除不再需要的快照,避免快照容量持续扣费。
如果您使用多分区的单云盘只做了扩展卷,创建的快照可以正常回滚云盘。
使用多云盘只做了动态扩展卷后,扩展卷中数据无I/O操作时,创建的快照可以正常回滚云盘。如果扩展卷中一直有I/O操作,则回滚后的云盘无法保证数据的完整性。
创建自动快照
自动快照策略:
登录ECS管理控制台 => 选择存储与快照>快照 => 选择地域 => 选择自动快照策略 => 点击右上角创建策略 => 完成指定规则的策略名称
3. 阿里云网络管理
3.1. VPC的概念
网络演进
传统网络 => 网络虚拟化 => SDN网络
虚拟网络(虚网1,虚网2) => 网络虚拟化平台 => 物理网络(映射、南向协议、SDN交换机)
网络产品概览
网络 (专有网络VPC、负载均衡SLB、NAT网关、弹性公网EIP、VPN网关、共享带宽、共享流量包、高速通道、云托付、全球加速)
专有网络VPC
专有网络VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。VPC主要提供了两个能力:
用户可以自定义网络拓扑,包括选择自由IP地址范围、划分网段、配置路由表和网关等;
通过专线或VPN与原有数据中心连接,云上和云下的资源使用同一个网络地址规划,实现应用的平滑迁移上云。
网络虚拟化
引入Overlay技术 & 引入SDN技术
VM IP地址灵活分配
VM IP地址与物理网络拓扑解耦
VM的IP地址可以根据业务需要进行分配
VM IP地址从寻址功能变成标记
VM任意迁移,IP地址保持不变
VM迁移时,不需要配置物理交换机
多租户
租户间可以相互隔离
租户可以自行设置安全策略
转发逻辑由自学习变成集中控制
OVS由控制平面同一管理
路由信息由控制器集中控制
消除大二层网络问题
二层网络由实变虚,不再仅仅是Vlan
消除ARP广播域,去除二层环路
简化VM配置,减少网络故障
减轻网络设备压力,减少网络上的非业务报文
vpc网络的组成
vpc网络基本组成
每个VPC都由一个私网网段、一个路由器和至少一个交换机组成。
路由器(VRouter)是专有网络的枢纽。作为专有网络中重要的功能组件,它可以连接VPC内的各个交换机,同时也是连接VPC和其他网络的网关设备。
交换机(VSwitch)是组成专业网络的基础网络设备,用来连接不同的云产品实例。
OVERLAY技术
阿里云借鉴了成熟的OVERLAY技术实现隔离;
基于Overlay技术,海量的租户被隔离开,所有的租户都是运行在这个网络之上;
网络实际被分为上下两层,上层是虚拟网络,下层是物理网络。
VXLAN协议
网络虚拟化
基于OVERLAY技术在物理网络基础上构造虚拟网络
VPC间完全隔离
VXLAN协议作用是将二层报文在三层范围进行扩展使用VXLAN协议对每个VPC网络进行隔离,不同VPC之间保证安全隔离,无法进行通信。
每个VPC,一条隧道,隧道ID唯一,不同用户不同隧道,隧道之间无法直接通信。
专有网络产品组件介绍
专有网络VPC(VPC(路由器,交换机(云服务器,云数据库,负载均衡)))
专有网络类型的云产品创建在交换机中
虚拟路由器 VRouter
用户需求
自定义规划用户的数据中心;
与VSwitch共同规划专有网络;
管理和规划用户路由信息。
产品介绍
路由器是一个专有网络的网络枢纽;
作为专有网络最重要的功能组件,连接专有网络内的各个交换机;
连接专有网络与其他网络的网关设备;
维护专有网络内路由转发的路由表;
创建专有网络时默认创建Vrouter。
虚拟交换机 VSwitch
用户需求
与VRouter共同规划专有网络;
按需划分云产品网络地址段;
绑定可用区保持云产品的高可靠性。
产品介绍
用户基于专有网络内自定义私有网络
组成专有网络网格的基础网络设备
连接专有云网络的云产品实例
路由表
用户需求
VSwitch之间通信怎么配置?
专有网络与其他网络设备怎么通信?
专有网络内云服务器代理路由怎么引流?
产品介绍
管理路由条目的列表;
控制着整个专有网络报文转发策略。
安全组
用户需求
怎么控制访问专有网络内产品的网络协议?
怎么控制专有网络内云产品端口?
怎么控制同一专有网络内不同产品的访问隔离。
产品介绍
虚拟防火墙
用于设置单个或多个ECS实例的网络访问控制
以安全组规则组成,对该安全组下的所有ECS实例的出方向和入方向进行网络控制
3.2. VPC的组件
弹性公网IP
公网连接产品
可独立持有的公网IP
一个公网IP,全球可达。
优质的BGP线路和带宽,享受和淘宝、天猫同品质的公网。
可用于VPC中ECS服务器、NAT网关、私网负载均衡SLB等云产品。
可以动态绑定和解绑。
云企业网
云企业网(Cloud Enterprise Network)提供一种快速构建混合云和分布式业务系统的全球网络,协助用户打造一张具有企业级规模和通信能力的云上网络。
VPN网关
VPN网关是一款基于Internet,通过加密通道将企业数据中心,企业办公网络、或Internet终端和阿里云专有网络(VPC)安全可靠连接起来的服务。
IPsec-VPN:提供站点到站点的VPN连接
SSL-VPN:提供点到站点的VPN连接,不需要客户网关,终端直接接入。
NAT网关
一款企业级的VPC公网网关
可用区A(主用NAT) 可用区B(备用NAT)
一个IP多个服务
自定义服务端口
灵活变更服务端口
宽带共享、安全、易用、高可靠
3.3. VPC的规划和使用
VPC的网络规划
问题一:应该使用几个VPC?
问题二:应该使用几个交换机?
问题三:应该选择什么网段?
问题四:VPC与VPC互通或者与本地数据中心如何互通?
VPC的网络规划:应该使用几个VPC?
单个VPC简单部署
是否有多地域部署系统的要求?
各系统之间是否有通过VPC隔离的需要?
不同应用或同应用不同环境的隔离部署,需要多个VPC
VPC是地域级别的资源,是否有多地域部署系统的要求?
可以通过哪些产品实现VPC的互联?(云企业网,VPN网关)
多业务系统
多业务系统是否需要严格隔离?
VPC的网络规划:应该使用几个交换机?
尽量使用至少两个交换机,并且两个交换机分布在不同可用区。
应用的不同部分,如前端服务和数据库服务使用不同的交换机。
VPC的网络规划:应用使用几个网段
规划VPC网段
在云上只有一个VPC并且不需要和本地IDC互通时,可以选择允许私网网段中的任何一个网段或其子网。
在如果有多个VPC,或者有VPC和线下IDC构建混合云的需求,建议使用上面这些标准网段的子网作为VPC的网段,掩码建议不超过16位。
规划交换机网段
在交换机的网段的大小在16位网络掩码与29位网络掩码之间,可提供8-65536个地址。
每个交换机的第一个和最后三个IP地址为系统保留地址。
交换机网段的确定还需要考虑该交换机下容纳ECS的数量。
VPC的网络规划:VPC与VPC互通或者本地数据中心互通
当用户有VPC互通或和本地IDC互通的需求时,确保VPC的网段和要互通的网络的网段都不冲突。
在多VPC的情况下,建议遵循如下网段规划原则:
尽可能做到不同VPC的网段不同,不同VPC可以使用标准网段的子网来增加VPC可用的网段数。
如果不能做到不同VPC的网段不同,则尽量保证不同VPC的交换机网段不同。
如果也不能做到交换机网段不同,则保证要通信的交换机网段不同。
常见问题
每个专有网络可以有多少个路由器?
每个专有网络有且只有一个路由器,每个路由器维护一个路由表。
如何选择交换机的网段?
交换机的网段必须从属于所属专有网络的网段。如果交换机网段和所属的VPC的网段相同,VPC内就只能创建一个交换机。
阿里云VPC提供了192.168.0.0/16,172.16.0.0/12,10.0.0.0/8以及它们的子网供用户选择使用。
使用限制
资源 默认限制 提升配额 每个地域可创建的专有网络数量 10 提交工单 专有网络可选的网段范围 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8以及它们的子网 提交工单 单个专有网络的路由器数量 1 无法调整 单个专有网络的交换机数量 24 提交工单 单个专有网络的路由表数量 10 提交工单 单个路由表的自定义路由条目数量 48 提交工单 单个专有网络支持云产品使用网络地址数量 15,000 无法调整
3.4. VPC的管理
安全组概述
安全组是一种虚拟防火墙,具备状态检测包过滤功能。安全组用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。
安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。可以授权两个安全组之间互访。
最小原则:安全组应该是白名单性质的,所以需尽量开放和暴露最少的端口,同时尽可能少地分配公网IP。
创建安全组
一个VPC类型的ECS实例只能加入本VPC的安全组。用户可以随时授权和取消安全组规则。用户的变更安全组规则自动应用于与安全组相关联的ECS实例上。
安全组规则
入方向:授权/拒绝某个IP或CIDR(Classless Inter-Domain Routing 无类别域间路由)通过某个协议类型访问安全组内部实例指定的端口范围
出方向:授权/拒绝安全组内部实例通过某个协议访问某个IP或CIDR的指定的端口范围
当访问控制规则冲突时,优先级高的规则生效,优先级相同时,“拒绝”的规则生效
系统路由
创建专有网络后,系统会自动为用户创建一张默认路由表并为其添加系统路由来管理专有网络的流量。一个VPC只有一张系统路由表。该系统路由表在创建VPC的时候自动为用户创建,用户不能手动创建也不能删除默认系统路由表。(但可以有自定义路由表)
创建专有网络后,系统会在路由表中自动添加如下系统路由:
以100.64.0.0/10为目标网段的路由条目,用于VPC内的云产品通信。
以交换机网段为目标网段的路由条目,用于交换机内的云产品通信。
创建一个网段为192.168.0.0/16的专有网络,并在该专有网络下创建了两个网段为192.168.1.0/24和192.168.0.0/24的交换机,则该专有网络的路由表中会有如下三条系统路由:
目标网段 下一跳 类型 100.64.0.0/10 - 系统路由 192.168.1.0/24 - 系统路由 192.168.0.0/24 - 系统路由
查看路由表
登录专有网络管理控制台;
在左侧导航栏,单击路由表;
选择地域,然后单击管理或路由表额度ID链接,查看路由表额度详细信息。
添加自定义路由
登录专有网络管理控制台
在左侧导航栏,单击路由表;
选择地域,然后单击管理或路由表的ID链接;
单击添加路由条目;
在弹出的对话框,配置路由条目,然后点击确定。
路由表和路由条目 -- VPC互联(VPN网关)
VPC1 自定义路由
目标网段 下一跳类型 下一跳 10.0.0.0/8 VPN网关 VPN网关1 VPC2 自定义路由
目标网段 下一跳类型 下一跳 10.0.0.0/8 VPN网关 VPN网关2
路由表和路由条目 -- VPC互联(云企业网)
云企业网(Cloud Enterprise Network)在VPC间,VPC与本地数据中心间搭建私网通信通道,通过自动路由分发和学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通。
路由表和路由条目 -- 连接本地网络(VPN网关)
VPC 自定义路由
目标网段 下一跳类型 下一跳 192.168.0.0/16 VPN网关 配置的VPN网关
4. 负载均衡SLB和弹性伸缩AS
4.1. SLB的介绍
为什么需要负载均衡
Server Too Busy
应用背景:
访问流量快速增长
业务量不断提高
用户需求
希望获得7 x 24的不间断可用性及较快的系统反应时间
Link Too Busy
应用背景
访问流量快速增长
业务量不断提高
用户需求
希望获得7 x 24的不间断可用性及较快的系统反应时间
负载均衡背景
在互联网应用越来越广泛的今天,伴随业务的发展,访问量和数据流量的增长,单一的服务器设备根本无法承担。通过升级硬件会造成投资成本的增加和资源的浪费,并且不具备可扩展性。这时,能否将计算任务分摊到后台多台较低配置的服务器处理,然后返回结果给客户端,将是亟待解决的问题。
负载均衡因此诞生,他提供了一种有效的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络处理能力、提高网络的灵活性和可用性。
负载均衡的功能可以由硬件设备实现,但硬件价格昂贵,同时有性能瓶颈,当达到性能上限后需要购买更多的设备,且硬件扩展性受到了限制。
阿里云结合自身弹性计算平台的特点以及强大的技术优势,规划了一整套完善的软件负载均衡解决方案,以更好的满足弹性计算平台负载均衡的需求。
负载均衡服务介绍
负载均衡的功能可以由硬件设备实现,但是缺点是价格昂贵,同时硬件也有性能瓶颈,当达到硬件的性能上限后需要购买更多的设备,且硬件扩展性受到了限制,但无法进行扩展和定制。
SLB与传统负载均衡相比的优势
指标 负载均衡 传统硬件负载均衡器 扩展性 支持删除和添加后端云服务器,实现无缝伸缩。伸缩过程不用更换任何设备,对相关调用和访问者零影响。 当目前硬件设备达到相应瓶颈时,需要重新购买更高性能硬件设备重新安装,业务中断,步骤繁杂。 安全 免费提供四层DDoS攻击防护。支持应用防火墙,实时抵御网络攻击。 需要额外购买安全防护模块,部署困难,成本较高。 成本 无需购买硬件设备,终身免运维,提供按流量和按带宽两种付费方式,可根据业务灵活选取,共享型私网实例费用全免。 需要购买昂贵的硬件设备,部署困难。需要专业的运维人员,硬件成本和人力成本剧增。
阿里云负载均衡SLB介绍
同城容灾:可用区级的高可用,故障时自动切换
流量分发:对多台云服务器自动进行流量分发,扩展系统服务能力
简明易用:多种付费类型、计费模式与管理方式,可灵活选择轻松管理
超强性能:推出性能保障型实例,并提供超高性能规格的实例
对多台云服务器进行流量分发的负载均衡服务
可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性
SLB应用场景
高访问量的业务:配置监听规则将流量分发到不同的ECS实例上
扩展应用程序:随时添加和移除ECS实例来扩展应用系统的服务能力
消除单点故障:负载均衡会自动屏蔽故障的ECS实例,将请求分发给正常运行的ECS实例
同城容灾:阿里云负载均衡已在各地域部署了多可用区实现同地域容灾
阿里云负载均衡SLB组成
阿里云负载均衡主要由3个基本概念组成:
LoadBanlancer
Listener
BackendServer
负载均衡概念:术语
术语 全称 中文 说明 负载均衡 Server Load Balancer 负载均衡服务,简称负载均衡服务 阿里云计算提供的一种网络负载均衡服务,可以结合阿里云提供的ECS服务为用户提供基于ECS实例的TCP、UDP与HTTP负载均衡服务。 Region Region 地域 代表资源所在并有效的地域,每个地域包含一组数据中心。 Zone Zone 可用区 代表负载均衡所在的Zone LoadBalancer Load Balancer 负载均衡服务器实例,简称负载均衡实例 负载均衡实例可以理解为负载均衡服务的一个运行实例,用户要使用负载均衡服务,就必须先创建一个负载均衡实例,LoadBalancerId是识别用户负载均衡实例的唯一标识。 Listener Listener 负载均衡服务监听 负载均衡服务监听,包括监听端口、负载均衡策略和健康检查配置等。 BackendServer Backend Server 后端服务器 接受负载均衡分发请求的一组云服务器,负载均衡服务将外部的访问请求按照用户设定的规则转发到这一组后端服务器上进行处理。 Address Address 服务地址 系统分配的服务地址,当前为IP地址。用户可以选择该服务地址是否对外公开,来分别创建公网和私网类型的负载均衡服务。
协议支持
负载均衡基础架构是采用集群部署,提供:
四层(TCP协议和UDP协议)
七层(HTTP和HTTPS协议)
可实现会话同步,以消除服务器单点故障,提升冗余,保证服务的稳定性。
SLB架构
阿里云当前提供四层和七层负载均衡服务。
四层采用开源软件LVS(Linux Virtual Server)+ Keepalived。
七层采用Tengine实现负载均衡。
转发方式的工作原理
轮询模式:会将外部和内部的访问请求依序分发给后端ECS进行处理。
最小连接数模式:访问请求分发给当前连接数最小的一台后端ECS进行处理。
会话保持及权重设置的工作原理
会话保持:
四层TCP:同一IP地址的请求持续发往一台服务器
七层HTTP:相同cookie的请求发往一台服务器
权重设置:访问请求按权重大小依次分发
负载均衡如何和云产品结合
云解析企业版(智能DNS)
提供丰富的智能解析策略,合理调度来自不同线路用户的入站访问流量,后续还支持根据地域调度访问流量和健康检查,实现跨地域负载均衡和全局负载均衡。
云服务器ECS
挂载同region的ECS,可实现流量分发和消除单点故障。
云盾
结合云盾实现DDoS防护(清洗和黑洞)
弹性伸缩服务
结合弹性伸缩服务可以做到弹性扩容
对象存储OSS,数据库RDS
用户通过ECS上的应用,可访问OSS,RDS、Memcache等应用。
用户也可以直接在ECS上部署DB等应用,通过SLB做负载均衡。
4.2. SLB中的概念
监听
创建负载均衡实例后,需要为实例配置监听。负载均衡实例监听负责检查连接请求,然后根据调度算法定义的转发策略将请求流量分发至后端服务器。
负载均衡提供四层(TCP/UDP协议)和七层(HTTP/HTTPS协议)监听,可根据应用场景选择监听协议:
协议 说明 使用场景 TCP 面向连接的协议,在正式收发数据前,必须和对方建立可靠的连接基于源地址的会话保持在网络层可直接看到来源地址数据传输快 适用于注重可靠性,对数据准确性要求高,速度可以相对较慢的场景,如文件传输、发送或接收邮件、远程登录无特殊要求的Web应用 UDP 面向非连接的协议,在数据发送前不与对手进行三次握手,直接进行数据包发送,不提供差错恢复和数据重传可靠性相对低;数据传输快 关注实时性而相对不注重可靠性的场景,如视频聊天、金融实时行情推送。 HTTP 应用层协议,主要解决如何包装数据基于Cookie的会话保持使用X-Forward-For获取源地址 需要对数据内容进行识别的应用,如Web应用、小的手机游戏等。 HTTPS 加密传输数据,可以阻止未经授权的访问统一的证书管理服务,用户可以将证书上传到负载均衡,解密操作直接在负载均衡上完成 需要加密传输的应用。
监听转发
HTTPS是加密数据传输协议,安全性高。负载均衡支持将HTTP访问重定向至HTTPS,方便进行全站HTTPS部署。负载均衡已经在全部地域开放了HTTP重定向功能。
会话保持
负载均衡是可以配置会话保持功能的。
四层会话保持
四层TCP方式的负载均衡是基于客户IP进行会话保持的,它会把同一IP地址的请求持续发往一台服务器。
七层会话保持
七层HTTP负载方式进行会话保持,七层是基于cookie的。可以分为植入cookie和重写cookie。
如果开启会话保持,在超时时间范围内,会将同一请求转给后端同一台服务器。如果过了超时时间,就会重新选择后端服务器。
如果负载均衡本身请求流量较小,就会显得分发不那么平衡。所以如果是要做压力测试,建议先关闭会话保持测试。
后端服务器组概述
在使用负载均衡服务前,需要添加ECS实例作为负载均衡实例的后端服务器,用来接收负载均衡监听转发的请求。负载均衡服务通过设置虚拟服务地址,将添加的同一地域的多台ECS实例虚拟成一个高性能、高可用的应用服务池。也可以通过虚拟服务器组管理后端服务器。
可以在任意时刻增加或减少负载均衡实例的后端ECS数量,确保开启了负载均衡的健康检查功能并同时保证负载均衡实例中至少有一台正常运行的ECS。
添加后端服务器时,注意:
负载均衡不支持跨地域部署,确保ECS实例的所属地域和负载均衡实例的所属地域相同。
负载均衡本身不会限制后端ECS实例使用哪种操作系统。
一个负载均衡实例最多支持添加50个监听,每个监听对应后端ECS实例上的一个应用。
可以指定后端服务器池内各ECS实例的转发权重。权重越高的ECS实例将被分配到更多的访问请求。
如果同时开启了会话保持功能,那么有可能会造成后端服务器的访问并不是完全相同的。当负载均衡服务分发请求不均匀时,可以参考以下方法检查处理:
统计一个时间段内,后端ECS实例的Web服务访问日志记录数据量。
按照负载均衡的配置,对比多台ECS实例日志的数量是否有相差。(开启会话保持后,需要剥离相同IP的访问日志。如果负载均衡配置了权重,要根据权重比例计算日志中访问比例是否正常。)
ECS进行热迁移时,可能导致SLB长连接断开,重新连接后即可恢复,请做好应用的重连工作。
服务器组分类
默认服务器组
用来接收前端请求的ECS实例。如果监听没有设置虚拟服务器组或主备服务器组,默认将请求转发至默认服务器组中的ECS。
主备服务器组
一个主备服务器组只包括两台ECS实例,一台作为主服务器,一台作为备服务器。由于备服务器不会做健康检查,所以主要主服务器健康检查失败,系统会直接将流量切到备机。当主服务器健康检查成功恢复服务后,流量会自动切到主服务器。
虚拟服务器组
当需要将不同的请求转发到不同的后端服务器上时,或需要通过域名和URL进行请求转发时,可以选择使用虚拟服务器组。
健康检查
负载均衡通过健康检查来判断后端服务器(ECS实例)的业务可用性。健康检查机制提高了前端业务整体可用性,避免了后端ECS异常对总体服务的影响。
开启健康检查功能后,当后端某台ECS健康检查出现异常时,负载均衡会自动将新的请求分发到其他健康检查正常的ECS上;而当该ECS恢复正常运行时,负载均衡会将其自动恢复到负载均衡服务中。
健康检查机制
SLB四层和七层检查机制如下:
TCP健康检查(四层): 1. SYN 2. SYN + ACK 3. ACK 4. RST
HTTP健康检查(七层): 1. HTTP HEAD请求 2. HTTP状态码(2xx等)
访问控制
负载均衡提供监听级别的访问控制。可以针对不同的监听设置访问白名单和黑名单。
白名单
仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求。
白名单适用于应用只允许特定IP访问的场景。
黑名单
来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发,黑名单适用于应用只限制某些特定IP访问额场景。
4.3. SLB的配置
如何选购负载均衡SLB
规划实例地域
建议选择离客户最近的地域
建议选择提供主备可用区的地域
建议选择与后端ECS实例相同的地域
选择实例的网络类型
根据需要选择公网或私网负载均衡
根据需要选择合适的计费方式
选择实例规格
根据并发连接数和系统吞吐量来选择负载均衡实例规格
选择协议类型
根据四层或者七层监听的
要求选择相应的监听协议
准备后端服务器
确保ECS实例的地域和负载均衡实例的地域相同
配置负载均衡SLB监听
在开通页面上根据实际需求配置实例类型、带宽峰值、地域、购买数量,点击“立即购买”,完成负载均衡开通。
负载均衡提供四层(TCP/UDP协议)和七层(HTTP/HTTPS协议)监听,用户可根据应用场景选择监听协议。
为负载均衡SLB添加后端服务器
在使用负载均衡服务前,用户需要添加ECS实例作为负载均衡实例的后端服务器,用来接收负载均衡监听转发的请求。
SLB实时监控数据
负载均衡SLB的计费
负载均衡提供两种付费模式
按量付费
按流量计费
按带宽计费模式
网络类型 计费类型 实例类型 计费项 实例费 流量费 带宽费 规格费 公网 按流量 性能共享型 ✔ ✔ — — 性能保障型 ✔ ✔ — ✔ 按带宽 性能共享型 ✔ — ✔ — 性能保障型 ✔ — ✔ ✔ 私网 性能共享型 — — — — 性能保障型 — — — ✔ 预付费
负载均衡相关问题
为什么请求不均衡?
ECS实例太少,负载不大
ECS实例性能不一致
负载均衡是否可以自定义端口?
可以,1-65535
负载均衡服务本身解决了后端ECS服务的灾备问题,但如何避免负载均衡服务本身故障导致的单点问题?关于负载均衡的灾备,有什么好的建议?
SLB避免多点故障
买多个SLB实例,DNS轮询方式请求
负载均衡相关限制
基础限制:
SLD实例限制
证书限制
访问控制策略组限制
带宽限制
SLB实例限制 一个账号可创建的SLB实例数量 60 一个ECS实例可关联SLB的次数 50 一个SLB实例可添加的后端服务器数量 200 一个SLB实例可添加的监听数量 50 一个HTTP/HTTPS监听可添加的域名和URL转发规则数量 40 一个HTTPS监听可创建的扩展域名数量 3 一个AccessKey的API访问频率限制 5000次/天 SLB实例监听可选择的前端/后端端口范围(公共云) 1-65535
4.4. AS的概念
弹性伸缩(Auto Scaling)概念
使用弹性伸缩(Auto Scaling)可以根据业务需求和策略设置伸缩规则,在业务需求增长时自动为您增加ECS实例以保证计算能力,在业务需求下降时自动减少ECS实例以节约成本。
弹性伸缩效果示例:
需要提前设置触发弹性伸缩的条件。监控项为伸缩组内ECS实例的vCPU使用率平均值,并假设触发弹性扩张的阈值为80%,触发弹性收缩的阈值为30%。
弹性伸缩(Auto Scaling)场景
弹性伸缩(Auto Scaling)场景主要分为:弹性扩张、弹性收缩和弹性自愈。
弹性扩张:当业务升级时,弹性伸缩自动完成底层资源升级,避免访问延时和资源超负荷运行。
弹性收缩:当业务需求下降时,弹性伸缩自动完成底层资源释放,避免资源浪费。
弹性自愈:弹性伸缩提供健康检查功能,自动监控伸缩组内的ECS实例的健康状态,避免伸缩组内健康ECS实例低于设置的最小值。
弹性伸缩(Auto Scaling)模式
模式 说明 定时模式 自定义自动伸缩发生的时间和频率,如每天13:00增加ECS实例。 动态模式 基于云监控性能指标(如CPU利用率),自动增加或减少ECS实例。 固定数量模式 通过设置 最小实例数(MinSize),即健康运行的ECS实例最小数量,以保证可用性。 自定义模式 通过API调用自有监控系统,可以执行手工伸缩。 1. 手工执行伸缩规则。 2. 手工添加或移出既有的ECS实例。 3. 自定义MinSize、MaxSize,将当前ECS实例数维持在 MinSize 与 MaxSIze之间。 健康模式 如ECS实例为非Running状态,弹性伸缩将自动移出或释放不健康的ECS实例。 多模式并存 以上所有模式都可以组合配置。
弹性伸缩(Auto Scaling)的组件
名词 说明 伸缩组 伸缩组是具有相同应用场景的ECS实例的集合。伸缩组定义了组内ECS实例数的最大值、最小值及其相关联的负载均衡实例和RDS实例等属性。 伸缩配置 定义了用于弹性伸缩的ECS实例的配置信息。 伸缩规则 定义了具体的扩展或收缩操作,例如加入或移出N个ECS实例。 伸缩活动 伸缩规则成功触发后,就会产生一条伸缩活动。伸缩活动主要用来描述伸缩组内ECS实例的变化情况。 伸缩触发任务 用于触发伸缩规则的任务,如定时任务、云监控的报警任务。 冷却时间 在同一伸缩组内,一个伸缩活动执行完成后的一段锁定时间。在这段锁定时间内,该伸缩组不执行其他的伸缩活动。 伸缩组包含伸缩配置、伸缩规则、伸缩活动。
伸缩配置、伸缩规则、伸缩活动依赖伸缩组的生命周期管理,删除伸缩组的同时会删除与伸缩组相关联的伸缩配置、伸缩规则和伸缩活动。
伸缩触发任务有定时任务、云监控报警任务等类型。
定时任务独立于伸缩组存在,不依赖伸缩组的生命周期管理,删除伸缩组不会删除定时任务。
云监控报警任务独立于伸缩组存在,不依赖伸缩组的生命周期管理,删除伸缩组不会删除报警任务。
生命周期挂钩
生命周期挂钩,在伸缩组进行伸缩活动时,正在加入或正在移出伸缩组的实例将被挂钩挂起并置于等待状态。生命周期挂钩仅在自动创建或移出ECS实例时生效,手动添加或移出ECS实例时不受其影响。
在实例保持等待状态的时间内,当前伸缩组将具有以下特性:
伸缩组不再运行其他的伸缩活动。
保留指定时长的操作时间(即挂钩的超时时间),可以再挂起期间执行自定义操作,例如,初始化ECS实例配置或者获取ECS实例数据。
可以删除生命周期挂钩来恢复执行伸缩活动。
可以调用相关API来 结束生命周期活动 或 删除生命周期挂钩
弹性伸缩(Auto Scaling)的优势
随需应变: 根据需求“恰到好处”地分配资源
自动化:无需人工干预,自动创建和释放ECS实例
智能:智能调度云计算资源
伸缩模式丰富:多模式兼容,可同时配置多种模式
4.5. AS的配置
弹性伸缩(Auto Scaling)的配置步骤
创建伸缩组 => 创建伸缩配置 => 启用伸缩组 => 创建伸缩规则 => 创建定时任务 => 创建报警任务
弹性伸缩的报警任务
弹性伸缩(Auto Scaling)报警任务是弹性伸缩与云监控服务(CMS)深度合作,提供的一种动态管理伸缩组的方式,类似于弹性伸缩定时任务,弹性伸缩报警任务通过触发您指定的伸缩规则来执行伸缩活动,达到调整伸缩组内实例个数的目的。
定时任务:
在指定的时间执行指定的伸缩规则,当业务场景在时间上可预料时,能够提前做出响应,但是,在面对突发或者时间上不可预料的业务场景时,定时任务就显得捉襟见肘。
报警任务:
报警任务通过监控特定的监控指标,对数据指标进行实时的统计,当统计值满足您指定的报警条件时,触发报警,执行指定的伸缩规则。
报警任务的创建流程
创建系统监控报警任务和自定义监控项报警任务。
登录弹性伸缩控制台 => 单击自动触发 任务管理 > 报警任务 => 单击创建报警任务 => 配置各项信息 => 完成
弹性伸缩(Auto Scaling)的计费
可以免费开通弹性伸缩服务。但是,如果弹性伸缩服务根据伸缩配置自动创建了ECS实例,或者手动添加了已有ECS实例,就需要为ECS实例支付费用。有关ECS实例的产品定价,请参考 计费概述。
自动创建的ECS付费方式:
按量付费
按量付费是一种先使用后付费方式。使用这种方式,您可以按需取用资源,随时开启和释放资源,无需提前购买大量资源。
抢占式实例
需要指定出价模式,当指定的实例规格当前市场价格低于出价时,就能成功创建抢占式实例,并按当前市场价格计费。抢占式实例创建成功后,操作与按量付费实例相同。
弹性伸缩的使用限制
弹性伸缩具有以下限制:
伸缩组内部署在ECS实例的应用必须无状态并且可横向扩展。
伸缩组内的ECS实例可能会被自动释放,不适合保存应用状态信息和相关数据等信息。
弹性伸缩无法自动将ECS实例添加到开放缓存Memcache实例访问白名单,需要自动添加。
弹性伸缩无法纵向扩展。
能创建的伸缩组、伸缩配置、伸缩规则等有一定限制。
5. 对象存储OSS
5.1. 对象存储的概念
阿里云存储产品
存储分类
块存储:阿里云为云服务器ECS提供的块设备,具有高性能和低时延的特点,支持随机读写,可以作为系统盘或者数据盘直接挂载到ECS实例上。
文件存储NAS:适合存储非结构化的海量数据。需要通过标准的文件访问协议访问这些数据。Linux系统需要使用NFS协议,Windows系统需要使用SMB,又称为CIFS协议。
对象存储OSS:一个海量的存储空间,适合存储互联网上产生的图片、短视频、音频等海量非结构化数据。您以通过API在任何时间、任何地点访问对象存储里的数据。
对象的概念
对象是OSS存储数据的基本单元,也被称为OSS的文件。对象由元信息(Object Meta)、用户数据(Data)和文件名(Key)组成。对象由存储空间内部唯一的Key来标识。对象元信息是一组键值对,表示了对象的一些属性,比如最后修改时间、大小等信息,同时也可以在元信息中存储一些自定义的信息。
对象存储OSS的概念
阿里云对象存储OSS:
阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云提供的海量、安全、低成本、高可靠的云存储服务。其数据设计持久性不低于99.9999999999%(12个9),服务设计可用性(或业务连续性)不低于99.995%。
OSS具有与平台无关的RESTful API接口,可以在任何应用、任何时间、任何地点存储和访问任意类型的数据。
可以使用阿里云提供的API、SDK接口或者OSS迁移工具轻松地将海量数据移入或移出阿里云OSS。数据存储到阿里云OSS以后,可以选择标准存储(Standard)作为移动应用、大型网站、图片分享或热点音视频的主要存储方式,也可以选择成本更低、存储期限更长的低频访问存储(Infrequent Access)和归档存储(Archive)作为不经常访问数据的存储方式。
对象存储OSS的优势
方便、快捷的使用方式
提供标准的RESTful API接口、丰富的SDK包、客户端工具、控制台。
不限文件数量和大小。可以根据所需存储量无线扩展存储空间。
支持流式写入和读出。特别适合视频等大文件的边写边读业务场景。
支持数据生命周期管理。
强大、灵活的安全机制
灵活的鉴权,授权机制
提供用户级别资源隔离机制和多集群同步机制
数据冗余机制
OSS 采用数据冗余存储机制,确保硬件失效时的数据可靠性和可用性。
OSS Object操作具有强一致性。
OSS 会通过计算网络流量包的校验和保证数据完整传输。
OSS 的冗余存储机制,可支持两个存储设施并发损坏时,保持数据不丢失。
丰富、强大的增值服务
图片处理。
音视频转码。
内容加速分发。
存储空间(Bucket)
存储空间是用户用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间。存储空间具有各种配置属性,包括地域、访问权限、存储类型等。用户可以根据实际需求,创建不同类型的存储空间来存储不同的数据。
同一个存储空间的内部是扁平的,没有文件系统的目录等概念,所有的对象都直接隶属于其对应的存储空间。
每个用户可以拥有多个存储空间。
存储空间的名称在OSS范围内必须是全局唯一的,一旦创建之后无法修改名称。
存储空间内部的对象数目没有限制。
存储空间的命名规范如下:
只能包括小写字母、数字和短横线(-)。
必须以小写字母或者数字开头和结尾。
长度必须在3-63字节之间。
对象/文件(Object)
对象是OSS存储数据的基本单元,也被称为OSS的文件。对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成。
对象的生命周期是从上传成功到被删除为止。在整个生命周期内,只有通过追加上传的Object可以继续通过追加上传写入数据,其他上传方式上传的Object内容无法编辑,可以通过重复上传同名的对象来覆盖之前的对象。
对象的命名规则如下:
使用UTF-8编码。
长度必须在1-1023字节之间。
不能以正斜线(/)或者反斜线(\)开头。
其他概念
概念 说明 Region(地域) OSS的数据中心所在物理位置。用户可以根据费用、请求来源等选择合适的地域创建Bucket。一般来说,距离用户更近的Region访问速度更快。Region是在创建Bucket的时候指定的,一旦指定之后就不允许更改。该Bucket下所有的Object都存储在对应的数据中心,目前不支持Object级别的Region设置。 Endpoint(访问域名) OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务,当访问不同的Region的时候,需要不同的域名。通过内网和外网访问同一个Region所需要的Endpoint也是不同的。 AccessKey(访问秘钥) AccessKey(简称AK)指的是访问身份验证中用到的AccessKeyId和AccessKeySecret。 强一致性 Object操作在OSS上具有原子性,操作要么成功要么失败,不会存在有中间状态的Object。 数据冗余机制 OSS采用数据冗余存储机制,将每个对象的不同冗余存储在同一个区域内多个设施的多个设备上,确保硬件失效时的数据可靠性和可用性。
OSS对比文件系统
阿里云提供块存储和对象存储,应该如何选择?
对比项 OSS 文件系统 数据类型 OSS是一个分布式的对象存储服务,提供的是一个Key-Value对形式的对象存储服务 文件系统是一种典型的树状索引结构。 数据获取 根据Object的名称(Key)唯一的获取该Object的内容。 访问过程需要先访问到目录,然后再在该目录下查找文件。 优势 支持海量的用户并发访问。 支持文件的修改。 劣势 OSS保存的Object不支持修改。用户哪怕是仅仅需要修改一个字节也需要重新上传整个Object。 受限于单个设备的性能。访问越深的目录消耗的资源也越大,操作拥有很多文件的目录也会非常慢。 将OSS映射为文件系统是非常低效的,也是不建议的做法。如果一定要挂载成文件系统的话,建议尽量只做写新文件,删除文件,读取文件这几种操作。使用OSS应该充分发挥其优点,即海量数据处理能力,优先用来存储海量的非结构化数据,比如图片、视频、文档等。
对象存储OSS VS 自建服务器存储
对比项 对象存储OSS 自建服务器存储 可靠性 服务设计可用性不低于99.995%。规模自动扩展,不影响对外服务。数据设计持久性不低于99.9999999999%(12个9)。数据自动多重冗余备份。 受限于硬件可靠性,易出问题,一旦出现磁盘坏道,容易出现不可逆转的数据丢失。人工数据恢复困难、耗时、耗力。 安全 提供企业级多层次安全防护。多用户资源隔离机制,支持异地容灾机制。提供多种鉴权和授权机制及白名单、防盗链、主子账号功能。 需要另外购买清洗和黑洞设备。需要单独实现安全机制。 成本 多线BGP骨干网络;无带宽限制;上行流量免费。无需运维人员与托管费用,0成本运维。 存储受硬盘容量限制,需人工扩容。单线或双线接入速度慢,有带宽限制,峰值时期需人工扩容。需专人运维,成本高。 数据处理能力 提供图片处理、音视频转码、内容加速分发、鉴黄服务、归档服务等多种数据增值服务,并不断丰富中。 需要额外采购,单独部署。
对象存储OSS的存储类型
对象存储OSS提供标准、低频访问、归档三种存储类型,全面覆盖从热到冷的各种数据存储场景。
标准存储类型(Standard)
OSS标准存储类型提供高可靠、高可用、高性能的对象存储服务,能够支持频繁的数据访问。
各种社交、分享类的图片、音视频应用、大型网站、大数据分析的合适选择。
低频访问存储类型(Infrequent Access)
OSS低频访问存储类型适合长期保存不经常访问的数据(平均每月访问频率1到2次)。
适合各类移动应用、智能设备、企业数据的长期备份,支持实时数据访问。
归档数据类型(Archive)
OSS归档存储类型的三种存储类型中单价最低。
适合需要长期保存的档案数据、医疗影像、科学资料、影视素材。
存储类型对比
对比指标 标准存储类型 低频访问存储类型 归档存储类型 支持的冗余类型 本地冗余和同城冗余 本地冗余和同城冗余 数据可靠性 99.9999999999%(12个9) 99.9999999999%(12个9) 99.999999999%(11个9) 服务设计的可用性 99.995% 99.995% 99.99%(数据解冻之后) 对象最小计量大小 按照对象实际大小计算 64KB 64KB 最少存储时间 无最短存储时间要求 30天 60天 数据取回费用 不收取数据取回费用 按实际获取的数据量收取,单位GB 按实际解冻的数据量收取,单位GB 数据访问特点 实时访问ms延迟 实时访问ms延迟 数据需要先解冻,解冻完成后才能读取,解冻时间需要1分钟 图片处理 支持 支持 支持,但需要先解冻
5.2. 对象存储的应用
对象存储OSS的管理流程
使用阿里云管理控制台来完成OSS基本操作的流程如下:
开通OSS服务 => 创建存储空间 => 上传文件 => 下载文件 => 删除文件 => 删除存储空间
创建存储空间
开通阿里云OSS服务后,需要首先创建存储空间(Bucket)来存储文件。
存储空间的读写权限
私有(private)
只有该存储空间的拥有者可以对该存储空间内的文件进行读写操作,其他人无法访问该存储空间内的文件。
公共读(public-read)
只有该存储空间的拥有者可以对该存储空间内的文件进行写操作,任何人(包括匿名访问者)可以对该存储空间中的文件进行读操作。
警告 互联网上任何用户都可以对该Bucket内文件进行访问,这有可能造成数据的外泄以及费用激增,请谨慎操作
公共读写(public-read-write)
任何人(包括匿名访问者)都可以对该存储空间内文件进行读写操作。
警告 互联网上任何用户都可以对该Bucket内的文件进行访问,并且向该Bucket写入数据。这有可能造成数据的外泄以及费用激增,若被人恶意写入违法信息还可能会侵害合法权益。除特殊场景外,不建议配置。
上传文件
创建了存储空间才可以上传文件。
参数 说明 上传到 设置文件上传到OSS后的存储路径。当前目录:将文件上传到当前目录。指定目录:将文件上传到指定目录,需要输入目录名称。 文件ACL 选择文件的读写权限,默认为继承Bucket。继承Bucket:文件的读写权限按Bucket的读写权限为准。私有:对文件的所有访问操作需要身份验证。公共读:可以对文件进行匿名读,对文件写操作需要进行身份验证。公共读写:所有人都可以对文件进行读写操作。 上传文件 将需要上传的一个或多个文件拖拽到此区域,或单击直接上传,选择一个或多个要上传的文件。
Bucket Policy授权其他用户访问OSS资源
Bucket Policy支持在控制台直接进行图形化配置操作,并且Bucket拥有者直接可以进行访问授权,通常用来将私有文件共享给指定的用户或群体
登录OSS管理控制台 => 在存储空间列表中,单击存储空间 => 存储空间的概览页面,单击文件管理 => 在授权页面,单击新增授权 => 在新增授权页面,设置项目 => 点击确定
可授权的用户:
当前账号:可以从下拉菜单中选择当前账号的子账号,授予Bucket访问权限。账号必须是主账号,或拥有此Bucket管理权限及RAM控制台ListUsers权限额度子账号。
其他账号:当需要给其他账号授予Bucket访问权限,或账号无ListUsers权限时,请直接输入被授权账号的UID。
匿名账号(*):若需要给所有用户授权,可以选择匿名账号(*)。
控制台下载Object
在该存储空间概览页面中,单击文件管理页签,然后通过以下任一方式下载文件:
要下载一个或多个文件,选中一个或多个文件,选择批量操作 > 下载
要下载单个文件,单击目标文件的文件名或其右侧的详情,在打开的详情页面中单击下载。
要下载单个文件,还可以选择目标文件右侧的更多 > 下载。
要在浏览器里通过打开URL的方式直接下载文件,单击目标文件的文件名或其右侧的详情,在打开的详情页面中单击打开URL。
获取文件的URL
其他访问者进行下载需要获取文件URL,单击目标文件的文件名或其右侧的详情,在打开的详情页面中单击复制URL。
删除OSS文件
可以通过OSS控制台删除单个文件或批量删除文件。通过控制台批量删除文件个数上限为1000.如果想更灵活的选择删除的文件,或实现更大批量的删除,请参见开发指南中的删除文件。
登录OSS管理控制台 => 在左侧存储空间列表中,单击目标存储空间名称。=> 在该存储空间概述页面中,单击文件管理页签。=> 选择一个或多个文件,选择批量操作 > 删除 => 也选择目标文件右侧的更多 > 删除 来删除单个文件。=> 在删除文件对话框中,单击缺点。
防盗链
对象存储OSS是按使用量收费的服务,为了减少存储于OSS的数据被其他人盗链而产生额外费用,OSS支持设置基于HTTP和HTTPS header中表头字段Referer的防盗链方法。可以通过控制台为存储空间设置Referer字段的白名单和是否允许Referer字段为空的请求访问。
设置防盗链功能,包括以下参数:
Referer白名单。仅允许指定的域名访问OSS资源。
是否允许空Referer。如果不允许空Referer,则只有HTTP或HTTPS header中包含Referer字段的请求才能访问OSS资源。
生命周期规则
为方便批量管理存储空间(Bucket)内的资源,OSS提供了生命周期规则。可以通过生命周期规则来批量转换Bucket内对象(Object)的存储类型,也可以批量删除指定的Object和碎片(Part)。
参数 说明 状态 指定本条规则的状态,分别表示启用和停用该规则。 策略 选择匹配策略的Object,可以选择按前缀匹配(按照Object名称前缀匹配),也可以选择配置到整个Bucket(直接匹配到整个存储空间)。 前缀 如果策略选择了按前缀匹配,则需要输入Object名称的前缀。 标签 勾选后配置正确的标签,可以让规则针对拥有指定标签Object生效。 文件过期策略 设置对过期Object执行的操作。可选择过期天数、过期日期和不启用。 碎片过期策略 设置对过期碎片执行的操作。可选择过期天数、过期日期和不启用。
OSS之间的数据迁移
可以使用阿里云在线迁移服务在阿里云对象存储OSS之间进行跨账号、跨地域、以及同地域内的数据迁移。
OSS之间数据迁移包含以下场景:
同地域数据迁移,即同地域Bucket之间的数据迁移。
跨地域数据迁移,即不同地域Bucket之间数据迁移。
跨账号数据迁移,即不同阿里云账号之间Bucket数据迁移
使用在线迁移服务,只需在控制台填写源数据地址和目标OSS地址信息,并创建迁移任务即可。启动迁移后,可以通过控制台管理迁移任务,查看迁移进度、流量等信息;也可以生成迁移报告,查看迁移文件列表、错误文件列表。
数据库备份到OSS
通过数据库备份DBS将本地IDC、公网、第三方云数据库、阿里云RDS和阿里云ECS自建数据库实时备份到OSS上。
5.3. 对象存储的计费和规则
对象存储OSS的计费方式
OSS的计费方式分为按量付费和包年包月两种。
按量付费
按实际使用量*单价的方式计费,每小时统计前一小时的实际用量并从账户余额中扣除实际消费金额。例如,当前时间是9:30,结算的是8:00-9:00产生的费用。
包年包月
预先购买指定资源包,之后使用资源时,扣除相应的额度。一般情况下,包年包月比按量付费更加优惠。资源包目前仅提供标准型存储包、低频型存储包、下行流量包、回源流量包。
对象存储OSS的费用构成
OSS费用组成
存储费用(按量付费/包年包月)
存储时间小于60天,按60天计算;大于60天,按实际天数计算
存储单个文件小于64KB,按64KB计算;大于或等于64KB,按实际大小计算
存储时间小于30天,按30天计算;大于30天,按实际天数计算
存储单个文件小于64KB,按64KB计算;大于或等于64KB,按实际大小计算
标准存储:按数据的实际存储量和存储时间计算
低频存储:
归档存储:
流量费用(按量付费/包年包月)
外网流出流量:通过互联网从OSS下载到本地所产生的的流量
CDN回源流量:通过CDN服务层下载OSS数据所产生的回源流量
跨地域复制流量(只支持按量付费):将源Bucket数据同步复制到目标Bucket时所产生的流出流量
请求费用(按量付费)
请求次数:按小时调用OSS API的请求次数计算
数据处理费用(按量付费)
访问低频存储类型的数据时,会产生额外的访问费用
访问归档存储类型的数据时,需对数据进行解冻,按解冻数量大小计算数据解冻费用。
图片处理:安备处理的原图片的实际大小计算
视频截帧:按截取数量计算
Select扫描:按扫描的数据量大小计算
数据取回:
对象存储OSS的使用限制
限制项 说明 归档存储 已经存储的数据从冷冻状态恢复到可读取状态需要1分钟的等待时间。 存储空间(bucket) 同一阿里云账号在同一地域内创建的存储空间总数不能超过30个,存储空间一旦创建成功,其名称、所在地域、存储类型不能修改,单个存储空间的容量不限制。 上传/下载文件 通过控制台上传、简单上传、表单上传、追加上传的文件大小不能超过5GB,要上传大小超过5GB的文件必须使用断点续传方式。断点续传方式上传的文件大小不能超过48.8TB,同一账号在同一地域内的上传或下载的带宽缺省阈值为:中国大陆地域10Gbit/s、其他地域5Gbit/s。OSS支持上传同名文件,但会覆盖益友文件。 删除文件 文件删除后无法恢复,控制台批量删除文件的上限为1000个,更大批量的删除必须通过API或SDK实现。 域名绑定 账号必须在阿里云官网完成实名认证。中国大陆地域绑定的域名必须在工信部备案,其他地域的域名绑定不需要在工信部备案。每个存储空间最多可以绑定100个域名。 生命周期 每个存储空间的生命周期配置最多可容纳1000条规则。 图片处理 对于原图:图片格式只能是:jpg、png、bmp、git、webp、tiff。文件大小不能超过20MB。使用图片旋转时图片的宽或者高不能超过4096。原图单边大小不能超过30,000。对于缩略后的图:宽和高的乘积不能超过4096x4096。单边长度不能超过4096。 资源包 地域资源包只支持归属地域使用;全国通用(中国大陆)资源包仅支持在中国大陆使用。不支持更换地域。存储包和外网流出流量包不支持叠加购买,无法在同地域同时段购买两个相同存储包或外网流出流量包,但可以对已购存储包和外网流出流量包进行升级。CDN回源流量包支持叠加购买,但不支持升级和续费。请求费用、数据处理费和跨区域复制流量费用暂时不支持包年包月付费。
6. 云数据库RDS
6.1. 云数据库RDS的概念
传统数据库搭建过程
传统数据库搭建过程一般如下:
购买硬件 => 安装操作系统 => 安装数据库软件 => 配置数据库 => 安全性配置、性能配置、高可用配置、备份容灾配置...
阿里云RDS
阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务。基于阿里云分布式文件系统和SSD盘高性能存储,RDS支持MySQL、SQLServer、PostgreSQL、PPAS(Postgre Plus Advanced Server,高度兼容Oracle数据库)和MariaDB TX引擎,并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。
云数据库对比自建数据库
对比项 云数据库RDS 自购服务器搭建数据库服务 服务可用性 高可用架构提供高可用性 需自行保障,自行搭建主备复制,自建RAID等。 数据可靠性 自动主备复制、数据备份、日志备份等。 需自行保障,自行搭建主备复制,自建RAID等。 系统安全性 防DDoS攻击,流量清洗;及时修复各种数据库安全漏洞。 自行部署,价格高昂;自行修复数据库安全漏洞。 数据库备份 自动备份。 自行实现,但需要寻找备份存放空间以及定期验证备份是否可恢复。 软硬件投入 无软硬件投入,按需付费 数据库服务器成本相对较高,对比SQL Server还需支付许可证费用。 系统托管 无托管费用。 每台2U服务器每年超过5000元(如果需要主备,两台服务器需超过10000元/年) 维护成本 无需运维。 需招聘专职DBA来维护,花费大量人力成本。 部署扩容 即时开通,快速部署,弹性扩容。 需硬件采购、机房托管、机器部署等工作,周期较长。 资源利用率 按实际结算,100%利用率。 由于业务有高峰期和低峰期,资源利用率很低。
云数据库RDS相关概念
概念 说明 实例 实例是虚拟化的数据库服务器。可以再一个实例中创建和管理多个数据库。 地域 一般情况下,RDS实例应该和ECS实例位于同一区域,以实现最高的访问性能。 可用区 指在某个地域内拥有独立电力和网络的物理区域。同一地域的不同可用区之间没有实质性区别。 数据库引擎 RDS支持多种数据库引擎,如MySQL、SQL Server、PostgreSQL、PPAS(Postgre Plus Advanced Server,高度兼容Oracle数据库)和MariaDB。关于各个引擎的介绍。 网络类型 可以选择将实例创建在经典网络或专有网络VPC(Virtual Private Cloud)中。VPC是阿里云上一种隔离的网络环境,安全性比传统的经典网络更高。 产品系列 分为基础版、高可用版、集群版和金融版。 规格族 分为通用型、独享型、独占物理机型。 存储类型 分为SSD本地盘、SSD云盘和ESSD云盘。
阿里云RDS实例版本
阿里云上的MySQL提供四种版本的实例:基础版、高可用版、集群版和三节点企业版(原金融版)。
基础版:主库
高可用版(机房容灾):主库 =数据库复制=> 备库
集群版:主实例 =同步复制=> 备实例 =异步复制=> 只读实例1,2..最多7
三节点企业版(机房容灾):主库 =数据库复制=> 备库1,备库2
系列 说明 使用场景 基础版 单节点实例,采用计算与存储分离的架构,可实现超高的性价比 个人学习微型网站中小企业的开发测试环境 高可用版 采用一主一备的经典高可用架构,适合80%以上的用户场景。 大中型企业的生产数据库互联网、物联网、零售电商、物流、游戏等行业的数据库 集群版 适用于SQL Server 2017企业版,基于AlwaysOn技术实现,最大支持一主一备高可用架构和七个只读实例,支持横向扩展集群读能力 大中型企业的生产数据库,如互联网新零售行业、汽车制造行业、企业大型ERP系统等。 三节点企业版(原金融版) 采用一主两备的三节点架构,通过多副本同步复制,确保数据的强一致性,提供金融级的可靠性。 对数据安全性要求非常高的金融、证券、保险行业的核心数据库各行业大型企业的核心生产数据库
云数据库RDS的规格族
云数据库RDS提供两种实例规格族: 通用型和独享型。
规格族 描述 适用场景 通用型 独享被分配的内存,与同一物理机上的其他通用型实例共享CPU和存储资源。通过资源复用换取利用率最大化,性价比较高,享受规模红利。存储大小不和CPU/内存绑定,可以灵活选配。 对价格敏感的客户。对性能稳定性要求较低的应用场景。 独享型 具有完全独享的CPU和内存,性能长期稳定,不会因为物理机上其他实例的行为而受到影响。 以数据库为核心系统的业务场景,例如金融、电商、政务、大中型互联网业务等。
云数据库RDS存储类型
为满足不同场景的需求,云数据库RDS提供三种数据存储类型:本地SSD盘、SSD云盘和ESSD云盘。
本地SSD盘(推荐)(实例释放或过期应该会被释放)
本地SSD盘是指与数据库引擎位于同一节点的SSD盘。将数据存储于本地SSD盘,可以降低I/O延时。
SSD云盘
SSD云盘是指基于分布式存储架构的弹性块存储设备。将数据存储于SSD云盘,即实现了计算与存储分离。
ESSD云盘
增强型(Enhanced)SSD云盘,是阿里云全新推出的超高性能云盘产品。ESSD云盘基于新一代分布式块存储架构,结合25GE网络和RDMA技术,提供单盘高达100万的随机读写能力和更低的单路时延能力。
云数据库RDS备灾实例
RDS通过数据传输服务(DTS)实现主实例和异地灾备实例之间的实时同步。主实例和灾备实例均搭建主备高可用架构,当主实例所在区域发生突发性自然灾害等状况,主节点(Master)和备节点(Slave)均无法连接时,可将异地灾备实例切换为主实例,在应用端修改数据库链接地址后,即可快速恢复应用的业务访问。
灾备实例可通过DTS管理控制台实现同步对象变更、同步速度设置、延迟报警等同步链路原生功能。
只读实例
在对数据库有少量写请求,但有大量读请求的应用场景下,单个实例可能无法承受读取压力,甚至对业务产生影响。为了实现读取能力的弹性扩展,分担数据库压力,可以创建一个或多个只读实例,利用只读实例满足大量的数据库读取需求,增加应用的吞吐量。
云数据库RDS产品优势
便宜易用
云数据库RDS便宜易用,具有灵活计费、按需变配、即开即用等优点。
高性能
RDS的所有参数都经过多年的生产实践和优化。在RDS实例的生命周期内,DBA持续对其进行优化。
高安全性
云数据库RDS有大量安全手段提高数据库的安全性。
灾备设计
RDS默认提供备份功能,支持自动备份和手动备份。同时支持本地和异地容灾
云数据库RDS优势 -- 灵活计费
按需变配
在业务初期,可以购买小规格的RDS实例来应对业务压力。随着业务高低峰变化,可以随时调整实例规格。
即开即用
无需购置数据库服务器硬件或软件,节省大量成本。
开始使用RDS,只需通过阿里云控制台或者API创建指定规格的RDS实例。
透明兼容
RDS与原生数据库引擎的使用方法一致,无需二次学习,上手即用。
RDS兼容现有的程序和工具。使用通用的数据导入导出工具即可将数据迁移至RDS。
管理便捷
阿里云负责RDS的日常维护和管理,包括但不限于软硬件故障处理、数据库不定更新等工作,保障RDS的正常运转。
也可以通过阿里云控制台或者API自行完成数据库的增加、删除、重启、备份、恢复等管理操作。
云数据库RDS优势 -- 高性能
参数优化
阿里云聚集国内顶尖的数据库专家,RDS的所有参数都经过多年的生产实践和优化。在RDS实例的生命周期内,DBA持续对其进行优化,确保RDS实例一直基于最佳配置运行。
SQL优化建议
针对应用场景特点,RDS会锁定效率低下的SQL语句并提出优化建议,以便优化业务代码。
高端设备投入
RDS使用的所有服务器硬件都经过多方评测,保证在性能和稳定性上都遥遥领先。
高速访问
RDS可以配合同一地域的云服务器ECS一起使用,通过内网通信,缩短应用响应时间,同时也节省了公网流量费用。
云数据库RDS优势 -- 备灾设计
数据备份与恢复
RDS默认提供备份功能,支持自动备份和手动备份。
RDS默认支持按备份集和指定时间点进行数据恢复。
除了默认的备份恢复功能,RDS for MySQL还提供跨地域备份恢复功能。
同城容灾:
系列 说明 基础版 数据备份存储在OSS或分布式云盘上,通过多副本冗余确保数据可靠性。(所有RDS实例均是如此。)只包含一个节点,没有备节点作为热备份,因此当发生故障时,恢复时间较长。适用于对可用性要求不高的场景。 高可用版 采用一主一备的双机热备架构,适用80%以上的用户场景。主节点故障时,主备节点秒级完成切换,整个切换过程对应用透明。单可用区实例:主备节点位于同一个可用区。主备节点位于两台不同的物理服务器上。多可用区实例(也称为同城双机房或者同城容灾实例): 主备节点位于同一地域的不同可用区,提供跨可用区的容灾能力。 集群版 最大支持一主一备高可用架构和七个只读节点,支持横向扩展集群读能力,备节点和所有只读节点都是从主节点同步数据。集群版的高可用能力与高可用版相同,而且只读节点可以创建在和主备节点不同的其他可用区。 三节点企业版 RDS for MySQL 5.6/5.7支持三节点企业版(原金融版)。采用一主两备的三节点架构,通过多副本同步复制,确保数据的强一致性,提供金融级的可靠性。三节点企业版实例的三个节点总是位于同一地域的三个不同的可用区。
云数据库RDS优势 -- 高安全性
防DDoS攻击
当RDS安全体系认为RDS实例正在遭受DDoS攻击时,会优先启动流量清洗功能,如果流量清洗无法抵御攻击或者攻击达到黑洞阈值时,将进行黑洞处理,保证RDS服务的可用性。
检测SQL注入威胁
云安全中心基于第三代SQL注入威胁检测数据智能算法引擎,支持检测RDS的SQL注入威胁,实时识别潜在的数据安全风险。
访问控制策略
可以为每个实例定义IP白名单,只有白名单中的IP地址所属的设备才能访问RDS。
系统安全
RDS处于多层防火墙的保护之下,可以有力地抗击各种恶意攻击,保证数据的安全。
RDS服务器不允许直接登录,只开放特定的数据库服务所需要的端口。
RDS服务器不允许主动向外发起连接,只能接受被动访问。
数据加密
阿里云提供各类加密功能,保障数据安全
专业安全团队
阿里云安全团队负责RDS的安全技术支持。
6.2. 云数据库RDS的使用
阿里云RDS创建流程
通常,从新购实例到可以开始使用实例,需要完成如下操作。
创建实例 => 设置白名单 => 申请外网地址 => 创建数据库 => 创建账号 => 连接并使用数据库
RDS使用入门:数据管理
打开RDS实例 => 登录数据库 => 输入数据库用户名和密码 => 登录
RDS使用入门:只读实例
添加只读实例 => 立即购买
RDS使用入门:手动数据备份
打开RDS实例 => 备份实例 => 选择备份方式:物理备份/逻辑备份 => 确定
RDS使用入门:RDS的数据备份
可以通过设置备份策略调整RDS数据备份和日志备份的周期来实现自动备份
RDS使用入门:数据恢复
备份恢复 => 数据库恢复(原克隆实例)(建议恢复到新的实例,不要覆盖旧的实例)
数据多样化存储
RDS可以搭配云数据库Redis、云数据库Memcache和对象存储OSS等产品使用,实现多样化存储扩展。
云数据库缓存产品有两个特性:
响应速度快。请求的时延通常在几毫秒以内。
缓存区能够支持比RDS更高的QPS(每秒处理请求数)。
开放搜索
开放搜索服务(OpenSearch)是一款结构化数据搜索托管服务,为移动应用开发者和网站站长提供简单、高效、稳定、低成本和可扩展的搜索解决方案。通过OpenSearch自带功能,可将RDS中的数据自动同步至OpenSearch实现各类复杂搜索。
读写分离
阿里云数据库RDS for MySQL/SQL Server可以添加只读实例,分担主实例的读取压力。主实例和只读实例都有独立的连接地址,当开启读写分离功能后,系统会额外提供一个读写分离地址,联动主实例及其下的所有只读实例,实现了自动的读写分离。应用程序只需连接同一个读写分离地址进行数据读取及写入操作,读写分离模块会自动将写入请求发往主实例,而将读取请求按照设置的权重发往各个只读实例。您只需增加只读实例的个数,即可不断扩展系统的处理能力,应用程序无需做任何修改。
大数据分析
开放数据处理服务又称为大数据计算服务(MaxCompute,原名ODPS),可服务于批量结构化数据的存储和计算,提供海量数据仓库解决方案以及针对大数据的分析建模服务。
通过数据集成服务,可将RDS数据导入MaxCompute,实现大规模的数据计算。
MySQL数据库异地备份和查询
数据库异地备份方案基本采用本地备份压缩后上传异地的方式来实现。对于历史备份数据,随着时间间隔的增大,被查询的可能性越来越低,会浪费一定的存储资源。本方案可以帮助实现低成本快速查询备份数据集的需求。
6.3. 数据管理DMS和数据传输DTS
什么是数据管理DMS
数据管理(Data Management Service,简称DMS)是一种集数据管理、结构管理、用户授权、安全审计、数据趋势、数据追踪、BI图表、性能与优化和服务器管理于一体的数据管理服务。
数据管理DMS基础架构
阿里云数据管理提供的数据库管理服务包含三层结构:业务层、调度层、连接层,用于对RDBMS、NoSQL的实时数据访问和后台数据任务的调度
业务层
DMS业务提供数据库实时点击和SQL访问,业务层为无状态节点,可线性扩展,确保为DMS整体服务能力的提升。
宕机无状态切换,确保7 x 24小时服务。
调度层
DMS调度层为提供调度,其后台主要通过线程池进行调度,分为实时调度和后天定时调度两类。
实时调度提供前端点击后立即调度并一次性任务处理,数据管理后台自动完成所有工作。
后台定时调度任务为用于定时获取用户指定的数据,提供查阅和分析。
连接层
连接层为数据管理的访问数据的核心部件,主要包含如下几点:
兼容MySQL、SQLServer、PostgreSQL、PPAS、Redis、MongoDB的请求。
前端操作上会话隔离及保持,即通过数据管理打开多个SQL窗口,接近客户端的体验。
实例会话数量控制,防止对单个实例建立大量的连接数。
按功能分级回收连接策略,尽可能确保不同功能体验的基础上减少对数据库连接数。
数据管理DMS产品优势
DMS的产品优势:
轻松拥有数据分析能力
基于SQL结果集直接绘制图表,灵活的行/列变化追踪,精准的库/表/行数据回滚,直观的业务表读取/插入/删除/更新行数分析。
极大提升研发效率
表结构对比,SQL智能提示,自定义SQL/SQL模板的复用,工作环境自动恢复,字典文档导出。
实时优化数据库性能
实用的会话管理,核心指标的秒级监控,图形化锁管理,SQL索引的实时建议,整体性能的诊断报告。
全面的访问安全保护
4层认证体系,细粒度授权,登录/操作审计。
丰富的数据源支持
关系型数据库:MySQL、SQL Server、PostgreSQL、PPAS、OceanBase、PetaData等,NoSQL:Redis、MongoDB等,OLAP:ADS等,服务器:Linux等。
数据传输服务DTS概念
数据传输服务DTS(Data Transmission Service)支持RDBMS、NoSQL、OLAP等数据源间的数据交互,集数据迁移/订阅/同步于一体,构建安全、可扩展、高可用的数据架构。
数据传输服务DTS的特点:
DTS承诺99.95%的链路稳定性及99.999%的数据可靠性。
数据传输支持同/异构数据源之间的数据交互,提供数据迁移/订阅/同步交互功能。
支持节点的故障容灾,可实现链路的秒级恢复。
支持断点续传,可有效解决因硬件、网络等异常导致的传输中断。
DTS支持RAM主子账号体系,用户可以使用子账号创建并管理DTS实例,提高企业安全性。详情请参见使用子账号访问DTS。
数据传输服务DTS的系统架构
数据传输服务的整个系统架构及基本实现原理:
架构说明:
系统高可用数据传输服务内部每个模块都有主备架构,保证系统高可用。
数据源地址动态适配对于数据订阅及同步链路。
数据传输服务DTS的优势
丰富多样
DTS支持多种同构或异构数据源之间的迁移同步,对于异构数据源之间的迁移,数据传输服务支持结构对象定义的转化。
DTS支持多种传输方式,包括数据迁移、实时数据订阅及数据实时同步。
数据实时同步支持两个数据源之间的单向/双向同步,实时数据仓库等应用场景。
数据迁移功能支持不停服迁移,可实现在数据迁移过程中,应用停机时间降低到分钟级别。
高性能
DTS使用高规格服务器来保证每条迁移或同步链路都能拥有良好的传输性能。
对于数据迁移,DTS底层采用了多种性能优化措施。
相对于传统的数据同步工具,DTS的实时同步功能能够并发粒度缩小到事务级别,能够并发同步同张表的更新数据,从而极大地提升同步性能。
安全可靠
DTS底层为服务集群,控制中心都能够将故障节点上的所有任务秒级切换到其他节点上。
DTS内部对部分传输链路提供7 x 24小时的数据准确性校验,保障传输数据可靠性。
DTS各模块间采用安全传输协议及安全token认证。
简单易用
DTS提供可视化管理页面,提供向导式的链路创建流程。
数据传输DTS控制台 展示了链路的传输状态及进度,传输性能等信息。
DTS提供链路断点续传功能,解决网络或系统异常等导致的链路中断问题。
7. CDN
7.1. CDN的概念
CDN产生背景
1998年,科学家提出使用算法将内容缓存在终端用户附近,使用户不必大费周折的访问这些内容。
网民数据剧增给网络带来巨大的压力,导致网络服务质量和用户体验下降,同时限制了流媒体等新业务的发展。
1998年互联网第一次大发展:CDN出现并发展
2000年互联网泡沫破裂,发展迟缓:CDN发展减缓
2004年互联网复苏,WEB2.0出现
2007年互联网快速发展,移动互联网兴起:CDN快速发展
2012年移动互联网大爆发年:CDN全面介入互联网信息分发
2015年云计算、互联网+再掀起热潮:CDN业务新一轮大发展
CDN解决的问题
最后一公里传输质量
用户于服务器物理距离远,多次网络转发,延时高,且不稳定。
先进的分布式系统架构,国内节点数最多的云CDN:全球1500+
弹性带宽、低成本
资源弹性扩展,按实际使用量付费,接入即可实现跨运营商、跨地域的全网覆盖。
先用后付,提供按流量或峰值带宽两种计费方式,满足不同业务需求。
减少源站压力,节省源站带宽成本
对于网站突发流量,无需用户干预,自动做出响应和调整,有效减少源站压力。
CDN是公认的最具性价比的解决方案。
CDN产品介绍
阿里云内容分发网络(Alibaba Cloud Content Delivery Network,简称CDN)将用户源站资源缓存到阿里云遍布全球的加速节点上。当终端用户请求访问和获取这些资源时,无需回源,系统将就近调用CDN节点上已经缓存的资源。
CDN工作原理
北京用户,请求访问 http://www.a.com
1.请求域名对应IP => LDNS
2.请求域名对应IP => 网站授权DNS
3.返回域名CNAME为www.a.tdcdn.com=> LDNS
4.请求www.a.tdcdn.com的IP => DNS调度系统
5.返回域名IP:2.2.2.2 => LDNS
6.返回域名IP:2.2.2.2 => 北京用户
7.请求域名www.a.com的内容 => 北京边缘节点设备ip= 2.2.2.2
边缘服务器如果没有就回源站
8.返回内容
CDN功能优势
全球1500+节点 120T带宽能力,分布70多个国家和地区,覆盖六大洲
CDN功能优势
稳定:1500+全球节点,120T带宽能力,覆盖六大洲,主流运营商支持。
极速:毫秒级响应,优质高速网络搭配SSD存储更流畅。
易扩展:内容功能丰富,自主控制台丰富API,便捷架构扩展。
性价比:按量付费,透明价格,灵活切换计费方式,享受低成本高质量的内容分发。
7.2. CDN的使用
开通CDN产品
开通CDN服务 => 添加加速域名 => 配置CNAME => CDN生效
步骤1:开通CDN服务,实名认证后可开通CDN服务。
步骤2:添加加速域名,要求域名通过工信部备案的域名,目前CDN提供控制台和OpenAPI接口新增加速域名。
步骤3:变更域名的解析,将解析指向CDN系统生成的“CNAME域名”,即完成域名加速接入。
配置CNAME
获取加速域名的CNAME值
登录CDN控制台,复制加速域名对应的CNAME值。
添加CNAME记录
登录域名解析控制台,添加解析
创建加速域名
填写加速域名
域名必须是通过备案的,否则无法接入
选择业务类型
图片小文件,大文件下载...
添加源站信息
配置源站类型,端口和加速区域
配置回源策略
阿里云CDN可配置多个IP、域名为源站,可设置各个源站优先级为主、次两档。
配置缓存过期时间
该功能可以针对不同目录路径和文件名后缀的资源进行缓存服务器行为的设置,用户可自定义指定资源内容的缓存过期时间规则。
支持用户自定义缓存策略优先级。
Cache的默认缓存策略。
刷新缓存
源站内容更新,需要在更新源站内容后,同时刷新CDN节点的缓存,这样才能保证源站内容与CDN的缓存内容保持一致。
目前CDN控制管理后台的【刷新】页提供两种刷新方式供客户使用
URL刷新:强制将CDN CACHE节点上的某些文件设置为已过期,以达到重新回源更新的目的
目录刷新:强制将CDN CACHE节点上的某个目录的文件均设置为已过期,以达到重新回源更新的目的。
查看实时监控数据
登录CDN控制台,进入域名管理页面,选择需要设置的域名,单击管理。
在数据监控 > 资源监控或实时监控,选择用户想要查看的监控项和指标,点击查询。
使用防盗链功能
防盗链功能基于HTTP协议支持的Referer机制,通过referer跟踪来源,对来源进行识别和判断。
目前防盗链功能支持黑名单或白名单机制,访客对资源发起请求后,请求到达CDN节点,CDN节点会根据用户预防的防盗链黑名单或白名单,对访客的身份进行过滤。
验证CDN服务
要验证CDN服务是否已经生效,主要有以下几种方法:
方法1:通过ping或dig命令所添加的加速域名,如果成功,表示CDN功能已经生效。
方法2:通过dig命令可以查看相应的加速域名访问CDN节点IP和延时丢包等基本信息。
方法3:用户也可以获取对应加速域名的资源的response头查看是否有CDN加速对应的节点信息来判断CDN是否生效。
其他功能介绍
CDN相关功能
日志管理
性能优化
统计分析
图片鉴黄
7.3. CDN的计费和使用规则
CDN的使用场景
提高用户访问的相应速度和成功率,解决因分布、带宽、服务器性能带来的访问问题。
静态加速、直播加速、移动应用加速、全站加速、安全加速、大文件加速
静态加速
设置静态文件路径 => 设置静态文件类型 => 设置静态文件URL
站点或应用中大量静态资源的加速分发。建议将站点内容进行动静分离,静态内容使用阿里云CDN加速。动态内容可以使用 全站加速,静态资源如各类型图片、css、js小文件等,建议结合 对象存储OSS 使用。
直播加速
阿里云CDN直播加速产品可以支持客户不同的直播流输入方式,目前支持推流RTMP/HTTP-FLV,拉流支持RTMP/HTTP-FLV/HLS\HDS。
智能调度系统可以将用户请求定位到最优节点。
直播中心用于处理对直播流的处理,包括转码率、转分辨率、转音视频编码格式、HLS切片等等。
遍布全球的CDN边缘节点用于实时、快速地响应终端用户的请求。
移动应用加速
防劫持、多终端自适应、动静态加速
移动APP更新文件(apk文件)分发,移动APP内图片、页面、短视频、UGC等内容的优化加速分发。
全站加速
电商平台应对在线支付,秒杀等突发流量问题
高性能、弹性带宽、丰富的回源策略
自定义动静内容缓存规则,访问链路优化,传输内容压缩合并,智能选路,链路复用。
安全加速
游戏领域、金融领域、政企安防、电商领域、医疗领域
SCDN(Secure Content Delivery Network),即拥有安全防护能力的CDN服务,提供稳定加速的同时,深度集成抗DDoS、CC攻击的防护功能,基于阿里云飞天平台的计算能力,使用深度学习的算法,智能预判攻击行为,通过智能的调度系统将DDoS恶意请求平滑切换至高防IP完成清洗,保护源站。
大文件下载加速
高性价比稳定高速下载
回源成本、高性能、灵活调度
支持各类文件的下载、分发,支持在线点播加速业务,如mp4、flv视频文件或者平均单个文件大小在20M以上。
计费方式
当用户开通阿里云CDN时,计费方式包括基础服务和增值服务两种:
基础服务计费方式:按流量计费或按峰值带宽计费
增值服务计费方式:开启HTTPS功能或业务类型为“全站加速”的域名,将会额外对静态HTTPS请求数计费。实时日志服务和图片鉴黄功能也单独计费。
计费方式 描述 通用场景 峰值带宽 按照每日的峰值带宽计费。每5分钟统计一个带宽数据,每日得到288个值,取其中的最大值。 流量曲线比较平缓,全天内带宽利用率大于30%。 流量 按照每日从阿里云CDN节点流出的实际流量计费。 流量曲线波动较大,有带宽尖峰,全天内带宽利用率小于30%。 流量包 一次性付费,流量包有效期一年。 仅适用于按流量计费。若当前计费类型为峰值带宽,流量包余量将会冻结,直至切换回流量计费后方可使用。
CDN服务等级协议
本服务等级协议(Service Level Agreement,以下简称“SLA”)规定了阿里云向客户提供的CDN(简称“CDN”)的服务可用性等级指标及赔偿方案。
SLA = 协议定义(服务周期、服务周期总分数+失败请求+有效的总请求...)+服务可用性、服务可用性承诺
服务可用性=(服务周期总分钟数-服务不可用分钟数)/服务周期总分钟数 x 100%
CDN服务可用性不低于99.90%
CDN的使用限制
域名备案
推荐使用阿里云备案完成域名备案。如果选择的加速区域为港澳台及海外(无大陆的节点),则域名无需备案。
内容审查
所有接入CDN的域名都要经过内容呵呵。
域名数量限制
术语 说明 域名 每个阿里云账户下,最多支持加速50个域名。如果您的域名的总带宽日均峰值大于50MB,且业务无风险,则可提交工单申请增加域名个数。 IP源站 每个加速域名的默认IP源站数量限制为10个IP地址。 缓存刷新类操作 URL刷新:2000条/日/每账户。目录刷新:100个/日/每账户。
8. 阿里云安全
8.1. 阿里云安全体系
云计算安全威胁
公共云的应用正在快速增长,但也不可避免地带来一系列新的安全威胁和挑战。而保护云端企业数据的安全,亟需云服务提供商与每一位云客户的共同努力。云计算安全联盟(CSA)发布云计算安全报告,以帮助企业了解云安全问题。云计算的安全威胁主要有:
数据丢失或泄露
如服务商遭遇意外删除、火灾或地震等状况,可能导致客户数据的永久丢失,因此必须采用适当措施以备份数据。确保业务的连续性。
系统和技术漏洞
操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。
账号与身份管理不善
网络犯罪分子伪装成合法用户、运营人员或开发人员以读取、修改和删除数据,获得控制平台和管理功能。
免费背后的欺诈隐患
滥用和恶意使用云服务:安全性差的云端部署,免费的云服务试用,以及通过支付工具欺诈进行的欺诈性账户登录将云计算模式暴露在恶意攻击之下。
API安全存疑,DoS攻击泛滥
云计算提供商提供了一组客户使用的软件用户界面(UI)或API管理和云服务交互。
云上安全体系构建
云上数据安全体系建设的要素:
云原生优势让数据安全体系更强壮 => 减少攻击面 => 正确云产品安全配置 => 统一身份认证授权 => 全方位数据加密及日志审计 => 数据防泄漏
责任分担,共建安全(公有云)
用户负责:上层业务系统(业务数据,应用系统,云服务器ECS,网络策略)
阿里云负责:数据中心基础设施(资源抽象和控制(资源虚拟化层,飞天分布式云操作系统),物理资源(计算、存储、网络),基础设施(地域Region,可用区AZ,阿里ABTN网络))
阿里云云盾
阿里云盾(云安全)致力于成为互联网安全的基础措施。云盾主要包括:
DDoS防护
Web应用防火墙
安骑士
云安全中心
安全管家
内容安全等
8.2. 阿里云云盾
DDoS攻击
分布式拒绝服务(Distributed Denial of Service,简称DDoS)指借助于客户机/服务器模式,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个非法账户将DDoS主控程序安装在一台计算机上,并在网络上的许多计算机上安装了代理程序。在所设定的时间,主控程序将与大量代理程序进行通讯,代理程序收到指令时就发动攻击。利用客户机/服务器模式,主控程序能在几秒钟内激活成百上千次代理程序的运行。
DDoS攻击分类:畸形报文、传输层DDoS攻击、DNS DDoS攻击、连接型DDoS攻击、Web应用层DDoS攻击。
DDoS基础防护
阿里云免费为用户提供最高5G的默认DDoS防护能力。在此基础上,阿里云推出了安全信誉防护联盟,将基于安全信誉分进一步提升DDoS防护能力,用户最高可获得100G以上的免费DDoS防护流量。
DDoS基础防护具备以下特性:
安全信誉防护联盟服务在已有基础DDoS防护上,提供无偿安全信誉防护服务,基于信誉享受增量防护能力。
覆盖常见DDoS防护类型包括但不限于以下攻击类型:ICMP Flood、UDP Flood、TCP Flood、SYN Flood、 ACK Flood。
提升攻击防御阈值根据安全信誉,动态提供防护阈值。
缩短黑洞时长根据安全信誉,缩短极端攻击下黑洞默认时长,业务更快速恢复。
开放信誉组成联盟用户可根据信誉组成建议自行维护信誉,获得更多的防护能力。
DDoS高防IP
云盾DDoS高防IP产品是针对互联网服务器(包括非阿里云主机)在遭受大流量的DDoS攻击后导致服务不可用的情况,推出的付费增值服务。可以通过配置DDoS高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠
购买DDoS高防IP服务后,把域名解析到高防IP,并配置源站IP。
配置DDoS高防IP服务后,当遭受DDoS攻击时,无需额外做流量牵引和回注。
DDoS防护包
DDoS防护包是一款针对云上ECS、SLB、Web应用防火墙、EIP等云产品直接提升防御能力的安全产品。相对于DDoS高防IP来说,DDoS防护包主要的好处是可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。同时,DDoS防护包的购买和部署过程有非常的简单,购买后只需要绑定需要防护的云产品的IP地址即可使用,只需几分钟即可生效。
DDoS防护包具有以下优势:
即可购买,即可生效。最短一分钟内即可完成DDoS防护包的部署,直接把防御能力加载到云产品,免去部署和切换IP的烦恼。
具备弹性防护能力,遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力提供全力防护。
采用阿里云BGP宽带,覆盖电信、联通、移动、教育网、长城宽带等不同的运营商,只需要一个IP,即可实现多个不同运营商的极速访问。
海量清洗带宽,满足活动大促、活动上线、重要业务的安全稳定性保障需求。
支持多个IP共享防护能力,满足多个IP地址都需要提升防御带宽的需求。
DDoS基础防护配置流程
登录云盾DDoS基础防护管理控制台。=> 选择地域。=> 在基础防护>实例页面,选择要操作的实例类型 => 在实例列表中,选择要操作的实例。 => 查看DDoS攻击防护说明。
安骑士
阿里云安骑士是一款经受百万级主机稳定性考验的主机安全加固产品,支持自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键检查、网页防篡改等功能,是构建主机安全防线的统一管理平台。
漏洞扫描引擎 <=> 云端防护中心 <=> 安全能力(入侵检测模型、漏洞情报库、云端沙箱、主流病毒引擎)
轻量级 CPU使用率:不超过10% 内存占用:不超过50M
云端集中管控
安骑士的特点
阿里云安骑士集网络、主机、云产品安全于一体,对云上系统的所有安全进行风险监控。
轻量级、便捷的统一安全管控、精准防御、安全闭环、多引擎实时检测、大数据防御
安骑士控制台
查看当前阿里云账号下的服务器安全状态,包括待处理事件、Agent状态、近期漏洞趋势、及最近入侵事件趋势
阿里云安全管家
阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务,为云上用户建立和持续优化云安全防御体系,保障用户业务安全。
我们在金融、电商、O2O、互联网+、游戏、保险、政府等各行业拥有丰富的最佳安全实践。
安全管家适用的场景:
需要从产品到服务的完整安全解决方案。
缺少熟悉云安全的专业技术人员。
希望通过外包服务降低安全运营成本。
安全管家版本:
应急版:适用于入侵导致业务中断,需紧急修复的场景。
护航版:适用于重大活动期间,针对重点业务的阶段性保驾护航的场景。
企业版:适用于有较高安全要求业务的用户,希望建设全方位的安全防护体系。
安全管家版本区别
服务内容 应急版 护航版 企业版 安全事件管理 15分钟内响应5个自然日内解决15天内保障安全(支持5*8小时服务响应) 紧急安全事件:15分钟内响应非紧急安全事件:1小时内响应(支持7*24小时服务响应) 紧急安全事件:15分钟内响应非紧急安全事件:1小时内响应(支持7*24小时服务响应) 安全检查 事件相关业务的安全检查 重点业务每天巡检 指定云上业务每天巡检 安全策略管理 针对本次事件提供安全策略改进建议 针对重点业务制定安全策略方案并协助策略配置 针对云上所有业务的发展需要制定安全策略方案并协助策略配置 漏洞管理 高危漏洞:15分钟内响应中危漏洞:1小时内响应低危漏洞:4小时内响应(以上均在7*24时间内响应) 高危漏洞:15分钟内响应中危漏洞:1小时内响应低危漏洞:4小时内响应(以上均在7*24时间内响应) 安全架构咨询 1小时内响应 1小时内响应
云安全中心的概念
云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
云安全中心帮助您收集并呈现10余种类型的日志和云上资产指纹,并结合网络实体威胁情报进行安全态势分析,扩大安全可见性。
云安全中心功能详情:
安全事件告警及告警自动关联分析
漏洞扫描
基线配置检查
资产指纹
日志检索和分析
攻击、访问、威胁分析
Access key、账号和密码邪路检测
可视化大屏
云安全中心的优势
云安全中心具有以下优势:
安全事件告警和检索
实时监测安全事件并提供处理建议,对告警事件进行分析和检索,抵御恶意入侵。
漏洞和基线配置检测
自动检测并呈现云上资产的漏洞和风险配置,提供修复建议,帮助巩固系统安全。
安全风险量化和预测
通过机器学习,量化分析威胁,预测潜在的安全风险。
安全可视化界面
提供安全可视化界面,全面并实时地感知安全问题。
原始日志存储和检索
存储180天内的原始日志,并提供近30日内的日志检索,支持自定义查询日志。
全量日志分析
日志服务提供准确实时的云安全中心日志查询与分析功能,提供主机进程自启动、对外网络连接、系统登录、五元组、DNS请求等全量原始日志检索。支持创建报表和告警。
云监控的概念
云监控(CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。
云监控为云上用户提供开箱即用的企业级开放型一站式监控解决方案。涵盖IT设施基础监控,外网网络质量拨测监控,基于事件、自定义指标、日志的业务监控。
云监控的优势
云监控是阿里巴巴集团多年来服务器监控技术研究积累的成果,结合阿里云云计算平台强大的数据分析能力,提供云服务监控,站点监控和自定义监控,为您的产品业务保驾护航。
主要有以下优势:
天然集成
云监控服务无需特意购买和开通,自动开通云监控服务。
数据可视化
云监控通过Dashboard为提供丰富的图表展示形式,并支持全屏展示和数据自动刷新。
监控数据处理
云监控支持您通过Dashboard对监控数据进行时间维度和空间维度的聚合处理。
灵活报警
云监控提供了监控项的报警服务,提高用户产品的可用性。
云监控的基础概念
名词 解释 站点监控 探测URL、IP的可用性,支持创建HTTP、ICMP、TCP、UDP、DNS、POP3、SMTP、FTP 8种协议的探测点,获取探测对象的状态码和响应时间。 云服务监控 为阿里云服务用户提供各个产品的性能指标查看,当前支持ECS、RDS、负载均衡、OSS等主要云产品的监控指标。 自定义监控 用户可根据自身业务,定义监控指标,并通过脚本上报数据。满足用户业务层面的监控需求。 报警服务 支持用户对上述三种监控服务的指标设置报警规则。当监控数据满足报警规则的设置时,会发出报警通知。 监控项 用户设置或者系统默认的监控数据类型,例如站点监控的HTTP监控默认有两个监控项响应时间和状态码。ECS的监控项有CPU利用率、内存利用率等等。 维度 定位监控项数据位置的维度,例如磁盘IO这个监控项,通过实例和磁盘名称两个维度可以定位到唯一的监控数据。在自定义监控中,目前维度“字段信息表示”。 报警规则 报警规则是一个条件;例如,内存使用率统计周期为5分钟,连续3次大于等于50%是一个规则。 通道沉默 当某一条报警发出后,如果这个指标24小时之内持续超过报警阈值,则24小时内不会再次出发报警。 报警联系人 报警通知的接收人。 报警组 一组报警联系人,可以包含一个或多个报警联系人。在报警设置中,均通过“报警组”发送报警通知。报警系统根据预先设定的报警方式,在到达报警阈值时向报警组成员发送报警通知。 通知方式 给用户发送报警通知的方式。包括短信、旺旺(淘宝)、邮件、Message Service消息队列推送。
云监控的计费
云监控支持如下两种计费方式:
计费方式 说明 注意事项 包年包月(预付费) 预付费方式,在购买不同配额的版本时就需要支付费用。 在合同期内,包年包月的实例只支持升级配置,不支持降级配置。包年包月无法变更成按量付费。 按量付费(后付费) 后付费模式,根据实际使用量收取费用。计费周期为1个小时。不足1小时,也按1小时收费。账单出账时间通常在当前计费周期结束后1小时内,最长不超过3个小时。具体以系统出账时间为准。账单生成后自动从您的账户余额中扣除费用以结算账单。 按量付费无法变更包年包月实际用量超出免费额度后才开始实际收取费用。 说明:
云监控只针对站点监控、自定义监控、日志监控、自定义上报事件以及短信、电话报警通知等附加功能收费。
主机监控、各类云产品的监控和报警,以及应用分组、可用性监控、Dashboard等基础功能均不收费。
