1、阿里云RDS SQL server版本核心特征
基础版:单节点结构,资源规模小且不支持只读实例扩展,无法应对高并发场景。主要用于个人学习,微型网站,测试环境
集群版:一主多只读(分布式集群)架构,高性能、读写分离,弹性伸缩。核心优势:支持弹性,独立扩展多个高规格只读实例,轻松应对读高峰。主要用于读多写少的高并发场景。如电商大促,社交应用
高可用版:一主一备(同城不同机房)架构,高可用,故障切换,支持扩展,但能力有限,最多7个只读实例。主要用于中小型网站/企业
阿里云RDS MySQL三节点企业版的标准架构是一主一备一日志
-
主节点:处理业务读写请求。
-
备节点:实时同步数据,提供读服务和高可用备份。
-
日志节点:只存储事务日志,不存储完整数据文件,通过Paxos/Raft协议确保多副本间日志强一致,是实现RPO=0(数据零丢失)的关键
三节点企业版:一主+一备+一日志 目标:强一致性,金融级可靠
两主一备:两主(均可读写)+一备 目标:高写入性能丶高可用
一主两备:一主+两备(数据副本) 目标:高扩展丶容灾能力增强
DTS 功能
-
迁移 = “搬一次数据”;
-
同步 = “一直保持数据一样”;
-
订阅 = “给我发数据变更通知”;
-
集成 = “把多份数据整合起来”。
阿里云DTS(数据传输服务)工具支持的数据库类型
-
本地SSD盘:部署在数据库服务器本地的SSD硬盘,特点是超低延迟(适合对响应速度极度敏感的业务,如高频交易)。
-
SSD云盘:基于阿里云分布式存储架构的SSD存储,兼顾性能与可靠性(适合通用型数据库场景)。
-
ESSD云盘:“增强型SSD云盘”,是阿里云新一代高性能云盘,IOPS和吞吐量更高(适合OLTP高并发、大数据量读写的数据库场景)
2、OSS
2.1.阿里云存储OSS支持的存储类型
1.1标准存储:适合高频访问,需快速响应的数据(如网站静态资源,业务核心数据)
1.2低频访问:适合访问频率较低,但仍需快速读取的数据(如备份文件,半年内业务日志)
1.3 归档存储:适合长期归档,极少访问的数据(如历史档案)
2.2.分块上传的机制:
分块上传时,若未调用complete Multipart upload 接口,会产生不完整的分块文件(称为碎片)
OSS权限控制:
Object ACL 对象级的访问控制列表(acl),针对单个文件(object)设置权限
Bucket ACL 是存储空间级的访问控制列表,针对整个Bucket设置权限
Bucket Policy是存储空间级的策略,虽可灵活授权主体访问Bucket内资源
PutObject)不支持断点上传。x - oss - meta - *)。这些元数据会随文件一同存储,后续可读取。PutObject)。开发者通过构造 PUT 请求,将文件内容上传至 OSS 存储空间
2.3.Object
是OSS里存储数据的基础单元。核心组成
Meta是元数据,用于描述Object的附加信息
data是Object实际存储的内容本身
key是object的唯一标识符,在同一个Bucket内唯一,用于定位和访问Object
2.4 OSS标签
①存储空间标签:管理的对象是整个存储空间(Bucket)。主要是成本分账,资源分组
②对象标签:管理对象是单个Object,精细化管理:按标签设生命周期,访问权限
OSS 存储空间(Bucket)命名规则
-
长度:3~63 个字符;
-
字符范围:仅允许 小写字母、数字、短横线(
-); -
首尾限制:必须以小写字母或数字开头和结尾,不能以短横线
-开头/结尾; -
连续短横线:不允许出现连续两个及以上短横线(如
--)。
2.5.OSS删除功能
①管理控制台批量
-
功能:在OSS控制台上,可以手动勾选多个文件(支持分页全选)进行一次性删除。
-
适用场景:当您需要一次性、手动地删除一批没有明确时间规律的文件时,比如清理某个临时项目目录下的所有文件。
②生命周期管理
功能:这是OSS提供的自动化、基于规则的管理策略。可以设置一条规则,例如“某个目录下的所有文件,在创建7天后自动删除”或“整个Bucket下的文件,在创建30天后转为归档存储,在创建365年后自动删除”
-
自动化:设置一次,永久生效,无需人工干预,完美匹配“定期删除”的需求。
-
处理海量数据:无论文件有多少,规则都会自动应用到所有符合条件的Object上,轻松应对“数量很多”的场景。
-
符合“有规律”的描述:题目中“删除某些天之前的Object”是生命周期管理最经典、最核心的用途。
-
可清空Bucket:通过设置一条“文件创建后0天过期”的生命周期规则,可以自动、渐进地清空整个Bucket。
2.6.OSS传输加速
oss-accelerate.aliyuncs.com格式),结合智能路由、网络优化等技术,提升跨地域用户访问OSS资源的速度。其核心特性是:-
加速Endpoint与原地域级Endpoint(如
xxx.oss-cn-hangzhou.aliyuncs.com)共存,原Endpoint仍可正常访问(但无加速能力); -
支持为存储空间绑定自定义域名,并将自定义域名解析到加速Endpoint,实现“自定义域名 + 加速能力”的组合;
-
加速能力主要针对 HTTP/HTTPS协议 的文件传输(上传、下载)优化,RTMP等流媒体协议不属于OSS传输加速范畴(由阿里云CDN、媒体处理等服务承载)。
2.7. OSS util
OSS util 是阿里云对象存储(OSS)的管理工具,其通用选项有固定的功能映射。
-C 配置文件路径。核心作用:指定OSS util的配置文件路径。通过该选项,工具能读取指定路径下的配置(如AccessKey、Endpoint等预设信息),无需每次手动输入。
-e 指定OSS服务的Endpoint(即OSS服务的指定域名,不同地域Endpoint不同)
-K 指定访问OSS的Access key secret(与AccesskeyID配对的秘钥,用于身份验证)
-i 指定AccesskeyID
--acl OSS util中专门用于配置Bucket或Object的访问控制列表(ACL)的选项。通过该选项,可设置资源(Bucket/Object)的公开权限、用户权限等(如 private/public-read等)
2.8.OSS IMG
OSS IMG 是OSS提供的图片处理服务,核心是通过RESTful接口(URL参数、SDK、控制台等载体)实现对存储在OSS中的图片进行实时/按规则处理。
1.OSS支持图片样式功能:开发者可预先定义一组图片处理规则(如“缩略图样式”包含缩放、锐化等操作),并将该样式绑定到一个或多个图片。后续对这些图片应用样式时,会自动执行预设的相同处理逻辑
2.OSS图片处理支持URL参数模式:在原始图片的OSS访问URL后追加处理参数(格式为 ?x-oss-process=image/操作名,参数,例如 ?x-oss-process=image/resize,w_100表示将图片宽度缩放到100像素)。这种方式属于“单次请求触发处理”,每次访问带参数的URL时会实时处理图片
3.oSS为各开发语言(Python、Java、PHP等)提供了SDK工具包,其中封装了图片处理的API。开发者可通过SDK调用图片处理能力(如缩放、裁剪、格式转换等)
OSS直接提供的“非图形化/命令行”工具,聚焦于“协议级资源访问”(如挂载、FTP) ,而“业务级自动化操作”(如整理工具)需用户自主扩展
2.9.OSS防盗链
OSS防盗链的核心逻辑:OSS检查http请求的Referer头字段,判断请求是否来自合法来源,以此防止数据被盗链。
3、负载均衡(SLB)/传统负载(CLB)
SLB的核心功能是“接收流量→按规则分发流量→转发给后端ECS”,因此配置管理需围绕「SLB实例自身」「流量分发规则」「后端承接服务器」这几个维度展开
4层健康检查的核心逻辑 :slb的4层(tcp/udp 传输层)健康检查是slb主打像后端ecs发送探测包,通过判断ECS是否响应(tcp握手、udp端口可达性)
,来确定ECS是否健康。源 IP 哈希算法
7层负载均衡:基于HTTP/HTTPS协议(应用层),关注应用数据层的流量处理(如解析http/https请求头、URL、域名等信息后转发)
SNI支持:SNI(server Name Indication)是TLS协议的扩展,用于在SSL/TLS握手阶段指定要访问的域名(解决多域名共享IP时的证书匹配问题)。TLS属于应用层安全协议(http+TLS)
一致性哈希(CH)调度算法:一致性哈希是一种基于传输层(4层)的负载调度策略。核心是通过哈希环 将客户端请求稳定映射到后端服务器(用于会话保持,分布式缓存等场景)
example.com/api转发到特定后端服务),属于应用层(7层)的流量调度逻辑。7层SLB天然支持这类基于HTTP报文的操作重定向是HTTP/HTTPS协议层面的操作(如返回301/302状态码引导客户端跳转),属于7层流量处理的常规能力。7层SLB可直接对HTTP请求响应进行重定向配置
session是七层(http/https)协议的概念
cookie是七层(http/https)会话保持的技术手段
LVS 集群内各台机器通过组播报文实现会话同步。组播报文是一对多的网络通信技术(集群内部)
负载均衡(SLB)的双向认证原理
-
服务器需向客户端证明身份 → 提供「服务端SSL证书」;
-
客户端需向服务器证明身份 → 提供「客户端证书」,且服务器需用「客户端CA证书」验证该客户端证书是否合法。
SLB在双向认证中的角色
-
服务端SSL证书:客户端连接SLB时,SLB需出示该证书向客户端证明“我是合法的服务器”,因此需托管在SLB上;
-
客户端CA证书:当客户端发送自身证书时,SLB需用托管的「客户端CA证书」验证客户端证书是否由受信任的CA签发,因此也需托管在SLB上。
3.2.CLB
①基础概念与架构
CLB定义:传统负载均衡,工作在四层(tcp/udp)和七层(http/https),基于LVS+Tengine实现
核心组件:
listen(监听):负责检查连接请求,配置转发规则
Backend Server(后端服务器):ECS实例,处理实际业务
Healthy Check (健康检查):自动屏蔽异常ECS,确保服务高可用
调度算法:
轮询(RR):按顺序分发
加权轮询(WRR):性能好的服务器分配更多的请求
最小连接数(WLC):优先发给当前连接数最少得服务器
源IP哈希(SCH):同一个IP的请求固定转发到同一台后端,实现会话保持
②计费模式
包年包月:适合长期稳定业务
计费项:实例费+规格费+公网带宽费
按量付费:适合波动业务
计费项:实例费(公网IP保有费)+规格费+LCU费或流量/带宽费
LCU概念:衡量负载均衡处理能力的单位,包含新建连接数丶并发连接数、处理流量、规则评估数四个维度
③监听与协议
四层监听(tcp/udp):
基于LVS实现,性能高,延迟低
支持tcp、udp协议
支持tcp SSL 加密
七层监听(http/https):
基于Tengine实现,支持内容改写、域名URL转发
支持https,需要上传服务器证书
支持Gzip压缩、http重定向
④高可用与容灾
多可用部署:CLB实例可以跨可用区部署,主可用区故障自动切换到备可用区,实现同城容灾
健康检查机制:
四层:通过tcp连接或发送特定数据包检测
七层:通过http HEAD 或GET请求检测
关键参数:检查间隔、超时时间、健康阈值、不健康阈值
⑤安全与访问控制
访问控制(ACL):
可以在监听级别配置黑白名单,限定特定IP访问
支持基于源IP的访问控制
ddos防护:CLB默认集成基础DDOs防护,可配合高防IP使用
⑥与其他产品对比
CLB vs ALB vs NLB:
CLB:传统型,四层+七层,适合简单转发
ALB:应用型,专注七层,支持高级路由、WAF集成、gRPC、websocket
NLB:网络型,专注四层,超高性能,支持固定IP,TCP SSL、UDP
⑦配置与运维
后端服务器组:支持主备服务器组、虚拟服务器组
会话保持:确保用户会话不中断,四层用源IP哈希(SCH),七层用Cookie
负载均衡(CLB)访问控制策略
-
核心机制:
负载均衡的访问控制(ACL)是基于“策略组”生效的。当你为一个监听开启了白名单或黑名单功能时,实际上是将一个“IP地址列表”与监听进行了关联。 -
空列表的含义:
题目中强调“访问策略组中没有添加任何IP”,这意味着列表是空的。- 白名单为空:白名单的逻辑是“只允许名单里的IP访问”。如果名单里没有任何IP,按严格逻辑应该是“没人允许访问”。但在负载均衡的实际设计中,为了防止用户误操作导致业务瞬间中断(比如开启了白名单但还没来得及填IP),系统默认将其视为“未限制”,即放行所有流量。
- 黑名单为空:黑名单的逻辑是“拒绝名单里的IP访问”。如果名单里没有任何IP,意味着“没有任何人被拒绝”,自然就是放行所有流量。
3.3.LVS
LVS三层架构的定义
LVS(Linux Virtual Server)是Linux平台的负载均衡技术,三层架构为:负载均衡器→服务器池→共享存储
4、阿里云数字证书 按验证级别划分
①验证域名所有权→基础安全 DV域名型
②验证域名+企业身份→中高度安全 OV企业型
③验证域名+企业+法律实体→最高等级安全 EV企业增强型
SSL证书
SSL证书基于公钥基础设施(PKI),其核心就是「非对称加密」:服务器持有公钥和私钥,公钥对外公开用于加密,私钥由服务器秘密保存用于解密。当客户端与服务器通信时,客户端用服务器公钥加密数据,只有服务器能用自己的私钥解密;同时服务器也可通过私钥对关键信息“签名”,客户端用公钥验证签名真实性——这一系列过程的底层逻辑,正是「非对称加密」的典型应用。
-
数字签名:是非对称加密的一种应用场景(用私钥对数据进行“签名”,公钥验证签名),它本身不是“加密方法的类别”,而是一种「身份验证+防篡改」的技术手段。
-
对称加密:加密和解密使用同一把密钥(比如AES加密算法)。但题目中明确提到“一对互相匹配的密钥对”(公钥+私钥),并非“单一密钥”
-
哈希加密:是将任意长度的数据转化为固定长度的“摘要”(比如MD5、SHA系列算法),它的核心是“不可逆性”(无法从摘要还原原始数据),且不涉及“加密-解密”的双向过程,仅用于验证数据完整性。
-
非对称加密:采用“公钥+私钥”成对存在的机制——公钥加密的内容只能用私钥解密,私钥加密的内容(如数字签名)只能用公钥解密。
5、阿里云经典网络与专有网络
经典网络:由阿里云统一规划、托管,网络参数(如IP段、子网等)不可自定义,用户无需操心网络配置,易用性强但灵活性低
专有网络(vpc):用户在阿里云平台自主构建的隔离网络,支持自定义IP段,子网,路由规则等,灵活性高但需用户具备一定网络知识。不同vpc之间完全隔离(网络丶资源互不干扰)
-
可用区:同一地域内的独立物理数据中心(多个可用区间通过高速内网互联,可规避单点故障)。
-
交换机:VPC中对应“子网”的资源,仅能归属单个可用区(无法跨可用区存在)。
-
路由器:VPC中负责管理路由规则的全局资源(不绑定特定可用区,作用是让不同交换机/子网间能通信)。路由器的核心功能是通过“路由表+路由条目”决定流量转发路径。在阿里云VPC中,用户可自定义路由条目(如指向NAT网关、VPN网关等),以此控制子网间或VPC与外部网络的通信。
路由条目包括系统路由,自定义路由和动态路由
系统路由
-
定义:创建VPC时,系统自动生成的路由条目,无法修改或删除。
-
作用:为VPC内的云服务器(ECS)等实例提供访问支持VPC直连的阿里云公共服务(如OSS、RDS)的能力。
-
特点:自动创建,基础且必需,确保VPC内部基础通信
自定义路由(静态路由)
-
定义:由用户手动创建和管理的路由条目,指向特定的网络设备(下一跳)。
-
作用:扩展VPC的网络能力,实现更复杂的网络拓扑。例如:
-
通过NAT网关的路由,让VPC内无公网IP的实例访问互联网。
-
通过VPN网关或专线网关的路由,建立与本地数据中心(IDC)或其他VPC的混合云连接。
-
通过路由器接口的路由,实现跨VPC的对等连接。
-
- 特点:配置灵活,由用户全权控制,适用于明确、稳定的网络路径。
动态路由
-
定义:通过边界网关协议(BGP) 从对端网络设备自动学习并发布的路由信息。
-
作用:主要用于混合云或跨地域复杂互联场景,实现路由的自动收敛和最优路径选择。当您的本地数据中心或另一个云网络通过专线(如高速通道)接入时,双方网关会通过BGP协议自动交换路由表。
-
特点:
-
自动学习:无需手动维护对端大量网段的路由条目。
-
自动容灾:当存在多条路径时,BGP可以自动选择最优路径并在故障时切换。
-
配置复杂:需要在对端网络设备上也配置BGP协议
-
vpc路由条目只要由三要素组成:(路由表是基于目的地址进行转发的)
①目标网段:你要去哪里
②下一跳类型:通过什么设备去
③下一跳实例:具体的设备ID是什么
阿里云专有网络(VPC)核心组件
控制子网流量 → 用网络ACL(绑交换机)。
控制实例流量 → 用安全组(绑ECS)。
指挥路由方向 → 用路由表(属VPC,可关联多个交换机)
智能接入网关
仅支持“企业本地IDC”与“阿里云单个VPC”之间的专线互联,核心是打通“本地网络”到“云上VPC”,而非“云上不同VPC之间”的跨地域通信
VPN网关
通过 IPsec - VPN技术 建立加密隧道,可在不同地域的VPC之间搭建安全通信通道,支持跨地域VPC互联
云企业网(CEN)
基于 BGP路由协议 自动打通不同地域(甚至跨账号)的VPC网络,本质是为企业提供跨地域/跨账号的全局网络互通能力
VPC对等连接
仅支持“同一地域内”的两个VPC互通(比如华东1内的两个VPC),无法突破“地域”边界(华东1与华北1属于不同地域)
公网NAT网关核心功能
公网NAT网关主要通过SNAT(源地址转换)和DNAT(目的地址转换)管理公网访问流量
SNAT:解决内网无公网IP的ECS主动访问公网问题(把内网ECS的出站源IP转为公网IP)
DNAT:解决公网请求转发到内网ECS提供服务问题(把公网IP的入站请求转发到内网ECS)
智能接入网关
负载均衡
云企业网
6、阿里云RAM与安全组
RAM(Resource Access Management):是阿里云长期权限管理系统,用于创建用户/组/角色,并为它们分配长期有效的权限策略,侧重“长期、精细化的权限管控
STS(Security Token Service):是阿里云临时权限服务,用于生成临时访问凭证(含临时AccessKey、Token等),这些凭证有时效性,侧重“临时、短期的高权限场景(如临时访问OSS)”
RAM Policy 是阿里云资源访问控制(RAM)的策略,用于管理RAM用户(如子账号丶角色)的权限
其他功能权限
终端访问控制系统UEM :聚焦终端设备管理(如电脑 手机等设备的准入控制,软件分发,安全策略配置等),核心是管终端,而非管身份/账户整合
办公安全平台SASE:SASE(secure service Edge)是网络+安全的云化整合服务(如将SD-WAN、防火墙、零信任等能力云端交付),核心是报障办公网络安全访问
云身份服务IDaaS: IDaaS(Identity as a service,身份即服务)是专业的企业级身份管理解决方案,支持对接多类身份源(如AD域、钉钉、企业微信登)实现单点登录(SSO),身份同步、权限统一管控等功能
6.2安全组
同一VPC内的ESC实例配置入站/出站访问规则;且安全组内的ECS实例可跨可用区(VPC内的可用区属于同一逻辑网络,资源互通)
网络 ACL 的核心技术特性
——无状态性、绑定规则、规则匹配逻辑
网络 ACL 的绑定规则是 “一个交换机仅能绑定 1 个网络 ACL”(若需修改规则,需更新当前已绑定的网络 ACL,而非新增绑定)。
网络 ACL 是子网级别的无状态防火墙,通过入站规则(控制进入子网的流量)和出站规则(控制流出子网的流量)生效(子网内包含 ECS 实例,因此流量属于 ECS 的流入流出)
网络 ACL 规则是按优先级从高到低匹配,只要匹配到第一条符合条件的规则,就会执行对应动作(允许/拒绝),不再评估后续规则(与“安全组有状态且规则全匹配”的逻辑不同)
网络 ACL 是无状态的安全策略——出站流量被允许后,返回的入站流量不会自动放行,必须在网络 ACL 的出站规则中单独添加“允许该返回流量”的规则,否则会被拒绝
|
特性
|
网络ACL
|
安全组
|
|---|---|---|
|
作用层级
|
子网/交换机级别(控制进出方向)
|
实例级别(控制实例进出方向)
|
|
规则状态
|
无状态(入站/出站需分别配置)
|
有状态(默认允许响应流量)
|
|
默认规则
|
拒绝所有未匹配的流量
|
允许所有未匹配的流量
|
|
典型用途
|
封堵子网级别的恶意IP或协议
|
控制实例级别的服务暴露(如开放SSH端口)
|
7、阿里云弹性伸缩
功能:用于计算资源(如ECS、ECI实例)的自动扩缩容,适配业务量波动;且更适合无状态应用(因扩缩容时会动态增减实例,有状态应用依赖实例本地状态,易出现数据/会话丢失)
核心组件:
伸缩组:管理实例的容器,需设置最大/最小实例数
伸缩配置:定义实例模板预先定义ECS实例的所有基础属性(如CPU核数、内存大小、系统镜像、磁盘配置等)
伸缩规则:触发伸缩的条件和动作逻辑(比如“CPU利用率>80%时,扩容2台实例)。依赖已有的伸缩配置,但自身不定义实例规格
触发任务:
报警任务:基于监控指标(如cpu使用率)自动触发
定时任务:在预设时间点触发
伸缩活动规则:
同一伸缩组在同一时间,只能有一个伸缩活动在执行
报警任务与定时任务无固定优先级,若同时满足条件,系统会选择一个执行,不会同时进行
冷却时间:伸缩活动完成后的一段时间内,会忽略报警任务,防止因指标波动导致频繁伸缩
伸缩模式:弹性伸缩支持多种伸缩模式,可单独或组合使用
8、阿里云存储及备份/阿里云流日志
8.1备份
①普通快照:阿里云ECS标准备份方式,可为云盘生成完整数据副本。但是创建时间较长(尤其磁盘数据量大时)
②本地快照:核心优势是存储位置近-快照数据存储在与ECS实例相同的可用区内(而非远端OSS对象存储)。由于数据传输距离短,创建速度比普通快照快很多,能先住缩短等待时间,同时也能为磁盘数据提供备份能力
③加密快照:数据安全增强(对快照数据加密),但加密过程会增加额外计算开销
④自动快照:通过预设策略周期性自动创建的快照
8.2 阿里云专属块存储:核心是物理隔离+独享资源
专属块存储集群的云盘不支持在线变配(如容量调整,性能升级等操作);
计费模式:仅支持包月包月付费模式,不支持按量付费。
8.3.阿里云流日志
一、资源类型:决定流量采集的「范围层级」
|
资源类型
|
采集范围
|
适用场景
|
|
|---|---|---|---|
|
专有网络(VPC)
|
覆盖整个VPC内的所有流量,包括:
- VPC内实例互访(如ECS→RDS); - 跨VPC互访(需VPC间有连通,如高速通道、企业版转发路由器) |
监控VPC整体流量(尤其是跨子网、跨VPC场景)
|
|
|
交换机
|
仅覆盖单个交换机子网内的流量(如某交换机下挂载的ECS、SLB之间的流量)
|
仅监控子网内部流量(如子网内实例互访、子网与外部流量的“子网内环节”)
|
二、流量类型:决定流量筛选的「规则方向」
|
流量类型
|
含义
|
价值
|
|
|---|---|---|---|
|
被访问控制允许的流量
|
只采集经过安全组、网络ACL等策略放行(允许)的流量
|
分析合法流量路径、业务访问链路、正常通信特征
|
|
|
被访问控制拒绝的流量
|
只采集经过访问控制策略拦截(拒绝)的流量
|
分析攻击、非法访问(如端口扫描、暴力破解),用于安全加固
|
三、流日志「功能本质+拓展考点」(强化记忆)
-
功能本质:流日志是对云产品网络流量的“镜像记录”,记录源IP、目的IP、协议、端口、流量状态(允许/拒绝)等信息,用于安全分析、故障排查、成本优化(如识别无效流量)。
-
存储与分析:流日志需存储到 对象存储OSS 或 日志服务SLS,后续通过SLS的可视化分析(如统计流量趋势、排查连接失败原因)。
-
计费逻辑:按采集的日志量计费,VPC级资源采集范围大,日志量通常多于交换机级,成本更高。
-
启用条件:部分资源(如交换机)需先在VPC层面开启流日志功能,再关联具体交换机,否则无法采集。
记忆口诀(简化版)
-
范围选资源:VPC跨域选VPC,子网内才选交换机;
-
方向选流量:允许拒绝看需求,先定范围再细分;
-
功能记本质:流量镜像记日志,安全排障全靠它。
-
Log(日志,记录事件细节)
-
Metric(指标,记录量化状态)
-
Trace(链路,记录请求流转)
镜像和快照
|
特性
|
镜像
|
快照
|
|---|---|---|
|
对象
|
整台ECS实例(所有磁盘)
|
单块云盘
|
|
本质
|
系统模板
|
磁盘数据的时间点副本
|
|
主要目的
|
部署、克隆、迁移服务器
|
备份、恢复、回滚磁盘数据
|
|
创建来源
|
ECS实例、系统盘快照
|
单块云盘
|
|
关系
|
可以使用系统盘快照来创建镜像
|
镜像是快照的一种应用场景
|
Redis 持久化机制
|
持久化方式
|
工作逻辑
|
关键特征
|
|---|---|---|
|
RDB
|
周期性将内存全量数据生成快照文件(如默认
dump.rdb)写入磁盘 |
「快照式存储」,恢复速度快,但可能丢失最后一次快照后的数据
|
|
AOF
|
实时记录所有写操作命令到日志文件,重启时重放命令恢复数据
|
「日志式追加」,数据安全性更高,但文件体积大、恢复速度慢
|
9、弹性公网IP-EIP/带宽/CDN/高防IP
9.1.EIP核心作用:
可独立购买/持有的公网IP资源,需绑定到支持公网访问的云产品上,实现公网通信。
带宽:ECS包年包月临时升级 本质是当月内的临时弹性调整,不影响后续续费的带宽计费基准。后续续费仍以最初包年包月时约定的基础带宽为准,临时升级仅在当月有效
9.2.CDN:
①CDN节点的核心功能
步骤1:明确CDN节点的核心功能
swift
在阿里云CDN的技术架构中,swift是节点系统的关键组件之一。它主要承担内容存储、缓存管理等功能,支撑CDN节点对热门内容的快速响应。
tengine
-
处理用户HTTP请求(如静态资源请求、动态请求转发);
-
对响应内容进行缓存(减少重复请求对源站的压力)。
LVS
LVS(Linux Virtual Server)是基于Linux的负载均衡技术。在CDN节点中,LVS的作用是:-
对用户请求进行“流量分发”(比如把大量用户请求合理分配到后端多个服务节点);
-
保障CDN节点的高可用性(一台节点故障时,自动切换到其他节点)。
②计费方式:后付费默认和按流量/峰值带宽 双计费方式 (如流量突增时选“按流量”,流量稳定时选“峰值带宽)
③CDN技术的安全与性能融合
传统cdn:仅提供内容缓存和加速,缺乏专业安全防护
SCDN(安全CDN):在传统CDN基础上集成WAF、DDOs防护、CC攻击拦截等安全功能,可同时报障性能和安全
PCDN(P2P内容分发网络):利用用户闲置带宽实现内容分发,主打低成本+高并发性能
DCDN(动态内容分发网络):聚集动态资源加速(如数据库查询结果,个性化页面等传统CDN难以加速的内容),通过优化传输协议,智能路由等技术提升动态内容提升效率。
边缘节点服务ENS:在网络边缘部署计算/存储资源,让业务逻辑(如api处理、数据预处理)更靠近用户,主打低延迟响应。
9.3.WAF
WAF接入方式
①透明接入:透明接入是WAF的经典模式之一。它工作在网络层,对客户端和服务器“透明”(即双方感知不到WAF存在)。部署时无需修改服务器的IP、端口、域名解析等配置,流量直接经过WAF过滤后转发给源站,适合“不想改动现有服务器网络设置”的场景
②CNAME接入:CNAME是DNS的“别名记录”。通过将业务域名的CNAME指向WAF提供的专属域名,实现流量由WAF接管(用户访问原域名→DNS解析到WAF→WAF转发到源站)。这种方式无需修改服务器IP/端口,仅需调整域名解析,适合“基于域名的Web业务”快速接入WAF
Web应用防火墙(WAF)中“主动防御”功能的默认工作模式:网站接入WAF后可开启“主动防御”功能,该功能基于机器学习算法分析网站域名的合法流量,自动生成定制化安全策略,以防御未知攻击。在主流云服务商(如阿里云、腾讯云等)的WAF产品中,主动防御或智能防护机制在开启后,默认采用“告警”模式,而非直接“拦截”。这是为了在保护安全的同时,避免误伤正常流量。系统会先记录异常行为并发出告警,管理员可基于告警日志进行策略调整或切换至“拦截”模式,从而实现安全与业务连续性的平衡。
9.4.VPN 网关 Hub 功能
vpn网关hub模式的核心逻辑:一个vpn网关作为中心(hub),通过多个Ipsec连接分别与多个分支(办公点)建立加密隧道;IPsec连接需依赖公网IP协商隧道,且vpn网关地域需关联vpc一致(保障内网互通性)
9.5 全球加速
全球加速基础型: 核心定-基础加速能力,覆盖简单场景;
全球加速企业型:核心-定制化高阶能力(独享资源、超大规模带宽)
全球加速标准型:核心-多接入/多源站 + 七层应用(HTTP/HTTPS)加速
- 看到“七层”、“HTTP/HTTPS”、“互联网应用优化” → 选 标准型。
- 看到“单一地域”、“最基础” → 选 基础型。
- 看到“高级安全”、“应用识别” → 选 企业型。
9.6智能DNS解析
智能DNS解析是基于域名系统(DNS)的技术,核心作用是将域名智能映射为IP地址(而非直接处理“网页内容”)。它通过地理位置、负载均衡策略等,为用户分配最优服务器IP,但不直接参与“网页内容的存储/读取”。
9.7日志服务SLS
-
流式处理:逐条处理日志数据。
-
断点续跑(Checkpoint):任务中断后自动记录进度,重启后从断点继续。
-
资源调度:根据负载动态分配实例。
-
数据加工是 流式处理,逐条转换数据。
-
任务中断后默认 断点续跑(非从头开始)。
-
多实例并行调度提升效率(非单例)。
10.kubernetes/docker
kubernetes弹性伸缩体系:调度层弹性(调整pod数量)和资源层弹性(调整pod规格或节点数量)
| 组件/功能 | 伸缩方向 | 调整对象 | 核心特点 | |
|---|---|---|---|---|
| HPA | 水平 (数量) | Pod 副本数 | K8s原生内置,基于指标(CPU/内存) | |
| VPA | 垂直 (规格) | Pod CPU/内存 | 调整单个容器的资源配额 | |
| CronHPA | 水平 (数量) | Pod 副本数 | 基于时间计划,适合周期性业务 | |
| Cluster Autoscaler | 节点 (基础设施) | ECS Node 数量 | 负责底层节点池的扩容与缩容 | |
| Elastic Workload | 水平 (混合云/Serverless) | ECI 实例 | 基于阿里云ECI,秒级扩容,无需管理节点 |
-
托管版(如Pro、标准版):Master节点由阿里云托管(用户无需关心Master的部署、运维),只需管理Worker节点。
-
专有版:Master节点由用户自行创建和管理,同时需自行管理Worker节点(属于“用户全托管”模式)。
ACK集群的网络模式已全面转向专有网络VPC,经典网络因架构局限性已被逐步淘汰,不再支持新集群使用
阿里云容器服务 ACK(Alibaba Cloud Container Service for Kubernetes)的核心产品形态
-
专有版 Kubernetes:用户独占计算、存储等资源,需自主管理 Kubernetes 节点(如 Master/Worker 节点),适合对资源隔离性、管控权要求高的场景。
-
Serverless Kubernetes:无服务器架构,用户无需管理 Kubernetes 控制平面与节点,只需提交容器化应用,由阿里云自动完成扩缩容、调度等运维操作,聚焦业务本身。
-
托管版 Kubernetes:阿里云托管 Kubernetes 控制平面(如 API Server、Scheduler 等核心组件),用户仅需管理数据面工作负载(Pod、Deployment 等),降低运维复杂度。
11.CAP
CAP理论是分布式系统设计的基础理论,其核心是:一个分布式系统无法同时满足[一致性] [可用性] [分区容错性] 这三个需求,最多只能同时满足其中2个
-
一致性(Consistency):所有节点在同一时间拥有相同的数据副本(数据更新后,各节点能同步到最新状态)。
-
可用性(Availability):每个请求都能在有限时间内收到非错误的响应(系统始终能对外提供服务,不会因部分节点故障直接拒绝请求)。
-
分区容错性(Partition Tolerance):即使网络因故障分裂为多个子区域(即“分区”),系统仍能继续运行(保证部分节点间通信正常时,整体服务不崩溃)。
IAAS(Infrastructure as a Service,基础设施即服务):核心是提供计算、存储、网络等基础资源(如虚拟服务器、云存储),属于“硬件层面的服务”,不直接围绕“数据可访问性”设计
PAAS(Platform as a Service,平台即服务):核心是为开发者提供应用开发、测试、部署的平台工具(如操作系统、数据库、开发框架),聚焦“软件开发环节”,而非“数据的按需交付”
SAAS(Software as a Service,软件即服务):核心是直接向用户提供完整的软件应用(如在线文档、客户管理系统),用户无需安装即可使用软件功能,聚焦“软件功能的使用”,而非“数据本身的可访问性
DAAS(Data as a Service,数据即服务):核心是对数据进行管理、处理与分发,让用户在任意时间、地点“按需获取指定数据”(如市场调研数据、行业报告等)
容灾核心指标
业务不中断、数据不丢失
RTO=0
RPO=0
阿里云云盾·先知计划的核心功能
非特殊说明,本博所有文章均为博主原创。
如若转载,请注明出处:https://7d.delu7.cn/71/.html
共有 0 条评论