ECS day4
ECS day4
第5章 掌握負載均衡SLB
課時25 SLB產品概要
負載均衡(Server Load Balancer)是對多臺雲服務器進行流量分發的服務。
- 負載均衡可以通過流量分發擴展應用系統對外的服務能力,通過消除單點故障提升應用系統的可用性。
- SLB服務通過設置虛擬服務地址(IP ),將位於同一地域( Region )的多臺雲服務器( ECS )資源虛擬成-個高性能、高可用的應用服務池。根據應用指定的方式,將來自客戶端的網絡請求分發到雲服務器池中。
- SLB服務會檢查雲服務器池中ECS的健康狀態,自動隔離異常狀態的ECS。從而解決了單臺ECS的單點問題,同時提高了應用的整體服務能力。
- 在標準的負載均衡功能之外,SLB服務還具備TCP與HTTP抗DDoS攻擊的特性,增強了應用服務器的防護能力。
- SLB服務是ECS面向多機方案的一個配套服務,需要同ESC結合使用。
課時26 SLB簡介
基本概念
- LoadBalancer:一個SLB實例
- Listener:用戶制定的負載均衡策略和轉發規則
- BackendServer:後端的一組雲端服務器
- 當前提供4層( TCP/UDP協議)和7層( HTTP/HTTPs協議)的負載均衡服務。
- 可以對後端ECS進行健康檢查,自動屏蔽異常狀態的ECS,待該ECS恢復正常後自動解除屏蔽。
- 提供會話保持功能,在Session的生命週期內,可以將同一客戶端請求轉發到同一臺後端ECS上。
- 支持加權輪詢(WRR),加權最小連接數(WLC)轉發方式,後端ECS權重越高被分發的機率也越大。
- 支持針對監聽來分配其對應服務所能達到的帶寬峯值。
- 可以支持公網或私網類型的負載均衡服務。
- 提供豐富的監控數據,實時瞭解SLB運行狀態。
- 結合雲盾,提供WAF及防DDOS攻擊能力,包括CC,SYN FLOOD等。支持同一地域( REGION )跨數據中心容災,結合DNS還可以支持跨REGION容災。
- 針對HTTPS協議,提供統一的證書管理服務, 證書無需上傳後端ECS解密處理在SLB上進行,降低後端ECS的CPU開銷。
- 提供控制檯,API,SDK多種管理方式。
課時27 SLB主要操作
負載均衡開通 → 服務監聽配置 → 後端服務器配置 → 負載均衡監控
課時28 SLB相關問題
-
SLB支持的協議有哪些?
-
SLB當前支持4層( TCP協議、UDP )和7層( HTTPS協議)。
-
SLB服務本身解決了後端ECS服務的災備問題,但如何避免SLB服務本身故障導致的單點問題?關於SLB的災備,有什麼好的建議?
-
SLB實例後端的ECS可以是不同Zone下的機器,從而提高本地可用性。
在同一地域( Region )創建多個SLB實例,通過DNS輪詢的方式對外提供服務,從而提高本地可用性。
在不同地域( Region )創建多個SLB實例,通過DNS輪詢的方式對外提供服務,從而提高跨地域的可用性。
-
SLB最多支持對幾臺ECS進行負載均衡服務?
-
我們不會限制用戶在SLB實例後配置的ECS數量。但是,爲了保證您對外服務的穩定與高效,我們建議您可以根據業務分類或應用服務的模塊劃分來將提供不同服務或執行不同任務的應用服務器配置在不同的SLB實例後。
-
不同操作系統的ECS可以同時做SLB服務嗎?
-
可以。SLB本身不會限制後端的ECS使用哪種操作系統,只要您的2臺ECS中的應用服務部署是相同且保證數據的一致性即可。但是,我們建議您選擇2臺相同操作系統的ECS進行配置,以便您日後的管理維護。
-
如何確保SLB後端的多臺ECS之間的數據同步呢?
-
目前,有很多類似的工具可以實現服務器之間的數據同步,比如: rsync。具體使用及選擇,還請通過其他途徑獲得更多的介紹資料及指導信息。
您也可以將您的ECS配置成無狀態的應用服務器,而數據和文件統一存放在RDS和OSS服務上。
- 我有2臺ECS ,分別創建在杭州和青島,爲什麼無法把他們添加到一個SLB實例後面?
- SLB不支持跨地域( Region )部署, -個SLB實例後端的多臺ECS必須處於同-地域( Region )纔可以配置。
課時29 【在線實驗】負載均衡使用初體驗
課時30 【在線實驗】高併發訪問時流量分發和會話保持的實現
第6章 雲上安全防護
課時31 互聯網常見形式及安全威脅
- DDoS攻擊
- 口令暴力**
- Web應用攻擊
課時32 阿里雲安全體系
課時33 雲盾的基礎DDOS防護
概念
- 基礎運營商:聯通、電信、移動
- 骨幹網
- IDC數據中心
- BGP邊際網關協議
- ABTN阿里巴巴骨幹
- 路由器
- 交換機
- 防火牆
- 安全策略
課時34 應用防火牆和安騎士
阿里云云盾-—WAF
Web應用防火牆(Web Application Firewall, 簡稱WAF)是一款網站必備的安全產品。
阿里云云盾Web應用防火牆:基於雲安全大數據能力實現運營+數據+攻防體系、綜合打造網站應用安全。
通過防禦SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊;過濾海量惡意CC攻擊;禁止惡意的接口濫刷,數據爬取。
避免您的網站資產數據泄露,保障網站的安全與可用性。
雲盾—WAF的應用場景
- 賬號數據、資金損失:官網充值、商品交易、惡意免費/低價成交、盜取用戶賬戶數據
- 網站變卡、打不開:惡意海量肉雞訪問網站資源被耗盡
- 網站數據被惡意爬取等,短信流量被濫刷:數據接口被刷,如短信流量濫刷;網站用戶數據信息被惡意爬取
- 獲取服務器管理員權限,篡改網站數據、頁面:利用最新0day漏洞、命令執行注入、獲取服務器管理權限、獲取數據、篡改頁面等各種危害
阿里云云盾-安騎士
安騎士
- 是雲盾安全防護體系中的主機安全防護模塊。
- 基於雲端聯動防禦,可以爲雲服務器提供防黑客入侵的服務。
主要防護功能
- 木馬查殺
- 防密碼暴力**
- 異地登錄提醒
- 漏洞檢測修復
課時35 雲監控功能
雲監控( CloudMonitor )是一項針對阿里雲資源和互聯網應用進行監控的服務。
雲監控服務可用於收集獲取阿里雲資源的監控指標,探測互聯網服務可用性,以及針對指標設置警報。
雲監控服務能夠監控雲服務器ECS、雲數據庫RDS和負載均衡等各種阿里雲服務資源,同時也能夠通過HTTP,ICMP等通用網絡協議監控互聯網應用的可用性。
藉助雲監控服務,您可以全面瞭解您在阿里雲.上的資源使用情況、性能和運行狀況。藉助報警服務,您可以及時做出反應,保證應用程序順暢運行。
雲監控功能概覽
- 站點監控:提供對http、ping、dns、tcp、udp、smtp、pop3、ftp等服務的可用性和響應時間的統計、監控、報警服務。
- 產品監控:提供對ecs、rds、slb、cdn、OCS、oss等 雲服務的監控報警服務。
- 自定義監控:對用戶開放自定義監控的服務,允許用戶自定義個性化監控需求。
- 報警及聯繫人管理:提供對報警規則,報警聯繫人的統一、 批量管理服務。支持多報警方式:短信、郵件、旺旺。
雲監控CMS的應用場景
- 雲監控可以幫助運維人員實時瞭解網絡狀態、獲取監控指標
- 在ECS部署時及時瞭解網絡的運行狀況,爲後續網絡升級提供性能指標在網絡升級後,監控SLB的負載均衡能否實現
- 監控到的數據可以作爲彈性伸縮服務ESS的觸發條件
課時36 雲安全功能操作演示
雲安全功能操作演示
- 雲盾:DDpS基礎防護、DDoS高防IP、 安騎士、應用防火牆WAF
- 雲監控:站點監控、產品監控(ECS、RDS等)、自定義監控
- 報警:開關、報警聯繫人、報警方式
- 綜合應用:設置雲監控指標–》讀報警信息–》啓用雲盾功能
課時37 【在線實驗】安騎士初體驗
課時38 【在線實驗】雲監控初體驗
更多資料參見阿里雲高校計劃:https://developer.aliyun.com/adc/college/