目录
第一章 整体概览
第二章 ECS简介
1、产品概念
云服务器 ECS 等同于一台虚拟服务器,包含 CPU、内存、操作系统、网络配置、磁盘等基础组件。是属于 IaaS资源。
2、ECS对比本地IDC
高可用:ECS是三副本设计,单副本故障可以快速恢复,并且可以自定义快照实现快速恢复,使用负载均衡和自动伸缩实现快速扩展应用;本地IDC的容灾体系需要自建,是要额外购买负载均衡集群,成本高,部署运维难度高。
安全:ECS可以低成本使用 DDoS 防护(免费版本有5G内DDoS攻击),MAC欺骗、ARP攻击、端口入侵扫描、挂马扫描、漏洞扫描等基础安全服务;本地IDC需要单独建立安全机制。
弹性:ECS不需要一次性投入全部成本,按需购买,弹性付费,带宽升降自由;本地IDC需要根据峰值预估一次性投入大量成本,容易造成资源浪费。
机房部署:PUE低,独享带宽,BGP多线机房所以全国访问流畅均衡;本地IDC一般都是共享带宽,机房一般是单线或者双线网络。
系统:提供web在线管理的模式提供系统安装和切换操作系统,IDC需要自己准备安装。
3、BGP机房优势
最佳访问路由根据骨干路由器自动选择最优路径,不会占用服务器资源,还能实现高速单IP访问。本身具备冗余备份,消除环路的能力,所以故障后可自动切换至可用路线。还具备将IDC网络和其他运营商互联,实现单IP多线路,不同的互联网运营商用户访问都是快的。
第三章 ECS实例
1、实例规格族
根据业务场景和使用场景会区别一些规格族,再根据CPU和内存等配置区分多种具体规格,最后通过配置垮存储、镜像、网络类型才能确定唯一的实例形态。
一般有企业级和共享级,数据库不适用于共享级因为IO需求高。还有通用型(资源平均,成本低一些)、计算型(CPU资源高)、内存型(内存资源高)
2、实例系列
实例系列1最高CPU是E5-2650,实例系列2则更高,增加了一些指令集,整数和浮点计算性能翻倍。
系列1要单独选IO优化,系列2默认IO优化,配合SSD提升IO性能。
系列1可以升级到系列2,但是不能反向降级,而且目前系列已不可购买。
3、应用场景推荐选型
4、实例状态
主要有两大类,稳定状态和中间状态,从创建实例到删除实例的过程如图:
5、创建实例
① 完成基础配置
购买实例的基础需求(付费模式和地域以及可用区),还要购买实例所需要的基础资源(规格,镜像,存储)
② 完成网络和安全组配置
选择提供的公网以及其他通信能力,并且通过配置安全组保障通信安全。
③ 完成管理配置和高级选项
配置登录凭证,主机名,实例自定义数据等定制信息,用于在控制台展示。
④ 确认下单
确认费用即可创建实例
6、连接实例
需要说明的是,VNC连接时需要两种密码,一个是远程连接VNC密码用来连接ECS管理控制台的管理终端;一个是实例本身的登录密码。VNC远程连接会话默认300秒。
VNC使用场景:
7、管理实例
① 重置实例登录密码
在实例处于 稳定状态 的时候才能修改密码,如已停止或者运行中。
可以通过 控制台、云助手、ECS内部 三种方法修改。
② 释放实例
包年包月实例不支持释放,需要转成按量付费。
按量付费释放后停止计费,可以开启实例释放保护,防止错误释放动作。
释放之后数据无法恢复,挂载的云盘可以关闭随实例释放功能,自动转换成按量付费的数据盘保留下来。
可以手动立即释放,也可以定时自动释放。
8、实例升降配置
① 支持升降配的资源
计算资源:指可以修改规格,指定具体的CPU和内存规格。需要重启
网络资源:指可以修改网络带宽配置,经典网络从0开启需要重启;临时升级不需要重启。
存储资源:指挂载或者卸载数据盘,需要在同一个可用区,总数不能超过64。
② 有效期
包年包月的配置升降之后,到下一个周期会恢复成原样。
第四章 系统盘和镜像
1、镜像分类
公共镜像:阿里云官方或者第三方提供的基础镜像。
自定义镜像:用户在基础镜像上自已制作的镜像,可能会包含应用环境和软件配置。
共享镜像:其他账号用户分享出来的镜像,需要自己承担使用风险。
镜像市场:经过审核的优质镜像,预装操作系统,应用环境、各类软件,无需再配置。
社区镜像:由阿里云社区里的其他镜像,也需要自己承担使用风险。
2、镜像用途
创建实例
个性化定制运行环境
实例运行环境备份
快速部署环境
批量部署环境
3、自定义镜像制作
基于有系统盘的实例或者包含系统盘的快照,创建的镜像;
或者从本地导入创建的镜像。
可以包含已部署的应用和数据等信息。
通过跨账号的共享镜像或者复制镜像可以方便的复制或者批量复制ECS。
制作的时候必须要填自定义镜像的名称和描述。
第五章 数据盘和快照
1、快照的定义
对某一时间的云数据盘的数据的备份,创建过程中服务不会中断,但是磁盘性能会降低,所以需要避开业务高峰期创建快照,第一次创建是全量,后续是增量,自动保存在用户的OSS里。
2、快照的用处
3、快照的应用场景
容灾备份:使用包含业务数据的云盘快照可以对基础数据实现同城或者异地备份。
环境复制:使用系统快照可以创建镜像,通过镜像就可以创建新的ECS实例,并且所有环境都保留了下来。
提高容错:出现操作错误的时候,可以通过快照回归操作。所以要求最好定期创建快照来保证操作失误或外部攻击导致的数据丢失。执行重要操作(更换操作系统、应用软件升级、业务数据迁移等等)的时候必须创建快照。
4、创建快照前提
云盘必须是稳定状态,即运行中或者已停止。
云盘必须挂载过ECS实例,之前挂载过现在是待挂载也可以。
5、快照创建高级功能
① 快照急速可用
启用该功能后,即使快照还没有创建完成,也可以直接用来回滚云盘或者创建云盘。
② 应用快照一致性组
通过创建一致性组,可以为多个云盘同时创建快照,可以保证数据写入时的一致性,时许一致性和奔溃一致性。
6、自动快照
通过指定的自动快照策略实现,周期性的创建快照,同时适用于系统盘和数据盘
第六章 ECS网络基础
1、实例IP地址分类
① 经典网络
统一部署在阿里云的基础设施内,所有用户共享,由阿里云统一管理,适合简单易用需求的用户。
② VPC专有网络
基于阿里云构建的隔离的专有虚拟网络,可以自定义网络拓扑和IP地址,适用于对网络有自定义需求以及一定网络管理能力的用户。
2、专有网络IP类型
① 私有IP地址
根据ECS实例所属的VPC和交换机的网络,自动分配一个私有IP;可以用于 负载均衡、同一可用区内的其他云资源内网访问。
② 公网IP
自动分配PublicIP或者弹性公网EIP,区别如下:
3、经典网络IP类型
① 内网IP
由阿里云统一分配,不支持组播和广播,可以用来负载均衡、同局域网内网通信。
② 公网IP
也是由阿里云统一分配的,带宽不是0Mbit/s;可以用来与公网访问,不同局域网内通信。
4、内网通信方案
5、IPv6使用步骤
① 搭建 IPv6 的VPC
② 分配 IPv6 地址
③ 开通 IPv6 公网带宽
④ 配置 IPv6 地址
⑤ 添加 IPv6 安全组规则
⑥ 测试网络联通
6、VPC私有IP地址修改
可以直接修改,也可以通过ECS所属的交换机更改实例的私有IP。
① 前提条件
弹性网卡未设置辅助私网IP,就是默认分配的私网IP
实例是已停止状态
② 操作步骤
更多-网络和安全组-修改私有IP
修改的IP的交换机要和实例的可用区一致,如果不换交换机可以直接修改。
实例需要重启后新IP才能生效。
7、公网IP地址修改
① 前提条件
实例处于已停止状态,如果是按量付费模式需要选择普通停机模式不可以选节省停机模式。
实例已经分配了公网IP
成功创建不足6小时,超过6小时只能走工单
② 限制条件
一个实例最多更改3次公网IP
创建实例的时候没有分配公网IP,只能先分配一个弹性公网IP,再变更成固定公网IP
8、经典网络
① 分配经典公网IP
选择分配后自动分配,不能释放,不能解绑,即使降配到0 Mbit/s 不能访问公网了,IP还会保留。未分配的话可以通过修改公网出网带宽分配。释放ECS的时候可以将公网IP转为弹性公网IP。
② 转换弹性公网IP
转换之前需要满足:ECS已经分配了公网IP,按量付费模式必须已停止,包年包月必须是已过期或者过期回收中,公网带宽计费方式必须是使用流量付费,实例不能再迁移计划中,实例不能在规格变更中。
变更之后的EIP采用按流量付费,带宽和原ECS保持一致,如果之前是0转换后默认是1 Mbit/s,EIP不能挂载到经典网络ECS,也看不到公网网卡和MAC地址了。
8、ECS从经典网络迁移到VPC
① 准备工作
为源ECS实例的磁盘创建快照并备份数据。
如果ECS关联了云数据库,需要提前将云数据库设置为 混访模式。
如果ECS关联了具有白名单的资源,需要提前将目标交换机加入到白名单。
建议将应用服务设置为开机自启,做好监控。
关闭或者卸载 源ECS的安全软件。
对源ECS的系统盘,要保留500MB的空间。
目标VPC的交换机的内网IP数量不少于源ECS的。
② 迁移的影响
迁移实践大概15分钟,业务不可使用。
网络从经典网络变成VPC。
软件授权码可能变更。
公网IP保持不变。默认不保留内网IP,可以指定保留。
底层虚拟化技术升级,磁盘名可能变化。
迁移本身不收费。
ECS实例的IP、名称、登录密码不变;负载均衡配置了源ECS,新的ECS需要手动再加入SLB。
第七章 ECS安全
1、安全组定义
安全组是一种虚拟防火墙,用于控制安全组内所有ECS的入口和出口流量;分为普通安全组和企业安全组,一台ECS实例最多加入5组安全组,初次创建ECS会默认加入默认安全组。
2、加入安全组规则
最少加入一个,最多加入五个。
挂载了弹性网卡的话,辅助网卡和实例可以加入不同的安全组。
不可以同时加入普通安全组和企业安全组
3、安全组规则
未添加安全组规则的时候,默认有一些出入流量控制。可以自定义添加修改安全组规则,不需要重启可以直接生效。
安全组规则支持针对IP地址,CIDR地址块,其他安全组,前缀列表授权等。
控制台创建安全组时,系统会默认添加安全组规则,但是使用API创建安全组时不会自动创建。
4、普通/企业安全组区别
没有默认安全组规则时:
普通安全组添加默认规则时:
企业安全组添加默认规则时:
5、使用流程
可以通过ECS控制台或者API使用安全组。使用控制台创建企业安全组时默认允许所有访问,API方式创建企业安全组默认拒绝所有访问。
① 管理ECS实例
第一步:创建安全组
第二步:添加安全组规则
第三步:ECS实例加入安全组
第四步:管理安全组
第五步:管理安全组规则
② 管理弹性网卡实例
第一步:创建安全组
第二步:添加安全组规则
第三步:弹性网卡加入安全组
第四步:ECS实例绑定弹性网卡
第五步:管理安全组
第六步:管理安全组规则
6、创建安全组
① 随实例创建安全组
默认开通 22 、3389 端口和ICMP协议(不可以取消),可以支持开通 80和443端口。
② 管理控制台创建安全组
需要填写 安全组名称、网络类型(VPC)、安全组类型。
③ 创建规则
入方向和出方向要指定授权策略(允许/拒绝),优先级,协议类型(TCP/ICMP),端口范围,授权对象(可以是IP、IP地址块、安全组)
经典网络有四个方向,公网入、内网入、公网出、内网出。
VPC就两个方向,公网和内网是一起的。
④ 生效策略
相同规则,优先级相同,一个允许一个决绝,拒绝的生效。
相同规则,优先级不同,优先级高的生效。
⑤ 实践优化
将安全组作为白名单使用。
准寻最小授权原则。
单个安全组内保持规则简洁,必要的话用多组安全组。
不同类型应用加入不同规则安全组,比如要外网的一组,纯内网的一组。
避免修改直接生产环境的安全组,先克隆一个测试一下网络连通性,再上线。
⑥ 普通安全组内隔离
普通安全组内默认互通,可以修改安全组内的网络联通策略实现组内隔离。
每个组自己隔离自己内部,不影响其他组。
组内隔离式网卡隔离,所以不只是ECS实例,其他网络资源也可以隔离。
组内隔离的优先度最低,所以需要安全组没有任何自定义规则才能生效。
实例如果属于多个安全组,只要有一个安全组没有设置组内隔离,就不会生效。
设置了组内ACL,也不会生效组内隔离。
7、SSH密钥对
是一种安全便捷的登录认证方式,由公钥和私钥组成,仅支持Linux实例。
阿里云保存公钥,用户下载保存私钥。
① 优点
安全性:比密码更可靠,非对称加密可以杜绝暴力破解。
便捷性:批量登录需求情况,密钥对配置好就不用一个个登录了。
② 使用限制
使用了SSH密钥对,密码登录就不能用了。
仅支持Linux。
一个云账号在一个地域最多有500个密钥对。
一个实例只能绑定一个密钥对,如果需要多个,只能在实例里自己改。
运行中的实例,绑定或者解绑密钥对,需要重启。
8、管理身份和权限
① 访问控制RAM
用于为人员、云服务等指定身份并基于身份授予资源的访问权限。分出不同权限的子账号,然后将不同的权限分给不同的用户。
② RAM用户
有确定的登录密码和访问密钥,RAM用户组就是分类同一职责的RAM用户,用户和用户组都可以分配一组权限策略。
③ RAM角色
有确定的身份,分配了一组权限,但是没有登录密码,而且有时间限制,需要一个授信的实体(ECS)绑定,就可以让授信的实体去访问别的云产品的API了,避免将AccessKey写在了配置文件中的高危行为。
④ 鉴权APi
通过API访问云资源,需要申请 AccessKeyID 和 AccessKeySecret,对称加密,必须保密。
9、基础安全服务
选择默认的安全加固后可免费提供异常登录、漏洞扫描、基线检查、5G以下的DDoS攻击防护。
告警通知支持 短信,邮件和站内信
第八章 部署及弹性
1、实例启动模板
持久化ECS配置,可用于快速创建实例。
存储除了密码之外的配置信息,密钥对、RAM角色、实例类型、网络设置等。
实例启动模板不支持修改。
2、部署集
控制ECS实例分布的策略,部署的时候就考虑容灾。
① 策略
高可用策略:地域内严格分散在不同的物理服务器上
部署集组高可用策略:部署集划分为最多7个组
② 使用限制
不支持合并
不支持抢占式实例
不支持创建专有宿主机
部署集一个可用区最多创建20个ECS实例
不是所有规格都支持部署集
按量付费的节省停机模式,如果回收资源了,部署集重启会失败
第九章 运维管理
1、运维工具
实例健康诊断:可以对实例的系统状态、网络状态、磁盘状态等全方面诊断。
自助诊断系统:一键提交问题信息获得诊断结果。
检测安全组:如果安全组设置不当会导致业务系统异常。
网络连通性诊断:用于诊断云上网络之间的连通性,Linux开启NetworkMager会导致网络异常。
查看实例系统日志和屏幕截图:ECS会缓存实例最近一次启动,重启、或者关机时的故障日志,并且实时的获取实例截图;通过查看这些可以诊断操作系统。
操作审计:记录阿里云行为日志,提供行为分析,安全分析,资源变更动作分析等等。
2、系统事件
系统事件是由阿里云定义,用于记录和通知云资源的信息,比如运维任务的执行情况,系统的异常信息,资源状态变化等。
当存在故障和突发故障的时候,阿里云会通过系统事件的方式同时实例的用户。用户根据事件通知响应故障。ECS模式是会重启的,可以关闭默认重启动作。
① 如果挂载云盘
自动重启恢复(默认)
禁止重启恢复
② 如果挂载本地盘
自动重启恢复(默认)
禁止重启恢复
自动重新部署
③ 应用场景
通知风险和异常:例如当包年包月实例即将到期,提醒及时续费
实现自动化运维:上报至云监控,便于进一步的自动化运维体系
3、运维任务划分
① 阿里云要做的
底层硬件的安全维护,比如说磁盘设备、硬件服务器、网络设备
多租户之间的隔离
② 用户要做的
应用的升级和维护
访问控制、安全配置、安全组、ACL等等
4、ECS使用注意点
① 通用注意点
单独购买的数据盘必须挂载到实例之后才能格式化、并且挂载之后必须再挂载一个文件系统;
ECS本身是基于虚拟化平台,不支持部署虚拟化程序;
ECS的内核和操作系统版本不要随意升级;
网卡的MAC地址不要修改;
IP地址修改可能会导致应用异常;
操作系统切换可能导致数据盘无法识别需要单独安装软件辅助;
② Linux 系统注意事项
不可以开启 NetwworkManger 服务,会导致内部网络服务冲突。
使用前必须挂载数据盘;
使用 growpart 或者 xfsprogs 工具完成系统盘的扩展分区和文件系统;
重启系统后,数据盘丢失或者分区丢失,可能是因为 etc/fstab 文件里没有设置自动挂载,可以先手动挂载,还是提示分区表丢失,可以通过 fdisk、testdisk恢复分区或者testdisk直接恢复数据;
③ Windows 系统注意事项
磁盘管理有系统自带的;
数据恢复软件用一般的商业软件;
如果要用windows部署web,内存至少2g;
2008默认允许最多两个session连接;
连接不上可能是cpu或者内存耗尽;
5、良好的运维习惯
按需规划;
磁盘管理:周期性自动备份快照、特殊操作之前主动备份、定期清理、文件压缩、设置磁盘监控;
运维习惯:设置复杂密码;即使启用安全组;设置访问管理员白名单访问;限制root账号不要所有都用root;账号密码不要发送邮件;
6、网站运维建议
云盘数据日常备份;
使用SSL证书,实现网站的身份认证和数据加密传输;
安装恶意软件查杀插件,方式DDoS攻击;
监控网站入、出流量,有异常流量区间,可以通过安全组设置拦截异常流浪;
监控ECS实例的性能,提前预估是否需要升降配;
定期更新管理员密码;
定期更新软件补丁;
网站本身是否大量占用带宽、大量数据库操作、应用非法内容等等;
7、常见故障排查
① Linux远程失败
检查本地网络是否健康,防火墙是否拦截本地出口;
Telnet 不通需要检查服务器的ssh服务是否正常;
查看实例是不是打开了 Networkmanger,可以使用 Service NetworkManger Status 查看状态;
② Windows远程失败
服务器黑屏:各种资源不足
③ 网络联通故障
第十章 迁移服务
1、服务器迁移
IDC服务器、虚拟机、其他云平台的云主机或者其他类型服务器可以通过 SMC 工具迁移;迁移过程中不需要停机。也支持阿里云内存跨地域迁移。
2、数据库迁移
数据传输服务 DTS 工具可以支持 RDBMS、NoSQL、OLAP等多种数据源之间的数据交互的;支持ECS实例之间的数据库迁移和本地数据库和ECS数据的数据迁移;
支持的源数据一览:RDBMS、MySQL、SQL Server、MongoDB、Redis、NoSQL、PolarDB、DB2等数据库。
第十一章 计费
1、计费项
2、计费方式
3、查看账单
不同的规则是不同的计费条目;
影响收费的因素:付费模式、镜像类型、地域、公网带宽
第十二章 API
支持http和https,允许 get和post
API服务地址:ecs.aliyuncs.com
