CSS Ribbon

Reproducing the GitHub Ribbon in CSS

Fork me on GitHub

【阿里云ACP】-04(负载均衡SLB、弹性伸缩AS内容分发、网络与VPC)

阿里云例题介绍-CDN

F公司新推出一款手机APP,将安装包链接挂在公司的官网(基于云服务器ECS实例)进行下载(安装包大小:6Mb),上线前两个月下载速度还能接受。自从上周公司在CCTV做了一次广告后,下载量持续爆增,不仅用户体验下降了,官网ECS实例的带宽成本也急剧上升。F公司可以选择阿里云_产品组合,同时解决下载速度和带宽成本的问题。

  • A、对象存储OSS和内容分发网络CDN
    B、对象存储OSS和弹性伸缩(Auto Scaling)
    C、对象存储OSS和云数据库RDS
    D、弹性伸缩(Auto Scaling)和云服务器ECS实例
    CDN提供两种计费方式任选:按流量或按带宽峰值。为什么CDN实际产生的流量却要比应用层统计到的流量要高?(正确答案的数量:2个)
  • A、TCP/IP包头的消耗
  • B、TCP重传
    C、链路消耗
    D、设备消耗为了保障全体的
    CDN租户的使用体验,接入阿里云内容分发网络CDN前需要满足一些条件,关于阿里云CDN准入条件的描述,正确的(正确答案的数量:3个)
  • A、阿里云官网完成帐号实名认证
    B、加速域名可以是彩票类网站
  • C、加速的域名必须在工信部完成备案,推荐接入阿里云备案
  • D、加速域名的源站内容,可选择保存于云 服务器ECS实例或对象存储OSS;如源站内容不在阿里云,接入需经过人工审核

阿里云例题介绍-RDS

您希望将本地已经在运行的业务系统(包括服务器及Mysql数据库)迁移到阿里云上,增加系统的可扩展性,并且降低运维成本,以下_是可行的操作。(正确答案的数量:3个)

  • A、使用数据传输DTS的增量数据同步功能将自建机房的MySQL实例的数据迁移到RDS for MySQL
  • B、将本地的应用部署到阿里云的云服务器ECS实例上
  • C、通过已经部署好的云服务器ECS实例制作镜像,进行应用的快速复制,生成更多的应用服务器
    D、基于本地的应用服务器制作镜像上传到阿里云,直接生成新的云服务器ECS实例,提供服务
    您希望将本地已经在运行的业务系统(包括服务器及Mysql数据库)迁移到阿里云上,增加系统的可扩展性,并且降低运维成本,以下_是可行的操作。(正确答案的数量:3个)
  • A、通过已经部署好的云服务器ECS实例制作镜像,进行应用的快速复制,生成更多的应用服务器
  • B、可以将自建机房的数据库实时同步到阿里云的云数据库RDS实例里面
    C、基于本地的应用服务器制作镜像上传到 阿里云,直接生成新的云服务器ECS实例,提供服务
  • D、将本地的应用部署到阿里云的云服务器ECS实例上
    在使用阿里云云产品时,可以通过以下哪些方式来提供数据库服务—?(正确答案的数量:4个)
  • A、Linux的环境安装包安装数据库
  • B、单独购买RDS数据库
  • C、使用镜像市场免费配置环境的数据库
  • D、Windows的环境安装包安装数据库

负载均衡SLB

负载均衡的产生背景

负载均衡的发展

SLB的定位

阿里云SLB:是阿里云结合自身弹性计算平台的特点以及强大的技术优势,提供的一套软件负载均衡解决方案,以更好的满足弹性计算平台负载均衡的需求。
什么情况下使用SLB?

  • 简单说就是单台云服务器不能满足需求的时候
  • 使用多台云服务器进行流量分发,提升服务能力
  • 使用多台云服务器消除单点故障,提升可用性

SLB的实现原理:访问流量路径

采用集群部署,当前提供四层(TCP协议和UDP协议)和七层(HTTP和HTTPS协议) 的负载均衡服务。
系统由三部分构成:四层负载均衡、七层负载均衡、控制系统。

  • 四层:LVS+Keepalived
  • 七层:Tengine

SLB的实现原理:控制系统

控制系统:
用于监控和配置整个负载均衡系统
Master+Agent:

  • Master接受用户的配置请求
  • Agent部署在LVS和Tengine集群上

SLB的组成

来自外部的访问请求,通过负载均衡实例并根据相关的策略和转发规则分发到后端云服务器进行处理

SLB实例规格

目前SLB支持两种规格:

  • 性能共享型实例:资源是所有实例共享的,不保障实例的性能指标。
  • 性能保障型实例:提供了可保障的性能指标。当指标超过限定值时,新建连接请求将被丢弃。

SLB的功能

协议支持

SLB当前提供四层和七层的负载均衡服务

  • 四层:支持TCP/UDP
    基于连接做流量调度。TCP和UDP创建一个socket访问负载均衡实例,这个源和目的IP和端口就是一个连接。
  • 七层:支持HTTP/HTTPS
    基于请求做调度。比如:http get请求访问一个页面。
  • WS/WSS协议支持:
    无需配置,当选用HTTP监听时,默认支持无加密版本WebSocket协议(WS协议); 当选择HTTPS监听时,默认支持加密版本的WebSocket协议(WSS协议)。

SSL证书管理

针对HTTPS协议,提供统一的证书管理服务。证书无需上传到后端ECS实例,解密处理在负载均衡上进行,降低后端ECS实例的CPU开销。

监听转发/HTTPS重定向

SLB支持通过将HTTP监听转发至HTTPS监听,实现HTTPS重定向。
配置方法:
1、创建HTTPS监听
2、创建HTTP监听,在配置监听时,点击开启“监听转发”功能,选择目的监听为上一步中创建的HTTPS监听。

调度算法

会话保持

会话保持:在Session的生命周期内,可以将同一客户端请求转发到同一台后端ECS上

  • 四层:同—IP地址的请求持续发往一台服务器
  • 七层:相同cookie的请求发往一台服务器

健康检查

SLB通过健康检查来判断后端服务器(ECS实例)的业务可用性。健康检查机制避免了后端ECS异常对总体服务的影响,提高了前端业务整体可用性。

虚拟服务器组

主备服务器组

应用场景:
传统的主备需求,即后端服务器中有一台主机和一台备机。
当主机正常工作时,流量将直接走主机;当主机不可用时,流量将走到备机,避免服务中断。

注意:
1、主备服务器组只支持四层监听(TCP/UDP)
2、一个主备服务器组只允许添加两个ECS实例,其中一个作为主机,另外一个作为备机

多可用区

阿里云SLB有两种类型:
(1)“单可用区”类型
(2)“多可用区”类型。
在某些地域,可以选择创建“多可用区”类型的SLB实例,以提高负载均衡服务的可用性。

公网&私网实例

根据业务场景来选择配置对外公开或对内私有的负载均衡服务,系统会分配相应的公网或私网服务地址。

  • 公网类型的负载均衡默认使用经典网络;
  • 私网类型的负载均衡服务可以选择使用经典网络或专有网络。

IPv6实例

SLB支持创建IPv6实例。系统会为实例分配一个公网IPv6地址,转发来自IPv6客户端的请求。

访问控制

SLB提供监听级别的访问控制,即:为不同监听配置不同的访问控制策略。支持黑名单、白名单两种访问控制策略,通过“访问策略组”进行黑/白名单的IP管理。

注意:若开启了访问控制,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部的请求

后端服务器支持添加ECS弹性网卡ENI

弹性网卡(ENI)是一种可以附加到专有网络VPC类型ECS实例上的虚拟网卡,通过弹性网卡,可以实现高可用集群搭建、低成本故障转移和精细化的网络管理。性能保障型负载均衡实例后端服务器支持挂载ECS弹性网卡ENI。

前提条件
负载均衡实例添加后端服务器组时,如果ECS实例绑定多个弹性网卡,支持挂载弹性网卡ENI。

SLB日志管理

查看负载均衡实例、HTTP监听和服务器证书资源一个月内的操作日志

操作日志:需要在ActionTrail控制台查看。操作 审计(ActionTrail)记录云账户资源操作,提供操作记录查询,并可以将记录文件保存到指定的OSS存储空间。
访问日志:结合阿里云日志服务,可以通过分析负载均衡的访问日志了解客户端用户行为、客户端用户的地域分布,排查问题等。
健康检查日志:可以在日志管理页面,查看三天内的健康检查日志。如需要更久的健康检查日志,需要将健康检查日志存储到OSS中,并可以下载完整的健康检查日志。

闲置实例与配额管理

闲置实例向您展示超过7天未投入使用的后付费实例,保持关注闲置实例,有助于更好的管理成本

可以通过负载均衡控制台查询当前资源配额使用情况。如果某个资源的剩余配额不满足业务需求,也可以直接申请增加配额。

SLB的优势

SLB的配置流程

最佳实践1:作为公网流量入口

架构解读:
这是一种典型的使用方式。在ECS上部署无状态的应用,使用SLB服务作为公网流量的入口,可以提高系统的可用性,同时,后端ECS不再需要公网IP和公网带宽。

最佳实践2:多级负载均衡

场景:有对公应用,也有很多应用不需要对公网访问,但都需要负载均衡
解决方案:选用公网SLB+私网SLB搭建两级负载均衡。公网SLB承接对公访问,公网SLB的后端ECS调用私网SLB
优势:

  • 节约成本:私网SLB免费
  • 更加安全:私网SLB对公无法访问,保护内部敏感应用
  • 配置简单

最佳实践3:实现相同域名不同路径的流量转发

使用虚拟服务器组+URL转发规则,实现将相同域名不同路径的流量转发至不同的后端服务器组

最佳实践4:同城容灾架构

1.购买负载均衡实例时,选择可用区类型为多可用区的地域,在SLB的主、备可用区均部署ECS;
2.在极端情况下(主可用区整体不可用时),负载均衡30秒内切换到备可用区并恢复服务;
3.当主可用区恢复时,负载均衡自动切换到主可用区。

应用案例1:可扩展的应用架构

某家园共育平台,专注于3-6岁孩子的成长教育
面临挑战:用于大规模的增长,系统需要应对高并发的访问量

架构解读:

  • 分布式部署、服务化架构,易扩展、高可用;
  • SLB实现负载均衡,统一带宽流量入口,消除单点故障,实现高可用,提高系统可用性;

应用案例2:金融级两地三中心架构

场景:金融应用对可靠性要求极高,合规也要求两地三中心。
解决方案:

  • SLB后端挂载多台同Region下不同可用区的ECS,结合SLB自身的同城容灾,实现一个可用区故障时业务自动切换到另外一个可用区继续服务。
  • 配合使用云解析智能DNS,可做到多Region冗余。

应用案例3:结合全局流量管理实现跨地域负载均衡

结合全局流量管理,您可在本地负载均衡上层部署全局流量管理,实现跨地域容灾、不同地域访问加速和智能解析。
多线路智能化解析服务
跨地域容灾
不同地域访问加速

小结

1、SLB的典型应用场景是什么?
消除单点故障
2、SLB有哪些功能?
监听转发、会话保持
3、SLB有哪些优势?
安全、低成本、高可用、无单点

弹性伸缩服务的产生背景

场景1:某视频公司,春晚或每周五热门节目来临时,如临大敌,需要按负载自动弹性伸缩
场景2:某视频直播公司,无法预估业务负载情况,需要根据CPU利用率、Load、带宽利用率,自动弹性伸缩
场景3:某游戏公司,每天中午12点,每天晚上6点~9点,需要定时扩容

不同的解决方式

弹性伸缩服务的产生背景

AutoScaling的概念

弹性伸缩(AutoScaling)是一种服务,可以自动调整弹性计算资源(ECS),以满足业务需求的变化。
应用场景:弹性扩张、弹性收缩、弹性自愈

AutoScaling的功能

  • 功能1:根据客户业务需求自动调整ECS实例数量

  • 功能2:自动向SLB的后端服务器组中添加或移除相应的ECS实例。

冷却时间

场景:当CPU过高时,触发报警任务,创建了几台新的ECS,但是CPU要经过一小段时间才能降下来。这个过程中,报警任务是否会持续被触发?
解决方案:伸缩活动成功执行后,设定一段锁定时间,即冷却时间。冷却时间内不会接受由云监控报警任务触发的伸缩活动请求。

生命周期挂钩(LifecycleHook)

场景:伸缩组释放ECS实例时需要先将实例从SLB后端服务移除(防止接收新的请求),待检测已经接收到的请求处理完成,停止并释放实例。
解决方案:在该伸缩组内创建生命周期挂钩。设置伸缩活动类型为“弹性收缩”,设置超时时间为(预计的)请求最长处理时间。当发生弹性收缩类型伸缩活动时,ECS实例从SLB移除后会挂起一段时间(即超时时间),等待请求处理完成。待超时时间到,再释放ECS实例。

AutoScaling的组成

AutoScaling的优势

AutoScaling配置流程

最佳实践:多种伸缩模式结合

使用弹性伸缩,要提前判断、评估业务场景。
(1)定时伸缩模式(定时任务):基于已知的周期性变化,定时增加或减少ECS实例;
(2)动态伸缩模式(报警任务):基于云监控性能指标(如CPU、内存利用率),自动增加或减少ECS实例,应对不可预期的变化;
(3)为了应对异常情况(如遭受黑客DDoS攻击),使用云监控及其报警功能,及时发现问题、及时处理。或者使用云安全产品。

应用案例1:小公司无运维团队

某互联网亲子社区

日均PV 300万、日均活跃用户8万、日均上传高清照15万张、日均上传视频6000个。在阿里云存储数据8T+,照片1500万张,视频60万个
急需解决:

  • 需要存储大量的照片和视频
  • 创业团队,无专人维护
    解决方案:ECS、SLB、RDS、OSS、AutoScaling

应用案例2:大公司实现自动化运维

某图像视频技术服务公司

面临问题:
1.上万视频平台客户
2.业务指数级增长
解决方案:网关集群和业务集群都有“组”的概念,基于组的弹性伸缩,可以快速应对突发流量。

网络与VPC背景

网络产品概览

专有网络VPC

  • 专有网络VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。VPC主要提供了两个能力:
  • 用户可以自定义网络拓扑,包括选择自有IP地址范围、划分网段、配置路由表和网关等;
  • 通过专线或VPN与原有数据中心连接,云上和云下的资源使用同一个网络地址规划,实现应用的平滑迁移上云。

专有网络VPC特点

专有网络VPC产品架构

路由器与交换机

  • 路由器和交换机是VPC的两个基础组件

  • 路由器(VRouter)可以连接VPC 内的各个交换机,同时也是连接VPC和其他网络的网关设备。
  • 每个专有网络创建成功后,系统会自动创建一个路由器。每个路由器关联一张路由表。
  • 交换机(VSwitch)是组成专有网络的基础网络设备,用来连接不同的云产品实例。

路由表与路由条目

弹性公网IP

弹性公网IP(Elastic IP Address,简称EIP),独立的公网IP资源,可以绑定到阿里云专有网络VPC类型的ECS、NAT网关、私网负载均衡SLB上,并可以动态解绑,实现公网IP和ECS、NAT网关、SLB的解耦,满足灵活管理的要求。

高速通道

高速通道是一款为用户提供网络互连能力的产品,为用户实现高速、稳定、安全的私网互通。高速通道可实现云下IDC接入阿里云、IDC与云上VPC互通以及云上VPC之间跨地域互通的能力。

高速通道应用场景

VPN网关

VPN网关(VPN Gateway)是一款基于Internet,通过加密通道将企业数据中心、企业办公网络、或internet终端和阿里云专有网络(Virtual Private Cloud)安全可靠连接起来的服务。

注意:阿里云VPN网关在国家相关政策法规内提供服务,不提供访问Internet功能。

高速通道与VPN对比

比较点 使用公网打通VPC通信 使用高速通道打通VPC通信
通信质量与可用性 远距离公网通信质量受各种因素影响,时延稳定性、丢包率难以保证 阿里云优质基础设施为更好的链路质量和可用性提供保障:·保证时延抖动不超过20%·保证封包成功率不低于99.8%·可用性不低于99.95%·丢包率低于0.2%
成本 使用公网进行通信需要支付昂贵的公网流量费用或者带宽费用 跨地域之间带宽费用相对低廉。同地域之间VPC互连免费。
安全性 通过公网传输存在被监听窃取的风险 基于阿里云虚拟网络技术实现,不同通信链路相互隔离,安全性高。

NAT网关

NAT网关(NAT Gateway)是一款企业级的VPC公 网网关,提供SNAT和DNAT功能,支持多IP,支持共享带宽,具备TGbps级别的集群转发能力和Region级别的高可用性(跨可用区的容灾)。

共享公网带宽

各自购买公网带宽

业务1:峰值30MB,峰值出现时间不稳当;为了应对可能的突发高峰,要购买40 MB的带宽。
业务2:峰值100 MB,出现在18:00左右:为了应对突发高峰,要购买150 MB的带宽。
业务3:峰值100 MB,出现在21:00左右:为了应对突发高峰,要购买150 MB的带宽。
总计需要购买340 MB的带宽。

用NAT网关来共享带宽

在共享带宽模式下,三个业务的总计峰值约为180 MB。考虑到可能的流量高峰,购买一个260 MB的共享带宽包就可满足业务需要。

IPv6网关

IPv6网关(IPv6 Gateway)是专有网络(VPC)的一个IPv6互联网流量网关。您可以通过配置IPv6互联网带宽和仅主动出规则,灵活定义IPv6互联网出流量和入流量。

高可用:IPv6网关提供跨可用区级的高可用能力,帮您打造极致稳定的IPv6公网网关服务。
高性能:单个IPv6网关实例可提供万兆级吞吐量,满足超大业务IPv6公网需求。
灵活管理公网通信:您可以通过调整公网带宽和设置仅主动出规则,灵活设置IPv6地址的公网访问权限。

设置EIP网卡可见模式

弹性公网IP本质上是一个NAT IP。
由于普通模式(NAT模式)下的公网IP存在于网关设备,并不在ECS实例的网卡上,所以在操作系统内看不到公网IP,只能看到网卡上的私网IP。

EIP网卡可见模式功能使EIP在网卡上可见,解决了
上述问题:
EIP替换辅助弹性网卡的私网IP,辅助弹性网卡将变为一个纯公网网卡,私网功能不再可用。
EIP在操作系统内部的弹性网卡上可见,可直接通过ifconfigipconfig获取网卡上的公网IP地址。 EIP可支持全部IP协议类型,支持FTP、H.323、SIP、DNS、RTSP、TFTP等协议。

VPC的网络规划

问题一,应该使用几个VPC?

单个VPC
  • 没有多地域部署系统的要求
  • 各系统之间也不需要通过VPC进行隔离
多个VPC

  • 多地域部署系统

  • 多业务系统隔离

问题二,应该使用几个虚拟交换机?
问题三,应该选择什么网段?
问题四,考虑一个比较复杂的业务系统,云上存在多个VPC且需要和云下IDC互通,如何规划网段?

网络规划--应该使用几个虚拟交换机

即使只使用一个VPC,也尽量使用至少两个虚拟交换机,并且两个虚拟交换机分布在不同可用区,做到跨可用区容灾。
使用多少个虚拟交换机还和系统规模和系统规划有关。

网络规划--应该选择什么网段

VPC网段

网段 可用IP地址数量 备注
192.168.0.0/16 65532 去除系统占用地址,掩码必须在16到29之间
172.16.0.0/12 去除系统占用地址,掩码必须在16到29之间
10.0.0.0/8 去除系统占用地址,要考虑经典网络配置,掩码必须在16到29之间

(1)只有一个VPC并且不需要和本地IDC互通时,可以选择上表中的任何一个网段或其子网。
(2)VPC网段的选择还需要考虑到是否使用了经典网络。(10.0.0.0/8)
(3)如果有多个VPC,或者有VPC和线下IDC构建混合云的需求,,掩码建议不超过16位。

交换机网段

(1)交换机的网段的大小在16位网络掩码与29位网络掩码之间;
(2)交换机的网段可以和其所属的VPC网段相同,或者是其VPC网段的子网;
(3)每个交换机的第一个和最后三个IP地址为系统保留地址。
(4)ClassicLink功能允许经典网络的ECS和192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12这三个VPC网段的ECS通信。
(5)虚拟交换机网段的确定还需要考虑该交换机下容纳主机的数量;

小型的基础架构的VPC网络规划实践

举例:
VPC网段:192.168.0.0/16
交换机1:192.168.0.0/24
ECS-11:192.168.0.2
ECS-12: 192.168.0.3
交换机2:192.168.1.0/24
ECS-21:192.168.1.11
ECS-22: 192.168.1.12

多VPC与IDC互通的网段规划

VPC的访问控制

ECS-安全组
安全组是一种虚拟防火墙,具备状态检测包过滤功能—网络安全隔离手段,用于在云端划分安全域;

  • 当访问控制规则冲突时,优先级高的规则生效,优先级相同时,“拒绝”的规则生效
  • 安全组应作为白名单使用,且遵循“最小授权”原则
    云数据库RDS版—白名单
    用户可定义允许访问RDS的IP地址,指定之外的IP地址将被拒绝访问,云服务器的IP地址加入到需要访问的RDS的白名单后,云服务器才能访问RDS实例;
    负载均衡-白名单
    用户可定义允许访问SLB的IP地址,指定之外的IP地址将被拒绝访问,适用于应用只允许特定IP访问的场景;

VPC的路由表和路由条目

VPC内网路由
VPC互连——高速通道连接两个VPC
VPC互连--VPN网关连接两个VPC
高速通道物理专线连接专有网络和本地网络
VPN网关连接专有网络和本地网络

路由表和路由条目--VPC内网路由

路由表和路由条目--VPC互连(高速通道)

路由表和路由条目--VPC互连(VPC网关)

路由表和路由条目--连接本地网络(高速通道)

路由表和路由条目--连接本地网络(VPN网关)

最佳实践:基于VPC构建混合云

混合云是目前应用比较多的一种形态,它将用户线下IDC和云上VPC连接起来,既保护了用户线下IDC的现有投资,又充分利用了云的弹性,低成本等优势。

小结

1.什么是专有网络VPC,它有什么特点?
2.简述专有网络VPC产品的基本概念,如VRouter、VSwitch、路由表等。
3.在VPC上如何管理ECS、SLB和RDS?
4.云上/云下连入VPC有哪些方式,它们之间的区别各是什么?
5.NAT网关的功能和应用场景是什么?

posted on 2023-02-09 16:50  pandaboy1123  阅读(287)  评论(0编辑  收藏  举报

导航