phpacp开首技巧_阿里云弹性认证ACP集锦

阿里云弹性认证ACP集锦

概 念 与 题 记

一、云做事器ECS：30%

云做事器 ECS (Elastic Compute Service) 是一种云打算做事，管理高效、随时创建实例、扩容磁盘、或开释任意多台云做事器实例。

ECS 实例是一个虚拟的打算环境，包含 CPU、内存等最根本的打算组件，是实际操作实体，是云做事器最为核心的观点，其他的资源，比如磁盘、IP、镜像、快照等，只有与 ECS 实例结合后才能利用。

API调用：API接口调用是通过向API做事端地址发送HTTP GET要求。
支持通过HTTP或HTTPS通道进行要求通信。
每个要求都须要指定要实行的操作，即Action参数（例如CreateScalingGroup），以及每个操作都须要包含的公共要求参数和指定操作所特有的要求参数。
--考题

第一部分：ECS 实例

1.上风：

l 稳定性： 做事可用性高达 99.95%，数据可靠性高达 99.99% 。
支持宕机迁移、数据快照备份和回滚、系统性能报警。

题记：宕机迁移在地域或者可用区范围？数据如何回滚？云监控有哪些指标？

地域：ECS 实例所在的物理位置。
地域内的 ECS 实例内网间是可以互通的，但是不同地域之间的 ECS 实例内网不互通。
其他云产品不同地域内网也不通。

可用区：在同一地域内，电力和网络相互独立的物理区域。
同一可用区内的 ECS 实例网络延时更小。
在同一地域内可用区与可用区之间内网互通，可用区之间能做到故障隔离。
是否将云做事器 ECS 实例放在同一可用区内，紧张取决于对容灾能力（建议放不同可用区）和网络延时（建议放同一可用区）的哀求。

l 容灾备份：每份数据多份副本(三副本)，单份破坏可在短韶光内快速规复。

题记：规复是否须要人工参与？

l 安全性：支持配置安全组规则、云盾防DDOS系统、多用户隔离、防密码破解。

题记：默认安全组？一个实例支持几个安全组？一个安全组有几个安全规则？云盾体系包含哪些？根本DDOS流量与高防DDOS流量？密码破解须要购买何种云盾体系产品？

l 多线接入：基于边界网管协议（Border Gateway Protocol，BGP）的最优路由算法。
BGP多线机房，全国访问流畅均衡。
骨干机房，出口带宽大，独享带宽。

题记：经典网络与私有网络（VPC）？网络带宽如何计费？BGP与CDN与云DNS解析做事于httpDNS？

l 弹性扩容： 10分钟内可启动或开释100台云做事器ECS实例；支持在线一直机升级带宽；5分钟内停机升级CPU和内存。

题记：弹性伸缩？

l 本钱低：无需一次性大投入，按需购买，弹性付费，灵巧应对业务变革。

题记：ECS计费办法？包年包月？按量付费？包年包月ECS实例是否可以加入弹性伸缩组？弹性伸缩实例配置支持包年包月实例吗？弹性伸缩支持不同规格的实例吗？弹性伸缩组中的实例，手动加入的ECS实例是否会自动开释？

l 可控性：作为云做事ECS的用户，您拥有超级管理员的权限，能够完备掌握云做事器 ECS 实例的操作系统，可以通过管理终端自助办理系统问题，并可以进行支配环境、安装软件等操作。

l 易用性：丰富的操作系统和运用软件，利用镜像可一键大略支配同一镜像；可在多台 ECS 实例中快速复制环境，轻松扩展；支持自定义镜像、磁盘快照批量创建云做事器 ECS 实例。

题记：自定义镜像？ECS实例到期对付手动快照和自动快照是否会自动开释？自动快照能否存放在OSS？

l API 接口：利用 ECS API 调用管理，通过安全组功能对一台或多台做事器进行访问设置，使开拓利用更加方便。

题记：API接口调用办法，HTTP GET ? HTTPS GET ？

2.功能：

l 9 大地域中创建实例，有的地域供应多个可用区。

题记：地域（Region）？可用区（Zone）？

l 2 种实例系列、3 种实例规格族、数十种实例规格，从 \"大众1 核 1GB\"大众 到 \公众16 核 128GB\"大众，知足各种不同需求。

题记：内存型适用场景？打算型适用场景？

实例系列 I：采取DDR3内存 I/O 优化可选（默认没有优化）

实例系列 II：采取 Haswell CPU，用户可以得到更大的实例规格。
同时增加了一些新的指令集，使整数和浮点运算的性能翻倍。
采取 DDR4 内存，访问速率更快。
I/O默认优化

实例系列I和II之间不能相互升降配

l 3 种数据存储盘（普通云盘、SSD 云盘、高效云盘），并供应 I/O 优化实例。

题记：考试中有提到本地SSD，以是这里的三种彷佛不准确？?我的考题中有一题类似描述本地SSD高性能I/O，还有一题是有集中数据盘可选（普通云盘、SSD 云盘、高效云盘、本地SSD），如果没有涌现本地SSD，就选三种，由于本地SSD已经下架了，新购用户无法采购本地SSD

l 2 种 IP 地址：公网 IP 和私网 IP，实现内网互联，并能访问 Internet。

题记：IP是否可以手动修正？

l 2 种网络类型：经典网络和专有网络。

题记：VPC？（购买VPC类型ECS会有默认专有网络和默认交流机，可删除默认专有网络和默认交流机）VPC网络中支持将ECS实例从某一起由器下的一台交流机转移到另一台交流机。

l 支持多种 Windows 和 Linux 操作系统。

题记：支持2003？支持xp、win7？支持Redhat、CentOS,Ubuntu?

Windows系统免费赠予40G？Linux免费赠予20G？

Window系统盘默认盘符?Linux系统盘默认盘符？/dev/xvda？

l 免费开通云盾并供应云监控做事。

l 丰富的镜像资源，支持公共镜像、自定义镜像、共享镜像和镜像市场，让您免安装、快速支配操作系统和运用软件。

题记：自定义镜像如何跨地区利用？ECS实例失落效或过期，自定义镜像是否可用？

l 供应掌握台、远程终端和 API 等多种管理办法，给您完备管理权限。

题记：Windows和Linux远程端口分别是什么？3389可以修正为其他端口吗？22端口无法连接可能是什么问题，SSH做事没开,公网无法访问？

l 灵巧的付费办法：包月包年和按量收费。

题记：包年包月可以随时升降配置吗？按量收费呢？

3.计费模式（\"大众按量付费\"大众和\"大众包年包月\"大众仅计费模式不同，可同样免费利用云盾、云监控、负载均衡等阿里云产品）

l 按量付费：后付费（至少存￥100）计费单位1小时；可以随时开释资源退款。
适用于有爆发业务量。

题记：按量付费可以随时开释退款吗？

l 包年包月：预支费,计费单位1个月；不能随时开释资源退款。
适用于固定的 7x24 做事。

题记：对付不同业务场景，进行实例选择，比如WEB运用可能须要考虑包年包月？支持升降配

4.范例运用处景

l 企业官网、大略的 Web 运用：支配运用程序、数据库、存储文件等；随着网站发展，随时提高ECS的配置。

题记：ECS实例本身可以安装MYSQL ORACLE等数据库，紧张是须要自己掩护，与RDS差异在于RDS供应了安全可靠的数据库做事，无需考虑数据库备份等问题，本身供应了掌握台可进行灵巧配置，只是RDS再好，一是较专业也贵，二是ECS本身是可以支配数据库的，只要不开通外网做事，也可以享受ECS本身的可靠性？

l 多媒体、大流量的 APP 或网站：云做事器 ECS 与工具存储 OSS 搭配，将 OSS 作为静态图片、视频、下载包的存储，以降落存储用度，同时合营 CDN 和负载均衡，可大幅减少用户访问等待韶光、降落带宽用度、提高可用性。

题记：OSS ? CDN ? SLB ? 网站本身有很多静态图片、视频OSS确实很好用；考虑到ECS本身的BGP以能知足快速访问的需求，要深入理解CDN的观点，一方面是OSS的计费包含三个部分（存储空间、下行流量、接口调用用度），另一方面这里的下行流量如何结合CDN进行购买，就可以把下行流量部分省去，转嫁到CDN用度上去了，这个是一个结合点

l 数据库：利用较高配置的 I/O 优化型云做事器 ECS，同时采取 SSD 云盘，可实现支持高 I/O 并发和更高的数据可靠性。
也可以采取多台轻微低配的 I/O 优化型 ECS 做事器，搭配负载均衡，实现高可用架构。

题记：这里区分I/O优化型和未优化两种？明白可靠性和可用性，本身SSD云盘便是可靠性，加上负载均衡可以利用更高的可用性。

l 访问量颠簸大的 APP 或网站：某些运用，如 12306 网站，访问量可能会在短韶光内产生巨大的颠簸。
通过利用弹性伸缩，实现在业务增长时自动增加 ECS 实例，并在业务低落时自动减少 ECS 实例，担保知足访问量达到峰值时对资源的哀求，同时降落了本钱。
如果搭配负载均衡，则可以实现高可用架构。

题记：ESS ? 特殊利用那种访问颠簸大的场景或类似字眼；峰值、业务增长、短韶光等等；可用性每每说的是SLB

5.实例生命周期

准备中：中间状态；运行中之前的状态；Pending

已创建：稳定状态；未启动的实例；Stopped

启动中：中间状态；重启或启动终；Starting

运行中：稳定状态；正常运行状态；Running

停滞中：中间状态；被停滞操作中；Stopping

已停滞：稳定状态；实例已关闭；Stopped

重新初始化中：中间状态；由于重新初始化系统盘或数据盘，进入运行中之前；Stopped

改换系统盘中：中间状态；由于改换操作系统，进入运行中之前；Stopped

已过期：稳定状态；由于到期或欠费而停滞；Stopped

6.磁盘：挂载到相同可用区的任意ECS实例，个中SSD云盘要与I/O性能优化的实例结合利用才能发挥高IOPS的上风；

云盘类型：三种！
！
！
！
本地SSD已下架，老玩家持有。

普通云盘：数百IOPS，20-40M吞吐，5-10ms时延，最大2T；

高效云盘：3000IOPS，80M吞吐，1-3ms时延，最大32T；

SSD云盘：20000IOPS，256M吞吐，0.5-2ms时延，最大32T；

三副本技能（分片Chunk）：当有数据节点破坏，或者某个数据节点的部分硬盘发生故障，三副本技能会自动修复保障三副本稳定运行；至于实例内由于病毒传染、认为误删或者黑客入侵，须要结合备份和快照进行规复。

本地SSD：把稳已停滞发卖且不在云盘种别；位于做事器本地SSD盘，存在单点故障风险，不支持ECS的升降配；低延时；高IOPS；有限的数据保障；不支持挂载和卸载；

7.网络和安全性（ECS实例不支持组播和广播）

内网：只假如相同地域，4大产品都可以实现内网互联；

ECS内网：同一账号同一地域（不同可用区也可以）默认内网互联；不同账号相同地域默认内网不通，须要通过安全组实现；内网IP地址不能就行修正、改换；实例的内网、外网不支持VIP（虚拟IP）配置。

经典网络的IP：私网IP和公网IP

私网IP:不可修正；同一地域私网通讯免费；适用于SLB/ECS/OSS

公网IP：选择大于0M的公网带宽，可得到一个公网IP，收费；带脱期制是针对出方向带宽的限定；适用于ECS与Internet互联

8.安全组（同一地域内有相同安全需求和相互信赖的实例组成，是虚拟防火墙，用于在云端划分安全域）

每个实例至少属于一个安全组，组内实例网络互通，不同组实例默认内网不通，可通过安全规则授权互访；

安全组限定：每个用户最多可创建100个安全组，每个安全组最多1000个实例，每个实例最多加入5个安全组，每个安全组最多100条规则；安全组的数据包Outbound方向如果被许可，那么此包Inbound方向也是许可的。
经典网络下的实例可以加入同一地域范围的安全组；

专有网络下的实例可以加入同一VPC下的安全组；

安全组规则：用于实现禁止或许可ECS的公网和内网的入出方向的访问；随时授权，自动适用；没有规则可以许可ECS出方向访问，入方向禁止；设置规则请务必简洁，以免网络不通；

9.镜像

ECS实例的模板，可用于创建或改换ECS的系统盘；来源包括官方镜像、镜像市场、自定义镜像、用户共享镜像，乃至可以导入线下镜像到ECS天生一个自定义镜像，镜像可以跨地域利用。

10.快照（系统盘或数据盘的数据备份）

适用：快速复制用于其他实例的根本磁盘；规复到实例快照的历史状态；

事理：增量快照机制，第一次快照由于是通盘复制速率较慢，往后的每次快照基于数据变革情形，只复制变革的部分，速率提升。

快照链：一个磁盘对应一个快照链，个中快照节点是指每一次的快照；快照容量是所有快照占用的存储空间；快照额度最多64个，含自动快照和自定义快照，达到额度，如果要自动快照，那么最早的自动快照将被删除；

11.常见问题

无法访问ECS网站:ping实例IP，telnet运用和数据库的端口，测试本地是否可以访问其他网络，末了可通过tracert网络路由信息反馈到本地运营商；

其他情形要考虑ECS实例本身是否有非常，运行状态是否正常，是否磁盘已满，有没有受到网络攻击，或者只是运用本身问题；

无法访问ECS做事器：通过ping和tracert网络资料提交工单。

实例宕机排查：内存溢出、流量过大、黑客入侵、误操作

加强实例安全：强密码，修正默认端口（如远程端口—考题），利用云盾安全产品，购买云做事器托管做事，利用WAF（运用防火墙），系统打补丁，乃至可以安装一些安全防护软件；

带宽跑满：病毒；网络攻击；耗资源的进程；爬虫；网站本身规模较大（升级带宽）；可结合利用OSS、CDN产品存放静态文件；

网站打开提速：网页内容要精简；更好的机器配置；适宜的防护软件；足够的带宽；大量的数据库要求；大量的javascript；过多的图片或flash；引用了其他网站内容；DNS解析；CC攻击

CPU跑满：线程数已满；网站被盗链；网络攻击；木马或病毒；web攻击等；

FTP上传中断：于软硬件及网络环境都有关系，可以考虑断点续传软件并压缩文件进行上传；FTP连接报错421是由于连接人数过多引起的，修正参数重试次数999，间隔60S；

肉鸡类问题：账户引起（紧张是确认是否存在造孽创建的账户，包括$开头的常见黑客账户，也有一些是隐蔽账户，须要技能手段排查）；恶意进程引起（通过技能手段找出恶意进程，比如非授权端口等）；恶意程序引起（是否有非常启动项）；web做事（借助web漏洞进行攻击）；；

修正远程端口并限定登录IP以应对肉鸡（考题）：修正方法略

监控CPU和内存的日志工具：略

申请解锁：由于实例多次对外DDoS攻击，且未停滞；或存在严重暴力破解做事器密码行为；钓鱼敲诈行为被投诉等；阿里云将封锁此实例；您拥有一次解锁权限，下不为例；

Linux 实例挂载数据盘报错：场景一，数据盘挂载到目录/mnt，创造/mnt原有的数据不见了，实在是被新的数据盘暂时掩蔽，当数据盘卸载后，原有的/mnt数据就又重现了。
场景二，数据盘无法卸载，提示设备正忙，这是由于目录被占用了，只要程序或用户停滞利用该目录，即可卸载。
建议数据盘挂载到新的目录，避免冲突。

ECS云做事器对外攻击解锁后办理方案：肉鸡行为，要进行病毒木马排查；修复做事器漏洞；开启云盾做事；最强办法便是先备份系统盘和数据盘数据到本地，进行重置磁盘，末了规复数据。
实在弗成就联系售后技能支持。

云做事器遭受网络攻击的处理方法：安全洗濯的利用，这里有一个DDOS攻击阈值，300M，可以降落此值，以自动触发安全洗濯；

Ping相应延迟或丢包的办理办法：首先确认本地ping其他域名是否畅通；判断做事器是否遭受攻击；本地ping是否被云盾拦截；

12.Window快速入门

按量计费：100余额的哀求；

默认情形下，一个 Windows2003/2008 系统许可最多 2 个 Session 远程连接。

系统盘必选，数据盘最多4块；

管理终端是独享的（不同于远程终端，是阿里云自带的web访问），密码可修正，须要重启实例密码才生效；支持IE10及以上，或Chrome浏览器。

考点：格式化数据盘，购买实例的时候选择了数据盘，则须要手动格式化数据盘（方法略），其余可根据须要进行多分区配置。
把稳，系统盘不能二次分区。

扩展系统盘：指的是，购买了大于40G的系统盘实例，默认只分配了40G的空间，假设购买了50G系统盘，则须要通过手动扩展方法扩展系统盘从40G到50G（方法略）.

支配环境：（云做事器 ECS 不支持虚拟化软件（如 KVM、Xen、VMware 等）的安装支配。
---这个是考题）通过镜像一键支配；下载web套件，按照指南支配等略。

二、弹性伸缩（ESS）：10%

根据用户的业务需求和策略，自动调度其弹性打算资源的管理做事。
业务需求增长时无缝地增加ECS实例（弹性扩展），业务低落时自动减少实例（弹性紧缩）。

弹性伸缩免费，但是通过弹性伸缩自动创建或者手工加入的ECS实例，须要按照ECS干系实例类型进行付费。
把稳，按量付费ECS关机（Stop）后仍会收取实例用度，只有开释（Release）后才不再收取。

支持SLB：在增加或减少ECS时，自动向SLB添加或移除ECS.

支持RDS：在增加或减少ECS时，自动向RDS白名单添加ECS的IP.

1、 弹性自愈：用户根据自己的业务需求自动更换不康健的ECS实例使业务始终保持正常的负载，为业务保驾护航（考题）

2、 伸缩组：具有相同运用处景的ECS实例的凑集。
伸缩组定义了组内ECS实例数的最大值、最小值及其干系联的SLB实例和RDS实例等属性；个中伸缩配置定义了伸缩组内的ECS的配置信息；伸缩规则定义了详细的伸缩操作，如加入或减少N个ECS实例；实行伸缩规则就产生了一条伸缩活动，记录ECS实例变革情形；定时任务、云监控报警任务可以触发伸缩规则；冷却韶光定义了同一伸缩组内，伸缩活动完成后会有一个锁定时间，这个韶光内不能实行其他伸缩活动。

伸缩组包含伸缩配置、伸缩规则、伸缩活动，删除伸缩组连带删除伸缩配置、伸缩规则、伸缩活动。

定时任务、云监控报警任务独立于伸缩组（考题）。

3、 伸缩模式：定时模式（实行周期性的定时任务）；动态模式（基于云监控性能指标如CPU利用率，自动增减实例）；固天命量模式（通过MinSize属性，保持康健运行的实例数量，担保日常业务稳定运行）；自定义模式（用户自己定义监控指标，通过API手工伸缩实例数目---比如手工实行伸缩规则、手工添加或移除实例、手工调度MinSize，MaxSize数值，ESS会自动创建或开释实例，使实例坚持在MinSize~MaxSize之间）；康健模式（如某一台实例为非running状态，该实例将被自动移除或开释—考题）;多模式并行（定时模式结合动态模式等组合运行模式，既设置了某一个时候的伸缩数目，也设置了如果CPU利用率过高可动态创建实例。
）

4、 运用处景：随需应变、自动化、智能；某视频公司、某视频直播公司、某游戏公司等业务场景。

5、 把稳事变：实例支配的运用须要是无状态的、可横向扩展的，不保存session或干系数据，因此架构设计须要把状态信息（保存到独立的做事器）、数据（RDS）、共享缓存（OCS）、集中日志存储（SLS）等对应的产品。
请把稳自动创建的ECS，被移出伸缩组会自动开释；用户自己创建手工添加的ECS，移出伸缩组不会被开释。

6、 常见问题：

ECS如何担保配置环境的同等：通过ECS自定义镜像模板，如果自定义镜像修正了/etc/hosts的内容，则新创建的实例会自动打消并还原系统默认etc/hosts；如果利用的是镜像市场的镜像，则须要购买对应数量的镜像（n个），不过镜像市场的镜像不支持批量购买，且镜像市场的镜像可能会过期，这个时候要考虑用新的镜像来替代；1个product code支持不同地域的镜像；

密码登录问题：弹性伸缩自动创建的实例如何查看到密码并进行登录？（每个自动创建的实例密码都不一样，一方面linux可通过设置公私钥进行ssh免密登录，一方面通过掌握台重置密码重启实例后生效）

伸缩配置与规则问题（考题）：弹性伸缩创建伸缩配置的时候如何选我已经购买过的云做事器？（ECS实例必须知足：与伸缩组在同一个region；规格必须与生效伸缩配置的实例规格同等；状态必须是\"大众运行中\公众状态，不能已加入到其它伸缩组中，不可以是VPC类型；）支持包年包月和按量付费两种类型,加入的ECS实例在移出伸缩组时不会被开释。
弹性伸缩是否支持已有的包年包月实例添加？（默认是自动创建按量付费实例，但是同时也支持用户已有的包月和按量实例添加）。
每个伸缩组中只能设置一种伸缩配置的规格（CPU和Memory）。
不过您可以通过设置多个伸缩组，在每个伸缩组设置不同的配置。
一个伸缩组的最大实例数只能为100个，如需更高数量，可以提交工单申请；伸缩配置可以是大配置如8核、16核等，如需更高配置可以提交工单申请；将ECS实例移出伸缩组并开释，ECS上的数据也无法保留的。
通过API实行DisableScalingGroup时，自动伸缩而创建的按量付费实例不会自动开释。

弹性伸缩支持 RDS 访问白名单，在增加或减少 ECS 实例时，自动向 RDS 访问白名单中添加 或移出该 ECS 实例的 IP。
但OCS目前不支持。
弹性伸缩目前还不能支持\"大众纵向扩展\"大众（考题），即ESS暂时无法自动升降ECS的CPU、内存和带宽。

如何担保手工添加的ECS实例不被移出伸缩组（考题）？将最小实例数（MinSize）设置为N或者大于N；将移出策略（RemovalPolicy）的第一条挑选规则设置为\"大众最早伸缩配置对应的实例；以上是正常的康健逻辑，如果您停滞了这些手工添加的ECS实例，弹性伸缩会视为他们\"大众不康健\"大众，并将它们移出伸缩组，由于弹性伸缩须要担保在伸缩组里的ECS实例是\"大众康健\公众的。
（考题：试问某一ECS实例不康健，ESS是如何添加新的ECS实例，这里是直接移除，自动新建一台，而不是对该实例进行修复等等的。
）

SLB与RDS干系问题：如果在伸缩组中指定了SLB实例，伸缩组会自动将加入伸缩组的ECS实例加入到指定的SLB实例中。
一个伸缩组默认只能绑定一个SLB实例，如果您须要利用多个SLB实例的话，您可以提交工单申请更高配额,目前ECS实例暂时仅支持一个SLB，多个SLB须要提交工单申请。
弹性伸缩是一个开放的弹性伸缩平台。
弹性伸缩可以单独扩展和紧缩ECS实例，既可以搭配SLB，RDS一起支配，也可以不搭配SLB，RDS一起支配。
ESS支持通过云监控触发任务扩展和紧缩ECS实例，也可以通过弹性伸缩的Open API对接客户自己的监控系统，客户可以通过自己的监控系统，触发弹性伸缩的伸缩活动。

监控和自动化问题：弹性伸缩是怎么判断里面做事器的可用性的？（如果弹性伸缩在ESS伸缩组里配置SLB，SLB检讨您后真个ECS端口正常之后，才会将要求转发给新的做事器的）；弹性伸缩是否可以根据云监控中自定义报警项进行动态伸缩？（目前不支持根据自定义监控进行动态伸缩）；自动创建的ECS运用支配或任务完成须要结合自定义脚本在开机或关机的时候自动实行。

三、负载均衡SLB：15%（自动安全防护）

负载均衡分配的IP为独占！
结合智能DNS实现跨地域容灾！

是对多台云做事器进行流量分发的负载均衡做事。
负载均衡可以通过流量分发扩展运用系统对外的做事能力，通过肃清单点故障提升运用系统的可用性。
SLB通过设置虚拟做事地址（IP），将位于同一地域（Region）的多台云做事器资源虚拟成一个高性能、高可用的运用做事池；根据运用指定的办法，将来自客户真个网络要求分发到云做事器池中。
SLB会检讨云做事器池中ECS的康健状态，自动隔离异常状态的ECS，从而办理了单台ECS的单点问题，同时提高了运用的整体做事能力。
在标准的负载均衡功能之外，SLB还具备TCP与HTTP抗DDoS攻击的特性，增强了运用做事器的防护能力。

SLB是ECS面向多机方案的一个配套做事，须要同ECS结合利用。

负载均衡不支持跨地域（Region）支配。

目前各Region只有一种属性，不是多可用区便是单可用区。

金融云的客户为了知足其安全合规的需求，目前其公网类型的负载均衡实例端口只能对外开放这些端口：80，443，2800-3300，5000-10000，13000-14000。

SLB针对HTTPS进行统一证书管理，无需上传到后端ECS，降落开销。

负载均衡会在某些地域的多个可用区进行支配，用户可指定主备可用区创建负载均衡实例，该实例将默认事情在主可用区，当主可用区发生故障时，该实例可切换到备可用区事情。

1、 核心观点：LoadBalancer代表一个负载均衡实例。
Listener代表用户定制的负载均衡策略和转发规则。
BackendServer是后真个一组ECS。
SLB由实例、监听、后端ECS三部分组成；配置和管理一个负载均衡实例，紧张涉及3部分的功能操作，包括：负载均衡实例属性配置、负载均衡做事监听配置和负载均衡后端ECS配置。
通过实例属性配置来定义一个负载均衡实例的类型，通过做事监听配置来定义一个负载均衡实例的各项策略和转发规则，通过后端ECS配置来定义一个负载均衡实例后端用来处理用户要求的多个ECS实例。
当前供应4层（TCP协议和UDP协议）和7层（HTTP和HTTPS协议）的负载均衡做事。
可以对后端ECS进行康健检讨，自动屏蔽非常状态的ECS，待该ECS规复正常后自动解除屏蔽。
供应会话保持功能，在Session的生命周期内，可以将同一客户端要求转发到同一台后端ECS上。
支持加权轮询（WRR），加权最小连接数（WLC）这两种调度算法。
WRR的办法将外部要求依序分发到后端ECS上，WLC的办法将外部要求分发到当前连接数最小的后端ECS上，后端ECS权重越高被分发的几率也越大。

针对七层协议（HTTP协议和HTTPS协议），支持按用户访问的域名和URL来转发流量到不同的虚拟做事器组。

供应运用防火墙和CC防护功能，集群内置WAF模块，不用修正CNAME即可进行WAF防护；结合云盾，还可供应5G以下的防DDOS攻击能力。

4层采取开源软件LVS＋keeplived实现负载均衡。
7层采取Tengine实现负载均衡。

HTTP 基于Cookie会话保持（会话保持的最永劫光是：86400秒（24小时）），而TCP基于源地址会话保持；HTTP 利用X-Forward-For获取源地址，TCP在网络层就可以看到来源地址；TCP监听支持TCP和HTTP两种办法进行康健检讨，HTTP监听只支持HTTP办法康健检讨；

2、 康健检讨

负载均衡的康健检讨是通过负载均衡系统向后端ECS发起心跳检讨（考题）的办法来实现的，而负载均衡系统和ECS之间是通过内网进行通信的，为了确保康健检讨事情的正常进行，您须要确保能够通过内网访问您的ECS。

七层协议：康健检讨机制为：默认由负载均衡系统通过后端ECS内网IP地址来向该做事器运用做事器配置的缺省首页发起http head要求（考题，缺省通过在做事监听配置中指定的后端ECS端口进行访问），返回200 OK后将视为后端ECS运行正常，否则视为后端ECS运行非常。
如果用户用来进行康健检讨的页面并不是运用做事器的缺省首页，那么须要用户指定相应的URI。
如果用户对http head要求限定了host字段的参数，那么须要用户指定相应的URL。
用户也可以通过设定康健检讨的频率、康健阈值和不康健阈值来更好的掌握康健检讨功能。

四层协议：对4层（TCP协议和UDP协议）做事，负载均衡系统的康健检讨机制为：默认由负载均衡系统通过在做事监听配置中指定的后端ECS端口发起访问要求，如果端口访问正常则视为后端ECS运行正常，否则视为后端ECS运行非常。

3、 利用场景（高可用—结合DNS实现跨域容灾、低本钱、安全）

灵巧的进行流量分发，适用于具有高访问量的业务。

横向扩展运用系统的做事能力，适用于各种web server和app server。

肃清运用系统的单点故障，当个中一部分ECS宕机后，运用系统仍能正常事情。
提高运用系统容灾能力，多可用区支配，机房宕机后，仍能正常事情。
防止运用系统遭受攻击，适用于常常受到WAF和CC困扰的业务。

4、 常见问题

负载均衡支持域名URL转发常见问题？

负载均衡本次支持域名URL转发紧张包含两层含义：（1）对付所有监听（TCP/UDP/HTTP/HTTPS）类型，都许可用户在监听级别个性化定义后端做事器组，并支持转发到做事器的不同端口（2）对付HTTP和HTTPS监听，（考题）支持用户根据域名和URL设置转发规则到监听，并转发到不同的后端做事器组上。

当用户流量经由负载均衡某端口时，我们首先判断其是否能够匹配上某条\公众转发规则\"大众（优先级最高，每个监听可以配置10条），如果匹配，则将流量转发到该规则的后端做事器组上；若不匹配并且在该监听上设置了虚拟做事器组，那么将流量转发到该虚拟做事器组（优先级次高）上；若用户没有在该监听上设置虚拟做事器组，即将流量转发到实例级别添加的各后端做事器中（优先级低）。

负载均衡支持安全防护常见问题?

安全防护是负载均衡的一项增值做事，目前紧张包括两部分的功能，即，运用层WAF和CC（ChallengeCollapsar）防护和DDoS防护（包含流量洗濯和黑洞）。

WAF是web运用防火墙的简称（WEB APPLICATION FIREWALL），紧张用于保护网站（HTTP做事）的安全性，实时对所有的HTTP要求进行合法性检讨；负载均衡将WAF模块支配在自身集群内，即用户流量经由负载均衡时，通过内置的安全检测模块即可对HTTP要求进行运用层WAF防护。
目前负载均衡WAF可防护的紧张攻击类型为：sql注入，跨站脚本，代码实行，CRLF，本地文件包含，远程文件包含，webshell，CSRF等。

负载均衡CC防护能够为用户供应防CC攻击、QPS限流功能。

负载均衡推出的WAF功能与云盾供应的WAF功能详细有什么差异？（1）云盾推出的运用层WAF须要用户修正CNAME才能利用，负载均衡产品是将WAF模块支配在自身集群内，用户不须要修正CNAME即可利用。
（2）负载均衡安全防护功能供应了WAF的几套策略（高/中/低）供用户选择，用户可根据自身需求选择相应的策略凑集。
（3）负载均衡安全防护功能支持HTTP和HTTPS两种协议的安全防护，现在市情上的WAF功只能供应HTTP协

议的安全防护.

负载均衡支持UDP协议常见问题?

UDP康健检讨目前支持自定义发送要乞降自定义返回要求，能够通过返回字符串是否匹配来反响康健检讨的状态.

HTTPS双向认证常见问题？

为了知足更多用户数据传输安全需求，负载均衡发布了新功能--HTTPS双向认证。
之前，负载均衡只支持在做事端进行HTTPS单向认证，现在支持在做事端和客户端进行HTTPS双向认证。
用户须要在HTTPS监听上同时绑定CA证书与做事器证书，才能够进行HTTPS双向认证。

目前支持做事器证书和CA证书的上传，做事器证书须要上传证书内容和私钥，CA证书只须要上传证书内容；这两种类型的证书都只支持PEM编码格式的上传（考题：支持的证书格式PEM）。

负载均衡支持VPC常见问题？（考题）

注：目前还不支持EIP作为负载均衡实例的IP

1） 用户可以申请利用自己VPC内的IP地址作为负载均衡私网地址，并挂载VPC的ECS

2） 用户可以申请公网IP地址作为负载均衡公网地址，并挂载VPC的ECS

3） 网络类型分为经典网络和专有网络，又称为Classic和VPC。

4） 实例类型还是私网实例和公网实例，结合网络类型，有经典网络私网实例，经典网络公网实例，专有网络私网实例三种，目前专有网络没有公网实例这一说。

5） 场景和限定一：负载均衡和ECS都已经开通支持VPC的Region，

可以利用用户的VPC IP作为负载均衡私网实例IP并加VPC ECS；

可以利用经典网络公网IP作为负载均衡公网实例IP并加VPC ECS;

不能利用经典网络私网IP作为负载均衡私网实例IP并加VPC ECS; 不能利用用户的VPC IP作为负载均衡私网实例并加非VPC ECS；

6） 场景和限定二：ECS已经开通支持VPC，但负载均衡还没有开通支持VPC的Region

可以利用经典网络公网IP作为负载均衡公网实例IP并加VPC ECS；默认不能利用经典网络私网IP作为负载均衡私网实例IP并加VPC ECS;

不能利用用户的VPC IP作为负载均衡私网实例并加非VPC ECS；

一个实例不能同时存在VPC和非VPC的ECS；

7） 支持VPC的Region 私网IP和康健检讨IP 切换为100网段；（在ECS上开启了防火墙的用户须要许可100段的康健检讨IP地址段；对没有100网段路由的老ECS增加100段路由）

我的负载均衡为什么不屈衡？

4层（TCP和UDP）是基于连接做流量调度。
TCP和UDP创建一个socket访问负载均衡实例，这个源和目的ip，port便是一个连接。

7层（HTTP/HTTPS）是基于要求做调度。
比如 http get要求访问一个页面。

1） 配置了会话保持，访问负载均衡实例的客户端又很少，随意马虎导致不屈衡。

2） 后端Server的康健建状态非常会导致不屈衡，尤其在压测的时候随意马虎忽略后端Server的康健检讨状态

3） 后端Server有些开启了TCP Keepalive保持长连接，而有些又没有开启，则连接会在保持长连接的后端做事器上堆积，造成不屈衡。

4） 由于SLB的底层架构事理，当连接数比较少不足分配时，可能会表现得不屈衡，最坏情形每台后端Server之间连接的差异可达到48个。

为什么7层负载均衡压测性能低？

负载均衡集群采取LVS和Tengine实现，个中4层监听经由LVS后直接到达后端做事器，而7层监听经由LVS后，还须要再经由Tengine，末了达到后端做事器，多一个处理环节。

1） CASE1 客户端端口不敷

2） CASE2 后端做事器accept行列步队满

3） CASE3 后端做事器连接过多

4） CASE4 后端做事器依赖的运用（比如数据库）成为瓶颈

5） CASE5 后端Server的康健检讨状态非常

压测时的建议

1） 压测负载均衡转发能力建议利用短链接

2） 压测负载均衡吞吐量建议利用长连接，用于测试带宽上限或分外业务

3） 后端做事器供应一个静态网页用于压测，以避免运用逻辑带来的损耗

4） 监听不开启会话保持功能，否则压力汇合中在个别的后端做事器

5） 监听关闭康健检讨功能，减少康健检讨要求对后端做事器的访问要求

6） 用多个client(>5)进行压测，源IP分散，能够更好的仿照线上实际情形

为什么很多10开头的IP访问负载均衡实例的后端ECS？

这是由于负载均衡系统进行康健检讨引起的。

证书管理干系问题？

负载均衡只支持PEM格式的证书，其他格式的证书须要转换成PEM格式后才能上传到负载均衡中，建议通过openssl 工具进行转换。

目前每个用户可以支持100个证书。

考虑到安全和性能，目前用户的证书如须要在多个地域利用，就须要在多个地域上传。

利用负载均衡如何容灾？

1） 一个实例可以添加一个REGION下多个可用区的ECS。

2） 同城容灾（用户负载均衡实例可以在一个REGION下的两个机房间切换，这个切换不须要用户干预，但条件用户要担保该实例的后端ECS知足上述1.的条件。

3） 在不同REGION创建多个负载均衡实例，通过DNS轮询的办法对外供应做事，从而实现跨REGION的可用性。

负载均衡白名单常见问题

1） 设置白名单非常危险，一旦设置白名单，就只有白名单中的IP可以访问负载均衡监听；

2） 如开启白名单而不设置白名单列表，则这个负载均衡监听默认就无人可以访问；

禁用ECS公网网卡会影响负载均衡做事。

负载均衡的做事能力与后端ECS的公网带宽规格无关。

负载均衡和后端ECS之间是通过内网进行通信的，以是ECS无需配置外网带宽。

同一组ECS可以搭建多个网站并同时进行负载均衡

可以在利用负载均衡的过程中随时调度（增加或减少）后端ECS的数目

四、专有网络VPC：10%

专有网络VPC（Virtual Private Cloud），帮助用户基于阿里云构建出一个隔离的网络环境。
您可以完备掌控自己的虚拟网络，包括选择自有IP地址范围、划分网段、配置路由表和网关等。
此外您也可以通过专线/VPN等连接办法将VPC与传统数据中央组成一个按需定制的网络环境，实现运用的平滑迁移上云。
支持二层逻辑隔离。

利用隧道技能,达到与传统VLAN办法相同的隔离效果。

1、 核心观点：

专有网络管理：首先以CIDRBlock的形式指定专有网络内利用的私网网段；其次创建交流机(VSwitch)；其三创建云产品；末了删除指定的专有网络，必须首先删除专有网络内所有的云产品实例。

路由器：不支持直接创建和删除路由器（自动天生）；是VPC网络的枢纽，它可以连接VPC内的各个交流机，同时也是连接VPC与其他网络的网关设备。
每个VPC有且只有一个路由器。
路由器不支持BGP和OSPF等动态路由协议。

交流机：是组成VPC网络的根本网络设备，是一个3层交流机，不支持2层广播和组播。
创建交流机时，须要指定一个CIDRBlock（不可重复）。
删除交流机之前，必须先删除目标交流机所连接的云产品实例。

路由表：是指路由器上管理路由条款标列表。
不支持直接创建和删除路由表。
每个路由器有且只有1个路由表。

路由条款：定义了通向指定目标网段的网络流量的下一跳地址，路由条款包括系统路由（无法创建和删除）和自定义路由（可以创建和删除）两种类型。
创建交流机，系统自动创建1条对应的系统路由。

逻辑架构：VPC架构里面包含交流机、网关和掌握器三个主要的组件，交流机和网关组成了数据通路的关键路径，掌握器利用SDN协议下发转揭橥到网关和交流机，完成配置通路，数据和配置两个通路相互分离。
缺省情形下，VPC内的ECS只能和本VPC内其他ECS通信，或者和VPC内的其他云做事之间进行通信。
用户可以利用阿里云供应的VPC干系的EIP功能、高速通道功能，使得VPC可以和Internet、其他VPC、用户自有的网络（如用户办公网络、用户数据中央）之间进行通信。

EIP功能：弹性公网IP，是可以独立购买和持有的公网IP地址资源，能动态绑定到不同的ECS实例上（在网卡上并不能看到这个IP地址。
在须要时将该弹性公网IP绑定到ECS实例上，使该ECS实例具备利用该IP地址进行公网通信的能力。
在不须要时，可以将之解绑），绑定和解绑时无需停机。

NAT网关产品：比较较于EIP，适用于企业大客户，支持单IP做事于多台ECS，是一款企业级的VPC公网网关,供应NAT代理（SNAT—用于ECS能访问外网，对应SNAT表“由[SourceVSwitchId, SnatIp]]组成”、DNAT—用于ECS能供应外网做事，对应端口转揭橥“由[ExternalIp, ExternalPort, InternalIp, InternalPort, IpProtocal]五个元素组成”）、10Gbps级别的转发能力、Region级别的高可用性（跨可用区的容灾能力）。
NAT网关与共享带宽包（定义带宽）须要合营利用，组合成为高性能、配置灵巧的企业级网关。
不许可同一个公网IP即被用于SNAT也被用于DNAT。

把稳：EIP和NAT目前都只支持ECS产品，不支持RDS等其他云产品。

共享带宽包：NAT网关上的公网IP和公网带宽，被抽象为共享带宽包。
一个NAT网关上最多可以配置四个共享带宽包。
一个共享带宽包，由一份公网带宽和一组公网IP组成。

场景1：无公网IP的ECS须要访问公网--高可用的SNAT网关需求，无需暴露ECS。

场景2：多个互联网运用流量变革较大--共享公网带宽，多IP共享带宽的功能节约本钱，错峰利用，杠杠的。

高速通道：客户的阿里云上VPC，须要与自有机房进行私网通信。
利用高速通道的专线接入功能，可以实现两侧的私网通信，既可以避免绕行公网带来的网络质量不稳定问题，也可以免去数据在传输过程中被盗取的风险。
同一域内VPC之间的互联；可以利用高速通道使得处于两个不同地域的VPC之间进行通信；跨账号VPC之间的互联

2、 利用场景

场景一：在阿里云上管理用户专属的网络

场景二：VPC中跨可用区支配资源

用户可以通过将资源支配在处于不同可用区的交流机中，从而实现利用阿里云可用区进行容灾。

场景三：物理专线接入，实现用户网络与阿里云专有网络之间的内网互通

通过物理专线将自有数据中央和阿里云VPC连接起来，实现用户网络与阿里云专有网络之间的内网互通，支持2条线路通过链路汇聚办法实现主备或双活。
利用高速通道技能。

场景四：VPN接入，在VPC内利用ECS自建VPN网关。

场景五：通过安全组对专有网络类型的ECS（已绑定EIP）进行公网访问掌握。

场景六：专有网络的ECS利用公网负载均衡

经典网络类型的SLB实例具有公网IP地址，可以加专有网络类型的ECS实例。

不能利用经典网络类型私网IP的SLB加专有网络类型的ECS。

场景六：专有网络下内网隔离设置（创建在同一个路由器下面的多个交流机，默认是可以相互访问的）

3、 非常处理

VPC网络环境连接OSS地址失落败的办理方法？

OSS针对VPC有一套自己的内网地址，vpc100开头。

VPC中的ECS访问经典网络中的RDS失落败？

一是给ECS访问外网能力，然后通过外网地址方位RDS；二是把RDS移到ECS所在的VPC，这样内部网路就通了。

绑定弹性公网IP界面提示没有找到ECS实例？

弹性公网IP只能绑定到专有网络VPC的ECS做事器上。

五、工具存储OSS：15%

是阿里云对外供应的海量，安全，低本钱，高可靠的云存储做事。
用户可以通过调用API，在任何运用、任何韶光、任何地点上传和下载数据，也可以通过用户Web掌握台对数据进行大略的管理。
OSS适宜存放任意文件类型（网页文件—可以直接构建静态网站，图片，视频，音频，文本文件等），适宜各种网站、开拓企业及开拓者利用。
供应多种鉴权和授权机制及白名单、防盗链（设置referer，限定某几个网站可以访问）、主子账号功能; 供应图片处理、音视频转码、内

容加速分发(CDN)、鉴黄做事(阿里绿网)、归档做事等多种数据增值做事; 不限文件数目和大小(CopyOjbect-1G, PutOjbect-5G,)，无限的存储空间根据实际存储量无限扩展，办理传统硬件存储扩容问题.

1、 范例利用场景

图片和音视频等运用的海量存储；

网页或者运用的静态和动态资源分离（图片，音视频快速加载）；

云端数据处理（图片处理、媒体转码）

跨域访问：跨域资源共享（Cross-Origin Resource Sharing），简称CORS，在OSS掌握台配置CORS规则可实现跨域访问

做事器端加密编码

静态网站托管(Hosting Websites)：用户可以通过OSS 掌握台将自己的存储空间配置成静态网站托管模式，但是必须指定索引页面，个中缺点页面是可选配置；

图片做事：图片水印，管道（供应多种处理办法），图片样式（保存常用途理办法）

网站动静分离CDN加速OSS配置：适用于静态文件访问量大，做事器负载高，I/O问题导致用户访问卡顿，静态文件用户访问量大，且分布在各地；这个时候OSS作为海量文件存储源，OSS作为CDN的源站,通过CDN加速分发，用户通过CDN节点就近得到文件。
（可以达到—考题：存储用度最低，OSS的存储用度仅为ECS磁盘川用的50%；流量用度低，比较直接通过OSS访问，除极少额外增加的回源流量外，紧张流量利用CDN流量，单价最低只需0.26GB，远远低于OSS直接访问的外网流量单价）

2、 核心观点

存储空间（Bucket）：名称全局唯一，没有目录观点

工具/文件（Object）：元信息（Object Meta），用户数据

（Data）和文件名（Key）组成，同名文件上传直接覆盖。

Endpoint（访问域名）：分内网和外网

读写权限（ACL）：public-read-write（任何人（包括匿名访问）都可以对该存储空间中的文件进行读写操作）；public-read（公共读，私有写）；private（只有授权用户可以对该存储空间内的文件进行读写操作）

3、 图片做事（只处理来自于OSS的图片）

单个 Object（即每张图片）许可的最大大小是20MB。

Channel：是 IMG上的命名空间，与Bucket同名；

Style：供应用户将图片的处理操作和参数保存成一个别名，即样式。
一系列操作，利用样式功能后，只须要用一个很短的URL就能实现相同的效果，浸染范围只在一个Channel下；

处理字符串：包含转换参数、转换格式

分隔符：处理分隔符（@）；样式分隔符（@！
）；管道分隔符（|）

例子：

以图片访问的URL为例子

image-demo：用户的频道的名字，即Channel

img-cn-hangzhou.aliyuncs.com：图片杭州地区访问域名，即Endpoint

example.jpg：待处理的图片的原图名字，即Object

@：处理分隔符，用于区分Object跟处理字符串

100w_100h.jpg：处理字符串

100w_100h：将原图进行处理的参数，即转换参数

.jpg：将原图根据参数处理后的保持的格式，即转换格式

图片URL构成规则：图片做事都是利用标准的HTTP的GET要求来访问的，所有的处理参数也是编码在URL中的。

http://bucket.endpoint/object@100w_100h_90Q.jpg 三级域名访问图片

http://userdomain/object@100w_100h_90Q.jpg 自定义域名

六、内容分发网络CDN：5%

建立并覆盖在承载网之上、由分布在不同区域的边缘节点做事器群组成的分布式网络，替代传统以WEB Server为中央的数据传输模式。

将源内容发布到边缘节点，合营精准的调度系统；将用户的要求分配至最适宜他的节点，利用户可以以最快的速率取得他所需的内容，有效办理Internet网络拥塞状况，提高用户访问的相应速率。

四种业务类型：

图片小文件加速，适用于加速内容多为图片及网页文件

大文件下载加速，适用于加速内容为大文件（20M以上）

视音频点播加速，适用于大文件为视频文件，加速视频的点播、直播业务直播流媒体加速，适用于供应直播流媒体加速做事，目前支持 RTMP 和HLS 办法的直播加速，直播业务类型不支持自定义源站，目前统一供应直播中央做事器：videocenter.alivecdn.com

移动加速，适用于移动运用的无线加速产品，供应智能域名解析httpDNS、无线协议优化、内容动态压缩、运营商级别优化等技能，提升移动运用的网络质量、可用性及用户体验。

1、 核心观点：

a) 节点缓存：智能工具热度算法，分层缓存HOT资源，实现资源精准加速；高性能缓存Cache系统设计；

b) 精准调度：智能分配调度域供应针对需求的业务支持，全面为您的站点提速

c) 多场景的业务支持，多组件合营做事：天然无缝合营工具存储OSS利用，提高网站访问速率，有效降落OSS的外网流量用度；结合云做事器ECS利用，提高网站可用性，保护做事器源站信息，降落带宽利用本钱；也可利用负载均衡做为源站地址回源，降落回源带宽压力；

d) CNAME域名：加速后的域名，（该域名一定是.kunlun.com）

e) 边缘节点：CDN节点、Cache节点，指间隔终极用户接入具有较少的中间环节的网络节点

2、 利用场景

a) 网站站点/运用加速：站点内容进行动静分离，动态文件采取ECS做事器，静态文件采取OSS，结合CDN.

b) 视音频点播/大文件下载分发加速, 可提升回源速率，节约近2/3回源带宽本钱;

c) 移动运用加速: 供应httpDNS做事，避免DNS挟制并得到实时精确的DNS解析结果，有效缩短用户访问韶光，提升用户体验

3、 常见问题

a) 阿里云CDN目前在海内用节点数为 50+，总储备节点数近 500个，外洋节点分布欧洲、美洲、东亚、东南亚，但目前外洋节点暂时不对外开放

b) CDN的利用场景都有哪些：访问量大的网站，适用于具有一定量级（考题：逐日500PV的网站是否开启CDN）的静态资源访问；

c) 如何利用阿里云CDN可以使加速效果达到最优？天然无缝合营OSS利用；结合ECS利用，提高网站可用性，保护做事器源站信息，降落带宽利用本钱；可利用SLB做为源站地址回源

d) 源站域名可以和加速域名同等么？不可以

e) 针对动态文件可以进行加速分发么？动态内容采取独立域名，不该用CDN加速

f) 采取CDN做事对源站点是否须要改造？基本无需改造，建议用户先做动静分离

g) CDN是对网站所在的做事器加速，还是对域名加速？是针对某个域名下面加速的

h) 是否支持源站的Cache-Control设置？支持

i) 如何担保节点缓存数据的更新和同步，是实时么？不是，须要手动刷新；

j) 缓存刷新：逼迫将分发节点上缓存的资源标记为过期，用户访问须要回源获取一次；

k) 缓存预热：主动触发将源站资源推送到边缘节点，用户访问，可以直接命中cache

l) 如何判断要求是否命中？X-Cache:HIT TCP_MEM_HIT 表示命中缓存；X-Cache:MISS TCP_MISS 则表示未命中缓存

m) 命中率如果较低的缘故原由是什么？网站访问量较低；缓存配置不合理；源站动态资源较多；HTTP Header设置导致无法缓存

n) 是否支持HTTPS加速？支持

o) 是否支持泛域名加速？目前图片小文件加速、大文件下载加速、视音频点播加速均支持泛域名添加；直播业务和HTTPS安全加速暂不支持泛域名。

p) 证书格式哀求：PEM 格式的证书

七、安全（云盾、云安全）：10%

全国首个等级保护三级认证云平台。

环球首个CSA-STAR金牌认证云平台。

云安全体系：云盾+云产品安全

云盾：数据库防火墙、数据库审计、web运用防火墙、web弱点剖析、主机入侵防护、DDOS防护

云产品安全：3副本、快照、备份、加密。
SDL、自动宕机迁移、安全镜像、安全组。

任务分担、共建安全（客户卖力上层业务系统，阿里云卖力数据中央根本举动步伐）。

云盾+大数据：恶意IP库、恶意行为库、恶意样本库、安全漏洞库（大数据）--》DDOS防御能力、入侵防御能力、弱点剖析能力。

TCP/IP、广域网、通信五元组、IP/PORT

TCP三次握手及DDOS攻击（不但有DDOS攻击,CC，SQL注入，XSS攻击，暴力破解，安装木马后门，网络钓鱼）。

1、 云盾的网络级防护

a) 根本DDOS防护

i. DDos是分布式谢绝做事攻击，让指定目标无法供应正常做事，是最强大、最难防御额攻击之一。

ii. 防护流程：

组成：DDOS攻击预警模块，DDOS攻击清理集群，DDOS防护管理中央。

防护：流量镜像进入预警模块，攻击流量牵引至清理集群，干净流量回注至业务做事器。

iii. 防护功能：攻击流量的创造，牵引和自动处理；有效抵御DNS Query Flood、NTP reply Flood攻击；总体相应韶光<2秒

iv. 开通方法：自动开通，个中CC防护开关须要手动打开。

b) Ddos高防IP

i. 适用于大流量攻击（大于5G）；强大云端高防；

ii. 功能：游戏空连接；防御CC攻击；防御僵尸网络；防御WEB攻击；

iii. 接入步骤：DNS做事器改换对外做事IP（暗藏做事器IP），实现这一步就可以了，流量会自动完成切换，用户会访问回源内容。

iv. 事理：四层攻击直接被黑洞；正常用户访问高防VIP1；

v. 组成：流量监测；DDOS洗濯；CC攻击防御；WAF；后台管理。

vi. 特点：极低的网络抖动，实现无壅塞实时网络（考题）；3秒处理完成，实时高防业务体验；

vii. WAF保护七层运用。
防御环球最大DDOS攻击453G.

c) WAF

基于云安全大数据能力实现，通过防御SQL注入、XSS跨站脚本、常见Web做事器插件漏洞、木立时传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意CC攻击，避免您的网站资产数据透露，保障网站的安全与可用性。

i. Web运用防火墙目前支持HTTP、HTTPS（高等版及以上）的Web安全防护。
目前仅支持80和443端口的流量。

ii. 安全配置紧张分为三种，第一是关于Web运用攻击防护，可以进行功能开关及事情模式的调度；第二是关于CC防护，同样也支持功能开关及事情模式的调度；第三是精准访问掌握，可以对业务进行规则的定制防护。

iii. Web运用防火墙或高防IP生产的cname域名，用于DNS解析的，不能直接访问，直接访问原域名。

iv. 跨站攻击(XSS): 发生在客户端，可被用于进行盗取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击行为。

v. CRLF攻击: HTTP相应拆分漏洞，也叫CRLF注入攻击。
CR、LF分别对应回车、换行字符。
攻击者可能注入自定义HTTP头。

vi. SQL注入攻击: 被广泛用于造孽获取网站掌握权，是发生在运用程序的数据库层上的安全漏洞。
从而使数据库受到攻击，可能导致数据被盗取、变动、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

vii. 写入webshell攻击: 是指WAF检测到攻击者正在往用户网站写入网页木马，企图掌握做事器。
攻击者可以在用户网站上写入一个web木马后门，用于操浸染户网站上的文件，实行命令等等。

viii. 本地文件包含: 是指程序代码在处理包含文件的时候没有严格掌握。
攻击着可以利用该漏洞，在做事器上实行命令。

ix. 远程文件包含: 是指程序代码在处理包含文件的时候没有严格掌握。
导致用户可以布局参数包含远程代码在做事器上实行，进而获取到做事器权限，造成网站被恶意删除，用户和交易数据被修改等一系列恶性后果。

x. 远程代码实行: 是指由于做事端代码漏洞导致恶意用户输入在做事端被实行的一种高危安全漏洞。
利用该漏洞，可以在做事器上实行攻击者拼装的代码。

xi. FastCGI攻击: nginx中存在一个较为严重的安全问题，FastCGI模块默认情形下可能导致做事器缺点的将任何类型的文件以PHP的办法进行解析。
这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx做事器。

xii. WAF专注于运用层的攻击，包括CC和web攻击。
和高防IP的紧张差别在于：WAF会在第一韶光最快更新最新的Web 0day漏洞防护规则。
比如大面积爆发的strust2和imagemagick漏洞。
Web防护上具备预警模式和防护模式，帮助用户业务初次上线时启用，理解业务误报状况。
CC防护具备宽松、严格的防护策略，用户可以自定义调度适应业务实际情形。
企业版支持用户关于web攻击规则的自定义调度以及CC策略的定制调度，避免误报。
针对诸如wordpress的pingback以及挂链导致的CC攻击，只有Web运用防火墙具备。
支持用户对管理员上岸页面等特定URL做重点访问掌握。
实时办理垃圾注册、刷库撞库、活动作弊、论坛注水等严重业务风险，最佳用户体验、无需网站修正源码/调用API接口等繁琐操作即可实现快速上线防护。

d) 网络安全专家防护

i. 基于云盾DDOS高防ip，推出的安全代维托管做事，由阿里如斯盾专家团队，供应私家定制的策略优化、重大活动保障，攻防专家剖析报告、真是攻击源剖析、人工值守等做事。

2、 云盾的主机级防护

a) 安骑士：支持卸载、安装

i. 基于云端联动防御，可以为云做事器供应防黑客入侵。

ii. 木马查杀；防密码暴力破解；异动上岸提醒；漏洞检测修复---补丁管理。

iii. 木马查杀：网站类后门、二进制程序、恶意脚本；精准查杀（实时更新基于阿里云的恶意文件库）；实时查杀（第一韶光关照，主动隔离，实时关照用户）

iv. 账户安全保护：暴力破解拦截；黑客账户检测；非常登录报警；

v. 特点：轻量化Agent（CPU利用率1%、10M内存、无第三方依赖）；安全状况实时掌控（掌握台、短信邮件告警）；创造风险快速阻断；云平台全链路联动防御；适应各种云平台环境（支持公有云、私有云、稠浊云、传统IDC）；

b) 补丁管理：基于安骑士

i. 办理客户漏网创造不及时、不会修漏洞、无法批量进行补丁更新等问题，可一键下发补丁更新、漏洞快速修复。

ii. 创造漏洞（在漏洞曝光之前）-》获取修复方案（快于官方发布）-》实行修复（批量修复、非常回滚）

iii. 事情事理：实行漏洞扫描、并将漏洞信息上报到云盾，同时给用户推送漏洞预警信息。

iv. 特点：多渠道漏洞获取、专家团队自研补丁、6小时修复、支持批量修复和回滚。

c) 做事器安全托管

i. 管家式的做事

ii. 定制化的安全防护策略、木马文件检测和高危漏洞监测与修复

iii. 发生安全事宜，供应安全事宜剖析、相应，并优化防护策略。

iv. 成果：安全事宜剖析报告

3、 云盾的业务防护

a) 阿里绿网（考题：阿里绿网只供应网站内容检测?）

i. 违规信息管控政策背景（国家法律法规哀求、违规事宜频发，惩罚本钱巨大，信息安全问题持续升温，新法不断出台）；违规形式多样化，提前创造成难题；

ii. 阿里绿网基于深度学习技能及阿里巴巴多年的海里数据支撑，供应多样化的内容识别做事，能有效帮助用户降落违规风险。

iii. 网站内容检测（违规网页检测、挂马检测）和图片鉴黄做事，后续推出垃圾广告过滤、图片识别和视频识别等做事。

iv. 核心能力：文本算法（可准确高效的检测各种违规违法文本）；色情图片检测（基于鉴黄模型，自动创造图片特色，准确率高达99.6%）；多媒体指纹技能（视频特色提取、特色量化，由于占用空间小，可大规模索引和检索）；OCR（图片笔墨检测、识别做事，有极高的准确率和很好的泛化能力，快速迭代更新）

v. 特点：大数据；强大的识别能力；灵巧的做事办法；海量数据快速检测；

b) 反敲诈做事

i. 常见：垃圾注册、刷库、撞库、营销作弊、垃圾内容

ii. 观点：基于阿里大数据风控做事能力，通过领先的行为网络技能和机器学习模型，办理企业账号、活动、支付等关键业务环节存在的敲诈威胁。

iii. 特点：精准识别风险；实时防御风险；基于海量数据剖析；

iv. 核心：防垃圾注册；风险用户核实；防营销作弊；防恶意登录；支付保护；饭垃圾做事。

c) 加密做事

i. 加密的主要性：有效阻挡非授权的人获取数据；数据即便丢失也没有关系；密钥的管理是一个严谨的过程；企业的敏感数据都该当加密保护；海量数据的加密是核心的问题；

ii. 观点：通过在阿里云利用经国家密码管理局检测认证的硬件加密机，帮助客户知够数据安全的监管合规哀求，确保云上业务数据的隐私性和机密性。
客户可以借助云加密做事实现对加密密钥的完备掌握和加解密操作。

iii. 算法支持：对称加密算法；非对称加密算法；择要算法；全面支持国家和国际通用算法；

iv. 特点：安全的密钥管理；云上合规；弹性扩展；云打算带来的可靠性。

v. 适宜场景：企业条约、核心专利、主要客户信息、董事会纪要；

4、 云盾的安全管理

a) 态势感知（网络层、主机层、业务层）

i. 专为企业安全运维团队打造，结合云主机和全网的威胁情报，利用机器学习，进行安全大数据剖析的威胁检测平台；全面、快速、准确感知过去、现在、未来的安全威胁。

ii. 还原事宜、剖析缘故原由、着眼未来

iii. 特点：免安装、Saas做事，无需任务支配，在浏览器上即可利用；大数据+专业团队

iv. 态势感知，让安全决策变得大略。

b) 云监控（设置报警规则、获取监控信息）

i. 是一项针对阿里云资源和互联网运用进行监控的做事。
可用于网络获取阿里云资源的监控指标，探测互联网做事可用性，以及针对指标设置警报。

ii. 模块：站点监控、云做事监控、自定义监控、报警联系人、事宜订阅。

iii. 站点监控：支持8种协议的探测，探测频率1、5、15分钟。
HTTP/HTTPS，PING,TCP,UDP,DNS,POP3,SMTP,FTP

iv. 云做事监控：可查看11种云产品的监控数据并设置报警，每个产品供应了不同的监控指标和统计周期。
ECS/RDS/SLB/OSS/EIP/CDN/MQ/LOG/。
。
。

v. 自定义监控：供应给用户自由定义监控项及报警规则的一项功能。
可以针对自己关心的业务进行监控，上报监控数据，由云监控进行数据处理，并形成报警数据。

vi. 报警做事：监控项、统计周期、统计方法、联系人关照组等信息。

c) RAM

i. 稳定可靠的集中式访问掌握做事，可授权第三方互助。

ii. 特点：集中式身份管理；集中式权限管理；统一访问掌握（STS）；集中记录用户行为；统一账单（主账号买单）；

iii. 身份管理：RAM-user，独立的身份管理，实体身份，拥有独立的上岸密码和AK，支持多成分认证；RAM-Role，与各种身份管理系统结合，是虚拟身份，没有独立的登录密码和AK，可以与外部实体身份联结。

iv. 权限管理：授权策略管理；STS访问令牌管理；

v. 运用处景：企业子账号管理与分权；不同企业之间的资源操作与授权管理； 云做事之间的资源代理操作与授权管理；身份同盟与授权管理；针对不可信客户端APP的临时授权管理；

d) 渗透测试—提交工单，申请开通

i. 是通过仿照恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法，进行安全性评估。

ii. 测试手段：以黑客的视角，用黑客的工具和方法进行测试，只进行安全评估，不进行毁坏；

iii. 测试范围：操作系统漏洞、网络漏洞、web运用漏洞、常见做事漏洞、安全管理漏洞、员工安全意思漏洞。

iv. 做事报告：做事范围描述；渗透过程详细描述；创造的漏洞列表、漏洞验证方法；漏洞修复建议；渗透总结。

v. 特点：渗透测试专家团队；云盾技能与大数据支撑。

e) 先知操持

i. 帮助企业建立私有安全应急相应中央（漏洞网络平台）

ii. 加入先知操持，企业可自主发布褒奖操持，勉励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞，担保安全风险可以快速进行相应和修复，防止造成更大的安全丢失。

iii. 功能：私有的安全中央；可靠的安全专家；完全的漏洞闭环。

iv. 可覆盖的风险：敏感信息透露；业务逻辑设计毛病；越权敏感操作；弱口令；

f) 数据安全险

i. 是众安保险针对阿里云用户推出的信息安全综合保险，若因黑客攻击导致用户云做事器上的数据透露并造成经济丢失，众安保险将为用户供应最高100万的现金赔偿，降落投保用户因黑客攻击意外事宜带来的经济丢失。

ii. 范例场景：数据被黑客盗取，企业收到黑客敲诈；网站用户收到敲诈信息，企业被索赔；媒体公布企业数据被黑客盗取，企业荣誉丢失。

5、 安全防护建议

a) 安全任务

i. 阿里云上安全管理任务不变；数据归属关系不变；安全管理标准不变；

ii. 提高风险意识，完善管理流程，建立（考题）--安全习气（强密码、安全验证、密码文件单独加密，不在网络上传输、不连接不屈安AP，不下载、不安装未知软件。
）

b) 架构+网络优化建议

i. 架构优化：存放关键内容的ECS，不开通公网IP；利用SLB，增加一层防护；RDS不开通外网IP；远程管理采取堡垒机中转；开通“态势感知”，并定期查看报告。

ii. 网络层优化：关注云盾报表关于DDos的根本防护；打开CC开关，配置DDOS洗濯阈值；超过5G攻击，开启高防IP；重大活动保障，启用网络安全专家做事。

c) 主机+运用优化建议

i. 主机优化：启用操作系统自带防火墙功能；开放端口时，采取最小化原则；管理端口增加白名单IP；关闭ECS的无用端口；开启安骑士、阿里绿网；可选择做事器安全托管；

ii. 运用优化：遵照软件安全开拓生命周期（SDL）；进行安全评估和安全测试；定期查看安骑士、态势感知、云监控报告；对业务系统进行分组，启用RAM账号，最小化权限。

d) 报警测录配置

i. 态势感知模块报警

ii. 阿里绿网模块报警

iii. 云监控报警

八、云打算通用知识：5%

VPC不供应独立的SLA，VPC中云产品实例（ECS, RDS, SLB, OCS, OSS等）适用各个产品的SLA和故障赔偿条款。

Window系统、防火墙、磁盘、网络等知识；

Linux系统、防火墙、磁盘分区、网络等知识。

运用、数据库、会话、状态、协议、存储、安全等术语。

HTTP要求返回码2XX 3XX为精确，4XX 5XX为非常