ECS基础运维管理
课程简介
欢迎来到“ECS基础运维管理”,本课程是“弹性计算Clouder系列认证“中的阶段二课程,本课程重点向您讲解存储、镜像、快照、监控等云服务器ECS的核心功能以及相关的应用实践,同时帮助您了解云上安全责任共担模型,明确ECS的安全责任边界,以及提升ECS安全性的方法,由浅入深的掌握云服务器ECS的基础运维管理。
课程目标
学习完本课程后,你将能够:
- 理解云服务器ECS的云上安全责任共担模型
- 根据实际需要完成云服务器ECS实例的升降配和带宽调整
- 管理配置云服务器ECS实例的系统盘和数据盘
- 管理云服务器ECS实例的镜像和快照
- 提升云服务器ECS实例的安全性
- 监控云服务器ECS实例的关键指标
课程时长
本课程共包含10个课时,采用图文场景课程形式,每个课时学习时长约为10分钟。
课程场景
本课程为场景化教学,旨在帮助学员展示更加真实的应用场景。该场景讲述了一个虚构人物小云如何对阿里云云服务器ECS进行日常的使用和运维管理。
小云最近因为做自媒体搭建个人网站,在阿里云上购买了云服务器ECS实例,并完成了网站的搭建后,希望进一步根据网站的实际运行情况,对云服务器ECS实例进行更多深入的使用和管理动作,于是他继续进行了云服务器ECS的探索之路......
思考:在云服务器ECS的使用过程中,哪些是用户需要承担安全维护责任,哪些是阿里云需要承担的安全维护责任?
(小云完成了自媒体网站搭建后,希望进一步了解云服务器ECS的使用和管理,于是又找到了同样是做自媒体同时也是计算机技术爱好者的老王)
小云:搭建网站所使用的服务器在运行期间的安全都是我自己来负责么?
老王:对于传统自建物理服务器模式,用户需要承担所有的安全责任,负责从物理基础设施到上层应用的所有层面的安全体系构建。
小云:嗯,这很好理解,因为物理服务器从购买到使用全部都是用户自己负责,但是云服务器我又摸不到、碰不到,要怎么负责呢?
老王:云服务器的安全责任确实与物理服务器不同,云上的安全性是一种责任共担模式,其中云服务器ECS的安全责任需要你(用户)与阿里云(云服务提供商)双方一起承担。
云上安全责任共担模型
用户与阿里云双方的责任内容和边界如下:
- 阿里云(云服务提供商)负责云服务器ECS底层软硬件设施的安全性,包括物理设备的安全性,虚拟化服务的安全性,数据安全以及合规方面的安全性。
- 用户负责ECS实例内的安全性,包括实例的操作系统本身的安全性、以及操作系统内应用程序、数据等的安全性。为了提升ECS实例内的安全性,推荐用户需要及时更新操作系统补丁、通过快照定期备份云盘中的重要数据、设置合理的安全组访问规则和RAM访问控制。
小云:老王,网站我已经搭建好了,后面需要如何保障网站能够一直稳定的运行下去呢?
老王:要想保证云服务器长期稳定的使用,除了依靠阿里云(云服务提供商)的技术支持,自身必要的安全维护手段也是不可少的。想要更好的维护管理云服务器ECS,就要更好的了解其组成和架构。云服务器ECS的核心架构,主要包含实例、镜像、块存储、快照、安全组、网络等功能组件,你可以利用这些功能组件保障其ECS实例中运行的个人网站稳定可靠运行。
思考:小云要做的云服务器ECS实例的日常管理和运维的工作主要有哪些?
小云:那我具体需要做什么日常运维的工作呢?
老王:从我的经验来看,一般在通过云服务器ECS搭建完应用后,需要定期对你的ECS实例进行如下几项工作:
- 实时掌握CPU、内存使用情况。如果CPU、内存占用过高,则要检查网站的访问量,并确定导致CPU、内存占用过高的原因。如果是由于网站访问量大导致正常升高,那么就需要提升ECS实例的规格配置。如果是不是访问量大导致,那么需要检查是否遭到DDoS攻击或者一些其他原因造成CPU负载过高。
- 实时掌握存储的使用情况。随着网站运行时间积累,网站的数据不断增加,一旦存储空间不足,可能会导致网站无法正常运行,所以定期检查存储空间并根据需要进行存储清理和扩容。
- 定期对云服务器数据做好备份。网站的运行过程中不可避免的会出现一些问题,所以定期做好备份,对于网站故障后的恢复将会变得非常重要。
- 定期检查云服务器的安全运行情况。比如云服务器的操作系统是否有安全漏洞,是否有未经允许的端口与外界在通信,密码是否需要更新等等,从而有效降低网站遭到入侵攻击的可能性。
综合上述多种情况,小云发现自己对于云服务ECS实例有如下管理需求:
- 指标监控,可通过云监控完成对ECS实例重要指标的监控,并配置短信和邮件等方式的监控告警,从而实时掌握ECS实例的运行状态;
- 配置变更,包括ECS实例的规格变更,块存储扩容等,确保ECS实例的配置能够满足高峰时段用户的访问且没有过多的资源浪费;
- 灾备管理,可定期生成快照,如原网站不可用,能够基于快照及时进行恢复;或者通过构建自定义镜像,快速基于镜像创建新的同配置ECS实例;
- 安全加固,可通过定期变更ECS实例登录密码、安全组规则配置、 系统补丁管理等方式,保护ECS实例安全和ECS实例中运行的网站安全;
实例监控
思考:小云希望实时掌握云服务器ECS实例的运行状态,应该如何做?
老王:如果你使用的是传统的物理服务器,一般来说有如下两种方式实时掌握物理服务器的运行状态:
- 方式一:在服务器上自行编写并定时运行(计划任务)监控脚本(shell、python),监控重要指标,配置邮件、短信、微信等接口进行以便参数异常后通知小云;
- 方式二:在服务器上安装第三方监控软件(Zabbix、Nagios等),小云需要完成安装配置,并额外对监控软件的运行状态进行监控,防止监控软件运行出现问题导致无法监测服务器状态。
小云:我不会编写脚本,这几种第三方软件也没有使用过,有没有更简单便捷的监控方式呢?
老王:上面两种方式的确需要你具备较高的专业能力,如熟练操作系统的命令、shell或python等脚本的编写,除此之外,当监控项目增多、要监控的服务器的数量增多,工作量和服务器的性能消耗均会增大,一般企业可能会单独使用一台或一组服务器作为监控服务器,从而提升监控质量并减少对业务系统的影响,这需要花费更多的精力进行管理以及更高的成本。
老王继续说:与传统物理服务器不同的是,你可以使用阿里云提供的云监控完成对ECS实例重要指标的监控,并通过Web页面快速配置短信和邮件等方式的监控告警,从而实时掌握ECS实例的运行状态,基础云监控无需开通即可使用(短信报警1000条/月免费额度,查询API免费额度100万次/月,超出部分按量计费),同时也可以使用企业云监控实现监控大盘、智能水位分析、跨账号监控等高级功能。
云监控(CloudMonitor) 是一项针对阿里云资源和互联网应用进行监控的服务。云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务可用性,以及针对指标设置警报。
云监控核心功能
云监控用于监控各云服务资源的监控指标,探测云服务ECS和运营商站点的可用性,并针对指定监控指标设置报警。使您全面了解阿里云上资源的使用情况和业务运行状况,并及时对故障资源进行处理,保证业务正常运行。
使用云监控(CloudMonitor)监控ECS实例
安装插件
- 登录云监控控制台。在左侧导航栏,单击主机监控。
- 在主机监控页面,选中待安装或升级插件的阿里云主机,单击左下角的批量安装或升级插件。
- 单击确定。安装或升级插件大约需要5分钟,请您耐心等待。当插件状态由安装中变为运行中时,表示插件安装或升级成功。
提示:对于新购阿里云主机,您可以先单击左上角的安装/更新Agent,然后打开新购ECS自动安装云监控开关。打开开关后,您新购买的ECS主机将自动安装云监控插件,反之,需要您手动安装。
查看监控图表
小云发现可以通过“云监控控制台”和“云服务器ECS控制台”两个入口来查看他的ECS服务器的监控数据。
方式一:云监控控制台
- 登录云监控控制台。
- 在左侧导航栏,选择主机监控。
- 在主机监控页面,单击目标主机的实例名称链接,或单击目标主机对应操作列的监控图表。
- 查看主机的主要监控项的监控图表。
方式二:云服务器ECS控制台
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏左上角处,选择地域。
- 找到要监控的实例,进入实例详情,并点击监控页签
设置报警规则
- 登录云监控控制台。
- 在左侧导航栏,单击主机监控。
- 在主机监控页面,单击右上角的创建报警规则。
- 在创建报警规则面板,设置报警规则相关参数。关于如何设置报警规则相关参数,请参见创建报警规则。
- 单击确定完成报警规则配置。实例管理
小云:老王,我最近正在搞活动,网站的访问量每天都比较高,但是我发现在用户访问特别高的时候,网站明显变慢了,这是怎么回事?
老王:这说明你的网站的并发访问能力已经不足了,并发访问是指同一时间,多个用户请求访问同一个域名下的资源或服务,请求访问的人越多,并发量越大。
小云:那我要如何提升网站的并发访问能力呢?
老王:一般来说网站的并发访问能力受到服务器的性能影响,而服务器的性能主要受到CPU、内存、网络、存储的影响,其中:
- CPU核心数越高、内存越大,并发处理能力越强
- 网络带宽越高,并发响应速率越高
- 存储的读写速度和IOPS(每秒的读写次数)越高,数据处理速度也越快
小云:那么我要如何调整CPU、内存、网络、存储呢?
老王:如果你使用的是传统的物理服务器,那么你可能需要自行购买可升级的CPU套件(CPU、散热器等)、服务器内存、磁盘设备,并手动完成这些硬件的替换工作,因为服务器的理念是提供7*24的稳定性,这些硬件的选型必须与所购买的服务器的型号匹配,一般来说都会直接从服务器厂商处购买,一方面价格较高,另一方面装配硬件工作也需要较强的专业能力才可完成;关于网络带宽,就需要确保服务器所在机房的硬件设施和运营商服务都能够支持的前提下购买更高规格的带宽服务。不管是服务器硬件升级还是网络带宽升级,都可能花费几天甚至数周时间,这对于瞬息万变的互联网业务来说是很难接受的。
小云:我记得之前你和我说过云服务器ECS也叫弹性计算服务,调整这些配置是不是不用这么麻烦?
老王:没错,与传统的物理服务器升级不同,云服务器ECS实例可以通过ECS管理控制台(https://ecs.console.aliyun.com/)在线修改实例规格(vCPU和内存)、存储和公网带宽的配置,来增强服务器性能,从而增加并发处理能力,这些升级的动作可以在秒级完成,你只需要承担升级后的ECS实例配置的费用,省时省钱。
小云:好的,我现在就去控制台看下如何调整这些配置……
修改实例规格
一个实例规格已预定义vCPU(虚拟CPU核心数)和内存。比如 ecs.c6.large,其中c6表示计算型第6代实例,其处理器与内存配比为1:2,large表示vCPU个数为2。
当ECS实例的规格(vCPU和内存)无法满足您的业务需求或配置过高时,您可以使用更改实例规格功能升配或降配实例规格。修改实例规格时,您需要选择目标实例规格,不能单独修改vCPU或内存。
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 查看实例状态,如果处于运行中,则要停止该实例。警告 停止实例可能导致业务中断,建议您在非业务高峰期时执行该操作。
- 在操作列,单击更改实例规格。
- 在更改实例规格页面中,通过筛选指定虚拟CPU核心数和内存大小,勾选规格并确认费用无误后,点击立即变更即可完成实例规格的更改。
提示:调整实例规格可能需要您额外支付相关费用,请慎重操作。
- 返回实例管理页面,确认变更后的实例规格,并启动已停止的实例。
修改网络带宽
对于使用固定公网IP的按量付费或包年包月实例,如果发现公网带宽无法满足或者超出业务需求,您可以修改公网带宽。
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 找到要升级带宽的实例,在操作列,单击更多 > 资源变配 > 实例更改带宽。
- 在带宽变更页面找到公网带宽对应的配置项,根据需要升级带宽大小,勾选云服务器ECS服务条款,并点击确认变更完成带宽调整,其中:
- 按使用流量:是按公网出方向的实际发生的网络流量进行收费,适用于业务场景对网络带宽需求变化较大的场景。例如:平时带宽使用较低但间歇性的出现网络访问高峰的场景;或为了防止突然爆发的流量产生较高的费用,可以指定容许的最大网络带宽进行限制。
- 按固定带宽:需指定公网出方向的带宽的大小,如 10Mbps,适用于业务场景对于网络带宽要求比较稳定的客户,费用较低。
提示:调整带宽可能需要您额外支付相关费用,请慎重操作。
块存储管理
思考:小云发现随着用户访问量不断增加,云服务器ECS实例的存储空间不足了,应该如何扩大存储空间呢?
区别于传统的物理服务器升级,小云刚刚通过ECS管理控制台(https://ecs.console.aliyun.com/)在线完成了云服务器ECS实例规格(vCPU和内存)和网络带宽的升级,同样的ECS实例的存储也同样可以通过这种方式进行在线升级,存储的升级同样是秒级生效。
块存储概念
扩大存储空间之前,先了解一下云服务器ECS实例的存储是什么:
块存储是阿里云为云服务器ECS提供的块设备产品,为云服务器提供高性能、低成本、低时延、可扩展的数据存储服务。类似计算机中的硬盘,您可以像使用物理硬盘一样挂载至云服务器、格式化并建立文件系统来使用块存储。
块存储可分为系统盘和数据盘,可独立购买、分别挂载至云服务器ECS实例。
小云:老王,请教下,关于云服务器中块存储的使用过程中,可以做哪些操作呢?
老王:块存储的操作可能涉及如下几个方面:
① 创建ECS实例时,会自动创建并挂载系统盘,你也可以根据需要创建数据盘;
② 如果在ECS实例使用过程中发现数据盘的空间不足,可以新建一块数据盘,并手动挂载到ECS实例来使用;
提示:一个ECS实例只有一块系统盘,随实例创建,不能单独新建
③ 如果发现某个数据盘上的数据都不要了,可以通过格式化数据盘,将其变成一块空盘后继续使用;
④ 如果发现ECS实例的系统盘或数据盘的存储空间不够了(比如系统盘),可以扩容该盘的容量;
⑤ 如果ECS实例中的数据非常重要,可以通过创建快照方式备份数据,当重要数据被误删除时,可以通过快照回滚,快速恢复原来的数据;
块存储(云盘)扩容
随着业务发展和应用数据增长,当云盘使用空间不足时,您可以扩容云盘的存储容量,即云盘扩容。您可以通过以下方式获得更多的存储空间:
方式一:直接扩容现有云盘,系统盘和数据盘通用
方式二:创建一块新数据盘,并挂载到实例上进行使用
方式三:在更换操作系统时,更换一块更大容量的系统盘
方式一:直接扩容现有云盘
扩容现有云盘主要步骤为:
第一步,在ECS控制台扩容云盘容量
第二步,在操作系统中扩容分区和扩容文件系统,需要远程连接ECS实例。
云盘扩容操作步骤:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例
- 找到待扩容云盘所在的实例,单击实例ID。在实例详情页面,单击云盘页签。
- 找到待扩容的目标云盘,在操作列选择
> 扩容
- 在确定目标云盘与须知向导页面,单击已知晓并备份,继续扩容。
- 在配置扩容方式与容量向导页面,设置扩容参数。
- 设置扩容后容量,扩容后容量不允许小于当前容量。
- 选择一种扩容方式。
- 在线扩容:是默认推荐的扩容方式,扩容后无需重启实例即可生效。
- 离线扩容:扩容后,需要通过ECS控制台或者OpenAPI重启实例才能生效。
提示:部分早期实例规格不支持在线扩容,进可以通过离线方式进行扩容
- 在确认扩容结果向导页面,待扩容结果列显示为成功时,继续单击下一步,扩容分区和文件系统。
- 查看云盘的分区信息并根据实际情况扩容分区和文件系统。
- 上图中发现操作系统未扩容分区,向下滑动页面,找到并点击执行上述远程命令。
提示:请确认设备名和分区信息后执行远程命令,本例设备名为:/dev/vda,分区:1
- 点击执行,执行成功后,点击取消退出页面。
- 刷新后显示操作系统扩容分区成功
方式二:创建一块新数据盘
创建云盘并使用的主要步骤为:
第一步,登录ECS管理控制台,在左侧导航栏,选择存储与快照 > 云盘,在云盘页面,单击创建云盘,在创建云盘页面中,设置云盘的配置参数:
- 是否挂载:创建云盘后是否挂载到指定的ECS实例
- 存储:选择云盘类型和大小
- 购买量:可输入数字,批量创建云盘
第二步,创建云盘后,使用云盘。
- 如果创建云盘时,选择挂载到ECS实例。后续需要分区格式化。
- 如果创建云盘时,选择暂不挂载。后续需要挂载数据盘和分区格式化。
- 挂载数据盘请参见:挂载数据盘
- 分区格式化,具体操作如下:
- 使用GPT分区(支持2 TiB以上容量),请参见分区格式化大于2 TiB数据盘。
- 使用MBR分区(不支持2 TiB以上容量),请参见分区格式化数据盘(Linux)或分区格式化数据盘(Windows)。
- 云盘为MBR分区但希望扩容至大于2 TiB,请参见转换MBR分区为GPT分区
方式三:在更换操作系统时,同时更换系统盘
主要步骤为:
第一步,进入ECS实例列表页面。找到目标实例,停止目标实例。
第二步,在目标实例的操作列更多 > 云盘和镜像 > 更换操作系统。
第三步,在更换操作系统对话框,重新输入变更后的系统盘容量,完成操作系统安装的同时将更换新的系统盘。
思考:小云了解到存储读写速度和IOPS越高,数据处理速度也越快,那么要如何选择块存储提升网站性能呢?
块存储(云盘)变配
不同类型的块存储提供了不同的磁盘性能,其分类主要有ESSD 云盘、SSD云盘、高效云盘等,以满足不同业务场景需求,其中:
- 高效云盘:具备高性价比、中等随机读写性能、高可靠性的云盘产品。建议在开发与测试业务和系统盘等场景中使用。
- SSD云盘(固态云盘):具备稳定的高随机读写性能、高可靠性的高性能云盘产品。建议在I/O密集型应用、中小型关系数据库和NoSQL数据库等场景中使用。
- ESSD云盘(Enhanced SSD):基于新一代分布式块存储架构的超高性能云盘产品,结合25GE网络和RDMA技术,单盘可提供高达100万的随机读写能力和更低的单路时延能力。建议在大型OLTP数据库、NoSQL数据库和ELK分布式日志等场景中使用。
提示:块存储同时还提供ESSD AutoPL云盘、ESSD PL-X云盘以及本地盘等类型,本课程暂不做讨论。
小云可以根据业务需求变更云盘的类型。例如,小云创建云盘时选择了SSD云盘,但后期需要更高的IOPS,则可以将该盘变配为ESSD云盘。
提示:云盘变配前,建议您为云盘创建快照备份数据。
云盘变配操作步骤:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例
- 找到待扩容云盘所在的实例,单击实例ID。在实例详情页面,单击云盘页签。
- 找到待扩容的目标云盘,在操作列选择
> 变配
- 弹出的对话框中选择需要变更的云盘类型和配置,点击确认后完成云盘变配。
镜像管理
思考:小云如何能够保存现有ECS实例中的所有管理配置,并利用保存的配置重新创建一台配置相同的机器?
小云:老王,我有一个朋友也想拥有一个网站但是不希望创建ECS后重新搭建配置网站环境,我的朋友是否能够使用我的ECS实例配置创建属于他的ECS实例?
老王:当然可以,实际上企业应用中,某些服务需要多台配置一模一样的ECS实例,所以创建一个“模板机”,并复制“模板机”的配置从而创建新的ECS实例将变得非常便捷。
小云:太好了,麻烦给我讲讲要如何去做?
老王:对于传统的物理服务器,就要基于现有服务器磁盘制作操作系统镜像,这通常需要购买专业的第三方备份软件实现。系统镜像可以简单理解成把操作系统中包含的一系列文件通过镜子映射出一模一样的文件并进行打包压缩,优点是把大量的文件整合在一个文件(压缩包)内,缩小了体积,便于储存、复制、转移,但是不能直接使用,需要把这个文件安装在服务器上,将其释放为完整的系统文件,就变成和原来一模一样的操作系统了。
小云:云服务器是不是有更简单快速的实现方式?
老王:没错,与传统物理服务器不同的是,阿里云的云服务器ECS自带镜像组件,你可以在ECS管理控制台(https://ecs.console.aliyun.com/)一键生成云服务器的镜像文件(创建自定义镜像,包含了预装的操作系统、初始化应用数据、预装的软件等),你还可以通过这个镜像快速批量创建ECS实例,从而实现批量部署多台相同环境的ECS实例。镜像组件本身的使用是完全免费的,你只需要承担镜像所占用的存储空间的费用。
镜像分类:ECS镜像根据来源不同,分为公共镜像、自定义镜像、共享镜像、云市场镜像和社区镜像。
- 公共镜像:阿里云官方提供的操作系统镜像,皆是正版授权,并通过了阿里云官方的安全和稳定性测试。公共镜像包含了Windows Server系统镜像和主流的Linux系统镜像。
- 自定义镜像:您使用实例或快照创建的镜像,或是您从本地导入的自定义镜像。
- 共享镜像:其他阿里云账号共享给您的镜像。
- 云市场镜像:云市场镜像中的镜像包括操作系统和预装软件等,均经过发布者的安全与稳定性测试,保证镜像内容的安全性。根据发布者不同,云市场镜像可分为以下两种:由阿里云官方账号发布的镜像。由第三方服务商ISV(Independent Software Vendor)通过阿里云云市场发布的镜像。
- 社区镜像:由任意阿里云用户在镜像社区发布的完全公开的镜像。
镜像的基本功能:
创建自定义镜像
小云准备基于已经搭建好网站的ECS实例创建自定义镜像,以便于后续通过该镜像快速复制ECS实例。
提示:
- 生成自定义镜像的过程中,系统会自动生成一份快照,系统会根据快照的存储空间大小计费。
- 如果自定义镜像的最终来源为付费镜像且您使用了该自定义镜像,则需要收取镜像费用。
小云创建自定义镜像的具体操作步骤为:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 镜像。
- 在顶部菜单栏左上角处,选择地域。
- 在创建镜像区域单击创建自定义镜像。
- 在创建自定义镜像对话框中,完成以下配置,点击确认完成自定义镜像创建:
- 创建方式:实例(通过已有实例创建自定义镜像)、快照(通过已有系统盘快照创建自定义镜像)
- 实例/快照:根据创建方式,选择对应实例或快照
- 镜像名称:输入自定义镜像的名称
- (可选)镜像检测:镜像检测功能主要检测导入的自定义镜像是否为有效镜像、自定义镜像是否可以创建出功能齐全的ECS实例等。
- (可选)镜像族系:您可以在创建自定义镜像时选择镜像族系。设置了镜像族系功能的自定义镜像可以被设置为弃用或者恢复可用,来实现镜像的平滑更新与回滚。
- (可选)高级配置:镜像描述、标签、资源组配置。
- 创建镜像所需时间取决于实例云盘的大小,需要等待每块云盘的快照创建完成,镜像才可以使用,请您耐心等待。
自定义镜像管理
当您成功创建或成功导入自定义镜像后,镜像的状态为可用。此时,您可以使用该镜像创建实例,可以将其共享给其他阿里云账号使用,或复制该镜像到其他地域使用,或导出该镜像到OSS存储空间(OSS Bucket)。不再需要该镜像时,您可以将其删除。
自定义镜像管理方法:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 镜像。
- 在顶部菜单栏左上角处,选择地域。
- 单击自定义镜像,在操作列选择
并点击相关镜像操作。
- 创建实例:通过自定义镜像快速创建ECS实例
- 复制镜像:将镜像复制到指定地域
- 共享镜像:共享镜像可用于跨账号部署ECS实例,您可以将镜像共享给其他阿里云账号使用
- 删除镜像:删除自定义镜像
- 导出镜像:导出自定义镜像到OSS存储,并可从OSS存储下载镜像到本地,用于本地镜像分析、本地备份等
- 弃用镜像:弃用后该镜像将不可以被共享和复制。该镜像不会被删除,您可以将镜像再次恢复可用
快照管理
思考:小云在网站运维和管理的时候,不小心删除了ECS实例中的图片和视频数据,小云非常着急,如何找回这些数据?
小云:老王,江湖救急,我在网站运维和管理的时候,不小心删除了ECS实例中的图片和视频数据,怎么办?
老王:如果已经对这些图片和视频数据做好了备份,就可以利用备份来恢复数据。
小云:我要如何对服务器中的数据进行备份呢?
老王:如果是传统的物理服务器,为了确保服务器中数据的安全,需要你自行定制备份策略(备份哪些数据、多久备份一次、备份到哪里),数据越重要且更新速度越快,则备份的周期也要缩短,这样在数据误删或丢失的情况下通过备份恢复更多数据,同样数据备份的位置同样需要关注,因为如果备份到服务器本地,如果存储损坏,备份会同正常数据一起丢失,最常见的方式就是将备份文件拷贝到其它的存储设备(如:NAS网络附加存储)中。也就是说需要你能够编写自动备份脚本,并通过cron等计划任务工具定期执行脚本,将数据拷贝到远程的存储设备中进行备份,一般来说这些备份文件比较大,你还要定期对历史的备份文件进行清理,节省备份占用的存储空间。
小云:这对我来说太复杂了,有没有更简单的方式备份数据呢?
老王:阿里云的云服务器ECS自带快照组件,你可以在ECS管理控制台(https://ecs.console.aliyun.com/)一键对云盘的数据进行备份,也可以利用备份一键恢复数据或创建新云盘,从而避免因为误删除等行为导致重要数据丢失。快照组件本身的使用是完全免费的,你只需要承担快照所占用的存储空间的费用。
小云:能再详细讲讲快照是什么么?
老王:快照是磁盘数据在某一个时间点的拷贝,可以方便的创建实例的快照,保留某个时间点上的系统数据状态,作为数据备份,或者制作镜像。
快照原理:
- 云盘格式化后会在逻辑块地址LBA(Logical Block Address)的基础上划分数据块(Block)。
- 云盘第一份快照是实际使用量的全量快照,不备份空数据块。
- 后续快照均是增量快照,备份自上一个快照以来的增量业务数据。
创建快照
思考:小云可以通过哪些方式创建云盘快照?
云服务器ECS的云盘支持通过以下两种方式创建快照:
- 手动快照:由您手动创建,作为重大操作的准备工作,提高操作容错率。支持创建单个云盘快照或者快照一致性组(一台或多台ECS实例上多个云盘的快照)。
- 自动快照:将自动快照策略应用到云盘上,在您设置的时间点自动为云盘创建的快照。通过自动备份云盘数据,提高业务数据安全性。
手动创建快照:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏左上角处,选择地域。
- 找到需要创建快照的实例,单击实例ID。在实例详情页,单击云盘页签。
- 找到要创建快照的云盘,在操作列单击创建快照。
- 在弹出的创建云盘快照对话框中,设置快照参数,然后单击确定。
- 云盘快照名称:设置快照的名称。
- 快照类型:选择创建标准快照或者创建极速可用快照。
- 创建标准快照:分钟级创建时间,取决于容量大小,首次创建耗时较久。创建快照后,系统根据快照容量大小、按每个地域单独结算费用。
- 创建极速可用快照:秒级创建快照,仅支持ESSD云盘。极速可用快照除了快照存储费用,还会产生快照极速可用费用。
- 保留时间:设置快照的保留天数,永久保留或者自定义保留天数。
- 快照极速可用:设置快照极速可用的使用天数,到期后自动关闭快照极速使用功能。仅在快照类型选择创建极速可用快照时需要设置。
- 标签:设置标签,将快照归类,便于搜索与批量操作。
- 资源组:设置资源组,对快照进行分级管理。
自动创建快照:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏左上角处,选择地域。
- 找到需要创建快照的实例,单击实例ID。在实例详情页,单击云盘页签。
- 找到要创建快照的云盘,在操作列单击设置快照策略。
- 在弹出的设置自动快照策略对话框中,设置自动快照策略,然后单击确定。
- 重复日期:创建自动快照的日期,支持在周一至周日之间选择一个或多个日期。
- 创建时间:一天内创建自动快照的时间点,支持在00:00~23:00共24个整点中选择一个或多个时间点。
提示:创建快照会暂时降低块存储I/O性能,一般性能差异在10%以内,出现短暂瞬间变慢。建议您选择避开业务高峰的时间点。
- 快照保留时间:自动快照的保留时间,默认保留30天,支持以下选项:
- 自定义时长:保留天数范围为1~65535天。
- 持续保留,直至快照数量达到额度上限后被自动删除:在自动快照数量达到上限后,系统会删除最早创建的自动快照。
快照管理
思考:小云可以如何使用和管理快照?
当创建好云盘快照以后,就可以通过快照恢复数据(回滚云盘)、创建镜像、创建新云盘或将快照复制到其它地域,当您不再需要某份快照或者快照数超出额度时,您可以删除一部分快照释放空间。
- 回滚云盘:发生系统故障或错误操作时,如果云盘在此之前已经创建了快照,您可以使用该快照来回滚云盘,实现应用版本回退。如果回滚的是系统盘,默认自动绑定实例当前的SSH密钥对或用户名密码。
提示:回滚云盘是不可逆操作,从快照的创建日期到回滚云盘时这段时间内的数据会丢失。为避免误操作,建议您在回滚前为云盘创建一份快照备份数据。
- 创建自定义镜像:基于已有的系统盘快照创建自定义镜像,可以将一台ECS实例的操作系统、数据制作成环境副本,再通过自定义镜像创建多台ECS实例,快速复制系统环境。
- 创建云盘:基于已有快照创建新云盘
- 复制快照:将快照从一个地域复制到另一个地域,另一个地域将创建一个快照副本,从而实现跨地域备份数据
- 删除快照:当您不再需要某份快照或者快照数超出额度时,您可以删除一部分快照释放空间
使用快照的操作步骤如下:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏左上角处,选择地域。
- 找到需要创建快照的实例,单击实例ID。在实例详情页,单击云盘页签。
- 找到要管理快照的云盘,在关联快照列单击快照。
- 跳转至快照管理页面,找到要操作的快照,即可使用和管理快照,快照的主要操作有:
安全管理
思考:小云担心自己网站的安全性问题,如何能够让云服务器ECS实例上的网站更安全的运行?
小云:最近我的网站用户越来越多了,我总担心我的网站收到攻击,有哪些方式帮助保护我的网站安全?
老王:如果希望保护网站安全,首先就要保护ECS实例安全,这需要对ECS实例进行安全加固,常见的云服务器ECS实例的安全加固方法有:
- 定期变更登录密码或使用密钥方式访问ECS实例,并保护密码/密钥安全不泄露
- 配置安全组规则,关闭危险端口,仅开放必要的端口,并限制访问IP
- 定期安装系统补丁,避免操作系统漏洞导致系统被入侵
小云:明白了,我现在就去控制台逐个学习下如何操作……
修改ECS实例登录密码
方式一:重置ECS实例密码
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏左上角处,选择地域。
- 选择要操作的实例,在操作列中,选择
> 实例属性 > 重置实例密码
- 在弹出的重置实例密码对话框中,根据实例情况,选择重置密码的方式为在线重置密码或离线重置密码。输入并确认新登录密码,然后单击重置密码。要求实例登录密码的长度为8~30个字符,且至少包括以下字符类型中的三项:
- 大写字母
- 小写字母
- 数字
- 特殊字符,支持 ( ) ` ~ ! @ # $ % ^ & * - _ + = | { } [ ] : ; ' < > , . ? / 。
注意:Windows实例的登录密码不能以正斜线(/)作为首字符。
方式二:在实例内部修改登录密码
修改Linux实例的登录密码,以CentOS 7.6为例,修改步骤如下所示:
- 登录实例。
- 执行命令passwd username,例如passwd ecs-user。
- 输入新密码。
- 重新输入确认密码。
修改Windows实例的登录密码,以Windows Server 2012为例,修改步骤如下所示:
- 登录实例。
- 单击开始 > 运行,输入compmgmt.msc并回车。
- 在计算机管理界面中,单击计算机管理 > 本地用户和组 > 用户。
- 右键单击待修改的用户名,例如Administrator。
- 单击设置密码。
- 在为 Administrator 设置密码对话框中,单击继续,输入新密码和确认密码,然后单击确定。
使用密钥登录ECS实例
阿里云SSH密钥对是一种安全便捷的登录认证方式,由公钥和私钥组成,仅支持Linux实例。
相较于用户名和密码认证方式,SSH密钥对有以下优势:
- 安全性:SSH密钥对登录认证更为安全可靠。
- 密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁。
- 不可能通过公钥推导出私钥。
- 便捷性:
- 如果您将公钥配置在Linux实例中,那么,在本地或者另外一台实例中,您可以使用私钥通过SSH命令或相关工具登录目标实例,而不需要输入密码。
- 便于远程登录大量Linux实例,方便管理。如果您需要批量维护多台Linux实例,推荐使用这种方式登录。
思考:小云知道了SSH密钥有这么多的优势,应该如何操作呢?
使用SSH密钥登录ECS实例主要有以下三步:
- 创建SSH密钥对
- 绑定密钥对至ECS实例
- 通过密钥认证登录Linux实例
创建SSH密钥对:
- 登录ECS管理控制台。在左侧导航栏,选择网络与安全 > 密钥对。
- 在顶部菜单栏左上角处,选择地域。
- 单击创建密钥对。在创建密钥对页面,完成以下配置:
- 密钥对名称:密钥对名称不能和已有密钥对重复。长度为2~128个字符,不能以特殊字符及数字开头,只可包含特殊字符中的英文句号(.)、下划线(_)、短划线(-)和冒号(:)。
- 创建类型:您可以选择以下任一类型创建密钥对。建议您选择自动新建密钥对,并及时保存私钥。
- 自动新建密钥对:系统会为您自动创建密钥对。创建完成后将自动下载私钥,您只有这一次下载私钥的机会,因此请妥善保存私钥文件。
- 导入已有密钥对:您可以自行导入Base64编码的公钥内容。
- 资源组:您可以为密钥对指定一个资源组,实现对资源的分组管理。
- 标签:您可以为密钥对绑定一个或多个标签,便于搜索和资源聚合。
- 创建成功后,浏览器自动下载私钥文件(密钥对名称.pem)到本地电脑。
绑定密钥对:
- 登录ECS管理控制台。在左侧导航栏,选择网络与安全 > 密钥对。
- 在顶部菜单栏左上角处,选择地域。
- 找到需要操作的密钥对,在操作列中,单击绑定密钥对。
- 在选择ECS实例栏中,选中需要绑定该密钥对的ECS实例名称,单击>图标,移入已选择栏中。
- 单击确定。
- 重启或启动ECS实例。
- 如果ECS实例处于运行中(Running)状态,重启实例使操作生效
- 如果ECS实例处于停止中(Stopped)状态,启动实例使操作生效
通过密钥认证登录Linux实例:
- 登录ECS管理控制台。在左侧导航栏,选择实例与镜像 > 实例。
- 在顶部菜单栏左上角处,选择地域。
- 找到需要操作的ECS实例,在操作列中,单击远程连接。
- 勾选证书认证,上传浏览器自动下载私钥文件(密钥对名称.pem),点击确定,即可成功登录ECS实例。
安全组
安全组是阿里云上的虚拟防火墙。用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力。
安全组规则:指定了一个或多个防火墙规则,规则包含容许/拒绝访问的IP、端口等。
ECS实例加入安全组的规则如下:
- 实例至少加入一个安全组,可以同时加入多个安全组。
- 实例上挂载的弹性网卡中,辅助网卡可以加入和实例不同的安全组。
- 实例不支持同时加入普通安全组和企业安全组。
- 安全组具备默认规则,可以根据需要灵活维护规则。
安全组使用建议:
使用安全组:
- 登录ECS管理控制台。在左侧导航栏,选择网络与安全 > 安全组。
- 在顶部菜单栏左上角处,选择地域。
- 点击左上角创建安全组,可新建安全组。
- 找到需要操作的安全组,在操作列中,可进行安全组管理。
小云希望允许所有人访问他的个人网站,他对安全组规则做了如下配置:
提示:默认Web服务(个人网站)通过80端口对外提供服务,授权对象 0.0.0.0/0表示对所有IP生效。
补丁管理
小云希望他所购买的ECS实例的系统漏洞尽快修复从而避免受到安全攻击,或者需要所使用的一些软件包的版本始终保持到最新版本,这个时候需要用到补丁管理。
小云可以通过云服务器ECS中免费的自动升级补丁工具来自动扫描实例内的系统补丁,并完成补丁的下载和安装。
提示:系统补丁升级可能会导致实例重启,请选择合适的运维窗口进行系统补丁升级。
使用方法:
云服务器控制台 > 实例 > 进入要操作的实例详情 > 定时与自动化任务页签 > 自动升级补丁页签 > 管理和升级补丁
课程总结
熟练运用云服务ECS的实例、存储、镜像、快照、安全组、云监控等核心组件可以帮助用户更灵活、更安全、更稳定、更低成本的管理个人或企业网站。
本节课程我们学习了:
- ECS实例规格变更、网络带宽变更
- 云盘变配和扩容
- 创建自定义镜像,并利用自定义镜像快速创建指定配置的ECS实例
- 通过手动和自动方式创建快照,并通过快照恢复数据
- ECS实例的安全加固,包括:密码&密钥管理、安全组管理、漏洞管理
- 云服务器ECS关键指标的监控及告警
通过《ECS快速入门》和《ECS基础运维管理》学习和认证,可以证明您具备了ECS的基础使用能力
小云走上了工作岗位,在工作中,他发现需要学习的知识还更多,云上之路还在继续。。。
