阿里云高校计划Day4笔记

  • 负载均衡(SLB)
  • 1.阿里云负载均衡产品概述
  • 2.阿里云负载均衡SLB产品概念介绍
  • 3.负载均衡使用中的主要问题介绍
  • 互联网常见形式及安全威胁
  • 1.互联网安全的形势及常见威胁
  • 2.阿里云安全体系及云盾概览
  • 3.云盾的基础DDos防护及高防IP
  • 4.应用防火墙和安骑士
  • 5.云监控功能概览


负载均衡(SLB)

1.阿里云负载均衡产品概述

负载均衡( Server Load Balancer)是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。
SLB可以做什么?
1.负载均衡( Server load balancer,简称SLB)是对多台云服务器进行流量分发的负载均衡服务。
SLB可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。
2.SLB服务通过设置虛拟服务地址(IP),将位于同一地域( Region)的多台云服务器(ECS)资源虚拟成一个高性能、高可用的应用服务池
根据应用指定的方式,将来自客户端的网络请求分发到云服务器池中
3.SLB服务会检查云服务器池中ECS的健康状态,自动隔离异常状态的ECS从而解决了单台ECS的单点问题,同时提高了应用的整体服务能力
4.在标准的负载均衡功能之外,SLB服务还具备TCP与HTTP抗DDoS攻击的特性,增强了应用服务器的防护能力。
5.SLB服务是ECS面向多机方案的一个配套服务,需要同ESC结合使用。

2.阿里云负载均衡SLB产品概念介绍

阿里云SLB主要由3个基本概念组成:
LoadBalancer代表1个SLB实例
Listener代表用户定制的负载均衡策略和转发规则
BackendServer是后端的1组云服务器
SLB术语:
SLB(Server load balancer): 负载均衡服务,简称SLB服务
Region(Region): 地域
Zone(Zone): 可用区
LoadBalancer(Load Balancer): 负载均衡服务实例,简称SLB实例
Listener(Listener)负载均衡服务监听
BackendServer(Backend Server): 后端服务器
Address( Address): 服务地址

SLB主要功能

  • 当前提供4层(TCP/UDP协议)和7层( Http/Https协议)的负载均衡服务
  • 可以对后端ECS进行健康检査,自动屏蔽异常状态的ECS,待该ECS恢复正常后自动解除屏蔽
  • 提供会话保持功能,Session的生命周期内,可以将同一客户端请求转发到同一台后端ECS上
  • 支持加权轮询(WR),加权最小连接数(WLC)转发方式,后端ECS权重越高被分发的几率也越大
  • 支持针对监听来分配其对应服务所能达到的带宽峰值
  • 可以支持公网或私网类型的负载均衡服务
  • 提供丰富的监控数据,实时了解SLB运行状态
  • 结合云盾,提供WAF及防DDOS攻击能力,包括 CC,SYN FLOOD等
  • 支持同一地域( REGION)跨数据中心容灾,结合DNS还可以支持跨REGION容灾
  • 针对 Https协议,提供统一的证书管理服务,证书无需上传后端ECS,解密处理在SLB上进行,降低后端 ECS CPU开销
  • 提供控制台,API,SDK多种管理

使用方法
负载均衡开通–》服务监听配置–》后端服务器配置–》负载均衡监控

3.负载均衡使用中的主要问题介绍

  • SLB支持的协议有哪些?
    SLB当前支持4层(TCP协议、UDP)和7层(HTTPS协议)。
  • SLB服务本身解决了后端ECS服务的灾备问题,但如何避免SLB服务本身故障导致的单点问题?关于SLB的灾备,有什么好的建议?
    SLB实例后端的ECS可以是不同Zone下的机器,从而提高本地可用性在同一地域( Region)创建多个SLB实例,通过DNS轮询的方式对外提供服务,从而提高本地可用性。
    在不同地域( Region)创建多个SLB实例,通过DNS轮询的方式对外提供服务,从而提高跨地域的可用性。
  • SLB最多支持对几台ECS进行负载均衡服务?
    我们不会限制用户在SLB实例后配置的ECS数量。但是,为了保证您对外服务的稳定与高效,我们建议您可以根据业务分类或应用服务的模块划分来将提供不同服务或执行不同任务的应用服务器配置在不同的SLB实例后。
  • 不同操作系统的ECS可以同时做SLB服务吗?
    可以。SLB本身不会限制后端的ECS使用哪种操作系统,只要您的2台ECS中的应用服务部署是相同且保证数据的一致性即可。但是,我们建议您选择2台相同操作系统的ECS进行配置,以便您日后的管理维护。
  • 如何确保SLB后端的多台ECS之间的数据同步呢?
    目前,有很多类似的工具可以实现服务器之间的数据同步,比如: rsync。具体使用及选择,还请通过其他途径获得更多的介绍资料及指导信息。
    也可以将您的ECS配置成无状态的应用服务器,而数据和文件统一存放在RDS和OSS服务上。
  • 我有2台ECS,分别创建在杭州和青岛,为什么无法把他们添加到一个SLB实例后面?
    SLB不支持跨地域( Region)部署,一个SLB实例后端的多台ECS必须处于同一地域( Region)才可以配置。

互联网常见形式及安全威胁

1.互联网安全的形势及常见威胁

事件一、1·21中国互联网DNS大劫难
事件二、中国快递1400万信息泄露
事件三、12306用户数据泄露
事件四、 OpenSSL心脏出血漏洞

常见威胁
DDoS攻击、口令暴力破解、Web应用攻击

2.阿里云安全体系及云盾概览

DDoS攻击是什么
●DDoS( Distributed denial of service)即分布式拒绝服务攻击。
●攻击主要目的是让指定目标无法提供正常服务,是最强大、最难防御的攻击之一
●近年出现的 DRDoS(分布式反射攻击)让DDoS攻击水平迅速提升,互联网安全被网络暴力所威胁。

基础DDos防护的主要功能
攻击流量的发现,牵引和自动处理
能有效抵御所有各类基于网络层、应用层的各种DDoS攻击包括最新 DNS Query Flood、 NTP reply Flood
大数据分析技术实现全自动检测
攻击策略全自动匹配
总体响应时间<2秒
清洗服务可用性99.99%

高防接入步骤
①DNS服务器更换对外服务P。
根据高防提ⅥP1,在DNS服务器把,把原域名IP1更换为VIP1
②流量完成切换。客户端向源站的访问流量直接流向ⅥP1,安全防护由高防接管。
③回源正常用户回注方式与传统方式不同传统是要打上VPN标签进行回注隔离主机路由我们采用协议栈更换技术,把处理完成的流量再送给源站IP1实现回注。

3.云盾的基础DDos防护及高防IP

Web应用防火墙( Web Application Firewal简称WAF是一款网站必备的安全产品。
阿里云云盾Web应用防火墙:基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全
通过防御SQL注入、ⅩSS跨站脚本、常见web服务器插件漏洞、木马上传、非授权核心资源访问等○wASP常见攻击;过滤海量恶意αC攻击;禁止恶意的接口滥刷,数据爬取,避免您的网站资产数据泄露,保障网站的安全与可用性。

4.应用防火墙和安骑士

云盾——WAF应用场景
网站变卡打不卡、账号数据资金损失、网站数据被恶意爬取短信流量被滥刷、获取服务器管理员权限篡改网站数据、页面

云盾WAF的工作原理
以用户访问www.taobao.com站点为例:
1、浏览器输入www.taobao.com访问
2、DNS服务器解析域名到WAF集群地址
3、开始请求访问WAF的IP地址,网站的访问流量到达wAF防护集群,进行安全防护清洗
4、防护集群将清洗后的安全、干净的流量根据域名www.taobao.com回源到网站真实服务器
5、服务器响应内容回到WAF集群
6、WAF进行响应内容的防护清洗,实现请求/响应双向检测

阿里云云盾-安骑士
是云盾安全防护体系中的主机安全防护模块
基于云端联动防御,可以为云服务器提供防黑客入侵的服务

主要防护功能:木马查杀、防密码暴力破解、异地登录提醒、漏洞检测修复

5.云监控功能概览

云监控( CloudMonitor)是一项针对阿里云资源和互联网应用进行监控的服务。
云监控服务可用于收集获取阿里云资源的监控指标,探测互联网服务可用性,以及针对指标设置警报。
云监控服务能够监控云服务器εCS、云数据库RDS和负载均衡等各种阿里云服务资源,同时也能够通过 HttpicmP等通用网络协议监控互联网应用的可用性。
借助云监控服务,您可以全面了解您在阿里云上的资源使用情况、性能和运行状况。
借助报警服务,您可以及时做出反应,保证应用程序顺畅运行

云监控功能概览
站点监控提供对htt、ping、dns、tcp、udp、smtp、pop3、ftp等服务的可用性和响应时间的统计、监控、报警服务。
云产品监控提供对eCs、rds、s|b、cdn、oCs、o55等云服务的监控报警服务。
自定义监控对用户开放自定义监控的服务,允许用户自定义个性化监控需求。
报警及联系人管理提供对报警规则,报警联系人的统一、批量管理服务支持多报警方式:短信、邮件、旺旺

云监控CMS的应用场景
云监控可以帮助运维人员实时了解网络状态、获取监控指标
在ECS部署时及时了解网络的运行状况,为后续网络升级提供性能指标
在网络升级后,监控SLB的负载均衡能否实现
监控到的数据可以作为弹性伸缩服务ESS的触发条件

云盾:DDoS基础防护、DDoS高防IP、安骑士、应用防火墙ⅧWAF
云监控:站点监控、云产品监控(ECS、RDS等)、自定义监控
报警:开关、报警联系人、报警方式
综合应用:设置云监控指标-》读报警信息-》启用云盾功能