开发者社区官方技术圈

1) DDoS 基础防护服务 • DDoS 基础防护服务可以有效防止云服务器 ECS 实例受到恶意攻击，从而保证 ECS 系统的稳定，即当流入 ECS 实例的流量超出实例规格对应的限制时，云盾 就会帮助 ECS 实例限流，避免 ECS 系统出现问题。 • 阿里云云盾默认为 ECS 实例免费提供最大 5Gbit/s 的流量攻击的防护，不同实 例规格的免费防护流量不同，用户可以登录云盾 DDoS 防护管理控制台，查看 实际防护值。 • 云服务器 ECS 的清洗阈值：云服务器 ECS 的清洗值由实例规格决定，最大 PPS 清洗阈值（万 PPS）。 • 提供高防 IP DDoS 服务。

2) 基础安全服务 • 云安全中心（Security Center）提供云服务器 ECS 的基础安全服务，帮助用户 收集并呈现安全日志和云上资产指纹，主要提供免费版的漏洞检测、安全告警 和基线检查服务。

3) 操作审计 • 操作审计追踪并记录阿里云账户下发生的操作事件，并支持后续对事件进行查 看、搜索、转存、分析和多账号的事件聚合。 • 操作审计支持全账户的免开通，默认可在线查询近 90 天的操作日志。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

用户可以创建多个用户组，并授予不同权限策略，起到批量管理的效果。例如： 加强网络安全控制，可以给某个用户组授权一个权限策略，该策略可以规定： 如果用户的 IP 地址不是来自企业网络，则拒绝此类用户请求访问相关 ECS 资 源。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

操作审计（ActionTrail）帮助用户监控并记录阿里云账号的活动，包括通过阿里云控 制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为，包括 RAM 角色 登录操作记录，可以查看 90 天内的事件查询，可以通过筛选进行事件查询。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 网络层安全防御实践 通过 VPC 和安全组来建立不同的区域 部署边界检测和防御系统 抗 D 系统

• 数据层安全防御实践 数据库系统安全加固 数据备份和恢复

• 运维管理安全实践 VPN 堡垒机 访问控制 RAM

• 主机层安全防御实践 操作系统安全加固 主机防火墙设置 防恶意代码系统 主机安全系统（云安全中心）

• 应用层安全防御实践 应用软件安全加固 漏洞扫描

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

a) 登录 ECS 管理控制台，https://ecs.console.aliyun.com b) 在左侧导航栏，选择网络与安全>密钥对 c) 在顶部菜单栏左上角处，选择地域 d) 单击创建密钥对 e) 在创建密钥对页面，完成以下配置：

• 密钥对名称：密钥对名称不能和已有密钥对重复。长度为 2~128 个字符，不能 以特殊字符及数字开头，只可包含特殊字符中的英文句号（.）、下划线（_）、短 划线（-）和冒号（:）。

• 创建类型：可以选择以下任一类型创建密钥对。建议选择自动新建密钥对，并 及时保存私钥。

自动新建密钥对：系统会自动创建密钥对。创建完成后将自动下载私钥，用 户只有这一次下载私钥的机会，因此请妥善保存私钥文件。 导入已有密钥对：用户也可以自行导入 Base64 编码的公钥内容。

• 资源组：可以为密钥对指定一个资源组，实现对资源的分组管理。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

堡垒机提供运维控制策略功能。使用运维控制策略功能，可以设置命令控制、命令审批、协议控制和访问控制策略，管理用户对主机的访问。1) 操作步骤 a) 登录堡垒机系统。 b) 在左侧导航栏，单击控制策略，然后单击新建控制策略。 c) 在新建控制策略页面，可以按照配置向导，配置控制策略的基本属性、命令控 制、命令审批、协议控制以及访问控制。 d) 在基本属性步骤下，配置策略名称、优先级和备注。 e) 在命令控制（选填）步骤下，配置命令控制类型以及命令列表。 f) 命令控制类型：（黑名单）不允许执行以下命令；（白名单）只允许执行以下命 令。 g) 在命令审批（选填）步骤下，配置命令审批中填写的命令列表。命令审批对命令 控制（白名单或黑名单）以外的命令生效。命令控制策略生效的优先级高于命 令审批。如果用户执行了已配置在命令审批命令列表中的命令，可以在堡垒机 控制台对该命令是否执行进行审批。审批允许后该命令会被执行，审批拒绝后 该命令不生效。h) 在协议控制（选填）步骤下，配置控制策略的 RDP 选项、SSH 选项以及 SFTP 选 项。 i) 在访问控制（选填）步骤下，设置允许访问主机的来源 IP 限制模式、IP 列表以 及登录时段限制。 j) 可选：在创建控制策略成功页面，单击关联主机/用户，为该策略关联用户或主 机，使该策略在相应主机或用户上生效。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 业务资源配置复杂，难运维 • 仿冒用户登录难防范 • 复杂权限难管控 • 非法行为难拦截 • 安全事件需追溯

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 定期备份数据 • 合理设计安全域 • 设置安全组规则 • 增加口令复杂度 • 保护服务器端口安全 • 防护系统漏洞 • 防护应用漏洞

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• Load average：是一段时间内系统的平均负载，这个一段时间一般取 1 分钟、5 分钟、15 分钟，所以会有三个值；当 load=1 时：CPU 满负荷； • us，user：用户空间占用 CPU 百分比 sysystem：内核空间占用 CPU 百分比 • ni，nice：用户进程空间内改变过优先级的进程占用 CPU 百分比 • id，idle：空闲 CPU 百分比 • wa，IO-wait：等待 IO 的 CPU 时间百分比 • hi：硬件 CPU 中断占用百分比 • si：软中断占用百分比 • st：虚拟机管理进程从这个虚拟机偷走的 CPU 资源。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 对问询中（Inquiring）状态的系统事件，调用 AcceptInquiredSystemEvent 授权阿里云执行，或者忽略该通知，不授权执行。

• 对计划重新部署实例的系统事件，自行调用 RedeployInstance 重新部署实 例，或者等待系统自动执行。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

“-t 参数”：测试模式，专门用来检查配置文件和 key 的可用性。 操作步骤： 1) 进入实例列表，找到需要进行远程连接排查的实例，单击实例右侧的远程连 接，选择 Workbench 远程连接登录实例。

2) 进入登录页面，输入密码，单击确定。

3) 执行命令：“/usr/sbin/sshd-t”，快速找到问题原因，然后进行相关操作（操作同 上）。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

权限指在某种条件下允许或拒绝对某些资源执行某些操作，权限策略是一组访问权 限的集合。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 安全组通过设置安全组规则，实现哪些来访者可以访问 ECS 实例，哪些来访者 不能访问 ECS 实例。 • 安全组规则通过源 IP、协议、目的端口、策略和优先级决定用户是否可以访问 ECS 实例。例如用户想通过 SSH 远程访问 ECS 实例，安全组会根据用户是否符 合规则，决定要不要放行。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 安全组为有状态应用 一个有状态的会话连接中，允许访问并建立会话后，安全组会默认放行同一会话中 的通信。例如，在会话期内，如果连接的数据包在入方向是允许的，则在出方向也 是允许的。 • 普通安全组和企业安全组 ü 企业安全组面向企业级场景，可以容纳更多的实例、弹性网卡和私网 IP，而 且访问策略更加严格。 ü 实例、弹性网卡和私网 IP 在普通安全组内是互通的，但在企业安全组是隔 离的。 • 添加安全组规则时遵循最小授权原则。 • 不同类型应用的实例加入不同的安全组，分别维护安全组规则。 • 避免直接修改线上环境使用的安全组，如果需要变更安全组，可以先克隆一个 安全组进行测试，如无问题再进行生产环境中的变更。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 动作：使用自动快照策略打快照。

• 注意事项：同一时间集群中大量快照并发创建有可能会触发底层流控，导致集 群为不可读写状态，进一步影响其他动作失败，如创建 ECS 等。

• 建议： 设置多个快照策略，把磁盘尽可能的分散在不同的策略中。 不同的快照策略建议设置不同的触发时间。 每个快照策略间隔两个小时左右。 将快照设置在业务低峰期进行。 核心业务必须多做快照。 对核心 ECS 管控测及实例内部重大配置前必须做快照。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

1) 多网卡/多私网 IP 一台 ECS 根据实例规格决定，可以绑定多个 ENI，实现一台 ECS 拥有多个网卡， 每个网卡可以分配多个私网 IP，可以根据业务需要给 ECS 中不同业务绑定到不同 私网 IP 上。

2) 故障转移 当一台 ECS 上的服务发生异常，可以将 ENI 直接热插拔下来，绑定到另一台 ECS 上，业务流量也就转移到其他 ECS 了，可用于故障切换。

3) 直通模式 VPC 网络中，ECS 只能看到私网 IP，公网是通过映射到主网卡上的，一些特殊的业 务需要公网 IP 直通到 ECS 内部，可以使用 ENI 的可见模式绑定 EIP 实现。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 对于 4GiB 以上内存的云服务器，请选择 64 位操作系统，因为 32 位操作系统 存在 4GiB 的内存寻址限制。

• 不要停止Windows系统自带的AliyunService服务或自带的shutdownmon.exe 进程，停止后可能会影响控制台正常关机或者重启。

• 如果是普通云盘，不建议使用虚拟内存。如果使用高效云盘、SSD 云盘或 ESSD 云盘，可以根据实际情况使用虚拟内存。

虚拟内存：将存储介质（如磁盘空间）虚拟成内存空间使用，以提高可用内 存额度。 Swap：Linux 特有的机制，类似于 Windows 的虚拟内存。 Pagefile：是 Windows 自带的虚拟内存文件，在配置 Windows dump 文 件时使用 pagefile 将内存写入硬盘，需要确保 pagefile 路径下的可用空间 足够大（>内存+1MB）。

• 使用复制镜像进行批量跨地域部署 ECS。

• 自定义镜像导入和 SMC 实例迁移：是将云下实例或者其他云上实例迁移到阿里 云的两种方式。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 组组授权 安全组的访问来源，不仅可以设置目标 IP 或 IP 地址段，也可以设置目标安 全组。 设置组组授权后，两个安全组内的 ECS 实例可以实现内网访问。

• 安全组内实例一键互通/隔离 默认情况下，同一个安全组内的 ECS 实例内网互通。 可以通过 API 快速隔离 ECS 实例之间的网络。

• 更换安全组 如果 ECS 实例原来的安全组不再适合目前的业务，可以通过更换安全组功 能一键变更安全组。

• 克隆安全组 通过克隆安全组功能快速创建安全组，支持跨地域克隆安全组。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 审计合规要求严格：例如金融保险行企，面临行业高规格的安全监管要求，需 要建立完善的审计机制。 • 高效稳定的运维管理：随着互联网行业的快速发展，更多互联网企业的人员与 服务器数量增长迅速，需要高效、稳定的操作审计系统。堡垒机服务能很好地 满足这些企业的运维需求。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

云盾堡垒机是一个核心系统运维和安全审计管控平台。在为操作人员提供统一的运 维入口，解决分散登录难于管理的问题的基础上，集中了运维身份鉴别，职权管理、 系统操作审计等多种功能。并可对常见运维协议的数据流进行全程记录，通过协议 数据流重组的方式进行录像回放，达到运维审计事后追溯的能力。 • 高效运维：统一入口管理，解决登录分散问题。 • 身份鉴别：引入双因子认证机制，防止运维人员身份冒用和复用。 • 权限监控：进行账号管控和权限组管理，分职权进行人员和资产管理。 • 高危阻断：及时阻断高危行为操作，实时保障业务资产安全。 • 审计溯源：多面记录运维人员的操作行为，在线回播操作记录。 • 合规遵循：满足《萨班斯法案》、金融监管、《等级保护》的审计要求。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用 户的入侵和破坏，运用各种技术手段监控和记录运维人员对网络内的服务器、网络 设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。 为避免 ECS 服务器直接暴露在公网下，在客户端和 ECS 之间增加中转服务器：堡垒 机，可以起到运维审计作用，控制用户可以访问哪些资源，可以执行哪些命令等， 并且可以录屏记录该用户登录后做了什么事情。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 主机安全威胁：主机操作系统漏洞利用 • 网络安全威胁：DDoS 拒绝服务攻击 • 应用安全威胁：Web 安全威胁以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

使用访问控制 RAM（Resource AccessManagement）在账号级别上控制对云服务 器 ECS 资源的访问，具体通过创建 RAM 用户（组）并授予特定权限策略实现。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

在遇到病毒攻击如勒索病毒，或由于程序员误操作情况下，经常会使用到快照、镜 像等方式进行备份、数据恢复。 • 容灾备份：为云盘创建快照，再使用快照创建云盘获取基础数据，实现同城容 灾和异地容灾。 • 环境复杂：使用系统盘快照创建自定义镜像，再使用自定义镜像创建 ECS 实例， 实现环境复制。• 数据开发：为数据挖掘、报表查询和开发测试等应用提供近实时的真实生产数 据。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

进一步排查思路： 1) 因为能看到是 nginx 进程，那么可以结合 nginx 日志分析当时业务访问。

2) 找到对应进程的 perf 信息，从热点调用截图（见下图）中可以看到，除了与 kprobe 相关的，其他有一部分是内核态处理软中断、报文收发处理，是导致 sy 高的原因，说明当时请求 nginx 的量可能比较大，内核态处理报文占用了 sy 部分的 CPU。使用 iftop（外置命令）结果可以查看流量情况。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

云监控（Cloud Monitor）是一项针对阿里云资源和互联网应用进行监控的服务。云监控服务可用于收集获取阿里云资源的监控指标，探测互联网服务可用性，以及针对指标设置警报。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

1) 进入实例列表，找到需要进行远程连接排查的实例，单击实例右侧的远程连接，选择 VNC 远程连接。

2) 输入用户名 root+密码登录实例。

3) 查看网络连接信息。

4) 尝试手动启动 SSH 服务，发现无法启动。 systemclt start sshd

5) 查看日志 systemclt status sshd报错：日志显示在 ssh 配置文件的 137 行有错误。

6) 查看报错的配置文件。 vim /etc/ssh/sshd_config :set nu #显示行号 :137 #跳到 137 行在 test 前加#注释掉，然后输入:wq 保存。

7) 再次启动 SSH，仍然还是无法启动。

8) 查看日志，发现另一个报错。报错：在目录/var/empty/sshd 中缺少权限。 建议 在运维过程中尽量不要进行删除操作，可以备份后进行修改。

9) 修复报错目录，SSH 恢复正常启动，端口 22 恢复监听。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

通常在问题排查时会首先考虑网络&安全问题： 1) 网络不通 • 更换网络环境排除本地网络原因 • 服务端检查防火墙安全类软件是否拦截 • 检查服务端监听端口是否被修改过 • SSH/RDP 服务是否正常运行

2) 安全拦截 • 云盾防暴力破解规则：比如在共享 IP 环境下如果有人发起暴力破解行为，云盾可以识别并拦截； • 云防火墙：可以在流量到达 ECS 之前识别风险并拦截 • 安全组：访问 ECS 的入口。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

1. 创建资源 1) 在体验实验室页面左侧，单击创建资源，创建所需资源。 2) 在体验实验室页面左侧导航栏中，单击云产品资源列表，查看本次实验资源相 关信息。

2. 在实例上执行自定义脚本命令 1) 双击打开虚拟桌面的 Firefox ESR 浏览器，在 RAM 用户登录框中单击下一步， 复制云产品资源列表中子用户密码，按 CTRL+V 把密码粘贴到密码输入区，登 录子账户（后续在远程桌面里的粘贴操作均使用 CTRL+V 快捷键）。 2) 复制云服务器 ECS 控制台地址，在 FireFox 浏览器打开新页签，粘贴并访问云 服务器 ECS 控制台控制台。https://ecs.console.aliyun.com/ 3) 在云服务器 ECS 控制台左侧导航栏中，单击发送命令/文件（云助手）。 4) 在 ECS 云助手页面顶部，选择资源所在地域。例如下图中，地域切换为华东（上海）。 5) 在 ECS 云助手页面，单击创建/执行命令。 6) 在创建命令面板中，依次设置命令来源、命令名称、执行计划、命令类型、命令内容和选择实例，然后单击执行。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 阿里云会将系统事件推送至 ECS 控制台展示，部分高危事件还会发送短信、邮 件、站内信通知，并支持在 ECS 控制台或者通过 OpenAPI 响应。

• 用户可以在云监控控制台创建系统事件报警，设置报警规则和报警方式（见下 图），选择所需订阅的报警事件类型、等级和名称、报警联系人和通知方式， 当事件发生时系统会及时自动报警。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

事件状态主要有两种属性：稳定状态和中间状态。 • 稳定状态 Executed：运维任务已经执行完成。 Avoided：用户在用户操作窗口期内自行迁移了实例，规避了系统事件的 影响。 Canceled：系统取消了运维任务。

• 中间状态 Inquiring：问询中，等待您授权，授权后会进入 Executing 状态。 Scheduled：计划执行运维任务，但尚未开始执行，开始执行后会进入 Executing 状态。 Executing：运维任务正在执行中。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

使用 ECS 云助手主要有三个步骤：创建命令、执行命令和查看执行结果。 1) 创建命令 • 登录 ECS 管理控制台，选择运维与监控 > 发送命令/文件（云助手），单击创 建/执行命令。• 设置参数

2) 执行命令 • 在命令列表页签找到目标云助手命令，在右侧操作列中，单击执行。 • 命令执行计划包括：立即执行、系统下一次启动后、系统每次启动后和定时执 行，可在创建命令时设置。

3) 查看执行结果

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 计划内事件：主动预测并规避底层宿主机的软硬件故障风险、提升底层宿主机 的安全性而主动升级宿主机软件。

• 非预期事件：突发软硬件故障，或者实例发生 OOM（Out-Of-Memory 内存溢 出）、内核错误（kernel panic）等情况时，导致实例突发重启、宕机等异常。 当出现非预期的宕机情况，底层会快速执行宕机迁移，帮助尽快恢复 ECS 资源可用性。 当发生内核错误的时候，可使用 Linux 内核功能 kdump 创建核心转储。

• 架构升级迁移：阿里云在升级和改造物理基础设施时，可能需要 ECS 执行迁移 动作。

• 安全事件：实例遭遇 DDoS 攻击或进入黑洞，导致实例的安全受到威胁。 DDoS 攻击：将多台计算机联合起来作为攻击平台，通过远程连接利用恶 意程序，对一个或多个目标发起 DDoS 攻击，消耗目标服务器性能或网络 带宽，从而造成服务器无法正常地提供服务。 当阿里云公网 IP 资产遭受大流量 DDoS 攻击，且攻击流量的峰值带宽 （bps）超过了资产的 DDoS 防御能力时，资产 IP 会进入黑洞状态，暂时 屏蔽资产 IP 的所有入方向互联网流量（使该 IP 从互联网离线）。

• 费用预警：实例到期、账号欠费，导致实例即将被停止或释放。

• 实例状态变化：实例的生命周期变化，例如手动开关机；实例运行状态变化、 抢占式实例中断、快照创建完成。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

系统事件由阿里云定义，用于记录和通知云资源的信息，例如运维任务执行情况， 资源是否出现异常、资源状态变化。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

在实例处于运行中（Running）状态，并安装云助手客户端后，用户可以通过 ECS 管理控制台或者 API，使用云助手对实例进行以下操作： • 批量分发文件 • 批量执行脚本 • 管理软件生命周期 • 部署代码或者应用 • 支持混合云托管

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

实例元数据（metadata）包含了 ECS 实例在阿里云系统中的信息，用户可以在运行中的实例内方便地查看实例元数据，并基于实例元数据配置或管理实例。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

云助手是专为云服务器 ECS 打造的原生自动化运维工具，通过免密码、免登录、 无需使用跳板机的形式，在 ECS 实例上实现批量运维、执行命令（Shell、 PowerShell、Bat 等）和发送文件等操作。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

基本实例元数据包括以下类别： 基本信息：实例ID、IP地址、网卡MAC地址、操作系统类型等信息。 系统事件：有计划的底层运维事件或非预期维修事件，可以帮助您及时了解实例运行状态 详细解析可以查看帮助文档：https://help.aliyun.com/document_detail/49122.html

• 优点：不依赖 GuestOS 网络环境，在网络异常、ssh 服务异常等情况下，可以 通过 VNC 登录上去排查问题。

• 缺点：文本复制、文件传输没有直接使用 SSH 方便。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

在实例列表中选择需要远程连接的实例，单击远程连接，在弹出的远程连接与命令 对话框中，单击“VNC 远程连”接对应的“立即登录”。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

1) 在实例列表中，选择需要远程连接的实例，单击远程连接，在弹出的远程连接 与命令对话框中，单击“Workbench 远程连接”对应的“立即登录”按钮。

2) 在登录实例框中，选择网络连接（公网或私网）、认证方式、填写用户名和密 码，并单击确定。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

Workbench、VNC 和第三方客户 端工具。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

处理方案 • 提前预案 根据阿里云提供全链路评估报告梳理 ECS 安全组规则，收敛存在安全风险 的策略，如收敛 0.0.0.0/0 规则。 核心业务服务器请安装安骑士，及时修补服务器安全风险及漏洞。

• 恢复预案 登录异常 ECS，通过 TOP 命令看看是否存在陌生进程占用大量 CPU，判断 有可能被暴力破解并部署挖矿程序，需要及时切彻底删除木马程序。 如业务进程占用 CPU 最高，可尝试重启应用优先恢复业务。 通过快照进行恢复到之前的状态。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

处理方案 • 首先，通过容器服务控制台移除节点，避免流量分发到该异常节点， https://help.aliyun.com/document_detail/100251.html

• 提前通过 ack 容器服务配罟节点自动伸缩功能，避免移除节点后出现负载瓶颈 （提前预案），https://help.aliyun.com/document_detail/119099.html

• 如 果 没 有配置弹性 伸 缩 功 能需要 手 动 添 加 节 点到集 群 ， https://help.aliyun.com/document_detail/86919.html

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

首先排查一下是程序代码的问题还是云服务器本身的问题，正常来说都是代码程序有问题导致的，可以查看服务器日志进行具体情况的判定，如果还是无法找出原因，可以提交工单，由专业工程师协助

处理方案 • 通过 ESS 配置弹性伸缩策略（提前预案） https://help.aliyun.com/document_detail/148118.html • 如无弹性伸缩配置，提前准备脚本调用阿里云 API 利用自定义镜像新购服务器 并挂载到 SLB 下。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

处理方案： • 提前通过 ack 容器服务配置节点自动伸缩功能，当节点异常后会按需新增节点 （提前预案），https://help.aliyun.com/document_detail/119099.html

• 如 果 没 有配置弹性 伸 缩 功 能，需要 手 动 添 加 节 点到集 群 ， https://help.aliyun.com/document_detail/86919.html

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

在专有网络 VPC（Virtual Private Cloud）中使用云资源前，必须先创建一个专有网络和交换机；一个专有网络中可以创建多个交换机来划分子网；一个专有网络内的 子网默认私网互通。

交换机（VSwitch）是组成专有网络的基础网络设备，用来连接不同的云资源实例。专有网络是地域级别的资源，不可以跨地域，但包含所属地域的所有可用区。每个可用区内可创建一个或多个交换机来划分子网。

创建专有网络后，系统会自动创建一张系统路由表并为其添加系统路由来管理 专有网络的流量。一个专有网络只有一张系统路由表，该系统路由表在创建专 有网络的时自动创建，用户不能手动创建也不能删除系统路由表。用户可以在专有网络内创建自定义路由表，然后将其和交换机绑定来控制路由， 更灵活地进行网络管理；每个交换机只能关联一张路由表。

以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

快照是某一时间点一块云盘的数据状态文件。常用于数据备份、数据恢复和制作自 定义镜像等。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版

• 安全组是一种虚拟防火墙，用于控制安全组内 ECS 实例的入流量和出流量，从 而提高 ECS 实例的安全性。 • 安全组具备状态检测和数据包过滤能力，用户可以基于安全组的特性和安全组 规则的配置在云端划分安全域。以上内容摘自《企业运维之弹性计算原理与实践》电子书，点击https://developer.aliyun.com/ebook/download/7779 可下载完整版