【视频】-《ECS 基础入门》 | 学习笔记（二）

开发者学堂课程【企业运维之弹性计算原理与实践：【视频】-《ECS 基础入门》】学习笔记（二），与课程紧密连接，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/1039/detail/15277

【视频】-《ESC 基础入门》

 

内容介绍：

一、课程介绍

二、什么是 ECS

三、ECS 基本概念

四、ECS 基础组件  

五、ECS 运维最佳实践

六、ECS 常见问题排错

七、ECS 基础概念-小结

八、实验

四、ECS 基础组件

1、块存储

（1）块存储是阿里云为云服务器ECS提供的块设备产品，具有高性能和低时延的特点，支持随机读写。您可以像使用物理硬盘一样格式化并建立文件系统来使用块存储，满足大部分通用业务场场景下的数据存储需求。

云盘：数据块级别的块存储产品。云盘采用多副才 本的分布式机制，具有低时延、高性能、持久性、高可靠等特点，支持随时创建、扩容以及释放。

本地盘：ECS 实例所在物理机上的本地硬盘设备。本地盘能够为 ECS 提供本地存储访问能力，具有低时延、高随机 IOPS、高吞吐量和高性价比的优势。

（2）块存储是 ECS 最基础的部分，包括可以在 ECS 上存储数据，它上面有高性能、低延迟的特点，跟正常装一块硬盘在电脑上一样，同时也可以用移动硬盘做一些热插拔等，这些非常方便让客户在很多业务场景下做数据存储。块存储在 ECS 上主要分两大部分，一个是云盘，云盘用到的是盘古式的文件系统，保证写过来的数据是有三副本的功能，放在三个不同的存储集群上，有非常高的数据可靠性，并且有各种各样的规格供大家使用，像平时用到的或者对性能要求不是那么高的， HDD 会用到最开始或最早创建出来的高效云盘或普通云盘。如果对性能有要求的，或者对延迟有要求的，会推荐客户使用SSD、 ESSD，或者是最新推出的 PL-X，AutoPL，它们的区别是可以把 SSD 理解成第一代 SSD，ESSD 是第二代 SSD。性能上有也有不一样的区分，包括ESSD会有0，1，2，3这样规格的分类，越往上它的吞吐 LPS throughput，还有延迟都会有不一样的标准，再到最新一代的PL-X 和 AutoPL 特点是可以自定义 ESSD 的性能。以前 PL0 更多的是会把它限制在一个区间，根据128G 做一个极限，往上加130G，会多不少的 LPS。但是会有大小的限制，只有创建的更大 LPS 才会更大，但是 ESSD 或 AutoPL 的特点是可以自定义想要的 LPS 以及 throughput。

（3）其次，讲到的是用本地盘的概念，很多客户会有这样的需求，就是 eme 的本地盘，SATA 本地盘。它的特点主要在于本地磁盘跟实例放在同一个物理机上，优势是云盘的存储放在另外一个物理服务器上，通过相应的协议走到云盘，这会跨很多条例，比如说跨虚拟化的组件，跨一些网络的组件，到物理机的网口，再经过交换机等等，再到另外的云盘上所在的交换机，再到物理服务器上的网口，再通过盘古的一些程序去找，经过的路径越多延迟能力越高。但是对于本地盘来讲，它由于是在同一个物理机上，它的速度会非常快，延迟就很低，同样也会提供好的性能。但是本地磁盘的稳定性，是非常依赖物理机的，是没有盘古分布式系统的多副本的功能，比如说写一个三副本，对于一个自动节点挂掉之后，还有其他两个副本供读取，保证数据的完整性，但是在本地盘的情况下，它的存储完全依赖于物理机的磁盘。凡是硬件使用过程中肯定是有损耗的，如果真的物理机或者磁盘发生故障了，都会导致本地盘的数据丢失，这种情况下是没有办法挽救的。如果使用本地盘，建议大家不要把数据完整性要求高的部署在本地盘上。如果有需要的话，一定要把本盘的东西做近期的备份，无论是备份到云盘上，还是备份到其他的 oss 上，定期备份是要做的。选本地盘的时候一定要慎重或者了解当中的风险，如果真的出了故障造成数据丢失，也会承担相应的风险。

2、存储产品对比46.43

（1）这里面的产品除了刚才讲到的块存储，用在 ECS 的云盘上，还会涉及到大家日常使用开发用到的 OSS，也是类似于块存储，以对象的方式把内容放进去。最后一个是共享存储，用到文件存储的 NAS。它们三个的特点，块存储用磁盘分区，创建文件系统；OSS 的特点是它的存储级别可以达到 TB，甚至KB，用来存一些网站的图片或者音视频，这种非结构化的数据都是非常方便，而且便宜的；NAS 是一个协议类型的存储，可以通过标准的文件协议，NFS 协议的方式访问数据，像之前讲到的，用企业的文件共享或者容器当中用到的 Storage class，类似于这些场景下都是会用到的。因为容器 pot 可能会去访问共享的存储文件，包括部门之间有一些文件想要分享给其他人，除了走 OSS 比较复杂之外，无论是用 Windows 还是 mack，创建一个 SMB 的 sever，或创建一个 NFS 的 sever。

（2）访问方式，ECS 是通过 POSIX 挂盘的方式随机读写，OSS 更多的是做一些通过 SDK、REST 进行一些访问，更多是追加去写的方式去写文件；NAS 需要通过挂载，根据挂载定义它的访问方式。IOPS 级别来讲，块存储是很高的，因为这是通过 SSE 的方式访问，相对来说 OSS 极限的 IOPS 的量是没有这么大的，业务实践方式决定的它的动作，通过 HZP 或者是 IPS 的方式进行访问。

（3）其次是吞吐量，块存储相对来说也要看选的规格，本身差距也没有特别大。延迟是一个明显的特点，如果用到块存储级别可能是秒级，OSS 跟 NAS 可能是在毫秒级，所以对延迟的要求，不使用的时候可以考虑块存储。容量上相对来说块储存是没有 OSS 跟 NAS 功能。文件级的授权，块存储是不支持的，OSS 跟 NAS 是支持文件级别的认证和授权，包括 OSS 可以去鉴定 IP、鉴定用户的认证等等。NAS 可以通过一些协议，NSS 方式对于文件访问的权限进行配置。终上所述，在应用场景下，在低延迟、高 IOPS 的环境下用到块存储，对于容量有要求，或资源存储的量比较大，同时需要大量的客户端 HTB 访问，是对象存储，比如说 CDN，一些网站的搭建等等。NAS 本身是部门之间的文件共享，容器的环境下，这两页更多的讲的是块存储能力，以及它的优势。

3、镜像

（1）镜像提供实例的操作系统、初始化应用数据及预装的软件。操作系统支持多种Linux发行版本和不同的Windows版本。

公共镜像：阿里云官方提供的 Linux 镜像，皆是正版授权，安全性好，稳定性高。公共镜像包含了 Windows Server系统镜像和主流的 Linux系统镜像。

自定义镜像：您使用实例或快照创建的镜像，或是您从本地导入的自定义镜像。

共享镜像：在阿里云平台上可以把部分上传的自定共享给其他部门。

镜像市场镜像：由阿里云官方或三方服务商ISV通过 阿里云云市场授权提供的镜像。

（2）镜像是实例的运行环境，里面包括实例的操作系统到底是 Windows 还是 Linux，会放预装软件以及初始化的应用等等。镜像分为几类，一个是阿里云提供的官方镜像，无论是 Linux 还是 senteos、Windows 等等主流的市场镜像，这些镜像都是经过镜像测试，并且有正版授权的，来保障它的使用性和安全性。很多客户在第一次使用会选择公共镜像来保证用起来比较顺畅，用了比较多之后，大家可以尝试使用自定义镜像，想从本地或者是 oracle想在云上跑业务，而不是在本地去跑，可以把镜像作一些相应的检查包括修改，最后以自定义的方式导入，镜像就可以在阿里云上运行了。自定义镜像，无论是通过镜像去改，还是装一些软件把它做成一个自定义镜像，从本地到进都是可以的，最主要的目的是里面已经预装好了想要的软件，或者应用数据，不再需要公共镜像做一些初始化等等。有了自定义镜像，想要给其他人也使用，做好的镜像里面已经包含了一些杀毒软件，包含了公司的ERP系统，把这个镜像共享给公司的同事和其他部门是可以做到的，自己做好的镜像可以共享给其他 UID 等等。最后一个是发现镜像需要正版的授权或者是手头不知道怎样做镜像，或者说想用以前在线下用的F5，在阿里云官方市场会有 ISV 授权，通过这些镜像直接部署也可以把防火墙通过镜像市场的镜像搭建出来并部署。

4、镜像的功能

（1）镜像的功能主要是三个大的功能，第一个是可以快速的部署环境，主要用途是在阿里云上会有各种各样的操作系统，已经提供好的系统，可以通过现有的、已经存在的镜像快速的搭出环境，做测试也好，做业务的部署也好。

（2）第二个功能是批量部署环境，批量部署无论是通过自定义镜像，比如说 ECS 有快照，可以建自定义镜像，用这个模板批量的部署一些应用。自定义镜像中适用的场景会遇到比如说需要做一些批量的发布，短期内对系统的应用也不会做更改，可以通过自定义镜像把应用快速的发布。还有一些场景，比如说做数据的迁移，想从经典网络下面迁到 VPC 网络下面也可以搭建一个自定义镜像，通过自定义镜像把机器从经典网络环境，重新创建在 VPC网络环境下，还有一些跨可用区、跨地域的场景，也可以通过自定义镜像进行创建，还原系统。

（3）第三个功能是备份环境，想要备份还原，做一些跨可用区的部署会用到自定义镜像。

5、快照

（1）基本功能

快照最常用的事务场景是在定期备份当中可以安装设定的年月日以及具体的时刻做一些自动的快照备份，里面会涉及到一些创建快照的动作，用一些自动的快照策略定期的在某天或者是每周五的凌晨两点做快照，保障系统会有定期的数据备份。临时的数据备份有客户经常忘记做的，比如说在做系统更新、应用发布的时候有一些临时的变更，如果变更出错了，为了防止变更出错，在执行变更之前要手动的做一次快照创建，系统备份。还有一些例子，比如说在做系统盘的扩容，还有磁盘数据的迁移等等，在这种情况下都会做一些手动的快照。其次，可以通过快照创建镜像，或者用快照创建云盘，这些都是快照的用途，都是为了把某一时刻云盘记录下的数据状态能够把它写起来，或者把数据恢复到某个状态。最后是快照可以做一些快速的复制其它的地域，保障快照可以做一些迁移。

（2）快照的机制就是用到的一些增量的备份，第一次做了一个完整性的快照，在做增量快照的时候可以去动修改的部分。

比如说对 B1 跟 C1 做修改，对这两个部分做增量快照的记录，就会发现，如果没做什么更改，第二个快照会做的很快，或者后面快照做的很快。如果到了第三次只对 B2 修改，进行一个记录，用它的原数据做一些项目的标记。

（3）高级功能

①这些高级功能客户也会用到，第一种是快照极速可用，云盘的数据如果变化很大的情况下，就会发现创建快照的速度会越来越长，因为增量的数据变多了，会花更多时间把这些数据记录下来。针对于 ESSD 推出了快照记录可用功能，这个功能可以加快快照的创建速度，基本上能达到秒级把快照建出来，一般想要用快照快速搭建一个测试的环境，这个时候就可以把创建快照极速可用功能开启，可以把快照快速建出来。比如说有一些问题想要对这台实例做一些操作，做这些高风险操作之前，可以用快照极速可用功能，然后把快照快速建出来，否则会等很久。这些高危的操作包括系统的扩容、更换系统盘、业务系统做更新类似于这些等等，都建议做一下快照，数据量比较大的话，可以用快照极速可用功能。

②第二个高级功能是应用一致性快照，有很多客户做快照之后做回滚会发现应用有数据丢失，原因是做快照的时候是底层去做，不会把内存的数据记录下来，因为内存在做快照的时刻并没有刷到盘上，在这种情况下，可能会出现应用数据丢失，或某些应用没有办法起来的情况。应用一致性快照的目的就是为了保证打快照的瞬间应用或业务系统会把里面所在的数据都落盘进处理，尤其是在一些数据库的应用下，会发现有这些问题。应用一致性快照原理是通过阿里云助手，就是一个 agent，通过这个 agent 保障数据是能够真正进行落盘的，它实现的功能 Windows 上用的是 USS，Copy 这个功能，Linux 就是需要根据每个应用不同的方法去做，官方文档上有相应的例子，比如说 mysql 会给出一些 demo 的脚本，怎样把相应的事物进行落盘的操作等等，可以在阿里官网上查看，不同的应用需要自己编写不同的脚本，但是给的一些案例可以参考使用。

（4）快照的基本功能

可以在同一个地域创建镜像、创建云盘，在不同的地域可以做复制，当云盘出现问题的时候可以通过快照做回滚，来保障数据不丢失。

6、安全组

（1）安全组可以理解为云上的虚拟防火墙，用于控制组内 ECS 实例的入流量和出流量，从而提高 ECS 实例的安全性。安全组具备状态检测和数据包过滤能力，您可以基于安全组的特性和安全组规则的配置在云端划分安全域。可以通过原组进行匹配，匹配出来之后决定它的动作是通过还是拒绝。可以通过云IP、通过协议、通过目的端口、策略和优先级这些因素决定是否要对 ECS 进行放行，还是拒绝，这些都是可以在安全组上配置的。安全组里面有一些简单的功能，比如说做组组授权，这是非常实用的一个功能，默认 ECS 如果是安全组的话，在不同安全组下面 ECS 或弹性网卡之间是相互隔离的。如果通过安全组的组组授权，比如启动一个安全组，授权另一个安全组的访问，可以保证这两个安全组的 ECS 能够实现内网之间的互通，这是一个比较实用的功能，而不是说这两台机器使用不同的安全组就没法进行通信了。正常情况下希望把 VPC 打通，或其他的方式让这两台 ECS 通信，加一些安全组的规则之类，如果对于安全组进行相互授权的话，就可以实现两个安全组内的 ECS 进行内网访问。

（2）第二个是安全组实例之间的隔离，比如说普通安全组之间也有这样的功能，就是安全组内的 ECS 内网进行隔离，其他安全组默认的也是内网进行隔离。还有一些功能是更换安全组和克隆安全组，快速的将 ECS 的业务环境进行相应的流量隔离。

7、专有网络 VPC

（1）专有网络(Virtual Private Cloud，简称VPC)可以帮助用户基于隧道技术，实现数据链路层的隔离，为每个用户提供一张独立隔离的安全网络环境。在VPC内部，用户可以以自定义IP地址范围、网段、路由表和网关等。VPC推荐设置的是192168.0.0/16、17216.0.0/12和10.00.0/8三个标准IPv4私网网段。

（2）下面讲解 VPC 跟交换机，这一部分更多的是在网上这一方面做云上的部署的时候考虑到对于不同网段的规划，包括到底用什么样的网段怎样跟云下，如果有云下的环境，保证时段的不冲突，其次就是两个 VPC 之间怎样做互通等等。阿里云的 VPC 是通过 VX 量方式做数据链路层的隔离，在这上面可以自定义相应的网段，下面是默认推荐的几个网段，192168.0.0/16、17216.0.0/12和10.00.0/8，也可以做一些变更，但是需要提起公安做一些变更等等。在一个个网段下面再去画 VSW，里面的交换机去做具体网段的切割，不同网段下面可以放不同的 ECS，放一些 RDS 不同的资源等等，用来做内网的沟通。

8、专有网络和交换机概述

（1）在专有网络VPC(Virtual PrivateCloud)中使用云资源前，您必须先创建一个专有网络和交换机。您可以在一个专有网络中创建多个交换机来划分子网。一个专有网络内的子网默认私网互通。

（2）如果已经画好了某个网段相应的子网，假如在大的 VPC 下面画了三个子网，会有三个交换机，三个交换机其中两个在可用区a，第三个在可用区b，。在这种情况下会创建相应的系统路由表，通过路由表进行相应的路由。系统路由表是这样创建的，可以增加里面的规格，现有的规格建议去查看，里面有预设好，比如说从公网网段进来的路由，或者有一些云产品自己划分的路由的网段，会有相应的路由表去做一些配置。如果需要自己配置一些自定义的路由，需要指定给某个服务或某些网段来使用，可以用到自定义路由表，也可以自己去 VPC 下创建，去进行网络的管理。

交换机(VSwitch)是组成专有网络的基础网络设备，用来连接不同的云资源实例。专有网络是地域级别的资源，专有网络不可以跨地域，但包含所属地域的所有可用区。您可以在每个可用区内创建一个或多个交换机来划分子网。

（3）创建专有网络后，系统会自动为您创建一张系统路由表并为其添加系统路由来管理专有网络的流量。一个专有网络只有一张系统路由表。该系统路由表在创建专有网络的时候自动为您创建，您不能手动创建也不能删除系统路由表。

（4）您可以在专有网络内创建自定义路由表，然后将其和交换机绑定来控制子网路由，更灵活地进行网络管理。每个交换机只能关联一张路由表。

五、ECS 运维最佳实践

下面讲解运维测的最佳实践，刚才讲了很多组件，比如磁盘、镜像、快照、安全组等等，这些组件在日常生活当中或日常运维当中，最佳实践建议的有哪些点？

1、ECS-镜像最佳实践

讲镜像是因为对云上运维管理来说，镜像运维非常频繁。因为在做一些自定义的部署，包括数据的复制，这些其实都用到了自定义镜像，这些镜像在实践上需要注意以下事项。

①对于4GiB 以上内存的云服务器，请选择64位操作系统，因为32位操作系统存在4GiB的内存寻址限制。

②不要停止 Windows 系统自带的AlivunService 服务或自带的 shutdownmonexe 进程，停止后可能会影响控制台正常关机或者重启。

③如果您使用普通云盘，不建议使用虚拟内存。如果使用高效云盘、SSD云盘或ESSD 云盘，可以根据实际情况使用虚拟内存。

（swop 跟 page file 的概念，如果系统长期内存占用率比较高，新的服务或进程在申请内存的时候发现内存不够，会去查看有没有虚拟内存的配置，虚拟内存最主要的是把一些存储介质，比如说磁盘空间虚拟成内存空间供进程组使用，这样就能保证在内存比较紧张的情况下，能够申请内存而不是把 OAM 或申请不到的内存报错，类似于这样的情况。为什么普通云盘不建议开启虚拟内存呢？因为这里会存在速度上的差异，内存的速度是非常快的，如果使用普通云盘的话，普通云盘更多的是用到sdd，它的读写速度是相对比较慢的，它跟内存速度不一致的话，或者性能差距比较大会使应用受到影响。如果用到的是 SSD或 ESSD 这样的云盘，可以根据实际情况开启或扩大虚拟内存。里面的 page file 也是非常重要的一点，就是在配一些 dant 的情况下，需要通过 page file 把内存写到硬盘上。实例可能会出现蓝屏的问题，这种情况下可以查看自己的 page file 的配置的大小是多少，其次，他配置的位置，因为遇到的一些情况默认会放在C盘下，有很多客户C盘的可用空间是比较小的，就会导致 page file 配置成了32G，跟内存是一样的，但是C盘的可用空间只有20个G，导致蓝屏之后要写到C盘里，写不进去。要确保 page file 所配置的路径的可用空间是足够大的，至少要大于内存加1MB，加1 MB是为了保证会不会有额外的空间消耗。）

④批量跨地域部署ecs-复制镜像

（当需要做一些批量跨地域的部署 ECS ，建议使用复制镜像的方式，假如在上海有一批业务跑的比较好，目前也已经上量，想要把这套业务完整的复制到香港地区，可以通过复制镜像的方式把镜像移植到香港，在香港做批量的部署。）

⑤自定义镜像导入-SMC 实例迁移

（自定义镜像的导入跟 SMC 实例迁移，这也是很多客户会遇到的问题。比如说很多客户想把云下的一些或者从其他的云搬到阿里云上，有两种方式，第一种方式是通过自定义镜像导入，线下通过自己的机器上把VHD 做一些处理，官方都是有处理的办法，包括要开启哪些服务，安装哪些驱动等等，把哪些服务停掉，这些都经过处理之后上传到 ESS 里面做自定义镜像的导入。这是其中一种方法，还有另外一种方法是很多客户说使用到的 SMC 的功能，通过迁移化的方式直接把来自Vivian 的，或者是直接来自 oracle 的实例自动迁移到阿里云上，对于实例迁移或者是搬站的一些情况可以根据实际的情况做选择。）

2、ECS-快照最佳实践  

（1）快照最主要的目的是备份和恢复，会遇到一些问题，比如说很多客户没打快照，需要找实例恢复，这没有办法做到，因为他做了误删除。建议大家对于生产上的业务尽量使用自动快照策略打快照，出了问题至少还有数据保存在上面，最快的2t恢复生产。注意的事项比较罕见，同一时间集群中大量快照并发创建有可能会触发底层流控，有可能触发的情况是创建快照的速度比较慢，如果真的出现这种问题，建议做一下事情。

（2）建议把快照的策略做一些变化，把自动快照的时间尽量打散。建议不同的策略建议设置不同的触发时间。如果对于集群的压力、盘古的压力比较大，建议每个策略间隔两个小时左右。建议设置在业务低峰期，因为快照本身会消耗一些IO，对磁盘性能有一定影响。高峰期一定要打，不同的业务场景下的状态显示不太一样，多多少少会有一些影响。对于核心业务快照的数量，包括频次一定要做到位，会有一些客户在做配置的时候，自己并不清楚这是否是一个核心动作，是否是一个高位的操作。请做一些配置，无论是装软件或者是做一些比较大的配置变动，比如说升级内核，对运动做一些调试，尽量在云平台做一个快照，Windows 舞台打补丁更新之前会做一个快照，可能这台机器半年没有重启或者更早没有重启，更新之后重启不一定是系统更新导致没有办法起来，可能是历史遗留性问题，比如说驱动的签名出现问题、驱动的组件丢失，或者是磁盘的分区出现问题都有可能导致，但是它的出发条件就是重启。如果在重启之前已经打了快照，更好的方便去把应用或数据进行恢复，所以一定要在运维操作之前对快照、对数据安全、数据备份要心存敬畏。建议对核心ECS管控测及实例内部重大配置前必须做快照。

3、ECS-安全组最佳实践

（1）安全组涉及的内容比较多，下面是客户经常咨询的问题。比如说安全组明明配置了，但是访问还有问题，包括安全组的规则增多，导致没有办法增加规格，这些都是客户经常咨询或运维当中碰到的问题。首先，安全组是一个有状态的应用，意思是在一个会话连接当中，这个会话是有一定时长的，建立连接之后，比如这个会话已经经历了安全组，经过安全组之后在会话期内逆方向的连接也好或数据包也好，都是被允许的，出方向同样也是被允许的。安全组作为有状态的应用不需要在入方向配，放行之后，出方向同样也要配一个方向，因为入的一端做了回包，理论上也是要放行，除非这个包在其他地方被卡住了。但是安全组这一段放行，出方向就不需要再做同样的配置了。

（1）第二个是普通安全组和企业安全组，在创建安全组的时候会有这样一个提示，到底是普通安全组还是企业安全组。普通安全组日常环境用的比较多，企业安全组更多的是面对企业级的场景，它可以容纳更多的实例，比如实例的弹性网卡、SIP可以放的更多，而且它的访问规格更加严格。比如说一个普通安全它的实例网卡内网之间是互通的，比如说在一个普通安全组内，2台 ECS 是互通的，但是企业安全组是隔离的，需要再配置相应的规格。

（2）添加安全组规则时遵循最小授权原则，只允许特定IP，尤其是开发官网的情况下，遇到一些问题，大家默认都用斯格林去开放 Linux 访问，可能会被一些提高攻击扫到，会被暴力破解扫到，有可能机器就会被黑掉。在个人使用的时候，配置安全组要格外谨慎，尤其是对官网的一些服务。

（3）第四个是安全组的规则要尽量简单、简洁，单个实例可以加入多个安全组，如果在一个安全组加了特别多的条数，就会导致管理起来比较复杂，对于后台也会有一些风险。一台实例可以加入多个安全组，一个安全组用一个途，假如有一个叫 NGX-We，里面的规则只针对 web 使用；另外一个比如说叫 NGX-DB，这个归 DB 使用。如果需要同一个安全组，可能这两个都需要加，可以把 NGX-Web 和 NGX-DB 都加给 ECS，是没问题的。默认来讲，一个实例允许加入五个安全组，所以对于单个安全组尽量不要放太多的规则、太复杂的规则，这样自己管理起来也比较麻烦。

（4）对于安全组进行相应的分类，这样可以保证管理的简洁程度，避免直接修改线上的安全组，改了线上安全组，加在上面的不论是 ecs 还是弹性网卡等等，这些可能都会涉及到很多，可能客户改了一个不确定它的影响是什么之类的，或者对线上产生一个比较大的影响。在做安全做变更的时候，可以先克隆一个安全组做测试，安全组有复制的功能，测试之后保证实例之间的通信正常，再去进行生产环境的变更。

（6）安全组最佳的实践第一点是普通安全组里面有一些组件的授权，比如说组组授权去做配置；第二点是安全组的规划，安全组的规划默认来讲安全组有一个数量的上限是5×200，5×200的意思是这个实例允许加入的安全组的数量是五个，每个安全组最大的规格数，就是出方向和入方向在一起最多可以配200个。如果还想再加安全组，是没办法加的。还有一种情况是200个安全组的规格不满足现在运维的要求，可以修改，比如说最多是四个安全组，每个实例加四个安全组，规格增加到250，或者是500，但是最多只能加两个安全组，原则就是最多不要超过1000。如果真正没有办法满足要求，有两个办法，第一个办法是看一下有没有冗余的安全组的规格，可以在现有的安全组的规格上做一些轻易；第二个方法是可以用别的云产品，在现在的云环境当中不只是通过安全组做流量的控制，可以通过防火墙，就是 CFword 的功能进行 VPC 之间的并且共享的隔离，通过 CFword 功能进行相应的出入方向的控制，不过这是一个新的产品，或者是需要购买的产品，限制不满足要求的时候，可以用云防火墙上的功能。