开发者学堂课程【ACP 云计算节选课程 :弹性计算 ECS02-ECS 的组件】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1222/detail/18297
弹性计算 ECS02-ECS 的组件
内容介绍
一、ECS 的组成与功能
二、ECS 的优势
一、ECS 的组成与功能
1、基本组件
在创建 ECS 的时候必须包含一些组件。
(1)实例
实例就等同于一台虚拟的服务站中包含了 CPU 内存,超多系统网络配置等等这些基础的计算组件。
(2)磁盘和快照
快照就是某一个时间点一块云盘或者是共享块存储的一个数据状态文件,这个常用于数据备份、数据恢复以及制作资金定向。
(3)镜像
镜像是提供实例的超多系统初始化应用数据以及预装的软件等等。
(4)虚拟专有网络
第一个是专有网络 VPC,第二个是绑定在专有网络 VPC 之上的 EIP 弹性功能 IP。专有网络其实是一个逻辑上彻底隔离的云上的试用网络,之后会有专门的章节讲述专有网络 VPC。
(5)安全组
其实是一种虚拟的防火墙,是用于设置实例的网络访问控制。
(6)地域和可用区
地域是相当于整个湖北省,湖北省内包含了许多城市,比如武汉、荆州等等都属于是在同一个地域内的不同的可用区。但是每个地域是完全独立的,不同的地域的可用区之间也是完全隔离的,但是同一个地域内的可用区之间使用低事业的链路是相连的。刚对这些组件有了基本的了解之后,再来看如何整合,如何去根据自身的需求选择。
2、组件选择方法
(1)实例规格
第一种是共享型,第二种是通用型。共享型又称之为入门级实例,通用型又称之为企业级实例。在次看一下二者之间的区别。共享型又分为共享标准和突发性能两种。通用型分成很多种实例规格,其中分别是通用型、计算型、内存型、大数据型等等,都是比较针对性的,可以根据自己的需求去选择。入门级服务器和企业级服务器本质的区别其实就在于一个是为个人用户,一个是为企业用户提供云服务。入门级云服务器主要是面向个人和普通企业用户,企业级云服务器主要是面向大型企业级用户。刚才讲到入门级实例和企业级实例之间的一个本质的区别,对于企业规格的挑选有了一定的了解之后再来看系统盘和系统镜像的选择。
(2)系统盘和系统镜像
首先系统盘是必不可少的,家用的电脑也都配有,所以是 ECS 的必选组件。系统盘的大小可以根据自己的需求去选择。
其实阿里云服务器的超多系统就是通过系统镜像来安装的,比如要安装 Window 和 Linux 操作系统的话,就需要选择对应的系统镜像,所以系统镜像也是必不可少的。所了解到系统盘和操作系统之后再来看其他的组件。
(3)磁盘、快照和自定义镜像
磁盘就称之为系统盘和数据盘,二者都叫做磁盘。磁盘也可以叫做块存储。快照就是磁盘数据在某一个时间点上面的一个拷贝,就像拍照一样保留某一个时间点上的数据状态,作为一个备份或者是制作下面的自定义镜像。如果要大规模地复制同一个云服务器,对此不适用镜像而要一排排地配置就需要浪费大量的时间,这个时候就可以通过自定义镜像去制作,在短时间内就可以部署多台云服务器。
(4)专有网络
专有网络 VPC 基于软件定义网络(SDN)和隧道技术(Tunneling),为用户建立隔离的、可自定义的虚拟专有网络。
功能:
①提供 VLAN 级别的安全隔离,也就是不同的专有网络是在二重逻辑隔离的。
②用户可以在自己创建的互联网之内去创建和管理其他的云产品实例。也就是在整个 VPC 的专用网络系列之下是不能在没有允许的情况下对内网进行随意访问的。
③用户基于阿里云创建的自定义试用网络是可以完全掌控的,比如选择 IP 地址的范围还有包括配置的落入表和网关,这些都可以是自行配置的。
④就是还可以通过专项 VPN 网关和高速通道将自己的专运网络连接到其他的专有网络或者是本地网络,形成一个按需定制的网络环境。专有网络之间在逻辑上是完全隔离的,所以如果想实现通讯,可以通过专线,可以通过 VPN 网关或者是云企业网去把它打通。方才所说的是云服务器必备的组件以及它的网络环境。
(5)安全组
①基本介绍
不管用什么产品,都要离不开安全。安全组作为 ECS 必不可少的安全特象,看一下它的使用规则。安全组是一个虚拟的防火墙,它是用于设置单台或多台云服务器的网络访问控制,就相当于网络当中的一个访问控制列表。它属于云服务器重要的网络安全隔离的手段,主要是在云端划分安全域档。
②安全组规则
在这里需要注意的是每个实例至少属于一个安全组,否则是无法创建成功的。所以在创建的时候就需要去指定。可以通过添加安全组的规则允许或者是禁止安全组内的 ECS 对公网或是私网的访问。但是有个前提条件是添加安全组规则之前已经规划好了 ECS 实例需要禁止哪些公网或是私网的访问。为了安全起见安全植入方向大多采用的是拒绝访问策略的,这个时候就需要把允许访问的 IP 加入到安全组中。
安全组的规则是由原 IP 地址或者是安全组的协议、端口、策略、网络类型组成的。
这是一个非常完整的安全组的规则,可以看到原安全组是在对面,因为它是一个入方向的,所以是 sg-002。这个协议采用的是 TCP 协议,端口号可以看到。策略写的是接收,网络类型是企业内部网络。③安全组实践
在知道安全组规则之后,再来看如何配置它以及过程中的注意事项有哪些。第一个就是白名单而不是黑名单,为了安全起见建议将安全组作为白名单使用,就是默认拒绝所谓的访问,只添加所需要的 IP 地址和授权端口就可以。
第二个就是“最小授权”原则,就是建议添加存储规格的时候遵循“最小授权”原则,比如开放端口作为远程登录的时候,建议只允许特定的 IP 地址访问,而不是所有的 IP 地址。
第三个就是不同类型的应用实例使用不同的安全组,就是不同类型应用的实例加入到不同的安全组,分别运维去管理。第四点就是尽可能地保持单个安全组的规则简洁,就是单排实例加入到多个安全组中,单个安全组也可以加入多个安全组的规则。但是如果应用在单排实例上的安全组规则过多的时候,就会增加管理的负担,并且引入不该有的风险,所以这个也是不建议的。
第五点就是不随意更新安全组的规则,建议不要修改线上环境使用的安全组,修改安全组设置会自动应用到组内其他的实例上,需要先克隆一个安全组并且在测试的环境中去调试,确保修改后实例之间仍旧能正常通讯再进行修改。最后一点就是不需要公网访问的资源,不提供公网 IP,以免浪费资源。刚才所介绍的是使用安全组时需要注意的事项,再来看地域和可用区的概念。
(6)地域和可用区
刚刚提到每个地域是完全独立的,不同的地域的可用区之间也是完全独立的。例如地域1和地域2,不同的地域之间是完全独立的,不同地域的可用区之间也是完全隔离的。但是相同地域的可用区A、可用区B和可用区C之间是采用的低演示链路去相连的,是可以互通的。需要注意的是在资源创建成功之后不能更改可用区,也不能够更改地域,所以在规划的时候一定要规划好。
(7)弹性网卡
弹性网卡其实是一个虚拟的网络接口,需要绑定到专有网络 VPC 之上才能够去使用。
①类型
弹性网卡的类型有分成两种,分别是主网卡和辅助网卡。主网卡是随着实例一起创建的,生命周期是与实例保持一致的,不支持从实例上解绑。辅助网卡是可以单独创建,支持自由地绑定到实例上或者是从实例上的解绑。
②属性
弹性网卡分为四个部分,第一是私有的 IP 地址,这是由实例一同创建的,是由实例去确定的。第二的 MAC 地址是全局唯一视弹性网卡的标识。第三是安全组,就是至少要加入到安全组中,一个弹性网卡至少要加入到安全组中,由安全组来控制进出弹性网卡的流量。网卡的名字也是只能有一个,相当于自己的名字一样。刚才所讲的是创建 ECS 必不可少的组件,再来看 ECS 的优势。
二、ECS 的优势
总共分成稳定、弹性、安全、成本、易用性和可扩展性。最明显的优势是它可以自动宕机迁移。当一个 ECS 实例所在的物理机(NC)宕机时,ECS 系统将自动启动宕机迁移过程,即将此物理机上运行的云服务器都迁移到其他物理机上。
举例说明:
就是在华东1(杭州)这个地域内的一个可用区中的物理机宕机之后,就会将实例 i-001迁移到同一个地域内的其他的物理机上面。这个过程持续的时间是5~10分钟。如果对可用性有更高的要求,就可以使用其他的云产品 SLB 负载均衡到多个 ECS 实例上面,就可以做到跨可用区的容载机制。
刚才所介绍的是创建 ECS 所要用到的组件和它的一些基本概念,包括 ECS 的优势。现在就介绍 ECS 的使用方法包括如何创建 ECS 和它的一些部署。
