《阿里云认证的解析与实战-云计算ACP认证》——云计算ACP训练营第1天——二、云服务器ECS

在ACP试题比例中，云服务器ECS的内容占比达到31%，因此，这部分内容请大家务必重点学习。

 

1. ECS的概念和定位

 

1) 概念

 

云服务器ECS（Elastic Compute Service）是一种可弹性伸缩的计算服务，助您降低IT成本，提升运维效率，使您更专注于核心业务创新。

 

ECS属于IaaS服务类。

 

2) 定位：ECS是最基础的计算服务

 

ECS及其装载的操作系统，通常用作应用程序的运行环境。

 

3) 核心优势：弹性

 

讨论云服务的弹性主要从两个层面：水平弹性和垂直弹性。

 

a) 垂直弹性（下图左）：针对单个ECS可以自由升配和降配。

 

【考点】

在进行ECS升配或降配时是否要重启服务器？如何重启？（在控制台重启？在后台输入重启命令？）

 

b) 水平弹性（下图右）：当单个ECS不够用时增加一个或多个ECS，水平弹性需要结合负载均衡实现；

 

【考点】

水平弹性问题会结合其他产品（比如负载均衡产品）一起出现。

 

 

2. ECS的组成与功能

 

ECS是由多个并列又相互关联的产品概念组成。

 

1) 实例（Instance）/实例规格（InstanceType）

 

• 实例是提供计算服务的最小单位，由vCPU、内存、系统盘和镜像组成。

• 实例规格定义了实例的vCPU和内存的配置，代表能提供的计算能力。

• 根据业务场景和使用场景，ECS实例可以分为多种规格族，同一个规格族里有多种不同的规格。

 

2) 磁盘（Disk）/快照（Snapshot）

 

• 磁盘快照：是磁盘数据在某一时间点的拷贝，可以方便的创建实例的快照，保留某个时间点上的系统数据状态，作为数据备份或制作镜像。

 

3) 镜像（Image）

 

• 一个实例的磁盘快照可以创建镜像，大规模复制相同规格的云服务器时需要使用镜像。

 

4) 虚拟专有网络（VPC，VirtualPrivateCloud）/EIP

 

• VPC基于软件定义网络（SDN）和隧道技术（Tunneling），为用户建立隔离的、可自定义的虚拟专有网络。

• 弹性网卡（EIP）：是一种可以附加到专有网络VPC类型ECS实例上的虚拟网卡。

 

5) 安全组（Security Group）

 

• 安全组是阿里云上的虚拟防火墙，每一个ECS实例至少要加入一个安全组。

• 在安全组中设置通用的逻辑防火墙规则，规则包含容许/拒绝访问的IP、端口等，然后将ECS实例放入安全组，则ECS自动拥有安全组中的防火墙规则。

• 使用安全组可以更高效的管理ECS。

 

6) 地域（Region）/可用区（Zone）

 

地域和可用区是用来标识在云上资源的物理位置：

 

• 地域：阿里云将可以提供云资源的主要城市定义为地域，比如：华东1-杭州，地域之间默认公网连接；

• 可用区：可理解为机房，同一地域会提供不少于2个可用区，可用区之间是内网连接。

 

3. ECS组件与地域/可用区的关系

 

在ECS组件与地域/可用区的关系图中可以看到：

 

• 实例只能在可用区内迁移，不能跨可用区调度。

• 磁盘只能挂载到同一可用区的实例上，不可跨可用区。

• VPC、EIP、快照&镜像、安全组都可以跨可用区使用。

 

 

 

4. ECS的管理方式

 

ECS的管理方式主要有两种：通过控制台和通过Open API。

 

1) 控制台

 

路径：登录控制台→选择“ECS”→选择“实例”→选择地域→找到实例→选择操作

 

 

 

2) Open API

 

• 服务地址：ecs.aliyuncs.com

• 请求原理：向服务地址发送HTTP/HTTPS GET/POST请求，并按照接口说明在请求中加入相应请求参数

• 调用方式：

ü 不同编程语言的SDK（推荐）

ü 阿里云CLI

ü 阿里云API Explorer

ü APIURL请求

• 身份验证：对于每一次API请求，根据访问中的签名信息验证访问请求者身份，由AccessKeyID/Secret对称加密验证实现。CLI、API Explorer和SDK免去了手动身份验证环节

 

5. 最佳实践

 

1) 节约成本

 

ECS实例有三种计费模式：包年包月、按量付费、抢占式实例。

包年包月和按量付费是大家比较熟知的计费方式，抢占式实例与前两种方式有所不同，是将低峰期闲置的实例资源加以利用，以优惠的价格提供给用户使用。

 

建议：根据业务场景，选择不同计费方式的ECS实例，弹性使用云资源，可以充分发挥云计算的优势，最大限度地节约成本。

 

2) 安全防护

 

• 定期备份数据

• 合理设计安全域

• 安全组规则设置

• 登录口令设置

• 服务器端口安全

• 系统漏洞防护

• 应用漏洞防护

 

针对ECS云服务器，安全防护的重点是如下五个步骤：

 

• 筑堡垒：将ECS放入VPC的隔离环境中

• 关好门：设置安全组

• 防住贼：使用WAF（风控）、SLB（证书）等方式

• 勤检查：开启态势感知

• 重备份：开启自动备份机制，比如磁盘快照

 

3) 架构组合

 

应避免将原有物理服务器上的应用完全照搬跑到云服务器上，较好的实践是将ECS和其他云计算产品配合使用。

 

例如：

 

• 使用多台ECS运行webserver；

• 使用SLB作为流量入口；

• 使用RDS作为数据库；

• OSS作为文件存储；

 

 

4) 故障排查

 

若无法连接ECS实例，请根据如下各原因顺序逐一排查：

 

• 客户端本地网络异常[3%]

• 重置实例密码后，未重启ECS实例[7%]

• Iptables配置异常（CentOS6）[10%]

• 安全组公网规则配置错误[8%]

• 远程访问端口配置异常[10%]

• CPU负载过高[9%]

 

排查方法可以在阿里云平台上查询对应的帮助文档。