01 计算
1.1 云主机概念
云主机是云计算在基础设施应用上的重要组成部分,位于与计算产业链金字塔底层,产品源自于云计算平台。该平台整合了互联网应用三大核心要素:计算、存储、网络,面向用户提供公用化的互联网基础设施服务。
云主机是一种类似于VPS
主机的虚拟化技术。
VPS
是采用虚拟软件(VZ
或VM
),在一台主机上虚拟出多个类似独立主机的部分,能够实现单击多用户,每个部分都可以单独的操作系统,管理方法同主机一样。- 而云主机是在一组集群主机上虚拟出多个类似独立主机的部分,集群中每个主机上都有云主机的一个镜像,从而大大提高了虚拟主机的安全稳定性,除非所有的集群内主机全部出现问题,云主机才无法访问。
1.2 云主机应用场景
- 云主机是云计算服务的重要服务之一,是面向各类互联网用户提供综合业务能力的服务平台,能够向用户提供公用化的互联网基础设施服务。
- 云主机服务包括两个核心产品:面向中小企业用户和高端个人用户的云主机租用服务、面向大中型互联网用户的弹性计算平台服务。
- 云主机可以有效的解决传统物理主机与
VPS
服务中存在的管理难度大,业务扩展弱的缺陷。
1.3 云主机功能架构
用户可以通过云管平台配置云主机的各项功能,包括规格、存储、镜像、快照、备份和安全组等。
- 通过虚拟私有云建立专属的网络环境,设置子网、安全组,并通过公网IP实现外网连接。
- 通过镜像服务可以对云主机安装镜像,也可以通过镜像批量创建云主机,实现快速的业务部署。
- 通过云硬盘服务实现数据存储,并通过云硬盘备份服务实现数据的备份和恢复。
1.4 云主机特点
① 极高的安全性:
- 云主机运行在分布式存储上,及时承载云主机的物理机发生故障,数据也不会丢失,保证数据的安全性。
② 高可用性:
- 针对各种类似物理机的
crash
等意外事故,可以将云主机自动的切换到其它可用的物理机上,尽量保证业务的可持续运行。
③ 完善的监控信息:
- 针对每一台云主机,提供24小时不间断的实时监控
1.5 云主机的指标规格
02 镜像
2.1 镜像概述
镜像是一个包含操作系统及应用程序和服务的云主机模板。用户创建云主机时需要选定一个镜像,该镜像包含的操作系统及应用都会安装在云主机中。
- 公有镜像:包含了常见的Linux、Windows等操作系统,可以被所有用户使用
- 私用镜像:用户可以将自己的云主机创建成私有镜像,可供创建该镜像的用户、该用户所在项目的项目管理员、所在部门的部门管理员和系统管理员使用。超级管理员、部门管理员和项目管理员可以将用户创建的私有镜像修改为公用镜像。
2.2 功能架构
03 存储
3.1 云硬盘
3.1.1 云硬盘概述
云硬盘是一种采用网络存储架构,支持弹性扩展,并且由云主机进行管理和使用的虚拟块存储设备。云硬盘类似于物理世界中的U盘或者移动硬盘,用户可以挂载到运行的云主机上,为主机提供持久化的存储。云硬盘适用于文件系统、数据库或其它对容量、IO有需求的系统软件或应用。
云硬盘的分类:
- 系统盘:可启动的。这种云硬盘是云主机的系统盘,是用户在创建云主机时自动创建的(不适用本地存储),这种硬盘仅支持修改名称操作。
- 数据盘:作为普通的数据盘使用,该硬盘在不同的状态下支持不同的操作。
- 镜像缓存盘:在第一次用非raw类型镜像创建云主机时,云管平台自动生成镜像缓存盘,这种硬盘仅支持删除操作。建议第一次通过非raw类型镜像创建云主机时不要批量创建,否则会生成多个一样的缓存盘,占用过多的资源。
3.1.2 云硬盘功能特点
云硬盘为云主机提供规格丰富、安全可靠、可弹性扩展的硬盘资源,具体功能特性如下:
- 规格丰富:提供多种规格的云硬盘,可挂载至云服务器用作数据盘,可以根据应用程序及费用预算选择适合业务场景的云硬盘。
- 弹性扩展:当云硬盘容量不足以满足业务增长对数据存储空间的需求,可以根据需求进行扩容,扩容云硬盘时还会受容量总配额的影响,系统会显示当前的剩余容量配额,新扩容的容量不能超过剩余容量的配额。可以申请足够的配额满足业务需求。
- 安全可靠:云硬盘支持备份、快照等数据备份保护功能,为存储在云硬盘中的数据提供可靠保障,防止应用异常、黑客攻击等情况造成的数据错误。
- 实时监控:配合监控管理功能,用户可以随时掌握云硬盘的健康状态,了解云硬盘的运行状况。
3.1.3 云硬盘架构
3.2 快照
云硬盘快照是某一个时间点云硬盘状态的全貌,通过创建快照可以保留云硬盘的状态,以便后续能返回相同的状态。
快照属于增量备份,这意味着仅保存设备上在最新快照之后有更改的数据,这将尽可能缩短创建快照所需的时间,且可以节省存储成本。
可以在云硬盘任何状态下创建快照,但是,快照只能保存创建时间点写入云硬盘的数据,若引用程序或其它进程在该时刻正在向该云硬盘写入数据,可能无法被保存下来。如果可以将所有文件写入暂停一段时间并创建快照,则该快照应该是完整的。如果无法暂停,则建议将该云硬盘从主机中卸载、创建快照然后重新挂载到云主机上。
3.3 存储池QoS
为了防止部分云硬盘占用过多的资源,影响整个存储效率,设置QoS来限制存储池中云硬盘读写吞吐量和操作数。
3.4 对象存储
对象存储服务是一个基于对象的存储服务,为用户提供安全、高可靠、低成本的数据存储能力。
云管平台支持Swift和超融合Ceph两种对象存储功能。
- Swift对象存储没有总数据容量和对象/文件数量的限制,为用户提供了超大存储容量的能力,适合存放任意类型的文件,适合开发者使用。
- 超融合Ceph对象存储的容量和数量配额在创建存储用户时设置。
将桶公有化后,通过分享对象URL,其它用户通过分享链接地址可访问存储对象。
3.5 文件存储
文件存储为用户提供安全可靠、可扩展的共享文件存储服务。可与云主机、容器服务等服务搭配使用,为多个计算节点提供容量和性能可弹性扩展的高性能共享存储。
04 网络
4.1 网络功能架构
网络相关的概念:
私有网络:
- 私有网络是一个用户自定义的逻辑隔离网络空间,托管在私有网络内的是云主机、负载均衡资源。
- 不同私有网络间完全逻辑隔离,用户可以自定义网段划分、IP地址和路由策略等,并通过防火墙和安全组等实现多层安全防护。
路由器:
- 路由器用于连接多个私有网络,使之互通。云主机可以通过路由器访问公网。
外部网络:
- 外部网络是外部物理网络的映射,一般用于给虚拟路由器分配网关地址,或者给云主机分配公网IP地址。云主机使用外部网络对外提供业务能力。
IPSec VPN:
- IPSec VPN 指采用IPSec协议来实现远程接入的一种VPN技术,是一种安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。
- 用于连接两个私有云环境或连接私有云和公有云环境,将两个不同私有网络环境整合成为一个统一的私有网络环境。
私有网络IPSec VPN 分为以下几个组成部分:
- VPN网关: VPN网关是私有网络的IPSec VPN网关,与对端玩骨干(用户IDC侧的IPSec VPN服务网关)配合使用,主要用于私有网络和用户的IDC之间建立安全可靠的加密网络通行对端网关。
- 对端网关:只用户IDC机房的IPSec VPN 服务网关在私有网络内的映射,对端网关需与VPN网关配合使用,一个VPN网关可与多个对端网关建立带有加密的VPN网络通道。
- VPN通道:加密的公网IPSec VPN通道,在VPN网关在对端网关建立后,即可建立VPN通道,用于私有网络和IDC之间的加密通道。
4.2 网络拓扑
网络拓扑支持自动生成整个云管资源的网络连接关系,展示包括云主机、私有网络、虚拟路由器和云主机内的层级连接关系。
如下网络拓扑图:
单击网络设备图标,界面显示设备的详情:
05 安全
5.1 防火墙
这里防火墙可以看作是一个由软件和硬件组合的网络设备。防火墙作用于保护路由器以及路由器连通整个内部网络免受外部网络的非法侵入。
一个防火墙(作为阻塞点、控制点)能极大提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更加安全。如防火墙可以禁止诸如众所周知的不安全NFS协议进出受保护网络,这样外部的攻击者就不能利用这些脆弱的协议来攻击内部网络了。
防火墙同时还可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
5.2 秘钥对
为安全起见,云主机登陆时建议使用秘钥的方式进行身份验证。因此,用户需要使用自己已有秘钥对或新建一个秘钥对,用于Linux操作系统之间远程登录身份验证。
5.3 安全组
安全组是一个逻辑上的分组,可以实现相互信任的云主机之间的通信。可以将同一地域内具有相同网络安全隔离需求的云主机加到同一个安全组内,从而这些云主机使用相同的安全策略。
安全组作用范围是在云主机上,更具体说是作用在云主机的端口而不是网络上。安全组和防火墙之间的区别:
- 防火墙:路由级别的隔离
- 安全组:云主机级别的隔离
5.3.1 常用端口介绍
补充:
5.3.2 典型应用的安全组规则
06 弹性扩展
弹性扩展,是根据用户的业务需求和策略,经济地自动调整弹性计算资源的管理服务。弹性扩展不仅适合业务不断波动的应用程序,同时也适合业务稳定的应用程序。通过弹性扩展管理集群,在高峰期自动增加云主机,在业务回落时自动减少云主机,节省基础设施成本。
功能架构图如下:
07 备份恢复
备份是一种便捷高效的数据保护服务手段,推荐应用于以下业务场景中:
- 数据日常备份:数据盘的日常备份,可以定期备份重要业务数据,以应对误操作、攻击或病毒导致的数据丢失风险。
- 快速数据恢复:应用软件升级或业务数据迁移等重大操作前,可以创建一份或多份数据备份。一旦升级或迁移过程中出现问题,既可以通过数据备份及时将业务恢复到正常系统数据状态。
08 回收站
回收站用于存放被删除的云主机,并在设置期限内提供云主机的恢复功能。当管理员由于误操作删除云主机之后,可以在回收站中找到云主机并将云主机恢复回去。