有效算法常见问题及解决方法

HTTPS基本原理 一、http为什么不安全。 http协议没有任何的加密以及身份验证的机制，非常容易遭遇窃听、劫持、篡改，因此会造成个人隐私泄露，恶意的流量劫持等严重的安全问题。 国外很多网站都支持了全站https，国内方面目前百度已经在年初完成了搜索的全站https，其他大型的网站也在跟进中，百度最先完成全站https的最大原因就是百度作为国内最大的流量入口，劫持也必然是首当其冲的，造成的有形的和无形的损失也就越大。关于流量劫持问题，我在另一篇文章中也有提到，基本上是互联网企业的共同难题，https也是目前公认的比较好的解决方法。但是https也会带来很多性能以及访问速度上的牺牲，很多互联网公司在做大的时候都会遇到这个问题：https成本高，速度又慢，规模小的时候在涉及到登录和交易用上就够了，做大以后遇到信息泄露和劫持，想整体换，代价又很高。 2、https如何保证安全 要解决上面的问题，就要引入加密以及身份验证的机制。 这时我们引入了非对称加密的概念，我们知道非对称加密如果是公钥加密的数据私钥才能解密，所以我只要把公钥发给你，你就可以用这个公钥来加密未来我们进行数据交换的秘钥，发给我时，即使中间的人截取了信息，也无法解密，因为私钥在我这里，只有我才能解密，我拿到你的信息后用私钥解密后拿到加密数据用的对称秘钥，通过这个对称密钥来进行后续的数据加密。除此之外，非对称加密可以很好的管理秘钥，保证每次数据加密的对称密钥都是不相同的。 但是这样似乎还不够，如果中间人在收到我的给你公钥后并没有发给你，而是自己伪造了一个公钥发给你，这是你把对称密钥用这个公钥加密发回经过中间人，他可以用私钥解密并拿到对称密钥，此时他在把此对称密钥用我的公钥加密发回给我，这样中间人就拿到了对称密钥，可以解密传输的数据了。为了解决此问题，我们引入了数字证书的概念。我首先生成公私钥，将公钥提供给相关机构（CA），CA将公钥放入数字证书并将数字证书颁布给我，此时我就不是简单的把公钥给你，而是给你一个数字证书，数字证书中加入了一些数字签名的机制，保证了数字证书一定是我给你的。 所以综合以上三点： 非对称加密算法（公钥和私钥）交换秘钥 + 数字证书验证身份（验证公钥是否是伪造的） + 利用秘钥对称加密算法加密数据 = 安全 3、https协议简介 为什么是协议简介呢。因为https涉及的东西实在太多了，尤其是一些加密算法，非常的复杂，对于这些算法面的东西就不去深入研究了，这部分仅仅是梳理一下一些关于https最基本的原理，为后面分解https的连接建立以及https优化等内容打下理论基础。 3.1 对称加密算法 对称加密是指加密和解密使用相同密钥的加密算法。它要求发送方和接收方在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密，所以密钥的保密性对通信至关重要。 对称加密又分为两种模式：流加密和分组加密。 流加密是将消息作为位流对待，并且使用数学函数分别作用在每一个位上，使用流加密时，每加密一次，相同的明文位会转换成不同的密文位。流加密使用了密钥流生成器，它生成的位流与明文位进行异或，从而生成密文。现在常用的就是RC4，不过RC4已经不再安全，微软也建议网络尽量不要使用RC4流加密。 分组加密是将消息划分为若干位分组，这些分组随后会通过数学函数进行处理，每次一个分组。假设需要加密发生给对端的消息，并且使用的是64位的分组密码，此时如果消息长度为640位，就会被划分成10个64位的分组，每个分组都用一系列数学公式公式进行处理，最后得到10个加密文本分组。然后，将这条密文消息发送给对端。对端必须拥有相同的分组密码，以相反的顺序对10个密文分组使用前面的算法解密，最终得到明文的消息。比较常用的分组加密算法有DES、3DES、AES。其中DES是比较老的加密算法，现在已经被证明不安全。而3DES是一个过渡的加密算法，相当于在DES基础上进行三重运算来提高安全性，但其本质上还是和DES算法一致。而AES是DES算法的替代算法，是现在最安全的对称加密算法之一。分组加密算法除了算法本身外还存在很多种不同的运算方式，比如ECB、CBC、CFB、OFB、CTR等，这些不同的模式可能只针对特定功能的环境中有效，所以要了解各种不同的模式以及每种模式的用途。这个部分后面的文章中会详细讲。 对称加密算法的优、缺点： 优点：算法公开、计算量小、加密速度快、加密效率高。 缺点：（1）交易双方都使用同样钥匙，安全性得不到保证； （2）每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量呈几何级数增长，密钥管理成为用户的负担。 （3）能提供机密性，但是不能提供验证和不可否认性。 3.2 非对称加密算法 在非对称密钥交换算法出现以前，对称加密一个很大的问题就是不知道如何安全生成和保管密钥。非对称密钥交换过程主要就是为了解决这个问题，使得对称密钥的生成和使用更加安全。 密钥交换算法本身非常复杂，密钥交换过程涉及到随机数生成，模指数运算，空白补齐，加密，签名等操作。 常见的密钥交换算法有RSA，ECDHE，DH，DHE等算法。涉及到比较复杂的数学问题，下面就简单介绍下最经典的RSA算法。RSA：算法实现简单，诞生于1977年，历史悠久，经过了长时间的破解测试，安全性高。缺点就是需要比较大的素数也就是质数（目前常用的是2048位）来保证安全强度，很消耗CPU运算资源。RSA是目前唯一一个既能用于密钥交换又能用于证书签名的算法。我觉得RSA可以算是最经典的非对称加密算法了，虽然算法本身都是数学的东西，但是作为最经典的算法，我自己也花了点时间对算法进行了研究，后面会详细介绍。 非对称加密相比对称加密更加安全，但也存在两个明显缺点： 1，CPU计算资源消耗非常大。一次完全TLS握手，密钥交换时的非对称解密计算量占整个握手过程的90%以上。而对称加密的计算量只相当于非对称加密的0.1%，如果应用层数据也使用非对称加解密，性能开销太大，无法承受。 2，非对称加密算法对加密内容的长度有限制，不能超过公钥长度。比如现在常用的公钥长度是2048位，意味着待加密内容不能超过256个字节。 所以公钥加密（极端消耗CPU资源）目前只能用来作密钥交换或者内容签名，不适合用来做应用层传输内容的加解密。 3.3 身份认证 https协议中身份认证的部分是由数字证书来完成的，证书由公钥、证书主体、数字签名等内容组成，在客户端发起SSL请求后，服务端会将数字证书发给客户端，客户端会对证书进行验证（验证查看这张证书是否是伪造的。也就是公钥是否是伪造的），并获取用于秘钥交换的非对称密钥（获取公钥）。 数字证书有两个作用： 1，身份授权。确保浏览器访问的网站是经过CA验证的可信任的网站。 2，分发公钥。每个数字证书都包含了注册者生成的公钥（验证确保是合法的，非伪造的公钥）。在SSL握手时会通过certificate消息传输给客户端。 申请一个受信任的数字证书通常有如下流程： 1，终端实体（可以是一个终端硬件或者网站）生成公私钥和证书请求。 2，RA（证书注册及审核机构）检查实体的合法性。如果个人或者小网站，这一步不是必须的。 3，CA（证书签发机构）签发证书，发送给申请者。 4，证书更新到repository（负责数字证书及CRL内容存储和分发），终端后续从repository更新证书，查询证书状态等。 数字证书验证： 申请者拿到CA的证书并部署在网站服务器端，那浏览器发起握手接收到证书后，如何确认这个证书就是CA签发的呢。怎样避免第三方伪造这个证书。答案就是数字签名（digital signature）。数字签名是证书的防伪标签，目前使用最广泛的SHA-RSA（SHA用于哈希算法，RSA用于非对称加密算法）数字签名的制作和验证过程如下： 1，数字签名的签发。首先是使用哈希函数对待签名内容进行安全哈希，生成消息摘要，然后使用CA自己的私钥对消息摘要进行加密。 2，数字签名的校验。使用CA的公钥解密签名，然后使用相同的签名函数对待签名证书内容进行签名并和服务端数字签名里的签名内容进行比较，如果相同就认为校验成功。 需要注意的是： 1）数字签名签发和校验使用的密钥对是CA自己的公私密钥，跟证书申请者提交的公钥没有关系。 2）数字签名的签发过程跟公钥加密的过程刚好相反，即是用私钥加密，公钥解密。 3）现在大的CA都会有证书链，证书链的好处一是安全，保持根CA的私钥离线使用。第二个好处是方便部署和撤销，即如果证书出现问题，只需要撤销相应级别的证书，根证书依然安全。 4）根CA证书都是自签名，即用自己的公钥和私钥完成了签名的制作和验证。而证书链上的证书签名都是使用上一级证书的密钥对完成签名和验证的。 5）怎样获取根CA和多级CA的密钥对。它们是否可信。当然可信，因为这些厂商跟浏览器和操作系统都有合作，它们的公钥都默认装到了浏览器或者操作系统环境里。 3.4 数据完整性验证 数据传输过程中的完整性使用MAC算法来保证。为了避免网络中传输的数据被非法篡改，SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。 MAC算法是在密钥参与下的数据摘要算法，能将密钥和任意长度的数据转换为固定长度的数据。发送者在密钥的参与下，利用MAC算法计算出消息的MAC值，并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值，并与接收到的MAC值比较。如果二者相同，则报文没有改变；否则，报文在传输过程中被修改，接收者将丢弃该报文。 由于MD5在实际应用中存在冲突的可能性比较大，所以尽量别采用MD5来验证内容一致性。SHA也不能使用SHA0和SHA1，中国山东大学的王小云教授在2005年就宣布破解了 SHA-1完整版算法。微软和google都已经宣布16年及17年之后不再支持sha1签名证书。MAC算法涉及到很多复杂的数学问题，这里就不多讲细节了。 专题二--【实际抓包分析】 抓包结果： fiddler： wireshark: 可以看到，百度和我们公司一样，也采用以下策略： （1）对于高版本浏览器，如果支持 https，且加解密算法在TLS1.0 以上的，都将所有 http请求重定向到 https请求 （2）对于https请求，则不变。 【以下只解读https请求】 1、TCP三次握手 可以看到，我们访问的是 http://www.baidu.com/ ， 在初次建立 三次握手的时候， 用户是去 连接 8080端口的（因为公司办公网做了代理，因此，我们实际和代理机做的三次握手，公司代理机再帮我们去连接百度服务器的80端口） 2、CONNECT 建立 由于公司办公网访问非腾讯域名，会做代理，因此，在进行https访问的时候，我们的电脑需要和公司代理机做 " CONNECT " 连接（关于 " CONNECT " 连接， 可以理解为虽然后续的https请求都是公司代理机和百度服务器进行公私钥连接和对称秘钥通信，但是，有了 " CONNECT " 连接之后，可以认为我们也在直接和百度服务器进行公私钥连接和对称秘钥通信。 ） fiddler抓包结果： CONNECT之后， 后面所有的通信过程，可以看做是我们的机器和百度服务器在直接通信 3、 client hello 整个 Secure Socket Layer只包含了： TLS1.2 Record Layer内容 （1）随机数 在客户端问候中，有四个字节以Unix时间格式记录了客户端的协调世界时间（UTC）。协调世界时间是从1970年1月1日开始到当前时刻所经历的秒数。在这个例子中，0x2516b84b就是协调世界时间。在他后面有28字节的随机数（ random_C ），在后面的过程中我们会用到这个随机数。 （2）SID（Session ID） 如果出于某种原因，对话中断，就需要重新握手。为了避免重新握手而造成的访问效率低下，这时候引入了session ID的概念， session ID的思想很简单，就是每一次对话都有一个编号（session ID）。如果对话中断，下次重连的时候，只要客户端给出这个编号，且服务器有这个编号的记录，双方就可以重新使用已有的"对话密钥"，而不必重新生成一把。 因为我们抓包的时候，是几个小时内第一次访问 https://www.baodu.com 首页，因此，这里并没有 Session ID. （稍会儿我们会看到隔了半分钟，第二次抓包就有这个Session ID） session ID是目前所有浏览器都支持的方法，但是它的缺点在于session ID往往只保留在一台服务器上。所以，如果客户端的请求发到另一台服务器，就无法恢复对话。session ticket就是为了解决这个问题而诞生的，目前只有Firefox和Chrome浏览器支持。 （3） 密文族（Cipher Suites）： RFC2246中建议了很多中组合，一般写法是"密钥交换算法-对称加密算法-哈希算法，以“TLS_RSA_WITH_AES_256_CBC_SHA”为例： （a） TLS为协议，RSA为密钥交换的算法； （b） AES_256_CBC是对称加密算法（其中256是密钥长度，CBC是分组方式）； （c） SHA是哈希的算法。 浏览器支持的加密算法一般会比较多，而服务端会根据自身的业务情况选择比较适合的加密组合发给客户端。（比如综合安全性以及速度、性能等因素） （4） Server_name扩展：（ 一般浏览器也支持 SNI（Server Name Indication）） 当我们去访问一个站点时，一定是先通过DNS解析出站点对应的ip地址，通过ip地址来访问站点，由于很多时候一个ip地址是给很多的站点公用，因此如果没有server_name这个字段，server是无法给与客户端相应的数字证书的，Server_name扩展则允许服务器对浏览器的请求授予相对应的证书。 还有一个很好的功能： SNI（Server Name Indication）。这个的功能比较好，为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。一句话简述它的工作原理就是，在连接到服务器建立SSL连接之前先发送要访问站点的域名（Hostname），这样服务器根据这个域名返回一个合适的CA证书。目前，大多数操作系统和浏览器都已经很好地支持SNI扩展，OpenSSL 0.9.8已经内置这一功能，据说新版的nginx也支持SNI。） 4、 服务器回复（包括 Server Hello， Certificate， Certificate Status） 服务器在收到client hello后，会回复三个数据包,下面分别看一下： 1）Server Hello 1、我们得到了服务器的以Unix时间格式记录的UTC和28字节的随机数 （random_S）。 2、Seesion ID，服务端对于session ID一般会有三种选择 （稍会儿我们会看到隔了半分钟，第二次抓包就有这个Session ID） ： 1）恢复的session ID：我们之前在client hello里面已经提到，如果client hello里面的session ID在服务端有缓存，服务端会尝试恢复这个session； 2）新的session ID：这里又分两种情况，第一种是client hello里面的session ID是空值，此时服务端会给客户端一个新的session ID，第二种是client hello里面的session ID此服务器并没有找到对应的缓存，此时也会回一个新的session ID给客户端； 3）NULL：服务端不希望此session被恢复，因此session ID为空。 3、我们记得在client hello里面，客户端给出了21种加密族，而在我们所提供的21个加密族中，服务端挑选了“TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256”。 （a） TLS为协议，RSA为密钥交换的算法； （b） AES_256_CBC是对称加密算法（其中256是密钥长度，CBC是分组方式）； （c） SHA是哈希的算法。 这就意味着服务端会使用ECDHE-RSA算法进行密钥交换，通过AES_128_GCM对称加密算法来加密数据，利用SHA256哈希算法来确保数据完整性。这是百度综合了安全、性能、访问速度等多方面后选取的加密组合。 2）Certificate 在前面的https原理研究中，我们知道为了安全的将公钥发给客户端，服务端会把公钥放入数字证书中并发给客户端（数字证书可以自签发，但是一般为了保证安全会有一个专门的CA机构签发），所以这个报文就是数字证书，4097 bytes就是证书的长度。 我们打开这个证书，可以看到证书的具体信息，这个具体信息通过抓包报文的方式不是太直观，可以在浏览器上直接看。 （点击 chrome 浏览器 左上方的 绿色 锁型按钮） 3）Server Hello Done 我们抓的包是将 Server Hello Done 和 server key exchage 合并的包： 4）客户端验证证书真伪性 客户端验证证书的合法性，如果验证通过才会进行后续通信，否则根据错误情况不同做出提示和操作，合法性验证包括如下： 证书链的可信性trusted certificate path，方法如前文所述； 证书是否吊销revocation，有两类方式离线CRL与在线OCSP，不同的客户端行为会不同； 有效期expiry date，证书是否在有效时间范围； 域名domain，核查证书域名是否与当前的访问域名匹配，匹配规则后续分析； 5）秘钥交换 这个过程非常复杂，大概总结一下： （1）首先，其利用非对称加密实现身份认证和密钥协商，利用非对称加密，协商好加解密数据的 对称秘钥（外加CA认证，防止中间人窃取 对称秘钥） （2）然后，对称加密算法采用协商的密钥对数据加密，客户端和服务器利用 对称秘钥 进行通信； （3）最后，基于散列函数验证信息的完整性，确保通信数据不会被中间人恶意篡改。 此时客户端已经获取全部的计算协商密钥需要的信息：两个明文随机数random_C和random_S与自己计算产生的Pre-master（由客户端和服务器的 pubkey生成的一串随机数），计算得到协商对称密钥; enc_key=Fuc(random_C, random_S, Pre-Master) 6）生成 session ticket 如果出于某种原因，对话中断，就需要重新握手。为了避免重新握手而造成的访问效率低下，这时候引入了session ID的概念， session ID的思想很简单，就是每一次对话都有一个编号（session ID）。如果对话中断，下次重连的时候，只要客户端给出这个编号，且服务器有这个编号的记录，双方就可以重新使用已有的"对话密钥"，而不必重新生成一把。 因为我们抓包的时候，是几个小时内第一次访问 https://www.baodu.com 首页，因此，这里并没有 Session ID. （稍会儿我们会看到隔了半分钟，第二次抓包就有这个Session ID） session ID是目前所有浏览器都支持的方法，但是它的缺点在于session ID往往只保留在一台服务器上。所以，如果客户端的请求发到另一台服务器，就无法恢复对话。session ticket就是为了解决这个问题而诞生的，目前只有Firefox和Chrome浏览器支持。 后续建立新的https会话，就可以利用 session ID 或者 session Tickets ， 对称秘钥可以再次使用，从而免去了 https 公私钥交换、CA认证等等过程，极大地缩短 https 会话连接时间。 7） 利用对称秘钥传输数据 【半分钟后，再次访问百度】： 有这些大的不同： 由于服务器和浏览器缓存了 Session ID 和 Session Tickets，不需要再进行 公钥证书传递，CA认证，生成 对称秘钥等过程，直接利用半分钟前的 对称秘钥 加解密数据进行会话。 1）Client Hello 2）Server Hello

线网络优化是通过对现已运行的网络进行话务数据分析、现场测试数据采集、参数分析、硬件检查等手段，找出影响网络质量的原因，并且通过参数的修改、网络结构的调整、设备配置的调整和采取某些技术手段（采用MRP的规划办法等），确保系统高质量的运行，使现有网络资源获得最佳效益，以最经济的投入获得最大的收益。 二 GSM无线网络优化的常规方法 网络优化的方法很多，在网络优化的初期，常通过对OMC-R数据的分析和路测的结果，制定网络调整的方案。在采用图1的流程经过几个循环后，网络质量有了大幅度的提高。但仅采用上述方法较难发现和解决问题，这时通常会结合用户投诉和CQT测试办法来发现问题，结合信令跟踪分析法、话务统计分析法及路测分析法，分析查找问题的根源。在实际优化中，尤其以分析OMC-R话务统计报告，并辅以七号信令仪表进行A接口或Abis接口跟踪分析，作为网络优化最常用的手段。网络优化最重要的一步是如何发现问题，下面就是几种常用的方法： 1．话务统计分析法：OMC话务统计是了解网络性能指标的一个重要途径，它反映了无线网络的实际运行状态。它是我们大多数网络优化基础数据的主要根据。通过对采集到的参数分类处理，形成便于分析网络质量的报告。通过话务统计报告中的各项指标(呼叫成功率、掉话率、切换成功率、每时隙话务量、无线信道可用率、话音信道阻塞率和信令信道的可用率、掉话率及阻塞率等)，可以了解到无线基站的话务分布及变化情况，从而发现异常，并结合其它手段，可分析出网络逻辑或物理参数设置的不合理、网络结构的不合理、话务量不均、频率干扰及硬件故障等问题。同时还可以针对不同地区，制定统一的参数模板，以便更快地发现问题，并且通过调整特定小区或整个网络的参数等措施，使系统各小区的各项指标得到提高，从而提高全网的系统指标。 2．DT （驱车测试）：在汽车以一定速度行驶的过程中,借助测试仪表、测试手机，对车内信号强度是否满足正常通话要求，是否存在拥塞、干扰、掉话等现象进行测试。通常在DT中根据需要设定每次呼叫的时长，分为长呼（时长不限,直到掉话为止）和短呼（一般取60秒左右,根据平均用户呼叫时长定）两种（可视情况调节时长），为保证测试的真实性，一般车速不应超过40公里/小时。路测分析法主要是分析空中接口的数据及测量覆盖，通过DT测试，可以了解：基站分布、覆盖情况，是否存在盲区；切换关系、切换次数、切换电平是否正常；下行链路是否有同频、邻频干扰；是否有小岛效应；扇区是否错位；天线下倾角、方位角及天线高度是否合理；分析呼叫接通情况，找出呼叫不通及掉话的原因，为制定网络优化方案和实施网络优化提供依据。 3．CQT （呼叫质量测试或定点网络质量测试）：在服务区中选取多个测试点，进行一定数量的拨打呼叫，以用户的角度反映网络质量。测试点一般选择在通信比较集中的场合，如酒店、机场、车站、重要部门、写字楼、集会场所等。它是DT测试的重要补充手段。通常还可完成DT所无法测试的深度室内覆盖及高楼等无线信号较复杂地区的测试，是场强测试方法的一种简单形式。 4．用户投诉：通过用户投诉了解网络质量。尤其在网络优化进行到一定阶段时，通过路测或数据分析已较难发现网络中的个别问题，此时通过可能无处不在的用户通话所发现的问题，使我们进一步了解网络服务状况。结合场强测试或简单的CQT测试，我们就可以发现问题的根源。该方法具有发现问题及时，针对性强等特点。 5．信令分析法：信令分析主要是对有疑问的站点的A接口、Abis接口的数据进行跟踪分析。通过对A接口采集数据分析，可以发现切换局数据不全(遗漏切换关系)、信令负荷、硬件故障(找出有问题的中继或时隙)及话务量不均(部分数据定义错误、链路不畅等原因)等问题。通过对Abis接口数据进行收集分析，主要是对测量仪表记录的LAY3信令进行分析，同时根据信号质量分布图、频率干扰检测图、接收电平分布图，结合对信令信道或话音信道占用时长等的分析，可以找出上、下行链路路径损耗过大的问题，还可以发现小区覆盖情况、一些无线干扰及隐性硬件故障等问题。 6．自动路测系统分析：采用安装于移动车辆上的自动路测终端，可以全程监测道路覆盖及通信质量。由于该终端能够将大量的信令消息和测量报告自动传回监控中心，可以及时发现问题，并对出现问题的地点进行分析，具有很强的时效性。所采用的方法同5。 在实际工作中，这几种方法都是相辅相成、互为印证的关系。GSM无线网络优化就是利用上述几种方法，围绕接通率、掉话率、拥塞率、话音质量和切换成功率及超闲小区、最坏小区等指标，通过性能统计测试→数据分析→制定实施优化方案→系统调整→重新制定优化目标→性能统计测试的螺旋式循环上升，达到网络质量明显改善的目的。 三 现阶段GSM无线网络优化方法 随着网络优化的深入进行，现阶段GSM无线网络优化的目标已越来越关注于用户对网络的满意程度，力争使网络更加稳定和通畅，使网络的系统指标进一步提高，网络质量进一步完善。 网络优化的工作流程具体包括五个方面：系统性能收集、数据分析及处理、制定网络优化方案、系统调整、重新制定网络优化目标。在网络优化时首先要通过OMC-R采集系统信息，还可通过用户申告、日常CQT测试和DT测试等信息完善问题的采集，了解用户对网络的意见及当前网络存在的缺陷，并对网络进行测试，收集网络运行的数据；然后对收集的数据进行分析及处理，找出问题发生的根源；根据数据分析处理的结果制定网络优化方案，并对网络进行系统调整。调整后再对系统进行信息收集，确定新的优化目标，周而复始直到问题解决，使网络进一步完善。 通过前述的几种系统性收集的方法，一般均能发现问题的表象及大部分问题产生的原因。 数据分析与处理是指对系统收集的信息进行全面的分析与处理，主要对电测结果结合小区设计数据库资料，包括基站设计资料、天线资料、频率规划表等。通过对数据的分析，可以发现网络中存在的影响运行质量的问题。如频率干扰、软硬件故障、天线方向角和俯仰角存在问题、小区参数设置不合理、无线覆盖不好、环境干扰、系统忙等。数据分析与处理的结果直接影响到网络运行的质量和下一步将采取的措施，因此是非常重要的一步。当然可以看出，它与第一步相辅相成，难以严格区分界限。 制定网络优化方案是根据分析结果提出改善网络运行质量的具体实施方案。 系统调整即实施网络优化，其基本内容包括设备的硬件调整（如天线的方位、俯仰调整，旁路合路器等）、小区参数调整、相邻小区切换参数调整、频率规划调整、话务量调整、天馈线参数调整、覆盖调整等或采用某些技术手段(更先进的功率控制算法、跳频技术、天线分集、更换电调或特型天线、新增微蜂窝、采用双层网结构、增加塔放等)。 测试网络调整后的结果。主要包括场强覆盖测试、干扰测试、呼叫测试和话务统计。 根据测试结果，重新制定网络优化目标。在网络运行质量已处于稳定、良好的阶段，需进一步提高指标，改善网络质量的深层次优化中出现的问题(用户投诉的处理，解决局部地区话音质量差的问题，具体事件的优化等等)或因新一轮建设所引发的问题。 四 网络优化常见问题及优化方案 建立在用户感知度上的网络优化面对的必然是对用户投诉问题的处理，一般有如下几种情况： 1．电话不通的现象 信令建立过程 在手机收到经PCH(寻呼信道)发出的pagingrequest(寻呼请求)消息后，因SDCCH拥塞无法将pagingresponse(寻呼响应)消息发回而导致的呼损。 对策：可通过调整SDCCH与TCH的比例，增加载频，调整BCC(基站色码)等措施减少SDCCH的拥塞。 因手机退出服务造成不能分配占用SDCCH而导致的呼损。 对策：对于盲区造成的脱网现象，可通过增加基站功率，增加天线高度来增加基站覆盖；对于BCCH频点受干扰造成的脱网现象，可通过改频、调整网络参数、天线下倾角等参数来排除干扰。 鉴权过程 因MSC与HLR、BSC间的信令问题，或MSC、HLR、BSC、手机在处理时失败等原因造成鉴权失败而导致的呼损。 对策：由于在呼叫过程中鉴权并非必须的环节，且从安全角度考虑也不需要每次呼叫都鉴权，因此可以将经过多少次呼叫后鉴权一次的参数调大。 加密过程 因MSC、BSC或手机在加密处理时失败导致呼损。 对策：目前对呼叫一般不做加密处理。 从手机占上SDCCH后进而分配TCH前 因无线原因(如RadioLinkFailure、硬件故障)使SDCCH掉话而导致的呼损。 对策：通过路测场强分析和实际拨打分析，对于无线原因造成的如信号差、存在干扰等问题，采取相应的措施解决；对于硬件故障，采用更换相应的单元模块来解决。 话音信道分配过程 因无线分配TCH失败(如TCH拥塞，或手机已被MSC分配至某一TCH上，因某种原因占不上TCH而导致链路中断等原因)而导致的呼损。 对策：对于TCH拥塞问题，可采用均衡话务量，调整相关小区服务范围的参数，启用定向重试功能等措施减少TCH的拥塞；对于占不上TCH的情况，一般是硬件故障，可通过拨打测试或分析话务统计中的CALLHOLDINGTIME参数进行故障定位，如某载频CALLHOLDINGTIME值小于10秒，则可断定此载频有故障。另外严重的同频干扰（如其它基站的BCCH与TCH同频）也会造成占不上TCH信道，可通过改频等措施解决。 2．电话难打现象 一般现象是较难占线、占线后很容易掉线等。这种情况首先应排除是否是TCH溢出的原因，如果TCH信道不足，则应增加信道板或通过增加微蜂窝或小区裂变的形式来解决。 排除以上原因后，一般可以考虑是否是有较强的干扰存在。可以是相邻小区的同邻频干扰或其它无线信号干扰源，或是基站本身的时钟同步不稳。这种问题较为隐蔽，需通过仔细分析层三信令和周围基站信息才能得出结论。 3. 掉话现象 掉话的原因几乎涉及网络优化的所有方面内容，尤其是在路测时发生的掉话，需要仔细分析。在路测时，需要对发生掉话的地段做电平和切换参数等诸多方面的分析。如果电平足够，多半是因为切换参数有问题或切入的小区无空闲信道。对话务较忙小区，可以让周围小区分担部分话务量。采用在保证不存在盲区的情况下，调整相关小区服务范围的参数，包括基站发射功率、天线参数（天线高度、方位角、俯仰角）、小区重选参数、切换参数及小区优先级设置的调整，以达到缩小拥塞小区的范围，并扩大周围一些相对较为空闲小区的服务范围。通过启用DirectedRetry（定向重试）功能，缓解小区的拥塞状况。上述措施仍不能满足要求的话，可通过实施紧急扩容载频的方法来解决。 对大多采用空分天线远郊或近郊的基站，如果主、分集天线俯仰角不一致，也极易造成掉话。如果参数设置无误，则可能是有些点信号质量较差。对这些信号质量较差而引起的掉话，应通过硬件调整的方式增加主用频点来解决。 4. 局部区域话音质量较差 在日常DT测试中，经常发现有很多微小的区域内，话音质量相当差、干扰大，信号弱或不稳定以及频繁切换和不断接入。这些地方往往是很多小区的交叠区、高山或湖面附近、许多高楼之间等。同样这种情况对全网的指标影响不明显，小区的话务统计报告也反映不出。这种现象一方面是由于频带资源有限，基站分布相对集中，频点复用度高，覆盖要求严格，必然不可避免的会产生局部的频率干扰。另一方面是由于在高层建筑林立的市区，手机接收的信号往往是基站发射信号经由不同的反射路径、散射路径、绕射路径的叠加，叠加的结果必然造成无线信号传播中的各种衰落及阴影效应，称之为多径干扰。此外，无线网络参数设置不合理也会造成上述现象。 在测试中RXQUAL的值反映了话音质量的好坏，信号质量实际是指信号误码率， RXQUAL=3（误码率：0.8％至1.6％），RXQUAL=4（误码率：1.6％至3.2％），当网络采用跳频技术时，由于跳频增益的原因,RXQUAL=3时，通话质量尚可，当RXQUAL≥6时，基本无法通话。 根据上述情况，通过对这些小区进行细致的场强覆盖测试和干扰测试，对场强覆盖测试数据进行分析，统计出RXLEV／RXQUAL之间对照表，如果某个小区域RXQUAL为6和7的采样统计数高而RXLEV大于－85dBm的采样数较高，一般可以认为该区域存在干扰。并在Neighbor－List中可分析出同频、邻频干扰频点。 5．多径干扰 如果直达路径信号（主信号）的接收电平与反射、散射等信号的接收电平差小于15dB，而且反射、散射等信号比主信号的时延超过4～5个GSM比特周期（1个比特周期=3.69μs），则可判断此区域存在较强的多径干扰。 多径干扰造成的衰落与频点及所在位置有关。多径衰落可通过均衡器采用的纠错算法得以改善，但这种算法只在信号衰落时间小于纠错码字在交织中分布占用的时间时有效。 采用跳频技术可以抑制多径干扰，因为跳频技术具有频率分集和干扰分集的特性。频率分集可以避免慢速移动的接收设备长时间处于阴影效应区，改善接收质量；而且可以充分利用均衡器的优点。干扰分集使所有的移动及基站接收设备所受干扰等级平均化。使产生干扰的几率大为减小，从而降低干扰程度。 采用天线分集和智能天线阵，对信号的选择性增强，也能降低多径干扰。 适当调整天线方位角，也可减小多径干扰。 若无线网络参数设置不合理，也会影响通话质量。如在DT测试中常常发现切换前话音质量较差，即RXQUAL较大（如5、6、7），而切换后，话音质量变得很好，RXQUAL很小（如0、1），而反方向行驶通过此区域时话音质量可能很好（RXQUAL为0、1），因为占用的服务小区不同。对于这种情况，是由于基于话音质量切换的门限值设置不合理。减小RXQUAL的切换门限值，如原先从RXQUAL≥4时才切换，改为RXQUAL≥3时就切换，可以提高许多区域的通话质量。因此，根据测试情况，找出最佳的切换地点，设置最佳切换参数，通过调整切换门限参数控制切换次数,通过修改相邻小区的切换关系提高通话质量。总之，根据场强测试可以优化系统参数。 值得一提的是，由于竞争的激烈及各运营商的越来越深化的要求，某些地方的运营商为完成任务，达到所谓的优化指标，随意调整放大一些对网络统计指标有贡献的参数，使网络看起来“质量很高”。然而，用户感觉到的仍是网络质量不好，从而招致更多用户的不满，这是不符合网络优化的宗旨的。 总之，网络优化是一项长期、艰巨的任务，进行网络优化的方法很多，有待于进一步探讨和完善。好在现在国内两大运营商都已充分认识到了这一点，网络质量也得到了迅速的提高，同时网络的经济效益也得到了充分发挥，既符合用户的利益又满足了运营商的要求，毫无疑问将是持续的双赢局面。 答案来源于网络

详细解答可以参考官方帮助文档 注意：无法打开网站时，应该先搜索排查报错提示的含义，本文列举了一些常见的报错情况。 无法访问 ECS 实例上的网站时的分析思路： 根据报错情况分析网络通信问题 ECS Linux 实例网络通信问题排查ECS Windows 实例网络通信问题排查 端口通信问题 ECS Linux 实例端口通信问题ECS Windows 实例端口通信问题 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 重新配置安全组公网规则 网络通信问题 ECS Linux 实例网络通信问题排查 执行 ifconfig 和 ip addr 网络检测命令查看 IP 地址。 执行命令 route -n 通过实例路由表查看网关。 ECS Windows 实例网络通信问题排查 打开 CMD，执行 ipconfig 网络检测命令查看 IP 地址。 执行命令 route print 通过实例路由表查看网关。 注意: 若网卡驱动未开启或网卡配置有问题，请检查网卡驱动，并重新安装。 关于网络相关问题的测试工具，详见 ping 丢包或不通时链路测试说明。 端口通信问题 ECS Linux 实例端口通信问题 执行命令 netstat –antpu | grep sshd 检测 sshd 服务的运行状态，确认端口是否有正常监听。 执行下列命令查看服务运行状态： CentOS6：service sshd statusCentOS7：systemctl status sshd 如果 sshd 服务没有正常运行，执行下列命令手动启动 sshd 服务： CentOS6：service sshd restartCentOS7：systemctl restart sshd 查看 sshd 程序日志 如果无法正常启动 sshd 服务，CentOS 6 系统一般会直接输出错误信息，而CentOS 7 启动时没有输出信息，需要通过 secure 日志进行查看。sshd 日志：/var/log/secure。 通过 secure 日志的报错信息，一般是可以定位绝大部分 sshd 启动异常的问题。 ECS Windows 实例端口通信问题 执行远程端口检测命令： Tasklist /svc | findstr “Ter”netstat –ano | findstr “$PID” 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常 前提条件：您只有在已授权可关闭防火墙的情况下，才能做该项排查。 调整防火墙配置策略，详见：ECS Windows 远程连接之防火墙设置。 调整后，重新进行远程连接。 ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 前提条件：您只有在已授权可关闭 Iptables 的情况下，才能做调整 Iptables 配置策略排查。 执行命令 iptables -nvL –line-number 查看防火墙规则： n 不对 IP 地址进行反查，加上这个参数显示速度会快很多。 v 输出详细信息，包含通过该规则的数据包数量、总字节数及相应的网络接口。 L 查看当前表的所有规则，默认查看的是 filter 表，如果要查看 NAT 表，可以加上 -t NAT 参数。 修改规则。（若您之前已设置过规则策略，执行命令 cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 保存一份原有的 Iptables 文件，避免丢失已设置过策略。） 执行命令 iptables -F 清空实例上所有的规则。 执行命令 iptables -P INPUT DROP 拒绝 INPUT 方向所有的请求都。 注意：线上业务请勿直接操作，会导致业务直接中断。 执行下列命令放行端口 22： iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT执行下列命令指定 IP 访问端口 22： iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT 说明： 192.168.1.1 为请求端 IP 地址。 执行命令 iptables -L 查看添加的规则是否生效。 执行命令 iptables-save > /etc/sysconfig/iptables 保存添加的规则。 执行命令 service iptables restart 或 /etc/init.d/iptables restart 重启 Iptables。 执行命令 systemctl reboot 重启实例验证配置。 重新进行 SSH 连接。 重新配置安全组公网规则 原因分析：安全组默认没有放行网站使用的端口（如 80 端口）。您需要自行放行该接口。 解决方法： 登录 ECS 控制台，找到该实例。单击实例 ID，进入详情页，再单击本实例安全组 > 配置规则 >添加安全组规则。根据网站使用的端口配置新的安全组规则，放行网站使用的端口，最后单击确定。 可参考文档添加安全组规则。 根据报错情况分析 报错情况比较复杂，此处列出比较常见的几种报错内容： 403 报错：403 报错是一个大类，403 的报错基本上是权限问题，出现 403 报错时您需要检测权限配置问题。 403.1 错误是由于“执行”访问被禁止而造成的。若试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会出现此种错误。403.2 错误是由于”读取”访问被禁止而造成的。导致此错误是由于没有可用的默认网页并且没有对目录启用目录浏览，或者要显示的 HTML 网页所驻留的目录仅标记为“可执行”或“脚本”权限。403.3 错误是由于“写入”访问被禁止而造成的。当试图将文件上载到目录或在目录中修改文件，但该目录不允许“写”访问时就会出现此种错误。403.4 错误是由于要求 SSL 而造成的。您必须在要查看的网页的地址中使用 HTTPS。403.5 错误是由于要求使用 128 位加密算法的 Web 浏览器而造成的。如果您的浏览器不支持 128 位加密算法就会出现这个错误，您可以连接微软网站进行浏览器升级。403.6 错误是由于 IP 地址被拒绝而造成的。如果服务器中有不能访问该站点的IP地址列表，并且您使用的 IP 地址在该列表中时您就会返回这条错误信息。403.7 错误是因为要求客户证书。当需要访问的资源要求浏览器拥有服务器能够识别的安全套接字层（SSL）客户证书时会返回此种错误。403.8 错误是由于禁止站点访问而造成的。若服务器中有不能访问该站点的 DNS 名称列表，而您使用的 DNS 名称在列表中时就会返回此种信息。请注意区别 403.6 与 403.8 错误。403.9 错误是由于连接的用户过多而造成的，由于 Web 服务器很忙，因通讯量过多而无法处理请求时便会返回这条错误。403.10 错误是由于无效配置而导致的错误。当您试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会返回这条错误。403.11 错误是由于密码更改而导致无权查看页面。403.12 错误是由于映射器拒绝访问而造成的。若要查看的网页要求使用有效的客户证书，而您的客户证书映射没有权限访问该 Web 站点时就会返回映射器拒绝访问的错误。403.13 错误是由于需要查看的网页要求使用有效的客户证书而使用的客户证书已经被吊销，或者无法确定证书是否已吊销造成的。403.14 错误 Web 服务器被配置为不列出此目录的内容，拒绝目录列表。403.15 错误是由于客户访问许可过多而造成的。当服务器超出其客户访问许可限制时会返回此条错误。403.16 错误是由于客户证书不可信或者无效而造成的。403.17 错误是由于客户证书已经到期或者尚未生效而造成的。 404 报错：404 报错主要是页面显示问题或者页面的链接有问题，意味着链接指向的网页不存在，即原始网页的 URL 失效。当 Web 服务器接到类似请求时，会返回一个 404 状态码，告诉浏览器已请求的资源并不存在。导致这个错误的原因一般有以下几种情况： 无法在所请求的端口上访问 Web 站点。Web 服务扩展锁定策略阻止本请求。MIME 映射策略阻止本请求。网站更新改版，但某些局部板块沿用原来的模块，而原有的模块调用的文件已经被删除或转移了路径。跟踪访问的各类脚码或 CSS 文件无效但调用代码依然存在。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问 502 报错：当测试访问报错为 502 Bad Gateway，这是 Web 程序配置异常导致的。建议结合 Web 访问日志，检测一下 Web 程序配置的参数设置是否有异常。详情请参见 502 bad gateway问题的解决方法。503 报错：503 报错是一种 HTTP 状态码，与 404 同属一种网页状态出错码。两者的区别是：前者是服务器出错的一种返回状态，后者是网页程序没有相关结果后返回的一种状态。503 报错产生的原因有可能是以下几种情况： 网络管理员可能关闭应用程序池以执行维护。当请求到达时应用程序池队列已满。应用程序池标识没有使用预定义账户：网络服务。而自己配置了标识，但是配置的这个用户不属于 IIS_WPG 组。应用程序池启用了 CPU 监视，并且设置了 CPU 利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面 （.asp、.aspx） 执行效率不高，会引起 CPU 的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭。应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为 1000。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）。网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问。该站点正在被攻击。对于最新型的攻击，其实是 DDoS 的一种派生，原理在于找数千个IP，同时向服务器的 Apache 发出请求，然后 立即断开，让 Apache 处于等待状态，致使 Apache 线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个空间，作出了每 19 秒 64 个 php 请求的限制。注意，是 php 请求，一般的图片请求和 html 请求不包括在内。该程序占用的 php 线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个 php 线程。这样的话，几个点击就可以把该时段的64个 php 线程全部填满了。因此出现 503 错误。建议优化一下程序，尽量少用 require （请求）等语句。 如问题还未解决，请您记录排查结果、相关日志信息或截图，提交工单联系阿里云。

详细解答可以参考官方帮助文档 注意：无法打开网站时，应该先搜索排查报错提示的含义，本文列举了一些常见的报错情况。 无法访问 ECS 实例上的网站时的分析思路： 根据报错情况分析网络通信问题 ECS Linux 实例网络通信问题排查ECS Windows 实例网络通信问题排查 端口通信问题 ECS Linux 实例端口通信问题ECS Windows 实例端口通信问题 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 重新配置安全组公网规则 网络通信问题 ECS Linux 实例网络通信问题排查 执行 ifconfig 和 ip addr 网络检测命令查看 IP 地址。 执行命令 route -n 通过实例路由表查看网关。 ECS Windows 实例网络通信问题排查 打开 CMD，执行 ipconfig 网络检测命令查看 IP 地址。 执行命令 route print 通过实例路由表查看网关。 注意: 若网卡驱动未开启或网卡配置有问题，请检查网卡驱动，并重新安装。 关于网络相关问题的测试工具，详见 ping 丢包或不通时链路测试说明。 端口通信问题 ECS Linux 实例端口通信问题 执行命令 netstat –antpu | grep sshd 检测 sshd 服务的运行状态，确认端口是否有正常监听。 执行下列命令查看服务运行状态： CentOS6：service sshd statusCentOS7：systemctl status sshd 如果 sshd 服务没有正常运行，执行下列命令手动启动 sshd 服务： CentOS6：service sshd restartCentOS7：systemctl restart sshd 查看 sshd 程序日志 如果无法正常启动 sshd 服务，CentOS 6 系统一般会直接输出错误信息，而CentOS 7 启动时没有输出信息，需要通过 secure 日志进行查看。sshd 日志：/var/log/secure。 通过 secure 日志的报错信息，一般是可以定位绝大部分 sshd 启动异常的问题。 ECS Windows 实例端口通信问题 执行远程端口检测命令： Tasklist /svc | findstr “Ter”netstat –ano | findstr “$PID” 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常 前提条件：您只有在已授权可关闭防火墙的情况下，才能做该项排查。 调整防火墙配置策略，详见：ECS Windows 远程连接之防火墙设置。 调整后，重新进行远程连接。 ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 前提条件：您只有在已授权可关闭 Iptables 的情况下，才能做调整 Iptables 配置策略排查。 执行命令 iptables -nvL –line-number 查看防火墙规则： n 不对 IP 地址进行反查，加上这个参数显示速度会快很多。 v 输出详细信息，包含通过该规则的数据包数量、总字节数及相应的网络接口。 L 查看当前表的所有规则，默认查看的是 filter 表，如果要查看 NAT 表，可以加上 -t NAT 参数。 修改规则。（若您之前已设置过规则策略，执行命令 cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 保存一份原有的 Iptables 文件，避免丢失已设置过策略。） 执行命令 iptables -F 清空实例上所有的规则。 执行命令 iptables -P INPUT DROP 拒绝 INPUT 方向所有的请求都。 注意：线上业务请勿直接操作，会导致业务直接中断。 执行下列命令放行端口 22： iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT执行下列命令指定 IP 访问端口 22： iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT 说明： 192.168.1.1 为请求端 IP 地址。 执行命令 iptables -L 查看添加的规则是否生效。 执行命令 iptables-save > /etc/sysconfig/iptables 保存添加的规则。 执行命令 service iptables restart 或 /etc/init.d/iptables restart 重启 Iptables。 执行命令 systemctl reboot 重启实例验证配置。 重新进行 SSH 连接。 重新配置安全组公网规则 原因分析：安全组默认没有放行网站使用的端口（如 80 端口）。您需要自行放行该接口。 解决方法： 登录 ECS 控制台，找到该实例。单击实例 ID，进入详情页，再单击本实例安全组 > 配置规则 >添加安全组规则。根据网站使用的端口配置新的安全组规则，放行网站使用的端口，最后单击确定。 可参考文档添加安全组规则。 根据报错情况分析 报错情况比较复杂，此处列出比较常见的几种报错内容： 403 报错：403 报错是一个大类，403 的报错基本上是权限问题，出现 403 报错时您需要检测权限配置问题。 403.1 错误是由于“执行”访问被禁止而造成的。若试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会出现此种错误。403.2 错误是由于”读取”访问被禁止而造成的。导致此错误是由于没有可用的默认网页并且没有对目录启用目录浏览，或者要显示的 HTML 网页所驻留的目录仅标记为“可执行”或“脚本”权限。403.3 错误是由于“写入”访问被禁止而造成的。当试图将文件上载到目录或在目录中修改文件，但该目录不允许“写”访问时就会出现此种错误。403.4 错误是由于要求 SSL 而造成的。您必须在要查看的网页的地址中使用 HTTPS。403.5 错误是由于要求使用 128 位加密算法的 Web 浏览器而造成的。如果您的浏览器不支持 128 位加密算法就会出现这个错误，您可以连接微软网站进行浏览器升级。403.6 错误是由于 IP 地址被拒绝而造成的。如果服务器中有不能访问该站点的IP地址列表，并且您使用的 IP 地址在该列表中时您就会返回这条错误信息。403.7 错误是因为要求客户证书。当需要访问的资源要求浏览器拥有服务器能够识别的安全套接字层（SSL）客户证书时会返回此种错误。403.8 错误是由于禁止站点访问而造成的。若服务器中有不能访问该站点的 DNS 名称列表，而您使用的 DNS 名称在列表中时就会返回此种信息。请注意区别 403.6 与 403.8 错误。403.9 错误是由于连接的用户过多而造成的，由于 Web 服务器很忙，因通讯量过多而无法处理请求时便会返回这条错误。403.10 错误是由于无效配置而导致的错误。当您试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会返回这条错误。403.11 错误是由于密码更改而导致无权查看页面。403.12 错误是由于映射器拒绝访问而造成的。若要查看的网页要求使用有效的客户证书，而您的客户证书映射没有权限访问该 Web 站点时就会返回映射器拒绝访问的错误。403.13 错误是由于需要查看的网页要求使用有效的客户证书而使用的客户证书已经被吊销，或者无法确定证书是否已吊销造成的。403.14 错误 Web 服务器被配置为不列出此目录的内容，拒绝目录列表。403.15 错误是由于客户访问许可过多而造成的。当服务器超出其客户访问许可限制时会返回此条错误。403.16 错误是由于客户证书不可信或者无效而造成的。403.17 错误是由于客户证书已经到期或者尚未生效而造成的。 404 报错：404 报错主要是页面显示问题或者页面的链接有问题，意味着链接指向的网页不存在，即原始网页的 URL 失效。当 Web 服务器接到类似请求时，会返回一个 404 状态码，告诉浏览器已请求的资源并不存在。导致这个错误的原因一般有以下几种情况： 无法在所请求的端口上访问 Web 站点。Web 服务扩展锁定策略阻止本请求。MIME 映射策略阻止本请求。网站更新改版，但某些局部板块沿用原来的模块，而原有的模块调用的文件已经被删除或转移了路径。跟踪访问的各类脚码或 CSS 文件无效但调用代码依然存在。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问 502 报错：当测试访问报错为 502 Bad Gateway，这是 Web 程序配置异常导致的。建议结合 Web 访问日志，检测一下 Web 程序配置的参数设置是否有异常。详情请参见 502 bad gateway问题的解决方法。503 报错：503 报错是一种 HTTP 状态码，与 404 同属一种网页状态出错码。两者的区别是：前者是服务器出错的一种返回状态，后者是网页程序没有相关结果后返回的一种状态。503 报错产生的原因有可能是以下几种情况： 网络管理员可能关闭应用程序池以执行维护。当请求到达时应用程序池队列已满。应用程序池标识没有使用预定义账户：网络服务。而自己配置了标识，但是配置的这个用户不属于 IIS_WPG 组。应用程序池启用了 CPU 监视，并且设置了 CPU 利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面 （.asp、.aspx） 执行效率不高，会引起 CPU 的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭。应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为 1000。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）。网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问。该站点正在被攻击。对于最新型的攻击，其实是 DDoS 的一种派生，原理在于找数千个IP，同时向服务器的 Apache 发出请求，然后 立即断开，让 Apache 处于等待状态，致使 Apache 线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个空间，作出了每 19 秒 64 个 php 请求的限制。注意，是 php 请求，一般的图片请求和 html 请求不包括在内。该程序占用的 php 线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个 php 线程。这样的话，几个点击就可以把该时段的64个 php 线程全部填满了。因此出现 503 错误。建议优化一下程序，尽量少用 require （请求）等语句。 如问题还未解决，请您记录排查结果、相关日志信息或截图，提交工单联系阿里云。

详细解答可以参考官方帮助文档 注意：无法打开网站时，应该先搜索排查报错提示的含义，本文列举了一些常见的报错情况。 无法访问 ECS 实例上的网站时的分析思路： 根据报错情况分析网络通信问题 ECS Linux 实例网络通信问题排查ECS Windows 实例网络通信问题排查 端口通信问题 ECS Linux 实例端口通信问题ECS Windows 实例端口通信问题 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 重新配置安全组公网规则 网络通信问题 ECS Linux 实例网络通信问题排查 执行 ifconfig 和 ip addr 网络检测命令查看 IP 地址。 执行命令 route -n 通过实例路由表查看网关。 ECS Windows 实例网络通信问题排查 打开 CMD，执行 ipconfig 网络检测命令查看 IP 地址。 执行命令 route print 通过实例路由表查看网关。 注意: 若网卡驱动未开启或网卡配置有问题，请检查网卡驱动，并重新安装。 关于网络相关问题的测试工具，详见 ping 丢包或不通时链路测试说明。 端口通信问题 ECS Linux 实例端口通信问题 执行命令 netstat –antpu | grep sshd 检测 sshd 服务的运行状态，确认端口是否有正常监听。 执行下列命令查看服务运行状态： CentOS6：service sshd statusCentOS7：systemctl status sshd 如果 sshd 服务没有正常运行，执行下列命令手动启动 sshd 服务： CentOS6：service sshd restartCentOS7：systemctl restart sshd 查看 sshd 程序日志 如果无法正常启动 sshd 服务，CentOS 6 系统一般会直接输出错误信息，而CentOS 7 启动时没有输出信息，需要通过 secure 日志进行查看。sshd 日志：/var/log/secure。 通过 secure 日志的报错信息，一般是可以定位绝大部分 sshd 启动异常的问题。 ECS Windows 实例端口通信问题 执行远程端口检测命令： Tasklist /svc | findstr “Ter”netstat –ano | findstr “$PID” 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常 前提条件：您只有在已授权可关闭防火墙的情况下，才能做该项排查。 调整防火墙配置策略，详见：ECS Windows 远程连接之防火墙设置。 调整后，重新进行远程连接。 ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 前提条件：您只有在已授权可关闭 Iptables 的情况下，才能做调整 Iptables 配置策略排查。 执行命令 iptables -nvL –line-number 查看防火墙规则： n 不对 IP 地址进行反查，加上这个参数显示速度会快很多。 v 输出详细信息，包含通过该规则的数据包数量、总字节数及相应的网络接口。 L 查看当前表的所有规则，默认查看的是 filter 表，如果要查看 NAT 表，可以加上 -t NAT 参数。 修改规则。（若您之前已设置过规则策略，执行命令 cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 保存一份原有的 Iptables 文件，避免丢失已设置过策略。） 执行命令 iptables -F 清空实例上所有的规则。 执行命令 iptables -P INPUT DROP 拒绝 INPUT 方向所有的请求都。 注意：线上业务请勿直接操作，会导致业务直接中断。 执行下列命令放行端口 22： iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT执行下列命令指定 IP 访问端口 22： iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT 说明： 192.168.1.1 为请求端 IP 地址。 执行命令 iptables -L 查看添加的规则是否生效。 执行命令 iptables-save > /etc/sysconfig/iptables 保存添加的规则。 执行命令 service iptables restart 或 /etc/init.d/iptables restart 重启 Iptables。 执行命令 systemctl reboot 重启实例验证配置。 重新进行 SSH 连接。 重新配置安全组公网规则 原因分析：安全组默认没有放行网站使用的端口（如 80 端口）。您需要自行放行该接口。 解决方法： 登录 ECS 控制台，找到该实例。单击实例 ID，进入详情页，再单击本实例安全组 > 配置规则 >添加安全组规则。根据网站使用的端口配置新的安全组规则，放行网站使用的端口，最后单击确定。 可参考文档添加安全组规则。 根据报错情况分析 报错情况比较复杂，此处列出比较常见的几种报错内容： 403 报错：403 报错是一个大类，403 的报错基本上是权限问题，出现 403 报错时您需要检测权限配置问题。 403.1 错误是由于“执行”访问被禁止而造成的。若试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会出现此种错误。403.2 错误是由于”读取”访问被禁止而造成的。导致此错误是由于没有可用的默认网页并且没有对目录启用目录浏览，或者要显示的 HTML 网页所驻留的目录仅标记为“可执行”或“脚本”权限。403.3 错误是由于“写入”访问被禁止而造成的。当试图将文件上载到目录或在目录中修改文件，但该目录不允许“写”访问时就会出现此种错误。403.4 错误是由于要求 SSL 而造成的。您必须在要查看的网页的地址中使用 HTTPS。403.5 错误是由于要求使用 128 位加密算法的 Web 浏览器而造成的。如果您的浏览器不支持 128 位加密算法就会出现这个错误，您可以连接微软网站进行浏览器升级。403.6 错误是由于 IP 地址被拒绝而造成的。如果服务器中有不能访问该站点的IP地址列表，并且您使用的 IP 地址在该列表中时您就会返回这条错误信息。403.7 错误是因为要求客户证书。当需要访问的资源要求浏览器拥有服务器能够识别的安全套接字层（SSL）客户证书时会返回此种错误。403.8 错误是由于禁止站点访问而造成的。若服务器中有不能访问该站点的 DNS 名称列表，而您使用的 DNS 名称在列表中时就会返回此种信息。请注意区别 403.6 与 403.8 错误。403.9 错误是由于连接的用户过多而造成的，由于 Web 服务器很忙，因通讯量过多而无法处理请求时便会返回这条错误。403.10 错误是由于无效配置而导致的错误。当您试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会返回这条错误。403.11 错误是由于密码更改而导致无权查看页面。403.12 错误是由于映射器拒绝访问而造成的。若要查看的网页要求使用有效的客户证书，而您的客户证书映射没有权限访问该 Web 站点时就会返回映射器拒绝访问的错误。403.13 错误是由于需要查看的网页要求使用有效的客户证书而使用的客户证书已经被吊销，或者无法确定证书是否已吊销造成的。403.14 错误 Web 服务器被配置为不列出此目录的内容，拒绝目录列表。403.15 错误是由于客户访问许可过多而造成的。当服务器超出其客户访问许可限制时会返回此条错误。403.16 错误是由于客户证书不可信或者无效而造成的。403.17 错误是由于客户证书已经到期或者尚未生效而造成的。 404 报错：404 报错主要是页面显示问题或者页面的链接有问题，意味着链接指向的网页不存在，即原始网页的 URL 失效。当 Web 服务器接到类似请求时，会返回一个 404 状态码，告诉浏览器已请求的资源并不存在。导致这个错误的原因一般有以下几种情况： 无法在所请求的端口上访问 Web 站点。Web 服务扩展锁定策略阻止本请求。MIME 映射策略阻止本请求。网站更新改版，但某些局部板块沿用原来的模块，而原有的模块调用的文件已经被删除或转移了路径。跟踪访问的各类脚码或 CSS 文件无效但调用代码依然存在。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问 502 报错：当测试访问报错为 502 Bad Gateway，这是 Web 程序配置异常导致的。建议结合 Web 访问日志，检测一下 Web 程序配置的参数设置是否有异常。详情请参见 502 bad gateway问题的解决方法。503 报错：503 报错是一种 HTTP 状态码，与 404 同属一种网页状态出错码。两者的区别是：前者是服务器出错的一种返回状态，后者是网页程序没有相关结果后返回的一种状态。503 报错产生的原因有可能是以下几种情况： 网络管理员可能关闭应用程序池以执行维护。当请求到达时应用程序池队列已满。应用程序池标识没有使用预定义账户：网络服务。而自己配置了标识，但是配置的这个用户不属于 IIS_WPG 组。应用程序池启用了 CPU 监视，并且设置了 CPU 利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面 （.asp、.aspx） 执行效率不高，会引起 CPU 的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭。应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为 1000。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）。网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问。该站点正在被攻击。对于最新型的攻击，其实是 DDoS 的一种派生，原理在于找数千个IP，同时向服务器的 Apache 发出请求，然后 立即断开，让 Apache 处于等待状态，致使 Apache 线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个空间，作出了每 19 秒 64 个 php 请求的限制。注意，是 php 请求，一般的图片请求和 html 请求不包括在内。该程序占用的 php 线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个 php 线程。这样的话，几个点击就可以把该时段的64个 php 线程全部填满了。因此出现 503 错误。建议优化一下程序，尽量少用 require （请求）等语句。 如问题还未解决，请您记录排查结果、相关日志信息或截图，提交工单联系阿里云。

详细解答可以参考官方帮助文档 注意：无法打开网站时，应该先搜索排查报错提示的含义，本文列举了一些常见的报错情况。 无法访问 ECS 实例上的网站时的分析思路： 根据报错情况分析网络通信问题 ECS Linux 实例网络通信问题排查ECS Windows 实例网络通信问题排查 端口通信问题 ECS Linux 实例端口通信问题ECS Windows 实例端口通信问题 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 重新配置安全组公网规则 网络通信问题 ECS Linux 实例网络通信问题排查 执行 ifconfig 和 ip addr 网络检测命令查看 IP 地址。 执行命令 route -n 通过实例路由表查看网关。 ECS Windows 实例网络通信问题排查 打开 CMD，执行 ipconfig 网络检测命令查看 IP 地址。 执行命令 route print 通过实例路由表查看网关。 注意: 若网卡驱动未开启或网卡配置有问题，请检查网卡驱动，并重新安装。 关于网络相关问题的测试工具，详见 ping 丢包或不通时链路测试说明。 端口通信问题 ECS Linux 实例端口通信问题 执行命令 netstat –antpu | grep sshd 检测 sshd 服务的运行状态，确认端口是否有正常监听。 执行下列命令查看服务运行状态： CentOS6：service sshd statusCentOS7：systemctl status sshd 如果 sshd 服务没有正常运行，执行下列命令手动启动 sshd 服务： CentOS6：service sshd restartCentOS7：systemctl restart sshd 查看 sshd 程序日志 如果无法正常启动 sshd 服务，CentOS 6 系统一般会直接输出错误信息，而CentOS 7 启动时没有输出信息，需要通过 secure 日志进行查看。sshd 日志：/var/log/secure。 通过 secure 日志的报错信息，一般是可以定位绝大部分 sshd 启动异常的问题。 ECS Windows 实例端口通信问题 执行远程端口检测命令： Tasklist /svc | findstr “Ter”netstat –ano | findstr “$PID” 防火墙配置异常 ECS Windows 实例远程无法连接，关闭防火墙后连接恢复正常 前提条件：您只有在已授权可关闭防火墙的情况下，才能做该项排查。 调整防火墙配置策略，详见：ECS Windows 远程连接之防火墙设置。 调整后，重新进行远程连接。 ECS Linux 实例 SSH 无法连接，关闭 Iptables 后连接恢复正常 前提条件：您只有在已授权可关闭 Iptables 的情况下，才能做调整 Iptables 配置策略排查。 执行命令 iptables -nvL –line-number 查看防火墙规则： n 不对 IP 地址进行反查，加上这个参数显示速度会快很多。 v 输出详细信息，包含通过该规则的数据包数量、总字节数及相应的网络接口。 L 查看当前表的所有规则，默认查看的是 filter 表，如果要查看 NAT 表，可以加上 -t NAT 参数。 修改规则。（若您之前已设置过规则策略，执行命令 cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 保存一份原有的 Iptables 文件，避免丢失已设置过策略。） 执行命令 iptables -F 清空实例上所有的规则。 执行命令 iptables -P INPUT DROP 拒绝 INPUT 方向所有的请求都。 注意：线上业务请勿直接操作，会导致业务直接中断。 执行下列命令放行端口 22： iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT执行下列命令指定 IP 访问端口 22： iptables -I INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT 说明： 192.168.1.1 为请求端 IP 地址。 执行命令 iptables -L 查看添加的规则是否生效。 执行命令 iptables-save > /etc/sysconfig/iptables 保存添加的规则。 执行命令 service iptables restart 或 /etc/init.d/iptables restart 重启 Iptables。 执行命令 systemctl reboot 重启实例验证配置。 重新进行 SSH 连接。 重新配置安全组公网规则 原因分析：安全组默认没有放行网站使用的端口（如 80 端口）。您需要自行放行该接口。 解决方法： 登录 ECS 控制台，找到该实例。单击实例 ID，进入详情页，再单击本实例安全组 > 配置规则 >添加安全组规则。根据网站使用的端口配置新的安全组规则，放行网站使用的端口，最后单击确定。 可参考文档添加安全组规则。 根据报错情况分析 报错情况比较复杂，此处列出比较常见的几种报错内容： 403 报错：403 报错是一个大类，403 的报错基本上是权限问题，出现 403 报错时您需要检测权限配置问题。 403.1 错误是由于“执行”访问被禁止而造成的。若试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会出现此种错误。403.2 错误是由于”读取”访问被禁止而造成的。导致此错误是由于没有可用的默认网页并且没有对目录启用目录浏览，或者要显示的 HTML 网页所驻留的目录仅标记为“可执行”或“脚本”权限。403.3 错误是由于“写入”访问被禁止而造成的。当试图将文件上载到目录或在目录中修改文件，但该目录不允许“写”访问时就会出现此种错误。403.4 错误是由于要求 SSL 而造成的。您必须在要查看的网页的地址中使用 HTTPS。403.5 错误是由于要求使用 128 位加密算法的 Web 浏览器而造成的。如果您的浏览器不支持 128 位加密算法就会出现这个错误，您可以连接微软网站进行浏览器升级。403.6 错误是由于 IP 地址被拒绝而造成的。如果服务器中有不能访问该站点的IP地址列表，并且您使用的 IP 地址在该列表中时您就会返回这条错误信息。403.7 错误是因为要求客户证书。当需要访问的资源要求浏览器拥有服务器能够识别的安全套接字层（SSL）客户证书时会返回此种错误。403.8 错误是由于禁止站点访问而造成的。若服务器中有不能访问该站点的 DNS 名称列表，而您使用的 DNS 名称在列表中时就会返回此种信息。请注意区别 403.6 与 403.8 错误。403.9 错误是由于连接的用户过多而造成的，由于 Web 服务器很忙，因通讯量过多而无法处理请求时便会返回这条错误。403.10 错误是由于无效配置而导致的错误。当您试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序时便会返回这条错误。403.11 错误是由于密码更改而导致无权查看页面。403.12 错误是由于映射器拒绝访问而造成的。若要查看的网页要求使用有效的客户证书，而您的客户证书映射没有权限访问该 Web 站点时就会返回映射器拒绝访问的错误。403.13 错误是由于需要查看的网页要求使用有效的客户证书而使用的客户证书已经被吊销，或者无法确定证书是否已吊销造成的。403.14 错误 Web 服务器被配置为不列出此目录的内容，拒绝目录列表。403.15 错误是由于客户访问许可过多而造成的。当服务器超出其客户访问许可限制时会返回此条错误。403.16 错误是由于客户证书不可信或者无效而造成的。403.17 错误是由于客户证书已经到期或者尚未生效而造成的。 404 报错：404 报错主要是页面显示问题或者页面的链接有问题，意味着链接指向的网页不存在，即原始网页的 URL 失效。当 Web 服务器接到类似请求时，会返回一个 404 状态码，告诉浏览器已请求的资源并不存在。导致这个错误的原因一般有以下几种情况： 无法在所请求的端口上访问 Web 站点。Web 服务扩展锁定策略阻止本请求。MIME 映射策略阻止本请求。网站更新改版，但某些局部板块沿用原来的模块，而原有的模块调用的文件已经被删除或转移了路径。跟踪访问的各类脚码或 CSS 文件无效但调用代码依然存在。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问 502 报错：当测试访问报错为 502 Bad Gateway，这是 Web 程序配置异常导致的。建议结合 Web 访问日志，检测一下 Web 程序配置的参数设置是否有异常。详情请参见 502 bad gateway问题的解决方法。503 报错：503 报错是一种 HTTP 状态码，与 404 同属一种网页状态出错码。两者的区别是：前者是服务器出错的一种返回状态，后者是网页程序没有相关结果后返回的一种状态。503 报错产生的原因有可能是以下几种情况： 网络管理员可能关闭应用程序池以执行维护。当请求到达时应用程序池队列已满。应用程序池标识没有使用预定义账户：网络服务。而自己配置了标识，但是配置的这个用户不属于 IIS_WPG 组。应用程序池启用了 CPU 监视，并且设置了 CPU 利用率超过一定百分比关闭应用程序池，而开发人员写的服务端页面 （.asp、.aspx） 执行效率不高，会引起 CPU 的长时间占用，最终达到设置的百分比，从而引起应用程序池关闭。应用程序池的性能选项卡的请求队列限制所填的数值太小，默认为 1000。某个目录直接删除（导致一段时间该目录的文件在被爬行时全部报 404 Not Found 错误）。网页 URL 生成规则改变、网页文件更名或移动位置、导入链接拼写错误等，导致原来的 URL 地址无法访问。该站点正在被攻击。对于最新型的攻击，其实是 DDoS 的一种派生，原理在于找数千个IP，同时向服务器的 Apache 发出请求，然后 立即断开，让 Apache 处于等待状态，致使 Apache 线程全部被填满，致使服务器死机。因此，为了保证大多数客户的利益，我们给每个空间，作出了每 19 秒 64 个 php 请求的限制。注意，是 php 请求，一般的图片请求和 html 请求不包括在内。该程序占用的 php 线程过多，有的程序没有进行好优化处理，一个点击即可产生数个，甚至数十个 php 线程。这样的话，几个点击就可以把该时段的64个 php 线程全部填满了。因此出现 503 错误。建议优化一下程序，尽量少用 require （请求）等语句。 如问题还未解决，请您记录排查结果、相关日志信息或截图，提交工单联系阿里云。

134题 其实就是水平扩容了，Zookeeper在这方面不太好。两种方式：全部重启：关闭所有Zookeeper服务，修改配置之后启动。不影响之前客户端的会话。逐个重启：这是比较常用的方式。 133题 集群最低3（2N+1）台，保证奇数，主要是为了选举算法。一个由 3 台机器构成的 ZooKeeper 集群，能够在挂掉 1 台机器后依然正常工作，而对于一个由 5 台服务器构成的 ZooKeeper 集群，能够对 2 台机器挂掉的情况进行容灾。注意，如果是一个由6台服务器构成的 ZooKeeper 集群，同样只能够挂掉 2 台机器，因为如果挂掉 3 台，剩下的机器就无法实现过半了。 132题 基于“过半”设计原则，ZooKeeper 在运行期间，集群中至少有过半的机器保存了最新的数据。因此，只要集群中超过半数的机器还能够正常工作，整个集群就能够对外提供服务。 131题 不是。官方声明：一个Watch事件是一个一次性的触发器，当被设置了Watch的数据发生了改变的时候，则服务器将这个改变发送给设置了Watch的客户端，以便通知它们。为什么不是永久的，举个例子，如果服务端变动频繁，而监听的客户端很多情况下，每次变动都要通知到所有的客户端，这太消耗性能了。一般是客户端执行getData(“/节点A”,true)，如果节点A发生了变更或删除，客户端会得到它的watch事件，但是在之后节点A又发生了变更，而客户端又没有设置watch事件，就不再给客户端发送。在实际应用中，很多情况下，我们的客户端不需要知道服务端的每一次变动，我只要最新的数据即可。 130题 数据发布/订阅，负载均衡，命名服务，分布式协调/通知，集群管理，Master 选举，分布式锁，分布式队列 129题 客户端 SendThread 线程接收事件通知， 交由 EventThread 线程回调 Watcher。客户端的 Watcher 机制同样是一次性的， 一旦被触发后， 该 Watcher 就失效了。 128题 1、服务端接收 Watcher 并存储； 2、Watcher 触发； 2.1 封装 WatchedEvent； 2.2 查询 Watcher； 2.3 没找到；说明没有客户端在该数据节点上注册过 Watcher； 2.4 找到；提取并从 WatchTable 和 Watch2Paths 中删除对应 Watcher； 3、调用 process 方法来触发 Watcher。 127题 1.调用 getData()/getChildren()/exist()三个 API，传入 Watcher 对象 2.标记请求 request，封装 Watcher 到 WatchRegistration 3.封装成 Packet 对象，发服务端发送 request 4.收到服务端响应后，将 Watcher 注册到 ZKWatcherManager 中进行管理 5.请求返回，完成注册。 126题 Zookeeper 允许客户端向服务端的某个 Znode 注册一个 Watcher 监听，当服务端的一些指定事件触发了这个 Watcher，服务端会向指定客户端发送一个事件通知来实现分布式的通知功能，然后客户端根据 Watcher 通知状态和事件类型做出业务上的改变。工作机制：（1）客户端注册 watcher（2）服务端处理 watcher（3）客户端回调 watcher 125题 服务器具有四种状态，分别是 LOOKING、FOLLOWING、LEADING、OBSERVING。 LOOKING：寻 找 Leader 状态。当服务器处于该状态时，它会认为当前集群中没有 Leader，因此需要进入 Leader 选举状态。 FOLLOWING：跟随者状态。表明当前服务器角色是 Follower。 LEADING：领导者状态。表明当前服务器角色是 Leader。 OBSERVING：观察者状态。表明当前服务器角色是 Observer。 124题 Zookeeper 有三种部署模式：单机部署：一台集群上运行；集群部署：多台集群运行；伪集群部署：一台集群启动多个 Zookeeper 实例运行。 123题 Paxos算法是分布式选举算法，Zookeeper使用的 ZAB协议（Zookeeper原子广播），二者有相同的地方，比如都有一个Leader，用来协调N个Follower的运行；Leader要等待超半数的Follower做出正确反馈之后才进行提案；二者都有一个值来代表Leader的周期。不同的地方在于：ZAB用来构建高可用的分布式数据主备系统（Zookeeper），Paxos是用来构建分布式一致性状态机系统。Paxos算法、ZAB协议要想讲清楚可不是一时半会的事儿，自1990年莱斯利·兰伯特提出Paxos算法以来，因为晦涩难懂并没有受到重视。后续几年，兰伯特通过好几篇论文对其进行更进一步地解释，也直到06年谷歌发表了三篇论文，选择Paxos作为chubby cell的一致性算法，Paxos才真正流行起来。对于普通开发者来说，尤其是学习使用Zookeeper的开发者明确一点就好：分布式Zookeeper选举Leader服务器的算法与Paxos有很深的关系。 122题 ZAB协议是为分布式协调服务Zookeeper专门设计的一种支持崩溃恢复的原子广播协议(paxos算法的一种实现)。ZAB协议包括两种基本的模式：崩溃恢复和消息广播。当整个zookeeper集群刚刚启动或者Leader服务器宕机、重启或者网络故障导致不存在过半的服务器与Leader服务器保持正常通信时，所有进程（服务器）进入崩溃恢复模式，首先选举产生新的Leader服务器，然后集群中Follower服务器开始与新的Leader服务器进行数据同步，当集群中超过半数机器与该Leader服务器完成数据同步之后，退出恢复模式进入消息广播模式，Leader服务器开始接收客户端的事务请求生成事物提案来进行事务请求处理。 121题 Zookeeper本身也是集群，推荐配置不少于3个服务器。Zookeeper自身也要保证当一个节点宕机时，其他节点会继续提供服务。如果是一个Follower宕机，还有2台服务器提供访问，因为Zookeeper上的数据是有多个副本的，数据并不会丢失；如果是一个Leader宕机，Zookeeper会选举出新的Leader。ZK集群的机制是只要超过半数的节点正常，集群就能正常提供服务。只有在ZK节点挂得太多，只剩一半或不到一半节点能工作，集群才失效。所以，3个节点的cluster可以挂掉1个节点(leader可以得到2票>1.5)，2个节点的cluster就不能挂掉任何1个节点了(leader可以得到1票<=1)。 120题 选完Leader以后，zk就进入状态同步过程。1、Leader等待server连接；2、Follower连接leader，将最大的zxid发送给leader；3、Leader根据follower的zxid确定同步点；4、完成同步后通知follower 已经成为uptodate状态；5、Follower收到uptodate消息后，又可以重新接受client的请求进行服务了。 119题 在zookeeper集群中也是一样，每个节点都会投票，如果某个节点获得超过半数以上的节点的投票，则该节点就是leader节点了。zookeeper中有三种选举算法，分别是LeaderElection,FastLeaderElection,AuthLeaderElection， FastLeaderElection此算法和LeaderElection不同的是它不会像后者那样在每轮投票中要搜集到所有结果后才统计投票结果，而是不断的统计结果，一旦没有新的影响leader结果的notification出现就返回投票结果。这样的效率更高。 118题 zk的负载均衡是可以调控，nginx只是能调权重，其他需要可控的都需要自己写插件；但是nginx的吞吐量比zk大很多，应该说按业务选择用哪种方式。 117题 Zookeeper 的核心是原子广播，这个机制保证了各个Server之间的同步。实现这个机制的协议叫做Zab协议。Zab协议有两种模式，它们分别是恢复模式（选主）和广播模式（同步）。当服务启动或者在领导者崩溃后，Zab就进入了恢复模式，当领导者被选举出来，且大多数Server完成了和 leader的状态同步以后，恢复模式就结束了。状态同步保证了leader和Server具有相同的系统状态。 116题 有临时节点和永久节点，分再细一点有临时有序/无序节点，有永久有序/无序节点。当创建临时节点的程序结束后，临时节点会自动消失，临时节点上的数据也会一起消失。 115题 在分布式环境中，有些业务逻辑只需要集群中的某一台机器进行执行，其他的机器可以共享这个结果，这样可以大大减少重复计算，提高性能，这就是主节点存在的意义。 114题 ZooKeeper 实现分布式事务，类似于两阶段提交，总共分为以下 4 步：客户端先给 ZooKeeper 节点发送写请求；ZooKeeper 节点将写请求转发给 Leader 节点，Leader 广播给集群要求投票，等待确认；Leader 收到确认，统计投票，票数过半则提交事务；事务提交成功后，ZooKeeper 节点告知客户端。 113题 ZooKeeper 实现分布式锁的步骤如下：客户端连接 ZooKeeper，并在 /lock 下创建临时的且有序的子节点，第一个客户端对应的子节点为 /lock/lock-10000000001，第二个为 /lock/lock-10000000002，以此类推。客户端获取 /lock 下的子节点列表，判断自己创建的子节点是否为当前子节点列表中序号最小的子节点，如果是则认为获得锁，否则监听刚好在自己之前一位的子节点删除消息，获得子节点变更通知后重复此步骤直至获得锁；执行业务代码；完成业务流程后，删除对应的子节点释放锁。 112题 ZooKeeper 特性如下：顺序一致性（Sequential Consistency）：来自相同客户端提交的事务，ZooKeeper 将严格按照其提交顺序依次执行；原子性（Atomicity）：于 ZooKeeper 集群中提交事务，事务将“全部完成”或“全部未完成”，不存在“部分完成”；单一系统镜像（Single System Image）：客户端连接到 ZooKeeper 集群的任意节点，其获得的数据视图都是相同的；可靠性（Reliability）：事务一旦完成，其产生的状态变化将永久保留，直到其他事务进行覆盖；实时性（Timeliness）：事务一旦完成，客户端将于限定的时间段内，获得最新的数据。 111题 ZooKeeper 通常有三种搭建模式：单机模式：zoo.cfg 中只配置一个 server.id 就是单机模式了，此模式一般用在测试环境，如果当前主机宕机，那么所有依赖于当前 ZooKeeper 服务工作的其他服务器都不能进行正常工作；伪分布式模式：在一台机器启动不同端口的 ZooKeeper，配置到 zoo.cfg 中，和单机模式相同，此模式一般用在测试环境；分布式模式：多台机器各自配置 zoo.cfg 文件，将各自互相加入服务器列表，上面搭建的集群就是这种完全分布式。 110题 ZooKeeper 主要提供以下功能：分布式服务注册与订阅：在分布式环境中，为了保证高可用性，通常同一个应用或同一个服务的提供方都会部署多份，达到对等服务。而消费者就须要在这些对等的服务器中选择一个来执行相关的业务逻辑，比较典型的服务注册与订阅，如 Dubbo。分布式配置中心：发布与订阅模型，即所谓的配置中心，顾名思义就是发布者将数据发布到 ZooKeeper 节点上，供订阅者获取数据，实现配置信息的集中式管理和动态更新。命名服务：在分布式系统中，通过命名服务客户端应用能够根据指定名字来获取资源、服务地址和提供者等信息。分布式锁：这个主要得益于 ZooKeeper 为我们保证了数据的强一致性。 109题 Dubbo是 SOA 时代的产物，它的关注点主要在于服务的调用，流量分发、流量监控和熔断。而 Spring Cloud诞生于微服务架构时代，考虑的是微服务治理的方方面面，另外由于依托了 Spirng、Spirng Boot的优势之上，两个框架在开始目标就不一致，Dubbo 定位服务治理、Spirng Cloud 是一个生态。 108题 Dubbo通过Token令牌防止用户绕过注册中心直连，然后在注册中心上管理授权。Dubbo还提供服务黑白名单，来控制服务所允许的调用方。 107题 Dubbo超时时间设置有两种方式： 服务提供者端设置超时时间，在Dubbo的用户文档中，推荐如果能在服务端多配置就尽量多配置，因为服务提供者比消费者更清楚自己提供的服务特性。 服务消费者端设置超时时间，如果在消费者端设置了超时时间，以消费者端为主，即优先级更高。因为服务调用方设置超时时间控制性更灵活。如果消费方超时，服务端线程不会定制，会产生警告。 106题 Random LoadBalance: 随机选取提供者策略，有利于动态调整提供者权重。截面碰撞率高，调用次数越多，分布越均匀； RoundRobin LoadBalance: 轮循选取提供者策略，平均分布，但是存在请求累积的问题； LeastActive LoadBalance: 最少活跃调用策略，解决慢提供者接收更少的请求； ConstantHash LoadBalance: 一致性Hash策略，使相同参数请求总是发到同一提供者，一台机器宕机，可以基于虚拟节点，分摊至其他提供者，避免引起提供者的剧烈变动； 缺省时为Random随机调用。 105题 Consumer(消费者），连接注册中心 ，并发送应用信息、所求服务信息至注册中心。 注册中心根据 消费 者所求服务信息匹配对应的提供者列表发送至Consumer 应用缓存。 Consumer 在发起远程调用时基于缓存的消费者列表择其一发起调用。 Provider 状态变更会实时通知注册中心、在由注册中心实时推送至Consumer。 104题 Provider：暴露服务的服务提供方。 Consumer：调用远程服务的服务消费方。 Registry：服务注册与发现的注册中心。 Monitor：统计服务的调用次调和调用时间的监控中心。 Container：服务运行容器。 103题 主要就是如下3个核心功能： Remoting：网络通信框架，提供对多种NIO框架抽象封装，包括“同步转异步”和“请求-响应”模式的信息交换方式。 Cluster：服务框架，提供基于接口方法的透明远程过程调用，包括多协议支持，以及软负载均衡，失败容错，地址路由，动态配置等集群支持。 Registry：服务注册，基于注册中心目录服务，使服务消费方能动态的查找服务提供方，使地址透明，使服务提供方可以平滑增加或减少机器。 102题 透明化的远程方法调用，就像调用本地方法一样调用远程方法，只需简单配置，没有任何API侵入。软负载均衡及容错机制，可在内网替代F5等硬件负载均衡器，降低成本，减少单点。服务自动注册与发现，不再需要写死服务提供方地址，注册中心基于接口名查询服务提供者的IP地址，并且能够平滑添加或删除服务提供者。 101题 垂直分表定义：将一个表按照字段分成多表，每个表存储其中一部分字段。水平分表是在同一个数据库内，把同一个表的数据按一定规则拆到多个表中。 100题 垂直分库是指按照业务将表进行分类，分布到不同的数据库上面，每个库可以放在不同的服务器上，它的核心理念是专库专用。水平分库是把同一个表的数据按一定规则拆到不同的数据库中，每个库可以放在不同的服务器上。 99题 QPS：每秒查询数。TPS：每秒处理事务数。Uptime：服务器已经运行的时间，单位秒。Questions：已经发送给数据库查询数。Com_select：查询次数，实际操作数据库的。Com_insert：插入次数。Com_delete：删除次数。Com_update：更新次数。Com_commit：事务次数。Com_rollback：回滚次数。 98题 如果需要跨主机进行JOIN，跨应用进行JOIN，或者数据库不能获得较好的执行计划，都可以自己通过程序来实现JOIN。 例如：SELECT a.,b. FROM a,b WHERE a.col1=b.col1 AND a.col2> 10 ORDER BY a.col2; 可以利用程序实现，先SELECT * FROM a WHERE a.col2>10 ORDER BY a.col2;–(1) 利用(1)的结果集，做循环，SELECT * FROM b WHERE b.col1=a.col1; 这样可以避免排序，可以在程序里控制执行的速度，有效降低数据库压力，也可以实现跨主机的JOIN。 97题 搭建复制的必备条件：复制的机器之间网络通畅，Master打开了binlog。 搭建复制步骤：建立用户并设置权限，修改配置文件，查看master状态，配置slave，启动从服务，查看slave状态，主从测试。 96题 Heartbeat方案：利用Heartbeat管理VIP，利用crm管理MySQL，MySQL进行双M复制。（Linux系统下没有分库的标准方案）。 LVS+Keepalived方案：利用Keepalived管理LVS和VIP，LVS分发请求到MySQL，MySQL进行双M复制。（Linux系统下无分库无事务的方案）。 Cobar方案：利用Cobar进行HA和分库，应用程序请求Cobar，Cobar转发请求道数据库。（有分库的标准方案，Unix下唯一方案）。 95题 聚集（clustered）索引，也叫聚簇索引，数据行的物理顺序与列值（一般是主键的那一列）的逻辑顺序相同，一个表中只能拥有一个聚集索引。但是，覆盖索引可以模拟多个聚集索引。存储引擎负责实现索引，因此不是所有的存储索引都支持聚集索引。当前，SolidDB和InnoDB是唯一支持聚集索引的存储引擎。 优点：可以把相关数据保存在一起。数据访问快。 缺点：聚集能最大限度地提升I/O密集负载的性能。聚集能最大限度地提升I/O密集负载的性能。建立在聚集索引上的表在插入新行，或者在行的主键被更新，该行必须被移动的时候会进行分页。聚集表可会比全表扫描慢，尤其在表存储得比较稀疏或因为分页而没有顺序存储的时候。第二（非聚集）索引可能会比预想的大，因为它们的叶子节点包含了被引用行的主键列。 94题 以下原因是导致mysql 表毁坏的常见原因： 服务器突然断电导致数据文件损坏； 强制关机，没有先关闭mysql 服务； mysqld 进程在写表时被杀掉； 使用myisamchk 的同时，mysqld 也在操作表； 磁盘故障；服务器死机；mysql 本身的bug 。 93题 1.定位慢查询 首先先打开慢查询日志设置慢查询时间； 2.分析慢查询（使用explain工具分析sql语句）； 3.优化慢查询 。

本文总结了常见的 Linux 内核参数及相关问题。修改内核参数前，您需要： 从实际需要出发，最好有相关数据的支撑，若您的业务没有受到影响不建议调整内核参数。 了解每一个参数的具体作用，并且同类型或版本操作系统下内核参数可能有所不同。 备份 ECS 实例中的重要数据。参阅文档 创建快照。 Linux 常用内核网络参数 参数 描述 net.core.rmem_default 默认的 TCP 数据接收窗口大小（字节）。 net.core.rmem_max 最大的 TCP 数据接收窗口（字节）。 net.core.wmem_default 默认的 TCP 数据发送窗口大小（字节）。 net.core.wmem_max 最大的 TCP 数据发送窗口（字节）。 net.core.netdev_max_backlog 在每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。 net.core.somaxconn 定义了系统中每一个端口最大的监听队列的长度，这是个全局的参数。 net.core.optmem_max 表示每个套接字所允许的最大缓冲区的大小。 net.ipv4.tcp_mem 确定 TCP 栈应该如何反映内存使用，每个值的单位都是内存页（通常是 4KB）第一个值是内存使用的下限；第二个值是内存压力模式开始对缓冲区使用应用压力的上限；第三个值是内存使用的上限。在这个层次上可以将报文丢弃，从而减少对内存的使用。对于较大的 BDP 可以增大这些值（注意：其单位是内存页而不是字节）。 net.ipv4.tcp_rmem 为自动调优定义 socket 使用的内存。第一个值是为 socket 接收缓冲区分配的最少字节数；第二个值是默认值（该值会被 rmem_default 覆盖），缓冲区在系统负载不重的情况下可以增长到这个值；第三个值是接收缓冲区空间的最大字节数（该值会被 rmem_max 覆盖）。 net.ipv4.tcp_wmem 为自动调优定义 socket 使用的内存。第一个值是为 socket 发送缓冲区分配的最少字节数；第二个值是默认值（该值会被 wmem_default 覆盖），缓冲区在系统负载不重的情况下可以增长到这个值；第三个值是发送缓冲区空间的最大字节数（该值会被 wmem_max 覆盖）。 net.ipv4.tcp_keepalive_time TCP 发送 keepalive 探测消息的间隔时间（秒），用于确认 TCP 连接是否有效。 net.ipv4.tcp_keepalive_intvl 探测消息未获得响应时，重发该消息的间隔时间（秒）。 net.ipv4.tcp_keepalive_probes 在认定 TCP 连接失效之前，最多发送多少个 keepalive 探测消息。 net.ipv4.tcp_sack 启用有选择的应答（1 表示启用），通过有选择地应答乱序接收到的报文来提高性能，让发送者只发送丢失的报文段，（对于广域网通信来说）这个选项应该启用，但是会增加对 CPU 的占用。 net.ipv4.tcp_fack 启用转发应答，可以进行有选择应答（SACK）从而减少拥塞情况的发生，这个选项也应该启用。 net.ipv4.tcp_timestamps TCP 时间戳（会在 TCP 包头增加 12 B），以一种比重发超时更精确的方法（参考 RFC 1323）来启用对 RTT 的计算，为实现更好的性能应该启用这个选项。 net.ipv4.tcp_window_scaling 启用 RFC 1323 定义的 window scaling，要支持超过 64KB 的 TCP 窗口，必须启用该值（1 表示启用），TCP 窗口最大至 1GB，TCP 连接双方都启用时才生效。 net.ipv4.tcp_syncookies 表示是否打开 TCP 同步标签（syncookie），内核必须打开了 CONFIG_SYN_COOKIES 项进行编译，同步标签可以防止一个套接字在有过多试图连接到达时引起过载。默认值 0 表示关闭。 net.ipv4.tcp_tw_reuse 表示是否允许将处于 TIME-WAIT 状态的 socket （TIME-WAIT 的端口）用于新的 TCP 连接。 net.ipv4.tcp_tw_recycle 能够更快地回收 TIME-WAIT 套接字。 net.ipv4.tcp_fin_timeout 对于本端断开的 socket 连接，TCP 保持在 FIN-WAIT-2 状态的时间（秒）。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。 net.ipv4.ip_local_port_range 表示 TCP/UDP 协议允许使用的本地端口号。 net.ipv4.tcp_max_syn_backlog 对于还未获得对方确认的连接请求，可保存在队列中的最大数目。如果服务器经常出现过载，可以尝试增加这个数字。默认为 1024。 net.ipv4.tcp_low_latency 允许 TCP/IP 栈适应在高吞吐量情况下低延时的情况，这个选项应该禁用。 net.ipv4.tcp_westwood 启用发送者端的拥塞控制算法，它可以维护对吞吐量的评估，并试图对带宽的整体利用情况进行优化，对于 WAN 通信来说应该启用这个选项。 net.ipv4.tcp_bic 为快速长距离网络启用 Binary Increase Congestion，这样可以更好地利用以 GB 速度进行操作的链接，对于 WAN 通信应该启用这个选项。 net.ipv4.tcp_max_tw_buckets 该参数设置系统的 TIME_WAIT 的数量，如果超过默认值则会被立即清除。默认为 180000。 net.ipv4.tcp_synack_retries 指明了处于 SYN_RECV 状态时重传 SYN+ACK 包的次数。 net.ipv4.tcp_abort_on_overflow 设置改参数为 1 时，当系统在短时间内收到了大量的请求，而相关的应用程序未能处理时，就会发送 Reset 包直接终止这些链接。建议通过优化应用程序的效率来提高处理能力，而不是简单地 Reset。默认值： 0 net.ipv4.route.max_size 内核所允许的最大路由数目。 net.ipv4.ip_forward 接口间转发报文。 net.ipv4.ip_default_ttl 报文可以经过的最大跳数。 net.netfilter.nf_conntrack_tcp_timeout_established 让 iptables 对于已建立的连接，在设置时间内若没有活动，那么则清除掉。 net.netfilter.nf_conntrack_max 哈希表项最大值。 查看和修改 Linux 实例内核参数 方法一、通过 /proc/sys/ 目录 /proc/sys/ 目录是 Linux 内核在启动后生成的伪目录，其目录下的 net 文件夹中存放了当前系统中生效的所有内核参数、目录树结构与参数的完整名称相关，如 net.ipv4.tcp_tw_recycle，它对应的文件是 /proc/sys/net/ipv4/tcp_tw_recycle，文件的内容就是参数值。 查看内核参数：使用 cat 查看对应文件的内容，例如执行命令 cat /proc/sys/net/ipv4/tcp_tw_recycle 查看 net.ipv4.tcp_tw_recycle 的值。 修改内核参数：使用 echo 修改内核参数对应的文件，例如执行命令 echo "0" > /proc/sys/net/ipv4/tcp_tw_recycle 将 net.ipv4.tcp_tw_recycle 的值修改为 0。 注意：方法一修改的参数值仅在当次运行中生效，系统重启后会回滚历史值，一般用于临时性的验证修改的效果。若需要永久性的修改，请参阅方法二。 方法二、通过 sysctl.conf 文件 查看内核参数：执行命令 sysctl -a 查看当前系统中生效的所有参数，如下所示： net.ipv4.tcp_app_win = 31 net.ipv4.tcp_adv_win_scale = 2 net.ipv4.tcp_tw_reuse = 0 net.ipv4.tcp_frto = 2 net.ipv4.tcp_frto_response = 0 net.ipv4.tcp_low_latency = 0 net.ipv4.tcp_no_metrics_save = 0 net.ipv4.tcp_moderate_rcvbuf = 1 net.ipv4.tcp_tso_win_divisor = 3 net.ipv4.tcp_congestion_control = cubic net.ipv4.tcp_abc = 0 net.ipv4.tcp_mtu_probing = 0 net.ipv4.tcp_base_mss = 512 net.ipv4.tcp_workaround_signed_windows = 0 net.ipv4.tcp_challenge_ack_limit = 1000 net.ipv4.tcp_limit_output_bytes = 262144 net.ipv4.tcp_dma_copybreak = 4096 net.ipv4.tcp_slow_start_after_idle = 1 net.ipv4.cipso_cache_enable = 1 net.ipv4.cipso_cache_bucket_size = 10 net.ipv4.cipso_rbm_optfmt = 0 net.ipv4.cipso_rbm_strictvalid = 1 修改内核参数： 执行命令   /sbin/sysctl -w kernel.domainname="example.com"  来修改指定的参数值，如 sysctl -w net.ipv4.tcp_tw_recycle="0" 执行命令   vi /etc/sysctl.conf  修改   /etc/sysctl.conf  文件中的参数。 执行命令   /sbin/sysctl -p  使配置生效。 Linux 网络相关内核参数引发的常见问题及处理 问题现象 原因分析 解决方案 无法在本地网络环境通过 SSH 连接 ECS Linux 实例，或者访问该 Linux 实例上的 HTTP 业务出现异常。Telnet 测试会被 reset。 如果您的本地网络是 NAT 共享方式上网，该问题可能是由于本地 NAT 环境和目标 Linux 相关内核参数配置不匹配导致。尝试通过修改目标 Linux 实例内核参数来解决问题：1. 远程连接目标 Linux 实例；2. 查看当前配置： cat /proc/sys/net/ipv4/tcp_tw_recyclecat /proc/sys/net/ipv4/tcp_timestamps 查看上述两个配置的值是不是 0，如果为 1的话，NAT 环境下的请求可能会导致上述问题。 通过如下方式将上述参数值修改为 0：1. 执行命令 vi /etc/sysctl.conf。2. 添加如下内容：net.ipv4.tcp_tw_recycle=0net.ipv4.tcp_timestamps=0。3. 输入指令 # sysctl -p 使配置生效。4. 重新 SSH 登录实例或者业务访问测试。 服务端 A 与 客户端 B 建立了 TCP 连接，之后服务端 A 主动断开了连接，但是在客户端 B 上仍然看到连接是建立的。示例见图一，图二。 通常是由于修改了服务端内核参数 net.ipv4.tcp_fin_timeout 默认设置所致。 1. 执行命令 vi /etc/sysctl.conf，修改配置：net.ipv4.tcp_fin_timeout=30。2. 执行命令 # sysctl -p 使配置生效。 通过 netstat 或 ss 可以看到大量处于 TIME_WAIT 状态的连接。 通过 netstat -n | awk ‘/^tcp/ {++y[$NF]} END {for(w in y) print w, y[w]}’ 查看 TIME_WAIT 数量。 1. 执行命令 vi /etc/sysctl.conf，修改或加入以下内容： net . ipv4 . tcp_syncookies = 1 net . ipv4 . tcp_tw_reuse = 1 net . ipv4 . tcp_tw_recycle = 1 net . ipv4 . tcp_fin_timeout = 30 2. 执行命令 /sbin/sysctl -p  使配置生效。 云服务器上出现大量 CLOSE_WAIT 状态的连接数。 根据实例上的业务量来判断 CLOSE_WAIT 数量是否超出了正常的范围。TCP 连接断开时需要进行四次挥手，TCP 连接的两端都可以发起关闭连接的请求，若对端发起了关闭连接，但本地没有进行后续的关闭连接操作，那么该链接就会处于 CLOSE_WAIT 状态。虽然该链接已经处于半开状态，但是已经无法和对端通信，需要及时的释放该链接。建议从业务层面及时判断某个连接是否已经被对端关闭，即在程序逻辑中对连接及时进行关闭检查。 通过命令 netstat -an|grep CLOSE_WAIT|wc -l 查看当前实例上处于 CLOSE_WAIT 状态的连接数。Java 语言：1. 通过 read 方法来判断 I/O 。当 read 方法返回 -1 时则表示已经到达末尾。2. 通过 close 方法关闭该链接。C 语言：1. 检查 read 的返回值，若是 0 则可以关闭该连接，若小于 0 则查看一下 errno，若不是 AGAIN 则同样可以关闭连接。 ECS Linux FIN_WAIT2 状态的 TCP 链接过多。 HTTP 服务中，SERVER 由于某种原因关闭连接，如 KEEPALIVE 的超时。这样，作为主动关闭的 SERVER 一方就会进入 FIN_WAIT2 状态。但 TCP/IP 协议栈中，FIN_WAIT2 状态是没有超时的（不像 TIME_WAIT 状态），如果 Client 不关闭，FIN_WAIT_2 状态将保持到系统重启，越来越多的 FIN_WAIT_2 状态会致使内核 Crash。 1. 执行命令 vi /etc/sysctl.conf，修改或加入以下内容： net . ipv4 . tcp_syncookies = 1 net . ipv4 . tcp_fin_timeout = 30 net . ipv4 . tcp_max_syn_backlog = 8192 net . ipv4 . tcp_max_tw_buckets = 5000 2. 执行命令 # sysctl -p 使配置生效。 查询服务器 /var/log/message 日志，发现全部是类似如下 kernel: TCP: time wait bucket table overflowt 的报错信息，报错提示 TCP time wait 溢出，见图三。 TCP 连接使用很高，容易超出限制。见图四。 1. 执行命令 netstat -anp |grep tcp |wc -l统计 TCP 连接数。2. 对比 /etc/sysctl.conf 配置文件的 net.ipv4.tcp_max_tw_buckets 最大值，看是否有超出情况。3. 执行命令 vi /etc/sysctl.conf，查询 net.ipv4.tcp_max_tw_buckets 参数。如果确认连接使用很高，容易超出限制。4. 调高参数 net.ipv4.tcp_max_tw_buckets，扩大限制。5. 执行命令 # sysctl -p 使配置生效。 ECS Linux 实例出现间歇性丢包的情况，通过 tracert， mtr 等手段排查，外部网络未见异常。同时，如下图所示，在系统日志中重复出现大量kernel nf_conntrack: table full, dropping packet.错误信息。见图五。 ip_conntrack 是 Linux 系统内 NAT 的一个跟踪连接条目的模块。ip_conntrack 模块会使用一个哈希表记录 TCP 通讯协议的 established connection 记录，当哈希表满了的时候，会导致 nf_conntrack: table full, dropping packet 错误。需要通过修改内核参数来调整 ip_conntrack 限制。 Centos 5.x 系统1. 使用管理终端登录实例。2. 执行命令 # vi /etc/sysctl.conf 编辑系统内核配置。3. 修改哈希表项最大值参数：net.ipv4.netfilter.ip_conntrack_max = 655350。4. 修改超时时间参数：net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 1200，默认情况下 timeout 是5天（432000秒）。5. 执行命令 # sysctl -p 使配置生效。Centos 6.x 及以上系统：1. 使用管理终端登录实例。2. 执行命令 # vi /etc/sysctl.conf 编辑系统内核配置。3. 修改哈希表项最大值参数：net.netfilter.nf_conntrack_max = 655350。4. 修改超时时间参数：net.netfilter.nf_conntrack_tcp_timeout_established = 1200，默认情况下 timeout 是5天（432000秒）。5. 执行命令 # sysctl -p 使配置生效。 客户端做了 NAT 后无法访问 ECS、RDS，包括通过 SNAT VPC 访问外网的 ECS 。无法访问连接其他 ECS 或 RDS 等云产品，抓包检测发现远端对客户端发送的 SYN 包没有响应。 若远端服务器同时开启 net.ipv4.tcp_tw_recycle 和 net.ipv4.tcp_timestamps，即参数取值为 1 时，服务器会检查每一个报文的时间戳（Timestamp），若 Timestamp 不是递增的关系，则不做处理。做了 NAT 后，服务器看到来自不同的客户端的 IP 相似，但 NAT 前每一台客户端的时间可能会有偏差，在服务器上就会看到 Timestamp 不是递增的情况。 - 远端服务器为 ECS：修改参数 net.ipv4.tcp_tw_recycle 为 0。- 远端服务器为 RDS 等 PaaS 服务：RDS 无法直接修改内核参数，需要在客户端上修改参数 net.ipv4.tcp_tw_recycle 和 net.ipv4.tcp_timestamps 为 0。 参考链接 Linux man-pages kernel/git/torvalds/linux.git_proc kernel/git/torvalds/linux.git_proc_net_tcp kernel/git/torvalds/linux.git_ip-sysctl kernel/git/torvalds/linux.git_netfilter-sysctl kernel/git/torvalds/linux.git_nf_conntrack-sysctl 图一： 客户端 B TCP 连接 图二： 客户端 A TCP 连接 图三： 报错提示 TCP time wait 溢出 图四： 查询 net.ipv4.tcp_max_tw_buckets 参数 图五： ECS Linux 实例间歇性丢包

92题 一般来说，建立INDEX有以下益处：提高查询效率；建立唯一索引以保证数据的唯一性；设计INDEX避免排序。 缺点，INDEX的维护有以下开销：叶节点的‘分裂’消耗；INSERT、DELETE和UPDATE操作在INDEX上的维护开销；有存储要求；其他日常维护的消耗：对恢复的影响，重组的影响。 需要建立索引的情况：为了建立分区数据库的PATITION INDEX必须建立； 为了保证数据约束性需要而建立的INDEX必须建立； 为了提高查询效率，则考虑建立（是否建立要考虑相关性能及维护开销）； 考虑在使用UNION,DISTINCT,GROUP BY,ORDER BY等字句的列上加索引。 91题 作用：加快查询速度。原则：(1) 如果某属性或属性组经常出现在查询条件中，考虑为该属性或属性组建立索引；(2) 如果某个属性常作为最大值和最小值等聚集函数的参数，考虑为该属性建立索引；(3) 如果某属性经常出现在连接操作的连接条件中，考虑为该属性或属性组建立索引。 90题 快照Snapshot是一个文件系统在特定时间里的镜像，对于在线实时数据备份非常有用。快照对于拥有不能停止的应用或具有常打开文件的文件系统的备份非常重要。对于只能提供一个非常短的备份时间而言，快照能保证系统的完整性。 89题 游标用于定位结果集的行，通过判断全局变量@@FETCH_STATUS可以判断是否到了最后，通常此变量不等于0表示出错或到了最后。 88题 事前触发器运行于触发事件发生之前，而事后触发器运行于触发事件发生之后。通常事前触发器可以获取事件之前和新的字段值。语句级触发器可以在语句执行前或后执行，而行级触发在触发器所影响的每一行触发一次。 87题 MySQL可以使用多个字段同时建立一个索引，叫做联合索引。在联合索引中，如果想要命中索引，需要按照建立索引时的字段顺序挨个使用，否则无法命中索引。具体原因为：MySQL使用索引时需要索引有序，假设现在建立了"name，age，school"的联合索引，那么索引的排序为: 先按照name排序，如果name相同，则按照age排序，如果age的值也相等，则按照school进行排序。因此在建立联合索引的时候应该注意索引列的顺序，一般情况下，将查询需求频繁或者字段选择性高的列放在前面。此外可以根据特例的查询或者表结构进行单独的调整。 86题 建立索引的时候一般要考虑到字段的使用频率，经常作为条件进行查询的字段比较适合。如果需要建立联合索引的话，还需要考虑联合索引中的顺序。此外也要考虑其他方面，比如防止过多的所有对表造成太大的压力。这些都和实际的表结构以及查询方式有关。 85题 存储过程是一组Transact-SQL语句，在一次编译后可以执行多次。因为不必重新编译Transact-SQL语句，所以执行存储过程可以提高性能。触发器是一种特殊类型的存储过程，不由用户直接调用。创建触发器时会对其进行定义，以便在对特定表或列作特定类型的数据修改时执行。 84题 存储过程是用户定义的一系列SQL语句的集合，涉及特定表或其它对象的任务，用户可以调用存储过程，而函数通常是数据库已定义的方法，它接收参数并返回某种类型的值并且不涉及特定用户表。 83题 减少表连接，减少复杂 SQL，拆分成简单SQL。减少排序：非必要不排序，利用索引排序，减少参与排序的记录数。尽量避免 select *。尽量用 join 代替子查询。尽量少使用 or，使用 in 或者 union(union all) 代替。尽量用 union all 代替 union。尽量早的将无用数据过滤：选择更优的索引，先分页再Join…。避免类型转换：索引失效。优先优化高并发的 SQL，而不是执行频率低某些“大”SQL。从全局出发优化，而不是片面调整。尽可能对每一条SQL进行 explain。 82题 如果条件中有or，即使其中有条件带索引也不会使用(要想使用or，又想让索引生效，只能将or条件中的每个列都加上索引)。对于多列索引，不是使用的第一部分，则不会使用索引。like查询是以%开头。如果列类型是字符串，那一定要在条件中将数据使用引号引用起来，否则不使用索引。如果mysql估计使用全表扫描要比使用索引快，则不使用索引。例如，使用<>、not in 、not exist，对于这三种情况大多数情况下认为结果集很大，MySQL就有可能不使用索引。 81题 主键不能重复，不能为空，唯一键不能重复，可以为空。建立主键的目的是让外键来引用。一个表最多只有一个主键，但可以有很多唯一键。 80题 空值('')是不占用空间的，判断空字符用=''或者<>''来进行处理。NULL值是未知的，且占用空间，不走索引；判断 NULL 用 IS NULL 或者 is not null ，SQL 语句函数中可以使用 ifnull ()函数来进行处理。无法比较 NULL 和 0；它们是不等价的。无法使用比较运算符来测试 NULL 值，比如 =, <, 或者 <>。NULL 值可以使用 <=> 符号进行比较，该符号与等号作用相似，但对NULL有意义。进行 count ()统计某列的记录数的时候，如果采用的 NULL 值，会被系统自动忽略掉，但是空值是统计到其中。 79题 HEAP表是访问数据速度最快的MySQL表，他使用保存在内存中的散列索引。一旦服务器重启，所有heap表数据丢失。BLOB或TEXT字段是不允许的。只能使用比较运算符=，<，>，=>，= <。HEAP表不支持AUTO_INCREMENT。索引不可为NULL。 78题 如果想输入字符为十六进制数字，可以输入带有单引号的十六进制数字和前缀（X），或者只用（Ox）前缀输入十六进制数字。如果表达式上下文是字符串，则十六进制数字串将自动转换为字符串。 77题 Mysql服务器通过权限表来控制用户对数据库的访问，权限表存放在mysql数据库里，由mysql_install_db脚本初始化。这些权限表分别user，db，table_priv，columns_priv和host。 76题 在缺省模式下，MYSQL是autocommit模式的，所有的数据库更新操作都会即时提交，所以在缺省情况下，mysql是不支持事务的。但是如果你的MYSQL表类型是使用InnoDB Tables 或 BDB tables的话，你的MYSQL就可以使用事务处理,使用SET AUTOCOMMIT=0就可以使MYSQL允许在非autocommit模式，在非autocommit模式下，你必须使用COMMIT来提交你的更改，或者用ROLLBACK来回滚你的更改。 75题 它会停止递增，任何进一步的插入都将产生错误，因为密钥已被使用。 74题 创建索引的时候尽量使用唯一性大的列来创建索引，由于使用b+tree做为索引，以innodb为例，一个树节点的大小由“innodb_page_size”，为了减少树的高度，同时让一个节点能存放更多的值，索引列尽量在整数类型上创建，如果必须使用字符类型，也应该使用长度较少的字符类型。 73题 当MySQL单表记录数过大时，数据库的CRUD性能会明显下降，一些常见的优化措施如下： 限定数据的范围： 务必禁止不带任何限制数据范围条件的查询语句。比如：我们当用户在查询订单历史的时候，我们可以控制在一个月的范围内。读/写分离： 经典的数据库拆分方案，主库负责写，从库负责读。垂直分区： 根据数据库里面数据表的相关性进行拆分。简单来说垂直拆分是指数据表列的拆分，把一张列比较多的表拆分为多张表。水平分区： 保持数据表结构不变，通过某种策略存储数据分片。这样每一片数据分散到不同的表或者库中，达到了分布式的目的。水平拆分可以支撑非常大的数据量。 72题 乐观锁失败后会抛出ObjectOptimisticLockingFailureException，那么我们就针对这块考虑一下重试，自定义一个注解，用于做切面。针对注解进行切面，设置最大重试次数n，然后超过n次后就不再重试。 71题 一致性非锁定读讲的是一条记录被加了X锁其他事务仍然可以读而不被阻塞，是通过innodb的行多版本实现的，行多版本并不是实际存储多个版本记录而是通过undo实现（undo日志用来记录数据修改前的版本，回滚时会用到，用来保证事务的原子性）。一致性锁定读讲的是我可以通过SELECT语句显式地给一条记录加X锁从而保证特定应用场景下的数据一致性。 70题 数据库引擎：尤其是mysql数据库只有是InnoDB引擎的时候事物才能生效。 show engines 查看数据库默认引擎;SHOW TABLE STATUS from 数据库名字 where Name='表名' 如下;SHOW TABLE STATUS from rrz where Name='rrz_cust';修改表的引擎alter table table_name engine=innodb。 69题 如果是等值查询，那么哈希索引明显有绝对优势，因为只需要经过一次算法即可找到相应的键值；当然了，这个前提是，键值都是唯一的。如果键值不是唯一的，就需要先找到该键所在位置，然后再根据链表往后扫描，直到找到相应的数据；如果是范围查询检索，这时候哈希索引就毫无用武之地了，因为原先是有序的键值，经过哈希算法后，有可能变成不连续的了，就没办法再利用索引完成范围查询检索；同理，哈希索引也没办法利用索引完成排序，以及like ‘xxx%’ 这样的部分模糊查询（这种部分模糊查询，其实本质上也是范围查询）；哈希索引也不支持多列联合索引的最左匹配规则；B+树索引的关键字检索效率比较平均，不像B树那样波动幅度大，在有大量重复键值情况下，哈希索引的效率也是极低的，因为存在所谓的哈希碰撞问题。 68题 decimal精度比float高,数据处理比float简单，一般优先考虑，但float存储的数据范围大，所以范围大的数据就只能用它了，但要注意一些处理细节，因为不精确可能会与自己想的不一致，也常有关于float 出错的问题。 67题 datetime、timestamp精确度都是秒，datetime与时区无关，存储的范围广(1001-9999)，timestamp与时区有关，存储的范围小(1970-2038)。 66题 Char使用固定长度的空间进行存储，char(4)存储4个字符，根据编码方式的不同占用不同的字节，gbk编码方式，不论是中文还是英文，每个字符占用2个字节的空间，utf8编码方式，每个字符占用3个字节的空间。Varchar保存可变长度的字符串，使用额外的一个或两个字节存储字符串长度，varchar(10),除了需要存储10个字符，还需要1个字节存储长度信息(10),超过255的长度需要2个字节来存储。char和varchar后面如果有空格，char会自动去掉空格后存储，varchar虽然不会去掉空格，但在进行字符串比较时，会去掉空格进行比较。Varbinary保存变长的字符串，后面不会补\0。 65题 首先分析语句，看看是否load了额外的数据，可能是查询了多余的行并且抛弃掉了，可能是加载了许多结果中并不需要的列，对语句进行分析以及重写。分析语句的执行计划，然后获得其使用索引的情况，之后修改语句或者修改索引，使得语句可以尽可能的命中索引。如果对语句的优化已经无法进行，可以考虑表中的数据量是否太大，如果是的话可以进行横向或者纵向的分表。 64题 建立索引的时候一般要考虑到字段的使用频率，经常作为条件进行查询的字段比较适合。如果需要建立联合索引的话，还需要考虑联合索引中的顺序。此外也要考虑其他方面，比如防止过多的所有对表造成太大的压力。这些都和实际的表结构以及查询方式有关。 63题 存储过程是一些预编译的SQL语句。1、更加直白的理解：存储过程可以说是一个记录集，它是由一些T-SQL语句组成的代码块，这些T-SQL语句代码像一个方法一样实现一些功能（对单表或多表的增删改查），然后再给这个代码块取一个名字，在用到这个功能的时候调用他就行了。2、存储过程是一个预编译的代码块，执行效率比较高，一个存储过程替代大量T_SQL语句 ，可以降低网络通信量，提高通信速率，可以一定程度上确保数据安全。 62题 密码散列、盐、用户身份证号等固定长度的字符串应该使用char而不是varchar来存储,这样可以节省空间且提高检索效率。 61题 推荐使用自增ID，不要使用UUID。因为在InnoDB存储引擎中，主键索引是作为聚簇索引存在的，也就是说，主键索引的B+树叶子节点上存储了主键索引以及全部的数据(按照顺序)，如果主键索引是自增ID，那么只需要不断向后排列即可，如果是UUID，由于到来的ID与原来的大小不确定，会造成非常多的数据插入,数据移动,然后导致产生很多的内存碎片，进而造成插入性能的下降。总之,在数据量大一些的情况下,用自增主键性能会好一些。 60题 char是一个定长字段，假如申请了char(10)的空间，那么无论实际存储多少内容。该字段都占用10个字符，而varchar是变长的，也就是说申请的只是最大长度，占用的空间为实际字符长度+1，最后一个字符存储使用了多长的空间。在检索效率上来讲，char > varchar，因此在使用中，如果确定某个字段的值的长度，可以使用char，否则应该尽量使用varchar。例如存储用户MD5加密后的密码,则应该使用char。 59题 一. read uncommitted（读取未提交数据） 即便是事务没有commit，但是我们仍然能读到未提交的数据，这是所有隔离级别中最低的一种。 二. read committed（可以读取其他事务提交的数据）---大多数数据库默认的隔离级别 当前会话只能读取到其他事务提交的数据，未提交的数据读不到。 三. repeatable read（可重读）---MySQL默认的隔离级别 当前会话可以重复读，就是每次读取的结果集都相同，而不管其他事务有没有提交。 四. serializable（串行化） 其他会话对该表的写操作将被挂起。可以看到，这是隔离级别中最严格的，但是这样做势必对性能造成影响。所以在实际的选用上，我们要根据当前具体的情况选用合适的。 58题 B+树的高度一般为2-4层，所以查找记录时最多只需要2-4次IO，相对二叉平衡树已经大大降低了。范围查找时，能通过叶子节点的指针获取数据。例如查找大于等于3的数据，当在叶子节点中查到3时，通过3的尾指针便能获取所有数据，而不需要再像二叉树一样再获取到3的父节点。 57题 因为事务在修改页时，要先记 undo，在记 undo 之前要记 undo 的 redo， 然后修改数据页，再记数据页修改的 redo。 Redo（里面包括 undo 的修改） 一定要比数据页先持久化到磁盘。 当事务需要回滚时，因为有 undo，可以把数据页回滚到前镜像的状态，崩溃恢复时，如果 redo log 中事务没有对应的 commit 记录，那么需要用 undo把该事务的修改回滚到事务开始之前。 如果有 commit 记录，就用 redo 前滚到该事务完成时并提交掉。 56题 redo log是物理日志,记录的是"在某个数据页上做了什么修改"。 binlog是逻辑日志,记录的是这个语句的原始逻辑,比如"给ID=2这一行的c字段加1"。 redo log是InnoDB引擎特有的;binlog是MySQL的Server层实现的,所有引擎都可以使用。 redo log是循环写的,空间固定会用完:binlog 是可以追加写入的。"追加写"是指binlog文件写到一定大小后会切换到下一个,并不会覆盖以前的日志。 最开始 MySQL 里并没有 InnoDB 引擎，MySQL 自带的引擎是 MyISAM，但是 MyISAM 没有 crash-safe 的能力,binlog日志只能用于归档。而InnoDB 是另一个公司以插件形式引入 MySQL 的，既然只依靠 binlog 是没有 crash-safe 能力的，所以 InnoDB 使用另外一套日志系统，也就是 redo log 来实现 crash-safe 能力。 55题 重做日志（redo log)      作用：确保事务的持久性，防止在发生故障，脏页未写入磁盘。重启数据库会进行redo log执行重做，达到事务一致性。 回滚日志（undo log)  作用：保证数据的原子性，保存了事务发生之前的数据的一个版本，可以用于回滚，同时可以提供多版本并发控制下的读(MVCC)，也即非锁定读。 二进 制日志（binlog)    作用：用于主从复制，实现主从同步；用于数据库的基于时间点的还原。 错误日志（errorlog) 作用：Mysql本身启动，停止，运行期间发生的错误信息。 慢查询日志（slow query log)  作用：记录执行时间过长的sql，时间阈值可以配置，只记录执行成功。 一般查询日志（general log)    作用：记录数据库的操作明细，默认关闭，开启后会降低数据库性能 。 中继日志（relay log) 作用：用于数据库主从同步，将主库发来的bin log保存在本地，然后从库进行回放。 54题 MySQL有三种锁的级别：页级、表级、行级。 表级锁：开销小，加锁快；不会出现死锁；锁定粒度大，发生锁冲突的概率最高,并发度最低。 行级锁：开销大，加锁慢；会出现死锁；锁定粒度最小，发生锁冲突的概率最低,并发度也最高。 页面锁：开销和加锁时间界于表锁和行锁之间；会出现死锁；锁定粒度界于表锁和行锁之间，并发度一般。 死锁: 是指两个或两个以上的进程在执行过程中。因争夺资源而造成的一种互相等待的现象,若无外力作用,它们都将无法推进下去。 死锁的关键在于：两个(或以上)的Session加锁的顺序不一致。 那么对应的解决死锁问题的关键就是：让不同的session加锁有次序。死锁的解决办法：1.查出的线程杀死。2.设置锁的超时时间。3.指定获取锁的顺序。 53题 当多个用户并发地存取数据时，在数据库中就会产生多个事务同时存取同一数据的情况。若对并发操作不加控制就可能会读取和存储不正确的数据，破坏数据库的一致性(脏读，不可重复读，幻读等)，可能产生死锁。 乐观锁：乐观锁不是数据库自带的，需要我们自己去实现。 悲观锁：在进行每次操作时都要通过获取锁才能进行对相同数据的操作。 共享锁：加了共享锁的数据对象可以被其他事务读取，但不能修改。 排他锁：当数据对象被加上排它锁时，一个事务必须得到锁才能对该数据对象进行访问，一直到事务结束锁才被释放。 行锁：就是给某一条记录加上锁。 52题 Mysql是关系型数据库，MongoDB是非关系型数据库，数据存储结构的不同。 51题 关系型数据库优点：1.保持数据的一致性（事务处理）。 2.由于以标准化为前提，数据更新的开销很小。 3. 可以进行Join等复杂查询。 缺点：1、为了维护一致性所付出的巨大代价就是其读写性能比较差。 2、固定的表结构。 3、高并发读写需求。 4、海量数据的高效率读写。 非关系型数据库优点：1、无需经过sql层的解析，读写性能很高。 2、基于键值对，数据没有耦合性，容易扩展。 3、存储数据的格式：nosql的存储格式是key,value形式、文档形式、图片形式等等，文档形式、图片形式等等，而关系型数据库则只支持基础类型。 缺点：1、不提供sql支持，学习和使用成本较高。 2、无事务处理，附加功能bi和报表等支持也不好。 redis与mongoDB的区别： 性能：TPS方面redis要大于mongodb。 可操作性：mongodb支持丰富的数据表达，索引，redis较少的网络IO次数。 可用性:MongoDB优于Redis。 一致性:redis事务支持比较弱,mongoDB不支持事务。 数据分析:mongoDB内置了数据分析的功能(mapreduce)。 应用场景:redis数据量较小的更性能操作和运算上,MongoDB主要解决海量数据的访问效率问题。 50题 如果Redis被当做缓存使用，使用一致性哈希实现动态扩容缩容。如果Redis被当做一个持久化存储使用，必须使用固定的keys-to-nodes映射关系，节点的数量一旦确定不能变化。否则的话(即Redis节点需要动态变化的情况），必须使用可以在运行时进行数据再平衡的一套系统，而当前只有Redis集群可以做到这样。 49题 分区可以让Redis管理更大的内存，Redis将可以使用所有机器的内存。如果没有分区，你最多只能使用一台机器的内存。分区使Redis的计算能力通过简单地增加计算机得到成倍提升,Redis的网络带宽也会随着计算机和网卡的增加而成倍增长。 48题 除了缓存服务器自带的缓存失效策略之外（Redis默认的有6种策略可供选择），我们还可以根据具体的业务需求进行自定义的缓存淘汰，常见的策略有两种： 1.定时去清理过期的缓存； 2.当有用户请求过来时，再判断这个请求所用到的缓存是否过期，过期的话就去底层系统得到新数据并更新缓存。 两者各有优劣，第一种的缺点是维护大量缓存的key是比较麻烦的，第二种的缺点就是每次用户请求过来都要判断缓存失效，逻辑相对比较复杂！具体用哪种方案，可以根据应用场景来权衡。 47题 Redis提供了两种方式来作消息队列: 一个是使用生产者消费模式模式:会让一个或者多个客户端监听消息队列，一旦消息到达，消费者马上消费，谁先抢到算谁的，如果队列里没有消息，则消费者继续监听 。另一个就是发布订阅者模式:也是一个或多个客户端订阅消息频道，只要发布者发布消息，所有订阅者都能收到消息，订阅者都是平等的。 46题 Redis的数据结构列表(list)可以实现延时队列，可以通过队列和栈来实现。blpop/brpop来替换lpop/rpop，blpop/brpop阻塞读在队列没有数据的时候，会立即进入休眠状态，一旦数据到来，则立刻醒过来。Redis的有序集合(zset)可以用于实现延时队列，消息作为value，时间作为score。Zrem 命令用于移除有序集中的一个或多个成员，不存在的成员将被忽略。当 key 存在但不是有序集类型时，返回一个错误。 45题 1.热点数据缓存：因为Redis 访问速度块、支持的数据类型比较丰富。 2.限时业务：expire 命令设置 key 的生存时间，到时间后自动删除 key。 3.计数器：incrby 命令可以实现原子性的递增。 4.排行榜：借助 SortedSet 进行热点数据的排序。 5.分布式锁：利用 Redis 的 setnx 命令进行。 6.队列机制：有 list push 和 list pop 这样的命令。 44题 一致哈希 是一种特殊的哈希算法。在使用一致哈希算法后，哈希表槽位数（大小）的改变平均只需要对 K/n 个关键字重新映射，其中K是关键字的数量， n是槽位数量。然而在传统的哈希表中，添加或删除一个槽位的几乎需要对所有关键字进行重新映射。 43题 RDB的优点：适合做冷备份；读写服务影响小，reids可以保持高性能；重启和恢复redis进程，更加快速。RDB的缺点：宕机会丢失最近5分钟的数据；文件特别大时可能会暂停数毫秒，或者甚至数秒。 AOF的优点：每个一秒执行fsync操作，最多丢失1秒钟的数据；以append-only模式写入，没有任何磁盘寻址的开销；文件过大时，不会影响客户端读写；适合做灾难性的误删除的紧急恢复。AOF的缺点：AOF日志文件比RDB数据快照文件更大，支持写QPS比RDB支持的写QPS低；比RDB脆弱，容易有bug。 42题 对于Redis而言，命令的原子性指的是：一个操作的不可以再分，操作要么执行，要么不执行。Redis的操作之所以是原子性的，是因为Redis是单线程的。而在程序中执行多个Redis命令并非是原子性的，这也和普通数据库的表现是一样的，可以用incr或者使用Redis的事务，或者使用Redis+Lua的方式实现。对Redis来说，执行get、set以及eval等API，都是一个一个的任务，这些任务都会由Redis的线程去负责执行，任务要么执行成功，要么执行失败，这就是Redis的命令是原子性的原因。 41题 (1)twemproxy,使用方式简单（相对redis只需修改连接端口），对旧项目扩展的首选。(2)codis,目前用的最多的集群方案，基本和twemproxy一致的效果，但它支持在节点数改变情况下，旧节点数据可恢复到新hash节点。(3)redis cluster3.0自带的集群，特点在于他的分布式算法不是一致性hash,而是hash槽的概念，以及自身支持节点设置从节点。(4)在业务代码层实现，起几个毫无关联的redis实例，在代码层，对key进行hash计算，然后去对应的redis实例操作数据。这种方式对hash层代码要求比较高，考虑部分包括，节点失效后的代替算法方案，数据震荡后的自动脚本恢复，实例的监控，等等。 40题 (1) Master最好不要做任何持久化工作，如RDB内存快照和AOF日志文件 (2) 如果数据比较重要，某个Slave开启AOF备份数据，策略设置为每秒同步一次 (3) 为了主从复制的速度和连接的稳定性，Master和Slave最好在同一个局域网内 (4) 尽量避免在压力很大的主库上增加从库 (5) 主从复制不要用图状结构，用单向链表结构更为稳定，即：Master <- Slave1 <- Slave2 <- Slave3...这样的结构方便解决单点故障问题，实现Slave对Master的替换。如果Master挂了，可以立刻启用Slave1做Master，其他不变。 39题 比如订单管理，热数据：3个月内的订单数据，查询实时性较高;温数据：3个月 ~ 12个月前的订单数据，查询频率不高;冷数据：1年前的订单数据，几乎不会查询，只有偶尔的查询需求。热数据使用mysql进行存储，需要分库分表;温数据可以存储在ES中，利用搜索引擎的特性基本上也可以做到比较快的查询;冷数据可以存放到Hive中。从存储形式来说，一般情况冷数据存储在磁带、光盘，热数据一般存放在SSD中，存取速度快，而温数据可以存放在7200转的硬盘。 38题 当访问量剧增、服务出现问题（如响应时间慢或不响应）或非核心服务影响到核心流程的性能时，仍然需要保证服务还是可用的，即使是有损服务。系统可以根据一些关键数据进行自动降级，也可以配置开关实现人工降级。降级的最终目的是保证核心服务可用，即使是有损的。而且有些服务是无法降级的（如加入购物车、结算）。 37题 分层架构设计，有一条准则：站点层、服务层要做到无数据无状态，这样才能任意的加节点水平扩展，数据和状态尽量存储到后端的数据存储服务，例如数据库服务或者缓存服务。显然进程内缓存违背了这一原则。 36题 更新数据的时候，根据数据的唯一标识，将操作路由之后，发送到一个 jvm 内部队列中。读取数据的时候，如果发现数据不在缓存中，那么将重新读取数据+更新缓存的操作，根据唯一标识路由之后，也发送同一个 jvm 内部队列中。一个队列对应一个工作线程，每个工作线程串行拿到对应的操作，然后一条一条的执行。 35题 redis分布式锁加锁过程：通过setnx向特定的key写入一个随机值，并同时设置失效时间，写值成功既加锁成功；redis分布式锁解锁过程：匹配随机值，删除redis上的特点key数据，要保证获取数据、判断一致以及删除数据三个操作是原子的，为保证原子性一般使用lua脚本实现；在此基础上进一步优化的话，考虑使用心跳检测对锁的有效期进行续期，同时基于redis的发布订阅优雅的实现阻塞式加锁。 34题 volatile-lru：当内存不足以容纳写入数据时，从已设置过期时间的数据集中挑选最近最少使用的数据淘汰。 volatile-ttl：当内存不足以容纳写入数据时，从已设置过期时间的数据集中挑选将要过期的数据淘汰。 volatile-random：当内存不足以容纳写入数据时，从已设置过期时间的数据集中任意选择数据淘汰。 allkeys-lru：当内存不足以容纳写入数据时，从数据集中挑选最近最少使用的数据淘汰。 allkeys-random：当内存不足以容纳写入数据时，从数据集中任意选择数据淘汰。 noeviction：禁止驱逐数据，当内存使用达到阈值的时候，所有引起申请内存的命令会报错。 33题 定时过期：每个设置过期时间的key都需要创建一个定时器，到过期时间就会立即清除。该策略可以立即清除过期的数据，对内存很友好；但是会占用大量的CPU资源去处理过期的数据，从而影响缓存的响应时间和吞吐量。 惰性过期：只有当访问一个key时，才会判断该key是否已过期，过期则清除。该策略可以最大化地节省CPU资源，却对内存非常不友好。极端情况可能出现大量的过期key没有再次被访问，从而不会被清除，占用大量内存。 定期过期：每隔一定的时间，会扫描一定数量的数据库的expires字典中一定数量的key，并清除其中已过期的key。该策略是前两者的一个折中方案。通过调整定时扫描的时间间隔和每次扫描的限定耗时，可以在不同情况下使得CPU和内存资源达到最优的平衡效果。 32题 缓存击穿，一个存在的key，在缓存过期的一刻，同时有大量的请求，这些请求都会击穿到DB，造成瞬时DB请求量大、压力骤增。如何避免：在访问key之前，采用SETNX（set if not exists）来设置另一个短期key来锁住当前key的访问，访问结束再删除该短期key。 31题 缓存雪崩，是指在某一个时间段，缓存集中过期失效。大量的key设置了相同的过期时间，导致在缓存在同一时刻全部失效，造成瞬时DB请求量大、压力骤增，引起雪崩。而缓存服务器某个节点宕机或断网，对数据库服务器造成的压力是不可预知的，很有可能瞬间就把数据库压垮。如何避免：1.redis高可用，搭建redis集群。2.限流降级，在缓存失效后，通过加锁或者队列来控制读数据库写缓存的线程数量。3.数据预热，在即将发生大并发访问前手动触发加载缓存不同的key，设置不同的过期时间。 30题 缓存穿透，是指查询一个数据库一定不存在的数据。正常的使用缓存流程大致是，数据查询先进行缓存查询，如果key不存在或者key已经过期，再对数据库进行查询，并把查询到的对象，放进缓存。如果数据库查询对象为空，则不放进缓存。一些恶意的请求会故意查询不存在的 key，请求量很大，对数据库造成压力，甚至压垮数据库。 如何避免：1：对查询结果为空的情况也进行缓存，缓存时间设置短一点，或者该 key 对应的数据 insert 了之后清理缓存。2：对一定不存在的 key 进行过滤。可以把所有的可能存在的 key 放到一个大的 Bitmap 中，查询时通过该 bitmap 过滤。 29题 1.memcached 所有的值均是简单的字符串，redis 作为其替代者，支持更为丰富的数据类型。 2.redis 的速度比 memcached 快很多。 3.redis 可以持久化其数据。 4.Redis支持数据的备份，即master-slave模式的数据备份。 5.Redis采用VM机制。 6.value大小：redis最大可以达到1GB，而memcache只有1MB。 28题 Spring Boot 推荐使用 Java 配置而非 XML 配置，但是 Spring Boot 中也可以使用 XML 配置，通过spring提供的@ImportResource来加载xml配置。例如：@ImportResource({"classpath:some-context.xml","classpath:another-context.xml"}) 27题 Spring像一个大家族，有众多衍生产品例如Spring Boot，Spring Security等等，但他们的基础都是Spring的IOC和AOP，IOC提供了依赖注入的容器，而AOP解决了面向切面的编程，然后在此两者的基础上实现了其他衍生产品的高级功能。Spring MVC是基于Servlet的一个MVC框架，主要解决WEB开发的问题，因为 Spring的配置非常复杂，各种xml，properties处理起来比较繁琐。Spring Boot遵循约定优于配置，极大降低了Spring使用门槛，又有着Spring原本灵活强大的功能。总结：Spring MVC和Spring Boot都属于Spring，Spring MVC是基于Spring的一个MVC框架，而Spring Boot是基于Spring的一套快速开发整合包。 26题 YAML 是 "YAML Ain't a Markup Language"（YAML 不是一种标记语言）的递归缩写。YAML 的配置文件后缀为 .yml，是一种人类可读的数据序列化语言，可以简单表达清单、散列表，标量等数据形态。它通常用于配置文件，与属性文件相比，YAML文件就更加结构化，而且更少混淆。可以看出YAML具有分层配置数据。 25题 Spring Boot有3种热部署方式： 1.使用springloaded配置pom.xml文件，使用mvn spring-boot:run启动。 2.使用springloaded本地加载启动，配置jvm参数-javaagent:<jar包地址> -noverify。 3.使用devtools工具包，操作简单，但是每次需要重新部署。 用