阿里云认证

阿里云结合自身弹性计算平台的特点，以及强大的技术优势，提供的一套软件负载均衡解决方案，以更好的满足弹性计算平台负载均衡的需求。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

一种对流量进行按需分发的服务，通过将流量分发到不同的后端服务器来扩展应用系统的吞吐能力，并且可以消除系统中的单点故障，提升应用系统的可用性。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。

A. 部署云计算应用时有统一的操作规范，操作过程可追溯 B. 制定良好的开发规范和测试规范，有完整的软件交付验收流程

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

A. 内部网络用户/服务器内部的攻击 B. 传送已感染病毒的软件和文件 D. 数据驱动型的攻击以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

B. 专有网络 VPC 的管理控制台 D. 阿里云 VPC 的 OpenAPI。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

A. 无需购买硬件网络设备可以实现基本的网络设置 B. 可以按需配置网络设置 D. 管理操作及配置实时生效以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

在整体的云上安全架构中，用户的账户安全涵盖了所有层面。 • 云上用户的账户安全主要体现在五个方面，包括身份认证（Authentication）、 访问授权（Authorization）、账号管理（Account）、操作审计（Audit）和应用 管理（Application），即账户安全中的 5A 要素。

• 一个云服务或云产品可能提供了 5A 中的多个维度能力。 用户账户安全包括以下四个方面：

a) 身份认证 通过凭证信息认证用户的真实身份，通常指通过登录密码或访问密钥 AK 来进行认 证。 • 账号密码认证：使用主账号或 RAM 用户的密码登录阿里云控制台并对云上资源 进行操作。 • Access Key（AK）认证：Access Key（AK）是用户调用云服务 API 的身份凭证， 用于在用户通过 API 访问阿里云资源时对用户身份进行认证。AK ID 用于标识用 户，AK Secret 用来验证用户身份的合法性。不建议用户为其云账号（即主账号） 创建 AK 凭证。 • STS 认证：为 RAM 用户、阿里云服务、身份提供商等受信实体提供短期访问资 源的权限凭证。 • MFA 认证：在用户名和密码之外再额外增加一层安全保护。启用 MFA 后，用户 登录阿里云时，系统将要求输入用户名和密码（第一安全要素），然后要求输入 来自其 MFA 设备的可变验证码（第二安全要素），支持基于软件的虚拟 MFA 设 备。 • SSO 认证：支持基于 SAML2.0 的单点登录，支持使用企业自有身份系统的登录 服务登录访问阿里云。 • SSH 密钥对：将公钥配置在 Linux 实例中，在本地或者另外一个实例中，可以 使用私钥通过 SSH 命令或相关工具登录之前有公钥配置的实例，而不需要输入 密码。

b) 账号管理和访问授权 • 阿里云账号和 RAM：用户管理与资源访问权限控制服务，RAM 使得一个阿里主 账号可拥有多个独立的子用户（RAM 用户）。 • RAM 用户：云账号下为企业员工、系统或应用程序创建独立的 RAM 用户账号。 • RAM 角色：解决跨云帐号的资源授权、不同云服务之间的资源访问授权、给移 动 App 颁发临时授权令牌、进行角色 SSO 登录等场景。 • 资源目录（Resource Directory）：面向企业客户提供的一套基于多账号的分级 管理服务。

c) 操作审计 • ActionTrail：提供统一的云资源操作日志管理，记录云账号下的用户登录及资源 访问操作。 • 堡垒机：集中运维身份鉴别、账号管控、系统操作审计等多种功能，基于协议正 向代理实现。

d) 应用管理 • 应用身份服务：集中式身份管理服务，提供统一的应用门户、用户目录、单点登 录、集中授权、以及行为审计等中台服务。整合部署在本地或云端的系统，实现 一个账号打通所有应用服务。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

a) 应用环境安全

• 漏洞扫描：自动发现其网站的关联资产，并进行高效精准的自动化漏洞渗透测 试和敏感内容监测，形成专业的风险扫描报告，并提出修复建议。

• 代码托管：云效服务提供了存放源代码等内容的 Git 库，并提供了严格的权限控 制机制。

• 代码审计：在云产品安全生命周期（SPLC）中，阿里云的安全专家在各个开发 节点中都会严格审核和评估代码的安全性，代码审计服务检查源代码中的缺点 和错误信息，分析并找到这些问题引发的安全漏洞并提供代码修订措施和建议。

• 安全加固：在获得客户授权委托的情况下，远程登录到客户的业务系统服务器 上，根据用户的资产情况和安全需求，对其外网或内网主机进行全方位的基线 加固和组件升级。

b) 应用配置安全 • ACM 配置加密：利用 ACM，用户可以在微服务、DevOps、大数据等场景下极 大减轻配置管理的工作量，并增强配置管理的服务能力。ACM 提供了创建加密 配置的功能，降低用户配置的泄露风险。

c) 应用保护 • WAF：基于云安全大数据和智能计算能力，通过防御 SQL 注入、XSS 跨站脚本、 常见 Web 服务器插件漏洞、木马上传、非授权核心资源访问等 OWASP 常见 web 攻击，过滤海量恶意访问，避免网站资产数据泄露；AI 深度学习在降低误 报率的同时有效地提高了检出率；基于用户业务访问端上的模型收集和大数据 分析能力准实时处理高危请求；提供自动报警和全局响应规则的同步下发和升 级功能。

5) 用户业务安全 对于用户的不同业务场景，阿里云也提供了相对应的安全能力。在业务安全层面， 阿里云为用户提供了身份认证、内容检测和业务风控的三个维度的安全功能。

a) 身份验证 • 实人认证：依托活体检测、人脸比对等生物识别技术、证件 OCR 识别技术等进 行的自然人真实身份的核验服务。

b) 内容检测 • 内容安全：基于深度学习技术及阿里巴巴多年的海量数据支撑，内容安全服务 提供图片、视频，文字等多媒体的内容风险智能识别服务，帮助用户降低色情、 暴恐、涉政等违规风险，大幅度降低人工审核成本。

c) 业务风控 • 风险识别：基于大数据、机器学习算法、流式计算等阿里巴巴的业务风控最佳 实践，为用户提供从 API 服务、到决策引擎平台的一站式智能风控解决方案， 解决企业类客户在用户注册、运营活动、交易、信贷审核等关键业务中面临的 欺诈问题。

• 爬虫风险管理：有效降低和解决外部恶意自动化工具对用户网站的业务影响， 主要防护场景包括航空占座、电商黄牛、恶意撞库、核心接口被刷、刷票刷积分 等。提供对 Web 网页端/H5 页面/APP/API 全方位防护，并通过云端共享海量 的威胁情报做到对爬虫类攻击的快速响应。

• 游戏盾：对大流量 DDoS 攻击（T 级别）进行有效防御外，还彻底解决游戏行业 特有的 TCP 协议资源耗尽型攻击（L4-CC 攻击）问题能力。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

让阿里云的安全监控和运营能力输出到用户的业务层面。

• 用户需要云平台为其提供相应的安全监控和运营能力，使得用户可以做到感知 安全态势，监控其云资源的配置安全正确性，对云上日志进行完整的监控。 • 在适宜的情况下针对客户整体业务环境的进行安全测试、响应和咨询服务。 用户安全监控和运营包括以下五方面：

a) 威胁检测和响应 • 云安全中心：实时识别分析、预警安全威胁的统一安全管理系统，基于威胁情 报的威胁检测能力，实现威胁检测、响应、溯源的自动化安全运营闭环。 • 应急响应：帮助用户正确应对黑客入侵事件，清理木马后门、分析入侵原因，降 低安全事件带来的损失，并帮助客户快速恢复业务。

b) 配置检查 • 配置审计：面向云上资源的审计服务，为用户提供跨区域的资源清单和检索能 力，记录资源的历史配置快照，形成配置时间线。 • 云安全中心：对主机进行安全配置扫描，包括账号安全、系统配置数据库风险、 合规对标要求等方面。对云平台配置检查，包括身份认证、网络访问控制、数据 安全、日志审计、基础安全防护五个维度的最佳安全配置实践检测。

c) 日志审计 • 日志监控：日志服务产品提供了各个云产品日志的实时采集和消费，查询和实 时分析，以及投递数据仓库、三方 SIEM 的全栈功能，可以使用户对不同的日志 实时进行监控和审计。 • 平台侧操作日志透明化：部分云产品（如 OSS）对用户提供了平台侧的内部操 作透明化能力，让阿里云的相关内部操作事件对用户可见透明，使得用户可以 对云平台内部操作事件也可以进行审计监控等操作。

d) 安全测试 • 渗透测试：以攻击者思维，模拟黑客对业务系统进行全面深入安全测试，帮助 企业用户挖掘出正常业务流程中的安全缺陷和漏洞，助力企业先于黑客发现安 全风险。 • 安全众测：借助三方白帽子和阿里巴巴应急中心安全专家资源和能力，为企业 客户提供私密的安全众测服务，可帮助企业全面发现业务漏洞及风险，按效果 付费。

e) 安全咨询 • 安全管家：安全代为托管服务，为企业客户提供定制的安全防护策略优化、重 大活动保障、人工值守等评估和咨询服务，并为客户业务环境进行实时监控检 测、加固指导、漏洞管理、应急响应等全方位安全保障工作。 • 等保咨询：联合阿里云在各地的等保咨询合作机构，提供等保 2.0 测评的专业 咨询，帮助客户更快地完成等保整改和测评工作。 • PCI-DSS 合规咨询：联合产业内有完整 PCI 资质的合作伙伴，提供咨询指导、弱 点扫描、安全评估等 PCI-DSS 合规咨询服务。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

A. 专线连接 B. VPN C. 智能接入网关 D. 云企业网以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

云平台安全主要包括以下五方面： a) 物理安全 • 满足 GB 50174《电子信息机房设计规范》A 类和 TIA942《数据中心机房通信基 础设施标准》中 T3+标准。 • 机房容灾：热和烟雾传感器/双路市电电源和冗余的电力系统/精密空调。 • 人员管理：访问管理/账号管理和身份认证/遵循最小权限和职责分离原则。 • 运维审计：安防监控/7*24 小时巡逻/专人定期复核/日志不可删除。 • 数据销毁：数据安全擦除/云服务客户数据处置。 • 网络隔离：网络安全隔离。

b) 硬件安全 • 固件安全：对底层硬件固件进行加固，包括硬件固件基线扫描、高性能 GPU 实 例保护、BIOS 固件验签、BMC 固件保护。 • 加密计算：硬件可信执行环境，提供基于硬件的高等级的数据保护能力。 • 可信计算：系统可信和应用可信/基于 TPM 2.0 的可信计算技术。

c) 虚拟化安全 • 租户隔离：计算隔离（使用物理处理器权限级别强制执行）、存储隔离（虚拟机 只能访问分配给它的物理磁盘空间）、网络隔离。 • 安全加固：减少虚拟化管理程序中可能的被攻击面/可信计算技术/虚拟化管理 程序和宿主机 OS/内核级安全加固。 • 逃逸检测：高级虚拟机布局算法/虚拟机异常行为检测。 • 补丁热修复：不需要用户重启系统。 • 数据清零：可靠的进行数字清零。

d) 身份和访问控制 • 身份管理：账号生命周期管理/一人一账号/公私数据分离。 • 密码管理：集中下发密码策略。 • 权限管理：根据业务需要合理分配权限/未使用的权限自动冻结/离职/转岗用户 自动冻结账号/回收权限。

e) 安全监控和运营 • 云产品安全生命周期：在产品架构审核、开发、测试审核、应急响应的各个环节 层层把关/每个节点都有完整的安全审核机制。 • 云平台安全监控：及时发现平台自身被恶意攻击的安全事件/发现安全事件之后， 触发云平台内部应急响应流程。 • 蓝军渗透测试：周期实战性质的攻防对抗/检验阿里云安全防御能力、威胁检测 能力的水位/完善平台防御体系。 • 安全应急响应：内部监控发现/外部上报的漏洞和安全事件。 • 变更管理：完整的变更管理流程

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

用户基础安全就像地基，为上层业务安全提供了坚实的基础。

• 基础安全包括用户使用的最主要的计算资源和连通计算资源的网络方面的安全 防护和隔离。

• 云上应用和业务通过上层云服务构建和运行于计算（包括云主机和容器）和网 络服务的基础模块之上。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

云平台安全 云平台安全是阿里云作为云平台默认提供的基础安全能力。 • 云平台内部身份与访问控制以及云平台安全监控运营是云平台内部自身的安全 管理和运营，客户不直接感知。 • 物理安全、硬件安全和虚拟化安全层面，客户无需任何设置即可享受阿里云本 身的高安全等级能力。 • 云产品安全包含了云平台在各个产品中提供的安全能力和安全保障： 部分能力（如租户隔离）是产品本身默认的保障。 部分能力（如数据加密）是产品提供能力的同时需要客户的开启和正确设置。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

a) 数据保护

• 数据分类：自动扫描和发现授权范围内的新增实例/库/表/列、对象存储文件桶 /文件对象等不同级别数据信息。通过关键字、规则、机器学习模型算法，精准 识别云环境内的敏感数据，实现云上数据基于业务内容的分类以及基于敏感程 度的分级。

• 数据脱敏：提供 Hash、加密、遮盖、替换、洗牌、变换等六大类近 30 种内置 脱敏算法，脱敏后的数据无需改变相应的业务系统逻辑，保留原有数据特征和 分布，确保数据的有效性和可用性。

• 数据防泄露：加强对数据的权限控制的完整度和数据使用中的监控和检测能力。 对云上存储产品和传输产品权限的有效管控，对用户数据的流转和操作过程有 全面的监控和检测能力，及时发现数据使用中可能的异常行为。

• 数据完整性：在数据传输和存储层面，提供全链路数据校验功能，定期对存储 介质中的数据进行完整性扫描，确保数据传输和存储过程中的数据可靠性需求。

• 数据高可用：多副本、系统备份、故障热迁移、负载均衡、DDoS 防御等多重保 护，保证用户在使用数据时的高可用性。

b) 全链路加密

• 传输加密：云产品为用户访问数据提供了 SSL/TLS 协议来保证数据传输的安全 （阿里云控制台、阿里云产品 API 访问点），网关产品提供传输链路的加密功 能（VPN 网关、SAG）。

• 存储加密：云产品（EBS、OSS、RDS、OTS、NAS、MaxCompute 等）落盘存 储加密，统一使用阿里云密钥管理服务 KMS 进行密钥管理。

• 加密计算：Intel SGX 可信执行环境。

• 加密服务：使用经国家密码管理局检测认证的硬件密码机，实现对加密密钥的 完全控制和进行加解密操作。

• SSL 证书服务：签发第三方知名 CA 证书颁发机构的 SSL 证书，实现网站 HTTPS 化。

c) 密钥管理 • 托管 HSM：支持将密钥托管在硬件安全模块 HSM 之中，利用 HSM 进行密码运 算和安全托管等功能。

• 自选密钥：通过在支持的云产品中选择自己创建或上传用户主密钥 CMK 到 KMS 中，并直接管理自选密钥的生命周期。

• 密钥轮转：KMS 支持通过配置的方式对用户主密钥进行自动轮转。自动轮转允 许用户主密钥下周期性产生新的密钥版本作为加密密钥。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

1) 客户负责：上层业务系统 业务数据、应用系统、云服务器 ECS、网络策略

2) 阿里云负责：数据中心基础设施 • 基础设施：地域（Region）、可用区（AZ）、阿里 ABTN 网络。 • 物理资源：计算、存储、网络。 • 资源抽象和控制：飞天分布式云操作系统、资源虚拟化层。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 横向维度：包括从最底层的云平台层面安全，到对外租户层面的基础安全、数 据安全、应用安全和业务安全。 • 纵向维度：包括租户侧和云平台侧的账户安全（身份和访问控制）以及安全监 控和运营管理。 以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

1) 安全合规 • 等保四级 • 云服务安全审查（增强级） • CNAS 云测评大满贯 • ISO 9001/27001 • ISO 27017/27018 • ISO 20000-1：2011 • ISO 22301 • PCI DSS • SOC 1| SOC 2 | SOC 3 • TRUSTe • CSA STAR • C5 • GDPR • HKMA • ……

2) 安全解决方案 • 企业上云安全建设解决方案 • 等保合规安全解决方案 • DDoS 攻击防护方案 • 互联网安全解决方案 • 新零售安全解决方案 • 游戏安全解决方案 • 政务云安全解决方案 • 混合云安全方案 • 金融风控方案 • ……

3) 安全核心能力及产品 • 账户安全 • 基础安全 • 业务安全 • 数据安全 • 安全服务及运营 • 应用安全以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

1) 全球认可 据 IDC 报告，阿里云在安全上的整体能力和市场份额领先。

2) 数据驱动 • 服务器恶意软件：2000 万 • 入侵检测模型：400 个 • 机器学习模型：2500 个 • 图计算：千亿级 • 日均攻击防御：60 亿次 • 日均有害传播拦截：20 亿次

3) 默认安全 阿里云将安全性能内嵌到基础架构中，安全能力与各个云产品进行融合，并采用安 全开发流程保证云产品代码安全，用户可得到内生的默认安全保护。

4) 原生安全 • 支持数据默认加密 • 用户自主管理密钥 • DDoS、Web 攻击及入侵防御服务 • 云上网络管控和完整纵深防御体系 • 统一身份权限管理和应用访问控制

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• VPC 内网路由：目前 VPC 有多个路由表，且用户路由表和系统路由表分离，可 以支持比较多的路由条目的设置（最早只有 48 条），但虚拟路由表暂时还只支 持静态路由，不支持动态路由。 • VPC 互连：对等连接/云企业网/VPN 网关连接两个 VPC； • 物理专线/VPN/云企业网/SD-WAN 连接专有网络和本地网络。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

a) 网络 ACL • 专有网络已经有独立的访问控制策略，在网络 ACL 页面。 • 可以自定义网络 ACL 规则，并将网络 ACL 与交换机绑定，从而实现对交换机中 ECS 的流量访问控制。 • 过滤已绑定的交换机中的 ECS 流量。 • 出方向/入方向： ü 生效顺序 ü 协议类型 ü 源地址范围 ü 源端口范围 ü 策略（允许/拒绝） ü 类型

b) RDS 白名单 • 基于 RDS 的白名单功能，可定义允许访问 RDS 的 IP 地址，指定之外的 IP 地址 将被拒绝访问。 • 在专有网络中使用 RDS 产品时，需要将云服务器的 IP 地址加入到需要访问的 RDS 的白名单后，云服务器才能访问 RDS 实例。

c) SLB 白名单 • 可以为负载均衡监听设置仅允许哪些 IP 访问，适用于应用只允许特定 IP 访问的场景。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 在创建 VPC 或交换机的时候，都会遇到网段的问题，一般来说，10 网段、172 网段、192 网段都是可以使用的。 • 选择网段要从业务角度出发，如果有多个 VPC，尽量保证各 VPC 之间的网段各 不相同。 • 如果 VPC 内的网段做不到互不相同，也可以在交换机内部保证网段各不相同。 • 目前阿里云已提供网段修改的功能，如果遇到问题可以进行修改。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 即使是使用一个 VPC，也推荐使用两个交换机，且最好在不同的可用区，这主 要是考虑容灾问题，同地域的不同可用区的延迟很低。 • 容灾要保证至少两个交换机，ECS 在两个交换机，RDS、SLB 主备在两个交换机 里，在不增加费用的情况下，尽可能提高系统的可用性。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 需要多地域部署，则要使用多个 VPC。 • 同一地域，系统之间需要强隔离，则为多个 VPC。 • 同一地域，系统之间不需要强隔离，一个 VPC 内可以通过交换机和一些权限配 置进行隔离，而一个 VPC 内可以容纳 15000 个节点。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

a) VPC 连接 VPC • 云企业网：支持将多个不同地域、不同账号的 VPC 连接起来，构建互联网络。 • VPN 网关：通过在两个 VPC 之间创建 IPsec 连接，建立加密通信通道。 • VPC 对等连接：实现两个 VPC 之间私网互通。

b) VPC 连接本地 IDC • 高速通道：通过物理专线接入使 VPC 与本地 IDC 网络互通。 • VPN 网关： ü 通过建立 IPsec-VPN，将本地 IDC 网络和云上 VPC 连接起来。 ü 通过建立 SSL-VPN，将本地客户端远程接入 VPC。 • 云企业网： ü 与本地 IDC 互通：支持将要互通的本地 IDC 关联的边界路由器（VBR）加载 到已创建的云企业网实例，构建互联网络。 ü 多 VPC 与 IDC 互通：支持将要互通的多个网络实例（VPC 和 VBR）加载到 已创建的云企业网实例，构建企业级互联网络。 • 智能接入网关： ü 可实现线下机构（IDC/分支机构/门店等）接入阿里云数据中心，即插即用， 轻松构建混合云。 ü 可实现线下机构之间互通。

c) VPC 连接公网 • ECS 的 PublicIP • 弹性公网 EIP • NAT 网关 • SLB：CLB/ALB

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

弹性公网 IP（Elastic IP Address，简称 EIP），独立的公网 IP 资源，可以绑定到阿里云专有网络 VPC 类型的 ECS、NAT 网关、私网负载均衡 SLB 上，并可以动态解绑，实现公网 IP 和 ECS、NAT 网关、SLB 的解耦，满足灵活管理的要求。

• 灵活：独立的公网 IP 资源，可以灵活地对 ECS、NAT 网关、私网负载均衡 SLB 绑定和解绑。

• 高可用：基于高可用的底层架构实现，无单点故障，并支持跨可用区容灾。

• 低成本：支持按使用流量付费，包年包月价格更优惠。

• 简单：开通即用，带宽变更实时生效。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 路由器（VRouter）可以连接 VPC 内的各个交换机，同时也是连接 VPC 和其他 网络的网关设备。 • 每个专有网络创建成功后，系统会自动创建一个路由器。每个路由器关联一张 路由表。 • 交换机（VSwitch）是组成专有网络的基础网络设备，用来连接不同的云产品实 例，主要是 ECS、SLB、RDS。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 用户可以自定义网络拓扑，包括选择自有 IP 地址范围、划分网段、配置路由表 和网关等。 • 通过专线或 VPN 与原有数据中心连接，云上和云下的资源使用同一个网络地址 规划，实现应用的平滑迁移上云。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

场景 1：高弹性 web 应用服务 • 业务类型 如果弹性 Web 应用服务存在明显的峰谷变化（比如视频应用每天晚上 9 点到 12 点 之间访问量会突增），无需提前准备大量云服务器，只需通过配置弹性伸缩组及合 适的伸缩策略，系统能根据设置的伸缩策略自动地调整（增加或减少）云服务器资 源的数量，在确保 Web 应用稳定提供服务的同时，大大降低系统稳定行的成本。

场景 2：高可用计算集群部署 • 业务类型 如果使用云服务器作为分布式大数据的计算节点，或服务检索服务器的后端计算集 群，该计算集群需要具备高可用性，且能随着负载的变化动态调整的能力。只需通 过配置弹性伸缩的动态伸缩模式，系统会根据指定指标（比如 CPU 使用率）的阈值 自动地增加或减少云服务器的数量；同时，系统还会自动检测云服务器的健康状态， 将不健康的实例移除，并启用新实例，确保该集群的高可用性。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

1) 创建伸缩组 2) 创建伸缩配置 3) 启用伸缩组 4) 创建伸缩规则 5) 创建定时任务 6) 创建报警任务

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 伸缩组：具有相同应用场景的 ECS 的集合。定义组内 ECS 实例数的最大值、最 小值及其相关联的 SLB 和 RDS。 • 伸缩配置：用于弹性伸缩的 ECS 的配置。 • 伸缩规则：具体的扩展或收缩操作，例如加入或移出 N 个 ECS 实例。 • 触发任务：定时任务，报警任务。 • 伸缩活动：伸缩规则成功触发后，就会产生一条伸缩活动。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

专有网络 VPC（Virtual Private Cloud），是基于阿里云构建的一个隔离的网络环境，通过 Overlay 技术，实现专有网络之间逻辑上的彻底隔离。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 2010 年的 5 月，阿里云 ECS 首次对外亮相。

• 2012 年以后，随着计算虚拟化，存储虚拟化等一系列技术的发展，单个物理机 的虚拟化的比例在逐步提高，对网络设备提出了更高的要求，阿里云抛弃了传 统的大二层架构，设计了新的网络虚拟化的技术方案，经过了多年发展和三个 大版本的迭代，形成了今天的阿里云网络，特别是 VPC 网络的基础。

• 2016 年，在虚拟化平台基础上，引入 Overlay 技术（隧道技术），完成了租户 端的租户隔离。

• 2019 年，在多地域部署业务以后，完成了云上的全球互联，云下的 IDC 跟云上 的 VPC 进行互通等。

• 2020 年以后，进入了崭新的阿里云网络 3.0 时代，形成了用户从应用、到云、 到边的一体化网络。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

弹性伸缩 Auto Scaling。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

• 四层健康检查：基于 TCP 连接进行的健康检查。

• 七层健康检查：基于 HTTP 状态码的方式进行健康检查。 四层健康检查和七层健康检查的方式不同，因为： • 在 SLB 中有三类集群：SVL、Tengine 和 Keyserver。

• 当客户发送四层或七层请求，会先到达 SVL 集群，四层请求会直接发送到后端 ECS 上，使客户端和 ECS 形成点对点的长链接。

• 而七层请求会先发送到 Tengine 集群，HTTPS 会进入 keyserver 集群卸载证书， 然后再下发到后端 ECS 上，因此七层请求都是通过 Tengine 转发到 ECS 上，而 无法形成客户端和 ECS 的链接。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

B. 伸缩规则 C. 伸缩配置 D. 伸缩触发任务以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

后端服务器应用采用 HTTP、HTTPSTCP 协议的负载均衡场景。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

不收费。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

HTTP 使用 X-Forward-For 获取源地址；7 层服务可以直接获取，无需额外配置。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

Tengine。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

1. 创建负载均衡 SLB

步骤 1：进入负载均衡 SLB 控制台，选择“实例管理”，单击“创建传统型负载均 衡”。

步骤 2：在实例购买页面，根据需要配置 SLB 实例。 配置内容包括：付费模式、地域和可用区、实例名称、规格、类型、IP 版本、计费 类型、带宽值和计费周期。

步骤 3：单击“立即购买”，提交订单后完成创建。

1. 创建 ECS 进入 ECS 控制台，创建两台相同配置的 ECS。

2. SLB 业务配置 步骤 1：将 2 个 ECS 添加到新创建的 SLB 的后端服务器中。 进入 SLB 控制台，在“实例管理”中找到刚创建好的实例，点击右侧的“添加后端 服务器”。

步骤 2：进入负载均衡业务配置页面。 1) 协议&监听 • 选择负载均衡协议：TCP、UDP、HTTP、HTTPS • 填写监听端口：视频中是 80 端口

2) 后端服务器 • 选择“默认服务器组” • 2 个实例端口与监听端口一致

3) 健康检查：开启健康检查 • 选择健康检查方法：GET、HEAD SLB 配置成功后，SLB 的 80 端口会转发给后端的 2 台 ECS。如果 2 台 ECS 的权重一样，SLB 会依次轮询分发，如果权重设置不一样，则会根据设置的权重值进行轮 询。

1. 创建伸缩组 • 步骤 1：进入弹性伸缩控制台，选择“伸缩组管理”，单击“创建伸缩组”。 • 步骤 2：进入伸缩组配置页面进行配置 • 步骤 3：完成配置后单击“确认”。 • 步骤 4：创建完成后进入伸缩组管理页面，找到新创建的伸缩组并单击“启用”。 后续还可以进行自动触发任务管理，比如：设置定时任务、报警任务等。

参考文档 https://help.aliyun.com/document_detail/25882.htm

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

a) 弹性伸缩在符合各种任务模式下自动伸缩触发任务： • 定时任务：创建定时任务，在指定时间执行指定伸缩规则。 • 自定义任务：手动进行弹性伸缩，包括手动执行伸缩规则，或者手动添加、移出 或者删除已有的 ECS 实例。 • 健康检查任务：如果在伸缩组开启健康检查功能，伸缩组会定期检查 ECS 实例 的运行状态，如果发现一台 ECS 实例未处于运行中状态，则判定该 ECS 实例为 不健康实例并移出。 • 云监控任务：基于云监控性能指标（例如 CPU 使用率）创建报警任务，比如例 如伸缩组内所有 ECS 实例的 CPU 平均值大于 80%时触发报警。 b) 通过 ExecuteScalingRule 接口触发伸缩规则。 c) 创建伸缩活动：根据需要增加的 ECS 实例数量、实例配置信息、需要配置的负 载均衡实例和 RDS 实例创建伸缩活动。 d) 在伸缩活动中，自动创建实例并配置负载均衡和 RDS。 e) 启动伸缩组的冷却功能，待冷却时间完成后，该伸缩组才能接收新的执行伸缩 规则请求。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

弹性伸缩本质上是一组 ECS 实例集合，它可以根据用户指定的扩缩容策略（比如基于某些监控指标），在业务非高峰时，自动完成实例的创建；在业务低谷时，自动释放多余实例，最终实现业务的高可用。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

弹性扩张、弹性收缩、弹性自愈（即健康检查）。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

弹性伸缩（AutoScaling，简称 AS）是一种服务，可以自动调整弹性计算资源（ECS）， 以满足业务需求的变化。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

1) 创建 ECS 2) 搭建应用 3) 创建 SLB 4) 添加监听和后端服务器 5) 域名解析（可选）

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

1) 协议支持 • 四层：支持 TCP/UDP 基于连接做流量调度。TCP 和 UDP 创建一个 socket 访问负载均衡实例，这个源 和目的 IP 和端口就是一个连接。 • 七层：支持 HTTP/HTTPS 基于请求做调度。比如：http get 请求访问一个页面。 云计算 ACP 训练营第 4 天 64 • WS/WSS 协议支持 无需配置，当选用 HTTP 监听时，默认支持无加密版本 WebSocket 协议（WS 协议）。 当选择 HTTPS 监听时，默认支持加密版本的 WebSocket 协议（WSS 协议）。2) 调度算法。• 轮询模式：按照访问顺序依次将外部请求依序分发到后端服务器。 云计算 ACP 训练营第 4 天 65 • 最小连接数模式：根据后端服务器的实际负载（即连接数）进行轮询，当前连接 数越小的后端服务器被轮询到的次数（概率）也越高。 • 加权轮询模式：根据每台后端服务器设定的权重值来进行轮询，权重值越高的 后端服务器，被轮询到的次数（概率）也越高。 3) 会话保持 在会话生命周期内，可以将同一客户端请求转发到同一台后端 ECS 上。 • 四层：同一 IP 地址的请求持续发往一台服务器。 • 七层：相同 cookie 的请求发往一台服务器。使用会话保持有可能导致负载不均衡的情况，因此，另外一个思路是—— 在 SLB 架构中，后端服务器 ECS 一般为无状态，因此，状态数据（与业务相关数据） 尽量不保存在 ECS 中，而是放在 RDS 或者 Redis 缓存，这样也可以保证数据的正常 运行。4) 健康检查 SLB 通过健康检查来判断后端服务器（ECS 实例）的业务可用性。健康检查机制避 免了后端 ECS 异常对总体服务的影响，提高了前端业务整体可用性。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

阿里云负载均衡 SLB 分为两类：应用型负载均衡 ALB 和传统型负载均衡 CLB。1) 应用型负载均衡 ALB a) 产品定位 • 强大的七层负载均衡处理能力与丰富的高级路由功能。 • 聚焦 HTTP、HTTPS 和 QUIC 应用层协议。 • 面向应用交付。 云计算 ACP 训练营第 4 天 62 b) 产品性能 基于 NFV 虚拟化平台，支持弹性伸缩，单实例每秒查询数 QPS（Query Per Second）可达 100 万次。 c) 可用性承诺：99.995% d) 运维方式 处理能力随业务规模自动弹性伸缩，无需进行峰值与规格预估。 e) 云原生支持 阿里云官方云原生 Ingress 网关，支持流量拆分、镜像、灰度发布和蓝绿测试的 负载均衡能力。 f) 典型应用场景 • 互联网应用七层高性能自动弹性负载均衡场景。 • 音视频应用大流量低时延负载均衡场景。 • 云原生应用金丝雀蓝绿发布负载均衡场景。 g) 同时 ALB 提供基于内容的高级路由特性 例如基于 HTTP 报头、Cookie 和查询字符串进行转发、重定向和重写等。 2) 传统型负载均衡 CLB a) 产品定位 • 强大的四层负载均衡处理能力，以及基础的七层处理能力； • 支持 TCP/UDP/HTTP/HTTPS 等协议； • 主要面向网络交付； b) 产品性能 基于物理机架构，单实例连接数可达 500 万。 c) 可用性承诺：99.95% d) 运维方式 按规格售卖，需要根据业务规模预估带宽峰值。 e) 云原生支持 支持云原生业务场景，与阿里云 ACK/ASK 等容器服务结合使用。 f) 典型应用场景 • 网站/系统同地域高可靠负载均衡场景。 • 四层流量大并发业务负载均衡场景。 • 城双活/跨地域容灾负载均衡场景。以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

1) 负载均衡 SLB（Server Load Balancer） 一种对流量进行按需分发的服务，通过将流量分发到不同的后端服务器来扩展应用 系统的吞吐能力，并且可以消除系统中的单点故障，提升应用系统的可用性。

2) 阿里云 SLB 阿里云结合自身弹性计算平台的特点，以及强大的技术优势，提供的一套软件负载 均衡解决方案，以更好的满足弹性计算平台负载均衡的需求。

3) 什么情况下使用 SLB？ • 当单台云服务器不能满足需求的时候。 • 使用多台云服务器进行流量分发，提升服务能力。 • 使用多台云服务器消除单点故障，提升可用性。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

随着业务访问量和数据流量的日益增加，传统单一服务器已经无法承担，而升级单 一服务器硬件会带来成本的增加、资源的浪费、以及扩展能力不足等问题。 而更有效的方式，是将单一服务器的计算任务，分担到多台低配置服务器上进行处 理，这就产生了负载均衡设备，用户将业务请求发送到负载均衡设备，再由负载均 衡设备按需分发到后端服务器，在基本不改变网络架构的基础上，扩展了网络设备 接入能力。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版