妙正灰
TA的个人档案
浙江卓见云解决方案工程师,负责为企业规划上云迁移方案和云上架构设计,在网站建设开发和云计算领域有多年经验,专注于Linux平台的系统维护以及应用部署。致力于以场景化的方式让云计算,用更加通俗易懂的方式让更多人体验云计算,让云端的计算更质朴的落地。
暂时未有相关通用技术能力~
阿里云技能认证
详细说明背景 7月17日,国家互联网应急中心发布的《2018年中国互联网网络安全报告》显示: 近年来,云作为互联网基础设施在我国迅速发展,越来越多的业务场景逐步向云端迁移。在当前云服务使用过程中,云服务商和云用户对云的安全性(即避免危害云的网络攻击)和可控性(即避免利用云发起网络攻击)关注较少。 根据CNCERT/CC监测数据显示: 2018年11-12月,在安全性方面,虽然境内云IP地址感染木马或僵尸网络的概率较低,但是由于云上承载的服务越来越多、越来越重要,在其他攻击方面境内云则成为攻击的重灾区;在可控性方面,由于云服务获得的便捷性和低成本,越来越多的黑客倾向于利用云主机进行网络攻击。因此,云服务商和云用户应加大对网络安全的重视和投入,分工协作构建网络安全纵深检测防御体系,保障云的安全性和可控性,共同维护网络空间安全。 中国最大的云计算平台不带之一的阿里云在IDC报告中2018年下半年,阿里云在国内基础设施及服务占比高达42.9%,由于基数很大,因此阿里云上的用户也承受了国内公有云一半以上的攻击,下图是根据 威胁猎人 的报告绘制的,2018年上半年黑灰产对公有云的攻击次数中阿里云占比超过了55.32%。 即便是比例并不大,但是阿里云上也存在部分服务器被劫持为肉鸡的情况对外发送攻击,因此也会出现如下图的情况: 甚至有客户还会怀疑是不是阿里云想让我购买高昂的云安全类产品因此主动攻击我?当然了其实这种论调在各个云平台都有发生。 介绍 只要是暴露在公网上的业务就有可能成为被攻击的对象,因此我们需要积极的构建云上安全体系进行防御常见的安全攻击,同时也要保障自己的云产品不被劫持为肉鸡对外发送攻击加重互联网安全态势。 其实攻击者视角是来自方方面面的,360°无死角的盯着咱们的业务进行攻击,而安全又是一个典型的木桶的短板模型,即便其他的安全措施做的再好,只要存在一个明显的安全短板,就会导致整个业务系统的不安全。而防守者视角往往是单一的,通常是见招拆招式的的,甚至有些时候当安全事件已经发生了,很多人都无法及时做出对安全事件的反应。 这是我根据阿里云安全团队安全三步走的基础上修改来的云上安全体系构建路线图,本文我们重点聚焦云上安全第0步——安全基础建设。因为很多云上用户在没有做好第0步的时候就开始购买一些第一二步云安全产品,就会出现木桶短板效应,花费了高昂的费用却没有起到响应的安全作用。 边界安全 专有网络 专有网络VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境。每个专有网络(也就是每个VPC)之间逻辑上彻底隔离。 专有网络是网络容器专有网络VPC是一个网络容器,用户可以免费开通,开通后再在这个容器中“放置”需要的云产品基本组件包含路由器和交换机。 专有网络是用户私有的专有网络VPC是用户私有的,和其它VPC默认都是隔离的,和经典网络也是隔离的。 专有网络是用户在云上具备网络管理能力的基础使用专有网络VPC,用户可以自主进行网络规划,比如自定义网段,划分子网,管理路由,管理公网出入等等。 相较于早期的经典网络,专有网络拥有更佳丰富的网络化产品和自定义性的同时,也更安全可靠,早期的经典网络是一张大内网,不用的阿里云用户同一地域即在同一内网内,隔离性极差。 同时在专有网络下可以使用EIP、NAT网关等产品,当服务器遇到攻击后,通过弹性公网IP(EIP)产品可以快速的变更服务器IP防止一些基于IP的定向攻击。一些用户遇到攻击后再购买高防IP、Web应用防火墙等产品会发现并不起作用,很大原因是因为服务器源站IP并没有进行及时修改,即便使用了安全产品,攻击者依旧知道最终的源站服务器IP是多少。 下面是VPC的宣传视频: 扩展阅读: VPC帮助文档 | VPC最佳实践 安全组 安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 如果将咱们的服务器比作一个学校的话,这座学校一开始没有围墙,学校师生可以任意出入,其他人员也可以自由出入学校,这样学校就容易出现一些危险人员(病毒、攻击)进入学校进行破坏。因此我们就需要建立一个围墙,这就是我们的安全组开启后不开放任何端口的情况。 这时候我们需要开放一些出入口方便师生上下学,因此便会设立学校的大门,这就是我们对外开放的端口(80端口、443端口),一些重要的端口例如校长办公室(22端口),我们需要更严格的措施,即需要核对人员身份,及只有对应的IP才能访问该端口。 很多用户早期往往为了方便会开放全部协议并向全部端口即0.0.0.0/0开放,这严重违背了安全组的初衷。 安全组作为一个提供中文界面的图形化防火墙产品,已经大大降低了我们使用防火墙的成本,像 iptables、FireWallD 其实对新手来说命令行还是英文的就很难学。 例如在云上非常常见的例用 Redis 未授权访问漏洞进行加密勒索的事件,如果我们及时的通过安全组限制 Redis 被公网访问的情况就可以很好的避免相关安全事件的发生。 针对安全组,我们仅开启80、443这样的通用端口向用户进行开发,针对22、3389等端口应当仅面向自己或者公司网络的固定IP开放。 下面视频是安全组的宣传视频: 扩展阅读: 安全组帮助文档 | 安全组最佳实践 | 操作视频 访问控制 访问控制RAM提供非常丰富的阿里云上的服务和资源的管理能力: 使用RAM,您可以创建、管理RAM用户(比如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。 很多用户在使用RAM子账号的时候往往会创建一个子帐后拥有管理一整个大产品的权限,这样虽然方便却留下了非常大的隐患。 例如这里就为了图方便将整个OSS的访问管理能力开放给子账户,特别是一些代码解释型语言填写到 config 的AccessKey 和 AccessKeySecrt 就有可以会暴露,这样的话当我们OSS上部署了多个Bukcet后,就有可能会被非法利用,导致文件被删除或者被下载的情况。 同样的,还有部分云上用户会开放测试账号给一些外包的运维部署人员,为图方便会创建非常简单的密码对外提供,或者部署完成后没有及时的回收并删除账号。 我就遇到过一个朋友因为这样,导致了ECS服务器被充值系统盘并删除了所有快照。 扩展阅读: 访问控制帮助文档| 访问控制最佳实践 | 访问控制视频教程 操作审计 操作审计(ActionTrail)会记录您的云账户资源操作,提供操作记录查询,并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。利用ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更追踪以及合规性审计。 操作审计是一款开箱即用的产品,在不创建追踪日志存储到OSS的情况下最多可以查看近30天的用户操作审计日志。 如上图可见,当我操作了更新 AccessKey 后就立马有了响应的日志,包括事件源、事件时间、源IP等信息,可以让我们很好的进行操作的溯源审计,满足安全合规的需求。 扩展阅读: 操作审计帮助文档 | 操作审计最佳实践 数据安全 很多用户都觉得上了云之后那么阿里云便会全权负责用户的数据和业务安全,因此我的很多销售阿里云的同事就会反馈说好多客户在中毒或者加密普遍都会说不应该阿里云这样的服务厂商来负责我们的服务器安全的吗?为什么我还是会中毒。 其实这时候我们就需要明确一下云上的这个责任构成了,针对像ECS云服务器这样的IaaS类产品,其实阿里云仅负责物理安全,网络控制和主机基础设施建设和用户共建,而这之上的责任都是需要用户自行承担的,具体的情况可以见下图: 然后还有很多用户会认为租用的阿里云ECS云服务器的云盘有 99.9999999% 的数据可靠性,这个是不是就意味着我放在云上的数据不会丢啊。这时候客户还会意识到说数据的三盘副本,一些客户在文件误删的时候就会说:“你们阿里云有三盘副本,我现在这个云盘里的文件我不小心误删了,那另外两个盘上的副本快取出来帮我恢复一下。” 其实这时候就有必要澄清一下,三盘副本主要是为了防止系统错误导致的文件丢失的i情况,并不能防止因为误删除或者病毒进程删除文件导致的逻辑错误,具体如下图: 我们需要积极的通过构建快照来解决因为逻辑错误导致的数据丢失的问题。 阿里云的快照操作很方便,是完全图形化的且是中文界面的,并且支持手动或者自动方式创建快照,并且支持快照制作成镜像后跨地域复制到其他地域进行多维度容灾。同时,快照备份是存储在更高可靠且更具性价比的对象存储OSS上的,这个成本是非常可观的。 推荐阅读: 快照帮助文档 | 快照使用视频教程 基础安全 基础安全这块我们主要依赖于云安全中心的基础版,即早期的基础版安骑士,现在安骑士同态势感知合并为云安全中心后提供了更加统一直观的安全监控控制台。 如下图,我们可以通过云安全中心很直观的看到我们云上资产的安全评分,并被告知相应的安全风险。感知安全风险的能力很重要,一些新手云上用户或者非运维、开发人员管理的云账号,往往攻击事件已经发生都不清楚,往往要到产生严重的后果了,例如被脱库放到网上,或者网页收到了篡改,服务器被加密勒索了才了解相关事件。 云安全中心只要我们的云服务器ECS在选择镜像的时候,勾选 安全加固 就会自动安装云安全中心的探针到服务器,对我们的云资产进行监控。 一些没有勾选 安全加固 的同学,也可以在 云安全中心——设置——安装/卸载插件 中手动安装探针,甚至云安全中心还可以保护非阿里云的服务器。 如下图所示,云安全中心可以帮助我扫描服务器上是否出现最新披露的漏洞。 下面是云安全中心的宣传视频,云安全中心高级版仅需612元/台/年即可非常适合作为第一个付款的云安全产品。 扩展阅读: 云安全中心帮助文档 | 云安全中心最佳实践 其他 最后的话就是管理者入口的安全性也很重要,如果我们连入口都无法保障安全,那么其他的安全措施其实都是白搭了: 一、服务器操作系统和管理者操作系统都应当拒绝使用不再提供安全更新的版本。例如近期微软的 2008 系类的操作系统和数据库都已经停止了扩展支持,意味着继续使用相关版本将不会再获得任何安全更新。 二、不使用盗版、第三方分发的Windows、Linux操作系统,下载使用最新版本的原版操作系统并核对 AES 值。特别是 Windows 千万别使用一些第三方PE工具安装。 三、微软建议每个Windows都应到及时修复系统漏洞,并安装杀毒软件。 Linux发行版则应当及时的修复和更新软件仓库中更新的软件。 四、不适用非官网下载的远程连接管理工具,Windows 的远程桌面软件一般都是系统自带或者在官方软件商城购买的都还好。 特别是 Linux 远程管理软件,如 Putty、XShell 都容易成为重灾区。 ![] 还想了解更多阿里云独家最新资讯,赶快钉钉扫码加入我们的组织,和志同道合的开发小伙伴一起探讨吧~
背景 中国是世界互联网大国,但是近年来,随着中国云计算、物联网、工业互联网和人工智能等产业的迅速布局,日益枯竭的 IPv4 地址资源已严重阻碍了中国互联网产业的蓬勃发展,但在早期中国一直没有普及 IPv6,而是继续让 IPv4 缝缝补补继续用了几年,因为 IPv6 的改造是一个涉及 “端、管、云” 三方面的系统性工程,但自2017年底,中办国办印发《推进互联网协议第六版(IPv6)规模部署行动计划》以来,IPv6 的普及开始进入了快车道。其中指出加快推进基于 IPv6 的下一代互联网规模部署,计划指出到 2018 年末国内 IPv6 活跃用户数要达到2亿,2020年末达到5亿,2025年末中国 IPv6 规模要达到世界第一。 又在近期,据工业和信息化部官网7月25日消息,2019年7月24日,工业和信息化部信息通信发展司组织召开部署推进IPv6网络就绪专项行动电视电话会议。如下是对广大互联网企业用户的要求: 各应用商店要对新上架APP开展IPv6支持度检测工作,支持度不好的APP要加快改造。 介绍 作为中国第一的云计算服务厂商阿里云对于IPv6的支持目前已经比较全面了。目前阿里云已经有如下产品支持 IPv6: 转换服务 转换类服务可以帮助纯 IPv4 服务无需做出大量的改造以最快的速度和效率获得 IPv6 的访问能力。 IPv6转换服务 业务部署在云下IDC机房,机房只具备IPv4网络。业务通过IPv6转换服务,可面向纯IPv6用户快速提供IPv6访问能力。主要解决了传统数据中心 IPv6 改造,代价大、成本高、周期长的问题。 产品特性: 1.周期短,IPv6转换服务实例实时开通,映射规则配置实时生效。 2.简单易用,控制台图形化界面2步操作即可实现地址转换功能。 3.高性能,实例超大转发能力和带宽峰值,提供性能SLA保障。 4.高可靠,服务本身就是跨可用去部署的,具备高可靠性。 负载均衡SLB 目前 SLB 在国内几个地域上线支持 IPV6 负载均衡服务,可以实现阿里云服务无痛支持 IPV6,因为一些历史性原因现有运行的 ECS 即便开启了 IPV6 网关也需要进行大量修改系统和Web程序才能提供双栈访问能力, 但是通过负载均衡 SLB 即可实现平滑兼容。 SLB IPv6 特点: 平滑迁移IPv6,业务无感知: IPv6 SLB后端可以直接挂载使用IPv4地址的ECS,无需对原有系统做改造,就可以平滑地将业务迁移到IPv6。 通过新增IPv6入口,对原有IPv4业务无任何影响,仅需要在业务总量增加的情况下,适量对后端ECS进行横向扩容即可。 IPv6访问控制让业务部署更加安全可靠: 阿里云负载均衡SLB支持IPv6访问控制,您可以根据业务需要灵活地配置访问控制策略。 访问控制黑名单可有效阻断恶意地址对负载均衡业务的访问。 访问控制白名单仅允许白名单中授权的地址访问负载均衡业务。 值得一提的是,SLB IPv6 实例是需要新开一个 IPv6 实例的,而不是原 IPv4 实例升级支持 IPv6 实例。 如果这时候大家可能已经看不懂 SLB IPv6实例 和 IPv6 转换服务 的区别,可以看一下这篇文章:《一张图看懂阿里云网络产品【十四】》。 其实主要的就是 SLB IPv6 实例用于内网转发ECS流量并拥有更好的负载均衡能力,IPv6 转换服务主要转发公网服务器流量。 v6/v4双栈 阿里云上也有很多产品已经升级成为 IPv6/IPv4 双栈协议,双栈模式下无需多余的协议转换,IPv4和IPv6分别走各自的双栈网络,且在未来可以平滑的过渡到纯IPv6的网络环境。在双栈网络下,双向支持IPv6则优先走IPv6协议,如果不支持双向则走IPv4协议。 VPC IPv6 网关 IPv6网关(IPv6 Gateway)是专有网络(VPC)的一个 IPv6 互联网流量网关。可以通过配置 IPv6 互联网带宽和仅主动出规则,灵活定义 IPv6 互联网出流量和入流量。IPv6 网关可以帮助专有网络下的云产品(截至发稿仅有云服务器ECS)获得公网IPv6能力并进行流量管理的能力,相当于还集成了NAT网关的网络出网流量管理功能。 使用 IPv6 网关可以让云服务器 ECS 在默认公网 IPv4 下获得 v6/v4 双栈的能力。IPv6 网关继承了 IPv6 的优异特性可以为服务器提供更大带宽的公网访问能力,从最大 200Mbps 的 IPv4 公网带宽上升到了 1Gbps 的 IPv6 公网带宽峰值。 DNS 双栈解析 阿里云云解析 DNS 系统支持 IPv6、IPv4 双栈。例如用户如用IPV6网路访问,当本地 DNS 向云解析 DNS 发起请求查询时,云解析 DNS 会将 IPv6、IPv4 的地址全部返回给本地 DNS,由本地 DNS 进行优选将 IPV6 地址返回给用户端。 DNS 作为反馈域名解析结果的产品是 IPv6 环境中非常重要的一环,如果 DNS 不存在 IPv6 节点或不支持 AAAA 记录解析那么网站将无法提供 IPv6-Only 的能力。阿里云 DNS 的免费版支持 IPv6 节点以及提供 AAAA 记录解析。 OSS 双栈访问 对象存储OSS的 Bucket 域名支持 IPv6、IPv4 双栈,使用默认域名即可支持,无需做出额外的改变。截至发稿目前杭州地域的对象存储已经支持 IPv6、IPv4 双栈后续会开放至全部地域。 目前很多应用、业务进行 IPv6 的改造都仅仅只是让服务器获得 IPv6 能力,而没有对应用的对象存储这样的做出该改变,目前 OSS 就可以很好的解决问题。 如果短期内需要让应用获得完整的 IPv6-Only 访问能力,可以考虑将其他地域的 OSS 复制到杭州地域。 或者其他的对象存储厂商迁移至对象存储OSS。 一、阿里云内对象存储OSS跨地域迁移可以使用 基础设置 —— 跨区域复制 进行复制。 二、非阿里云对象存储迁移至对象存储,可以使用 OSSimport2 工具。 CDN 双栈访问 目前,CDN 部分节点已支持 IPv6 进行访问。CDN 的 IPv6 加速也可以帮助业务几乎零成本实现 IPv6-Only 的改造。工单申请 CDN 开通 IPv6 后,即可体验。 不过由于 CDN 的作用是业务加速,部分地域如果没有就近的 IPv6 PoP 节点将不会返回 IPv6,所以部分地域通过 ping -6 将不会反馈得到 IPv6 的解析结果。 CDN IPv6 作用和 IPv6转换服务 类似,基本上只要业务套了它们都可以直接改造成支持 IPv6-Only 访问能力的网站。但是 CDN 的可用性是 99.9% 没有 IPv6转换服务 跨可用区的高可靠性。 安全产品双栈 随着IPv6协议的迅速普及,新的网络环境以及新兴领域均面临着新的安全挑战。目前包括 Web 应用防火墙、DDOS防护包 已经支持 IPv6 安全防护。更多的安全产品是否支持 IPv6 可以关注此页面:IPv6云安全解决方案 针对WAF值得注意的是:目前,仅中国大陆地区的企业版或旗舰版WAF实例支持IPv6安全防护功能。并且 WAF 不支持回源防护 IPv6-Only IP。 针对DDOS防护包值得注意的是:一个防护包实例只能对一种访问流量类型提供防护,不支持同时防护IPv6和IPv4两种类型的访问流量。如果您需要防护不同类型访问流量,请购买两个防护包实例并选择不同的IP类型。 这个机制类似 SLB 支持 IPv6 的模式。 方案 了解了相关拥有 IPv6 能力的产后,我们可以基于不同的业务场景构建不同的 IPv6 实践方案。一般来说,只要用户访问的第一层是支持 IPv6 的那么整个业务都可以支持。 如果第一层的产品不支持那么即便后面的业务都部署了双栈依旧无法提供 IPv6-Only 的访问支持。 例如云服务器ECS设置了 v6/v4 双栈,但是用户访问的第一层是一个仅支持 IPv4 的 SLB 那么还是无法提供 IPv6-Only 的访问支持。 现有业务 IPv6 改造方案 推荐使用产品: 负载均衡SLB IPv6实例、云解析 DNS、对象存储OSS 一、负载均衡SLB 的 IPv6 实例为现有 云服务器ECS 提供IPv6网络输出 二、云解析DNS提供解析支持,同解析名称在 A 记录解析到 IPv4 地址的基础上,添加 AAAA 记录解析到SLB的IPv6地址 三、如果用对象存储存放了非结构化数据,那么使用 OSS 的域名直接就获得了 IPv6 的能力 参考教程:[【云计算的1024种玩法】只要SLB+DNS,云上IPV6竟然如此简单 新建业务 IPv6 改造方案 推荐使用产品: 负载均衡SLB IPv6实例、云服务器ECS、IPv6网关、云解析 DNS、对象存储OSS 一、如果不会云服务器的IPv6双栈,可以直接使用负载均衡SLB 的 IPv6 实例为现有 云服务器ECS 提供IPv6网络输出。 二、使用云服务器设置 IPv6、IPv4 双栈,新建的云服务器可以通过 Cloud-init 初始化过程中运行脚本完成网络设置,这里涉及到的点会比较多,比如说比较老版本的Web软件默认是不开启 IPv6 支持的需要添加相关编译参数或者直接升级用新版。 同时一些防火墙的设置可能也需要额外熟悉一下。 三、云解析DNS提供解析支持,同解析名称在 A 记录解析到 IPv4 地址的基础上,添加 AAAA 记录解析到SLB的IPv6地址 四、如果用对象存储存放了非结构化数据,那么使用 OSS 的域名直接就获得了 IPv6 的能力。 参考教程:阿里云ECS部署 IPv4 IPv6 双栈实践 – 新建篇 线下物理机/多云 IPv6 解决方案 推荐使用产品:IPv6转换服务、云解析 DNS 针对已有线下物理机房的业务,IPv6 改造的成本高、周期长、可用性差的情况,就可以考虑直接使用 IPv6转换服务 进行转换。 同时一些其他云服务厂商可能短期内还无法提供 IPv6 服务,同样也可以使用阿里云的 IPv6转换服务 帮助实现 IPv6 访问能力,通过相关检查要求。 不过使用 IPv6转换服务 需要将备案接入阿里云,这个需要一些提前量去进行筹备,以避免因为备案审核的时间延误了相关上线时间点安排的节奏。 参考教程:使用IPV6转换服务实现网站的双栈访问 双栈ECS搭建IPv6反向代理 部分用户如果觉得 IPv6转换服务 比较贵的话,其实可以使用拥有 IPv6 的云服务器ECS搭建反向代理来实现类似 IPv6转换服务 的模式,不过这样自建就没有转换服务来的省心,同时也不具备高可用性的特征。 推荐软件:https://github.com/snail007/goproxy 云安全 IPv6 解决方案 推荐使用产品:DDOS防护包 IPv6版、WAF 企业版、云解析 DNS 上面的云产品都是不提供安全防护能力的,当然我们也可以通过 IPv6 转换服务将WAF的IP进行转换,但是这样成本会上升,而且这个方法就无法应用于DDOS攻击的防护。 云安全 IPv6 服务提供了进一步的安全防护能力,既可以防护云上业务也可以防御非阿里云或者云下物理机上的业务。针对包年包月安全产品会有对应的安全钉钉支持团队,如果大家不会配置 IPv6 是可以让支撑的同学来帮忙处理。 相关推荐解决方案: 一张图看懂阿里云 IPv6 解决方案 一张图看懂阿里云 IPv6 转换服务 双十一中的IPv6大规模应用实践 SLB IPv6搞定苹果AppStore审核 阿里云应用IPv6改造解决方案最佳实践 欢迎大家针对 IPv6 云上业务解决方案和我一起做沟通。我的钉钉是:huicute 还想了解更多阿里云独家最新资讯,赶快钉钉扫码加入我们的组织,和志同道合的开发小伙伴一起探讨吧~
前言 RHEL 8 系统已经发布了,很多小伙伴可能已经在本机服务器或者虚拟机上安装测试和学习了。因为我不太想安装本地虚拟机所以就制作了一个公有云的KVM镜像来跑 RHEL8 了,这样的测试也能更贴近生产环境,和测试网络情况。 但是阿里云默认也没有提供 RHEL8 的公共镜像,所以就自己动手做了一个。 介绍 Red Hat Enterprise Linux 8 是针对混合云时代重新设计的操作系统,旨在支持从企业数据中心到多个公共云的工作负载和操作。 Red Hat了解操作系统应该做的不仅仅是作为技术堆栈的一部分存在;它应该是创新的催化剂。从Linux容器和混合云到DevOps和人工智能(AI),Red Hat Enterprise Linux 8不仅可以支持混合云中的企业IT,还可以帮助这些新技术战略蓬勃发展。 镜像 目前基于 KVM 制作了 RHEL8 正式版的公有云镜像,经过测试可以在 AWS、阿里云、OpenStack、腾讯云等平台进行导入后成功运行。 使用须知 由于重置和定义 root 密码需要公有云平台专门针对 RHEL8 进行才有效,而 RHEL 8 才刚发布,所以无法通过控制台进行密码重置或者定义 支持公有云平台对 SSH 密钥进行定义 默认 root 密码: www.mf8.biz 未购买RHEL授权仅可用于测试、开发,不可用于任何商业或者生产场景 激活教程请看: 《免费注册 Redhat 开发者订阅和激活订阅教程》 导入镜像教程请看: 《在公有云上测试使用RHEL8镜像》 下载 请前往 米饭粑封装的 RHEL 8 KVM 公有云镜像下载 查看下载。 导入教程 一、把镜像上传到想要哪里用的ECS地域所对应的 OSS 下。 二、在和OSS对应地域下的ECS控制台页面,找到 镜像 然后点击右上角的 导入镜像 三、然后对应的填写就对了,然后 OSS Object地址 ,记得只能用 http:// 协议,然后用内网地址,一般就是后面带 internal。 四、然后我们等待导入完成 五、镜像创建完成后,我们就可以拿来创建实例了。 六、目前针对 阿里云 进行专项优化,优化阿里云上体验,Cloud-Init 优化支持为阿里云版本,但是不影响其他平台导入和使用,如果需要优化其他云的体验,请参考相关文档教程,将镜像优化至最符合公有云体验的模式: 阿里云 导入镜像必读https://help.aliyun.com/document_detail/48226.html 来自:https://www.mf8.biz/rhel8-kvm-on-the-cloud/
虽然自己的 WordPress 博客很早就云化了,用了云服务器、云数据库、OSS 和 CDN,不过在 WordPress 的附件的云化其实自己一直都是沿用的老思路就是 我爱水煮鱼 大佬之前发布的七牛云插件,用镜像的方式把源站的图片在七牛进行存储再加速,这样的好处就是兼容性比较广,但是WP网站的目录随着网站的成长会越来越大。 今天一看自己备份博客的Bukcet都已经10G那么大了,然后分析了一下网站果然大部分存储都是被多媒体附件占用了,所以需要通过将存储从服务器转移到对象存储降低服务器存储压力。 这一个操作在私有网盘网站、下载站等很高的利用率,将文件存储在更廉价却又更可靠的对象存储上而不是高昂的服务器存储上。 介绍 如果要降低备份的容量大小,很重要的就是不能把文件再存到本地了,必须存储到对象存储上面来降低存储成本。 这里推荐的插件是:aliyun-oss-support 插件特色 支持 Aliyun OSS 的图片服务(根据参数获得不同尺寸的图片) 自定义文件在 Bucket 上的存储位置 支持 HTTPS 站点 支持阿里云内网和 VPC 网络 全格式附件支持,不仅仅是图片 支持 wordpress 4.4+ 新功能 srcset,在不同分辨率设备上加载不同大小图片 支持在 WordPress 后台编辑图片 支持预设图片样式,图片保护,自定义分割符 中英文双语支持,方便使用英文为默认语言的同学 支持在其他插件/主题中通过系统钩子调用插件功能 代码遵循 PSR-4 规则编写 教程 注意: 部分操作不当会损失网站文件,一定要提前备份数据库和网站文件,建议关闭缓存插件以供调试使用。 一、该插件没有推送到 WP 插件库,但是是开源的所以不用担心安全问题。 在这里插件最新版:https://github.com/IvanChou/aliyun-oss-support/releases/tag/3.2.7 二、将插件解压上传到 /wp-content/plugins/ 或者通过 WordPress 插件中心上传安装 三、进行插件配置: AccessKey 和 AccessKeySecret 建议通过 RAM 子账号设置,后面我会出一份通俗的设置教程。 建议选择和ECS同一地域的OSS,可以内网传输图片节省流量费用。 内网 选项一定是同地域才能打勾。 Bukcet域名 可以输入cdn域名而无需是Bucket域名,因为SDK传输不依赖于Bucket域名进行传出。 存储路径 建议设置成和 uploads 不一样的目录,方便我们判断,例如我的 wp-store 就很不错。 四、再详细介绍一下这个图片服务: WordPress 在用户上传图片时,根据预设尺寸生成多份不同大小的缩略图,以供页面适配。这种方式虽然有效但很不灵活,如切换主题的时候,之前的图片尺寸便极可能与新主题不一致。而且也非常占用存储空间!!! OSS IMG 裁剪就是为了解决这类问题而出现的,它可以通过在图片 Url 后面传参来实时生成各种尺寸的图片,只需要存一张原图,就可以在任何时候满足任何需求。IMG 服务十分高效,加上 CDN 的配合,响应速度与直接访问静态资源并没有区别。 进阶使用请参考:如何使用阿里云 OSS 图片服务, 默认的我们光图片服务打勾就没问题了。 五、清理缓存,包括WP缓存插件,CDN缓存,对象缓存等等。 六、检测网站多媒体文件是否生效: 新上传一张图片,查看网站源代码检测图片文件是否变化: 我之前可能是CDN镜像的原站是:https://statics.mf8.biz/wp-content/uploads/2016/11/o6gepqxnqmy-mr-cup-fabien-barral.jpg?x-oss-process=image/resize,w_900,h_300,m_fill/sharpen,100 修改之后的地址就应该是:https://pics.mf8.biz/wp-store/2016/11/o6gepqxnqmy-mr-cup-fabien-barral.jpg?x-oss-process=image/resize,w_900,h_300,m_fill/sharpen,100 查看OSS的文件管理,是否有我们传上去的图片 通过OSS工具如 OSS Browser 、ossutil 将 wp-content/uploads/ 下的文件传到OSS对应的目录,根据我设置的图片,我的目录是 wp-store 七、我知道你手痒打算点 高级选项 很久了,那我们就点 ———— 接下来的步骤都有危险性,而且必须开启 图片服务 选项,然后要充分测试插件的兼容性,特别是一些老旧插件和功能非常多的插件。 勤做备份吧~ 八、没有备份慎点 点击 清理服务器存储 就所有旧的多媒体链接都会改成新的,所以第六步转移旧文件到OSS很重要,不做就不会显示。 九、没有备份慎点 ,如果测试了没有问题,wp-content/uploads/ 可以把里面的文件全部删除了。 总结 目前用的很开心的,备份文件大大减负了。 来自:https://www.mf8.biz/mv-wp-media-to-oss/ 欢迎查看更多云计算分享。
前言 继 AliyunLinux 15和17为代表的初代系统后,阿里云整合资源推出了 AliyunLinux 二代,这是一款基于云环境优化的操作系统,也带来了很多优异的新特性来赋能 RHEL7 系的操作系统,让其更加贴合云计算的虚拟化环境并提升更多性能。那就让我们来看一下 AliyunLinux 2 究竟带来了那些黑科技吧! 介绍 Aliyun Linux 2 是阿里云推出的下一代 Linux 发行版,它为云上应用程序环境提供 Linux 社区的最新增强功能,在提供云上最佳用户体验的同时,也针对阿里云基础设施做了深度的优化。Aliyun Linux 2 OS 镜像可以运行在阿里云全规格系列 VM 实例上,包括弹性裸金属服务器 (神龙)。 官网:https://www.aliyun.com/product/alinux 特性 新版云内核 Aliyun Linux 2默认搭载并启用最新版本阿里云云内核。新版云内核提供了以下特性: 基于内核社区长期支持的4.19.24版本定制而成,增加适用于云场景的新特性、改进性能并修复重大缺陷。 提供针对ECS实例环境定制优化的内核启动参数和系统配置参数。 提供操作系统崩溃后的内核转储(Kdump)能力,您可根据需要在线打开或者关闭该功能,无需重启操作系统。 提供内核热补丁升级(Live Patch)能力。 软件包 Aliyun Linux 2默认搭载阿里云命令行工具。软件包更新如下: 网络服务从network.service切换为systemd-networkd。 用户态软件包与CentOS 7.6.1810版本兼容,该版本的用户态软件包可直接在Aliyun Linux 2使用。 软件包安全漏洞(CVE)修复更新至截止2019年3月底。 性能优化 Aliyun Linux 2优化了开机启动速度并提升了运行时的系统性能,包括: 针对ECS实例环境大幅优化启动速度。 针对ECS实例环境优化多线程场景,提升大规格实例多线程性能。 针对MySQL数据库场景的全链路优化,与ESSD云盘配合,显著提升性能。 跑分 可以看到 AliyunLinux2 针对WEB和飞天虚拟化下的场景做了非常多的优化,让我们跑个分看看到底有没有效果吧! 为了避免偶然性,跑分分别以阿里云·华北3的三台机器进行测试,分别安装 AliyunLinux2、CentOS7和Ubuntu18.04,并以2核2G内存和4核4G内存分别跑两次。 分数左边是单核成绩,右边是多核(线程)成绩 AliyunLinux2 CentOS7 Ubuntu18.04 2C2G 第一次 1055.7/1751.8 930.4/1520.0 1052.5/1378.2 2C2G 第二次 1070.6/1749.1 926.2/1511.1 1050.9/1375.9 4C4G 第一次 1097.7/2624.0 929.8/2297.0 1065.0/2032.1 4C4G 第二次 1082.9/2609.2 930.0/2296.7 1066.2/2037.0 可见同样的配置,同样的地域,AliyunLinux2 得益于优良的调教,性能提升非常可观,约有15%的性能提升。相比之下的话,Ubuntu18.04 单核心跑分也有着很不错的表现,但是多核心一起跑分数就比 CentOS7 要低了。 在网络上,AliyunLinux2 是默认编译好并开启 BBR 了的,所以无需我们手动开启,且和 CentOS7 安装 ELRepo 内核开启 BBR 以及 Ubuntu 18.04 开启BBR后的效果一致,没有较大的差异出现,没有类似腾讯 TCPA 那样的 Web 网站黑科技出现。 不过值得一提的是,腾讯的TCPA仅仅是提供二进制包的免费使用且并没有开源,而集成了阿里云基于云环境的优化特性的 ALK 确是开源的,传送门:https://alibaba.github.io/cloud-kernel/zh/。当然也是希望腾讯能也开源一些黑科技出来,让云计算体验更胜一层楼呀! 安装 阿里云 选择 ECS 的时候公共镜像选择 AliyunLinux 即可。 其他 CentOS7/RHEL7 只能按照 ALK 以获得一些 ALK 内核的特性,一些系统层的优化目前还不能直接通过转化获得。 cd /etc/yum.repos.d/ wget https://gist.githubusercontent.com/ivmm/ff3190353321b647115331a11d00f7f5/raw/e72cdda09d95bf0d4af4573c467144204533335b/alinux-2.1903-plus.repo yum install -y kernel kernel-devel kernel-headers 总结 AliyunLinux2 是一款很不错的基于云环境优化的操作系统,为了 CentOS7 系列赋予了很强的 Web 和数据库能力,且使用用户可以通过工单对使用问题进行免费咨询,或者在钉钉群:23149462 直接咨询阿里云操作系统和虚拟化的专家,让免费的系统拥有了一比 RHEL7 的服务体验。 目前了解到 AliyunLinux2 主要是针对阿里云飞天虚拟化平台开发的,不适用于物理机环境,同时针对其他云计算厂商虚拟化下应用 ALK 内核没有做过稳定性测试,还需要更多的开发者贡献内核和提交BUG来优化ALK在更多虚拟化场景下的应用。我目前自己有测试 UCloud 的机器安装 ALK 貌似还没有遇到报错和不稳定的情况。 总而言之,如果你本来就是用的 CentOS7 在阿里云上,那么非常建议选择使用 AliyunLinux2,配置越高性能提高的就会越明显。 来自:https://www.mf8.biz/aliyunlinux2/
2020年02月
2020年01月
发表了文章
2020-02-10
发表了文章
2019-08-06
发表了文章
2019-08-06
发表了文章
2019-05-27
发表了文章
2019-05-17
发表了文章
2019-05-07
发表了文章
2019-03-10
发表了文章
2019-03-08
发表了文章
2019-01-07
发表了文章
2018-12-03
发表了文章
2018-10-28
发表了文章
2018-10-23
发表了文章
2018-10-21
发表了文章
2018-10-21
发表了文章
2018-10-21
发表了文章
2018-09-05
发表了文章
2018-07-17
发表了文章
2018-06-28
发表了文章
2018-05-25
发表了文章
2018-04-19
回答了问题
2020-01-15
可以的,需要工单申请相关权限后将镜像导出到指定OSS,然后通过OSS下载raw文件即可。
回答了问题
2020-01-15
这个是VitroIO的驱动,在虚拟化环境下让系统识别云盘
提交了问题
2020-01-14
提交了问题
2018-11-08
回答了问题
2018-10-24
回答了问题
2019-07-17
首先咱们得有一个商城,先不考虑自建就淘宝吧, 然后遇到问题搜方案。 千万不要在装修上浪费太长时间
提交了问题
2018-10-03
提交了问题
2018-09-30
提交了问题
2018-09-30
回答了问题
2018-08-23
提交了问题
2018-05-14
回答了问题
2018-05-14
-------------------------
回答了问题
2018-04-11
回答了问题
2018-04-04
回答了问题
2018-04-02
-------------------------
提交了问题
2018-03-31
回答了问题
2018-03-30
提交了问题
2018-03-30
提交了问题
2018-03-30
回答了问题
2018-03-19
