妙正灰
TA的个人档案
浙江卓见云解决方案工程师,负责为企业规划上云迁移方案和云上架构设计,在网站建设开发和云计算领域有多年经验,专注于Linux平台的系统维护以及应用部署。致力于以场景化的方式让云计算,用更加通俗易懂的方式让更多人体验云计算,让云端的计算更质朴的落地。
暂时未有相关通用技术能力~
阿里云技能认证
详细说明前言 WordPress 可能是很多学习搭建云计算网站的第一课,写了篇 Hello World 就匆匆结束了对 WordPress 的体验。在全球前 1,000 万的网站中,三分之一都使用了 WordPress,像国外的白宫官网、纽约邮报、微软新闻中心、国内的爱范儿等等。因此开源社区的 WordPress 有着大量的开发者贡献代码和思路,帮助我们构建一个强大而成熟的网站。 我们要实现一个架构其实最重要的是三个目标,快、稳和省。 前端访问要快,后端运行要稳,但是实现前两者不能无节制的上升成本,我们要节省成本让利益最大化。。 拆解 那我们把 WordPress 简单拆解一下:WordPress 由 PHP、HTML、CSS、JS和SQL组成。 它的运行非常简单:WebServer —— PHP —— MySQL 因此可以很简单的运行在一台服务器上。 在前期运行它当然没有问题,但是当访问量、文章数上来之后便会力不从心了。 表现就是前后台打开慢,或者是用户频繁按F5就可以让网站出现500报错,因此我们就需要进行架构的优化。同样的,我们自行开发的系统可能也是前期小规模的通过单台服务器即可,但是通过运营人员一次次的努力宣传后,用户量一上来就不行了。 这里有一个很大的误区就是无限的堆叠单台服务器的配置,这在早期物理服务器托管时代比较流行,我买的服务器是双路CPU的,现在只用一颗CPU,后面性能不够了再新增CPU,然后再新增内存条和硬盘。 这样做先不谈架构,在运维上就会变成一场灾难。随着用户量的上升,服务器将越来越不能接受升级、重启等操作带来的业务中断,因为单一系统部署软件复杂,万一一个软件的升级带来的不兼容可能就导致业务崩溃,运维人员维护软件如履薄冰。 单机优化 首先我们需要将单台服务器的性能最大化再考虑后面的架构优化,这是一个环境上线的预先准备工作。 实例配置 操作系统的选择上,整体测试下来不同的系统在云服务器ECS上的表现不一样,我自己的测试是 AliyunLinux 2 和 RHEL/CentOS 是阿里云调教的最好的,可能是阿里用RHEL生态原因,在多核心上BenchMark更好看,同时 AliyunLinux 2 专门为云服务器场景优化,性能可以提升15%左右。 然后在实例类型的选择上,其实 WordPress 并不是很占用CPU(优化后),可以选择入门型这种CPU共享的实例,如t6 t5,有效降低成本。 我们以 WordPress 为例,它是一款 PHP 应用 ,PHP是一个I/O密集型应用,在服务器的选择上保障必要的CPU性能的同时,我们尽可能选择 ESSD云盘,它的时延和每G IOPS 都比SSD云盘和高效云盘表现更好。 在网络上,得益于云计算行业的网络都是BGP网络,各大运营商访问服务器网络都可以获得一致的延时和带宽体验。 但是网络的设计上,很多人都会犯的错误,就是对业务系统对公网IP、私网IP的依赖,一个系统如果无法接受公网、私网IP的变动,会导致系统启动失败、运行失败,这就很糟糕。这会导致你不敢轻易的更换服务器或者IP,轻则无法享受一些采购上的政策优惠,重则会遇到IP因为某些不可抗力不得不改时的束手无策。 Web Server 我们常见的 Web Server 软件有很多,比如说:Apache HTTPD、Nginx、lighttpd、tomcat、LiteSpeed,不同的 Web Server 有着不同的动静态处理性能。 最有名的就是 Nginx 了,它的静态文件处理性能是众所周知的,它有着非常优秀的生态,对于新技术的支持会比Apache HTTPD 好得多,像 Lua支持、Brotli、TLS1.3等都支持的更早更好。所以 Web Server 的选择上 Nginx 是非常不错的选择,还有一些社区的扩展分支如 OpenResty、Tengine 等等。 不过整体使用下来,我发现 LiteSpeedTech 公司的 LiteSpeed Enterprise Web Server (简称LSWS)和 OpenLiteSpeed(简称OLS)会更适合 PHP 应用,它的 LSAPI 运行 PHP 以及 LSCache 对 PHP 应用有着非常好的支持,特别是针对 WordPress、 Magento、Joomla、PrestaShop、Drupal、MediaWiki、Laravel 有着很好的支持。大家可以在 LLStack 体验 LiteSpeed 环境。 非 PHP 应用如 JAVA、Node.JS 还是推荐 Nginx 或它的扩展分支来作为 Web Server。 PHP PHP 的性能调优上尽量选择最新的稳定版,比如说截止发稿PHP最新版是 7.4,那么我们可以使用 PHP7.4 或者 7.3 这两个版本。 目前 PHP 的版本策略是 2+1 模式,即 2 年活跃支持,1年安全支持。PHP 版本越新性能越好,同时安全漏洞也会更少。 PHP 之外,其他语言也是,JAVA 的话很多程序还在 JAVA 1.6 上运行。今年年初 Python2 已经停止官方维护了,但是仍有大量的应用基于 Python 提速的关键是两个缓存机制:字节码缓存和对象缓存。 字节码缓存 当一个 PHP 文件被解释执行的时候,首先是被编译成名为 opcodes 的中间代码,然后才被底层的虚拟机执行。 如果PHP文件没有被修改过,opcode 始终是一样的。这就意味着编译步骤白白浪费了 CPU 的资源。 此时 opcode 缓存就派上用场了。通过将 opcode 缓存在内存中,它能防止冗余的编译步骤,并且在下次调用执行时得到重用。设置 opcode 缓存只需要几分钟的时间,应用便会因此大大加速,实在没有理由不用它。目前 Zend 官方提供的 zend_OPCache 是效率最高的字节码缓存扩展。 对象缓存 有时缓存代码中的单个对象会很有用,比如有些需要很大开销获取的数据或者一些结果集不怎么变化的数据库查询。你可以使用一些缓存软件将这些数据存放在内存中以便下次高速获取。如果你获得数据后把他们存起来,下次请求直接从缓存里面获取数据,在减少数据库负载的同时能极大提高性能。 这个的具体实现会在下面 内存缓存加速 讲到 计算存储分离 当业务系统到一定规模后,数据会变成越来越重要的企业数字化资产。数据的范围很宽泛,首先是最核心的数据库里的数据(结构化数据)这个我们在下个主题讨论数据库的优化,还有就是企业的非结构化数据比如说头像、配图、附件等等。 非结构化数据虽然说并没有数据库来的重要,但是如果数据一旦丢失也会产生严重的影响。试想一个企业OA系统,如果存储的附件全部丢失,意味着这个企业的内部资料全部丢失了。在 WordPress 中,附件最重要的作用就是阅读体验,如果一个网站图片全部丢失读者几乎是没有兴趣进行阅读的。 虽然云服务器的云盘已经有99.9999999%(九个九)的数据可靠性了,但是它的性价比并不高,同时读取附件也会耗费服务器I/O性能。这时候将存储转移到阿里云的对象存储OSS则是最好的选择。虽然云盘支持扩容,但是它的弹性是不够的,比如说我买了1T的云盘,当我用到800G~900G我就会考虑开始扩容了,那么其实我一直会浪费10~15%的容量,而且前期我的容量也不是有高使用率的 对象存储可以做到99.999999999%(十二个九)的数据可靠性,同时没有容量和性能的上限、瓶颈,它最大的特点是按量付费,我使用了851G那么我就支付851G的成本即可,而不是我使用了851G却要支付1T的费用,并且用不到1T我就会要进行扩容。 将存储存放到OSS后,不仅提升了非结构化数据的读取性能还降低了成本。 如何在 WordPress 中使用OSS将本地化存储搬上云端请参考: 《将 WordPress 图像媒体全部迁移至对象存储,降低服务器存储压力》 CDN加速 前面我们讲了将非结构化数据存储到OSS,提升了读取性能还降低了成本,两全其美。 这里 CDN 也可以实现两全其美的事情,那就是在提升访问速度的同时还能降低网络成本。 为什么天猫超市、苏宁、京东购买的自营商品到货会那么快?我可以上午买下午到,半夜买上午到,这样办公白领的购物体验还是提升很多的,这都得益于就近仓储的优势,比如说我要买的商品的制造地是甘肃兰州,本来我要买就得从兰州发货,但通过一些自营电商购买,我在杭州滨江区,那么物流仓储就会从杭州富阳的仓储中心快速分配到末端配送站,然后分配快递小哥帮助我们配送。 CDN 其实也是这个逻辑,将用户要访问的非结构化文件就近存放到CDN的缓存节点,这样用户访问的速度就更快了。我在新疆喀什要访问一个华东1杭州地域的网站,这个跳数和延时都会很大,但是使用CDN后,那我就可以从乌鲁木齐的某个电信机房获取缓存文件,这样我的访问速度和延迟都会降低了。 然后CDN为什么还可以在提速的同时节约成本呢?如果要玩外服的游戏,我购买网游加速器还要花不菲的包月成本,为什么CDN不经帮我加速了,同时还能节省成本呢?这个解释还是可以用快读的模式来,咱们将东西从杭州寄到杭州,和杭州寄到新疆,哪个更便宜?肯定是路径更短的更便宜,网络访问路径短了,自然也能省钱。 WordPress 上使用 CDN 有很多丰富的插件,在OSS中提到的插件也可以直接使用CDN。 CDN 一个是加速非结构化数据的好手,OSS 是存储非结构化数据的大师,所以OSS+CDN是强强联手,非常好的搭档。 在 WordPress 主题目录下的 functions.php 文件中,加入以下代码实现CDN替换功能: //静态文件CDN加速 if ( !is_admin() ) { add_action('wp_loaded','mf8biz_ob_start'); function mf8biz_ob_start() { ob_start('mf8biz_aliyun_cdn_replace'); } function mf8biz_aliyun_cdn_replace($html){ $local_host = 'www.mf8.biz'; //源站域名 $aliyun_host = 'statics.mf8.biz'; //CDN加速域名 $cdn_exts = 'css|js|png|jpg|jpeg|gif|ico'; //扩展名(使用|分隔) $cdn_dirs = 'wp-content|wp-includes'; //目录(使用|分隔) $cdn_dirs = str_replace('-', '\-', $cdn_dirs); if ($cdn_dirs) { $regex = '/' . str_replace('/', '\/', $local_host) . '\/((' . $cdn_dirs . ')\/[^\s\?\\\'\"\;\>\<]{1,}.(' . $cdn_exts . '))([\"\\\'\s\?]{1})/'; $html = preg_replace($regex, $aliyun_host . '/$1$4', $html); } else { $regex = '/' . str_replace('/', '\/', $local_host) . '\/([^\s\?\\\'\"\;\>\<]{1,}.(' . $cdn_exts . '))([\"\\\'\s\?]{1})/'; $html = preg_replace($regex, $aliyun_host . '/$1$3', $html); } return $html; } } 站库分离 早期我们可以将数据库和应用放在同一台服务器上运行,但是前面讲到一旦到了后期就会出现运维的灾难。 数据库是一个业务系统的重中之重,特别是针对一些金融、电商类的场景,如果数据库一旦出错轻则业务暂停,重则会导致业务崩快。例如移动支付场景肯定不能接受数据库损坏的瞬间,买家已经付款并银行卡已经扣费,但是卖家并没有收到款项,这就对业务造成过影响了,如果这个消费数值是几亿元的量级,就有很大的问题了。 站库分离是很重要的步骤,将数据库和应用程序的运维分离开来。但是云计算时代,有了云数据库,这个工作就会变的愉快很多。首先调试数据库其实是比较难的,现在很多开发同学都会担任一些DevOps,但也只是开发者和运维的结合,但很少有同学还会点亮DBA(数据库管理专家)的技能,比如说设计一个数据库,我们要规划备份方案、调优方案等等,规划多少的RTO(丢多少)和RPO(丢多久)等等,让一个非专业的同学头大,同时企业聘请一个专业的DBA也会增加用人成本。 而云数据库就是一个数据库开箱即用的方案了,我们不用担心数据库遇到高危漏洞时的安全风险,云数据库做出升级方案,和云监控搭配的监控图标也可以很直观的反馈数据情况,以及 CloudDBA 功能,基于专家的规则经验,自动判断数据库问题。 云数据库的优势还有很多,篇幅限制就不展开讲太多了,大家可以去了解一下云数据库和PolarDB。 后者在完美兼容 MySQL、PostgreSQL 和高度兼容 Oracle 的技术上实现了更高的性能,MySQL 最高可达到 600%的性能提升,但相较RDS成本仅提升10%。 扩展工具: DTS,DTS 是一款支持多种数据源的可视化数据迁移工具,可以帮助我们快捷直观的将自建数据库的数据迁移至云数据库,也可以做数据同步订阅使用。 DBS,DBS是一款专业型的数据库备份工具,可以快捷的将数据库备份至OSS中,实时增量备份实现秒级RPO。 在 WordPress 中实现站库分离很简单,将源站数据库上的数据通过 DTS 或者备份恢复的方式迁移到云数据库即可。然后修改 wp-config.php 文件,将define( 'DB_HOST', 'localhost' );中的 localhost修改成云数据库的连接地址即可。 内存缓存加速 WordPress 使用 MySQL 数据库来缓存内部应用程序对象(导航栏、菜单栏等),生成这些对象的资源成本成本很高。由于数据库还处理页面请求的查询,因此它可能是最常见的性能瓶颈,并且经常导致加载时间增加。 Redis 是一个开源的键值对存储数据库,既可以用作内存级存储,也可以用作缓存。Redis是一种数据结构服务器,可以单独作为 NoSQL 数据库服务,也可以与关系数据库(如MySQL)结合以加快访问处理速度。当涉及对象缓存时,在像WordPress这样的动态网站上使用,该对象缓存可缓存重复的访问内容。 因为 Redis 是基于内存的服务,内存访问的速度和效率比就算是给予 NVMe SSD 的磁盘也来的更快,所以使用 Redis 来做为 PHP 的对象缓存来加速 WordPress 的效率会更好,访问速度更快,这在文章数极大的场景下网站的使用体验会好很多。 Redis 我们可以自建也可以购买阿里云的云数据库,早期如果成本考虑是可以自建在自己的服务器上的。如果是本机的 Redis Server,建议使用 UNIX Socket 的方式效率会比 TCP 来的更高。 在 WordPress 使用 Redis 作为对象缓存,需要 PHP 安装实现 phpredis 这个 PECL 扩展,不然的话会基于 predis 方式实现,这个效率没有 PECL 扩展效率来的高,然后安装相关的 Redis 对象缓存插件即可。 相关教程推荐: 《WP 使用走 Unix Sockets 的 Redis 作为对象缓存》 《使用云数据库 Redis 版为 WP 做缓存》 还有将 Redis 缓存应用到 Web Server 的方式,减少对 php 的请求来进一步提速,这适合能接受静态页面的CMS类网站,不太适合动态内容多的网站: 《用 Nginx+Redis Cache 给 WordPress 提速》 《LiteSpeed Cache for WordPress – 免费的超性能企业级缓存插件》 《为 WordPress 开启 LS-Cache 缓存》 负载均衡 云服务器的特性主要就是体现在横向、纵向的弹性扩容上,纵向的话其实很好理解就是我们单台 ECS 配置不够用了马上升级一下配置,不过这种场景比较适合于一个网站稳健的发展状态,而且波动不大。或者说服务器有较长时间的资源占用而非短时间的,比如说台风网肯定是 5~10 月这段时间访问量较高,那么我们就可以在春末的时候升一段配置,夏天再升级一段配置,初秋稍微降一点,秋末降至平稳状态。 但是如果我们是一个电商网站突然运营想搞一个秒杀活动,一个游戏公司要组织一场在线PK大赛。 这种情况下呢,都是瞬时遭遇的流量高峰和应用高占用,过了这段时间突然就回到了平稳的状态。如果我们一直以能处理瞬时高峰的配置长时间运行势必会造成大量的资源浪费,这时候就需要一个按量的横向扩容了。 横向扩容也就是增加服务器数量而非升级配置,但是我们需要将数个服务器整合成一个服务器集群,通过均衡负载 SLB 让服务器集群看起来就像还是“一台”服务器在进行操作,当然了均衡负载也不一定需要使用 SLB,也可以自建或者采购其他的均衡负载产品。然后每一台服务器都应该做到无状态服务,不可以保存应用的状态信息(如 session)和相关数据(如数据库、日志等)。如果应用中有保存状态信息需求,可以考虑把状态信息保存到伸缩组之外的独立的状态服务器、数据库(如 云数据库)和集中日志存储(如 日志服务)中去。 很多教程可能一开始就是负载均衡一步到位,这样对运维是有一定要求的,不利于新手架构学习。在做好计算存储分离、站库分离、内存加速(Redis共享session)后再做负载均衡的难度会显著降低。 相关教程推荐: 《配置自动横向扩展的同城双中心服务集群》 《使用SLB+DNS轻松实现网站的IPV6双栈兼容》 搜索请求优化 WordPress 默认搜索方式是LIKE 和 %query% 等查询的组合。其不允许进行模糊搜索,如果有用户犯了简单的拼写错误,就获得有效的搜索。WordPress 的另一个限制是,它只能搜索和匹配标题和内容中的单词,而不能与类别和分类法进行匹配。 同时搜索是非常消耗数据库资源的一种方式,并且搜索结果不会进行缓存,如果你想攻击一个WordPress网站,只需要对一个搜索结果页频繁进行F5就可以让数据库资源消耗到瓶颈后停止服务,这样整个WordPress网站都将无法提供服务。 同理其他应用程序也会遇到这个问题,因此我们会选择使用专业的搜索引擎来进行索引,并提供给用户更专业的结果。目前第三方的搜索引擎方案有百度的站内搜索(很久没更新,不支持HTTPS)、谷歌的CSE(国内无法访问)。因此我们可以选择自定义性和功能更丰富的开源搜索引擎 Elasticsearch。 在 WordPress 上接入使用 Elasticsearch 是非常方便的,0 coding。只需要安装 ElasticPress 插件并编辑 wp-config.php 文件: /** ElasticPress */ define( 'EP_HOST', 'http://127.0.0.1:9200' ); 定义一下 ElasticSearch 的地址即可使用。 安全架构 安全也是服务器架构中非常重要的一点,只要是暴露在公网上的业务就有可能成为被攻击的对象,因此我们需要积极的构建云上安全体系进行防御常见的安全攻击,同时也要保障自己的云产品不被劫持为肉鸡对外发送攻击加重互联网安全态势。 其实攻击者视角是来自方方面面的,360°无死角的盯着咱们的业务进行攻击,而安全又是一个典型的木桶的短板模型,即便其他的安全措施做的再好,只要存在一个明显的安全短板,就会导致整个业务系统的不安全。而防守者视角往往是单一的,通常是见招拆招式的的,甚至有些时候当安全事件已经发生了,很多人都无法及时做出对安全事件的反应。 这是我根据阿里云安全团队安全三步走的基础上修改来的云上安全体系构建路线图,本文我们重点聚焦云上安全第0步——安全基础建设。因为很多云上用户在没有做好第0步的时候就开始购买一些第一二步云安全产品,就会出现木桶短板效应,花费了高昂的费用却没有起到响应的安全作用。 推荐相关阅读: 《不花一分钱构建阿里云上第零步安全体系》 当然了在 WordPress 上也有很多可以免费体验的PHP软件级的WAF插件,帮助防御一定的攻击,提升网站安全性,不过相比阿里云WAF这样的专业性WAF肯定是有所欠缺的。 插件: SiteGuard WP Plugin、NinjaFirewall、WordPress Security、Wordfence Security 备份机制 很多用户会认为租用的阿里云ECS云服务器的云盘有 99.9999999% 的数据可靠性,这个是不是就意味着我放在云上的数据不会丢。这时候客户还会意识到说数据的三盘副本,一些客户在文件误删的时候就会说:“你们阿里云有三盘副本,我现在这个云盘里的文件我不小心误删了,那另外两个盘上的副本快取出来帮我恢复一下。” 其实这时候就有必要澄清一下,三盘副本主要是为了防止系统错误导致的文件丢失的情况,并不能防止因为误删除或者病毒进程删除文件导致的逻辑错误,具体如下图: 我们需要积极的通过构建快照来解决因为逻辑错误导致的数据丢失的问题。 阿里云的快照操作很方便,是完全图形化的且是中文界面的,并且支持手动或者自动方式创建快照,并且支持快照制作成镜像后跨地域复制到其他地域进行多维度容灾。同时,快照备份是存储在更高可靠且更具性价比的对象存储OSS上的,这个成本是非常可观的。 我们还可以单独将网站文件备份到 OSS 和 NAS 这样的更廉价存储的地方,做增量或者全量的备份。在数据备份上还是和数据库的数据可用性一样,规划设计RTO(丢多少)和RPO(丢多久),在这个道路上还是一个很长的路。 推荐阅读: ECS快照帮助文档 | ECS快照使用视频教程 《使用 AliCloud Duplicity 将服务器文件备份至 OSS》 在 WordPress 也有很多备份插件,支持FTP和S3协议(兼容阿里云OSS),可以用作方便的备份方式: UpdraftPlus、BackWPUp、BackUpWordPress 等等 日志分析 服务器日志很多人可能都将它看作是“鸡肋”,食之无用、弃之可惜,觉得他很占地方。很多存储买的比较小的服务器,它的磁盘经常会以为存储大量日志被占用,导致I/O异常,然后人会选择关掉日志。 其实日志有很多游泳的信息,包括服务器的状态、相关软件的报错信息、访客数据、访客行为,以及一些安全审计等等。日志很多人可能直接通过编辑器甚至是记事本直接打开,那这样用处确实是不大,所以一个好的架构师一定要学会分析日志,利用好日志。 一般来说 WordPress 日志包括:Web Server日志(Nginx、Apache、LiteSpeed 的日志)、PHP日志、数据库日志、邮件日志(如果有)、操作系统日志、WordPress Debug 记录和相关插件日志等等。 我们可以用阿里云的日志服务或者ELK三剑客之一的Logstacsh来进行分析,WordPress 日志开启,还需要修改 wp-config.php 文件,加入下面语句: define( 'WP_DEBUG_LOG', true ); //开启debug日志 define( 'WP_DEBUG_DISPLAY', false ); //隐藏debug消息到页面输出 define( 'SAVEQUERIES', true ); //将数据库查询保存到数组中,可以用于帮助分析,选填 如果大家不想用更专业日志分析工具,也可以通过如下插件快速实现,只不过专业日志是存储到服务器的,这个成本会比存储到 OSS 高的多: WP Security Audit Log、Simple History、User Activity Log、WP Log Viewer、Log-Hero 结语 架构的学习是漫漫长路,很多新人在学习架构的时候都会反馈缺少实践的平台,得益于 WordPress 丰富的生态,我们可以很好的利用它来结合各大软件,我这里指出的也只是一些基础思路,也欢迎大家指正错误的地方。 架构也是不是一定要套用的,也不是一尘不变的。比如说 WordPress 作为 CMS 的场景下可能不太有必要应用大数据,但是当 WordPress 安装 WooCommerce 插件成为一个电商网站后,其实就有可能有大数据个性化推荐的需求了。 我也看到也有 WordPress 网站被改造成一个咖啡自助系统,在完成点单后传输到物联网咖啡机上自动作出咖啡来,那么就可能一些物联网架构的需求了。 布置两个小作业,相关的思路还可以套用在同样是PHP 的 Discuz 和 微擎 上,根据我的实践这两个软件都可以实现上述架构。 可以在阿里云大学的 30分钟学会搭建高可用网站 和 零基础云上搭建高可用网站
背景 7月17日,国家互联网应急中心发布的《2018年中国互联网网络安全报告》显示: 近年来,云作为互联网基础设施在我国迅速发展,越来越多的业务场景逐步向云端迁移。在当前云服务使用过程中,云服务商和云用户对云的安全性(即避免危害云的网络攻击)和可控性(即避免利用云发起网络攻击)关注较少。 根据CNCERT/CC监测数据显示: 2018年11-12月,在安全性方面,虽然境内云IP地址感染木马或僵尸网络的概率较低,但是由于云上承载的服务越来越多、越来越重要,在其他攻击方面境内云则成为攻击的重灾区;在可控性方面,由于云服务获得的便捷性和低成本,越来越多的黑客倾向于利用云主机进行网络攻击。因此,云服务商和云用户应加大对网络安全的重视和投入,分工协作构建网络安全纵深检测防御体系,保障云的安全性和可控性,共同维护网络空间安全。 中国最大的云计算平台不带之一的阿里云在IDC报告中2018年下半年,阿里云在国内基础设施及服务占比高达42.9%,由于基数很大,因此阿里云上的用户也承受了国内公有云一半以上的攻击,下图是根据 威胁猎人 的报告绘制的,2018年上半年黑灰产对公有云的攻击次数中阿里云占比超过了55.32%。 即便是比例并不大,但是阿里云上也存在部分服务器被劫持为肉鸡的情况对外发送攻击,因此也会出现如下图的情况: 甚至有客户还会怀疑是不是阿里云想让我购买高昂的云安全类产品因此主动攻击我?当然了其实这种论调在各个云平台都有发生。 介绍 只要是暴露在公网上的业务就有可能成为被攻击的对象,因此我们需要积极的构建云上安全体系进行防御常见的安全攻击,同时也要保障自己的云产品不被劫持为肉鸡对外发送攻击加重互联网安全态势。 其实攻击者视角是来自方方面面的,360°无死角的盯着咱们的业务进行攻击,而安全又是一个典型的木桶的短板模型,即便其他的安全措施做的再好,只要存在一个明显的安全短板,就会导致整个业务系统的不安全。而防守者视角往往是单一的,通常是见招拆招式的的,甚至有些时候当安全事件已经发生了,很多人都无法及时做出对安全事件的反应。 这是我根据阿里云安全团队安全三步走的基础上修改来的云上安全体系构建路线图,本文我们重点聚焦云上安全第0步——安全基础建设。因为很多云上用户在没有做好第0步的时候就开始购买一些第一二步云安全产品,就会出现木桶短板效应,花费了高昂的费用却没有起到响应的安全作用。 边界安全 专有网络 专有网络VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境。每个专有网络(也就是每个VPC)之间逻辑上彻底隔离。 专有网络是网络容器专有网络VPC是一个网络容器,用户可以免费开通,开通后再在这个容器中“放置”需要的云产品基本组件包含路由器和交换机。 专有网络是用户私有的专有网络VPC是用户私有的,和其它VPC默认都是隔离的,和经典网络也是隔离的。 专有网络是用户在云上具备网络管理能力的基础使用专有网络VPC,用户可以自主进行网络规划,比如自定义网段,划分子网,管理路由,管理公网出入等等。 相较于早期的经典网络,专有网络拥有更佳丰富的网络化产品和自定义性的同时,也更安全可靠,早期的经典网络是一张大内网,不用的阿里云用户同一地域即在同一内网内,隔离性极差。 同时在专有网络下可以使用EIP、NAT网关等产品,当服务器遇到攻击后,通过弹性公网IP(EIP)产品可以快速的变更服务器IP防止一些基于IP的定向攻击。一些用户遇到攻击后再购买高防IP、Web应用防火墙等产品会发现并不起作用,很大原因是因为服务器源站IP并没有进行及时修改,即便使用了安全产品,攻击者依旧知道最终的源站服务器IP是多少。 下面是VPC的宣传视频: 扩展阅读: VPC帮助文档 | VPC最佳实践 安全组 安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 如果将咱们的服务器比作一个学校的话,这座学校一开始没有围墙,学校师生可以任意出入,其他人员也可以自由出入学校,这样学校就容易出现一些危险人员(病毒、攻击)进入学校进行破坏。因此我们就需要建立一个围墙,这就是我们的安全组开启后不开放任何端口的情况。 这时候我们需要开放一些出入口方便师生上下学,因此便会设立学校的大门,这就是我们对外开放的端口(80端口、443端口),一些重要的端口例如校长办公室(22端口),我们需要更严格的措施,即需要核对人员身份,及只有对应的IP才能访问该端口。 很多用户早期往往为了方便会开放全部协议并向全部端口即0.0.0.0/0开放,这严重违背了安全组的初衷。 安全组作为一个提供中文界面的图形化防火墙产品,已经大大降低了我们使用防火墙的成本,像 iptables、FireWallD 其实对新手来说命令行还是英文的就很难学。 例如在云上非常常见的例用 Redis 未授权访问漏洞进行加密勒索的事件,如果我们及时的通过安全组限制 Redis 被公网访问的情况就可以很好的避免相关安全事件的发生。 针对安全组,我们仅开启80、443这样的通用端口向用户进行开发,针对22、3389等端口应当仅面向自己或者公司网络的固定IP开放。 下面视频是安全组的宣传视频: 扩展阅读: 安全组帮助文档 | 安全组最佳实践 | 操作视频 访问控制 访问控制RAM提供非常丰富的阿里云上的服务和资源的管理能力: 使用RAM,您可以创建、管理RAM用户(比如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。 很多用户在使用RAM子账号的时候往往会创建一个子帐后拥有管理一整个大产品的权限,这样虽然方便却留下了非常大的隐患。 例如这里就为了图方便将整个OSS的访问管理能力开放给子账户,特别是一些代码解释型语言填写到 config 的AccessKey 和 AccessKeySecrt 就有可以会暴露,这样的话当我们OSS上部署了多个Bukcet后,就有可能会被非法利用,导致文件被删除或者被下载的情况。 同样的,还有部分云上用户会开放测试账号给一些外包的运维部署人员,为图方便会创建非常简单的密码对外提供,或者部署完成后没有及时的回收并删除账号。 我就遇到过一个朋友因为这样,导致了ECS服务器被充值系统盘并删除了所有快照。 扩展阅读: 访问控制帮助文档| 访问控制最佳实践 | 访问控制视频教程 操作审计 操作审计(ActionTrail)会记录您的云账户资源操作,提供操作记录查询,并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。利用ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更追踪以及合规性审计。 操作审计是一款开箱即用的产品,在不创建追踪日志存储到OSS的情况下最多可以查看近30天的用户操作审计日志。 如上图可见,当我操作了更新 AccessKey 后就立马有了响应的日志,包括事件源、事件时间、源IP等信息,可以让我们很好的进行操作的溯源审计,满足安全合规的需求。 扩展阅读: 操作审计帮助文档 | 操作审计最佳实践 数据安全 很多用户都觉得上了云之后那么阿里云便会全权负责用户的数据和业务安全,因此我的很多销售阿里云的同事就会反馈说好多客户在中毒或者加密普遍都会说不应该阿里云这样的服务厂商来负责我们的服务器安全的吗?为什么我还是会中毒。 其实这时候我们就需要明确一下云上的这个责任构成了,针对像ECS云服务器这样的IaaS类产品,其实阿里云仅负责物理安全,网络控制和主机基础设施建设和用户共建,而这之上的责任都是需要用户自行承担的,具体的情况可以见下图: 然后还有很多用户会认为租用的阿里云ECS云服务器的云盘有 99.9999999% 的数据可靠性,这个是不是就意味着我放在云上的数据不会丢啊。这时候客户还会意识到说数据的三盘副本,一些客户在文件误删的时候就会说:“你们阿里云有三盘副本,我现在这个云盘里的文件我不小心误删了,那另外两个盘上的副本快取出来帮我恢复一下。” 其实这时候就有必要澄清一下,三盘副本主要是为了防止系统错误导致的文件丢失的i情况,并不能防止因为误删除或者病毒进程删除文件导致的逻辑错误,具体如下图: 我们需要积极的通过构建快照来解决因为逻辑错误导致的数据丢失的问题。 阿里云的快照操作很方便,是完全图形化的且是中文界面的,并且支持手动或者自动方式创建快照,并且支持快照制作成镜像后跨地域复制到其他地域进行多维度容灾。同时,快照备份是存储在更高可靠且更具性价比的对象存储OSS上的,这个成本是非常可观的。 推荐阅读: 快照帮助文档 | 快照使用视频教程 基础安全 基础安全这块我们主要依赖于云安全中心的基础版,即早期的基础版安骑士,现在安骑士同态势感知合并为云安全中心后提供了更加统一直观的安全监控控制台。 如下图,我们可以通过云安全中心很直观的看到我们云上资产的安全评分,并被告知相应的安全风险。感知安全风险的能力很重要,一些新手云上用户或者非运维、开发人员管理的云账号,往往攻击事件已经发生都不清楚,往往要到产生严重的后果了,例如被脱库放到网上,或者网页收到了篡改,服务器被加密勒索了才了解相关事件。 云安全中心只要我们的云服务器ECS在选择镜像的时候,勾选 安全加固 就会自动安装云安全中心的探针到服务器,对我们的云资产进行监控。 一些没有勾选 安全加固 的同学,也可以在 云安全中心——设置——安装/卸载插件 中手动安装探针,甚至云安全中心还可以保护非阿里云的服务器。 如下图所示,云安全中心可以帮助我扫描服务器上是否出现最新披露的漏洞。 下面是云安全中心的宣传视频,云安全中心高级版仅需612元/台/年即可非常适合作为第一个付款的云安全产品。 扩展阅读: 云安全中心帮助文档 | 云安全中心最佳实践 其他 最后的话就是管理者入口的安全性也很重要,如果我们连入口都无法保障安全,那么其他的安全措施其实都是白搭了: 一、服务器操作系统和管理者操作系统都应当拒绝使用不再提供安全更新的版本。例如近期微软的 2008 系类的操作系统和数据库都已经停止了扩展支持,意味着继续使用相关版本将不会再获得任何安全更新。 二、不使用盗版、第三方分发的Windows、Linux操作系统,下载使用最新版本的原版操作系统并核对 AES 值。特别是 Windows 千万别使用一些第三方PE工具安装。 三、微软建议每个Windows都应到及时修复系统漏洞,并安装杀毒软件。 Linux发行版则应当及时的修复和更新软件仓库中更新的软件。 四、不适用非官网下载的远程连接管理工具,Windows 的远程桌面软件一般都是系统自带或者在官方软件商城购买的都还好。 特别是 Linux 远程管理软件,如 Putty、XShell 都容易成为重灾区。 ![] 还想了解更多阿里云独家最新资讯,赶快钉钉扫码加入我们的组织,和志同道合的开发小伙伴一起探讨吧~
背景 中国是世界互联网大国,但是近年来,随着中国云计算、物联网、工业互联网和人工智能等产业的迅速布局,日益枯竭的 IPv4 地址资源已严重阻碍了中国互联网产业的蓬勃发展,但在早期中国一直没有普及 IPv6,而是继续让 IPv4 缝缝补补继续用了几年,因为 IPv6 的改造是一个涉及 “端、管、云” 三方面的系统性工程,但自2017年底,中办国办印发《推进互联网协议第六版(IPv6)规模部署行动计划》以来,IPv6 的普及开始进入了快车道。其中指出加快推进基于 IPv6 的下一代互联网规模部署,计划指出到 2018 年末国内 IPv6 活跃用户数要达到2亿,2020年末达到5亿,2025年末中国 IPv6 规模要达到世界第一。 又在近期,据工业和信息化部官网7月25日消息,2019年7月24日,工业和信息化部信息通信发展司组织召开部署推进IPv6网络就绪专项行动电视电话会议。如下是对广大互联网企业用户的要求: 各应用商店要对新上架APP开展IPv6支持度检测工作,支持度不好的APP要加快改造。 介绍 作为中国第一的云计算服务厂商阿里云对于IPv6的支持目前已经比较全面了。目前阿里云已经有如下产品支持 IPv6: 转换服务 转换类服务可以帮助纯 IPv4 服务无需做出大量的改造以最快的速度和效率获得 IPv6 的访问能力。 IPv6转换服务 业务部署在云下IDC机房,机房只具备IPv4网络。业务通过IPv6转换服务,可面向纯IPv6用户快速提供IPv6访问能力。主要解决了传统数据中心 IPv6 改造,代价大、成本高、周期长的问题。 产品特性: 1.周期短,IPv6转换服务实例实时开通,映射规则配置实时生效。 2.简单易用,控制台图形化界面2步操作即可实现地址转换功能。 3.高性能,实例超大转发能力和带宽峰值,提供性能SLA保障。 4.高可靠,服务本身就是跨可用去部署的,具备高可靠性。 负载均衡SLB 目前 SLB 在国内几个地域上线支持 IPV6 负载均衡服务,可以实现阿里云服务无痛支持 IPV6,因为一些历史性原因现有运行的 ECS 即便开启了 IPV6 网关也需要进行大量修改系统和Web程序才能提供双栈访问能力, 但是通过负载均衡 SLB 即可实现平滑兼容。 SLB IPv6 特点: 平滑迁移IPv6,业务无感知: IPv6 SLB后端可以直接挂载使用IPv4地址的ECS,无需对原有系统做改造,就可以平滑地将业务迁移到IPv6。 通过新增IPv6入口,对原有IPv4业务无任何影响,仅需要在业务总量增加的情况下,适量对后端ECS进行横向扩容即可。 IPv6访问控制让业务部署更加安全可靠: 阿里云负载均衡SLB支持IPv6访问控制,您可以根据业务需要灵活地配置访问控制策略。 访问控制黑名单可有效阻断恶意地址对负载均衡业务的访问。 访问控制白名单仅允许白名单中授权的地址访问负载均衡业务。 值得一提的是,SLB IPv6 实例是需要新开一个 IPv6 实例的,而不是原 IPv4 实例升级支持 IPv6 实例。 如果这时候大家可能已经看不懂 SLB IPv6实例 和 IPv6 转换服务 的区别,可以看一下这篇文章:《一张图看懂阿里云网络产品【十四】》。 其实主要的就是 SLB IPv6 实例用于内网转发ECS流量并拥有更好的负载均衡能力,IPv6 转换服务主要转发公网服务器流量。 v6/v4双栈 阿里云上也有很多产品已经升级成为 IPv6/IPv4 双栈协议,双栈模式下无需多余的协议转换,IPv4和IPv6分别走各自的双栈网络,且在未来可以平滑的过渡到纯IPv6的网络环境。在双栈网络下,双向支持IPv6则优先走IPv6协议,如果不支持双向则走IPv4协议。 VPC IPv6 网关 IPv6网关(IPv6 Gateway)是专有网络(VPC)的一个 IPv6 互联网流量网关。可以通过配置 IPv6 互联网带宽和仅主动出规则,灵活定义 IPv6 互联网出流量和入流量。IPv6 网关可以帮助专有网络下的云产品(截至发稿仅有云服务器ECS)获得公网IPv6能力并进行流量管理的能力,相当于还集成了NAT网关的网络出网流量管理功能。 使用 IPv6 网关可以让云服务器 ECS 在默认公网 IPv4 下获得 v6/v4 双栈的能力。IPv6 网关继承了 IPv6 的优异特性可以为服务器提供更大带宽的公网访问能力,从最大 200Mbps 的 IPv4 公网带宽上升到了 1Gbps 的 IPv6 公网带宽峰值。 DNS 双栈解析 阿里云云解析 DNS 系统支持 IPv6、IPv4 双栈。例如用户如用IPV6网路访问,当本地 DNS 向云解析 DNS 发起请求查询时,云解析 DNS 会将 IPv6、IPv4 的地址全部返回给本地 DNS,由本地 DNS 进行优选将 IPV6 地址返回给用户端。 DNS 作为反馈域名解析结果的产品是 IPv6 环境中非常重要的一环,如果 DNS 不存在 IPv6 节点或不支持 AAAA 记录解析那么网站将无法提供 IPv6-Only 的能力。阿里云 DNS 的免费版支持 IPv6 节点以及提供 AAAA 记录解析。 OSS 双栈访问 对象存储OSS的 Bucket 域名支持 IPv6、IPv4 双栈,使用默认域名即可支持,无需做出额外的改变。截至发稿目前杭州地域的对象存储已经支持 IPv6、IPv4 双栈后续会开放至全部地域。 目前很多应用、业务进行 IPv6 的改造都仅仅只是让服务器获得 IPv6 能力,而没有对应用的对象存储这样的做出该改变,目前 OSS 就可以很好的解决问题。 如果短期内需要让应用获得完整的 IPv6-Only 访问能力,可以考虑将其他地域的 OSS 复制到杭州地域。 或者其他的对象存储厂商迁移至对象存储OSS。 一、阿里云内对象存储OSS跨地域迁移可以使用 基础设置 —— 跨区域复制 进行复制。 二、非阿里云对象存储迁移至对象存储,可以使用 OSSimport2 工具。 CDN 双栈访问 目前,CDN 部分节点已支持 IPv6 进行访问。CDN 的 IPv6 加速也可以帮助业务几乎零成本实现 IPv6-Only 的改造。工单申请 CDN 开通 IPv6 后,即可体验。 不过由于 CDN 的作用是业务加速,部分地域如果没有就近的 IPv6 PoP 节点将不会返回 IPv6,所以部分地域通过 ping -6 将不会反馈得到 IPv6 的解析结果。 CDN IPv6 作用和 IPv6转换服务 类似,基本上只要业务套了它们都可以直接改造成支持 IPv6-Only 访问能力的网站。但是 CDN 的可用性是 99.9% 没有 IPv6转换服务 跨可用区的高可靠性。 安全产品双栈 随着IPv6协议的迅速普及,新的网络环境以及新兴领域均面临着新的安全挑战。目前包括 Web 应用防火墙、DDOS防护包 已经支持 IPv6 安全防护。更多的安全产品是否支持 IPv6 可以关注此页面:IPv6云安全解决方案 针对WAF值得注意的是:目前,仅中国大陆地区的企业版或旗舰版WAF实例支持IPv6安全防护功能。并且 WAF 不支持回源防护 IPv6-Only IP。 针对DDOS防护包值得注意的是:一个防护包实例只能对一种访问流量类型提供防护,不支持同时防护IPv6和IPv4两种类型的访问流量。如果您需要防护不同类型访问流量,请购买两个防护包实例并选择不同的IP类型。 这个机制类似 SLB 支持 IPv6 的模式。 方案 了解了相关拥有 IPv6 能力的产后,我们可以基于不同的业务场景构建不同的 IPv6 实践方案。一般来说,只要用户访问的第一层是支持 IPv6 的那么整个业务都可以支持。 如果第一层的产品不支持那么即便后面的业务都部署了双栈依旧无法提供 IPv6-Only 的访问支持。 例如云服务器ECS设置了 v6/v4 双栈,但是用户访问的第一层是一个仅支持 IPv4 的 SLB 那么还是无法提供 IPv6-Only 的访问支持。 现有业务 IPv6 改造方案 推荐使用产品: 负载均衡SLB IPv6实例、云解析 DNS、对象存储OSS 一、负载均衡SLB 的 IPv6 实例为现有 云服务器ECS 提供IPv6网络输出 二、云解析DNS提供解析支持,同解析名称在 A 记录解析到 IPv4 地址的基础上,添加 AAAA 记录解析到SLB的IPv6地址 三、如果用对象存储存放了非结构化数据,那么使用 OSS 的域名直接就获得了 IPv6 的能力 参考教程:[【云计算的1024种玩法】只要SLB+DNS,云上IPV6竟然如此简单 新建业务 IPv6 改造方案 推荐使用产品: 负载均衡SLB IPv6实例、云服务器ECS、IPv6网关、云解析 DNS、对象存储OSS 一、如果不会云服务器的IPv6双栈,可以直接使用负载均衡SLB 的 IPv6 实例为现有 云服务器ECS 提供IPv6网络输出。 二、使用云服务器设置 IPv6、IPv4 双栈,新建的云服务器可以通过 Cloud-init 初始化过程中运行脚本完成网络设置,这里涉及到的点会比较多,比如说比较老版本的Web软件默认是不开启 IPv6 支持的需要添加相关编译参数或者直接升级用新版。 同时一些防火墙的设置可能也需要额外熟悉一下。 三、云解析DNS提供解析支持,同解析名称在 A 记录解析到 IPv4 地址的基础上,添加 AAAA 记录解析到SLB的IPv6地址 四、如果用对象存储存放了非结构化数据,那么使用 OSS 的域名直接就获得了 IPv6 的能力。 参考教程:阿里云ECS部署 IPv4 IPv6 双栈实践 – 新建篇 线下物理机/多云 IPv6 解决方案 推荐使用产品:IPv6转换服务、云解析 DNS 针对已有线下物理机房的业务,IPv6 改造的成本高、周期长、可用性差的情况,就可以考虑直接使用 IPv6转换服务 进行转换。 同时一些其他云服务厂商可能短期内还无法提供 IPv6 服务,同样也可以使用阿里云的 IPv6转换服务 帮助实现 IPv6 访问能力,通过相关检查要求。 不过使用 IPv6转换服务 需要将备案接入阿里云,这个需要一些提前量去进行筹备,以避免因为备案审核的时间延误了相关上线时间点安排的节奏。 参考教程:使用IPV6转换服务实现网站的双栈访问 双栈ECS搭建IPv6反向代理 部分用户如果觉得 IPv6转换服务 比较贵的话,其实可以使用拥有 IPv6 的云服务器ECS搭建反向代理来实现类似 IPv6转换服务 的模式,不过这样自建就没有转换服务来的省心,同时也不具备高可用性的特征。 推荐软件:https://github.com/snail007/goproxy 云安全 IPv6 解决方案 推荐使用产品:DDOS防护包 IPv6版、WAF 企业版、云解析 DNS 上面的云产品都是不提供安全防护能力的,当然我们也可以通过 IPv6 转换服务将WAF的IP进行转换,但是这样成本会上升,而且这个方法就无法应用于DDOS攻击的防护。 云安全 IPv6 服务提供了进一步的安全防护能力,既可以防护云上业务也可以防御非阿里云或者云下物理机上的业务。针对包年包月安全产品会有对应的安全钉钉支持团队,如果大家不会配置 IPv6 是可以让支撑的同学来帮忙处理。 相关推荐解决方案: 一张图看懂阿里云 IPv6 解决方案 一张图看懂阿里云 IPv6 转换服务 双十一中的IPv6大规模应用实践 SLB IPv6搞定苹果AppStore审核 阿里云应用IPv6改造解决方案最佳实践 欢迎大家针对 IPv6 云上业务解决方案和我一起做沟通。我的钉钉是:huicute 还想了解更多阿里云独家最新资讯,赶快钉钉扫码加入我们的组织,和志同道合的开发小伙伴一起探讨吧~
前言 RHEL 8 系统已经发布了,很多小伙伴可能已经在本机服务器或者虚拟机上安装测试和学习了。因为我不太想安装本地虚拟机所以就制作了一个公有云的KVM镜像来跑 RHEL8 了,这样的测试也能更贴近生产环境,和测试网络情况。 但是阿里云默认也没有提供 RHEL8 的公共镜像,所以就自己动手做了一个。 介绍 Red Hat Enterprise Linux 8 是针对混合云时代重新设计的操作系统,旨在支持从企业数据中心到多个公共云的工作负载和操作。 Red Hat了解操作系统应该做的不仅仅是作为技术堆栈的一部分存在;它应该是创新的催化剂。从Linux容器和混合云到DevOps和人工智能(AI),Red Hat Enterprise Linux 8不仅可以支持混合云中的企业IT,还可以帮助这些新技术战略蓬勃发展。 镜像 目前基于 KVM 制作了 RHEL8 正式版的公有云镜像,经过测试可以在 AWS、阿里云、OpenStack、腾讯云等平台进行导入后成功运行。 使用须知 由于重置和定义 root 密码需要公有云平台专门针对 RHEL8 进行才有效,而 RHEL 8 才刚发布,所以无法通过控制台进行密码重置或者定义 支持公有云平台对 SSH 密钥进行定义 默认 root 密码: www.mf8.biz 未购买RHEL授权仅可用于测试、开发,不可用于任何商业或者生产场景 激活教程请看: 《免费注册 Redhat 开发者订阅和激活订阅教程》 导入镜像教程请看: 《在公有云上测试使用RHEL8镜像》 下载 请前往 米饭粑封装的 RHEL 8 KVM 公有云镜像下载 查看下载。 导入教程 一、把镜像上传到想要哪里用的ECS地域所对应的 OSS 下。 二、在和OSS对应地域下的ECS控制台页面,找到 镜像 然后点击右上角的 导入镜像 三、然后对应的填写就对了,然后 OSS Object地址 ,记得只能用 http:// 协议,然后用内网地址,一般就是后面带 internal。 四、然后我们等待导入完成 五、镜像创建完成后,我们就可以拿来创建实例了。 六、目前针对 阿里云 进行专项优化,优化阿里云上体验,Cloud-Init 优化支持为阿里云版本,但是不影响其他平台导入和使用,如果需要优化其他云的体验,请参考相关文档教程,将镜像优化至最符合公有云体验的模式: 阿里云 导入镜像必读https://help.aliyun.com/document_detail/48226.html 来自:https://www.mf8.biz/rhel8-kvm-on-the-cloud/
虽然自己的 WordPress 博客很早就云化了,用了云服务器、云数据库、OSS 和 CDN,不过在 WordPress 的附件的云化其实自己一直都是沿用的老思路就是 我爱水煮鱼 大佬之前发布的七牛云插件,用镜像的方式把源站的图片在七牛进行存储再加速,这样的好处就是兼容性比较广,但是WP网站的目录随着网站的成长会越来越大。 今天一看自己备份博客的Bukcet都已经10G那么大了,然后分析了一下网站果然大部分存储都是被多媒体附件占用了,所以需要通过将存储从服务器转移到对象存储降低服务器存储压力。 这一个操作在私有网盘网站、下载站等很高的利用率,将文件存储在更廉价却又更可靠的对象存储上而不是高昂的服务器存储上。 介绍 如果要降低备份的容量大小,很重要的就是不能把文件再存到本地了,必须存储到对象存储上面来降低存储成本。 这里推荐的插件是:aliyun-oss-support 插件特色 支持 Aliyun OSS 的图片服务(根据参数获得不同尺寸的图片) 自定义文件在 Bucket 上的存储位置 支持 HTTPS 站点 支持阿里云内网和 VPC 网络 全格式附件支持,不仅仅是图片 支持 wordpress 4.4+ 新功能 srcset,在不同分辨率设备上加载不同大小图片 支持在 WordPress 后台编辑图片 支持预设图片样式,图片保护,自定义分割符 中英文双语支持,方便使用英文为默认语言的同学 支持在其他插件/主题中通过系统钩子调用插件功能 代码遵循 PSR-4 规则编写 教程 注意: 部分操作不当会损失网站文件,一定要提前备份数据库和网站文件,建议关闭缓存插件以供调试使用。 一、该插件没有推送到 WP 插件库,但是是开源的所以不用担心安全问题。 在这里插件最新版:https://github.com/IvanChou/aliyun-oss-support/releases/tag/3.2.7 二、将插件解压上传到 /wp-content/plugins/ 或者通过 WordPress 插件中心上传安装 三、进行插件配置: AccessKey 和 AccessKeySecret 建议通过 RAM 子账号设置,后面我会出一份通俗的设置教程。 建议选择和ECS同一地域的OSS,可以内网传输图片节省流量费用。 内网 选项一定是同地域才能打勾。 Bukcet域名 可以输入cdn域名而无需是Bucket域名,因为SDK传输不依赖于Bucket域名进行传出。 存储路径 建议设置成和 uploads 不一样的目录,方便我们判断,例如我的 wp-store 就很不错。 四、再详细介绍一下这个图片服务: WordPress 在用户上传图片时,根据预设尺寸生成多份不同大小的缩略图,以供页面适配。这种方式虽然有效但很不灵活,如切换主题的时候,之前的图片尺寸便极可能与新主题不一致。而且也非常占用存储空间!!! OSS IMG 裁剪就是为了解决这类问题而出现的,它可以通过在图片 Url 后面传参来实时生成各种尺寸的图片,只需要存一张原图,就可以在任何时候满足任何需求。IMG 服务十分高效,加上 CDN 的配合,响应速度与直接访问静态资源并没有区别。 进阶使用请参考:如何使用阿里云 OSS 图片服务, 默认的我们光图片服务打勾就没问题了。 五、清理缓存,包括WP缓存插件,CDN缓存,对象缓存等等。 六、检测网站多媒体文件是否生效: 新上传一张图片,查看网站源代码检测图片文件是否变化: 我之前可能是CDN镜像的原站是:https://statics.mf8.biz/wp-content/uploads/2016/11/o6gepqxnqmy-mr-cup-fabien-barral.jpg?x-oss-process=image/resize,w_900,h_300,m_fill/sharpen,100 修改之后的地址就应该是:https://pics.mf8.biz/wp-store/2016/11/o6gepqxnqmy-mr-cup-fabien-barral.jpg?x-oss-process=image/resize,w_900,h_300,m_fill/sharpen,100 查看OSS的文件管理,是否有我们传上去的图片 通过OSS工具如 OSS Browser 、ossutil 将 wp-content/uploads/ 下的文件传到OSS对应的目录,根据我设置的图片,我的目录是 wp-store 七、我知道你手痒打算点 高级选项 很久了,那我们就点 ———— 接下来的步骤都有危险性,而且必须开启 图片服务 选项,然后要充分测试插件的兼容性,特别是一些老旧插件和功能非常多的插件。 勤做备份吧~ 八、没有备份慎点 点击 清理服务器存储 就所有旧的多媒体链接都会改成新的,所以第六步转移旧文件到OSS很重要,不做就不会显示。 九、没有备份慎点 ,如果测试了没有问题,wp-content/uploads/ 可以把里面的文件全部删除了。 总结 目前用的很开心的,备份文件大大减负了。 来自:https://www.mf8.biz/mv-wp-media-to-oss/ 欢迎查看更多云计算分享。
2020年02月
2020年01月
发表了文章
2020-02-19
发表了文章
2020-02-10
发表了文章
2019-08-06
发表了文章
2019-08-06
发表了文章
2019-05-27
发表了文章
2019-05-17
发表了文章
2019-05-07
发表了文章
2019-03-10
发表了文章
2019-03-08
发表了文章
2019-01-07
发表了文章
2018-12-03
发表了文章
2018-10-28
发表了文章
2018-10-23
发表了文章
2018-10-21
发表了文章
2018-10-21
发表了文章
2018-10-21
发表了文章
2018-09-05
发表了文章
2018-07-17
发表了文章
2018-06-28
发表了文章
2018-05-25
回答了问题
2020-01-15
可以的,需要工单申请相关权限后将镜像导出到指定OSS,然后通过OSS下载raw文件即可。
回答了问题
2020-01-15
这个是VitroIO的驱动,在虚拟化环境下让系统识别云盘
提交了问题
2020-01-14
提交了问题
2018-11-08
回答了问题
2018-10-24
回答了问题
2019-07-17
首先咱们得有一个商城,先不考虑自建就淘宝吧, 然后遇到问题搜方案。 千万不要在装修上浪费太长时间
提交了问题
2018-10-03
提交了问题
2018-09-30
提交了问题
2018-09-30
回答了问题
2018-08-23
提交了问题
2018-05-14
回答了问题
2018-05-14
-------------------------
回答了问题
2018-04-11
回答了问题
2018-04-04
回答了问题
2018-04-02
-------------------------
提交了问题
2018-03-31
回答了问题
2018-03-30
提交了问题
2018-03-30
提交了问题
2018-03-30
回答了问题
2018-03-19
