基于赢网互联弹性计算平台构建高可用.doc

基于赢网互联弹性计算平台构建高可用、可扩展的应用简介:本文重点介绍如何利用赢网互联弹性计算平台构建高可用、可扩展的应用。 赢网互联弹性计算平台(ECS)面向中国互联网开发者和站长，致力于为中国的中小网站提供靠谱的互联网基础服务。它基于真正的分布式存储系统Hadoop，结合高性能虚拟化技术KVM，实现了计算、存储和网络资源的统一调度和弹性分配。在具体的产品形式上，客户接触的是最简单的云服务器，与物理机无二，没有任何的使用门槛。由于采用了云计算技术，相比传统的IDC托管服务，弹性计算在自助管理、资源组合灵活性、基础环境定制化、数据安全性及硬件资源利用率上都有不小的优势。 在本文中，我们将和大家分享在云计算平台上构建高可用、可扩展应用的一些进阶技巧。考虑到有些读者尚未接触过ECS，所以在进入正题之前，让我们简单浏览一下ECS的各项特性。 自助管理 ECS在198的控制台中提供了多种用户自助的操作，例如最为常见的创建、启动、关闭云服务器，将来还会陆续推出比较高级的自定义镜像（Image）、负载均衡、磁盘导入等功能。回想我们以前遇到服务器不可访问时，提交工单、电话催促，在经历漫长等待之后，也未必能够得到一个满意的答复。现在，我们可以在控制台中全程监控和管理每一台服务器的运行情况，从而做出快速的决定-重启或者部署新的服务器。ECS支持目前主流的Windows和Linux系列操作系统。用户不仅可以使用这些标准的镜像，还可以在此基础上修改配置、安装软件，创建出自己的镜像，当要快速恢复基础环境或者批量部署集群时，自定义镜像将成为提高运维效率的利器。 云镜像就是将您已有的云主机做成镜像，以便购买新的云主机的时候使用，免去重复配置主机环境的麻烦。云镜像按照实际的数据大小来收费，费用仅为0.50元/G/月.自动故障恢复有了分布式存储的支持，ECS可以提供比传统主机或VPS服务更高的可用性指标。当一台物理机损坏时，ECS会自动监测到硬件故障，在第一时间内把云服务器迁移到新的宿主机上，同时硬盘数据保持最后一刻的状态。然后，在国内，提供“云主机”的大大小小数百家服务商中，95%以上只是把一台性能较好的物理服务器通过虚拟化技术虚拟为若干台虚拟机再出售给客户，实际上就是VPS。VPS的问题在于当宿主服务器发生故障（如主板损坏、电源损坏、操作系统损坏、硬盘损坏等）的情况下，在上面运行的所有VPS将全部当机，恢复时间一般需要数小时以上。 使用了分布式存储系统的“真云”能在10分钟左右将业务迁移至其他节点，且硬盘数据保持最后一刻的状态。从以上介绍可以知道，托管在赢网互联弹性计算平台上的应用可以获得更多的保障，但我们是否可以认为，将应用搬到云计算平台之后，它就能跑得欢快、永不宕机，还能自动扩展了？答案是NO！每时每刻，硬盘、主板、电源或者网络设备都可能突然损坏，甚至整个数据中心发生停电。云计算技术没有办法解决所有硬件问题，只是降低了某些故障的发生几率，例如： 普通SATA的年损坏率在24%，但使用分布式存储的年损坏率在1以下； 自动故障恢复只是减少了服务器的宕机时间，但不能防止宕机； 如果我们的应用只能跑在单台服务器上，只能依赖单台设备的硬件升级才能应付日益增长的访问量，那么这种应用的宕机是迟早的事。我们需要从部署架构和应用架构两个方面来破解这个难题。 部署架构既然没有什么硬件是永不损坏的，我们是否可以用多份冗余的硬件来降低故障的概率？如果挨在一起的服务器被一把火烧掉的可能性太大，我们是否可以把它们分散在不同的集群？如果数据可能被破坏，是否要经常做些备份？ 把各种故障因素都考虑一遍，我们就得出了一个大致的部署框架： 1、以集群方式提供服务Web服务器、缓存服务器都是非常适合部署为集群的，单台服务器损坏不会影响整个网站的访问。数据库服务器稍难一些，但它们也提供了镜像、主从复制、读写分离等解决方案。2、 将云服务器分布在不同的可用区（Zone）下不同的可用区代表数据中心里的不同物理位置，同一可用区内的服务器可能同时遭遇网络设备、电力等故障，因此，把一个集群内的云服务器分散到不同的可用区甚至不同的数据中心（Region）是个明智的选择。3、 为Web服务集群配置负载均衡与DNS轮询多台Web服务器可以通过配置负载均衡或者DNS轮询提供对外服务。相比DNS轮询，负载均衡方式会更加灵活，因为它对外屏蔽了服务器的真实IP，当负载均衡资源池内增加或减少服务器时，对客户是透明的。而DNS存在时延的问题，集群发生调整后，很有可能造成部分用户在很长一段时间内无法正常访问网站。另外，负载均衡能够跟踪后端应用服务器的健康状态，自动排除有故障的节点，避免出现服务时断时续的问题。对于特别大的应用，我们推荐使用负载均衡+DNS轮询的方式，只是这里的DNS轮询域名指向的是负载均衡的VIP。4、 实现动态部署为了应对经常性的业务推广和可能的DDOS网络攻击，实现系统与应用程序的一键部署很重要。系统管理员可以根据应用的当前状态（CPU、内存使用率、HTTP的响应时间等）作出判断，即时增加服务器，并且快速部署应用程序，顶住突增的业务流量。如果实现得更智能一些，可以在应用服务器内部部署一些监控程序，由主控程序判断当前整个集群的负载情况，调用ECS API自动增减服务节点。用一台主控机去批量操作其它云服务器时，应该尽量地使用一些便捷工具，例如SSH密钥对，它实现了授权服务器间的免登录，使得集群管理更加简单。5、定时备份很重要前面说到，没有什么技术可以保证100%的数据安全，你的数据始终面临误删文件、病毒破坏、程序写错、硬件损坏等种种可能的风险。如果你的数据非常非常重要，请定期备份！在弹性计算平台上，这件事情相对简单，数据同时写4份，还有每2天一次的外部云备份，基础上可以保障您的数据高枕无忧。然而，单个物理位置的存储始终会面临地震、火灾等灾难的威胁，如果你觉得还不够安全，或者有异地使用的需要，且能够承受异地备份带来的存储、带宽等成本，可以自行拷贝数据文件。我们的弹性计算平台有不同区域的数据中心，您可以考虑在一个数据中心进行业务开展，而在另外一个数据中心进行灾难备份。6、 将应用程序配置为自恢复的单台服务器的硬件故障是常见现象，以现有的云计算技术能力，尚无法做到不影响云服务器的运行，但ECS可以快速检测到故障特征，并且将云服务器自动迁移到新的宿主机上。这里存在一个问题，虽然云服务器重新启动了，而且硬盘数据恢复到最后一刻的状态，但是原先正在运行的应用程序中止了。为了让你的服务中断时间尽量地缩短，避免人工的介入，强烈建议将应用程序及相关服务（如Web服务、数据库服务等）设置为开机自启动，这样，你就可以高枕无忧地睡大觉，不用半夜起来恢复应用，尽管只是几个点击或者命令操作。7、加固系统安全也是高可用的重要前提之一。放在IDC机房中的服务器时时面临各种恶意攻击，比如端口扫描攻击大量的肉机在循环探测机房中每一台机器的1433端口，它是在试探SQLServer服务，一旦SQLServer被攻破，再利用SQLServer管理员的系统权限漏洞，马上就有一些机器沦为肉鸡。赢网互联弹性计算服务在平台层面就屏蔽了一些影响范围很大的恶意攻击，例如篡改MAC、伪造IP、发送ARP欺骗包等，但用户的系统还是要遵循一些安全最佳实践，才能让自己的系统更加稳固：1、关闭不必要的系统服务越多的服务意味着越多的漏洞，特别是Windows共享文件夹、远程修改注册表项等服务都存在巨大的风险，如果你的工作不需要这些服务，请马上关闭。2、及时升级系统补丁前段时间爆出的微软高危RDP漏洞让很多用户深受其害，通过一个简单的Python脚本，黑客就可以直接获取系统管理员权限或者直接把服务器打至蓝屏。不要忽略操作系统厂商的安全警告，一旦遭遇攻击，将造成不可挽回的损失。3、开启系统防火墙采用白名单控制策略，只开放最小集合的端口。对于数据库服务器，更要设置IP白名单，仅允许前端的Web服务器访问；对于Web服务器，只对外开放80端口。4、修改常见服务的端口黑客经常用工具软件破解3389的远程登录密码，即使您的密码足够复杂，但这种尝试会消耗掉您的主机大部分的CPU资源。笔者曾经遇到过一个很奇怪的现象，在一台Windows 2003服务器上，应用的负载很低，但CPU利用率达到了99%，从任务管理器中看到，有无数个winlogon.exe进程疯狂消耗CPU，当时百思不得其解。一天之后，这台服务器就沦陷了，我才恍然大悟，一定是攻击者在尝试破解密码为了减少这类攻击，最有效的方式就是修改掉远程登录的默认端口，增加黑客扫描的难度。为预防这个问题，赢网互联弹性云主机开通后的默认端口是33890，而不是3389，防止CPU资源被白白浪费。 应用架构要支持上述高可用、可扩展的部署架构，应用程序也要做相应的调整。例如：Web应用的无状态设计Web应用的诸多因素可能造成系统无法扩展：本地存放的上传文件、进程内的Session等。以上传文件为例，假设使用了本地存储，用户第一个请求上传了一个头像文件，存放在Web-A服务器上，接着刷新页面，但这个请求被发送到Web-B服务器上，他惊奇地发现：上传的头像文件不见了！要解决这个问题，必须把上传文件存放到共享的文件夹，Web服务器不能保留任何自己的数据（即无状态）。 在使用负载均衡时，网页文件建议使用文件共享、NFS、ISCSI 或 rsync定期自动同步。用分布式服务代替单点的服务单点就意味着故障，不仅有可用性的风险也有性能瓶颈的问题。常见的单点一般出现在共享文件服务器、数据库服务器。赢网互联云计算平台提供了一系列分布式服务，是这些单点服务的可行替代方案：需要高IO型的应用可使用磁盘阵列存储。 磁盘阵列存储比分布式存储有更高的IO性能，但在宿主服务器当机的情况下需要更长的恢复时间。应用的安全不容忽视安全不仅是操作系统配置的问题，堡垒更容易从内部被攻破，而这个内鬼很有可能就是我们的应用。从概率上说，一个复杂程序会比一个简单程序多很多漏洞，而Web应用涉及数据库、应用服务器、缓存等诸多组件，稍有不慎，攻击的后门就会向黑客敞开。常见的Web服务漏洞有：XSS跨站脚本攻击这类Web攻击最为普遍，一般发生在允许用户输入内容的页面，尤其是提供富文本编辑的模块。几乎所有的网站都会被XSS攻击光顾，但防御这类攻击也是最为简单的：限制用户输入，并且在页面输出内容时对敏感字符进行编码，相对来说，后者更为重要一些。PHP语言的htmlspecialchars函数、Java Jakarta commons的StringEscapeUtils类都是实现编码功能的快捷工具。SQL注入攻击只要应用代码中存在这样的SQL：sql = select * from User where name= name and password= password ;那么这个应用距离沦陷也就不远了，攻击者只要输入一个值为” or 1=1 or name=” or 1=1 or name=” or 1=1 or name=” or 1=1 or name=的name就可以轻易进入你的应用系统。杜绝这类问题的方法有2种：对输入的特殊字符进行转义，例如PHP的mysql_real_escape_string函数；或者采用参数化的SQL，例如：table=100%,0 tr tdsql = select * from User where name=? and password=?; result = query(sql, name, password);/td /tr/table后者实现更加优雅，绝对避免了SQL注入的风险，而且在提升数据库的查询性能上也会有所帮助。 上传文件漏洞这是最为危险的应用级漏洞，特别容易出现在允许用户上传内容的网站中。假设一个tomcat搭建的Web网站允许用户上传附件，却忘了限制上传目录的可执行权限，攻击者就可以上传一个带webshell的jsp文件，通过访问这个上传文件的URL就可以完全控制网站服务器。一定要取消上传文件的可执行权限，另外，绝不允许这类文件被当作服务端脚本解析。赶紧为你的网站实施安全策略吧！Cookie与传输加密只要会用HttpWatch、Fir