智慧园博园基础设施及云平台设计方案_第1页
智慧园博园基础设施及云平台设计方案_第2页
智慧园博园基础设施及云平台设计方案_第3页
智慧园博园基础设施及云平台设计方案_第4页
智慧园博园基础设施及云平台设计方案_第5页
已阅读5页,还剩120页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

智慧园博园基础设施及云平台设计方案

目录

第1章基础设施及云平台设计方案4

1.1基础云平台方案对比4

1.2混合云方案4

1.3私有云平台设计5

1.3.1云计算平台5

1.3.2负载均衡5

1.3.3虚拟专有网7

1.3.4关系型数据库7

1.3.5分析型数据库8

1.3.6对象存储10

13.7大数据离线计算12

1.3.8流计算13

1.3.9应用中间件14

1.3.10ETL工具14

1.3.11数据质量管理14

1.3.12数据开发平台15

1.3.13BI工具16

1.3.14大屏数据可视化16

1.4公有云平台设计18

1.4.1云计算平台18

1.4.2大规模分布式计算系统内核18

1.4.3laaS基础服务平台18

1.4.4负载均衡SLB36

1.4.5PaaS公共服务平台41

1.4.6关系型数据库RDS-MySQL引擎52

1.4.7云数据库Redis58

1.4.8云资源监控84

1.4.9企业级分布式应用服务EDAS97

1.4.10消息队列组件MQ105

1.5混合云建设方案116

1.5.1混合云的特点116

1.5.2建设高效的混合云117

1.6云存储方案设计118

1.6.1平台架构118

1.6.2组网结构119

1.6.3功能性要求119

2.6.4扩展性要求121

2.6.5容量要求121

2.6.6性能要求122

2.6.7可靠性要求122

2.6.8安全性要求123

2.6.9磁盘利用率124

2.6.10维护与升级保障125

2.6.11环保功耗125

第1章基础设施及云平台设计方案

1.1基础云平台方案对比

基本云平台主要实现路径包括:公有云、私有云、混合云三种模式,公有云、私有云特点如下:

公有云适用范围:信息化基础设施差的中小企业;弹性运算要求高的企业;对互联网质量要求极高的企业.

私有云适用范围:信息化基础设施较好、内部应用较多、有一定维护能力的大中型企业。

如下为公有云与私有云的对比表。

私有云公有云

数据安全高(安全可控)低(不可控)

可拓展性中(需要基础)高(无限拓展)

系统集成便捷性高(按需集成)低(难度极大)功能

服务质量高(按需提供服务)中(有限的服务)

使用寿命5-8年按年缴费

基础支撑设备高(大量基础设备)低(极少基础设备)

成本

机房环境高(较高要求)无(无要求)

电费按需维护无

运营维护费

网络费用较低较高

维护费按需维护按需维护

建议目前按照混合云(私有云+公有云)的模式进行建设,综合两者的优势;将内部应用部署在私有云,将对外服务应用部署在公有云并按需增加,

两者之间打通。

综上所述,单一采用公有云或私有云作为云平台基础支撑,各有优劣势,相比之下.采用公有云+私有云的混合云建设模式可以达到经济性、性能、

安全性、可拓展性、可维护性等各方面的最佳方案。

1.2混合云方案

混合云融合了公有云和私有云,是近年来云计算的主要模式和发展方向。我们已经知道私有云主要是面向企业用户,出于安全考虑,企业更愿意将

数据存放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获

得最佳的效果,这种个性化的解决方案,达到了既省钱又安全的目的。

更完善

私有云的安全性是超越公有云的,而公有云的计算资源又是私有云无法企及的。在这种矛与盾的情况下,混合云解决了这个问题,它既可以利用私

有云的安全,将内部重要数据保存在本地数据中心;同时也可以使用公有云的计算资源,更高效快捷地完成工作,相比私有云或是公有云都更完善。

可扩展

混合云突破了私有云的硬件限制,利用公有云的可扩展性,可以随时获取更高的计算能力。企业通过把非机密功能移动到公有云区域,可以降低对

内部私有云的压力和需求。

更节省

混合云可以有效地降低成本。它既可以使用公有云又可以使用私有云,企业可以将应用程序和数据放在最适合的平台上,获得最佳的利益组合。

混合云提供了许多重要的功能,可以使各种形状和规模的企业受益。这些新功能使企业能够利用混合云,以前所未有的方式扩展IT基础架构。我们

来看看混合云的五大优点。

降低成本

降低成本是云计算最吸引人的优势之一,也是驱使企业管理层考虑云服务的重要因素,升级预置基础设施的增量成本很高,增加预置的计算资源需

要购置额外的服务器、存储、电力以及在某些极端情况下新建数据中心的需求。混合云可以帮助企业降低成本,利用“即用即付”云计算资源来消除购买

本地资源的需求。

增加存储和可扩展性

混合云为企业扩展存储提供了经济高效的方式.云存储的成本相比等量本地存储要低得多,是备份、复制VM和数据归档的不错选择。除此之外,

增加云存储没有前置成本和本地资源需求。

提高可用性和访问能力

虽然云计算并不能保证服务永远正常,但公有云通常会比大多数本地基础设施具有更高的可用性,云内置有冗余功能并提供关键数据的geo­

replicationo另外,像Hyper-V副本和SQLServerAlwaysOn可用性组等技术可以让我们利用云计算来改进HA和DR.云还提供了几乎无处不在的连接,

使全球组织可以从几乎任何位置访问云服务,

提高敏捷性和灵活性

混合云最大的好处之一就是灵活性。混合云使您能够将资源和工作负载从本地迁移到云,反之亦然。对于开发和测试而言,混合云使开发人员能够

轻松搞定新的虚拟机和应用程序,而无需IT运维人员的协助。您还可以利用具有弹性伸缩的混合云,将部分应用程序扩展到云中以处理峰值处理需求。云

还提供了各种各样的服务,如BI、分析、物联网等,您可以随时使用这些服务,而不是自己构建。

获得应用集成优势

许多应用程序都提供了内置的混合云集成功能。例如,如前所述,Hyper-V副本和SQLServerAlwaysOn可用性组都具有内置的云集成功能,SQL

Server的StretchDatabases功能等新技术也使您能够将数据库从内部部署到云中”

1.3私有云平台设计

L3.1云计算平台

云计算平台统一提供从网络、服务器、分布式操作系统到云管理、云服务的一体化平

台,具备完整的云资源调度、管理和监控能力。

云计算平台和大数据模块需要融合为一个整体,账号,管理,运维也必须为一套融合

的体系。

132负载均衡

负载均衡软件通过设置虚拟服务器IP,将后端多台真实服务器的应用资源虚拟成一台

高性能,高可用的应用服务器,通过负载分配算法将大量来自客户端的应用请求分配到后端

的服务器进行处理。负载均衡软件会持续对服务器上的应用状态进行检查,并自动隔离无效

的应用,从而解决单台服务器处理性能不足,扩展性不够,可靠性较低的问题。负载均衡软

件可同时提供四层及七层负载均衡服务,并具备弹性伸缩、避免单点故障、会话保持、健康

检查、状态监控等特点。

1.3.3虚拟专有网

虚拟专有网络允许用户基于云网络环境部署一个隔离的私有网络。在虚拟专有网络内,

用户可定义一个非常类似传统网络的虚拟网络拓扑,且对该虚拟网络环境拥有完全的控制

权,包括定义IP地址范围等。

此外,用户也可创建VPN连接内部的数据中心与虚拟专有网络,使用加密VPN/专线

连接虚拟专有网络和用户自己的IT设施,并将现有的安全和管理策略扩展到虚拟专有网络

实例上。

IPSecVPN-HosttoLAN

1.3.4关系型数据库

关系型数据库软件是一种稳定可靠、可弹性伸缩的在线数据库服务。采用即开即用方

式,兼容MySQL、SQLServer等多种关系型数据库,并提供数据库在线扩容、备份回滚、性

能监控及分析等功能。实现所有应用后台数据库的集中整合和统一运维管理,实现数据的统

一存储,简化部署复杂度,节省成本。

提供在线迁移数据的方式,可以不停止原有数据库运行的情况下完成数据迁移操作;

提供在线升级服务,包括实例配置的升级和数据库版本的升级,升级过程无需用户介入。

TAi^3

IXEZBOJUXI0绘UcrlM&dUk>

XM

<m4«rTK]B«

Urt^lkyCAT1

cc<Md?Bl!-on

vl<tla

police

rut2n彻

x1181dmnxoo/

RAACYUOUi2(5)

cerhlrrB“1

ctre<rt>e0neLMMH

CM4H£4«1

„1大《的

be(■:«•&itrdif»Cf

•e«Wl

CrlMe»]

PN1«

UK322X11^2*Z

<64■»umaxiA;皿

aixtdCTEwmat«ad4c?uriuiz《M

n**«TAKMM2⑸Kju*wmi(6>

fenderVE:>1■uvi(cT*f<e$WU2,:6)

HriMtyM”

1.3.5分析型数据库

在数据应用中,多维OLAP(Multi-DimensionalOLAP,简称MOLAP)是极为重要的

应用场景,如数据统计、分析、查询及行业BI上都有丰富的应用,但是多维OLAP是预先

根据数据需要分析的维度进行建模,在数据的物理存储层面以“立方体”(Cube)的结构进行

存储,具有查询速度快等优点,但是数据必须预先建模,无法依据使用者的意愿进行即时灵

活的修改。

大数据平台要满足海量数据的汇集,并面向应用提供快速、灵活的多维OLAP服务,

因此,传统预先根据数据需要分析的维度进行建模的多维OLAP是无法满足大数据场景应用

需求的,要求大数据平台支持基于MPP架构的分布式实时分析服务。

在数据存储模型上,分布式实时分析服务可以采用自由灵活的关系模型存储,可以使

用SQL进行自由灵活的计算分析,无需预先建模,而利用分布式计算技术,实时数据分析

服务可以在处理百亿条甚至更多量级的数据上达到甚至超越MOLAP类系统的处理性能,真

正实现百亿数据毫秒级计算。支持千亿级高并发实时OLAP多维分析,实现毫秒级响应速度,

支持SQL和自定义函数,兼容MySQL接口。

实时数据分析服务让海量数据和实时与自由的计算可以兼得,实现了速度驱动的大数

据商业变革。一方面,实时数据分析服务拥有快速处理迁移级别海量数据的能力,使得数据

分析中使用的数据可以不再是抽样的,而是业务系统中产生的全量数据,使得数据分析的结

果具有最大的代表性。另一方面,实时数据分析服务采用分布式计算技术,拥有强大的实时

计算能力,通常可以在数百毫秒内完成百亿级的数据计算,使得使用者可以根据自己的想法

在海量数据中自由的进行探索,而不是根据预先设定好的逻辑查看已有的数据报表。

其技术特点有:

♦采用分布式计算框架提供实时计算服务,可支持超过1000台

集群规模,可按需扩容,业务不停;

♦单集群可支持单库不少于2PB数据量;单表可支持不少于1PB

数据量;

♦单集群可支持不少于100个数据库实例(Database);

♦单集群同时支持新建纯ssd存储实例及ssd与sata混合存

储实例,两种实例可以在同一集群内同时存在;

♦支持行列混存功能,支持表级别配置存储模式,实现最优化

的查询性能;

♦支持SQL优先级功能,支持超级、高、中、低四个等级;支

持以查询query粒度,设定查询优先级,保证高优先级应用

高可用;

♦支持单表每秒数万条记录的插入(insert)和删除(delete),

数据实时更新后平均2分钟内即可被查询;

♦支持MPP计算框架,计算功能全面,对跨一级分区列的计算

有良好的支持;

1.3.6对象存储

面向网络的分布式存储服务,具有海量、安全、高性能、高可靠性、低成本的特点。

非常适合用来存储大量不同大小、格式的非结构化数据,比如视频、图像、日志、文本文件

等。单个数据的大小从1字节到5T,可以存储的数据个数无限,从而给互联网应用提供海

量的存储能力。

存放在云存储的每个文件,云存储都会保持3份副本。3份文件副本,会分别保存在

不同交换机,不同机架,不同的服务器上。任何一个服务器,机架,交换机宕机都不会造成

数据丢失。若其中一份副本丢失或者不可用,云存储会自动拷贝一份文件副本保存在运行良

好的主机上,从而保证任何时间,均有3份副本保存在云存储。

块存储文件存帖对象存储

DASSANNAS古中心化架船

应用

目录尼

Faei/o

文尊派蜕

LAN网,

®AUN/HR

scsi/SAsmtx

SAN网络

Btockl/O

bcn^oOfia

oosa□Q9O

用留除何HO/SSO

afflffiHWSSD砒施薛列HO/SSD及后存IB系比

只同窜iniHJg快文生对犊(潸塞户住元敷J809文汴)

更新方式支持领地更新支樗航班更新自建新版本的对象

浇向擀仪SCSI/K/SATA/SASCFSZNFS基于HTTP09REST

次利JU工爱商单密用犷息共.HffKtfiH

应用t剧R敢据傕.SK琦会期XttWW已存■

1.3.7大数据离线计算

大数据离线计算软件是海量数据离线处理服务,针对PB级别数据,单表可达万亿条

记录,实时性要求不高的批量处理,主要应用于大型数据仓库、日志分析、数据挖掘、商业

智能等领域,支持分布式SQL,支持多种数据分析挖掘的分布式计算框架(M叩Reduce/图计

算等)。

其技术特点有:

(1)采用分布式架构,机群规模可以根据需要灵活扩展;

(2)自动存储容错机制,保障数据高可靠性;

(3)支持高并发、高吞吐量的数据上传下载;

(4)支持基于SQL的数据处理,支持窗口函数等高级分析功能;

(5)支持多租户,多个用户可以协同分析数据;

(6)支持基于ACL和policy的用户权限管理,可以配置灵活的数据访问控制策略,

防止数据越权访问;

(7)集成大数据开发环境,支持数据挖掘、BI分析工具、数据仓库建模、数据服务

化、分布式数据挖掘和机器学习等。

(Mpiit

disk)phawMn

138流计算

目前流计算定义为一套轻量级提供SQL表达能力的流式数加加工处理引擎。

流计算集成诸多全链路功能,方便进行全链路流计算开发,包括:

强大的流计算引擎,提供流式计算的标准SQL,支持各类Fail场景的自动恢复,保证

故障情况下数据处理的准确性;支持多种内建的字符串处理、时间、统计等类型函数;精确

的计算资源控制,彻底保证多租户之间作业的隔离性。

丰富多样的数据采集工具,涵盖从无结构化日志采集到结构化的数据库变更采集,从

简单易懂的一键式拖拽上传数据到开放可定制化的编程SDK,让用户随心所欲采集并上传

业务流式数据。

深度整合各类云数据存储,包括各类数据存储系统,无需额外的数据集成工作,流计

算可以直接读写相关产品数据。

多样化数据展现套件,覆盖各类数据化报表展示组件,•同时针对流式计算特有翻牌器、

实时大屏等场景提供定制化显示组件,用实时化的大数据助力业务发展。

ProcessingOperator

ReceiverMkro-batches

、△⑨・j

RecordsprocessedinshortbatchesProcessingOperator

1.3.9应用中间件

应用中间件是位于操作系统与上层应用之间的中间支撑软件,具有标准的程序接口和

协议,实现Java应用的快速部署和运行,对于不同的平台具有符合标准接口和协议规范的

具体体现,提供跨平台的应用、服务解决方案。它可保证事务在异构环境下正常运行,对事

务进行安全性、完整性控制,提高应用处理的并发性、吞吐量,对应用事务进行协调管理。

(1)支持多种标准,包括JSB、JDBC、XML和WML。

(2)跨平台兼容性,支持与主流数据库、操作系统的紧密集成;

(3)支持命令行远程控制应用服务器,支持通过命令行远程调整中间件平台运行参

数,获取中间件平台运行状态。远程控制命令需要通过用户认证;

(4)支持集群技术。

1.3.10ETL工具

基于分布式架构的ETL工具,主要用于异构数据源之间的数据交互,支持大多数主流

数据库及分布式文件系统作为数据源。数据交换以字段为最小单位,能够非常灵活的进行数

据的抽取、转换、加载等操作,任务作业可以根据需要进行自动的周期性调度,用户全部操

作均通过友好的界面完成。

支持异构数据源之间的数据交互,包括Oracle、MySQL、SQLServer等的数据互通。

页面上灵活拖拽进行数据的截取、转换等操作,支持自动的周期性调度,支持分布式高可用

性架构。

1.3.11数据质量管理

数据质量管理是指对数据从计划、获取、存储、共享、维护、应用、消亡生命周期的

每个阶段里可能引发的各类数据质量问题,进行识别、度量、监控、预警等一系列管理活动,

并通过改善和提高组织的管理水平使得数据质量获得进一步提高。

数据质量管理是在数据标准和业务规则规定的范围内,依据定义的数据质量标准对数

据进行质量检查的过程。依据数据在数据生命周期的各个阶段的特性,建立数据质量控制机

制,及时发现并分析数据质量问题,不断改善数据的使用质量,从而提升数据的可用性,实

现数据更大的价值。

1.3.12数据开发平台

平台提供一站式的集成开发环境,可满足大数据环境下的数据查询、ETL开发、数据

挖掘算法开发等需求;提供WebIDE编程和调试环境,支持多种程序类型;数据开发主要

面向开发者提供可视化工作流任务设计器、代码编辑器,通过拖拽节点(SQL、MR、数据同

步、机器学习、SHELL和虚拟节点)和连线的方式来构建上下游依赖关系。

工作流开发代码编辑明数据建模版本管理

知:任务开发预雌代码发布管理

DEBUG调度配置协同开发

在大数据开发套件中可以进行工作流任务设计、代码开发、发布工作流任务和代码等

操作。

一键发布,快速将程序部署到生产调度系统。系统可根据程序代码自动解析出任务节

点间的依赖关系;

团队开发:代码版本管理,代码分类管理,多人协同模式下的代码锁管理和冲突检测

机制;

提供Eclipse插件用于M/R和UDF编程,并且与WebIDE紧密集成。

提供表搜索、数据查询功能,用户可轻松触碰数据;

提供代码扫描规则引擎,支持用户编程实现各类扫描规则;

平台为所有租户提供统一的生产作业调度系统,租户可自主管理作业的部署、作业优

先级、以及生产监控运维。如果租户间有数据交换,那么彼此的作业可形成依赖。

调度系统可支撑的job数量达到百万级;

执行框架采用分布式架构,并发作业数可线性扩展;

支持多种调度周期:分钟、小时、日、周、月、季度、年。支持跨周期依赖;

支持节点空跑、暂停、一次性运行等特殊状态控制;

可视化展示调度任务DAG图,极大地方便用户对线上任务进行运维管理;

支持任务运行状态监控告警,支持单任务重跑、多任务重跑、kill、置成功、暂停等操

作;

支持补数据(串行执行多周期实例);

数据仓库建摸

平台为大型数仓团队提供一整套数据模型设计工具,包括:

指标管理系统,对业务数据进行标准化定义;

物理模型设计,类似PowerDesigner工具,用户可对表进行可视化设计(同时也兼容

DDL编辑模式)。设计稿与真实表可以双向同步;

逻辑模型设计,支持数据流图、ER图、字段mapping等功能。

1.3.13BI工具

数据分析工具BI,指用现代数据仓库技术、线上分析处理技术、数据挖掘和数据展现

技术进行数据分析以实现商业价值。BI是用来处理企业中现有数据,并将其转换成知识、分

析和结论,辅助业务或者决策者做出正确且明智的决定,是帮助企业更好地利用数据提高决

策质量的工具。

数据分析工具BI的关键是从许多来自不同的企业运作系统的数据中提取出有用的数

据并进行清理,以保证数据的正确性,然后经过抽取(Extraction)、转换(Transformation)

和装载(Load),即ETL过程,合并到一个企业级的数据仓库里,从而得到企业数据的一个

全局视图,在此基础上利用合适的查询和分析工具、数据挖掘工具、OLAP工具等对其进行

分析和处理(这时信息变为辅助决策的知识),最后将知识呈现给管理者,为管理者的决策

过程提供支持。

基本功能包括:

(1)提供综合报表工具;

(2)支持多维度的OLAP分析查询功能,能够自定义分析维度;

(3)支持分析模型的自定义;

(4)提供无缝嵌入、独立服务器、OCX控件、UNIX下、LINUX下、WINDOWS下

等多种应用环境下的集成方案;

(5)为二次开发提供集成接口,可以将其无缝嵌入到用户的各种应用程序中。

1.3.14大屏数据可视化

构建一站式的大数据可视化应用设计、开发平台,能够根据变动频繁的大数据可视化

需求灵活的开展相关的大数据可视化应用设计、开发、发布等管理流程。

平台提供web界面,降低数据可视化应用开发的门槛,能够帮助非专业的工程师通

过图形化的界面轻松搭建专业水准的可视化应用,满足大数据大屏分析等多种业务的展示需

求。

平台提供可视化大屏模板的能力,能够根据各个大数据可视化的应用场景选择相关的

可视化模板、配置相关的数据源实现大数据可视化应用;

平台提供丰富的可视化组件,可以灵活的满足各类大数据统计分析的需求;

平台提供可视化应用的图形化搭建工具,能够针对可视化的应用的布局、属性、数据、

分辨率等进行设置;

平台提供灵活的数据源配置功能,支持数据库类、api类、文件类等数据的接入、配

置;

平台提供灵活的可视化应用发布功能,可以实现设置访问密码等功能;

1.4公有云平台设计

141云计算平台

智慧园博园平台需要构建一个云数据中心,并利用云数据中心提供的计算、存储、网

络等能力,整合各类物联网传感设备、共享各种信息资源并接入现网的各种存量系统,形成

统一、开放、安全、健壮和高可拓展性的1aaS平台。

142大规模分布式计算系统内核

大规模分布式计算内,技术上自主可控,为上层的服务提供存储、计算和调度等方面

的底层支持,其中包括:远程过程调用、安全管理、资源管理、分布式文件系统、任务调度

和协调服务。通俗地讲,就是把几千台通用的服务器整合成一台超级计算机。

1.4.3IaaS基础服务平台

弹性云计算ECS

云主机(ElasticComputeService,简称ECS)是一种简单高效、处理能力可弹性伸缩

的计算服务,通过ECS可以快速构建更稳定、安全的应用,提升运维效率,降低IT成本。

弹性计算服务是虚拟的计算环境,包含CPU、内存等最基础的计算组件,是云主机ECS提

供给每个用户的实际操作实体。ECS实例是云主机最为核心的概念,其他的资源,比如磁盘、

IP、镜像、快照等,只有与ECS实例结合后才能使用。

弹性计算服务以分布式云操作系统为基础,基于虚拟化等云计算技术,将普通基础资

源整合在一起,以集群的方式提供的计算能力。

运维及监控模块

主要功能介绍

ECS用户操作

用户可以从头开始创建windows或者linux虚拟机实例。可以根据现有的实例,方便

的创建有相同配置环境的实例。操作系统、已经安装的应用程序和数据,都会自动复制到新

实例中。

在控制台中,可以像操作真实的服务器一样启动实例,查看实例,重启实例,关闭实

例。提供远程登录云服务器、更换系统盘、重置密码、变配(升级、降级)的操作;提供查

看实例运行监控信息、配置信息。

删除(释放)实例,如果不再需要虚拟机实例,可以立即释放实例,也可以定时释放

实例,选择一个未来的时间释放资源,可以精确到小时。具体的操作如下图:

实洌名即i■・入

&所在用用区IPJML

t-朱北iBHHK114.215.B3.183CPU:1*15

o年自月«n,•卬

H'用1a1,63,07227•运行中经总网络内存.2048MB17-02-23OttOOW怎:.

10El*®*

month/Jf'[Mbps

an

停止

M«I*.20*

■6

■新初Ki化■施

更怏系9Ut

升锻安全

安全唱配・

创匕日定义靠假

的买相同正置

ECS磁盘支持

用户可以从管理控制台申请云盘(即数据盘),对系统的存储空间进行扩容。

您的磁盘:d-m5e2nhyhaq3acy…回用区:cn-qingdao-b)

•目标实例:l-mSeivdq1le5m4yjyfefo

•本实例可用设雷名:Zdev/xvdbi

U放行为:C电盘随实纲仔放

O自动快照常道盘降段B

・要!!乐:“aid鹿ir执行成动庖.理逐■要要最本实的对法”的磁0进行"分区格式化和近新分B

区"的•作.搔作指南:分区格式化俄栽15道盘

执行按a取消

挂载破盘

您的磁盘:d・m5e2nhyhaq3acy...(可用区:cn-qingdao-b)

•目标实例:i-m5eivdq11e5m4yjyfefo

•本实例可用设备名:

择放行为:

■要提示:■磁盘挂ST执行成功后.,挂载的磁盘进行.分区格式化和挂载新分

区1•的投作.操作指南:分区格式4

执行挂赛取消

ECS在线挂载磁盘

挂载磁盘时,云主机需要满足以下条件:

状态必须为运行中(Running)或者已停止(Stopped)

安全控制标识不能为锁定(Locked)

本地磁盘不能挂载、或卸载。

■•冷雌那)•uusiivi•付艮奂型可mot金的•

t>n<6e2nhynaQ3acy21v747•范赤黄

SINS支势1可用区8KSft

5GBiSISitftHXR更多•

ECS数据快照和备份

用户可以在控制台设置自动快照策略,对云主机的系统盘、磁盘数据生成快照,也可

以通过控制台或QpenAPI手动创建快照。通过快照回滚,可以快速恢复快照生成时间点的

数据状态,加强数据安全。目前每个磁盘最多可创建64个快照。

I快前列表新㈤城学潮1^010/2中东2美东,WS1R6fCJNIR

•日心快照am巳在201亚3月31日升级为2.W*.中宏in要为每个磁6■箓正量快盛flriK.复向前快展才就生效;

.UIRZOtf本的松照・力足于先!»试用的段.访时间段收费纵*另行通句.荏正式商业化收费之IR,«:6]切5得■廉图得快策和日动快照um,以寰免而业化我!崛产生相美快戚费用;

・尼《0昊已爆&■了2。*本的快羯黄略.斯闻之E,巳攵戌的快展会&K收m配的行收费.

快媚名称:法・人快工名。进行ARCS询UQHX。

O快黑。名电sfttoaasi*”性网•fls»tK)aau«嫌作

然吃[0,d-m5eay283146o0lnvxa3r40G乐绕,2016-09-2211:44:44OK处药中

ECS增量快照

公有云提供了快照机制,通过为云盘创建快照,可以保留某一个或者多个时间点的磁

盘数据拷贝,有计划地对磁盘创建快照,从而保证的业务可持续运行。快照使用增量的方式,

两个快照之间只有数据变化的部分才会被拷贝。

ECS镜像功能

镜像是云主机ECS实例运行环境的模板,一般包括操作系统和预装的软件。可以使

用镜像创建新的ECS实例和更换ECS实例的系统盘。

云主机ECS提供了以下灵活多样的方式让方便的获取镜像:

选择公有云官方提供的公共镜像(支持Linux和Windows的多个发行版本)

镜像市场选择第三方服务商(ISV)提供的镜像

根据现有的云主机ECS实例创建自定义镜像

选择其他公有云用户共享给的镜像

可以把线下环境的镜像文件导入到ECS的集群中生成一个自定义镜像。

还可以把自定义镜像复制到其他地域,实现环境和应用的跨地域一致性部署。

ECS用户控制台

管理终端作为一种区别于普通远程的连接工具,可以通过管理终端进入云主机登陆界

面,查看服务器界面当时状态;如果拥有操作权限,可以登录到服务器进行操作配置。用户

可以对云平台上的所有产品进行操作。例如:

创建ECS实例:

镜像部署:

更换操作系统

演像类型:公共镜像目定义景像

公共钝馋即基础攥作系婉.国像市场在家幽作至跳上,集成了运行环境和各类软件.

从键像市场选择(含操作系统,

M名称:

^&:醐辿▼40GB1240IOPS:/dev/xvda

如何选择SSD云盘/高效一/普通—,请看详细说明>>

登录细:8-30个字符,且同时包含三项(大.“可字母,数字和特殊符号)

创建快照:

aMyCentOSc剧符

实例淬信

I磁盘列表

本实名as)

aaro/B磁盘科噗破盘状态付费可出廉透盘居住惊

□应名将(一▼(一▼类型(至部)▼可用区(至部)▼答)£柞

本实例快照

(刽建财)

本案例安至姐

23715x7p4高效云盘田金包年里产汇出生运至

使用中砥不文持

40GB第3皿设母目的解气略

更名▼

口垂券研用匕覆

ECS资源隔离

1.实例的安全隔离

实例的安全隔离包括:CPU隔离、内存隔离、存储隔离和网络隔离。

1)CPU隔离

公有云ECS支持Xen和KVM两种Hypervisor,基于硬件虚拟化技术VT-x,hypervisor

运行在vmxroot模式,ECS实例运行在vmxnon-root模式,通过硬件机制进行隔离,有效

地防止了ECS实例访问特权资源,同时也做到了ECS实例之间的有效隔离。

2)内存隔离

在虚拟化层,Hypervisor隔离内存。ECS实例运行时,使用硬件辅助的EPT(Extended

PageTables,扩展页表)技术,确保ECS实例之间无法互访对方内存。ECS实例释放后,它

的所有内存会被Hypervisor清零。这样防止ECS实例关闭后释放的物理内存页内容被其他

ECS实例访问到。

3)存储隔离

在虚拟化层,Hypervisor采用分离设备驱动模型实现I/O虚拟化,ECS实例不能直接

访问物理磁盘,所有I/O操作都会被Hypervisor截获处理;Hypervisor保证ECS实例只能访

问分配给它的虚拟磁盘空间,从而实现不同ECS实例磁盘空间的安全隔离。

4)网络隔离

ECS实现了虚拟交换机(VirtualSwitch)o发往某个ECS实例的报文只会送到这个ECS

实例的虚拟网卡所对应的虚拟交换机端口,其他ECS实例看不到这个报文。在公有云的实

现方式下,运行在混杂(Promiscuous)模式下的虚拟实例也不可能接收或嗅探到应去往其

他虚拟实例的流量。虽然可以把网络接口设置为混杂模式,但Hypervisor不会传送任何到其

他目的地址的流量给它们。即使同一个用户拥有的运行在同一台物理服务器上的两个虚拟实

例之间也不能嗅探到对方流量。公有云还采用VPC和安全组防火墙进行网络隔离。

通过上述手段,即使同一台物理服务器上的两台不同的ECS实例,也是不能相互访问

的。

•云服务器租户隔离

•XenHVM模式,基于VT-x技术隔虚拟机

离CPUvmxnon­VM1VM2

root

•硬件辅助EPT技术隔离内存CPU内存存储网卡CPU内存存储网卡

•分离设备驱动I/O模型隔离存储

•交换型vSwitch,不同VM的数据

包被转发到对应的虚拟端口Hypervisor

vmxroot

・VM的ip、mac地址绑定防地址欺

骗及网络嗅探

•VPC.安全组防火墙隔离租户网络

•物理内存、物理存储重分配前清零

•其他云产品租户隔离

物理硬件

•用户数据打标签隔离存储

•基于身份验证进行访问控制

0ECS访问隔离

不同租户的云主机在不同的VPC里。不同VPC之间通过VxLAN隧道ID进行隔离。

VPC内部由于虚拟交换机和虚拟机路由器的存在,所以可以像传统网络环境一样划分子网,

每一个子网内部的不同云主机使用同一个虚拟交换机互联,不同子网间使用虚拟路由器互

联。

不同VPC之间内部网络完全隔离,只能通过弹性公网IP或者natgateway访问公网。

1ECS安全保护

Web应用防火墙(WebApplicationFirewall,简称WAF)基于云安全大数据能力实现,

通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资

源访问等OWASP常见攻击,过滤海量恶意访问,避免的网站资产数据泄露,保障网站的安

全与可用性。

Web常见攻击防护,防御OWASP常见威胁:针对GET、POST常见HTTP请求,给

不同的网站业务提供高、中、低三种规则策略,进行SQL注入、XSS跨站、Webshell上传、

后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非

授权访问、路径穿越、扫描防护等安全防护;网站隐身:不对攻击者暴露站点地址、避免

绕过Web应用防火墙直接攻击;Oday补丁定期及时更新:防护规则与淘宝同步,及时更

新最新漏洞补丁、第一时间全球同步下发最新补丁,对网站进行安全防护;友好观察模式:

针对网站新上线的业务开启观察模式、对于匹配中防护规则的疑似攻击只告警不阻断、方便

统计业务误报状况。

缓解CC攻击,对单一源IP的访问频率进行控制、重定向跳转验证、人机识别等;

针对海量慢速请求攻击、识别异常响应码、IP访问、URL异常分布,对异常referer、

User-agent的请求,可结合精确访问控制过滤;

充分利用公有云大数据安全优势、建立威胁情报与可信访问分析模型、快速识别恶意

流量。

业务风控防护,(WAF高级版及更高版本)实时解决垃圾注册、刷库撞库、活动作弊、

论坛灌水等严重业务风险;最佳用户体验、无需网站修改源码/调用API接口等繁琐操作即

可实现快速上线防护。

精准访问控制,提供友好的配置控制台界面,支持IP、URL、Referer、User-Agent等

HTTP常见字段的条件组合,打造强大的精准访问控制策略,可支持盗链防护、网站后台保

护等防护场景;

与Web常见攻击防护、CC防护等安全模块打造多层综合保护机制、轻松依据需求,

识别可信与恶意流量。

2数据防护

加密服务(AliCloudDataEncryptionService)是云上的数据安全加密解决方案。服务

底层使用经国家密码管理局检测认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安

全方面的监管合规要求,保护云上业务数据的隐私和安全。借助加密服务,用户能够对密钥

进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。

3主机防护

服务器安全(安骑士)由轻量级Agent和云端组成,集云盾威胁情报于一体,通过Agent

和云端大数据的联动,为提供网站后门查杀、通用Web软

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论