阿里云ACP备考分享及刷题总结

先来个热乎乎的前菜，斩获ACP当了个新年礼物。

开始正题，本文主要分享一下ACP备考的经验及一些刷题时积累下来的小笔记（从Word上搬过来，大约占20页A4纸），如有错误之处或补充，欢迎留言 Orz_

文章目录

备考前
备考中
- 考试相关
- 备考笔记分享 CheatSheet
- - 1. 云服务器 ECS (Elastic Compute Service，IaaS级)
  - 2. 负载均衡 SLB
  - - SLB与EIP
    - SLB与ECS
    - SLB与AS
  - 3. 对象存储 OSS (Object Storage Service)
  - - OOS与RDS
    - OOS与ECS
  - 4. 专有网络 VPC
  - - VPC中的访问控制列表ACL
    - ACL与安全组
  - 5. 内容分发网络 CDN (Content Delivery Network)
  - - 转域名CNAME
    - 全站加速CDN
    - DNS
  - 6. 数据库
  - 7. 安全 - 云盾
  - - A. DDoS防护
    - - A-1. 基础DDoS防护
      - A-2. 高级防护产品 - DDoS高防IP
    - B. 态势感知 (云安全中心)
    - C. 安骑士
    - D. 安全管家
    - - 云盾功能与安全管家服务的区分
    - E. WAF (Web应用防火墙)
    - F. 数据风控
  - 8. 云监控
  - 9. 其他

备考前

希望在着手准备考试前，可以先参考以下问题思考清楚。
了解一下云计算概念及发展前景。
结合公司/个人近期的发展方向进行云的选用（阿里云，AWS，Azure，Google云等）。
近两周是否可集中火力刷题考试。
根据身边人及个人备考经验，对于有CS背景但无云使用经验者，一般集中地（有技巧会总结经验）刷题两周即可。
备考中
考试相关

考试时间：时长120分钟。（有不少做题快的同场考生40分钟完成交卷…）
合格线：满分100分，80分及格。
题型：50单选、30多选（会提示正确选项个数）、20判断，每题1分。（在前半部分的试题会集中几题考察单个对象，例如第1-3题考察OSS，第4-6题考察ECS，后半部会结合多个对象进行综合考察）
考察重点：可参考 https://www.zhihu.com/question/61485652
与AWS相比：个人有ACP及AWS (SAA) 备考经验，相比之下，
5.1 ACP较为仁慈（服务组件相对较少，概念清晰，官网文档详细（比较像人话），上手快）。
5.2 AWS本身提供的服务较多且分得细，需要在认识常用服务的同时，与该领域的类似服务进行对比，以便更好地了解其差异及适用场景。从记忆角度而言，备考时间需要更加充分（无使用经验的上班狗如果是每天1-2小时备考，建议战斗4周+），可以在b站（可白嫖）或Udemy（要钱）找找入门视频，最好实践一下找找实感，例如建个EC2 （注意：不用时要停止掉实例，不然一个月后看到账单得哭晕）。

备考笔记分享 CheatSheet
- 必备工具：阿里云官方文档 + 题库（某宝有售，但需注意，有些题会有错别字、答案有争议、同一道题出现多次但各提供的答案不一致等搞怪现象）
- 刷题量（本人）：1000道。（同样适合未有云经验的童鞋，从题的考察点学习。题库中有些题的解析会提供阿里云的官方文档链继，可以顺带巩固下基础）
- 建议：入门可通过刷题了解考察重点。光背题不如一边学/刷，一边总结，提取精华（记性好的就当我没说吧）

1. 云服务器 ECS (Elastic Compute Service，IaaS级)

A. 组件 - 实例ECS

A-1. 调整CPU、内存需要停机，调整带宽不需要。
A-2. 更改云服务器ECS的Mac地址，可能会影响到服务器的网络通信服务。
A-3. 支持自动备份这个是传统虚拟主机也具备的。并不是ECS的优势。
A-4. 创建阿里云的云服务器ECS实例后，用户无需购买单独的服务就可以抵御的安全攻击或者可以感知的威胁包括：[不防敏感信息泄露 (是WAF的功能)]

异地登陆
Web漏洞发现
DDoS攻击
暴力密码破解

A-5. 初始化: 重新初始化系统盘对数据盘中的数据并没有影响。
A-6. 挂载

磁盘同一时间内，只能挂载在1个实例上
磁盘只能挂在同一可用区
一个ECS实例最多可以挂载16块数据盘。
实例的数据盘挂载点：正常情况下用fdisk -l命令查看磁盘是否分区在，再运行命令 mount看挂载点。/dev/xvda为系统盘，/dev/xvdb, /dev/xvdc, /dev/xvdz都是数据盘。
Note: 发现没有/dev/vdb，/dev/vdc，…，/dev/vdz的设备，则表明该ECS实例无数据盘。

A-7. 地域 & 可用区

资源创建后不可更换region，发生故障时，实例只能在同一个可用区迁移。
在不同地域购买的ECS实例不支持跨地域部署在同一SLB实例下
磁盘只能挂载在同一AZ
快照镜像可以跨AZ
镜像可以复制到别的地域
安全组可以跨AZ
同地域下不同可用区之间的距离大概在数十公里范围（一般在同城）
同一地域内的AZ与AZ之间内网互通，AZ之间能做到故障隔离。(基本上没有什么能跨地域的)
Region & AZ的配置（考虑容灾能力+网络延时）
是否将ECS放置同一AZ，取决于对容灾能力和网络延时的要求。
a. 要求较高容灾能力：同一地域的不同AZ
b. 要求实例间的网络延时较低：同一AZ

A-8. 保护状态中的实例

您可以将不希望被移出伸缩组的ECS实例转为保护状态，处于保护状态的ECS实例负载均衡权重不受影响。
AS不会检查处于保护状态的ECS实例健康状态，也不会释放ECS实例。需要用户手动管理该台ECS实例生命周期。

A-9. 报警（基础安全服务）：支持对安全告警处理项目设置告警通知，接收方式包括电话、短信、邮件和站内信，不支持电话报警。

A-10. 扩容

扩容云盘只是扩大存储容量，但不会扩容ECS实例的文件系统（磁盘容量没有增加）。您还需要登录实例，然后进行扩容文件系统的操作。
Windows系统盘扩容后磁盘可用空间反而变少: 因为虚拟内存被开启且设置的是系统自动管理。

A-11. 支持多线BGP（中国电信、联通、移动、教育网等）接入，解决的问题是：避免跨运营商的网络访问的速度瓶颈，提升用户访问的质量。
A-12. ECS实例中开启SELINUX服务，该云服务器ECS实例的监控功能会受到任何影响。
SELinux (Security-Enhanced Linux) 为 Linux的新安全子系统，是对于强制访问控制的实现。

A-13. 部署集：在使用部署集之前，您需要注意：

部署集之间不支持相互合并。
部署集内不能创建抢占式实例。
部署集不支持创建专有宿主机。

B. 组件 - 镜像

B-1. 创建ECS实例时，必须选择镜像。镜像文件相当于副本文件。
B-2. 镜像类型（根据来源不同）

公共镜像
自定义镜像
共享镜像
镜像市场镜像：包括操作系统和预装软件等
根据供应商不同：（均经过服务商与阿里云严格测试，保证镜像内容的安全性）
a. 由阿里云官方账号提供的镜像。
b. 由第三方服务商ISV（Independent Software Vendor）通过阿里云云市场授权提供的镜像。

C. 组件 - 快照

C-1. 阿里云提供的磁盘本身的读写性能是稳定的，并不会发生了变化，创建一份快照的所需时间主要取决于磁盘容量大小。
C-2. 根据快照的增量原理，磁盘的第一份快照为全量快照，耗时较久。再次创建快照，相对耗时较短，但依然取决于和上一份快照之间的数据变化量。变化越大，耗时越久。
C-3. 4G内存以上不能选择32位操作系统。
C-4. 使用ECS时更换操作系统是通过更换实例的系统盘实现的，更换系统盘可以进行更换镜像文件，系统盘的云盘类型、实例IP地址以及弹性网卡MAC地址保持不变。
C-5. 删除快照需要先删除相对应的镜像
C-6. 回滚快照操作只能针对打过快照的磁盘进行。
C-7. 磁盘在未创建快照的情况下是不允许通过其他磁盘的快照进行回滚或数据恢复
C-8. 弹性伸缩设置ECS配置的时候，不支持使用云市场的镜像，主要是因为部分云市场的镜像是收费的，阿里云控制台没有云市场镜像的选项。

本地快照和普通快照区别

快照类型	存储方案	容灾范围	适用范围	数据同步速度	数据恢复
普通快照	存储在同地域下的对象存储OSS中	地域级别，即异地容灾	所有云盘类	较长，分钟级别	通过回滚快照至云盘，或者通过快照创建新的云盘，找回数据，恢复业务
本地快照	存储在云盘所在的集群中	可用区级别，即同城容灾	仅ESSD云盘	快速，秒级别	同上

例题

D. 组件 – 块存储
好像没怎么刷到值得mark mark的重点，欢迎补充。

E. 组件 -安全组
E-1. 每个用户最多100个安全组，每个安全组最多有1000个实例。
E-2. 每个实例最多加入5个安全组，每个安全组最多100条规则。
E-3. 安全组优先级1-100,1最大。

F. 组件 – 网络
F-1. 带宽临时升级： ECS的带宽是带宽支持临时升级操作，但是临时升级只能升级到云服务的有效期的结束时间，所以在升级之后仍然按照升级之前的带宽进行续费。

变更网络类型 (经典网络迁移至专有网络VPC)

前提条件: 迁移至专有网络VPC前，原经典网络类型ECS实例必须满足以下条件:
i. 不能挂载本地盘。
ii. 确保ECS实例不在华东1（杭州）地域的可用区C内，该可用区的部分ECS实例不支持迁移网络类型。

G. 弹性公网IP EIP (Elastic IP Address)
G-1. RDS无法绑定EIP

H. 弹性伸缩Auto Scaling
H-1. 免费，可跨区，不可跨域。仅支持伸缩ECS。
H-2. SLB目前只支持阿里云的ECS，不支持其他服务器。
H-3. AS是横向扩展/收缩ECS的个数，不是纵向扩展ECS的配置（CPU个数、内存大小等）
H-4. 弹性伸缩过程中ECS创建失败，并不会回滚之前创建成功的，而是继续去重试之前创建失败的。
H-5. 伸缩配置支持：标签、密钥对、实例RAM角色和实例自定义数据，不支持生命周期挂钩
H-6. 同一伸缩组内，同一时刻可以有多个伸缩活动在执行？
H-7. 同一伸缩组内，当有一个伸缩活动正在执行，无法终止互动。
H-8. 伸缩组里面有伸缩活动正在执行的时候，不可以停用伸缩组。强制停用可能会导致伸缩组伸缩异常。

H-9. 删除AS:

触发伸缩规则的任务独立于伸缩组存在，删除伸缩组不会删除任务。
云监控报警任务独立于伸缩组存在，不依赖伸缩组的生命周期管理，删除伸缩组不会删除报警任务。

H-10. 手动添加ECS实例前

手动添加的ECS实例配置与当前伸缩配置没有关联。
可以将已有的ECS实例手动添加至伸缩组，但是手工添加的ECS需要和当前伸缩组处于同一个地域，且必须处于运行中状态。
手动添加前，伸缩组必须处于启用状态，且组内不能存在执行中的伸缩活动。

H-11. 冷却时间 Cooldown Period ：伸缩活动完成后的锁定时间（只会拒绝云监控报警任务类型的伸缩活动请求，其他手工、定时可以绕过冷却时间）（最后一个成功后）。
H-12. 使用定时任务作为伸缩活动的触发条件，创建定时任务时，不支持配置冷却时间。
H-13. 弹性自愈: 即当检测到某台ECS实例处于不健康状态时。弹性伸缩自动释放不健康ECS实例并创建新的ECS实例，自动添加新ECS实例到负载均衡实例和RDS实例的访问白名单中。不会去重启ECS。
H-14. 移出策略（Removal Policy）是指当需要从伸缩组移出云服务器ECS实例并且有多种选择时，则按该策略选择需要移出的云服务器ECS实例。
注意区分：“最早伸缩配置对应的实例” 与 “最新创建的实例” （不区分是用户手工加入的 ECS 实例还是自动创建的 ECS 实例）
H-15. 报警任务支持：CPU、内存、系统平均负载、内外网的出入流量、TCP总连接数和已建连接数。

2. 负载均衡 SLB

A. 可跨区不可跨域，同一或不同地域，创建多个SLB, 通过DNS轮询的方式对外提供服务。
B. 组成：①Load Balancer；②Lister；③Backend Server等主要的组成部分。
C. 并不要求SLB后端的实例数是2个以上
D. 三种调度算法: SLB支持轮询、加权轮询（WRR）、加权最小连接数（WLC）
E. Listener 代表用户定制的负责均衡策略和转发规则。
F. 转发规则：一般情况下默认路由在有外网情况下会先走外网网卡,如无外网则走内网网卡。
G. 流量转发的实现

四层：通过LVS，是基于连接做流量调度。
TCP和UDP创建一个socket访问负载均衡实例，这个源和目的IP和端口就是一个连接。
七层：通过Tengine，是基于请求做调度。比如http get请求访问一个页面。没有4层性能好，不支持一致性哈希调度算法。

H. 流量转发的顺序（实例维度上的“后端服务器”、监听维度上的“虚拟服务器组”和“转发规则”）
当用户流量经过负载均衡某端口时，我们首先判断其是否能够匹配上某条“转发规则”，
如果匹配，则将流量转发到该规则的后端服务器组上；
若不匹配并且在该监听上设置了虚拟服务器组，那么将流量转发到该虚拟服务器组上；
若用户没有在该监听上设置虚拟服务器组，即将流量转发到实例级别添加的各后端服务器中。

I. 获取访问者真实IP

替换HTTP头文件IP地址的方式来进行请求转发，所以后端云服务器看到的访问IP是SLB系统的本地IP而不是实际来访者的真实IP。
可以在Apache和Nginx的自定义LOG中直接获取到真实IP。
七层服务：可以通过http头部中的X-Forwarded-For字段获取来访者真实IP。前提是用户必须在配置7层（HTTP协议）服务监听时开启了“获取真实访问IP”功能
四层服务可以直接获取，无需额外配置。

J. LVS集群或Tengine集群内的相关节点服务器同时承载了数据转发和健康检查职责。

K. 健康检查

SLB通过健康检查来判断后端服务器（ECS实例）的业务可用性。
a. 四层是检查端口
b. 七层是检查服务器端返回的状态码
健康检查必选参数配置有：
a. 响应超时时间
b. 健康检查间隔
c. 不健康阀值
七层服务可以关闭检查。四层服务无法关闭健康检查
可以结合业务情况，通过降低健康检查频率、增大健康检查间隔、七层检查修改为四层检查等方式，来降低对业务的影响。
负载均衡SLB后端服务器的状态为unavailable的时候表示其未开启健康检查。

L. 会话保持

在四层服务的会话是基于源IP实现的，保持的最长时间是3600s
会话同步：LVS集群内的每台LVS通过组播报文将会话同步到该集群内的其它LVS机器上
在七层协议转发中：HTTP/HTTPS监听可使用植入cookie和重写cookie来进行会话保持。
主备服务器组只支持四层监听（TCP和UDP协议）

M. SLB不提供CNAME地址，只提供IP地址。需要直接将域名解析到SLB提供的服务IP地址上。
N. 报警：SLB支持邮件、短信、旺旺报警，不支持电话报警。
O. 操作日志需要在Action Trail控制台查看。

P. 证书

通过HTTPS协议，提供统一的证书管理服务，证书无需上传后端ECS，解密处理在SLB上进行，降低后端ECS CPU开销
SLB中的证书（Certificate）用于HTTPS协议，在需要使用加密协议时，用户可以将证书上传至负载均衡SLB实例中，在创建HTTPS协议监听时绑定证书，提供HTTPS服务。
只支持PEM格式的证书

SLB与EIP

绑定EIP的负载均衡实例必须满足的条件:

SLB实例的网络类型必须是专有网络。
SLB实例的地域必须和EIP的地域相同。
一个SLB实例仅支持绑定一个EIP。

SLB与ECS

SLB实例和云服务器ECS搭配使用的时候，两者必须是在同一个地域。
在通过负载均衡SLB实例对外服务前，只需要确保SLB后端有一台ECS应用正常运行。
SLB实例的服务能力与后端ECS实例的公网宽带无关。
在SLB实例的过程中可以随时调整后端ECS实例的数目。
如果ECS有公网IP，禁用公网网卡就会影响负载均衡服务。因为在有公网网卡的情况下,默认路由会走公网，如禁用就无法回包从而影响SLB服务。建议不要禁止，如果一定要这么做，需要修改默认路由为私网才不会影响服务。
后端ECS的网络类型不一定需要和SLB一致，SLB可以是公网IP的实例，ECS可以是VPC网络类型的实例。
在使用阿里云的公网IP的负载均衡SLB实例的四层（TCP协议）转发时，后端云服务器池中的ECS实例不能直接向该ECS实例所在的SLB实例的公网IP发送请求。
因为在四层TCP协议服务中，当前不支持后端云服务器的ECS既作为RealServer，又作为客户端向所在的负载均衡实例发送请求。因为，返回的数据包只在云服务器内部转发，不经过负载均衡，所以在负载均衡实例的后端ECS上去访问的负载均衡的服务地址是不通的。

SLB与AS

一个负载均衡SLB实例可以绑定多个弹性伸缩的伸缩组，且这些伸缩组的伸缩配置可以不同。
一个伸缩组可以对应多个负载均衡SLB实例，但是两者必须在同一个地域（Region）中。
创建AS时指定的SLB实例必须是已启用状态。
创建AS时指定的SLB实例的所有配置的监听端口必须开启健康检查。
AS组合自动将AS组合的ECS实例/RDS IP添加到指定的SLB实例当中。
对于异常的ECS实例，SLB会将其隔离而不是移除，直至ECS健康检查恢复正常后才会从隔离区移出，继续分发请求。

3. 对象存储 OSS (Object Storage Service)

A. 基本数据单元：对象/文件（Object）

包含key,meta,data，不包含id。
使用对象标签对存储的Object进行分类。

B. Bucket：

名称要全局唯一，不能修改。所属Zone也不能改。
每个bucket可以绑定20个域名。
不支持重命名。若需要其他名称，建议您重新创建Bucket，将原Bucket的文件迁移到新创建的Bucket后，删除原文件和原Bucket即可。
同一个存储空间的内部是扁平的，没有文件系统的目录等概念，所有的对象都直接隶属于其对应的存储空间。

C. 容量限制：单个Object的大小限制是48.8T，但是每个Bucket的容量是没有上限。
D. 特性：自建的存储也是支持数据备份的，这个并不是OSS独有的优势。
E. 存储空间的命名规范：

能包括小写字母、数字和短划线（-）。
必须以小写字母或者数字开头和结尾。
长度必须在3~63字节之间。

F. 管理：通过控制台或者使用API/SDK都可以对对象存储OSS进行管理，两种方式的用户界面不同，但实现的功能相同。
G. 帐单费用由三部分组成

存储空间费用：付费方式支持包年包月和按量付费。
流量费用
API请求费用：OSS走内网流量是不收费的，但是每次的清求还是要收费。

H. 存储类型

低频访问的存储类型（低频：平均每月访问频率1到2次）。
适合长期保存不经常访问的数据存储单价低于标准类型，适合各类移动应用、智能设备、企业数据的长期备份，支持实时数据访问。
归档存储类型：适合需要长期保存（建议半年以上）的归档数据，在存储周期内极少被访问，数据进入到可读取状态需要1分钟的解冻时间。
冷归档存储类型适合需要超长时间存放的极冷数据。

I. 手动/通过生命周期转换存储类型：手动转换Object存储类型时，Object的存储时间会重新计算。

J. 使用费：

由“存储费用”、“流量费用”、“API请求费用”三部分组成。不会因为时间的差异而导致相应的费用差异。
支持包年包月和按量付费

K. OSS违规检测：支持检测OSS Bucket中的增量内容和存量内容
L. OSS 本身不提供IP黑名单，但是可以通过CDN来间接使用，在CDN上配置IP黑白名单。
M. OSS提供图形化工具、命令行工具、文件挂载工具、FTP工具等方便您管理OSS资源。
N. 大数据分析也用OSS
O. CopyObject接口用于在存储空间（Bucket ）内或同地域的Bucket之间拷贝文件（Object），所以不需要使用带宽再次上传至OSS，可以节省OSS的网络带宽。

OOS与RDS

OSS仅适合存放静态非结构化数据，所以数据库的数据是不行的。

OOS与ECS

阿里云OSS的存储空间（Bucket）访问地址会随机变换，您可以通过在ECS实例上配置OSS的反向代理，实现通过固定IP地址访问OSS的存储空间。

4. 专有网络 VPC

A. 并非所有阿里云云产品都支持VPC，例如经典网络。
B. VPC中通过路由表实现不同路由器互通。
C. 不同子网间使用路由器互联，通过路由器划分不同网段。
D. 同一专有网络内的不同交换机之间默认内网互通。
E. 每个VPC都由一个路由器、至少一个私网网段和至少一个交换机组成。
F. 默认情况下，VPC内的ECS也无法访问公网或者被公网访问。通过绑定弹性公网IP 可以实现公网可以访问VPC中的ECS,但是VPC中的ECS不能访问公网。
G. 每一个子网内部的不同云服务器使用同一个交换机互联，
交换机：

交换机需要和私网网段绑定
同域不同区的交换机默认是内网高速互联。
交换机网段不能与所属VPC下其他交换机的网段重叠。
交换机的网段必须是其VPC网段的子集。
每个交换机的第一个和最后三个IP地址为系统保留地址。
例如交换机的网段为192.168.1.0/24，则192.168.1.0、 192.168.1.253、 192.168.1.254和192.168.1.255 4个地址是系统保留地址。
交换机网段不能与所属VPC路由表中路由的目标网段范围相同或大于该范围。
如果交换机有和其他专有网络的交换机或本地数据中心通信的需求，请确保交换机的网段和要通信的网段不冲突。
H. 不同专有网络之间内部网络完全隔离，可以通过对外映射的IP（弹性公网IP和NAT IP）互连。

I. 不同VPC之间通过隧道ID进行隔离。（处于两个不同的路由平面）。
J. 每个VPC都有一个独立的隧道号，一个隧道号对应着一个虚拟化网络。一个VPC内的ECS（Elastic Compute Service）实例之间的传输数据包都会加上隧道封装，带有唯一的隧道ID标识，然后送到物理网络上进行传输。
K. 使用隧道封装技术实现了不同VPC间二层网络隔离。
由于使用隧道封装技术对云服务器的IP报文进行封装，所以云服务器的数据链路层（二层MAC地址）信息不会进入物理网络，实现了不同云服务器间二层网络隔离。
L. 在VPC内的云服务器ECS实例之间的三层网络访问控制用安全组功能实现。

VPC中的访问控制列表ACL

ACL与安全组

与交换机绑定的网络ACL规则控制允许进入交换机的数据流,
与实例相关的安全组规则控制允许进入实例的数据流。

5. 内容分发网络 CDN (Content Delivery Network)

A. 缓存刷新和预热功能：支持URL刷新、目录刷新和URL预热，详细信息。
B. 加速的域名必须在工信部完成备案。
C. CDN效果的好坏与是否正确使用非常相关。场景：重复访问率不高的个人网盘业务的回源次数太高，不适合使用CDN。
D. 带宽计费：阶梯计费
E. CDN的全部缓存节点并没有采用BGP线路。
F. URL鉴权：有黑客恶意下载公司的正版视频在国外社区里分发，如何解决？启用阿里的云CDN的URL鉴权功能。
注：因为不知道具体ip段，否则可以加入黑名单。

转域名CNAME

即域名别名记录。
CDN的域名加速需要用到CNAME记录，在阿里云控制台配置完成CDN加速后，您会得到一个加速后的域名，称之为CNAME域名（该域名一定是.kunlun.com），用户需要将自己的域名作CNAME指向这个.kunlun.com的域名后，域名解析的工作就正式转向阿里云，该域名所有的请求都将转向阿里云CDN的节点。

全站加速CDN

一站式解决了页面动静态资源混杂、跨运营商、网络不稳定、单线源站、突发流量、网络拥塞等诸多因素导致的响应慢、丢包、服务不稳定的问题，提升全站性能和用户体验。

DNS

加速域名使用的DNS系统不一定需要支持“智能解析”功能，阿里云以外的公司也可以提供解析。

6. 数据库

技巧：ACP题目中专门提到MySQL基本上都离不开RDS (Relational Database Service)

7. 安全 - 云盾

A. 渗透测试是通过模拟恶意黑客的攻击方法。
B. 云盾加密服务采用国家密码管理局检测认证的加密算法机制来保证密钥的安全。
C. 阿里绿网：即内容安全，自动识别违规内容，降低审核工作量。
D. 先知计划 (安全众测)：是一个帮助企业建立私有应急响应中心的平台（帮助企业收集漏洞信息）。

A. DDoS防护

供云计算服务的基础安全加固和防护。

A-1. 基础DDoS防护

阿里云免费为负载均衡服务提供最高5G的DDoS基础防护。
可以防护5G以下的DDoS攻击
DDoS攻击：破坏性比较强的攻击，可以让目标服务器的资源耗尽，使正常客户无法连接到服务器。
CC攻击也是是典型的拒绝服务攻击。
调整DDoS防护阈值并不会导致服务的中断。
对云服务器的流量清洗：触发指标有公网IP每秒处理的报文数量(PPS)和流量值（bps），达到任意一个值即开始流量清洗。
保护对象：云盾DDoS防护功能可以保障ECS、SLB、WAF、VPC、EIP、NAT云产品的DDoS网络安全，不包括OSS。
常见DDoS防护类型: ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood，不可防密码暴力破解。

A-2. 高级防护产品 - DDoS高防IP

DDoS高防支持通过DNS解析和IP直接指向两种引|流方式实现网站域名和业务端口的接入防护。
支持四层和七层的抗攻击能力
采用BGP线路
针对DDoS攻击提供四种四层清洗模式供用户选择，默认清洗模式为: 正常模式

B. 态势感知 (云安全中心)

态势感知能从多个维度监控用户云上资源的安全状况，包括网络层、主机层、数据库层、应用层，甚至还提供安全情报功能。
安全警报方式：仅支持手机短信、邮件、站内信

C. 安骑士

经受百万级主机稳定性考验的主机安全加固产品。
可以保防阿里云以外的服务器。
不具备DDoS防护的功能特性
防护功能：
1. 主机密码防爆破
2. 异地登陆报警
3. 网站后门检测
4. 高危漏洞修复
5. 木马文件查杀
6. WebShell检测服务

D. 安全管家

是专家服务（人工服务）

云盾功能与安全管家服务的区分

E. WAF (Web应用防火墙)

WAF支持云外机房机房的用户接入的.
可防敏感信息泄露、CC攻击
(CNAME接入方式) Web应用防火墙控制台添加域名并修改域名的DNS解析设置，支持：
a. 域名一键接入
b. 手动添加网站

F. 数据风控

数据风控目前只支持在Web中插入指定的JS代码

8. 云监控

A. 针对云资源和互联网应用进行监控的服务，包括

主机监控
自定义监控：用户可以针对自己关心的业务指标进行监控
监控数据上报方式如下：通过HTTP、Java SDK（推荐）、命令行（CLI）
站点监控
云服务监控
报警服务

B. 站点监控
“站点监控”功能可以对目标站点服务的可用性以及响应时间进行监控。系统已经默认预置了8种监控类型，包括http监控、ping监控、tcp监控、udp监控、DNS监控、pop监控、smtp监控、ftp监控。

C. 监控项

status
responsetime

D. 云监控产品的数据只支持在控制台或调用接口查看

9. 其他

1. 数据即服务 DAAS
数据即服务（DaaS）是一种云战略，用于以及时，受保护和负担得起的方式促进业务关键型数据的可访问性。 DaaS 依赖于这样的原则：无论消费者和提供者之间是否存在任何组织或地理分离，都可以按需向用户提供指定的有用数据。

2. RAM
RAM (Resource Access Management) : 用户身份管理与访问控制服务。

3. 分布式理论—CAP
CAP理论是分布式领域的重要理论，也被戏称为"帽子理论”。
CAP理论指出，一个分布式系统不可能同时满足一致性（C：Consistency）、可用性（A：Availability）和分区容错性（P：Partition tolerance）这三个基本需求，最多只能同时满足其中两项。

4. 路由表
路由表中的每条路由条目指定了网络流量的导向目的地，由目标网段、下一跳类型、下一跳三部分组成。

5. 服务器迁移中心SMC

支持将源服务器从自建的_____迁移至阿里云。
a. IDC机房
b. 本地虚拟机（VMware、Virtual Box、Xen、KVM）
c. 其他厂商云（例如亚马逊AWS、微软Azure、谷歌GCP、华为云、腾讯云、UCloud、电信云、青云等）

6. 虚拟技术
虚拟化技术包括全虚拟化，半虚拟化，硬件辅助虚拟化。

7. 数据迁移 Data Transport
闪电立方：TB/PB级的数据迁移服务