aliyun基础操作

为什么使用公有云
阿里云使用限制列举
ECS
阿里云安全组
镜像
迁移上阿里云
云硬盘
NAS文件存储
阿里云专有网络VPC
SLB负载均衡
rds数据库服务
RAM 访问控制
OSS对象存储
云解析DNS
CND内容分发网络
WAF应用防火墙
ESS弹性伸缩
DTS迁移工具
CEN云企业网（高速通道）
SSL证书
云自动化

为什么使用公有云

80%在使用公有云，剩下在使用私有云，或者提供公有云

物理服务器：初期投入大，步骤繁琐，不方便扩展，买服务器，大约一台2W 托管到IDC 上架网络规划存储规划部署系统系统调试带宽，亏本风险高

云主机ECS：初期投入小，步骤简单，扩展方便，可按月续费，亏本风险低，按量付费
阿里云ＥＣS优势：BGP网络

阿里云使用限制列举

地域与地域之间网络是不通的，但是地域下的可用区之间网络是相通的
用户群体在哪，就建议买哪的，就近原则
不支持二次安装虚拟化，如VMware，它的底层就是KVM虚拟机
声卡应用不支持
外接设备不支持
不支持多播协议
日志服务不支持32位的Linux系统ECS
实名认证
余额不能少于100
付费模式是按量付费模式创建的实例，实例的CPU核数需要低于16

ECS

根据实际使用需求创建ECS（云服务器）

连接

Workbench远程连接
web ssh终端需要网络

VNC远程连接
web vnc代理不需要网络

发送命令（云助手）
需要安装类似 vmware tools

阿里云安全组

类似防火墙iptables,这里iptables它是运行在宿主机上的，而不是虚拟机上
安全组是局部的，和ecs进行捆绑的，每个ecs可以绑多个安全组
在不同的状态利用不同的安全组
例：维护状态就用开启了22端口的安全组
服务状态就用只开启了80端口，其他端口都关掉的安全组，防止有人攻击
根据不同的使用需求，切换不同的安全组，每台ecs进行单独的安全组配置

企业中的防火墙是全局的，流量都需要经过防火墙,每个机器的防火墙不用单独配置

快照就是自定义镜像（收费）做好的快照里面的服务和用户密码都一致
做好自定义镜像后，在实例启动模板中，根据模板创建实例时候就可以选择自定义镜像了

镜像

创建镜像
其实就是创建了一个快照,创建镜像时,也会同时创建一个快照

阿里云镜像：是已经安装好系统的虚拟机磁盘文件，买ECS可以理解为克隆虚拟机（支持的格式例如：qcow2 raw vmdk vdi等等）
系统镜像：iso文件
docker镜像：各类系统文件的压缩包

迁移上云主要依靠rsync
p2c物理机迁移上云
v2c虚拟机迁移上云
c2c云迁移到云，云间迁移

阿里云中镜像下的导入镜像就是迁移上云的关键，日常使用SMC在线迁移功能进行迁移

迁移上阿里云

参考（https://help.aliyun.com/document_detail/276902.html）
做迁移前准备条件：备份好数据、确保时间一致、确保能访问迁移中心的地址和域名、关掉selinux、安装虚拟化驱动（一般物理机考虑这个问题）、检查GRUB引导程序，内核版本太低的需要升级、去掉虚拟化软件，普通ECS不支持二次虚拟化、检查授权的应用，迁移后系统底层硬件设备发生变化，跟硬件绑定的应用许可证可能会失效
KVM的虚拟机都满足更方便迁移

镜像在同一地域下的各个可用区之间是通用的

迁移上云：
方法一：用SMC工具迁移
步骤：
1.下载迁移客户端到要迁移的系统（主要包含rsync），配置，运行
２.在服务器迁移中心，创建迁移任务，创建一个镜像
３.基于创建的镜像启动一个实例

方法二：完全手动迁移
将线下代码打包发到线上，数据库导出再导入，改IP改各种配置文件
线下环境：手动部署环境　
云环境：　手动部署环境

云硬盘

当空间不够时候，可以添加一块云盘（数据盘）
这里的云盘只能单纯的给某一ECS添加空间，不能实现数据共享

特点，磁盘空间越大速度越快
创建云盘的时候，要在同一可用区创建，云盘只能挂载在同一可用区的ECS实例，而且购买以后不支持更换地域
至少20G

云盘挂载使用步骤：
购买云盘后，挂载在指定的ECS实例上后，在系统中查看是否有新的盘符出现，然后对新的云盘进行格式化，格式化后挂载在指定的挂载点即可

云盘卸载：Linux实例，在卸载云盘前需要先在实例中对云盘卸载umount,然后在控制台进行卸载

系统盘也可以扩容
云盘扩容前记得做数据备份
扩容完后还要对ECS实例进行扩展分区和文件系统的一系列操作
参考：（https://help.aliyun.com/document_detail/111738.html？spm=5176.11346930configuration.help.dexternal.2a5a5ca3Th9Tff）

如果扩容后，执行挂载操作后，发现云盘的容量还是之前的大小，可以根据不同的文件系统做以下操作
如果是ext4
resize2fs /dev/vdb(盘符)

如果是xfs
groupfs /dev/vdb(盘符)

PS：
块存储：例如提供一块硬盘，需要格式化，然后挂载后使用
文件存储：例如nfs，基于目录的存储，直接将目录挂载上，直接使用就可以了

NAS文件存储

想要实现文件共享，就要用NAS
多用户共享或权限要求严格的需求可以使用NAS作为存储介质

购买NAS挂载后，在实例中输入官方提供的挂载命令，如果挂载不上，有可能是没有装nfs的客户端
yun install nfs-utils -y

如果有多个实例同时编辑一个文件的情况，就要用NFSv4的协议

阿里云专有网络VPC

专有网络：VPC专有网络，可以自定义IP地址，配合弹性公网IP使用

经典网络：每一台ECS，都需要固定绑定公网IP，无法自定义IP地址

例如wbe服务器可以给它公网IP，数据库服务器就没必要绑定公网IP了

专有网络是不能跨区的

创建专有网络

创建专有网络，创建交换机

然后可以看到，创建好的专有网络

还有创建好的交换机

将绑定的公网IP转换成弹性公网IP，然后公网IP就可以绑定给其他实例使用了
然后将实例关机的状态下，进行更换专有网络，需要先解绑弹性IP

更换专有网络

选择刚才创建的专有网络，交换机，安全组（一个vpc网络一个安全组，这里可以再创建一个安全组）

然后设定私网IP，不写的话就随机分配

然后私有网络就改好了

然后就可以进行弹性IP的绑定

可以在实例中查看刚才更改的专有网络中设定的私网IP

这里可以再创建一个不分配公网IP的实例，选择之前创建的专有网络和交换机

在系统配置这里，记得选择自定义密码，选密钥对的话，还得传密钥对
（因为它没有公网IP，这里要连它，只能通过其他实例跳转过去）

通过跳转连接上的实例（没有公网IP的实例），是无法访问外网的，ping百度是不通的
使用VPC网络的实例默认是没有外网的，要想访问外网就要创建一个网关（收费的）

光买NAT网关的话，还是上不了网的，还需要给网关绑定弹性公网IP

SNAT源地址转换
网关绑定弹性公网IP后，还需要配置SNAT条目，不配置的话就不知道网关是要给交换机下的哪台ECS来上网

配置好SNAT条目后，VPC网络的实例就可以上外网了

弹性容器实例ECI
底层其实就是docker容器轻量的服务器，占用资源少，更廉价

专有宿主机DDH

SLB负载均衡

这里SLB是运行在宿主机上的，性能高，所以你的业务是在阿里云上的话，建议直接使用阿里云原生的SLB，不用再单独购买ECS自己部署负载均衡了。

负载均衡SLB（Server Load Balancer）现叫CLB，是一种对流量进行按需分发的服务，通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，并且可以消除系统中的单点故障，提高应用系统的可用性。

优势：
成本低，与传统硬件负载均衡系统高投入相比，成本可下降60%
高可用，阿里云的SLB已经做了高可用
可扩展，后期服务器还可以根据业务量进行弹性伸缩
安全，结合云盾，还提供了5个G的防DDoS攻击能力，超过5个G的流量后，直接下线，挂一个比所有都挂强（抵御小规模攻击没多大问题）
高并发，集群支持亿级并发连接，单实例提供千万级并发能力

其中四层负载均衡通过LVS（Linux Virtual Server）+ keepalived的方式实现，七层负载均衡通过Tengine实现

可以配置多个可用区
可以创建多个SLB，或者创建一个SLB，然后添加多组服务

先创建两个ECS实例（配置SLB实例的时候，会选择服务器组，选择创建的这两台ECS实例）

购买SLB，它是带公网IP的

配置SLB实例的时候，选择负载均衡协议时，例如TCP就是四层负载均衡，http就是七层负载均衡
用https协议的时候，可以用阿里云部署证书，或者自己上传证书

创建好四层的负载均衡后，要想再添加七层的负载均衡，可以在‘实例管理的监听中添加七层负载均衡’

也可以配置监听转发

当用户访问80，就会跳转到443

例如在两台ECS实例中都部署web服务，页面写入不同的内容，然后通过访问SLB负载均衡的公网IP，不断刷新页面，页面的内容就会不断切换。

rds数据库服务

创建RDS实例

建议使用专有网络

RDS原理
当用户购买RDS服务的时候，RDS控制台就会创建一个安装了数据库的ECS，控制台通过agent（agent会操作数据库）与安装了数据库的实例进行交互，其中数据库软件和数据库的数据内容是分开存储的，数据库软件安装在vda,数据库的内容存储在vdb,这个vdb可以是一块云盘，当数据库ECS实例出现故障的时候，可以快速启用一台新的数据库ECS实例，然后将这个vdb云盘，挂载到新的数据库ECS实例，确保数据的可用。

创建RDS会比较慢

添加白名单后，才会显示内网地址，才能访问RDS实例（配置白名单，其实就是配置安全组规则）

然后创建一个数据库账户

然后创建一个数据库

也可以导入外部的数据库（导入阿里云别的区域的数据库）

可以通过web端的DMS对数据库进行管理

可以设置定时备份数据库

创建只读实例（从数据库）也会很慢，因为它会先把原本的数据库进行备份，备份到对象存储中，然后再去启一个ECS实例，再部署一遍数据库，再把对象存储中的数据库备份导入到数据库，这一过程会很慢。

想用外网地址访问RDS，也需要加白名单，把要访问的用户的IP加入白名单，仅供个别人访问
访问：mysql -uroot -p -h 阿里云提供的外网地址记得加-h

有从库后，可以开启读写分离。。。

RDS备份：2560M以内免费

RAM 访问控制

类似于Linux中的sudo 权限，阿里云的子账号
授权一般以用户组的形式授权

创建用户和用户组

这种子账户的使用场景：
创建新的账户给新来的人临时使用
创建新的账户给开发人员使用会用到（AK ID 和AK secret）

授权
针对用户组授权,先将用户加入用户组

给用户组添加相应的权限

也可以使用自定义的权限策略，需要自己创建

测试
登陆页面：https://signin.aliyun.com
除了授予的权限，其他的操作均没有权限

OSS对象存储

阿里云对象存储OSS（Object Storage Service）是一款海量、安全、低成本、高可靠的云存储服务，多种存储类型供选择，提供99.9999999999%(12个9)的数据持久性，99.995%的数据可用性。
程序代码可以调用的存储

bucket：oss对象存储，存储空间,可以通过代码调用的存储

创建oss
根据实际使用需求创建即可

各种使用方法可以参考：https://help.aliyun.com/learn/learningpath/oss.html?spm=5176.8465980.guide.1.4e701450XC34s9

云解析DNS

从购买域名到可以访问的大概流程
1.购买域名
2.购买ECS
3.部署环境
4.网站备案 1-2周
5.配置DNS解析
6.访问

可用dig命令查看域名对应的IP

DNS记录类型
A记录 —域名对应ipv4地址大部分默认场景使用
CNAME记录 —别名记录一个域名对应其他几个域名用于CDN，WAF中
TXT记录 —用于认证域名所属验证域名所有者
MX记录 —用于配置企业邮箱

配置DNS解析

A记录类型

CNAME记录类型
例如这里让他解析到百度，但实际中是访问不了的，对方做了配置，但是通过dig可以看到解析过程

TXT记录类型
这里需要通过 dig TXT www.xxxx.xyz 才可以看到记录的字符

主机记录

CND内容分发网络

内容分发网络，由不同区域的服务器组成的分布式网络。
将源站资源缓存到全国各地的边缘服务器，供用户就近获取，降低源站压力。

可以做静态资源的加速，也可以给整个网站做加速，静态动态资源都做加速

加速原理

接入CDN
添加域名，初次添加需要验证域名的归属，在云解析DNS中配置

配置业务信息

配置源站信息
可以添加多个源站

配置这里，可以修改一下缓存过期时间，别的可以保持默认，或根据需求配置

这里主要是为了得到，这个CNAME的记录值
当我们访问加速的域名的时候，就会解析到这个CNAME记录的地址上

配置CNAME

验证是否生效

也可以在命令行验证

CDN的预热/刷新
刷新功能：您可以删除CDN节点上已经缓存的资源，并强制CDN节点回源站获取最新资源，适用于源站资源更新和发布、违规资源清理、域名配置变更等

预热功能，您可以在业务高峰前预先将热门资源缓存到CDN节点，降低源站压力提升用户体验

停止加速服务

操作前提
在您需要停用或者删除加速域名之前，建议您把加速域名上的流量切走，以避免后续停用或者删除操作导致业务中断。
把流量从加速域名上切走的方法包括但不限于以下两种：
1.添加新的加速域名，然后用户通过访问新加速域名来代替老加速域名，这样逐步把老加速域名上的流量降到0。
2.把加速域名的DNS解析策略从CNAME地址切换到源站地址。

暂停CDN加速服务
1.登录CDN控制台。
2.在左侧导航栏，单击域名管理。
3.在域名管理页面，定位目标域名，在操作列中，选择图标 > 停用。
4.在确认停止域名对话框中，单击确定。

永久停用CDN加速服务
1.登录CDN控制台。
2.在左侧导航栏，单击域名管理。
3.在域名管理页面，定位目标域名，在操作列中，选择图标 > 删除。
4.在确认删除域名对话框中，单击确定。

WAF应用防火墙

Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护，将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵，保障业务的核心数据安全，解决因恶意攻击导致的服务器性能异常问题。

WAF可以接入到ECS或者接入到CDN等

CDN WAF
让流量先经过WAF防火墙，再到CDN节点

接入在某一台CDN节点前的WAF

选择CDN节点的域名

创建成功

WAF 独立应用防火墙

原理：当浏览器访问目标域名时候，DNS服务器会将域名解析到WAF防火墙上，让流量先经过WAF后才会到达后端的服务器

设置接入

标签

进行解析，填入WAF提供的CNAME值，将域名解析到WAF防火墙上

ESS弹性伸缩

可以根据业务需求和策略设置伸缩规则，
在业务需求增长时自动增加ECS实例以保证计算能力，
在业务需求下降时自动减少ECS实例以节约成本，
弹性伸缩不仅适合业务量不断波动的应用程序，同时也适合业务量稳定的应用程序

原理图

使用流程

准备测试环境
1.SLB负载均衡
2.准备好ECS，并创建好镜像
（创建ECS实例的时候，弹性伸缩只知道创建添加ECS实例，但是里面部署运行的什么服务它不知道，需要提前创建好一个ECS的镜像，它才能根据镜像创建ECS实例。）
3.配置ESS弹性伸缩

开始创建ESS
参考：https://help.aliyun.com/document_detail/25866.html

创建好后

建议买按量付费的
*这里的镜像一定要修改，选之前创建的镜像，不然创建好的实例上头什么配置都没有，用户无法访问

可以查看实例列表

创建报警任务
定时任务：在特定时间执行伸缩任务
报警任务：出现报警时，执行的伸缩任务

报警触发规则与伸缩规则是相关联的
根据实际情况选择规则

配置完后可以进行压力测试

当CPU的负载超过，刚才报警中设定的数值时，就会执行伸缩规则，添加一台实例到伸缩组

负载还没降下来，可以看到它还在加入实例

在负载均衡slb的实例中，可以看到新添加进服务器组中的ECS实例

DTS迁移工具

数据传输服务DTS支持关系型数据库、NoSQL及大数据(OLAP)等数据源间的数据传输，针对的是数据库

主要服务有：数据迁移、数据同步、数据订阅

参考：https://help.aliyun.com/document_detail/26611.html

CEN云企业网（高速通道）

用于两个VPC之间连接，VPC之间默认是隔离的

创建两个VPC网络环境，然后在不同VPC下各自创建个ECS实例，然后创建CEN

创建云企业网实例

创建网络实例连接

先添加一个VPC

创建完后，只有一个连接数，还要再添加一个

再次创建，添加一个VPC实例

两个VPC都添加上后，在这两个VPC下的ECS实例ping对方看能不能ping通，ping通即可（注意两边分配的地址不要冲突）

SSL证书

HTTPS 会用到

可以在这里创建证书

然后可以在SLB负载均衡时候用到

在CDN也可以配置

配置证书之后，用户就可以以https访问CDN节点了

云自动化

OOS运维编排（类似ansible）：https://www.aliyun.com/product/oos?spm=5176.19720258.J_3207526240.29.e9392c4aN5ZtSB
是一个自动化的配置管理工具，通过命令行完成一系列的操作，减少重复性的工作，提高工作效率
配置管理，例如在一台或多台主机上，进行某种服务的安装、配置、启动等一系列操作。

ROS资源编排(类似terraform)：https://ros.console.aliyun.com/cn-beijing/welcome
用于配置和管理云基础架构和资源，可以使用来创建、修改、删除ECS、VPC、RDS、SLB等多种资源。