跳至主要內容

元数据

驻云科技 乔锐杰约 3787 字大约 13 分钟...

元数据

[!abstract] 阿里云运维架构实践秘籍

  • 阿里云运维架构实践秘籍|200
    阿里云运维架构实践秘籍|200
  • 书名: 阿里云运维架构实践秘籍
  • 作者: 驻云科技 乔锐杰
  • 简介: 本书内容主要分为四大篇:云端基础篇、云端选项篇、云端安全篇、云端架构篇。总共十八个章节,所以我更喜欢把本书的内容称为云端实践秘籍:“降云十八掌”。本书内容主要为历时八年、累积云端五千余家一线互联网企业实践干货及经验,包含云端二十余款热门产品实践、五十余项常见开源热门技术实践,以及云端热门技术:云端监控、云端DevOps/云端容器、云端智能运维等的佳实践。内容风格上,以案例、场景、实践经验为主。杜绝一些无关痛痒的软件安装、参数配置等充篇幅的内容。减少理论,偏向干货。为您在风起“云”涌的时代,提供过关斩将的“尚方宝剑”。
  • 出版时间: 2022-12-23 00:00:00
  • ISBN: 9787111649694
  • 分类: 计算机-编程设计
  • 出版社: 机械工业出版社
  • PC地址:https://weread.qq.com/web/reader/e9e322a071d3804fe9e9cffopen in new window

高亮划线

3.5 “世界上最好”的语言

📌 Tomcat是一个轻量级中间件,一般单台Tomcat的极限并发能力在1000左右。所以单台Tomcat适合部署在中低配的服务器配置中,比如4核8GB是部署单台Tomcat的完美服务器配置;而在8核16GB等中高配的服务器配置中,运行单台Tomcat往往会造成服务器的性能浪费;对于中高配的服务器,要想把服务器性能都利用起来,不让服务器的配置浪费,一般要在中高配服务器中跑多个Tomcat。 ^30638159-126-1306-1500

  • 💭 tomcat 极限1000并发,4核8g,刚刚好。8核16g,性能过剩,可以部署其他服务来压榨内存和CPU。 - ⏱ 2025-04-14 19:52:37

📌 云服务器ECS的网络类型分为经典网络和VPC专有网络两种。
⏱ 2025-04-17 08:12:52 ^30638159-132-546-575

📌 经典网络采用三层 (网络层,即IP层) 隔离,所有的经典网络类型实例都建立在一个共用的基础网络上。VPC采用二层隔离 (数据链路层) ,相对经典网络而言,VPC具有更高的安全性和灵活性。 ^30638159-132-633-726

  • 💭 一、​​数据链路层隔离的核心技术​​
    ​​基于隧道的二层扩展​​
    通过​​VPN 隧道技术​​(如 IPSec、GRE)在公有网络中创建逻辑隔离的私有网络通道,确保不同 VPC 的流量在隧道内传输,避免直接暴露于公网。
    隧道两端通过​​虚拟隧道接口(VTI)​​关联,实现跨地域或跨网络的二层通信。
    ​​分布式交换机与 MAC 地址管理​​
    VPC 内的交换机采用分布式架构,支持​​MAC 地址学习​​和​​帧转发​​,仅允许同一 VPC 内的节点通过 MAC 地址直接通信。
    通过​​硬件交换机​​实现高速帧传输,结合控制器动态下发转发表,确保流量路径灵活可控。
    二、​​SDN 控制器的核心作用​​
    ​​策略驱动的网络配置​​
    控制器(如阿里云的 VPC 控制器)通过​​OpenFlow​​或​​NetConf​​协议与交换机、网关交互,动态下发路由表、安全组规则等配置。
    支持用户自定义​​IP 段划分​​、​​子网掩码​​和​​路由策略​​,实现灵活的网络拓扑调整。
    ​​多链路冗余与容灾​​
    控制器集群多机房互备,通过​​BGP 协议​​实现跨区域路由同步,确保链路故障时自动切换至备份路径。
    三、​​硬件与软件的协同架构​​
    ​​自研交换机与网关​​
    阿里云基于硬件网关和自研交换机构建 VPC 数据通路,支持​​硬件级流量调度​​和​​低延迟传输​​。
    网关负责公网流量与私有网络之间的转换,通过​​NAT​​技术实现安全隔离。
    ​​分离的配置与数据通路​​
    ​​配置通路​​:控制器通过 API 或管理界面接收用户策略,生成配置指令下发至设备。
    ​​数据通路​​:交换机和网关直接处理帧转发,与控制逻辑解耦,提升传输效率。 - ⏱ 2025-04-17 08:13:36

📌 在云端对ECS实现入网请求的功能,可以通过以下4种方法实现。 ^30638159-133-417-447

  • 💭 云端访问ecs,可以通过以下方式:slb,公网ip,弹性eip,dnat - ⏱ 2025-04-18 06:42:28

📌 负载均衡类,一般都是多台机器同时对外提供服务,尤其是在Web应用中尤为常见。
⏱ 2025-04-18 06:45:43 ^30638159-133-948-986

📌 在很多场景中,给服务器开公网带宽只是为了让服务器能够远程SSH连接而已。我见到过这样的场景,一个客户有二三十台服务器,为每台服务器开个公网IP,目的就是方便远程,但这样使用的合理性、安全规范性有很大隐患。 ^30638159-133-1696-1798

  • 💭 我也想这么干 - ⏱ 2025-04-18 06:46:14

📌 远程登录流程架构图 ^30638159-133-2159-2168

  • 💭 这样就不需要每台ecs服务器绑定公网 - ⏱ 2025-04-18 06:35:05

📌 给ECS绑定公网存在很大安全隐患,这等同于给黑客开了一道能触达ECS的门,方便通过端口扫描、漏洞嗅探实现入侵。 ^30638159-133-2286-2341

  • 💭 有安全隐患 - ⏱ 2025-04-18 06:34:06

📌 比如让ECS绑定公网,外网就不能直接访问) 。 ^30638159-133-2435-2458

  • 💭 都绑定公网了,还不让外网访问? - ⏱ 2025-04-18 06:32:51

📌 直接绑定公网一般适用于在服务器上部署了FTP等功能,由于服务协议的关系等,没办法直接通过SLB负载均衡的方式把服务暴露给公网。
⏱ 2025-04-18 06:33:50 ^30638159-133-2458-2521

📌 ECS实现出网请求的功能,可以通过以下3种方法实现。 ^30638159-134-421-447

  • 💭 出网请求方式:公网ip,弹性eip,snat - ⏱ 2025-04-18 06:46:42

📌 SNAT:通过路由将公网请求的流量映射到NAT网关,或者一台具有公网访问能力的ECS上,再由这台ECS将公网请求流量转发出去。
⏱ 2025-04-20 07:00:56 ^30638159-134-621-684

📌 阿里云流量带宽峰值、流量带宽费用针对的是出口流量峰值及出口流量带宽费用。 ^30638159-134-1186-1222

  • 💭 出口流量 - ⏱ 2025-04-20 07:05:54

📌 Nginx相比Apache,高性能、高并发、系统资源占用少。Nginx核心特点是轻量级!Nginx官网表示,Nginx保持10000个没有活动的连接,而这些连接只占用2.5MB内存。而在3万并发连接下,开启10个Nginx线程消耗的内存不到200MB
⏱ 2025-04-20 21:35:56 ^30638159-137-446-571

📌 我们做了十万在线用户的压测,发现Apache的极限抗并发能力为3000~5000。后面如果有更多的请求,Apache将会严重超时,服务器负载也较高。
⏱ 2025-04-22 06:57:53 ^30638159-138-1292-1366

📌 上述架构中,3台MySQL主主同步架构也不建议运用在生产环境中,因为主主同步架构在高并发场景下,在不同主机上同时对某条数据进行写操作,很可能导致数据不一致性的问题。 ^30638159-138-1422-1504

  • 💭 mysql主主同步架构很多坑 - ⏱ 2025-04-22 06:58:38

📌 Web缓存服务方面,Nginx可通过自身的proxy_cache模块实现类Squid等专业缓存软件的功能。在静态缓存这块,一般采用Squid、Varnish、Nginx,当前CDN产品的实现,底层其实就是采用这3个开源缓存技术。
⏱ 2025-04-22 07:00:16 ^30638159-139-415-529

📌 而Nginx源代码采用C语言开发,这将使我们的二次开发变得非常复杂。为了方便开发人员,OpenResty整合了Nginx和Lua的框架,它帮我们实现用Lua的规范开发实现各种业务,并且厘清各个模块的编译顺序。 ^30638159-140-668-772

  • 💭 OpenResty 整合了nginx和lua - ⏱ 2025-04-24 06:27:30

📌 Nginx+Lua主要实现七层复杂逻辑控制,主要针对七层HTTP头、IP访问判断、SQL注入判断等。
⏱ 2025-04-24 06:28:52 ^30638159-140-888-938

📌 在开源的软件负载均衡中,应用最为广泛的为LVS、Nginx、HAProxy,甚至阿里云的SLB也是基于LVS及Nginx的 ^30638159-142-419-480

  • 💭 四大热门负载均衡 - ⏱ 2025-04-24 07:02:08

读书笔记

3.5 “世界上最好”的语言

划线评论

📌 Tomcat是一个轻量级中间件,一般单台Tomcat的极限并发能力在1000左右。所以单台Tomcat适合部署在中低配的服务器配置中,比如4核8GB是部署单台Tomcat的完美服务器配置;而在8核16GB等中高配的服务器配置中,运行单台Tomcat往往会造成服务器的性能浪费;对于中高配的服务器,要想把服务器性能都利用起来,不让服务器的配置浪费,一般要在中高配服务器中跑多个Tomcat。 ^37992928-7ZsyW4a1R
- 💭 tomcat 极限1000并发,4核8g,刚刚好。8核16g,性能过剩,可以部署其他服务来压榨内存和CPU。
- ⏱ 2025-04-17 00:40:43

4.1.1 策略一:网络类型选型的五个注意点

划线评论

📌 经典网络采用三层 (网络层,即IP层) 隔离,所有的经典网络类型实例都建立在一个共用的基础网络上。VPC采用二层隔离 (数据链路层) ,相对经典网络而言,VPC具有更高的安全性和灵活性。 ^37992928-7Zt2Sr8Cq
- 💭 一、​​数据链路层隔离的核心技术​​
​​基于隧道的二层扩展​​
通过​​VPN 隧道技术​​(如 IPSec、GRE)在公有网络中创建逻辑隔离的私有网络通道,确保不同 VPC 的流量在隧道内传输,避免直接暴露于公网。
隧道两端通过​​虚拟隧道接口(VTI)​​关联,实现跨地域或跨网络的二层通信。
​​分布式交换机与 MAC 地址管理​​
VPC 内的交换机采用分布式架构,支持​​MAC 地址学习​​和​​帧转发​​,仅允许同一 VPC 内的节点通过 MAC 地址直接通信。
通过​​硬件交换机​​实现高速帧传输,结合控制器动态下发转发表,确保流量路径灵活可控。
二、​​SDN 控制器的核心作用​​
​​策略驱动的网络配置​​
控制器(如阿里云的 VPC 控制器)通过​​OpenFlow​​或​​NetConf​​协议与交换机、网关交互,动态下发路由表、安全组规则等配置。
支持用户自定义​​IP 段划分​​、​​子网掩码​​和​​路由策略​​,实现灵活的网络拓扑调整。
​​多链路冗余与容灾​​
控制器集群多机房互备,通过​​BGP 协议​​实现跨区域路由同步,确保链路故障时自动切换至备份路径。
三、​​硬件与软件的协同架构​​
​​自研交换机与网关​​
阿里云基于硬件网关和自研交换机构建 VPC 数据通路,支持​​硬件级流量调度​​和​​低延迟传输​​。
网关负责公网流量与私有网络之间的转换,通过​​NAT​​技术实现安全隔离。
​​分离的配置与数据通路​​
​​配置通路​​:控制器通过 API 或管理界面接收用户策略,生成配置指令下发至设备。
​​数据通路​​:交换机和网关直接处理帧转发,与控制逻辑解耦,提升传输效率。
- ⏱ 2025-04-17 08:17:54

4.1.2 策略二:入网请求选型的四种方法

划线评论

📌 在云端对ECS实现入网请求的功能,可以通过以下4种方法实现。 ^37992928-7Zut5KUxq
- 💭 云端访问ecs,可以通过以下方式:slb,公网ip,弹性eip,dnat
- ⏱ 2025-04-18 06:44:50

划线评论

📌 在很多场景中,给服务器开公网带宽只是为了让服务器能够远程SSH连接而已。我见到过这样的场景,一个客户有二三十台服务器,为每台服务器开个公网IP,目的就是方便远程,但这样使用的合理性、安全规范性有很大隐患。 ^37992928-7ZusasYc4
- 💭 我也想这么干
- ⏱ 2025-04-18 06:30:44

划线评论

📌 远程登录流程架构图 ^37992928-7ZusuxL5T
- 💭 这样就不需要每台ecs服务器绑定公网
- ⏱ 2025-04-18 06:35:40

划线评论

📌 给ECS绑定公网存在很大安全隐患,这等同于给黑客开了一道能触达ECS的门,方便通过端口扫描、漏洞嗅探实现入侵。 ^37992928-7ZusqBX4h
- 💭 有安全隐患
- ⏱ 2025-04-18 06:34:42

划线评论

📌 比如让ECS绑定公网,外网就不能直接访问) 。 ^37992928-7Zusm1XT7
- 💭 都绑定公网了,还不让外网访问?
- ⏱ 2025-04-18 06:33:34

4.1.3 策略三:出网请求选型的三种方法

划线评论

📌 ECS实现出网请求的功能,可以通过以下3种方法实现。 ^37992928-7ZutgTTAr
- 💭 出网请求方式:公网ip,弹性eip,snat
- ⏱ 2025-04-18 06:47:35

划线评论

📌 阿里云流量带宽峰值、流量带宽费用针对的是出口流量峰值及出口流量带宽费用。 ^37992928-7Zxx5s5ki
- 💭 出口流量
- ⏱ 2025-04-20 07:05:51

4.2.3 考虑三:对负载均衡功能的支持

划线评论

📌 上述架构中,3台MySQL主主同步架构也不建议运用在生产环境中,因为主主同步架构在高并发场景下,在不同主机上同时对某条数据进行写操作,很可能导致数据不一致性的问题。 ^37992928-7ZAzhIiNS
- 💭 mysql主主同步架构很多坑
- ⏱ 2025-04-22 06:59:25

4.2.5 考虑五:丰富的插件及支持灵活的二次开发

划线评论

📌 而Nginx源代码采用C语言开发,这将使我们的二次开发变得非常复杂。为了方便开发人员,OpenResty整合了Nginx和Lua的框架,它帮我们实现用Lua的规范开发实现各种业务,并且厘清各个模块的编译顺序。 ^37992928-7ZDzRR6TO
- 💭 OpenResty 整合了nginx和lua
- ⏱ 2025-04-24 06:28:20

4.3.1 对比方面:四大热门负载均衡的优缺点

划线评论

📌 在开源的软件负载均衡中,应用最为广泛的为LVS、Nginx、HAProxy,甚至阿里云的SLB也是基于LVS及Nginx的 ^37992928-7ZDC6rzd0
- 💭 四大热门负载均衡
- ⏱ 2025-04-24 07:02:28

本书评论

0  字
评论
  • 按正序
  • 按倒序
  • 按热度
Powered by Waline v3.3.0