HCCDP Solution Architectures认证思维导图
HCCDP Solution Architectures认证介绍
树图思维导图提供 HCCDP Solution Architectures认证 在线思维导图免费制作,点击“编辑”按钮,可对 HCCDP Solution Architectures认证 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:4c3c64167def3995d630788a7cb5d0eb
思维导图大纲
HCCDP Solution Architectures认证思维导图模板大纲
传统应用云上架构分析
1、云的基本概念和历史发展
虚拟化->云化->云原生化
2、云计算的部署模式
公有云、私有云、混合云
3、云计算的服务模式
传统IT->IaaS->PaaS->SaaS
4、云计算的价值
减少固定资产投入、资源规模庞大、快速资源获取、无需做容量猜测、引入新法人运维方式、在不同地理位置经营、业务敏捷化
5、华为云全球布局
CloudOcean云核心枢纽50ms->CloudSea云区域枢纽10ms->CloudLake云边缘枢纽5ms
区域(region)、可用区(AZ)
区域选择要点
合规要求是刚需
客户体验放前面
功能不是哪都有
算算价格能节省
可用区选择要点
提高可用性
很容易帮助构建双活、多活的应用
可用区之间是等价的
6、企业上云的核心驱动力
技术驱动
帮助企业实现敏捷业务开发、处理大规模数据、构建高韧性系统
业务驱动
云厂商具备大量PaaS、SaaS服务和完整解决方案
政策驱动
云计算属于重点产业,企业上云受到各国政府扶持和推动
7、企业上云架构设计诉求
性能、成本、安全性、可靠性、可维护性
五大支柱:体系安全、架构可靠、性能适用、成本合理、运维高效
安全
业务连续不中断、运维全程可管控、数据保密不扩散
根据系统的合规标准设定安全目标、成体系地规划系统的整体安全、在所有层次实现安全性、风险评估并准备应对预案
高可用
可用度A=MTBF/(MTBF+MTTR)
可用性=可靠性+可维护性
可靠性设计原则
业务应用层的高可用、系统架构设计高可用、云服务高可用
根据业务需要设定可靠性指标、为了失败做设计才能保持不败、避免单点故障、在架构中实现松耦合、预测故障的形式并准备应对预案
8、云上系统性能指标
计算资源(时延)、网络资源(吞吐量)、存储资源(IOPS)、数据库资源(并发能力)
根据业务需要确立性能指标、了解各种先进技术并合理选择、寻找数据特点和热度,设计缓存、为系统实现弹性
9、成本优化设计原则
持续成本优化、使用云托管服务、供需匹配、支出意识、使用高成本效益的资源、多层次优化成本
10、运维高效设计原则
做好监控对系统了如指掌、利用自动化减少人工风险、更新或是替换跳出旧思想束缚、减少底层维护聚焦应用层维护
11、什么时候需要架构原则?
设计架构
验收架构
12、Vmall电商典型案例
目标业务架构图
业务架构解析
前端应用展现、前台、中台、后台、开放系统、消息通信
业务主流程
注册登录->浏览下单->支付->物流服务->分享->用户经营
具体业务场景
节日促销&新品首发
大流量&高并发、安全可靠、用户体验
抢购秒杀业务需求
X亿级用户短时间登录、短时间海量订单、X百万级别的并发、短时间高并发支付、DDOS攻击、黄牛软件抢票
压力隔离、区域隔离、跨区业务解耦、业务解耦、分布式、线性扩展、DB设计、性能提升、防攻击、流控、风控、活动支撑
电商应用架构图
云上典型业务实现方案介绍
应用是指具备明确的业务特征,独立完整,由一个或多个关联紧密的功能组成的逻辑集合,通过可重用的API对外提供能力。业务能力以服务的形式对外呈现价值的一种方式。业务服务是企业或组织以明确的接口对外提供商品或服务,业务组织有组织显性化地治理。
应用是能够独立完成客户一个业务流的最小软件集合,只有一个vendo和owner,没有任何具体的运行环境属性。
应用实例是应用的一个独立的运行环境,有具体的运行环境属性,包括:账号密码,访问地址,运行环境的配置等。应用与应用实例的1:N的关系。应用上云的最小单位是一个应用实例。
经典三层架构:WEB层、Service层、DAO层
四层架构:WEB层、Service层、Manager层、DAO层
MVC架构
云上业务实现的基础架构图(重要):ECS、VPC、安全组、子网、网络ACL、EIP、RDS、OBS、CTS、CES、IAM
VPC
VPC之间隔离性大于连通性,VPC内连通性大于隔离性,VPC可用于Region内各服务的网络通信
安全组为同一VPC制定访问策略,网络ACL控制子网的访问控制流量
VPC的优势:互联互通:多种方式连接公网,依靠对等连接,使用私有IP在两个VPC间进行通信、安全可靠:100%逻辑隔离,多重安全防护、灵活配置:自定义虚拟私有网络,支持跨可用区部署弹性云服务器、高速访问:全动态BGP协议接入多个运营商,寻路协议实时自动故障切换
ECS
CPU、内存、磁盘、操作系统、网卡、镜像、网络组成
可以提供网络服务、镜像服务、云硬盘、云备份
弹性伸缩:自动调整计算资源,灵活调整云服务器配置,灵活的计费模式;稳定可靠:丰富的磁盘种类,高数据可靠性,支持云服务器和云硬盘的备份和恢复;安全保障:多种安全服务,多维度防护,安全评估,智能化进程管理,漏洞扫描;软硬结合:搭载专业的硬件设备,随时获取虚拟化资源
华为云存储
云硬盘(EVS):是一种基于分布式架构的,可弹性扩展的虚拟块存储服务
对象存储服务:(OBS)是存储文档、图片、影音视频等非结构化数据的云存储服务
弹性文件服务:(SFS)为用户的弹性云服务提供一个完全托管的共享文件存储,包含SFS和SFSTurbo服务
专属分布式存储(DSS):基于分布式块存储构建,为用户提供独享的物理存储资源
云备份(CBR):可为云服务器、云硬盘创建备份,确保用户的数据安全
存储容灾服务(SDRS):是基于数据同步复制提供RPO=0的跨AZ容灾服务
云硬盘EVS
可以为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务,可满足不同场景的业务需求。
云硬盘架构图(重要)
对象存储服务OBS
提供海量、安全、高可靠、低成本的数据存储能力,可供用户存储任意类型和大小的数据。适合企业备份/归档、视频点播、视频监控等多种数据存储场景。
桶是对象的容器,对象是OBS中数据存储的基本单位,Key:键值,即对象的名称;Metadata:元数据,即对象的描述信息;Data:数据,即文件的数据内容
稳定可靠、安全可信、超高性能、多协议、跨区复制
弹性文件服务SFS
提供按需扩展的高性能文件存储,可为云上多个ECS、容器、BMS提供访问
易用、稳定、安全、高效
EVS、OBS、SFS的区别和适用场景(重要)
数据库GaussDB
面向政企和泛互联网客户,满足高可靠、高性能;开源面向中小企业,极致性价比
关系型数据库
GaussDB for openGauss、GaussDB for MySQL、RDS for MySQL、RDS for PostgresSQL
非关系型数据库
GaussDB for Mongo、GaussDB for Cassandra、GaussDB for Redis、GaussDB for Influx、DDS
数据库工具服务
数据复制服务DRS、数据库和应用迁移UGO、分布式数据库中间件DDM
统一身份认证IAM
账户与IAM可以类比为父子;账号资源归属和计费主体,对资源具有所有权限;账号可以随时修改或撤销IAM用户使用权限
用户组策略
不同区域法人IAM-A和IAM-B创建委托后可以资源访问:A创建委托B,B创建组加入IAM-B,B切换到账号A,再切换A区,这是可以访问A区的资源
从五大支柱看架构演变
体系安全、架构可靠、性能适用、成本合理、运维高效
阶段一(单机部署)ECS:应用和数据库存在资源争用;单机性能不足以支撑业务
阶段二(应用与数据分离)ECS+RDS:随着访问量增大,单个应用服务器无法应对;存在单点故障
阶段三(应用服务器集群)虚拟VIP KeepAlived,绑定主备虚机:无法做到多服务器负载均衡,只能以主备方式工作,单机性能有限
阶段三(应用服务器集群)负载均衡ECS+RDS+ELB:需要额外处理session数据;不能解决数据库高负载
阶段四(数据库读写分离)ECS+RDS(主从)+ELB:需要应用自身实现针对多个从数据源选择问题
阶段五(通过缓存减轻数据库读压力)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存):对于针对关键字的模糊查询效率不高
阶段六(通过搜索引擎提高数据库读效率)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存)+ES(Elastic search):对于数据库写操作压力无能为力
阶段七(数据库分库分表-垂直拆分)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存)+ES(Elastic search)+DDM(分布式数据库中间件):需要维护多个数据库的状态一致性和数据同步;需要考虑原来跨业务的事务以及跨数据库的join
阶段七(数据库分库分表-水平拆分)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存)+ES(Elastic search)+DDM(分布式数据库中间件):访问用户信息的应用系统需要解决SQL路由的问题,因为现在用户信息在两个数据库,需要了解数据在哪里;主键的处理也变得不同,例如,原来自增字段,现在就不能简单地继续使用;如果需要分页查询,那就更加麻烦
阶段七(数据库分库分表总体架构)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存)+ES(Elastic search)+DDM(分布式数据库中间件):所有用户访问中心站点,对于距离较远或者跨网络传输的用户,高时延造成的用户体验差
阶段八(就近访问,动静分离)CDN内容分发网络:静态文件的缓存更新以及前后端的更新成本比较大
阶段九(多层次负载均衡,提高大规模访问并发能力)ELB:所有用户访问中心站点,造成中心站点压力大,并且无法做到基于地域的容灾
阶段十(多站点负载均衡,提高容灾能力)ELB+CSDR/CSHA+RDS主备+第三方智能DNS+GSLB+应用级灾备方案:随着数据的丰富程度和业务的发展,检索、分析等,单单依靠关系型数据库无法解决如此丰富的需求
阶段十一(引入NoSQL数据库)MRS大数据+DWS融合数仓+DDS文档数据库:引入更多组件解决了丰富的需求,业务维度能够极大扩充,随之而来的是一个应用中包含了太多的业务代码,业务的升级迭代变得困难
阶段十二(应用拆分)分布式配置中心Zookeeper:不同应用之间存在共用的模块,由应用单独管理会导致相同代码存在多份,导致公共功能升级时全部应用代码都要跟着升级
阶段十二(面向服务的架构SOA)ESB总线:如何进行不同服务间的远程调用
阶段十三(通过消息中间件实现异步解耦)HttpAPI、TCP SDK、Kafka SDK三种数据访问接口:拆分的子系统随着业务的复杂耦合仍然面临难以开发和维护的问题
阶段十四(微服务化)FusionStage
阶段十四(容器化部署)CCE云容器引擎+CCI云容器实例
阶段十四(服务网格)ServiceCombo基于SDK的微服务治理框架/ASM基于isito的服务网格
阶段十四(微服务化)华为FusionStage分布式事务中间件DTM
云上网络方案设计
华为云典型网络服务概览图(重要)
云上网络方案设计
单region单VPC网络设计:VPC、子网
VPC:虚拟私有云
软件定义的网络;可以自由配置VPC内的IP地址段、子网、路由、防火墙等功能;可以利用弹性IP获得和互联网的连通性;在华为云上提供隔离的、内联的虚拟网络环境
需要使用多少个VPC?
使用单个VPC
应用单一、业务量小、团队规模小、低延迟、高性能计算、希望简化管理
连通性大于隔离性
使用多个VPC
具备多种不同的业务,期望网络隔离、单一的团队或组织
隔离性大于连通性
适合单一的团队和组织具备多种不同业务,分生产区、测试区
做不到:账户内业务资源隔离、账户内权限独立划分
适合多个IAM项目或企业项目:托管服务提供提供商(MSP);中大型团队或组织期望资源分组和隔离管理;更精确的基于项目的成本计算
做不到:希望实现业务、工作负载完全严格隔离、大型组织,管理标准和复杂度要求更高
适合多个账号:大型团队或组织,具备多个不同业务且有独立的IT团队;希望严格实现业务、权限、成本结算独立
VPC区域如何创建?
VPC区域性:靠近用户的区域创建
VPC区域:开发域、测试域、准生产域、生产域
VPC区域选择、VPC隔离性、VPC配额、资源划分
如何进行网络规划?
VPC的IP地址段选择:IP地址数量考虑,要为业务预留足够的IP地址,防止业务扩展给网络带来冲击,与其他VPC、本地数据中心连接时,要避免IP地址冲突
子网是VPC内的IP地址段;IP范围使用无类别域建路由(CIDR);推荐网段(10.0.0.0/8~24;172.16.0.0/12~24;192.168.0.0/16~24)起于172.16.0.0止于172.16.255.255
因素:预期的主机数量、未来扩展需求、IP地址利用率、子网划分和可用区需求
子网规划设计:VPC CIDR 192.168.0.0/22共计1024个IP地址,可以分配4个子网,保留5个地址:192.168.0.0网络标识符、192.168.0.1网关地址192.168.0.253系统接口,对外通信192.168.0.254DHCP服务地址192.168.0.255广播地址
子网使用基本原则:根据业务需求考虑较大子网,而不是众多小子网,且避免子网IP地址不足;子网的IP地址必须属于VPC且全部覆盖VPC的所有IP地址;不同子网之间IP地址块不能重叠;子网提供的IP地址可跨可用区使用
子网规划设计原则:子网和业务逻辑一一对应;单子网只布置一种功能节点;所有相同的功能节点,只部署到一个子网中;子网只是应用逻辑概念,没有传统物理设备限制
子网规划设计:任何子网必须有且仅有一个关联的路由表;路由表由一系列路由规则组成,指明子网的出流量走向;每个VPC具备一个默认路由,和未指定路由表的子网关联,每个路由表管控的是跨VPC的网络流量,每个路由表的默认路由规则,不能修改和删除;可以创建多个自定义路由表注意自定义路由表的配额限制;一个路由表可以被多个子网共用
云上region与本地IDC网络方案设计:云专线、VPN
VPN虚拟专用网络,提供端到端的私有访问通道;云专线DC是搭建在用户本地数据中心与云上虚拟私有云之间的高合规、高速度、低延迟、稳定可靠的专属连接通道
VPN用于在数据中心和VPC之间实现内网连接:线上线下打通;跨区域VPC互联;云专线用于数据中心和VPC之间实现内网连接,一般以光纤实现专线连接,不通过互联网。适用对网络传输质量和安全合规等级要求高的场景
VPN网关、远端网关、VPN连接;物理专线、虚拟网关、虚拟接口
VPN网关仅可关联一个VPC
VPN适合单、多站点混合云部署、跨区域VPC互联;云专线适合云服务器与本地数据中心互联、多站点部署与跨区域互联
云专线DC的价值:合规要求、更优的流量成本、性能稳定
单region多VPC互联方案设计:VPC Peering、ER、VPCEndpoint
VPC Peering对等连接:需要在两端VPC内添加对等连接路由信息;配置简单,1对1单独配置,免费使用;通过云内部网络通信,不走公网
私有地址通信;需要对端同意;对等连接路由可以添加多条路由信息;两个VPC间不能同时建立多个对等连接;可以跨账号、跨项目,不支持跨区域;两端建立对等连接的网段没有重叠;对等连接双方可以访问云服务器、数据库、负载均衡等资源
ER企业路由器:支持虚拟私有云VPC、云专线DC、虚拟专用网络VPN、云连接CC等多种接入方式,支持路由学习、动态选路以及链路切换
ER企业路由器应用可以打造云上、云下、跨云的复杂网络;多个VPC灵活互通和隔离,共享专线;多条专线链路动态选路和切换;多账户互通
ER企业路由器:高性能、高可用、管理简单、多链路联动
VPC Endpoint终端节点(VPCEP):VPC终端节点由“终端节点服务”和“终端节点”两种资源组成,两种资源分别由服务提供方和服务使用方创建
VPCEP适用于大多数情况下,不需要连接网络,暴露所有网络内元素,仅仅需要暴露服务入口;跨VPC连接,暴露服务访问;通过内网访问部分华为云云服务;帮助混合云中心通过内网访问部分华为云服务
VPCEP关键技术&规格:节点服务、节点组成;性能优化;即创即用;合规性高
跨region网络互连方案设计:CC
云连接(Cloud Connect)为用户提供一种快速构建跨区域VPC之间高速、优质、稳定的网络能力
云连接适用于跨区域多VPC私网互通;多数据中心与多区域VPC互通
云连接的关键技术&规格:全网互联、简单灵活、性能优异、全球合规、多账户支持
云连接特点:每个云连接实例在每个区域支持默认支持加载6个网络实例;每个云连接实例支持加载的区域数默认为6个;一个VPC仅可以加载到一个云连接实例中;VPC网络加载CIDR是用来定义VPC网络IP地址范围,在创建VPC网络时,需要指定一个CIDR块作为该网络的IP地址范围。CIDR是一种用于分配和管理IP地址的标准方法,每个网络实例最多加载50个CIDR。
云上业务访问Internet网络方案设计:EIP、NAT、DNS
弹性EIP(Elastic IP),互联网IPv4地址:通过配置与服务器绑定或解绑,同时和公网出口带宽关联
丰富的公网出口支付模式:按需、按带宽、按流量、包年包月、叠加流量包、带宽包
EIP的功能:弹性绑定外网IP、配置带宽限速、单独购买单独持有、指定EIP和系统自动分配、指定申请时长
弹性EIP所有互联网的连接都需要EIP,适用于绑定云服务器、绑定ELB实例、绑定NAT网关
NAT网关(NAT Gateway):能够为虚拟私有云内的云节点提供网络地址转换服务,使多个云节点可以共享弹性公网IP访问Internet或使云主机提供互联网服务
希望被互联网访问可以选择绑定EIP,访问互联网不推荐绑定EIP;希望能访问互联网,但又不直接暴露,选择NAT网关
公网NAT网关(SNAT):如果服务器需要访问互联网,使用公网NAT网关-SNAT;在子网的路由配置外出流量指向SNAT网关;安全、访问互联网的同时,不会暴露服务器;托管服务,由华为云进行维护高可用、吞吐量大。
NAT网关也提供外部向内访问功能-DNAT;不推荐:支持IP映射、支持端口映射、可与SNAT共用同一EIP(避免与选用全端口模式的DNAT共用)
NAT网关适用于禁止虚拟机直接绑定EIP,使用NAT网关作为一层安全隔离机制
EIP适用于云服务器被外网访问、多台云服务器访问外网
弹性网卡:每台服务器的网络入口;可以在同一个VPC内的ECS之间转移,不必和ECS处于同一子网;每台ECS实例的主弹性网卡无法与实例解绑;弹性网卡:私网IP、弹性公网IP、安全组配置、MAC地址。扩展弹性网卡:安全隔离、故障转移、授权(lincense转移)
虚拟IP(VIP):通过配置与服务器绑定或解绑;IP地址的值限定,不可跨子网
虚拟IP适用于故障主备切换,VIP切换:虚拟IP绑定在ECS(主)网卡上;当ECS(主)发生故障,ECS(主)与ECS(备)通信异常,虚拟IP地址会与ECS(主)解绑,重新与ECS(备)绑定,此时ECS(备)升为主,实现故障主备转换,VIP切换
DNS云解析服务(Domain Name Service)提供高可用,高扩展的权威DNS服务和DNS管理服务,把人们常用的域名或应用资源转换成用于计算机连接的IP地址,从而将最终用户路由到相应的应用资源上
DNS特点:高性能、安全防护、内网解析、反向解析
DNS适用于云服务器主机名管理、云服务器、云服务器访问云上资源、灾备、就近服务
公网域名解析过程(重要)
内网域名解析
从五大支柱审核网络方案设计
华为网络架构设计图(重要)
安全:数据的安全、网络和应用安全、事件响应、审计和跟踪
可靠性:VPC网络主要组件均为分布式软件部件,不是单点故障点;部分组件是真实设备的对应,内建高可用或需要做高可用设计,VPN网关内建了高可用,多设备透明工作,NAT网关可以选择多可用区部署,获得高可用,亦可开启多台做高可用;对外链路可采用BGP设置来获得故障时的链路透明切换;如果合规标准允许,在网络架构上可以用VPN配合云专线做高可用。否则需要安排两条云专线;注意可用性和成本的平衡和优先级
性能:监控是掌握网络性能的关键;了解应用程序的性能需求,在网络架构设计时选择合适的组件;云中网络性能一般需要注意时延和带宽两个不同的性能角度考虑;VPC是软件网络,本身不是瓶颈;VPN网关、NAT、终端节点有性能限制;需要适配性研究。
成本:理解VPC成本组成,VPC主要组件免费,部分组件收费(VPN网关、NAT网关、终端节点);NAT的使用按天计费,请不要一天内频繁启停;流量费仔细评估优化,了解业务的流量模型,利用CDN、应用数据交换优化来节省流量开销;波动型业务,用好流量包、带宽包、增强型95计费;专线使用技巧,合理规划专线的带宽,如果不需要1GE的起始带宽,可以选择共享带宽;充分利用专线的带宽
维护性:架构设计上,网络姿势规划统筹考虑,避免IP地址冲突,为后来的互通造成挑战;应可通过IP判断产品线、生成/测试环境等;避免因为IP数量不够,使用VPC扩展网段,或者使用多个子网管理同样功能节点。从应用需要来考虑连通性和暴露性,连通会带来成本和维护复杂度的提升,连通前确认必要性,端口开放以业务需求出发,紧记最小暴露原则。可以考虑全软件定义网络,可以在控制台便利操作,也可以用代码脚本自动运维,可以登录堡垒机脚本里打开安全组22端口,访问后脚本就关闭此端口;可以通过自动化部署工具进行部署,减少手误;通过脚本日常扫描配置、CTS日志发掘等方式确认配置没有异动;分析VPC流日志掌握访问情况。
云上计算方案设计
云上存储方案设计
云上数据库设计
云上安全设计
运维设计
分布式系统设计
高弹性系统设计
子主题 1
容灾系统设计
自动化部署
容器与敏捷
其他高阶服务介绍
考试大纲及考试样题
相关思维导图模板
树图思维导图提供 HCCDP认证思维脑图 在线思维导图免费制作,点击“编辑”按钮,可对 HCCDP认证思维脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:2e3659bd18687bbe61e1d7f58095ce67
树图思维导图提供 HCCDP Solution Architectures认证 在线思维导图免费制作,点击“编辑”按钮,可对 HCCDP Solution Architectures认证 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:b63190be7fcc94441b209f6e1edb59d4
沪公网安备 31011502019485号
上海工商