HCCDP认证思维脑图思维导图
网络方案,计算方案,存储方案设计等内容讲解
树图思维导图提供 HCCDP认证思维脑图 在线思维导图免费制作,点击“编辑”按钮,可对 HCCDP认证思维脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:2e3659bd18687bbe61e1d7f58095ce67
思维导图大纲
HCCDP Solution Architectures认证思维导图模板大纲
传统应用云上架构分析
1、云的基本概念和历史发展
虚拟化->云化->云原生化
2、云计算的部署模式
公有云、私有云、混合云
3、云计算的服务模式
传统IT->IaaS->PaaS->SaaS
4、云计算的价值
减少固定资产投入、资源规模庞大、快速资源获取、无需做容量猜测、引入新法人运维方式、在不同地理位置经营、业务敏捷化
5、华为云全球布局
CloudOcean云核心枢纽50ms->CloudSea云区域枢纽10ms->CloudLake云边缘枢纽5ms
区域(region)、可用区(AZ)
区域选择要点
合规要求是刚需
客户体验放前面
功能不是哪都有
算算价格能节省
可用区选择要点
提高可用性
很容易帮助构建双活、多活的应用
可用区之间是等价的
6、企业上云的核心驱动力
技术驱动
帮助企业实现敏捷业务开发、处理大规模数据、构建高韧性系统
业务驱动
云厂商具备大量PaaS、SaaS服务和完整解决方案
政策驱动
云计算属于重点产业,企业上云受到各国政府扶持和推动
7、企业上云架构设计诉求
性能、成本、安全性、可靠性、可维护性
五大支柱:体系安全、架构可靠、性能适用、成本合理、运维高效
安全
业务连续不中断、运维全程可管控、数据保密不扩散
根据系统的合规标准设定安全目标、成体系地规划系统的整体安全、在所有层次实现安全性、风险评估并准备应对预案
高可用
可用度A=MTBF/(MTBF+MTTR)
可用性=可靠性+可维护性
可靠性设计原则
业务应用层的高可用、系统架构设计高可用、云服务高可用
根据业务需要设定可靠性指标、为了失败做设计才能保持不败、避免单点故障、在架构中实现松耦合、预测故障的形式并准备应对预案
8、云上系统性能指标
计算资源(时延)、网络资源(吞吐量)、存储资源(IOPS)、数据库资源(并发能力)
根据业务需要确立性能指标、了解各种先进技术并合理选择、寻找数据特点和热度,设计缓存、为系统实现弹性
9、成本优化设计原则
持续成本优化、使用云托管服务、供需匹配、支出意识、使用高成本效益的资源、多层次优化成本
10、运维高效设计原则
做好监控对系统了如指掌、利用自动化减少人工风险、更新或是替换跳出旧思想束缚、减少底层维护聚焦应用层维护
11、什么时候需要架构原则?
设计架构
验收架构
12、Vmall电商典型案例
目标业务架构图
业务架构解析
前端应用展现、前台、中台、后台、开放系统、消息通信
业务主流程
注册登录->浏览下单->支付->物流服务->分享->用户经营
具体业务场景
节日促销&新品首发
大流量&高并发、安全可靠、用户体验
抢购秒杀业务需求
X亿级用户短时间登录、短时间海量订单、X百万级别的并发、短时间高并发支付、DDOS攻击、黄牛软件抢票
压力隔离、区域隔离、跨区业务解耦、业务解耦、分布式、线性扩展、DB设计、性能提升、防攻击、流控、风控、活动支撑
电商应用架构图
云上典型业务实现方案介绍
应用是指具备明确的业务特征,独立完整,由一个或多个关联紧密的功能组成的逻辑集合,通过可重用的API对外提供能力。业务能力以服务的形式对外呈现价值的一种方式。业务服务是企业或组织以明确的接口对外提供商品或服务,业务组织有组织显性化地治理。
应用是能够独立完成客户一个业务流的最小软件集合,只有一个vendo和owner,没有任何具体的运行环境属性。
应用实例是应用的一个独立的运行环境,有具体的运行环境属性,包括:账号密码,访问地址,运行环境的配置等。应用与应用实例的1:N的关系。应用上云的最小单位是一个应用实例。
经典三层架构:WEB层、Service层、DAO层
四层架构:WEB层、Service层、Manager层、DAO层
MVC架构
云上业务实现的基础架构图(重要):ECS、VPC、安全组、子网、网络ACL、EIP、RDS、OBS、CTS、CES、IAM
VPC
VPC之间隔离性大于连通性,VPC内连通性大于隔离性,VPC可用于Region内各服务的网络通信
安全组为同一VPC制定访问策略,网络ACL控制子网的访问控制流量
VPC的优势:互联互通:多种方式连接公网,依靠对等连接,使用私有IP在两个VPC间进行通信、安全可靠:100%逻辑隔离,多重安全防护、灵活配置:自定义虚拟私有网络,支持跨可用区部署弹性云服务器、高速访问:全动态BGP协议接入多个运营商,寻路协议实时自动故障切换
ECS
CPU、内存、磁盘、操作系统、网卡、镜像、网络组成
可以提供网络服务、镜像服务、云硬盘、云备份
弹性伸缩:自动调整计算资源,灵活调整云服务器配置,灵活的计费模式;稳定可靠:丰富的磁盘种类,高数据可靠性,支持云服务器和云硬盘的备份和恢复;安全保障:多种安全服务,多维度防护,安全评估,智能化进程管理,漏洞扫描;软硬结合:搭载专业的硬件设备,随时获取虚拟化资源
华为云存储
云硬盘(EVS):是一种基于分布式架构的,可弹性扩展的虚拟块存储服务
对象存储服务:(OBS)是存储文档、图片、影音视频等非结构化数据的云存储服务
弹性文件服务:(SFS)为用户的弹性云服务提供一个完全托管的共享文件存储,包含SFS和SFSTurbo服务
专属分布式存储(DSS):基于分布式块存储构建,为用户提供独享的物理存储资源
云备份(CBR):可为云服务器、云硬盘创建备份,确保用户的数据安全
存储容灾服务(SDRS):是基于数据同步复制提供RPO=0的跨AZ容灾服务
云硬盘EVS
可以为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务,可满足不同场景的业务需求。
云硬盘架构图(重要)
对象存储服务OBS
提供海量、安全、高可靠、低成本的数据存储能力,可供用户存储任意类型和大小的数据。适合企业备份/归档、视频点播、视频监控等多种数据存储场景。
桶是对象的容器,对象是OBS中数据存储的基本单位,Key:键值,即对象的名称;Metadata:元数据,即对象的描述信息;Data:数据,即文件的数据内容
稳定可靠、安全可信、超高性能、多协议、跨区复制
弹性文件服务SFS
提供按需扩展的高性能文件存储,可为云上多个ECS、容器、BMS提供访问
易用、稳定、安全、高效
EVS、OBS、SFS的区别和适用场景(重要)
数据库GaussDB
面向政企和泛互联网客户,满足高可靠、高性能;开源面向中小企业,极致性价比
关系型数据库
GaussDB for openGauss、GaussDB for MySQL、RDS for MySQL、RDS for PostgresSQL
非关系型数据库
GaussDB for Mongo、GaussDB for Cassandra、GaussDB for Redis、GaussDB for Influx、DDS
数据库工具服务
数据复制服务DRS、数据库和应用迁移UGO、分布式数据库中间件DDM
统一身份认证IAM
账户与IAM可以类比为父子;账号资源归属和计费主体,对资源具有所有权限;账号可以随时修改或撤销IAM用户使用权限
用户组策略
不同区域法人IAM-A和IAM-B创建委托后可以资源访问:A创建委托B,B创建组加入IAM-B,B切换到账号A,再切换A区,这是可以访问A区的资源
从五大支柱看架构演变
体系安全、架构可靠、性能适用、成本合理、运维高效
阶段一(单机部署)ECS:应用和数据库存在资源争用;单机性能不足以支撑业务
阶段二(应用与数据分离)ECS+RDS:随着访问量增大,单个应用服务器无法应对;存在单点故障
阶段三(应用服务器集群)虚拟VIP KeepAlived,绑定主备虚机:无法做到多服务器负载均衡,只能以主备方式工作,单机性能有限
阶段三(应用服务器集群)负载均衡ECS+RDS+ELB:需要额外处理session数据;不能解决数据库高负载
阶段四(数据库读写分离)ECS+RDS(主从)+ELB:需要应用自身实现针对多个从数据源选择问题
阶段五(通过缓存减轻数据库读压力)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存):对于针对关键字的模糊查询效率不高
阶段六(通过搜索引擎提高数据库读效率)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存)+ES(Elastic search):对于数据库写操作压力无能为力
阶段七(数据库分库分表-垂直拆分)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存)+ES(Elastic search)+DDM(分布式数据库中间件):需要维护多个数据库的状态一致性和数据同步;需要考虑原来跨业务的事务以及跨数据库的join
阶段七(数据库分库分表-水平拆分)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存)+ES(Elastic search)+DDM(分布式数据库中间件):访问用户信息的应用系统需要解决SQL路由的问题,因为现在用户信息在两个数据库,需要了解数据在哪里;主键的处理也变得不同,例如,原来自增字段,现在就不能简单地继续使用;如果需要分页查询,那就更加麻烦
阶段七(数据库分库分表总体架构)ECS+RDS(主从)+ELB(弹性负载均衡)+DCS(分布式缓存)+ES(Elastic search)+DDM(分布式数据库中间件):所有用户访问中心站点,对于距离较远或者跨网络传输的用户,高时延造成的用户体验差
阶段八(就近访问,动静分离)CDN内容分发网络:静态文件的缓存更新以及前后端的更新成本比较大
阶段九(多层次负载均衡,提高大规模访问并发能力)ELB:所有用户访问中心站点,造成中心站点压力大,并且无法做到基于地域的容灾
阶段十(多站点负载均衡,提高容灾能力)ELB+CSDR/CSHA+RDS主备+第三方智能DNS+GSLB+应用级灾备方案:随着数据的丰富程度和业务的发展,检索、分析等,单单依靠关系型数据库无法解决如此丰富的需求
阶段十一(引入NoSQL数据库)MRS大数据+DWS融合数仓+DDS文档数据库:引入更多组件解决了丰富的需求,业务维度能够极大扩充,随之而来的是一个应用中包含了太多的业务代码,业务的升级迭代变得困难
阶段十二(应用拆分)分布式配置中心Zookeeper:不同应用之间存在共用的模块,由应用单独管理会导致相同代码存在多份,导致公共功能升级时全部应用代码都要跟着升级
阶段十二(面向服务的架构SOA)ESB总线:如何进行不同服务间的远程调用
阶段十三(通过消息中间件实现异步解耦)HttpAPI、TCP SDK、Kafka SDK三种数据访问接口:拆分的子系统随着业务的复杂耦合仍然面临难以开发和维护的问题
阶段十四(微服务化)FusionStage
阶段十四(容器化部署)CCE云容器引擎+CCI云容器实例
阶段十四(服务网格)ServiceCombo基于SDK的微服务治理框架/ASM基于isito的服务网格
阶段十四(微服务化)华为FusionStage分布式事务中间件DTM
云上网络方案设计
华为云典型网络服务概览图(重要)
云上网络方案设计
单region单VPC网络设计:VPC、子网
VPC:虚拟私有云
软件定义的网络;可以自由配置VPC内的IP地址段、子网、路由、防火墙等功能;可以利用弹性IP获得和互联网的连通性;在华为云上提供隔离的、内联的虚拟网络环境
需要使用多少个VPC?
使用单个VPC
应用单一、业务量小、团队规模小、低延迟、高性能计算、希望简化管理
连通性大于隔离性
使用多个VPC
具备多种不同的业务,期望网络隔离、单一的团队或组织
隔离性大于连通性
适合单一的团队和组织具备多种不同业务,分生产区、测试区
做不到:账户内业务资源隔离、账户内权限独立划分
适合多个IAM项目或企业项目:托管服务提供提供商(MSP);中大型团队或组织期望资源分组和隔离管理;更精确的基于项目的成本计算
做不到:希望实现业务、工作负载完全严格隔离、大型组织,管理标准和复杂度要求更高
适合多个账号:大型团队或组织,具备多个不同业务且有独立的IT团队;希望严格实现业务、权限、成本结算独立
VPC区域如何创建?
VPC区域性:靠近用户的区域创建
VPC区域:开发域、测试域、准生产域、生产域
VPC区域选择、VPC隔离性、VPC配额、资源划分
如何进行网络规划?
VPC的IP地址段选择:IP地址数量考虑,要为业务预留足够的IP地址,防止业务扩展给网络带来冲击,与其他VPC、本地数据中心连接时,要避免IP地址冲突
子网是VPC内的IP地址段;IP范围使用无类别域建路由(CIDR);推荐网段(10.0.0.0/8~24;172.16.0.0/12~24;192.168.0.0/16~24)起于172.16.0.0止于172.16.255.255
因素:预期的主机数量、未来扩展需求、IP地址利用率、子网划分和可用区需求
子网规划设计:VPC CIDR 192.168.0.0/22共计1024个IP地址,可以分配4个子网,保留5个地址:192.168.0.0网络标识符、192.168.0.1网关地址192.168.0.253系统接口,对外通信192.168.0.254DHCP服务地址192.168.0.255广播地址
子网使用基本原则:根据业务需求考虑较大子网,而不是众多小子网,且避免子网IP地址不足;子网的IP地址必须属于VPC且全部覆盖VPC的所有IP地址;不同子网之间IP地址块不能重叠;子网提供的IP地址可跨可用区使用
子网规划设计原则:子网和业务逻辑一一对应;单子网只布置一种功能节点;所有相同的功能节点,只部署到一个子网中;子网只是应用逻辑概念,没有传统物理设备限制
子网规划设计:任何子网必须有且仅有一个关联的路由表;路由表由一系列路由规则组成,指明子网的出流量走向;每个VPC具备一个默认路由,和未指定路由表的子网关联,每个路由表管控的是跨VPC的网络流量,每个路由表的默认路由规则,不能修改和删除;可以创建多个自定义路由表注意自定义路由表的配额限制;一个路由表可以被多个子网共用
云上region与本地IDC网络方案设计:云专线、VPN
VPN虚拟专用网络,提供端到端的私有访问通道;云专线DC是搭建在用户本地数据中心与云上虚拟私有云之间的高合规、高速度、低延迟、稳定可靠的专属连接通道
VPN用于在数据中心和VPC之间实现内网连接:线上线下打通;跨区域VPC互联;云专线用于数据中心和VPC之间实现内网连接,一般以光纤实现专线连接,不通过互联网。适用对网络传输质量和安全合规等级要求高的场景
VPN网关、远端网关、VPN连接;物理专线、虚拟网关、虚拟接口
VPN网关仅可关联一个VPC
VPN适合单、多站点混合云部署、跨区域VPC互联;云专线适合云服务器与本地数据中心互联、多站点部署与跨区域互联
云专线DC的价值:合规要求、更优的流量成本、性能稳定
单region多VPC互联方案设计:VPC Peering、ER、VPCEndpoint
VPC Peering对等连接:需要在两端VPC内添加对等连接路由信息;配置简单,1对1单独配置,免费使用;通过云内部网络通信,不走公网
私有地址通信;需要对端同意;对等连接路由可以添加多条路由信息;两个VPC间不能同时建立多个对等连接;可以跨账号、跨项目,不支持跨区域;两端建立对等连接的网段没有重叠;对等连接双方可以访问云服务器、数据库、负载均衡等资源
ER企业路由器:支持虚拟私有云VPC、云专线DC、虚拟专用网络VPN、云连接CC等多种接入方式,支持路由学习、动态选路以及链路切换
ER企业路由器应用可以打造云上、云下、跨云的复杂网络;多个VPC灵活互通和隔离,共享专线;多条专线链路动态选路和切换;多账户互通
ER企业路由器:高性能、高可用、管理简单、多链路联动
VPC Endpoint终端节点(VPCEP):VPC终端节点由“终端节点服务”和“终端节点”两种资源组成,两种资源分别由服务提供方和服务使用方创建
VPCEP适用于大多数情况下,不需要连接网络,暴露所有网络内元素,仅仅需要暴露服务入口;跨VPC连接,暴露服务访问;通过内网访问部分华为云云服务;帮助混合云中心通过内网访问部分华为云服务
VPCEP关键技术&规格:节点服务、节点组成;性能优化;即创即用;合规性高
跨region网络互连方案设计:CC
云连接(Cloud Connect)为用户提供一种快速构建跨区域VPC之间高速、优质、稳定的网络能力
云连接适用于跨区域多VPC私网互通;多数据中心与多区域VPC互通
云连接的关键技术&规格:全网互联、简单灵活、性能优异、全球合规、多账户支持
云连接特点:每个云连接实例在每个区域支持默认支持加载6个网络实例;每个云连接实例支持加载的区域数默认为6个;一个VPC仅可以加载到一个云连接实例中;VPC网络加载CIDR是用来定义VPC网络IP地址范围,在创建VPC网络时,需要指定一个CIDR块作为该网络的IP地址范围。CIDR是一种用于分配和管理IP地址的标准方法,每个网络实例最多加载50个CIDR。
云上业务访问Internet网络方案设计:EIP、NAT、DNS
弹性EIP(Elastic IP),互联网IPv4地址:通过配置与服务器绑定或解绑,同时和公网出口带宽关联
丰富的公网出口支付模式:按需、按带宽、按流量、包年包月、叠加流量包、带宽包
EIP的功能:弹性绑定外网IP、配置带宽限速、单独购买单独持有、指定EIP和系统自动分配、指定申请时长
弹性EIP所有互联网的连接都需要EIP,适用于绑定云服务器、绑定ELB实例、绑定NAT网关
NAT网关(NAT Gateway):能够为虚拟私有云内的云节点提供网络地址转换服务,使多个云节点可以共享弹性公网IP访问Internet或使云主机提供互联网服务
希望被互联网访问可以选择绑定EIP,访问互联网不推荐绑定EIP;希望能访问互联网,但又不直接暴露,选择NAT网关
公网NAT网关(SNAT):如果服务器需要访问互联网,使用公网NAT网关-SNAT;在子网的路由配置外出流量指向SNAT网关;安全、访问互联网的同时,不会暴露服务器;托管服务,由华为云进行维护高可用、吞吐量大。
NAT网关也提供外部向内访问功能-DNAT;不推荐:支持IP映射、支持端口映射、可与SNAT共用同一EIP(避免与选用全端口模式的DNAT共用)
NAT网关适用于禁止虚拟机直接绑定EIP,使用NAT网关作为一层安全隔离机制
EIP适用于云服务器被外网访问、多台云服务器访问外网
弹性网卡:每台服务器的网络入口;可以在同一个VPC内的ECS之间转移,不必和ECS处于同一子网;每台ECS实例的主弹性网卡无法与实例解绑;弹性网卡:私网IP、弹性公网IP、安全组配置、MAC地址。扩展弹性网卡:安全隔离、故障转移、授权(lincense转移)
虚拟IP(VIP):通过配置与服务器绑定或解绑;IP地址的值限定,不可跨子网
虚拟IP适用于故障主备切换,VIP切换:虚拟IP绑定在ECS(主)网卡上;当ECS(主)发生故障,ECS(主)与ECS(备)通信异常,虚拟IP地址会与ECS(主)解绑,重新与ECS(备)绑定,此时ECS(备)升为主,实现故障主备转换,VIP切换
DNS云解析服务(Domain Name Service)提供高可用,高扩展的权威DNS服务和DNS管理服务,把人们常用的域名或应用资源转换成用于计算机连接的IP地址,从而将最终用户路由到相应的应用资源上
DNS特点:高性能、安全防护、内网解析、反向解析
DNS适用于云服务器主机名管理、云服务器、云服务器访问云上资源、灾备、就近服务
公网域名解析过程(重要)
内网域名解析
从五大支柱审核网络方案设计
华为网络架构设计图(重要)
安全:数据的安全、网络和应用安全、事件响应、审计和跟踪
可靠性:VPC网络主要组件均为分布式软件部件,不是单点故障点;部分组件是真实设备的对应,内建高可用或需要做高可用设计,VPN网关内建了高可用,多设备透明工作,NAT网关可以选择多可用区部署,获得高可用,亦可开启多台做高可用;对外链路可采用BGP设置来获得故障时的链路透明切换;如果合规标准允许,在网络架构上可以用VPN配合云专线做高可用。否则需要安排两条云专线;注意可用性和成本的平衡和优先级
性能:监控是掌握网络性能的关键;了解应用程序的性能需求,在网络架构设计时选择合适的组件;云中网络性能一般需要注意时延和带宽两个不同的性能角度考虑;VPC是软件网络,本身不是瓶颈;VPN网关、NAT、终端节点有性能限制;需要适配性研究。
成本:理解VPC成本组成,VPC主要组件免费,部分组件收费(VPN网关、NAT网关、终端节点);NAT的使用按天计费,请不要一天内频繁启停;流量费仔细评估优化,了解业务的流量模型,利用CDN、应用数据交换优化来节省流量开销;波动型业务,用好流量包、带宽包、增强型95计费;专线使用技巧,合理规划专线的带宽,如果不需要1GE的起始带宽,可以选择共享带宽;充分利用专线的带宽
维护性:架构设计上,网络姿势规划统筹考虑,避免IP地址冲突,为后来的互通造成挑战;应可通过IP判断产品线、生成/测试环境等;避免因为IP数量不够,使用VPC扩展网段,或者使用多个子网管理同样功能节点。从应用需要来考虑连通性和暴露性,连通会带来成本和维护复杂度的提升,连通前确认必要性,端口开放以业务需求出发,紧记最小暴露原则。可以考虑全软件定义网络,可以在控制台便利操作,也可以用代码脚本自动运维,可以登录堡垒机脚本里打开安全组22端口,访问后脚本就关闭此端口;可以通过自动化部署工具进行部署,减少手误;通过脚本日常扫描配置、CTS日志发掘等方式确认配置没有异动;分析VPC流日志掌握访问情况。
云上计算方案设计
华为云典型计算服务概览
计算载体:虚拟机/物理机(弹性云服务器ECS、裸金属服务器BMS、专属主机DeH)
容器:云容器引擎CCE、云容器实例CCI
函数:函数工作流服务FGS
计算增值类服务
镜像服务IMS
弹性伸缩AS
ECS弹性云服务器
ECS弹性云服务器是一种可随时自助获取、可弹性伸缩的云服务器,网卡、内存、CPU、磁盘、镜像、网络组成;弹性:规格多样,灵活可变;聚焦计算:把服务器理解成为计算资源
ECS实例规格
C6.8xLarge.4
通用型S、计算型C、几代
当前规格的vCPU核数
内存/vCPU比值
如何选择实例:根据模块特性,选择合适模块的实例类型;实例类型选错不用慌张;实例类型的优化不是一次性工作
前端服务:C7(高性能Web站点、中重负载企业应用)。游戏视频流服务:G6v/P2vs(G系列3D动画渲染、P系列深度学习、科学计算)。数据库服务:I7(高性能关系型数据库、NoSQL数据库、ElasticSearch搜索)。AI辅助的玩家个性化支持模块:Ai1(机器视觉、语音识别、自然语言处理通用技术)
服务器规格大小比较:多台小规格服务器的灾害半径更小;多台小规格服务器的弹性成本更低
服务器初始化:基础配置(付费方式、区域/可用区、实例类型、启动镜像、硬盘存储)->网络配置(VPC,子网,安全组,弹性IP/流量)->高级配置(服务器命名、服务器备份、服务器组、高级选项)->确认配置
存储方式的选择:硬盘(EVS、本地磁盘)、SFS文件系统、OBS对象存储(API访问)
块存储、文件存储、对象存储
EVS和本地磁盘需要传统硬盘的场合;SFS适用于文件共享、媒体处理、内容管理;OBS适用于大规模数据存储、大数据的重要数据来源、合规归档数据存储;数据在互联网上分发
本地磁盘特点:极低的访问延迟、极高的IOPS性能、实例类型有限、不需要收取额外费用、数据不可靠
适用于:存放丢失不心疼或丢失可恢复的数据。例如存放swap文件或作为缓存
IMS镜像服务
定义:本质就是硬盘长什么样子;额外包含虚拟机资源类型限制;操作系统已安装好的形态存在;购买新服务器,本质是镜像恢复;镜像来源丰富
来源和特性:华为云公共镜像、华为云市场镜像、私有镜像、共享镜像
脚本初始化:利用用户数据;只执行一次;尺寸限制;需要执行时间;高级配置中选择文本形式或文件形式实例自定义数据注入
镜像和脚本初始化怎么选择?启动就能工作为原则。
镜像和脚本的优劣势?私有镜像:启动速度快,镜像还原即可;实现方便。镜像更新速度慢,成本高,私有镜像有存储费,制作镜像需要工作量,需要管理历史镜像。脚本:更新灵活,近乎实时,配合OBS,新服务器有效,稳定可控,变更可追踪;复杂脚本执行速度慢,脚本撰写技术要求高。
各取所长,配合使用,不经常变化的用镜像,需要动态装入内容用脚本
DeH专属主机
定义:其上创建云服务器的所有资源完全供您专用的物理服务器,满足您对计算的隔离和性能要求
多租户不可以;仅支持单租户
特性:资源独享、物理隔离、灵活可控、节约成本
BMS弹性裸金属服务器
单租户环境且没有虚拟化软件
核心:5分钟急速发放;ECS互通;支持EVS共享挂载
应用场景:核心数据库(企业开发测试环境、数据库应用、典型oracle数据库系统);高性能计算(超算中心、生物制药计算、基因工程计算);政企金融高安全(金融证券、政企、保险公司);大数据(海量数据存储、海量数据分析)
从五大支柱审核计算方案设计
安全:数据的动态安全(https)、事件响应(主机恢复流程设计和应对联系)、访问控制(密码访问、秘钥对访问、关闭登录)、数据静态安全(EVS的加密服务、本地磁盘在操作系统内加密)、网络安全(利用VPC控制网络安全、控制本机打开端口、启用本机从操作系统防火墙、主机安全服务、DDoS攻击防护,架构防护)、审计和跟踪(利用日志服务LTS集中收集日志、应用程序内的日志管理)
可靠:云服务器组的反亲和性(避免部署在一台物理机上)、跨可用区部署、集群化分布式安排服务器
性能:实例类型匹配组件特性、EVS的性能选择(EVS的IOPS和带宽较难同时达到)、很多时候服务器在等待数据、监控是掌握服务器性能的关键、AZ和跨AZ的网络延迟不同
成本:1、资源类型->2、实例规模->3、实例定价模式->4、弹性与可伸缩性->5、智能消费->6、监控
维护:1、用户需要负责维护云服务器2、操作系统补丁3、应用软件升级4、自检应用程序升级5、数据备份,主机备份6、其他安全相关的维护
云上存储方案设计
华为云存储服务总览图(重要)
云硬盘(EVS)、专属分布式存储(DSS)、云备份(CBR)、存储容灾服务(SDRS)、数据快递服务(DES)、对象存储服务(OBS)、弹性文件服务(SFS)
OBS服务
定义:基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力
全托管对象存储服务、可以互联网直接访问、没有限制的存储空间(单对象48T)、99.9999999999%可靠性、事件触发能力、多样性的低成本方案
使用对象存储服务
可以通过控制台、SDK和各类工具访问华为云OBS服务
使用OBS,需要先创建存储桶;存储桶是OBS的管理单元
存储桶内可以放入无限量的对象;对象是OBS中数据存储的基本单位;一个对象可以是一个文件、一张图片、一个音频等
规划存储桶的方法:将同样属性或者同样业务逻辑的对象放在一个桶内;确保桶内的所有对象可以用同样的管理策略
对象:包括三部分(Key键值,对象名称,一个桶里的每个对象必须有唯一的键值;Metadata,元数据,即对象描述信息,包括系统元数据和用户元数据,元数据以键值对的形式被传到OBS中;Data,数据,即文件的数据内容)
使用键值可在每个存储桶中唯一标识一个对象
OBS的可靠性、可用性指标:数据可靠性高达99.9999999999%,可用性高达99.995%
Level 5:区域可靠性(地震、洪水、战争)-区域-跨Region复制
Level 4:数据中心可靠性(风火水电故障)-数据中心-多AZ
Level 3:机柜可靠性(PDU、交换机故障)-机柜-机柜级冗余
Level 2:服务器可靠性(FRU故障)-服务器-Erasure code
Level 1:介质可靠性(坏道、慢盘)-存储介质-慢盘检测、坏道检测
OBS的跨区域复制能力
跨区域数据容灾、满足合规性要求、暂不支持跨账号复制
OBS访问时,需要设置对象和存储桶的对应权限,对象和桶默认都是私有,标准桶策略私有、公有读、公有读写;标准对象策略只读或读写模式
桶策略面向OBS桶和桶内对象,定义了被授权用户的指定桶中允许执行哪些操作
OBS设置权限-ACL
基于账户的网络资源的访问控制;不如桶策略和IAM账户整体权限管理(身份验证、授权、访问)粒度细,建议使用IAM权限和桶策略进行访问控制
存储桶策略元素组成:Principal被授权用户,Action动作,Resource资源,Condition条件,Effect效果
签名URL-临时开放操作权限
对象不公开访问;在需要访问的时候临时生成签名地址,一般由代码生成;签名地址包含超期时间;签名地址仅在签名用AK/SK有效时生效;在给定时间内签名地址可以做允许动作;简单的防盗链方案
OBS作为备份目的地:EVS,RDS,数据服务等都可以备份
OBS管理数据版本,需要计费
清理历史版本的思路:生成版本时触发消息执行删除历史版本
OBS版本控制的作用:防止误删除、多版本备份、待回滚的发布
OBS标准存储的使用场景
适用于内容分发的宿主存储、一写多读的模式(WORM)、不想规划存储空间、持续增长的存储预期、高可靠或者其他合规需要
不适用对象内容需要频繁修改、现有代码文件系统访问、极低延迟数据传输、长期归档存放
OBS低频访问
访问频率较低的数据,如企业备份、活跃诡诞;同样高的数据可靠性;实时访问;比OBS标准存储更低的存储成本
OBS归档存储
归档数据,极少使用又不能丢弃;同样高的数据可靠性;需要预先准备的取出时间;比OBS低频访问更低的存储成本;请区分归档和备份
归档时管理和保护数据,属于存储过程;备份防止数据丢失和损坏,属于运维策略。
OBS标准存储:存储单价最高,访问最自由;OBS低频访问:存储单价较低,访问多要收费OBS归档存储:存储单价最低,访问前要准备
EVS服务
云硬盘是弹性云服务器ECS的硬盘来源,必选服务。单AZ三副本技术,99.9999999%可靠性;单盘最大容量32TB;多种规格,平衡成本与性能;备份存储至OBS
EVS选型Elastic Volume Service(IOPS、带宽、时延):极速型SSD、超高IO、通用型SSD、高IO
SFS服务
弹性Scalable File Service提供按需扩展的高性能文件存储(NAS),可为云上多个弹性云服务器、容器、裸金属服务器提供共享访问。
支持新主流NFS和CIFS协议;多实例共享存储;容量弹性伸缩;性能线性扩展;通过授权地址安全隔离
SFS选型:最大带宽、最高IOPS、时延、最大容量;SFS容量型、SFS3.0容量型、SFS Turbo标准型、SFS Turbo性能型、HPC型、HPC缓存型
从五大支柱出发审核存储方案设计
安全:数据的静态安全,极高可靠防止数据丢失、服务器端加密、客户端加密;数据的动态安全;审计和跟踪,存储桶访问日志;访问控制,ACL,存储桶策略
可靠:根据应用需要,选择合适的存储冗余选项;EVS、SFS进行数据备份;可用性SLA,EVS99.95%、SFS99.95%、OBS单AZ99.99%、三AZ99.995%;打开多版本功能;使用跨区域复制自动产生备份,注意数据主权、注意错误跟从效应
性能:延迟水平在10ms数量级;擅长域高并发和大宽带;需要避免热分区,推荐使用随机前缀做对象名
成本:存算分离,减少存储任务不需要的额外开销;选择合适的存储类别,频繁访问的放到低访问频度更贵、如果需要快速取回归档数据,请审视归档规则;OBS包括存储容量、流量、请求次数、数据取回四大类计费项,流量费,流入免费,流出到桶区域免费、流量到CDN有优惠、无谓的函数调用会造成浪费
维护:全云原生服务,极少需要维护考虑;启动版本控制的时候,需要清理旧版本;访问记录的分析和访问权限的维护
云上数据库设计
数据库介绍
关系型数据库-结构化;非关系型数据库-半结构化
传统数据中心部署->云主机部署->云原生部署
华为云数据库概况
关系型数据库服务RDS、云数据库GaussDB
NoSQL数据库Gauss NoSQL、文档数据库服务DDS
完整数据库解决方案:分布式数据库中间件DDM、数据库和应用迁移UGO、数据复制服务DRS、数据仓库服务DWS、数据管理服务DAS、数据库安全服务DBSS
服务高可用
可用区AZ主备和跨可用区主备
利用RDS主备模式,实现数据库高可用;取决于不同引擎在秒级别可以实现故障切换;主备模式避免维护期间业务中断;应用程序需要能够优雅处理主备切换
备份的特点:备份存放于OBS,可恢复到本地客户数据中心;支持自动Binlog备份和手动全量备份;Binlog备份可以指定恢复到时间点
使用只读副本实现水平扩展:动态副本增删;取决于不同引擎,支持5~10副本;支持同区域内跨可用区复制
非关系型数据库特点:每条数据都是一个结构文档;表格中的记录之间没有逻辑关系;擅长对完整值进行哈希定位而非复杂查询
文档数据库服务特点:完全兼容MongoDB协议;实例类型灵活多样;弹性伸缩;可视化管理;多层数据安全保障;运维工具丰富
文档数据库适用于业务系统除了要求高可用之外,还需要较高的可扩展性,建议选择集群;对于需要保证高可用的中小型业务系统,建议选择副本集;成本较低,适合非企业核心数据存储的场景
文档数据库架构:具有高性能和异步数据写入功能,特定场景下可达到内存数据库的处理能力;应对业务增长快,数据量大的内容管理系统,具备较好的扩展能力;文档数据库服务的副本集模式采用三节点Replica Set的高可用架构,Primary节点和Secordary节点提供服务,两个节点分别拥有独立内网地址,配合Driver实现读取压力分配
云数据库GaussDB NoSQL优势:兼容多款NoSQL接口、即开即用、便捷运维、网络安全
云数据库采用计算存储分离架构,集群下多个数据库实例访问下层共享分布式存储,整体存在计算故障和存储故障两类
GaussDB for Mongo具有主节点、备节点;快速灵活添加计算节点;数据恢复快;扩容期间性能稳定,不影响业务体验
单实例数据库结构的缺点:存储扩展难,存储容量受限于SSD或云盘大小,磁盘带宽(IOPS)也有天花板,该限制更加突出;计算扩展难,运行在单机上,CPU/内存/网络处理能力受限于机器配置,大表的频繁操作,会导致数据库性能急剧下降,影响业务;可靠性较差,数据库故障影响面100%,RDS主备模式可以部分缓解问题。
单实例可以scale up垂直扩展,优势简单,不需要协同;劣势很容易碰到天花板。单实例可以scale out水平扩展,优势可使用简单设备,实现几乎无限扩展,同时提高可用性;劣势需要有协调技术。使用只读副本实现水平扩展
分布式中间件DDM,兼容MySQL协议,专注于解决数据库分布式扩展问题;DDM使用华为关系型数据库(RDS)作为存储引擎,具备自动部署、分库分表、弹性伸缩、高可用等全生命周期运维管控能力;三个角色(数据库管理员、开发者、最终用户)、管理控制台(实例管理、分片变更、逻辑库管理、备份恢复、慢SQL管理、MySQL管理)、数据库分片
DDM节点stateless支持水平或垂直扩展;RDS层水平或垂直扩展;垂直拆分可以支撑业务持续增长:核心业务数据快速增长;按领域拆分不同的数据库;DDM可以做到让拆库对业务系统无感知。水平拆分可支撑业务爆发性增长:一般发生在垂直拆分后;因地制宜,根据容量确定拆分方法分散风险,影响面1/N
DDM提供·14个拆分函数,供客户选择,建议保持数据内聚性;可以按用户ID,也可以按时间范围
DDM读写分离使用于读多写少的业务。充分利用RDS只读实例能力;当水平拆分后,依然存在较大查询压力,则可开启读写分离能力;业务系统不需要改造;存在亚秒级数据延迟,适用于时效性不敏感的查询场景
DRS数据复制服务致力于提供数据零停机的迁移上云体验;最小权限设计:无需源数据库、目标数据库节点部署程序、独立运行,租户隔离、最小IP资源,只需IP访问权限,无需增加网段;可靠性设计;连接异常会自动重试直到任务恢复、具备断点续传能力、DRS迁移实例所在虚拟机故障业务自动切换新虚拟机,保证迁移任务正常
DRS实时迁移:采用增量迁移技术,能够最大限度允许迁移过程中业务对外服务,有效将业务系统中断时间和业务影响最小化。
同构数据库DRS实时同步常用场景:实时分析、报表系统、数仓环境。特点:实时同步功能聚焦于表和数据,并满足多种灵活性的需求。
异构数据库UGO专注于异构数据库结构迁移和应用SQL语法转换的专业云服务Database and Application Migration
由于数据存在时间维度,数据访问的热度直接决定着云架构和选择不同的云服务
从数据库角度出发,有些数据需要运算获得,又需要频繁访问,如何设计缓存?
从架构图上,可以看出加缓存的节点和要求
可以在客户端昨缓存
大量内容分发可以缓存
CDN内容分发网络:2800+边缘节点,离用户更近;海量带宽,支持高并发吞吐量;完备的安全控制能力;CDN的工作逻辑图;静态内容和动态内容
会话管理设置缓存
以会话号为键,缓存会话相关数据
缓存数据库查询出来的数据
缓存数据库复杂查询
为什么用缓存数据库
提高访问性能,变计算为定位
减少成本开销,减少强大算力要求
分布式缓存服务DCS
兼容Redis的高速内存数据处理引擎
提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力
满足用户高并发及数据快速访问的业务诉求
云数据库Gauss(for Redis)
Gauss(for Redis)基于云原生分布式架构,实现计算与存储分离
完全兼容社区版Redis5.0及以下版本
提供了更多的企业级特性,如:资源独享,分片不限流;秒级弹性伸缩,轻松应对业务峰谷;一库替代多库,简化业务架构等
华为云GaussDB(for Redis)和开源Redis架构对比
缓存的第一种使用方式,直写模式应用写到数据库和Redis,只从缓存读数据;优点:实现逻辑简单、读取速度极快、数据一致性;劣势:缓存损坏重建压力大、所有的写操作有惩罚、缓存空间开销大
缓存的第二种使用方式,延迟载入,写数据直接入库,先从缓存读取,命中就完成,未命中的话去数据库读取,然后写入缓存;优点:对缓存可靠性无要求、仅缓存所需的数据;劣势:未命中有性能惩罚、可能存在脏数据
如何处理脏数据和数据不一致?
合理使用TTL减少脏数据,但不能完全杜绝
只要业务逻辑能够允许数据延迟
只要应用逻辑能够容忍脏数据,不产生异常
哪怕一秒钟的缓存TTL都可能给成本、性能带来根本变化
从五大支柱出发审核数据库方案设计
安全:
数据的静态安全,确定是否需要打开引擎的数据加密服务,包括透明加密
数据的动态安全,可以打开引擎的TLS连接
网络安全,利用VPC控制网络安全、仅打开引擎所需的端口
访问控制,不要明文保存数据库密码,使用DEW服务
审计和跟踪,将CDN访问日志存入OBS
数据库灾备演练
可靠性:
根据需要选择集群或者主备数据库,从成本上看,优先选择集群
合理设置数据库的备份方案,淘汰旧的备份数据,以节省成本;注意备份、复制的差异,有时候持续复制反而会有问题
有些数据库引擎支持跨区域复制
高可靠
在线存储数据可靠性9个9
备份存储数据可靠性12个9
性能:
监控是掌握服务性能的关键
要找到合适的数据类型和数据使用特性匹配
架构规划上明确数据冷热的处置,冷数据的性能要求和热数据应该不同
关系型数据库尽可能减少锁定,锁会把并行系统变成串行系统
非关系型数据库更要注意键的定义,避免热键和热分区
缓存能提供根本性的性能提升
成本:
评估不同引擎的单价和性能
关机:收缩不需要的只读副本,减少数据库集群的规模
购买方案:综合考虑按需、包年
有时候价格高不表示成本高:如何每月做报表
优化架构:增加缓存,调整数据设计
监控:提升资源利用率
维护性:
尽量选用云原生服务,降低维护复杂度
备份生命周期管理
评估维护复杂度和对业务的影响:使用主备方案,减少维护造成的中断时间
联系恢复预案
互联网电商场景化解决方案&秒杀场景规划设计
云上安全设计
华为云安全服务全景图(重要)
接入层网络安全
业务层安全
数据层安全
审计和跟踪
访问控制安全
安全模型
合规标准、网络和应用安全、数据安全、物理基础设施安全、访问控制、审计和跟踪、事件响应
华为云责任共担模型
基础设施安全、平台安全、应用安全、数据安全
在云服务模式下,华为云与客户共同承担云环境的安全保护责任
安全合规认证
ISO27001、ISO20000、ISO27018、等级保护、SOC审计、PCI DSS、CAS-STAR金牌、可信云服务、ITSS、网信办网络安全审查、国际通用准则CC+EAL3+、
信息安全等级保护:对信息和信息载体按照重要性等级分级别进行保护的一种工作
第一级:自主保护
第二级:指导保护
第三级:监督保护
第四级:强制保护
第五级:专控保护
等保1.0
规章--信息安全等级保护
行政法规--信息安全等级保护管理办法
等保2.0
法律:网络安全法
行政法规:网络安全等级保护条例
法律:保守国家秘密法
法律:网关安全法
华为云等保安全服务流程
通用等保测评流程
1信息系统运营单位按照《网络安全等级保护定级指南》,自行定级。三级以上系统定级结论需进行专家评审
2信息系统定级申报获得通过后,30日内到公安机关办理备案手续
3根据等保有关规定和标准,对信息系统进行安全建设整改
4信息系统运营单位选择公安部认可的第三方等级测评机构进行测评
5当地网监定期进行监督检查
华为云等保服务流程
1华为云:协助定级、推荐测评机构 客户:业务系统定级,与华为云签订服务合同
2华为云:协助客户完成备案 客户:提交备案材料 当地网监:审核受理备案申请
3华为云:提供技术方案建议书、协助整改 客户:依据等级保护标准进行安全建设整改 (华为云提供整改需要的安全产品和服务按需购买)
4华为云:协助测评 客户:配合测评机构测评,接收报告(项目完结) 测评机构:测评并提供测评报告(测评周期:三级系统至少每年一次;二级系统至少每两年一次)
5华为云:技术支持 客户:安全运营、维护、保障日常系统合规 当地网监:定期安全检查
接入层网络安全
VPC安全控制-安全组:安全组是一个逻辑上的分组,为具有相同安全保护需求并互相信任的云服务器提供访问策略
安全组是有状态的
默认安全组在出方向上的数据报文全部放行,入方向访问受限
支持允许/拒绝策略,策略具备优先级
安全组来源可以是单个IP地址、IP地址范围或安全组
网站安全组(协议端口80,源地址0.0.0.0/0)、应用安全组(协议端口8080,源地址网站安全组)、数据库安全组(协议端口3306,源地址应用安全组) 1不同应用层通过不同的安全组管理,形成信任链;2仅开放必要的协议、端口与特定的来源;3控制安全组策略数量
VPC安全控制-ACL:网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/ 入方向规则控制出入子网的数据流
没有默认的网络ACL
一个子网只能关联一个网络ACL,一个网络ACL可以关联多个子网
新建的网络ACL均为未激活状态,直到关联子网为止
网络ACL是有状态的
网络ACL规则具有优先级
网络ACL默认规则:拒绝入方向、出方向全部流量
安全组和网络ACL对比
防护对象
安全组:弹性云服务器级别操作;网络ACL:子网级别操作
配置策略
安全组:支持允许、拒绝策略。拒绝策略部分区域支持;网络ACL:支持允许、拒绝策略
优先级
安全组:多个规则冲突,先根据绑定安全组的顺序生效,再根据组内规则的优先级生效;网络ACL:多个规则冲突,优先级高的规则生效,优先级低的不生效
应用操作
安全组:创建弹性云服务器默认必须选择安全组,默认安全组自动应用到弹性云服务器;网络ACL:创建子网没有网络ACL选项,必须创建网络ACL、添加关联子网、添加出入规则,并启用网络ACL,才可应用到关联子网及子网下的弹性云服务器
报文组
安全组:仅支持报文三元组(协议、端口、对端地址)过滤;网络ACL:支持报文五元组(即协议、源端口、目的端口、源地址、目的地址)过滤
常见的网络攻击DDoS
网络层攻击,通过大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问;NTP Flood攻击
传输层攻击,通过占用服务器的连接池资源,达到拒绝服务的目的;SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击
会话层攻击,通过占用服务器SSL会话资源,达到拒绝服务的目的;SSL连接攻击
应用层攻击,通过占用服务器的应用处理资源,极大消耗服务器处理性能,达到拒绝服务的目的;HTTP Get Flood攻击,HTTP Post Flood攻击
DDoS防护建议
华为侧
黑洞策略:当服务器(云主机)遭受超出防御范围的流量攻击时,屏蔽该服务器(云主机)的外网访问
华为云的DDoS原生基础防护(Anti-DDoS流量清洗)服务为普通用户免费提供2Gbps的DDoS攻击防护,最高可达5Gbps
网络通过多个运营商接入,实现Internet多样化
客户侧
最大限度减少攻击面积
活动检测区分正常与攻击行为
充分利用华为云服务保护业务
落地详细的攻击应对计划
建议立即向网监部门报案取证
Anti-DDoS如何防护:实时监测、优质带宽、全面精准海量IP黑名单库、秒级响应先进的逐包检测机制、自动开启、免费使用
DDoS高防Advance Anti-DDoS
通过高防IP代理源站IP对外提供服务
DDoS防御层次
将攻击压力层层外推,最好远远推到CDN
利用华为云托管服务挡在前面
可以部署典型的三明治WAF结构,别忘了华为云有很多防D服务
使用安全组保护节点
利用廉价资源ECS保护昂贵资源RDS
Web应用防火墙WAF
作用:Web基础防护、IP黑白名单、精准访问防护、网页防篡改、隐私屏蔽、防敏感信息泄露、地理位置封禁、误报屏蔽、网站反爬虫、CC攻击防护
常规防护场景:防数据泄密、阻止木马上传网页篡改
电商抢购秒杀防护场景:防止恶意CC
0Day漏洞爆发防范场景:第一时间升级预置防护规则
WAF防护原理,网站所有访问请求将先转到WAF,将正常流量返回给源站(回源),隐藏源站IP
应用安全
主机安全服务HSS是以工作负载为中心的安全产品,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。集成了主机、容器和网页防篡改的安全防护
功能特性:
实时检测漏洞,识别潜在风险
全量检查口令、策略及配置,满足等保合规
全量检测入侵行为,实时上报风险告警
自动检测镜像和仓库,识别漏洞、恶意文件及风险项
实时检测网页防篡改,自动远端备份
主机安全服务工作原理
管理控制台:可视化、集中下发配置信息,查看同一区域内主机防护状态
HSS云端防护中心:AI、机器学习和深度算法;多种杀毒引擎
Agent:每日检测,全量扫描;实时监测主机的安全状态;将收集的主机信息上报云端防护中心
什么是漏洞扫描服务Vulnerability Scan Service是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息
访问控制安全
统一身份认证IAM是华为云提供权限管理的基础服务,可以帮助您安全地控制云服务和资源的访问权限
IAM的功能:
访问控制服务:判断访问者身份;根据身份授权访问
精细化非权限管理
向华为晕的服务授权
和第三方或企业认证系统联合认证
提供身份凭证:通过创建IAM用户,并颁发身份验证的凭证,其他用户即可通过登录IAM用户管理华为云资源
身份验证的方式
密码验证登录
秘钥验证登录
权限管理:遵循最小权限原则
IAM用户组是IAM用户的集合
一个IAM用户可以同时隶属于不同的IAM用户组
设置用户组,便于简便管理用户
IAM策略:IAM权限由JSON格式的文档承载,文档可以装入策略便于反复使用
系统策略华为云维护
自定义策略用户维护
IAM权限鉴权规则
先过滤Deny,再过滤Allow
IAM委托
委托没有静态凭证
委托通过关联策略获得权限
委托是为了向别人托付权限:向华为云服务委托;向其他华为云账号委托;向第三方联合认证委托
委托创建过程:1、设置委托权限,使委托能够有权限调用API访问OBS 2、ECS实例上的应用程序将获得这个委托关联策略指定的权限
联合认证
IAM支持基于SAML、OIDC协议的单点登录,使用IAM的身份提供商功能,允许用户使用企业管理系统账号单点登录华为云,简化企业用户管理
IAM的最佳实践:
主账号权限不受IAM管控
启用登录保护进行双因子验证
创建新的IAM用户并赋予管理员权限
对敏感操作启用保护
设置复杂密码策略
指定密码有效期
注意事项:IAM认证仅限于华为云各项服务发的访问,具体服务器等不再IAM服务管理范围内
CBH服务器登录:云堡垒机(Cloud Bastion Host)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。
CBH应用场景:1、资产管理(按照角色管控权限、一次登录)2、运维审计(实时监控、行为日志)3、安全合规(《网络安全法》、《信息安全等级保护》、支持主流协议)
数据层安全
数据加密过程
数据秘钥
加密秘钥(主秘钥)
信封加密特点
秘钥分数据秘钥和主密钥
密文和数据秘钥一起存放
便于管理
数据秘钥丢失影响可控
静态数据安全-DEW服务
秘钥管理KMS、凭据管理CSMS、秘钥对管理KPS、专属加密DHSM
提供秘钥管理:主密钥不出服务;生成、加解密数据秘钥
提供凭据管理
数据库、服务器密码可以集中保存
可以结合IAM委托,无缝访问
KMS使用场景
大量数据加解密:主密钥不出DEW;DEW创建数据秘钥、加密数据秘钥、解密数据秘钥
CSMS使用场景
建设无秘钥架构:整个系统不记录任何秘钥;以IAM委托为授权核心;亦可用IAM控制应用访问
动态数据安全-CCM服务
云证书管理服务(Cloud Certificate Manager)是一个为云上海量证书颁发和全生命周期管理的服务。提供SSL证书管理SCM(SSL Certificate Manager)和私有证书管理PCA(Private Certificate Authority)服务
SSL证书类型:DV(域名型)等级一般、OV(企业型)等级高、EV(增强型)等级最高
数据库安全服务DBSS是一个智能的数据库安全服务,基于机器学习机制和大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全
功能:异常监控、审计报告、实时告警、日志记录
审计、跟踪和事件响应
CTS云审计服务(Cloud Trace Service)为用户提供云服务资源操作(即华为云API调用)请求及请求结果的操作记录,供用户查询、审计和回溯使用
CTS使用场景
1、CTS记录每条事件(哪个用户、时间、IP)发起,关键操作配置消息通知
2、CTS记录一次资源变更及变更的结果
3、CTS记录失败操作的原因,排除操作性故障
4、CTS记录操作记录、操作查询的能力
安全云脑SecMaster
华为云原生的新一代安全运营中心,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,实现提前预防风险、感知安全事件、安全事件自动化闭环
特点:
1、日志采集&资产管理:无码化、零死角、统一纳管
2、安全治理:一键安全合规
3、态势感知:一屏全面感知
4、威胁运营:一云全局分析
5、安全编排:一体全程处置
运维设计
华为云立体运维方案全景图
运维痛点:工具繁杂、自动化程度低、系统可观测性低
从基础设施如CPU利用率的传统监控->发展到应用调用关系的监控->乃至业务层如用户行为和业务数据的实时观测
AOM IAAS层基础资源监控、中间件监控->AOM应用级故障分析、应用告警管理、指标阈值告警->AOM日志监控分析->APM接口性能监控、调用链监控
华为云一站式立体运维监控体系
痛点:分布式系统尤其弹性系统应用关系错综复杂,分析问题难定位,对于业务系统运作没有数据支撑
华为云原生监控与日志解决方案(AOM+LTS+APM)
1、资源、性能立体运维
2、多种监控内容关联分析
3、海量日志分析
场景一:AOM应用关联分析,直击异常;优势:以应用为中心,拉通服务、实例、主机、中间件等多维度关联分析;指标丰富:提供多维度指标超过200种;关联分析:用户通过应用、服务、实例、主机和事务等多视角分析关联指标和告警数据
场景二:日志分析,深挖商业价值和发现安全事件;挖掘日志价值:问题分析,业务分析,智能聚类;海量日志管理:ELK+大数据引擎,支持全文索引,可按照应用、节点、文件名、实例快速过滤;安全事件:安全引导,发现不稳定事件
华为云重点运维服务介绍
CES
云监控服务CES(Cloud Eye Service)为用户提供一个云资源的立体化监控平台。使你全面了解云上资源的使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。
特点:自动开通、实时可靠、多种通知方式、监控可视化
云监控服务CES架构
外部Agent采集数据,外部自定义指标,ces指标库各种指标,外部管理控制台可视化,查看告警数据,向外部发送消息,弹性扩展,存储到OBS
CES应用场景
告警
云服务监控、主机监控、站点监控、日志监控、自定义监控
告警优化
告警/事件推送、处理异常、扩容
APM
海量业务下解决两个痛点:
应用关系错综复杂,性能问题定位困难
应用体验差,导致用户流失
APM监控能力
华为云全链路APM(Aplplication Performance Management)帮助企业在分布式、微服务架构下快速发现、诊断现网问题,改善用户体验
全链路拓扑、调用链追踪、端侧分析、事务分析
异常事务和慢事务捕捉、非侵入的应用性能数据采集、应用视角的指标监控、应用拓扑自动发现、调用链的自动跟踪、常用诊断场景的指标下钻分析
APM架构
托管与部署、可观测性分析、运维自动化、应用资源管理器、采集管理、开放去
APM应用场景:
1、应用异常诊断
当出现应用性能问题时,如果无法复现,就很难快速发现性能瓶颈并定位具体原因。
APM提供全链路监控能力,通过拓扑展示应用间的时延和吞吐数据,实时了解应用的运行状态,快速诊断故障
业务代码零改造、全链路追踪
2、应用体验管理
能否知晓用户遇到的详细报错信息而快速修复
APM通过监控和分析性能指标来帮助提升用户应用体验,及时发现性能问题,确定根本原因,并针对性能指标进行性能优化
应用KPI分析、全链路新跟个追踪
LTS
云日志服务(Log Tank Service)
日志服务:日志搜索、报表展示、数据分析、AI能力、告警、快速分析
日志清洗、实时分析、SQL引擎、智能聚类
海量日志:ELB日志、虚机日志、容器日志、开源接口
LTS功能价值:挖掘日志价值、海量日志管理
日志采集接入
方式一:API接入
方式二:云服务接入
方式三:本地日志采集,提供采集器ICAgent的安装、升级和卸载
日志搜索
快速地在海量日志汇总查看到所需要日志,结合日志的来源信息和上下文原始数据一起辅助定位问题
日志查询与实时分析
对采集的日志数据可以通过关键字查询、模糊查询等方式简单快速地进行查询,适用于日志实时数据分析、安全诊断与分析、运营与客服系统等
LTS日志转储:OBS(冷日志长期保存)、DIS通道(对接EI)、DMS(注册Kafka实例实时消费)
使用场景
日志采集与分析
中央化的日志收集
无需登录服务器
合理优化业务性能
可周期性输出详细的运营数据
发现业务性能瓶颈,合理扩容或流量降级;优化网络策略
LTS与CTS的分工差异
云日志服务LTS更注重日志数据的集中管理、分析和查询,适用于系统性能分析、故障排查等场景
云审计服务CTS则专注于云资源操作的审计和合规性需求,适用于安全管理、合规监管等场景
AOM
应用运维管理(Application Operations Management)
实时监控云上业务的服务的数百种运维指标,及时发现主机、进程的各种资源告警,并提供关联分析、日志查询等异常定位手段
应用监控、主机监控、应用自动发现、仪表盘、告警管理、日志管理
应用监控
运维场景:用户高并发访问,保障资源/网络状态正常;瞬间访问量高,需要应对快速扩容场景
华为云运维方案特点:监控ECS内存、CPU、网卡等信息,精确获取指标状态;关键指标对接告警中心
用户收益点:网络、磁盘、CPU等监控,识别资源异常;异常指标信息实时告警,快速获取系统异常信息
日志管理
日志检索、日志转储、日志统计规则、日志结构化、日志订阅
AOM、CES、LTS、APM功能重叠和差异
功能重叠:应用性能监控、异常告警
功能差异点:AOM除了性能监控外,还提供多维度的运维管理功能;需要全面的应用运维管理并实现自动化运维;LTS需要进行集中管理和分析以便故障排查;CES关注云资源的性能监控和告警;APM需要深入的应用性能分析和优化功能
数据类型差异点:AOM和APM主要处理应用程序的性能指标数据,如请求响应时间、吞吐量等;LTS主要处理应用产生的日志数据,帮助用户对大量日志进行收集、存储、查询和分析;CES主要处理云资源的性能指标数据
应用场景
1、巡检与问题定界
应用自动发现
跨云服务的分布式应用监控
告警灵活通知
2、立体化运维
体验保障
故障快速诊断
资源运行保障
运维方案设计及实践
游戏行业监控方案
运维解决方案:告警监控关联分析;AOM&APM立体运维解决方案
自动化运维
脚本管理、作业管理
使用资源编排RFS实现自动化运维,自动化批量构建
好的应用架构,稳定高效简单易维护,可视化监控业务系统、自动化运维、减少底层维护,聚焦应用层维护、业务架构稳定,减少频繁变更
分布式系统设计
分布式系统设计
为什么分布式设计?客户的需求
分布式的价值
调度庞大资源,获取所需的性能
分散请求压力,确保稳定的性能
在设备发生异常时有更好生存能力
常见分布式模型
同步通讯彼此协调
请求分发
任务轮询
为什么要松耦合?
1、这是个分布式模型,但不是松耦合模型
2、大家知道的太多了
其他的松耦合模型
1、EIP隐藏了后端的真实服务器;用户不必耦合到特定服务器上;当发生服务器故障或升级时:获得另一台服务器;将EIP绑定另一台服务器
2、消息发布和订阅模型;发布者需要的时候发布话题;订阅者仅需订阅话题;发布者和订阅者互不知情
华为云分布式系统设计与实现
组件图(重要)
ELB
ELB弹性负载均衡是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性
使用负载均衡器的安全考虑:网络白名单能力、可强制要求HTTP请求改为HTTPS请求、HTTPS证书安装和加密卸载,支持多宿主证书SNI、仅仅需要再ELB上配置EIP,保护后端不暴露
负载均衡器:可以跨AZ工作;也可以支持后端服务器跨AZ;可以启动会话保持;设计无状态的服务器
一定要用好健康检查:健康检查,避免触发故障服务器;检查方法--连接指定TCP端口,连接成功即可;访问指定HTTP页面,缺省是根目录,要求返回2XX代码;推荐设置特殊页面专职健康检查
流量分配策略介绍
加权轮询算法、加权最少连接、源IP算法、连接ID算法
ELB应用场景
高访问量业务、消除单点故障、多可用区容灾
ELB仅能在区域内工作
云解析DNS
提供域名注册和解析服务;支持VPC内网的私有IP解析;支持千万级并发的高性能;多种解析策略支持
域名解析策略:
权重解析,支持传统数据;中心混合部署;对解析请求的负载均衡更为精确
营运商解析;不同线路用户体验不一样;减少跨运营商访问引起网络延迟
地域解析,方便各地用户就近访问;减少跨地域访问引起网络延迟
多区域作用:让用户就近访问,降低延迟,提升体验;做灾备设计,通过域名解析切换站点
分布式消息DMS
提供高吞吐、高可用的消息中间件服务;一键式部署,兼容Kafka/RocketMQ/RabbitMQ;消息队列性能可达千万级TPS,满足各类业务挑战;7*24小时运维保障,多种监控指标,自动发现故障
3个中间件性能对比:
RabbitMQ的单机QPS在万级别
Kafka的单机QPS能够达到百万级别,Kafka的吞吐量比RabbitMQ要高出1~2个数量级
3个中间件可靠性对比
RabbitMQ采用多副本机制数据可靠性较高
Kafka采用多副本机制数据可靠性较高
RocketMQ采用3副本机制,数据可靠性较高;RocketMQ采用Raft数据一致性高于Kafka和RabbitMQ
消息中间件异步解耦架构设计
完全托管的高性能消息队列服务,提供Http API、TCP SDK、Kafka SDK三种数据访问接口,为分布式应用提供灵活可靠的异步通信机制
从五大支柱出发审核分布式方案设计
安全:
网络安全(利用VPC控制网络安全、仅打开引擎所需的端口)
事件响应(节点异常演练)
数据安全(在典型数据安全基础上,分布式系统需要考虑数据一致性和覆盖性安全)
访问控制(支持亿级消息堆积,轻松应对10+倍流量)
节点管理(节点增加后,管理会是问题。尽量避免访问节点的需要)
审计和跟踪(访问日志存入OBS)
可靠:DNS解析没有健康检查,需要配合CES站点监控实现自动切换;分布式架构天生提升可靠性(但依然要排查有没有单点;有状态服务器会影响可靠性)
性能:
监控是掌握服务性能的关键
不做跨物理区域的负载均衡,实现困难且影响用户体验
做好单服务性能提升
分布式架构可以在此基础上去除能力上限
分布式协调机制可能会造成能力损失:松耦合,不要设计复杂的协调机制
尽可能减少用锁,至少少用悲观锁:不要把并行系统变为串行系统
分布式队列的分片设计
成本:分布式看似节点多,但不表示成本上升(关键是节点是否工作;节点的成本管理);不再使用的负载均衡器请删除;队列的成本考量
维护:节点增加,维护工作需要更多自动方式:减少压力、减少出错;做更多维护讨论;做好监控,了解健康状况;练习恢复预案
分布式方案设计及实践
高弹性系统设计
弹性系统的介绍
为什么需要弹性系统?客户的需求
弹性系统的价值
根据业务实际需求分配资源、节省成本
利用自动调整处理集群,包容组件异常
自然世界里充满着不以人的意志为转移的周期,基础设施也应该可以随着需求变化而对应增减
可扩展模型--AKF可扩展立方
X轴扩展的两种技术方案:负载均衡、数据复制
纵向、横向扩展
如何提高容错能力?弹性伸缩可以检测到应用系统中实例的运行状况,并启用新实例替换运行状况不佳的实例;在一个弹性系统里;一个节点损坏,相当于处理容量减少了;弹性系统会增加新的节点;从用户角度,系统的能力保持不变
如何提高可用性?同样的检测和应对方式也可以跨可用区应用;在一个弹性系统里,一个可用区不可使用,快速停止此区域的流量分发;在健康的可用区域,弹性系统会增加新的节点;从用户侧看,系统的能力保持不变;可用区故障排除后,手动删除节点,并根据均衡分布策略再次保持数量平衡
可扩展性依赖的因素:健壮的网络架构设计、合适的应用架构设计(单体架构、SOA架构、微服务架构)
模块化、高内聚、低耦合、高复用
华为云弹性系统设计与实现
如何实现弹性的关键问题?我们得知道现在增减资源;我们得能够迅速调整资源
可感知:云监控(CES)
能伸缩:弹性伸缩(AS)
ECS云服务器启停服务(多个可用区)
多种启停条件和策略
支持健康检查,替换故障节点
和负载均衡器整合
AS调度策略和场景
根据性能表现和工作压力,调整规模
根据规律性的业务定时调整规模
AS架构
通过伸缩控制可以实现ECS伸缩。根据业务需求,配置告警策略/定时策略/周期策略
典型网站弹性架构
丰富的监控告警伸缩策略、定时周期伸缩策略、灵活的伸缩活动管理功能、丰富的伸缩对象:ECS实例及弹性IP带宽
AS的相关概念:伸缩组、伸缩配置、伸缩策略、伸缩活动、冷却时间、伸缩带宽
创建伸缩配置使用新模板或已有云服务器规格
创建伸缩策略:触发条件、定时
实例移除策略:可用区平衡->移除策略->手动实例
实例保护,不被自动化移除伸缩组;除了实例未通过健康检查或手动移除
创建伸缩带宽策略:基本信息、策略类型、告警策略监控指标
使用AS几个注意点:设置好ECS的伸缩配置;设置好健康检查;设置好AS的几个重要数字
AS有自己的斜率,极端情况下用好手动;不是设置了AS就能有理想弹性,这些设定都需要调优
从五大支柱出发审核高弹性方案设计
安全:
弹性架构下,资源管理模式发生变化:静态管理目标变成动态;想管理的目标可能会消失
网络安全,安全组成为第二身份标识
访问控制,尽量避免访问节点的需要
审计和跟踪,节点变动大,访问日志可能是唯一回溯方式
对安全态势要清楚感知,要清楚正常模型,快速比对出异常情况
可靠:
如果业务需要,选择多可用区启动
节点健康检查需要合理设置,避免不健康的节点装成健康
确认节点增长、减少策略正常工作,监控设置的敏感性,确认配额限制已经合理提升(包括实例数量、EVS卷数、EIP数量)
性能:
监控是掌握服务性能的关键
确认弹性设置能够满足系统性能要求
不是所有的资源都支持弹性,需要用架构来保持性能
成本:
弹性设置会允许自动启动资源:用好最大节点数的设置;用好监控和监控警报,感知实例数异常;被DDoS攻击时,很有可能明显增加成本
利用监控评估使用效率,持续优化配置:监控减少资源浪费;监控有没有不合理启停
合理选择伸缩配置中实例类型:回忆下大尺寸、小尺寸的优劣
维护:
节点动态增减,维护工作需要更多自动方式:减少压力、减少出错
确保节点的无状态能力,减少维护压力
利用AS持续更新能力,动态替换旧节点
练习恢复预案
高弹性方案设计与实践
华为云互联网电商网站解决方案全貌
高弹性核心诉求分解:应对海量用户并发;大促过后资源浪费;恶意攻击,恶意抢购
突发大流量应用场景,架构优势:双AZ高可用部署,保障业务可靠;ELB+AS弹性伸缩应对突发流量,精准定时伸缩解决促销抢购问题;GaussDB规格弹性伸缩和一键添加只读灵活应对大促高流量访问场景;搭配GaussDB既能数据持久化,又可保证p999时延10ms以内
容灾系统设计
灾备的重要性
什么要做灾备?客户的需求
业务高可用定义
什么是一个好的容灾体系?RTO多久恢复;RPO恢复到什么时间?越小越好
高可用:一个系统发生灾害后多久能在无人工干预下恢复正常工作;容错是指系统某个组件出现灾害后,对外依旧可以提供服务,用户无感知
我们需要多好的容灾体系?SLA承诺每天不工作的时间0.86秒,可用性指标99.999%
高可靠+高可维修=高可用
容灾设计的目标:越高的可用性意味越高的成本,以适当的成本在合适的时间内让系统自动恢复
制定合适的措施:缩小故障范围、加快响应速度、高可用性设计、容错设计、提升安全能力
混沌工程学
风险无处不在,不能指望一个洁净的网络空间;与其等到事件发生再响应,不如时时发生些什么
3种组织形式
可靠性测试、红蓝攻防、生产突袭
在生产环境缩小爆炸半径,爆炸周围可能发生损坏的区域
高可用架构是设计出来的
高可用设计本身不是孤立的,会和其他角度协同进行
业务跨可用区高可用架构设计
方案一:备份/恢复
服务器备份,邮寄DES硬盘;生命周期管理,保留OBS数据归档或定期删除文件
备份恢复过程:通过IMS/RFS启动服务器;从OBS装入数据;域名解析从故障服务器转向新服务器或EIP挂载转换
方案二:冷备(主备切换)
利用CES站点监控实现灾备切换
方案三:热备(同时运行主备)
方案四:应用双活容灾
方案五:云上同Region双活
方案六:云上两地三中心容灾
方案七:两地三中心容灾(SDRS存储容灾服务+CBR云备份)
容灾实践建议
1、总得开始规划容灾,从容易实现的方式开始
2、根据业务目标,明确容灾优化方向
3、设计实现容灾后,才刚开始,经常演练容灾
从五大支柱出发审核高可用架构设计
两地三中心容灾架构
安全:
容灾系统的备份数据需要安全设计管理:利用管理体系,管理不同系统、版本的备份;数据的静态安全,数据的动态安全
访问控制:冷热备会不会因为关注低成为突破口
审计和跟踪:容灾切换过程需要有日志
可靠:
数据备份、同步是容灾的基础:确保备份方案的可靠性,利用高可靠的存储方案
测试监控系统的可靠性
用户体验是否是正常恢复的一部分:不止步于切换;设计好弹性边界来满足用户体验要求
性能:
容灾的性能指标核心:RPO、RTO
性能以业务需求定,不是越高越好
合理配置DNS TTL:平衡DNS开销和容灾切换性能
成本:
评估不同方案在不同阶段的成本开销:正常运作、切换、切换后的成本
评估不同组件的成本,不要漏了成本组成部分:网络开销或备份转移开销;备份存储开销;监控系统开销
减少纯属为了出事而准备的资源
维护:
利用华为云多可用区基础设施,降低容灾系统搭建难度
备份数据生命周期管理
利用监控掌握正常工作的数据模型:根据模型,快速判断是否出现异常,需要切换
冷、热备需要定期检查工作状况
练习恢复预案
容灾方案设计和实践
华为互联网电商全景解决方案
核心诉求:跨区隔离;分布式
双活数据中心
中国区两地三中心容灾
自动化部署
自动化部署介绍
云服务部署方式?命令行工具KooCLI;华为云访问控制台;华为云API接口;第三方或自开发应用;多语言SDK
云业务部署所面临的挑战:反复做很累,缺失重复性;可靠性不确定;实际部署和文档不一致;版本升级控制繁琐;审计跟踪模糊;无法确保每次都一致
尽可能将环境配置、变更、终止过程自动化
自动化部署是趋势:基础设施即代码(Iac,Infranstructure as Code)
RFS服务介绍
资源编排服务(Resource Formation Service)是一个Iac的终态引擎,完全支持业界事实标准Terraform(HCL+Provider);管理系统资源和服务资源;
申明模版参数->资源编排服务->华为云资源集合
RFS的工作流程:根据用户定义模版,按顺序和依赖关系启动所有组件
RFS模版是一个HCL语法的文本描述文件,用于描述云资源的使用情况,支持tf、tf.json、zip包文件格式
获得RFS模版的方法:手工撰写、他人共享、可视化编辑设计器
自动化部署实践演示
可视化创建资源站
容器与敏捷
容器的价值与使用
云容器实例CCI
无服务器的容器资源,用户可以聚焦容器本身
按秒计费,颗粒度极小
秒级启动时间,弹性迅速
自带调度器
和SWR直接整合
CCE集群:异构、高性能、安全、统一调度的容器基础设施
丰富的异构算力支持
高性能云原生网络
全面安全的云原生能力
统一的大规模云原生调度
云容器引擎CCE
华为云提供的容器编排调动服务
同时支持Kubernates和docker
在VPC内部自行管理容器区网络
创建是生成控制节点,支持高可用
会在节点安装采集探针,收集监控数据
需要另外增加、纳管或自动扩容工作节点
用kubectl工具管理集群
云容器实例CCI
提供serverless Container无服务器容器引擎
Serverless是一种新型的云计算代码开发及执行模式;Serverless以计量方式收费;只收取函数运行时计算资源的使用费
Backend-as-a-Service(BaaS),基于API的第三方服务,可替代应用程序中的核心功能子集
Functions-as-a-Service(FaaS),通常提供事件驱动计算
Serverless的价值:秒级快速上线,毫秒级弹性伸缩,天然高可用;免运维,函数代码即服务;按实际使用,短时间精确计费
Serverless的趋势:架构模式(单体架构->SOA->微服务);开发模式(瀑布式->DevOps);计算模式(物理机->虚机->容器)
华为云Serverless解决方案价值:上线速度快;易于版本管理;按需计费;自动弹性;降低运维成本
通过CCI,用户只需要管理运行在kubernates上的容器化业务,无需管理集群和服务器即可在CCI上快速创建和运行容器负载,使容器应用零运维,使企业聚焦业务核心
CCI使用方式
直接通过控制台、kubectl、kubernates API创建和使用容器负载,只需为容器所使用的资源付费
容器镜像仓库SWR(Software Repository for Container)支持镜像的全生命周期管理的服务;可以配合CCI、CCE使用,也可单独作为容器镜像仓库使用
SWR使用流程
创建组织
镜像获取
应用部署
更新镜像
华为云容器全栈服务
容器多云混合云解决方案
高性能容器批量计算解决方案
容器智能边缘计算解决方案
函数工作流服务FunctionGraph
无服务器的函数服务,用户聚焦函数本身
多版本函数全生命周期管理
为使用付费而非为配置付费;每月有免费使用额度
无需维护
可视化工作流编排
FunctionGraph的优势:极简开发部署;极快自动弹性;极低成本消耗
只考虑代码逻辑,无服务器
基于容器实现微服务部署
微服务特征:小(small services;专注一件事情)、独(Own process;单独进程)、轻(Lightweight mechanisms;轻量级通信机制,通常是HTTP/REST接口)、松(Independently deployable;松耦合、可独立部署)
独立编译、独立部署、独立运行
微服务的优势
易于开发和维护
单个微服务启动较快
局部修改容易部署
技术栈不受限
敏捷体系搭建和运用
瀑布式
敏捷价值观:我们最重要的目标,是通过持续不断地及早交付有价值的软件使客户满意;可工作的软件是进度的首要度量标准
前置计划驱动,后者价值驱动
敏捷常用的工程方法:Scrum、Scrum/XP、看板方法、精益创业、极限编程
DevOps
打破开发与运维之间的孤岛;新兴的专业化运动;观念、文化变革和模式转变,从软件开发敏捷走向业务和运维的敏捷;DevOps视为过程而非目的
生命周期过程
CodeArts软件开发生产线是面向开发者提供的一站式云端DevSecOps平台,即开即用好,打通软件交付完整路径,提供软件研发流程的端到端支持
一站式微服务变更平台
基于华为云的DevOps的流水线全景图
项目管理、代码托管、代码检查、云测、编译构建、部署、云容器引擎CCE、容器镜像服务、软件开发生产线CodeArts、云容器引擎CCE
云原生灰度发布能力
其他高阶服务介绍
大数据服务介绍
华为云EI解决方案:全栈使能,全场景覆盖
MapReduce服务MRS是华为云的一站式大数据平台,为客户提供Hudi、ClickHouse、Spark、Flink、Kafka、HBase等Hadoop生态的高性能大数据组件,支持数据湖、数据仓库、BI、AI融合等能力
MRS适用场景:海量数据分析场景、海量数据存储场景、实时数据处理
数据湖探索DLI(Data Lake Insight)
数据湖治理中心DataArts Studio是数据全生命周期一站式开发运营平台
DataArts Studio适用场景
一站式的数据运营治理平台
云上数据平台快速搭建
快速构建数据中台
数据仓库服务DWS(Data Warehouse Service)
产品优势:易使用、高性能、低成本、易扩展、高可靠
应用场景:数据仓库迁移、大数据融合分析、增强型ETL和实时BI分析、实时数据分析
海量游戏运营数据分析
人工智能服务介绍
ModelArts AI 平台一站式AI开发平台
全栈、全流程、全场景
统一管理、统一调度
支持业界主流引擎和自研引擎,零成本迁移
提供多维度功能特性,满足各类用户
ModelArts全流程提升开发效率
游戏场景模型训练
视频服务介绍
办公能力演进PC->传统桌面云->云办公
办公上云的优势
数据更安全、协同更高效、办公更便捷、资源更灵活、生态更开放、管理更简单
华为云办公架构
全新用户体验、产品持续升级、全面云上建设
华为云桌面workspace典型应用场景:安全办公、软件开发、客服场景、协同办公、多分支机构、媒资制作、工业设计、游戏设计、数字人制作、建筑设计
云会议使用场景:政企办公场景、行业应用场景
云会议应用场景及关键需求
办公会议、行政会议、全员大会&事件营销、行业应用
视频直播服务(Live)是个PaaS产品
技术&需求双向驱动,3D应用正在成为业界主流应用形式
三波产业浪潮:工业时代->互联网时代->虚实融合时代
MetaStudio:构筑底层根技术,联合伙伴,构建场景化3D数据内容生产线
考试大纲及考试样题
相关思维导图模板
树图思维导图提供 阿西莫夫的《基地》思维导图 在线思维导图免费制作,点击“编辑”按钮,可对 阿西莫夫的《基地》思维导图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:77ca211016b2cda52555a83b436e176d
树图思维导图提供 GB/T19001-2016/ISO9001:2015思维导图结构 在线思维导图免费制作,点击“编辑”按钮,可对 GB/T19001-2016/ISO9001:2015思维导图结构 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:05b6fb33547623a34a768fe8f408a354
沪公网安备 31011502019485号
上海工商