第一章 云Redis

1、概述

2、云Redis简介

        兼容开源Redis协议；

        有社区版和企业版Tair；

        架构分类来区分有标准版、集群版、读写分离架构；标准版和集群版都有单副本和双副本节点类型；

        具有低延迟、大吞吐、弹性扩缩特性；

3、适用场景

4、企业版Tair

① 内存型-DRAM

        超高性能：采用多线程模型，读写性能达到同规格Redis开源版实例的3倍；

        字眼增强型数据结构；

        支持企业特性：通过数据闪回按时间点恢复数据、代理查询缓存、全球多活；

        支持企业级加密；

② 持久内存型-NVM

        超高性价比：对比相同容量下的Redis开源版，价格降低30%左右，性能可达Redis开源版的90%；

        支持增强型数据结构模块

        掉电数据不丢失；

③ 云盘型

        低成本：最低为Redis开源版的15%；

        性能：约为Redis开源版的60%；

        磁盘存储：数据分布在ESSD或SSD中，容量可达百TB级别，拥有高数据可靠性；

        数据分布：采用阿里云TairDB存储引擎，数据通过磁盘持久化，内存用于请求加速；

        高兼容性：兼容Redis6.0大部分的数据结构和命令；

5、常用操作

① 规格选型

        选择类型、付费模式、存储介质、地域、可用区

② 创建Redis实例

③ 设置白名单

④ 连接Redis实例

⑤ 管理实例

6、连接地址

        VIP地址再服务维护或者变动时可能发生变化；推荐使用连接地址访问，比较稳定；

7、网络类型

① VPC

        当ECS实例和运Redis在相同VPC的时候，就可以通过VPC来互联，降低延迟。

② 公网

        通过公网访问Redis实例不会产生阿里云流量费用。

        但是会有安全风险；

        本地设备、不同VPC设备、外部设备等可以通过公网访问云Redis。

8、持久化策略

① RDB

        周期性的为引擎中的保存的数据创建快照，生成RDB文件，保存到磁盘，实现数据持久化。云Redis的持久化策略是每天生成快照，默认保存时间是7天；

② AOF

        以日志形式记录所有写入类操作，重启时重新执行操作来实现数据恢复。策略是如果文件过大则重组AOF文件来降低存储空间。

③ Tair-AOF

        优化AOF持久化机制，实现AOF增量归档，避免重组对服务的影响，并且完整保留每一次的操作的时间搓，实现秒级恢复数据的能力。

9、慢日志

        慢日志记录了执行时间超过指定阈值（slowlog-log-slower-than）的命令，默认为20毫秒，也可以自定义该参数。

        慢日志分为数据节点慢日志和代理慢日志。

① 数据节点慢日志

        统计的命令执行时间仅包含命令在数据节点中的执行时间，不包含数据节点与代理或客户端的通信时间以及命令在单线程队列上的排队延迟等。

        数据节点慢日志的保留时间为72小时，无数量限制。

        由于实例性能出色，通常情况下，数据节点慢日志的数量较少。

② 代理慢日志

        统计的命令执行时间从代理向数据节点发出请求开始，到代理从数据节点收到相应的回复为止，包含了命令在数据节点中的执行时间、数据在网络中的传输时间以及命令的排队延迟等。

        代理慢日志的保留时间为72小时，无数量限制。

        由于代理慢日志反映的延迟与您在应用端感受到的延迟更相近，在排查实例超时问题时，建议多关注此类日志。

第二章 云容器ACK

1、概览

2、容器通用知识

        是一种轻量级的操作系统级别的虚拟化技术。

        将应用程序和所需要的运行以来一起打包交付。

        有良好的可移植性，可以在不同的环境下保证部署的一致性。

        容器之间互相隔离。

        不具备自动扩容，负载均衡、分布式集群部署能力。

3、Kubernetes概念

        是容器的集群管理系统，开源的平台；

        可以实现容器集群的自动化部署，自动扩缩，维护等功能。

        基于主从模型。

4、K8S整体架构

5、应用程序容器化

① 实现步骤

        编写代码》使用Dockerfile构建镜像》上传镜像到仓库》运行容器化应用

② 使用流程

        开通ACK》创建集群》通过控制台部署并公开应用》测试》监控

        开通ACK》创建集群》通过Kubectl连接集群》部署并公开应用》测试》监控

③ 使用方式

        控制台使用 / Kubectl使用

6、创建ACK注意点

        托管版集群时，只需要创建节点，不需要维护控制面板；

        专有版集群需要创建至少3个主节点以保证高可用，以及若干工作节点，可以对集群更细控制，但是需要自行维护、升级。

7、集群使用限制

        阿里云账户至少有100块，并且实名认证；

        ACK集群仅支持VPC；

        每个账号的云资源有一定的配额，超过配额会集群创建失败；

                路由条目不超过200；

                安全组最多100；

                按量付费的负载均衡实例最多60；

                EIP最多20；

        ECS实例只能按量付费或者包年包月，创建之后可以手动转成预付费。

8、Kubectl工具连接集群

        下载安装最新的客户端；

        配置集群凭证：

                登录容器服务控制台，左侧导航栏选择集群；

                选择集群；

                基本信息页可以看到集群的连接地址；

                连接信息页可以复制集群凭证，将创建的凭证保存到 $HOME/.kube/config 目录下；

                执行 Kubectl get namespace 命令确认集群连接状态。

9、 节点与节点池

① 节点

        一台安装了 Docker Engine 的服务器，可以用于部署和管理容器。容器服务ACK的Agent程序会被安装到节点上并注册到一个集群上，集群的节点数可以伸缩。

② 管理节点

        是集群的管理者，运行包括 kube-apiserver、kube-scheduler、kube-controller-manager等相关组件；

③ 工作节点

        承担工作负载的节点，可以是虚拟机也可以是物理机，承担实际POD调度和管理节点的通信，服务包括Docker运行时，kubelet、Kube-proxy等组件；

④ 节点池

        为了高效管理几点，ACK引入节点池概念，是集群中的一个或者一组节点的逻辑集合，一个集群可以创建多个不同配置和类型的节点池。节点池配置包含规格、可用区、标签、污点等等。

⑤ 托管节点池

        自动化运维节点池，高危CVE漏洞修复，部分故障修复，降低运维成本。

⑥ 节点池注意事项

        创建节点池不会影响其他节点池和内部的节点；

        集群的节点数最大200个

        删除节点池需要贤删除池内所有节点

        只能在创建节点池的时候选择开启自动弹性伸缩，开启之后就不能手动操作伸缩，付费类型支持抢占式、弹性模式支持CPU实例，GPU实例、GPU共享实例。可以关闭弹性。

10、容器网络

        每个POD有自己独立的网络空间和IP地址，不同的POD可以监听同样的端口不冲突。

        POD可以通过IP地址互相访问。

        正确设置配置组的前提下，同一个集群POD可以互相访问，POD可以直接访问同VPC的ECS，同VPC的ECS可以直接访问POD。

        支持五种公网访问方式：

11、备份和恢复

        ACK提供备份中心服务，可以为无状态或者有状态应用提供备份、恢复、迁移一站式解决方案。针对混合云、多集群的有状态应用提供了数据容灾和应用迁移能力。

        使用场景：ACK集群内持久化应用容灾和同地域集群间迁移、混合云容灾和迁移、公有云跨地域集群间的容灾。

① 云上数据备份功能

        按时间点全量极速快照备份；

        定时增量备份能力；

        TB级别云盘极速快照；

        应用一致性备份和恢复；

② 混合云容灾和迁移

        按时间点全量极速快照备份；

        定时增量备份能力；

        最小化数据增量、去重复、压缩数据

第三章 云安全

1、概述

2、安全基础知识

① 基本要求

        安全管理责任不变

        数据归属关系不变

        安全管理标准不变

        敏感信息不出镜

② 安全管理责任划分

        用户负责上层业务系统，包含：业务数据、应用系统、ECS、网络策略

        阿里云负责基础设施，包含：资源虚拟层、飞天分布式操作系统、计算、存储、网络、地域、可用区、ABTN网络等等。

③ 常见安全威胁及影响

        安全威胁主要影响三方面：可用性、完整性、保密性

        安全威胁：数据丢失或泄露、系统或者技术漏洞、账号的身份管理不善、免费背后的欺诈、API安全漏洞、Dos攻击泛滥等等。

④ DDoS攻击详解

        分布式拒绝服务攻击，分布式，协同的大规模攻击，影响系统的可用性。

        常见DDoS攻击如下：

⑤ 其他常见安全威胁

3、云防火墙

        是SaaS服务化的防火墙，可以对互联网资产的互联网边界，VPC边界，主机边界实现三位一体的统一安全隔离管控。

        可以统一管理南北、东西方向的流量(公网和内网)，监控、访问控制、实时访问控制。

① 互联网边界防火墙（南北向）

        公网IP、SLB EIP、HAVIP、EIP、ECS EIP、ENI EIP、NAT EIP、IPv6等；

② 主机边界防火墙

        ECS之间的流量；

③ VPC边界防火墙

        跨VPC或云上云下防护；

④ 攻击防护

        漏洞防护：防护系统的漏洞，防御来自王漏测的攻击。

        入侵防护：检测和拦截入侵类攻击，病毒等恶意行为，及时发出告警或执行防御措施；

        失陷感知：失陷感知界面会实时展示由检测引擎检测到的入侵活动以及详情，需要先开启此功能；

        防护配置：内置的威胁检测引擎，拦截互联网上的恶意流量入侵活动和常规攻击行为，提供精准的检测补丁。

4、DDoS防护

① 攻击类型

        流量型攻击：主要攻击网络带宽；

        应用型攻击：主要攻击服务器；

② 流量清洗

        根据专业的防DDoS设备，对流量分析和过滤，清洗区分正常流量和攻击流量。

③ 黑洞

        如果清洗服务本身的流量承载能力达到上限，为了保护可用性，将所有访问目标IP的流量抛弃。

④ 避免黑洞

        提高清洗服务的承载能力上限。

⑤ DDoS防护解决方案

⑥ DDoS高防原理

        通过 DNS解析 和 IP直接指向 两种引流方式，实现网站域名和业务端口的接入防护。

        根据业务配置规的转发规则，将业务的DNS域名解析和业务IP指向高防实例IP或者CNAME地址引流。

        默认是以 IP Hash 的方式转发网站访问流量到源站，自动实现负载均衡。

⑦ 接入DDoS

⑧ 原生DDoS防护

        可以直接加载到云产品，不需要更换IP，直接绑定需要防护的云产品的IP地址即可使用。

        主要针对三层和四层的流量型攻击。

        触发阈值后自动开启流量清洗。

        基础版本不超过5G能力，企业版需要额外购买，并且企业版本的地域要和云产品地域保持一致。

⑨ 应急防护方案

        帮助未开启防护的应用在被攻击后应急开启防护。

        使用条件：阿里云账号注册或者产品使用超过3个月、首次被攻击、攻击带宽峰值小于100Gbps；

        申请限制：每年只能申请一次一天的服务、必须注册企业信息和联系人电话、并且承诺不转售。

5、WEB应用防火墙 WAF

        WAF基于云安全大数据能力，有效防御各类OWASP常见WEB攻击。可以过滤海量恶意CC攻击。

① 常见的 OWASP 攻击包含

        SQL注入、XSS跨站、WebShell上传、后门攻击、命令注入、非法HTTP、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、网站被扫。

② 常见Web漏洞包含

        跨站脚本攻击、CRLF攻击、SQL注入攻击、本地文件包含、远程代码执行、FastCGI攻击。

③ 应用场景

        所有网站的WEB应用，仅支持通过域名方式防护，不支持IP直接接入。

④ 使用方法

        CNAME接入：支持云上、线下公网、需要更改网站的DNS；

        透明接入：支持云上公网SLB/ECS、无需更改网站DNS；

        防护配置支持：规则防护引擎、防护规则组、福湾站防串改、主动防御等；

⑤  防护规则组

        规则防护引擎室默认开启的。

        中等规则组：按照标准防护程度去检测。这是默认的规则组。

        宽松规则组：如果发现存在较多的错误拦截，建议使用宽松的。

        严格规则组：按照严格的防护程度检测路径穿越、SQL注入、命令执行等攻击。

        自定义规则组：用户自己制定的规则组。

⑥ 主动防御

        采用阿里的自研机器学习算法，自主学习网站域名的合法流量，自动为网站生成定制的安全防护策略。

        每次开启都需要重新学习一次，重新生成。

        业务形态如果发生变化，建议重新学习。

6、云安全中心

        是一款持续检测、深度防御、全面分析、快速响应能力与一体的云上安全管理平台。

        提供云上资产管理、配置核查、主动防御、安全加固、云产品配置评估、和安全可视化等核心能力。

        结合日志分析服务构建云上态势感知的云上综合能力平台，实现一体化、自动化的安全运营闭环、保护多云环境下的主机、容器、虚拟机等工作负载安全。

① 版本

② 基线检查功能

        支持以下功能：检测操作系统和服务的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计、入侵防范。

        根据检查结果会给出加固建议。

③ 配置检查CSPM

        支持从身份权限管理、阿里云产品安全风险、和合规风险三个维度检查云环境中的配置问题和风险。

④ 资产暴露分析

        自动分析云资产ECS服务器在互联网上的暴露情况，可视化呈现ECS和互联网的通信链路，集中展示ECS的漏洞信息，只有企业版和旗舰版才有这个功能，并且不支持非阿里的机器检查。

⑤ 云蜜罐

        是一个攻击诱骗系统，使用蜜罐模拟一个或者多个易受攻击的主机或者服务，引导攻击方错误攻击，延缓真正服务的被攻击。

⑥ Agent插件

        使用安装了Agent插件的服务器才能被保护。

        插件会实时向云安全中心上报插件在线信息，如果通信异常或者10个小时之内没有收到Agent客户端登录采集信息，都会变成离线。

        卸载之后需要等待24小时才能重新安装。

7、数据安全

① 数据安全中心

        提供敏感数据识别、数据安全审计、数据脱敏、智能异常检测。

        敏感数据包括：客户资料、技术资料、个人信息。

        根据敏感数据规则去扫数据库，根据命中次数判定是不是敏感数据，扫描的过程不会保存数据。

② 数据检测授权

③ 加密技术基础

（1）对称加密

        加密和解密使用的密钥是同一个，强度不搞、效率高、密钥分发困难。

（2）非对称加密

        密钥是成对使用，公钥加密，私钥解密，加密速度慢；

（3）签名

        对大量的明文通过Hash抽取成摘要，发送方使用私钥对摘要非对称加密，形成签名摘要。

        这样可以保证接收方验证消息来源的真实性。发送方无法否认发送过消息，接收方无法篡改消息。

④ 常见加密算法

⑤ 数字证书

        类似公安局给个人发身份证，CA中心给服务器发放证书。

        数字证书包含：服务器名字、服务器公钥、CA签名。

        服务器公钥可以用于加密，CA签名可以用来验证证书的合法性。

⑥ 密钥管理服务KMS

        是一站式密钥管理和数据加密服务平台，主要包含 密钥服务、凭据管家、证书管家和专属KMS。

⑦ 密钥轮转

        减少每个密钥加密的数据量，通过定期轮转密钥而改变加密密钥方式，使得每个密钥具有更高的安全阈值和更小的密钥分析攻击。

        具备提前响应安全事件的能力。

        对数据形成逻辑上的隔离。

        减小破解密码的时间窗口。

⑧ 密码机类型

⑨ SSL证书

        同样是颁发给服务器的证书，分为 DV、OV、EV三种证书，支持的加密算法有：RSA、ECC、SM2。

        阿里云托管证书的优势：自动申请证书（更新证书有效期）。

        托管服务限制：托管购买的证书规格和原证书完全一致，且不支持退款。

⑩ 私有证书

8、其他云产品

① 云身份服务 IDaaS

       统一管理各应用中分散的账号，集中分配应用访问控制权限，极大降低低效、重复的账号访问配置和运维消耗。

        优势：低门槛、云原生、更开放；

        应用场景：研发团队账号管理、业务应用账号管理、企业账户连接器；

② 先知-安全众测

        安全专家，白帽子、安全公司等组成的专业安全测试团队，测试系统安全。

        发现漏洞后给出解决方案，解决实施需要自己运维团队完成。

③ 渗透测试

        黑盒安全测试，安全专家模拟真实黑客对目标进行漏洞检测。

④ 内容安全

        对授权的内容，检测内容是否有违法违规的内容。

        OSS支持增量检测和存量检测，也支持自动检测；支持图文检测，视频检测；支持多场景检测。支持特定后缀检测。

⑤ 数据风控和风险识别

        只支持在Web中插入制定的JS代码。风险识别平台可对不同状态（可信、可疑、恶意）的请求进行不同的处理。是基于阿里大数据风控服务能力，机器学习之后的产品。

⑥ 安全管家

        提供人工专家安全体检，清除木马。适用于没有专门的系统管理员，没有时间处理等场景。

9、综合应用实践

① 数据丢失或者泄露

        多次错误密码尝试登录，应该立即修改服务器密码，包括远程连接密码和系统用户密码，密码要8位以上的复杂密码。

        启用防火墙，安全组关闭远程访问端口

        白名单管理，只允许特定的ip访问

② 用户密码泄露

        通知业务平台所有用户修改密码，通过技术手段杜绝简单密码。超过8位、大写、小写字母、数字、特殊字符组成。

③ 感染木马后

        立即修改ECS实例密码

        备份数据

        修改远程连接端口

④ 非常用IP登录

        非法连接，需要修改授权访问RDS的白名单IP列表，只保留有需要连接的合法IP；

        之后按照数据丢失或者泄露方案修改密码；

        如果是合法连接，则需要在安骑士配置里添加 常用登录地点并更新白名单管理；

⑤ DDoS攻击

        5G以下自动基础防护

        5G以上购买高防DDoS

        CDN加速防护、SCDN