第5章 掌握负载均衡SLB

SLB产品概要

负载均衡（Server Load Balancer）是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。

主要特点

1. 负载均衡（Server Load Balancer，简称SLB）是对多台云服务器进行流量分发的负载均衡服务。

• SLB可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性

1. SLB服务通过设置虚拟服务地址（IP），将位于同一地域（Region）的多台云服务器（ECS）资源虚拟成一个高性能、高可用的应用服务池

• 根据应用指定的方式，将来自客户端的网络请求分发到云服务器池中

1. SLB服务会检查云服务器池中ECS的健康状态，自动隔离异常状态的ECS，从而解决了单台ECS的单点问题，同时提高了应用的整体服务能力
2. 在标准的负载均衡功能之外，SLB服务还具备TCP与HTTP抗DDoS攻击的特性，增强了应用服务器的防护能力。
3. SLB服务是ECS面向多机方案的一个配套服务，需要同ESC结合使用。

SLB简介

SLB核心概念

阿里云SLB主要由3个基本概念组成：

• LoadBalancer 代表一个SLB实例
• Listener 代表用户定制的负载均衡策略和转发规则
• BackendServer 是后端的一组云服务器

SLB术语

SLB主要功能

• 当前提供4层（TCP/UDP协议）和7层（HTTP/HTTPs协议）的负载均衡服务
• 可以对后端ECS进行健康检查，自动屏蔽异常状态的ECS，待该ECS恢复正常后自动解除屏蔽
• 提供会话保持功能，在Session的生命周期内，可以将同一客户端请求转发到同一台后端ECS上
• 支持加权轮询（WRR），加权最小连接数（WLC）转发方式，后端ECS权重越高被分发的几率也越大
• 支持针对监听来分配其对应服务所能达到的带宽峰值
• 可以支持公网或私网类型的负载均衡服务
• 提供丰富的监控数据，实时了解SLB运行状态
• 结合云盾，提供WAF及防DDOS攻击能力，包括CC，SYN FLOOD等。
• 支持同一地域（REGION）跨数据中心容灾，结合DNS还可以支持跨REGION容灾
• 针对HTTPS协议，提供统一的证书管理服务，证书无需上传后端ECS，解密处理在SLB上进行，降低后端ECS CPU开销
• 提供控制台，API，SDK多种管理方式

SLB主要操作

负戴均衡→服务监听配置→后端服务器配置→负载均衡监控

SLB相关问题

SLB支持的协议有哪些？
SLB当前支持4层（TCP协议、UDP）和7层（HTTPs协议）。

SLB服务本身解决了后端ECS服务的灾备问题，但如何避免SLB服务本身故障导致的单点问题？关于SLB的灾备，有什么好的建议？
SLB实例后端的ECS可以是不同Zone下的机器，从而提高本地可用性。
在同一地域（Region）创建多个SLB实例，通过DNS轮询的方式对外提供服务，从而提高本地可用性。
在不同地域（Region）创建多个SLB实例，通过DNS轮询的方式对外提供服务，从而提高跨地域的可用性。

SLB最多支持对几台ECS进行负载均衡服务？
我们不会限制用户在SLB实例后配置的ECS数量。但是，为了保证您对外服务的稳定与高效，我们建议您可以根据业务分类或应用服务的模块划分来将提供不同服务或执行不同任务的应用服务器配置在不同的SLB实例后。

不同操作系统的ECS可以同时做SLB服务吗？
可以。SLB本身不会限制后端的ECS使用哪种操作系统，只要您的2台ECS中的应用服务部署是相同且保证数据的一致性即可。但是，我们建议您选择2台相同操作系统的ECS进行配置，以便您日后的管理维护。

如何确保SLB后端的多台ECS之间的数据同步呢？
目前，有很多类似的工具可以实现服务器之间的数据同步，比如：rsync。具体使用及选择，还请通过其他途径获得更多的介绍资料及指导信息。
您也可以将您的ECS配置成无状态的应用服务器，而数据和文件统一存放在RDS和OSS服务上。

我有2台ECS，分别创建在杭州和青岛，为什么无法把他们添加到一个SLB实例后面？
SLB不支持跨地域（Region）部署，一个SLB实例后端的多台ECS必须处于同一地域（Region）
才可以配置。

第6 章 云上安全防护

互联网常见形式及安全威胁

常见威胁

DDoS攻击

1. 每周2000起左右
2. 近一半攻击事件超过5G
3. 几乎每周都有单IP超过100G大流量攻击

口令暴力破解

1. 每周数亿次攻击
2. 以SSH、RDP协议为主

Web应用攻击

1. 每周数百万次攻击
2. 以SQL注入攻击为主
   

阿里云安全体系

云盾的基础DDOS防护

安全相关概念

基础运营商（联通、电信、移动），骨干网，IDC数据中心；
BGP边际网关协议，ABTN阿里巴巴骨干网，路由器；
交换机，防火墙，安全策略；

DDoS攻击是什么

• DDoS（Distributed Denial of Service）即分布式拒绝服务攻击。
• 攻击主要目的是让指定目标无法提供正常服务，是最强大、最难防御的攻击之一。
• 近年出现的DRDoS（分布式反射攻击）让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁。
  

基础DDos防护的实现流程

基础DDos防护的主要功能

• 攻击流量的发现，牵引和自动处理
• 能有效抵御所有各类基于网络层、应用层的各种DDoS攻击
  包括最新DNS Query Flood、NTP reply Flood
• 大数据分析技术实现全自动检测 攻击策略全自动匹配
• 总体响应时间<2秒
• 清洗服务可用性99.99%

高防IP

高防IP接入流程

应用防火墙和安骑士

阿里云云盾-WAF

Web应用防火墙（Web Application Firewall，简称WAF）是一款网站必备的安全产品。网站/APP应用防护；
阿里云.云盾Web应用防火墙：基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全；
通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击；过滤海量恶意CC攻击；禁止恶意的接口滥刷，数据爬取；
避免您的网站资产数据泄露，保障网站的安全与可用性。

云盾.WAF的发展历程

十年Web攻防经验积累、淘宝/支付宝都在用、双11性能稳定

云盾-WAF的应用场景

云盾-WAF的工作原理

阿里云云盾-安骑士

• 是云盾安全防护体系中的主机安全防护模块
• 基于云端联动防御，可以为云服务器提供防黑客入侵的服务
  主要防护功能：
• 木马查杀
• 防密码暴力破解
• 异地登录提醒
• 漏洞检测修复

安骑士的工作方式

基于云端黑客检测模型，实时防护服务器安全

安装安骑士

云监控功能

阿里云-云监控

云监控（CloudMonitor）是一项针对阿里云资源和互联网应用进行监控的服务。
云监控服务可用于收集获取阿里云资源的监控指标，探测互联网服务可用性，以及针对指标设置警报。
云监控服务能够监控云服务器ECS、云数据库RDS和负载均衡等各种阿里云服务资源，同时也能够通过HTTPICMP等通用网络协议监控互联网应用的可用性。
借助云监控服务，您可以全面了解您在阿里云上的资源使用情况、性能和运行状况。借助报警服务，您可以及时做出反应，保证应用程序顺畅运行

云监控功能概览

• 站点监控
  提供对http、ping、dns、tcp、udp、smtp、pop3、ftp等服务的可用性和响应时间的统计、监控、报警服务。
• 云产品监控
  提供对ecs、rds、slb、cdn、ocs、oss等云服务的监控报警服务。
• 自定义监控
  对用户开放自定义监控的服务，允许用户自定义个性化监控需求。
• 报警及联系人管理
  提供对报警规则，报警联系人的统一、批量管理服务
  支持多报警方式：短信、邮件、旺旺

云监控CMS的应用场景

• 云监控可以帮助运维人员实时了解网络状态、获取监控指标
• 在ECS部署时及时了解网络的运行状况，为后续网络升级提供性能指标
• 在网络升级后，监控SLB的负载均衡能否实现
• 监控到的数据可以作为弹性伸缩服务ESS的触发条件

云安全功能操作演示

• 云盾：DDoS基础防护、DDoS高防P、安骑士、应用防火墙WAF
• 云监控：站点监控、云产品监控（ECS、RDS等）、自定义监控
• 报警：开关、报警联系人、报警方式
• 综合应用：设置云监控指标–》读报警信息–》启用云盾功能

有幸参加阿里云高校计划云计算7天实践训练营进阶班的第二期，没想到还送了价值600元的ACA认证，感兴趣的同学也可以来关注下：https://developer.aliyun.com/adc/college/