CAP
一致性(Consistency)
可用性(Availability)
分区容忍性(Partition tolerance)
最多同时满足三个特性中的两个
BASE
基本可用(basically available)
软状态(soft-state)
最终一致性(eventual consistency)
虚拟化:大量服务器汇集成一个超大的资源池,云操作系统统一管理。
分类
三种技术实现X86架构CPU敏感指令和特权指令的虚拟化
使用二进制翻译的全虚拟化
操作系统辅助或半虚拟化
硬件辅助的虚拟化(第一代)
CPU虚拟化:CPU的虚拟化技术可以将单个CPU模拟多个CPU并行(vCPU),允许一个平台同
时运行多个操作系统(虚拟机中的操作系统和物理机上的操作系统没有本质的区别),并且应用程序都可以在相互独立的空间内运行而互不影响。
内存虚拟化:一台物理主机或服务器上的内存总量被所安装的操作系统所全部占用。对物理内存进行虚拟化,能够创建多台虚拟机,提高物理资源的利用率。
网络虚拟化:在虚拟环境中,能够通过虚拟化的方式,构建虚拟以太网适配器和虚拟交换机。网络虚拟化旨在在一个共享的物理网络资源之上创建多个虚拟网络。
存储虚拟化:共享物理存储资源,通过存储虚拟化利用本地磁盘创建虚拟机的本地虚拟磁盘。可以通过专业的存储设备,将其磁盘进行虚拟化,最终挂载在虚拟机上。提高了本地磁盘的利用率和便携性。
GPU虚拟化:将一块GPU卡的计算能力进行切片,分成多个逻辑上虚拟的GPU,即vGPU,以
VGPU为单位分配GPU的计算能力。以vGPU为单位可以将单块GPU卡分配给多台虚拟机使用,使得虚拟机能够运行3D软件、播放高清视频等,极大地提升了用户体验。
虚拟化的四大特性
√封装:虚拟机都保存在文件中,且可通过移动跟复制这些文件的方式来移动跟复制该虚拟机。
√硬件独立:无需修改即可在任何服务器上运行虚拟机。
√隔离:在同一服务器上的虚拟机之间互相隔离,改变了之前单台物理机服务器只能挂以个应用的格局。即在一个物理服务器上可以同时运行N个操作系统,每个系统中部署以个应用,这些应用可同时链接N个小时开启,且系统间互相隔离,互不影响,合理利用了服务器的硬件资源。
√分区:在单个物理服务器上同时运行多个虚拟机,将一个物理服务器的硬件资源分别分区给多个虚拟机。
考点:按服务类型分类
laaS (Infrastructure as a Service)基础设施即服务,从laaS服务提供商获得计算机基础设施服务,包括服务器、存储和网络等服务。【ECS属于laaS】
PaaS(Platform as a Service)平台即服务,提供各种开发和分发应用的解决方案,比如虚拟中间件服务器、运行环境和操作系统。
SaaS(Software as a Service)软件即服务,基于多租户技术实现,直接提供应用程序。【云安全中心属于SaaS】
DaaS:数据即服务,一种云战略。
考点:按部署方式分类
公有云:面向互联网用户需求,通过开放网络提供云计算服务
私有云:面向企业内部提供云计算服务
混合云:兼顾以上两种情况的云计算服务
经典网络
经典网络类型的云产品,统一部署在阿里云公共基础设施内,规划和管理由阿里云负责,更适
合对网络易用性要求比较高的用户,采用三层隔离。
专有网络
专有网络(Virtual Private Cloud,简称VPC)是您基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。您可以自定义这个专有网络的拓扑和IP地址,适用于对网络安全
性要求较高和有一定网络管理能力的用户,采用二层隔离,相对经典网络而言,专有网络具有
更高的安全性和灵活性。
专有网络原理
基于目前主流的隧道技术,专有网络隔离了虚拟网络。每个VPC都有一个独立的隧道号
一个隧道号对应着一个虚拟化网络。
· 一个VPC内的ECS(Elastic Compute Service)实例之间的传输数据包都会加上隧道封装,带有唯一的隧道号标识,然后通过物理网络上进行传输。
· 不同VPC内的ECS实例由于所在的隧道号不同,本身处于两个不同的路由平面,因此不同VPC内的ECS实例无法进行通信,天然地进行了隔离。
专有网络VPC(Virtual Private Cloud)是完全隔离的虚拟网络环境,配置灵活,可满足不同的应用场景。
VPC的组成
每个专有网络都由至少一个私网网段 ,一个路由器和至少一个交换机组成。
私有网段:内网IP地址段,专有网络、交换机都必须绑定私网网段。
交换机:连接不同的云产品
路由器:连接VPC内部的不同交换机、其他VPC、其他网络类型· 专有网络本身不收取任何费用,但如果您在专有网络上创建了相关资源,需要为您使用的这些资源付费。
在专有网络VPC(Virtual Private Cloud)中使用云资源前,您必须先创建一个专有网络和交换机。您可以在一个专有网络中创建多个交换机来划分子网。一个专有网络内的子网默认私网互通。
专有网络是您独有的云上虚拟网络,您可以将云资源部署在您自定义的专有网络中。
注:云资源不可以直接部署在专有网络中,必须属于专有网络内的一个交换机(子网)内。
交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源实例。专有网络是地域级别的资源,专有网络不可以跨地域,但包含所属地域的所有可用区。您可以在每个可用区内创建一个或多个交换机来划分子网。
路由
创建专有网络后,系统会自动为您创建一张系统路由表并为其添加系统路由来管理专有网络的流量。一个专有网络只有一张系统路由表,您不能手动创建也不能删除系统路由表。
您可以在专有网络内创建自定义路由表,然后将其和交换机绑定来控制路由,更灵活地进行
网络管理。每个交换机只能关联一张路由表。
您可以添加自定义路由条目将目标流量路由到指定的目的地。
默认专有网络和交换机
当一个地域第一次创建需要网络的云产品时,一个默认的专有网络和交换机也会随之创建成功。
应该使用几个交换机?
您可以根据以下两点规划交换机:
· 使用一个VPC时,也请尽量使用至少两个交换机,并且将两个交换机分布在不同可用区,这样可以实现跨可用区容灾。
· 同一地域不同可用区之间的网络通信延迟很小,但也需要经过业务系统的适配和验证。由于系统调用复杂、跨可用区调用等原因可能会增加系统的网络延迟。建议您对系统进行优化及适配,以满足您对高可用和低延迟的实际需求。
· 具体使用多少个交换机还和系统规模、系统规划有关。如果前端系统可以被公网访问并且有主动访问公网的需求,考虑到系统的可用性,请将不同的前端系统部署在不同的交换机下,将后端系统部署在另外的交换机下。
IPv4网关
IPv4网关是连接专有网络VPC(Virtual Private Cloud)和公网的网络组件。
VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。
IPv4网关具有以下功能
√ 作为VPC路由表中的路由下一跳,控制VPC访问公网的目的地址范围。
√ 为VPC中分配了IPv4公网地址的网络资源(例如弹性网卡、ECS等),提供网络地址转换功能。
IPv4网关功能限制
IPv4网关当前仅支持IPv4流量。
一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。
只有激活成功的IPv4网关才具有公网访问能力。
一个IPv4网关仅能绑定一张网关路由表。
网关路由表的下一跳类型仅支持Local、弹性网卡或ECS实例。
VPC内包含以下资源时,不支持创建IPv4网关:
· VPC内存在网卡可见模式的EIP资源。
· VPC内存在普通型公网NAT网关
规划交换机网段
交换机的网段必须是其所属VPC网段的子集。例如VPC的网段是192.168.0.0/16,那么该VPC下的交换机的网段可以是192.168.0.0/17,一直到192.168.0.0/29。
规划交换机网段时,请注意:
· 交换机网段的大小需在16位到29位网络掩码之间,可提供8~65536个地址。
· 每个交换机网段的第1个和最后3个IP地址为系统保留地址。以192.168.1.0/24为例,192.168.1.0、192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。
· ClassicLink功能允许经典网络的ECS和10.0.0.0/8、172.16.0.0/12或192.168.0.0/16三个VPC网段的ECS通信。如果要和经典网络通信的VPC网段是10.0.0.0/8,则该VPC下的交换机网段必须是10.111.0.0/16。
交换机网段的规划还需要考虑该交换机下容纳ECS的数量。
· 使用附加IPv4网段创建交换机时,系统也会在专有网络的路由表中自动添加一条交换机路由。交换机路由的目标网段是交换机使用的网段,该网段范围不得与所属专有网络的路由表中其它路由的目标网段范围相同或大于该范围。
交换机的特性
多个云产品通过交换机互连
VPC的交换机,是一个3层交换机,不支持2层广播和组播
只有当VPC的状态为Available时,才能创建新的交换机
交换机创建完成之后,无法修改CIDRBlock
删除交换机之前,必须先删除目标交换机所连接的云产品和关联资源。
新建交换机所使用的CIDRBlock不能与已经存在的交换机的CIDRBlock重复。
交换机通过路由器互连,一个交换机只能绑定一张路由表。
创建VPC时,系统会自动为每个VPC创建1个路由器,路由器中包含一张系统路由表。
删除VPC时,会自动删除对应的路由器。
不支持直接创建和删除路由器:VPC中的路由器都是随VPC的生命周期自动创建和删除的。
支持自定义路由表:一个VPC最多可以拥有包括系统路由表在内的10张路由表。
系统路由表
创建VPC后,系统会默认创建一张系统路由表来控制VPC的路由,VPC内所有交换机默认使用系统路由表。您不能创建也不能删除系统路由表【可以解绑】,但可以在系统路由表中创建自定义路由条目。
自定义路由表
· 您可以在VPC内创建自定义路由表,将自定义路由表和交换机绑定,更灵活地进行网络管理。
· 您可以通过专有网络VPC的管理控制台以及专有网络VPC的相关路由表接口来管理配置路由表。
路由表中的每一项是一条路由条目。路由条目由目标网段、下一跳类型、下一跳三部分组成。
目标网段:您希望网络流量传输到的IP地址范围;
□ 下一跳类型:用于传输网络流量的云产品,例如,ECS实例、VPN网关或辅助弹性网卡等;
□ 下一跳:所选择的具体传输网络流量的云产品实例。
路由条目包括系统路由(不可修改)、自定义路由和动态路由。
创建VPC时,系统会自动为每个VPC创建1个路由器,路由器中包含一张系统路由表。系统会在路由表中会自动添加以下IPv4路由:
· 以100.64.0.0/10为目标网段的路由条目,用于VPC内的云产品通信。
· 以交换机网段为目标网段的路由条目,用于交换机内的云产品通信。
您可以添加自定义路由来替换系统路由或将目标流量路由到指定的目的地。
下一跳类型还可以是辅助弹性网卡、转发路由器、高可用虚拟IP等其他类型。
网络ACL(Network Access Control List)
√网络ACL规则仅过滤绑定的交换机中ECS实例的流量
√网络ACL的规则是无状态的,即设置入方向规则的允许请求后,需要同时设置相应的出方向规则
√网络ACL无任何规则时,会拒绝所有出入方向的访问。
√网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量。
什么是NAT网关?
NAT网关(NAT Gateway)是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力。
阿里云NAT网关分为公网NAT网关和VPC NAT网关,公网NAT网关提供公网地址转换服务,而VPC NAT网关提供私网地址转换服务,您可以根据业务需求灵活选择。
产品类型
·公网NAT网关:一款企业级针对公网访问的安全网关产品,提供NAT代理功能(SNAT和DNAT),具有100Gbps的转发能力及跨可用区的容灾能力。
·VPC NAT网关:为VPC内的ECS实例提供访问外部私有网络的能力,也能使ECS实例对外提供私网访问服务。
SNAT功能:通过NAT IP地址为VPC内的ECS实例提供访问外部私有网络代理服务
DNAT功能:通过将NAT IP地址和端口映射转换为VPC内ECS实例的IP和端口,使ECS实例对外提供私网访问服务
统一公网出口IP
· 通过公网NAT网关实现云上统一公网出入口IP
· 为已分配固定公网IP的ECS实例统一公网出口IP
· 为已绑定EIP的ECS实例统一公网出口IP
· 为设置了DNAT IP映射的ECS实例统一公网出口IP
阿里云VPN网关(VPN Gateway,简称VPN)是一款基于Internet,通过加密通道将企业数据中心、办公网或终端与专有网络(VPC)安全可靠连接起来的服务。
网络连接方式
IPsec-VPN:支持在企业本地数据中心,企业办公网络与VPC之间建立网络连接。
SSL-VPN:支持在互联网客户端与VPC之间建立网络连接。
优势
√安全:使用IKE和IPsec协议对传输数据进行加密,保证数据安全可信。
√稳定:底层采用双机热备架构,故障时秒级切换,保证会话不中断,业务不受影响。
√简单:功能开通即用,配置实时生效,实现快速部署。
√低成本:基于互联网建立加密通道,相比使用物理专线成本更低。
√IPsec-VPN是一种基于路由的网络连接技术。
√提供灵活的流量路由方式,方便配置和维护VPN策略。
√适用于在企业本地数据中心或企业办公网络与VPC之间建立网络连接。
√IPsec连接可绑定VPN网关实例,也可以绑定转发路由器实例(通过云企业网实现网络互通)。
IPsec连接的网络类型:
· 公网(默认值):表示IPsec连接通过公网建立加密通信通道。
· 私网:表示IPsec连接通过私网建立加密通信通道。
IPsec连接的路由模式:
· 目的路由模式(默认值):基于目的IP地址路由和转发流量。
· 感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。
√SSL-VPN是一种基于OpenVPN架构的网络连接技术。
√适用于在互联网客户端与VPC之间建立网络连接。
√部署后,仅需要在互联网客户端中加载证书并发起连接,互联网客户端便可与VPC互通。
√ SSL-VPN仅支持绑定国际标准商用密码算法的公网VPN网关实例。
您可以通过SSL-VPN将客户端和VPC连接起来,客户端通过互联网可随时随地安全地连接VPC,满足远程办公的需要。
SSL-VPN支持Windows、Linux、Mac、Android操作系统类型的客户端接入。
智能接入网关SAG(Smart Access Gateway)是阿里云提供的软件定义广域网SD-WAN(Software Defined Wide Area Network)解决方案。企业可通过智能接入网关实现一站式接入阿里云,获得更加智能、安全和可靠的上云体验。
智能接入网关包含以下三种产品形态:
阿里云高速通道(Express Connect)可在本地数据中心IDC(Internet Data Center)和云上专有网络VPC(Virtual Private Cloud)间建立高速、稳定、安全的私网通信。高速通道的物理专线数据传输过程可信可控,避免网络质量不稳定问题,同时可避免数据在传输过程中被窃取。
组成部分:高速通道产品由物理专线连接和边界路由器组成。
物理专线连接
通过高速通道建立的一个本地IDC机房与阿里云接入点的专用网络连接,您可以通过独享专线或共享专线方式建立物理专线连接。
边界路由器
是本地CPE(Customer Premises Equipment)设备和阿里云接入点之间连接的一个路由器,作为数据在本地IDC和阿里云机房之间的转发桥梁。
边界路由器VBR
· 阿里云基于软件自定义网络SDN(Software Defined Network)架构下的三层Overlay技术和交换机虚拟化技术,将物理专线的接入端口隔离起来,并抽象成边界路由器VBR(Virtual border router)。
· VBR是CPE(Customer-premises equipment)设备和专有网络VPC(Virtual Private Cloud)之间的一个路由器,作为数据从VPC到本地数据中心IDC(Internet Data Center)的转发桥梁。
· 说明:VBR和VPC中的路由器类似,管理着一张路由表。通过在该路由表中配置路由条目,您可以管理VBR中的流量转发。
VBR提供以下功能:
√作为VPC和本地IDC的中间路由器,负责交换数据包。
√决定物理专线端口模式为三层路由接口或基于VLAN的三层子接口。。
√在三层子接口模式下,可以识别或附加VLAN(Virtual Local Area Network)标签。
√支持边界路由协议BGP(Border Gateway Protocol)。
边界路由器使用限制
不支持源地址策略路由。
每个VBR有且只有一张路由表。
VBR支持的BGP版本为BGP-4。
每个VBR下最多建立8个BGP邻居。
每个BGP邻居的动态路由条数上限为110条。超过上限的路由将被丢弃,无法接收。
通过BGP协议连接VPC时,您需要为阿里云侧分配独立的AS号,不能和云平台内部交换机的AS号重复。
全球加速GA(Global Accelerator)是一款覆盖全球的网络加速服务:
依托BGP带宽和全球传输网络
实现全球网络就近接入和跨地域部署
减少延迟、抖动、丢包
高质量:大幅提升全球公网服务访问体验,减少延迟、丢包等网络传输问题
高可用:通过监测应用程序运行状态,自动调度用户流量,保证服务连续性
高安全:可设置访问控制策略;可搭配阿里云安全服务,免受攻击
易部署:即开即用、全局资源统一监控运维,业务部署更敏捷
全球加速实例分为标准型和基础型
标准型:
■ 主要用于四层(TCP和UDP协议)和七层(HTTP和HTTPS协议)网络加速
■ 支持弹性公网IP和任播弹性公网IP两种类型的加速IP
■ 客户端流量通过加速IP或CNAME,就近接入加速网络
■ 智能选择路由自动完成网络调度
■ 终端节点支持:ECS/CLB/ALB/OSS/阿里云公网IP、自定义源站IP或域名
基础型:
■ 主要用于三层(IP协议)网络加速
■ 默认分配一个EIP类型的加速IP
■ 客户端流量通过加速IP接入阿里云
■ 终端节点支持专有网络类型的CLB和辅助网卡类型的弹性网卡ENI
云服务器ECS(Elastic Compute Service)
云服务器ECS实例等同于一台虚拟服务器,内含CPU、内存、操作系统、网络配置、磁盘等基础的组件。
性能卓越
稳定可靠
弹性扩展
laaS (Infrastructure as a Service)级别云计算服务
与普通的IDC机房或服务器厂商相比,阿里云提供的云服务器ECS具有高可用性、安全性和弹性的优势。
云服务器ECS与普通IDC的优势对比如下表:
BGP机房优势
((1)服务器只需要设置一个IP地址,最佳访问路由是由网络上的骨干路由器根据路由跳数与其它技术指标来确定的,不会占用服务器的任何系统资源。服务器的上行路由与下行路由都能选择最优的路径,所以能真正实现高速的单IP高速访问。
√(2)由于BGP协议本身具有冗余备份、消除环路的特点,所以当IDC服务商有多条BGP互联线路时可以实现路由的相互备份,在一条线路出现故障时路由会自动切换到其它线路。
√(3)使用BGP协议还可以使网络具有很强的扩展性可以将IDC网络与其他运营商互联,轻松实现单IP多线路,做到所有互联运营商的用户访问都很快。
私有IP地址
根据实例所属的专有网络VPC和虚拟交换机网段,专有网络VPC类型ECS实例一经创建即被分配一个私有IP地址。
私有IP地址可以用于以下场景:
负载均衡。
同一局域网内ECS实例之间内网互访。
· 同一局域网内ECS实例与其他云服务(如OSS、RDS)之间内网互访。
· 您可以根据业务需要,在ECS管理控制台上修改私有IP地址。
公网IP地址
专有网络VPC类型的ECS实例支持两种公网IP地址:
··ECS系统分配的公网IP地址(PubliclP)。
·弹性公网iP(EIP)地址。
专有网络IP
经典网络IP
内网IP地址
每台经典网络类型ECS实例一定会被分配一个IP地址用于内网通信,这个IP地址被称为内网
IP地址。
(经典网络内网IP地址不支持组播和广播。)
公网IP地址如果您购买了公网带宽,即公网带宽不为0 Mbit/s,阿里云会为您的经典网络类型实例分配
一个公网IP地址。
经典网络IP由阿里云统一分配
ECS实例内网通信
默认安全组规则的效果如下:
规则优先级:100。
针对TCP协议允许所有IP访问SSH(22)、RDP(3389)端口。
针对ICMP(IPv4)协议允许所有IP访问所有端口。
如果选中HTTP 80端口和HTTPS 443端口,还会针对TCP协议允许
所有IP访问HTTP(80)、HTTPS(443)端口。
故障排查
Linux远程失败一般检查流程:
检查本地网络对外连接是否异常;
如果在本地无法telnet到云服务器ECS实例的ssh远程端口,可以通过管理控制台的远
程终端登陆到云服务器ECS实例后,查看一下服务器上的ssh服务是否正常启动
检查本地客户端的防火墙是否有拦截
查看一下云服务器ECS实例上是否有运行NetworkManager的服务,使用Service
NetworkManager Status查看一下服务状态
块存储
使用时文件系统在客户端
■ 优点:读写速度快
■ 缺点:可扩展性差,不易于共享
文件存储
存储端前面多了一个文件系统,来访者通过文件系统的调度来对数据的访问
■ 优点:易于共享
■ 缺点:读写速度慢
对象存储
一种较新的存储类型,采用二层结构
■ 优点:读写速度快,易于共享,扩展性强
■缺点:同步效率低,不适合数据库
文件存储
不同件系统适用的业务场景
通用型NAS:Linux/Windows企业应用、容器PersistentVolume(PV)、Web内
容管理、数据库备份、日志存储、基因计算、Windows用户目录、Linux home
目录等通用类文件共享业务。
,极速型NAS:Linux时延敏感型企业应用,CI/CD开发测试环境、高性能Web服务、在线教育服务、在线游戏服务、数据库等。
文件存储CPFS:HPC高性能计算、AI训练、自动驾驶、基因计算、影视渲染、
EDA仿真、油气勘探、气象分析等高吞吐、高IOPS、海量文件的IO密集型业务。
不同存储类型的文件系统不能相互转换
阿里云对象存储OSS(Object Storage Service)是一款海量、安全、低成本、高可靠
的云存储服务,可提供99.9999999999%(12个9)的数据持久性,99.995%的数据可
用性。多种存储类型供选择,全面优化存储成本。
OSS工作原理
数据以对象(Object)的形式存储在OSS的存储空间(Bucket)中。如果要使用OSS存储数据,您需要先创建Bucket,并指定Bucket的地域、访问权限、存储类型等属性。创建Bucket,您可以将数据以Object的形式上传到Bucket,并指定Object的文件名(Key)作为其唯一标识。
OSS以HTTP RESTful API的形式对外提供服务,访问不同地域需要不同的访问域名(Endpoint)。
当您请求访问OSS时,OSS通过使用访问密钥(AccessKey ID和AccessKey Secret)对称加密的方法来验证某个请求的发送者身份。
Object操作在OSS上具有原子性和强一致性。
存储空间存储空间是用户用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间。存储空间具有各种配置属性,包括地域、访问权限、存储类型等。用户可以根据实际需求,创建不同类型的存储空间来存储不同的数据。
对象
对象是OSS存储数据的基本单元,也被称为OSS的文件。和传统的文件系统不同,对象没有文件目录层级结构的关系。对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成,并且由存储空间内部唯一的Key来标识。对象元信息是一组键值对,表示了对象的一些属性,比如最后修改时间、大小等信息,同时用户也可以在元信息中存储一些自定义的信息。
对象名称
在各语言SDK中,ObjectKey、Key以及ObjectName是同一概念,均表示对Object执行相关操作时需要填写的Object名称。
访问域名
Endpoint表示OSS对外服务的访问域名。OSS以HTTP RESTful API的形式对外提供服务,当访问不同的Region的时候,需要不同的域名。通过内网和外网访问同一个Region所需要的Endpoint也是不同的。例如杭州Region的外网Endpoint是oss-cn-hangzhou.aliyuncs.com,内网Endpoint是oss-cn-hangzhou-internal.aliyuncs.com。
访问密钥
AccessKey简称AK,指的是访问身份验证中用到的AccessKey ID和AccessKey Secret。OSS通过使用AccessKey ID和AccessKey Secret对称加密的方法来验证某个请求的发送者身份。
AccessKey ID用于标识用户;AccessKey Secret是用户用于加密签名字符串和OSS用来验证签名字符串的密钥,必须保密。
地域
Region表示OSS的数据中心所在物理位置。用户可以根据费用、请求来源等选择合适的地域创
建Bucket。一般来说,距离用户更近的Region访问速度更快。
强一致性
· Object操作在OSS上具有原子性,操作要么成功要么失败,不会存在有中间状态的Object。
OSS保证用户一旦上传完成之后读到的Object是完整的,OSS不会返回给用户一个部分上传成功的Object。
· Object操作在OSS同样具有强一致性,用户一旦收到了一个上传(PUT)成功的响应,该上
传的Object就已经立即可读,且数据已经冗余写入到多个设备中。不存在上传的中间状态,即不会出现read-after-write却无法读取到数据的情况。删除操作也类似,即用户成功删除指定的Object后,该Object立即变为不存在。
数据冗余机制
· OSS使用基于纠删码、多副本的数据冗余存储机制,将每个对象的不同冗余存储在同一个区域内多个设施的多个设备上,确保硬件失效时的数据持久性和可用性。
· OSS Object操作具有强一致性,用户一旦收到了上传或复制成功的响应,则该上传的Object就已经立即可读,且数据已经冗余写入到多个设备中。
· OSS会通过计算网络流量包的校验和,验证数据包在客户端和服务端之间传输中是否出错,保证数据完整传输。
· OSS的冗余存储机制,可支持两个存储设施并发损坏时,仍维持数据不丢失。
· 当数据存入OSS后,OSS会检测和修复丢失的冗余,确保数据持久性和可用性。
· OSS会周期性地通过校验等方式验证数据的完整性,及时发现因硬件失效等原因造成的数据损坏。当检测到数据有部分损坏或丢失时,OSS会利用冗余的数据,进行重建并修复损坏数据。
存储类型转换
OSS支持标准存储、低频访问、归档存储、冷归档存储四种存储类型,您可以通过生命周期规则或
者CopyObject的方式随时转换文件(Object)的存储类型。
通过生命周期规则自动转换Object的存储类型
OSS生命周期管理(Lifecycle)提供Object Transition机制,支持自动转换文件存储类型。
存储类型转换
基于最后一次修改时间的存储类型转换
本地冗余类型文件转换规则如下:
· 标准存储(LRS)类型可转换为低频访问(LRS)、归档存储(LRS)和冷归档存储(LRS)类型。
· 低频访问(LRS)类型可转换为归档存储(LRS)和冷归档存储(LRS)类型。
· 归档存储(LRS)类型可转换为冷归档存储(LRS)类型。
当Bucket同时配置了转换为低频访问、转换为归档存储、转换为
冷归档存储的策略,其转换周期必须满足以下条件:
转换为低频访问的周期<转换为归档的周期<转换为冷归档的周期
存储类型转换
基于最后一次访问时间的存储类型转换
以上规则适用于LRS类型Object之间、ZRS类型Object之间的转换。
· 基于最后一次访问时间的生命周期规则支持将Object从标准存储类型转为低频访问类型,您还可以选择当Object被访问后是否自动转回标准存储类型。
· 基于最后一次访问时间的生命周期规则支持将Object从标准存储或低频访问类型转为归档或冷归档存储类型,也可以选择将Object从归档转为冷归档存储类型。如果您需要将Object转换为归档或冷归档存储类型,请提交工单申请转换为归档或冷归档类型的权限,申请通过后您需要指定转换的目标存储类型。
通过生命周期规则转换存储类型操作方式
您可以通过多种方式设置生命周期规则。生命周期规则可用于将多个Object在指
定时间内转储为指定存储类型,或者将过期的Object和碎片删除。
通过CopyObject接口手动转换Object的存储类型您可以通过CopyObject接口,将Object覆写为指定的存储类型。
· 如果将Object修改为低频访问、归档存储、冷归档存储类型,Object会涉及最小计量空间64KB、最短存储周期、数据取回费用等。
· 归档存储和冷归档存储类型的Object需要解冻后才可以修改存储类型。
最短存储周期低频访问类型的Object需要至少保存30天;归档存储类型的Object需至少保存60天;冷归档存储类型的Object需至少保存180天。如果存储未满指定周期,会收取存储不足规定时长容量费用。
· 通过生命周期自动转换Object存储类型
通过生命周期转换Object存储类型时,不会重新计算Object的存储时间。例如a.txt作为标准存储类型已经在OSS中存储了10天,通过生命周期转换为低频访问类型,继续存储20天即满足最少存储30天的要求。
· 通过CopyObject手动转换Object存储类型
通过CopyObject手动转换Object存储类型时,会重新计算Object的存储时间。例如a.txt作为标准存储类型已经在OSS中存储了10天,手动将Object转换为低频访问类型,则需继续存储30天才满足最少存储30天的要求。
存储空间
在上传数据(例如文档、图片、音视频等)到OSS之前,您需要在OSS所支持的地域中创建一个存储空间(Bucket),然后将无限数量的对象(Object)上传到该Bucket中。
存储空间特性:
1、内部是扁平的,没有文件系统的目录等概念。
2、Bucket的名称在OSS范围内全局唯一,创建后不可修改,命名规则和域名类似
· 只能包括小写字母、数字和短划线(-)
· 必须以小写字母或者数字开头和结尾
· 长度为3~63个字符
3、没有空间限制的概念,自动扩容
通过云存储网关挂载OSS
OSS的存储空间(Bucket)内部是扁平的,没有文件系统的文件夹等概念。若您希望像使用本地文件夹和磁盘那样使用OSS,您可以通过云存储网关将OSS的Bucket作为文件系统挂载至ECS实例中使用。
前提条件
· 已开通云存储网关服务,并授予访问OSS、ECS及VPC的权限。
· 已创建与目标Bucket同地域的专有网络VPC和交换机。
· 已创建与OSS同地域的ECS实例。
云存储网关:
· 文件网关将OSS Bucket的对象结构与NAS文件系统的目录/文件建立映射关系。
· 块网关在OSS中创建存储卷,提供Internet小型计算机系统接口(iSCSI)协议访问。
使用限制
同一阿里云账号在同一地域内创建的存储空间总数不能超过100个。
存储空间名称在OSS范围内必须全局唯一。
存储空间创建后,其名称、所处地域、存储类型、冗余类型不支持修改。
单个存储空间的容量不限制。
对象特性:
文件上传完毕后不支持修改【可以覆盖】
和传统的文件系统不同,对象没有文件目录层级结构的关系,文件名称可以有/,看起来像有目录。
命名规则:使用UTF-8编码;长度必须在1~1023字符之间;不能以正斜线(/)或者反斜线()开头。
单个文件最大支持48.8T
与传统文件系统中的层级结构不同,OSS内部使用扁平结构存储数据。即所有数据均以对象(Object)的形式保存在存储空间(Bucket)中。为方便您对Object进行分组并简化权限管理,您可以创建目录,然后将目标文件存放至指定目录。-OSS将以正斜线(/)结尾的Object视为目录。
鉴权
默认情况下,为保证存储在OSS中数据的安全性,OSS资源(包括Bucket和Object)默认为私有权限,只有资源拥有者或者被授权的用户允许访问。如果要授权他人访问或使用自己的OSS资源,可以通过多种权限控制策略向他人授予资源的特定权限。仅当所有的权限策略通过OSS鉴权后允许访问授权资源。
请求类型
非匿名请求
在请求头部或者在请求URL中携带和身份相关的签名信息。收到用户非匿名请求时,OSS会通过身份验证、基于角色的会话策略、基于身份的策略(RAM Policy)、Bucket Policy、Object ACL、Bucket ACL等鉴权结果来判断是允许或拒绝该请求。
匿名请求
在请求头部或者在请求URL中没有携带任何和身份相关的信息。收到用户匿名请求时,OSS会跳过身份验证、基干角色的会话策略、RAM Policy等鉴权步骤,只对Bucket Policy、Object ACL以及Bucket ACL进行鉴权。
读写权限
也叫做读写权限ACL,Bucket和Object访问权限的访问策略。可以在创建存储空间(Bucket)或上传文件(Object)时配置ACL,也可以在创建Bucket或上传Object后的任意时间内修改ACL。
Object优先级更高,Object如果没有单独设置读写权限,继承Bucket的。三种读写权限:
public-read-write,公共读写
· public-read,公共读,私有写
· private,私有读写
出于安全考虑,目前控制台针对私有bucket的获取URL链接签名操作做了优化,使用的AccessKey是临时生成的密钥对,主账号用户最长有效时间是64800秒(18小时),RAM子账号用户以及sts用户最长有效时间是3600秒(1小时),超时人
就无法访问了。
使用STS临时访问凭证访问OSS您可以通过STS服务给其他用户颁发一个临时访问凭证。该用户可使用临时访问凭证在规定时间内访问您的OSS资源。临时访问凭证无需透露您的长期密钥,使您的OSS资源访问更加安全。
应用场景
假设您是一个移动App开发者,希望使用阿里云OSS服务来保存App的终端用户数据,并且要保证每个App用户之间的数据隔离。此时,您可以使用STS授权用户直接访问OSS。
防盗链
OSS支持对存储空间(Bucket)设置防盗链,即通过对访问来源设置白名单的机制,避免资源被其他人盗用。
实现原理:
设置HTTP请求头Referer白名单以及是否允许空Referer,限制仅白名单中的域名可以访问您Bucket内的资源。
校验规则:
仅当通过签名URL或者匿名访问Object时,进行防盗链验证
请求的Header中包含Authorization字段,不进行防盗链验证
防盗链匹配原则
· 如果Referer白名单为空,则所有的请求都会被允许。
· 如果Referer白名单不为空,且不允许空Referer,则只有Referer属于白名单的请求被允许,其他请求(包括Referer为空的请求)会被拒绝。
· 如果Referer白名单不为空,但允许空Referer,则Referer为空的请求和符合白名单的请求会被允许,其他请求都会被拒绝。
匹配方式:
支持通配符匹配,通配符星号(*)表示使用星号代替0个或多个字符,通配符问号(?)表示使用问号代替一个字符。