第 5 章：掌握负载均衡 SLB

课时 25：SLB 产品概要

负载均衡 SLB

负载均衡（Server Load Balancer，简称 SLB）是将访问流量根据转发策略分发到后端多台云服务器（ECS 实例）的流量分发控制服务。

SLB 可以做什么？

1. 负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用的可用性。
2. 负载均衡通过设置虚拟服务地址（IP），将添加的同一地域（Region）的多台 ECS 实例虚拟成一个高性能、高可用的后端服务池，并根据转发规则，将来自客户端的请求分发给后端服务器池中的 ECS 实例。
3. 负载均衡默认检查云服务器池中的 ECS 实例的健康状态，自动隔离异常状态的 ECS 实例，消除了单台 ECS 实例的单点故障，提高了应用的整体服务能力。此外，负载均衡还具备抗 DDoS 攻击的能力，增强了应用服务的防护能力。
4. 在标准的均衡负载功能之外 SLB 服务还具备 TCP 和 HTTP 抗 DDoS 攻击的特性，增强了应用服务器的防护能力。
5. SLB 服务是 ECS 面向多极方案的一个配套服务，需要同 ECS 结合使用。

课时 26：SLB 简介

组成部分

负载均衡由以下三个部分组成：

• 负载均衡实例（Server Load Balancer instances）

  • 一个负载均衡实例是一个运行的负载均衡服务，用来接收流量并将其分配给后端服务器。要使用负载均衡服务，您必须创建一个负载均衡实例，并至少添加一个监听和两台 ECS 实例。

• 监听（Listeners）

  • 监听用来检查客户端请求并将请求转发给后端服务器。监听也会对后端服务器进行健康检查。

• 后端服务器（Backend Servers）

  • 一组接收前端请求的 ECS 实例。您可以单独添加 ECS 实例到后端服务器池，也可以通过虚拟服务器组或主备服务器组来批量添加和管理。

基本概念

主要功能

课时 27：SLB 主要操作

负载均衡开通➡服务监听配置➡后端服务器配置➡负载均衡监控
相关操作在实验中实操。

课时 28：SLB 相关问题

当前支持的协议？

• 4 层（TCP、UDP）、7 层（HTTP、HTTPs）；

SLB 服务本身解决了后端 ECS 服务的灾备问题，但如何避免 SLB 服务本身故障导致的单点问题？关于 SLB 的灾备，有什么好的建议？

• SLB 实例后端的 ECS 可以是 不同 Zone下的机器。从而提高本地可用性。
• 在同一地域（Region）创建 多个 SLB实例，通过 DNS 轮询的方式对外提供服务，从而提高 本地可用性。
• 在不同地域（Region）创建 多个 SLB实例，通过 DNS 轮询的方式对外提供服务，从而提高 跨地域的可用性。

SLB 最多支持对几台 ECS 进行负载均衡服务？

• 我们 不会限制 用户在 SLB 实例后配置的 ECS 数量但是，为了保证您对外服务的稳定与高效，我们建议您可以根据业务分类或应用服务的模块划分来将提供不同服务或执行不同任务的应用服务器配置在不同的 SLB 实例后。

不同操作系统的 ECS 可以同时做 SLB 服务吗？

• 可以。SLB 本身不会限制后端的 ECS 使用哪种操作系统，只要您的 2 台 ECS 中的应用服务部署是相同且保证数据的一致性即可。但是，我们建议您选择 2 台相同操作系统的 ECS 进行配置，以便您日后的管理维护。

如何确保 SLB 后端的多台 ECS 之间的数据同步呢？

• 目前，有很多类似的工具可以实现服务器之间的数据同步，比如: rsync。具体使用及选择，还请通过其他途径获得更多的介绍资料及指导信息。
• 您也可以将您的 ECS 配置成无状态的应用服务器，而数据和文件统一存放在 RDS 和OSS服务上。

我有 2 台 ECS，分别创建在杭州和青岛，为什么无法把他们添加到一个 SLB 实例后面？

• SLB 不支持跨地域 （Region）部署，一个 SLB 实例后端的多台 ECS 必须处于同一地域（Region）才可以配置

课时 29：【在线实验】负载均衡使用初体验

课时 30：【在线实验】高并发访问时流量分发和会话保持的实现

第 6 章：云上安全防护

课时 31：互联网常见形式及安全威胁

安全形势

常见威胁

课时 32：阿里云安全体系

课时 33：云盾的基础 DDOS 防护

安全相关的概念

DDoS 攻击

基础 DDoS 防护的实现流程

基础 DDoS 防护的主要功能

高防 IP

高防 IP 接入流程

课时 34：应用防火墙和安骑士

阿里云云盾 WAF

云盾 WAF 的发展历程

云盾 WAF 的应用场景

云盾 WAF 的工作原理

阿里云云盾 - 安骑士

安骑士的工作方式

安装安骑士

课时 35：云监控功能

阿里云 - 云监控

云监控功能预览

云监控 CMS 的应用场景

课时 36：云安全功能操作演示

具体操作在实验中实践。

课时 37：【在线实验】安骑士初体验

越来越多的企业开始使用阿里云的各种服务，比如 ECS，RDS，负载均衡等等。随之而来的是用户最关心的安全问题：比如，因为用户使用通用软件的漏洞而被黑客入侵；Web 服务器（内部/外部）被黑客入侵窃取网站的核心数据等。

因此，阿里云推出云盾服务。云盾是阿里巴巴集团多年来安全技术研究积累的成果，它结合阿里云云计算平台强大的数据分析能力，为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防 DDoS 等一站式安全服务。阿里云对于安全方面，可谓“十年攻防，一朝成盾”：

服务器安全 (安骑士) 是云盾的一款服务器安全运维管理产品。通过安装在服务器上的轻量级 Agent 插件与云端防护中心的规则联动，实时感知和防御入侵事件，从而保障服务器的安全。

服务器安全（安骑士）的架构图，如下图：

阿里云平台默认为用户开通安骑士的 基础版 ，若用户希望可以通过安骑士深度维护云服务器，可以购买 专业版 ， 增强版 或企业版 。不同版本提供不同的服务。

安骑士主要提供五大服务：

• 木马查杀：服务器安全(安骑士)Agent 将自动识别服务器的 Web 目录，对服务器的 Web 目录进行后门文件扫描，每天凌晨将会对 Web 目录进行一次扫描，同时若 Web 目录文件发生变化也会触发单次单文件扫描。
• 补丁管理：支持通用 Web 软件漏洞扫描和 Windows 系统漏洞扫描，当前扫描周期为 1 天。不仅如此，当前漏洞补丁均为云盾自研补丁，快于官方补丁推出。用户可以通过控制台的 一键修复 功能，实现漏洞批量修复和回滚。
• 安全巡检：支持 手动巡检 和周期巡检 两种方式。手动巡检 主要对服务器常见系统配置缺陷进行检测，包括对可疑系统账户、弱口令、注册表等进行检测。用户也可设置周期检测时间定期对自己的服务器进行安全体检。
• 主机防火墙：支持 TCP，UDP 和 HTTP 三种协议的自定义访问控制；共享云盾恶意 IP 库，直接将恶意 IP 进行拦截；支持 Web 攻击拦截策略自定义；不但可以记录 4 层和 7 层策略的命中情况，而且允许近 1 个月的记录查看和数据导出。
• 安全运维：支持 Shell 命令（Linux）、BAT 命令（Windows），非交互式命令；支持在服务器安全 (安骑士) 控制台一键下发脚本命令，支持运行账户切换、权限切换；支持对运行结果在线查看和导出结果查看。

课时 38：【在线实验】云监控初体验

云监控（CloudMonitor）作为云服务的监控管理入口，能让用户快速了解各产品实例的状态和性能。云监控从站点监控、云服务监控、自定义监控三个方面来为用户提供服务。通过云监控管理控制台，用户可以看到当前服务的监控项数据图表，清晰了解服务运行情况。并通过设置报警规则，管理监控项状态，及时获取异常信息。云监控目前免费限量为用户提供监控服务。

云监控为用户提供了非常丰富的使用场景：

• 云服务监控：用户购买和使用云监控支持的阿里云服务后，可监控多种阿里云云服务的各项基础指标，比如：ECS 的 CPU 使用率、内存使用率、公网流出流速 (带宽) 等。确保实例的正常使用，避免因为对资源的过度使用造成用户业务无法正常运转。云监控会根据用户设置的报警规则，在监控数据达到报警阈值时，发送报警信息。用户可以及时获取异常通知，并查询服务异常的原因。

  • 目前，云服务监控对用户开放的产品包括云服务器 ECS、云数据库 RDS、负载均衡、云数据库 Memcache 版、对象存储 OSS、CDN、弹性公网 IP、云数据库 Redis 版、消息服务、日志服务等，其它云产品的监控会陆续加入进来。

• 站点监控：支持提供多种协议的监控设置，可探测您站点的可用性、响应时间、丢包率。让用户全面了解站点的可用性，并在发生异常时，可以及时处理。

  • 站点监控目前支持 8 种协议的探测，探测点包括：杭州、青岛、北京，探测频率支持：1 分钟、5 分钟、15 分钟。
• 自定义监控：补充“云服务监控”的不足，如果云监控服务未能提供您需要的监控项，那么，用户可以创建新的监控项并采集监控数据上报到云监控，云监控会对新的监控项提供“监控图表”展示和“报警”功能。

本实验主要介绍如何使用云服务监控，以及使用“站点监控”对用户自建的网站进行监控。通过设置报警规则，用户可以及时发现站点的异常情况，并做出及时的处理。