阿里云-ECS-2

磁盘：

1.普通云盘  2.高效云盘  3.SSD（Solid State Disk：固态硬盘）云盘  4.本地SSD盘

 

ECS云盘：

解决了单点故障问题

 

磁盘选择：

 

对于单独购买的云磁盘：

可以挂载到同一Zone内的任何实例上；但不能跨可用区挂载。

但在同一时间，只能挂载在一个实例上；可设置是否随实例一起释放

只支持按量付费，每个小时收取上一小时产生的费用

 

快照

ECS快照功能：

ECS快照是磁盘数据在某一个时间点的拷贝，ECS快照存放在OSS（Object Storage Service，对象存储服务）上

 

快照用途：

1.最常见的用途是备份数据，当应用程序或人为误删除一些数据时，可以通过快照找回（可用快照回滚）

2.通过系统盘（存操作系统的盘）快照可以创建出自定义镜像，批量复制出与目前系统完全一样的云服务器实例

3.通过数据盘快照，可以复制出与目前磁盘数据一样的新磁盘

 

自动快照：

-用户可以通过控制台和API设置自动快照的策略，默认采取3+1策略，即自动为用户保留过去三天+上个周日的快照

-用户可以设置创建自动快照的时间段，与自己的应用高峰错开（创建快照时磁盘的IO性能会降低）

 

快照业务策略：

-ECS的快照，目前免费使用策略

-每位用户最多可以创建快照数量为 6*磁盘数+6

-未来，快照将根据所占用的空间大小收费

2017年7月3日起正式收费

 

ECS快照机制：

增量快照，只有两个快照之间的变化的数据块，才会被拷贝备份出来

ECS镜像

ECS镜像是ECS实例可选择的运行环境模板，包括操作系统和预置的软件和配置。

目前，镜像的本质是一个系统盘的快照。在未来，镜像将会把数据盘也涵盖在内，支持创建整机镜像。

 

ECS镜像类型及主要用途：

系统镜像：

特点：

-阿里云提高了Windows和Linux多个发行版的镜像，这些镜像的内容是为官方发行

-阿里云在所有的镜像里默认安装云盾的客户端，帮助客户应对暴力**、webshell入侵等

主要用途：用于生成只有操作系统的服务器

 

镜像市场：

特点：

-由第三方在阿里云的系统镜像基础上，额外安装了软件或增值服务，便于用户使用

-常见的类型有开发环境类镜像（PHP/Java等），主机面板类等

主要用途;帮助用户快速生成带有特定软件和服务的服务器，提高应用开发速度

 

自定义镜像：

特点：从一个实例的系统盘快照，可以创建自定义镜像

主要用途：

-但需要大规模复制同样的云服务器时，自定义镜像是必不可少的

-自定义镜像是可水平扩展的web层的自动伸缩服务的基础

 

ECS自定义镜像的使用范围

创建自定义镜像：

           通过为系统盘创建一个快照后，即可从这个快照生成一个可被整个Region使用的自定义镜像

 

自定义镜像使用注意事项：

1.数据盘mount：

-在linux下，可能已经在/etc/fstab文件中设置了数据盘自动mount，制作自定义镜像时，要去掉这个设置，否则将导致无法启动新实例（因为一个数据盘只能占一个实例）

2.密码：

-新的镜像的root密码是新分配的，而用户之前自己创建的用户信息，将在新实例中得以保留；在/etc/resolv.conf中用户增加的记录也将继续被保留

3.自动启动服务：

-为了自动扩展能力而创建的镜像，应当设置好启动时要自动启动的程序，如nginx/php-fpm等

 

ECS安全组

安全组可以对ECS实例进行分组，并定了一个或多个防火墙规则，规则包含容许访问的网络协议，端口，源IP等。这些规则对于加入了该安全组的所有实例都生效。每个实例至少要加一个安全组。

 

安全组的用途：

1.当需要对ECS进行分组，限制互相访问权限控制时需要使用安全组功能

2.通过安全组的控制权限，可以实现：

-允许或者限制特定的安全组或者特定的来源是否可以访问自己

-允许或者限制本安全组内的实例是否可以访问特定的资源

 

防火墙规则：

-典型的规则由source（ip range 或安全组），protocol，port，policy（accept/deny），network type(内网或公网)组成

举例说明：

 

安全组授权方式：

每个安全组可以用两种方式授权其他人访问自己：

1.指定源IP地址段（CIDR Block），如100.100.0.0/16，支持指定公网IP段

2.指定源安全组的ID，如容许sg-001安全组中的实例访问本安全组中的实例，这种方式只能用于内网自己授权

 

ECS安全组功能与系统默认安全组

不同用户网络隔离：

-每个用户拥有自己的安全组，不同用户名下的安全组之间是完全隔离的。因此，不同用户名下的实例，内网是完全隔离的（保证用户和系统的安全性）

系统默认安全组：

-系统默认为每个用户创建了一个默认安全组，这个安全组容许公网连接，因此当用户启动webserver，监听80端口时，无需修改安全规则即可使用

 

ECS安全组限制

安全组方向限制：

-安全组不仅内对入方向做防火墙规则，即将自己作为destination，也支持出方向的安全组规则，即将自己作为source。

 

安全组限制：

-每个用户最多100个安全组，每个安全组最多1000个实例，每个实例最多加入5个安全组，每个安全组最多100条规则