ACA认证课程-负载均衡SLB与云上安全

ACA认证课程-云服务器ECS

ACA认证课程-云数据库RDS与云存储OSS

六、负载均衡SLB

1. 概述

负载均衡（Server Load Balancer）：对多台云服务器进行流量分发的服务。

负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。

功能特点：

- 通过流量分发扩展应用系统对外的服务能力
- 通过消除单点故障提升应用系统的可用性
- 通过设置虚拟IP，将位于同一Region的多台ECS资源虚拟成一个高性能、高可用的应用服务池
- 根据应用指定的方式，将来自客户端的网络请求分发到云服务器池中
- 具备TCP与HTTP抗DDoS攻击的特性，增强了应用服务器的防护能力。
- 是ECS面向多机方案的一个配套服务，需要同ESC结合使用。

- 提供4层（TCP/UDP协议）和7层（HTTP/HTTPs协议）的负载均衡服务
- 检查云服务器池中ECS的健康状态，自动隔离异常状态的ECS，从而解决单台ECS的单点问题，提高应用的整体服务能力
- 提供会话保持功能，在Session的生命周期内，可以将同一客户端请求转发到同一台后端ECS上
- 支持加权轮询（WRR），加权最小连接数（WLC）转发方式，后端ECS权重越高被分发的几率也越大

2. 概念介绍

• 一个负载均衡实例是一个运行的负载均衡服务，用来接收流量并将其分配给后端服务器。要使用负载均衡服务，您必须创建一个负载均衡实例，并至少添加一个监听和两台ECS实例。
• 监听用来检查客户端请求并将请求转发给后端服务器。监听也会对后端服务器进行健康检查。
• 一组接收前端请求的ECS实例。可以单独添加ECS实例到服务器池，也可以通过虚拟服务器组或主备服务器组来批量添加和管理。

3. 主要操作

4. 使用中的主要问题

【在线实验7】负载均衡使用

（1）分别访问两台云服务器


部署的网站内容相同，只是显示的后端服务器IP不同。

说明：在真实场景下，负载均衡后端的服务器中部署的应用都是一致的。

（2）部署负载均衡后端服务器

按以下方法配置监听规则的基本信息





（3）验证负载均衡工作原理

（3.1）负载均衡会将用户的请求发送到后端不同的服务器进行处理：

​ 在浏览器访问 负载均衡的服务地址。界面显示的 后端服务器IP为 云服务器ECS-1（或 云服务器ECS-2） 的 内网地址。 刷新浏览页面，显示的 后端服务器IP将发生变化，变为 云服务器ECS-2（或 云服务器ECS-1）的 内网地址。

（3.2）验证通过配置不同后端服务器权重，将用户的请求按比例分发到不同后端服务器

浏览器中，刷新多次 负载均衡 服务地址 的页面，并记录页面显示的 后端服务器IP 。可以发现：每4次刷新，将有3次访问 权重 为 90 的ECS实例，1次访问权重为 30 的ECS实例。

用户可以根据实际情况调整负载均衡器的请求分发，一般将配置高的服务器设置的权重调高，配置较低的服务器设置的权重调低。这样可以避免在高并发时，配置较低的服务器因为压力较大服务异常的发生。

（3.3）验证在一台后端服务器开启会话请求时，请求在会话开启的时间内只会分发到这一台服务器。

再次在浏览器中输入 负载均衡 的 IP地址 ，多次刷新，发现在会话保持的超时时间内请求只会分发到某一台ECS上（究竟是哪一台ECS没有规定），时间超出后，重新按照权重比例分发。

（4）验证负载均衡的健康检查

开启健康检查后，模拟服务器出现故障，关闭某一台服务器，观察负载均衡请求分发情况。

刷新浏览器中 负载均衡 的 IP地址 ，此时，请求发送到 健康检查状态 为 正常 的ECS上。

当某一台ECS出现异常后，负载均衡会自动将请求发送到健康检查状态正常的ECS上。

【在线实验8】高并发访问时流量分发和会话保持的实现

（1）配置负载均衡

本次实验不会对ECS进行健康检查，因此，在 健康检查配置 页面中，修改 是否开启健康检查 为 关闭 。

其他配置同实验7

在会话保持尚未开启时，负载均衡对后端服务器进行轮询访问。

（2）开启会话保持功能

负载均衡服务的会话保持功能已开启，该用户发送的所有请求均发送到负载均衡后端的某一台ECS服务器上。

七、云上安全防护

1. 互联网常见威胁

- DDoS攻击，大流量攻击
- 口令暴力破解，以SSH，RDP协议为主1每周数百万次攻击
- Web应用攻击，以SQL注入攻击为主

2. 阿里云安全体系及云盾概览

3. 云盾的基础DDos防护及高防IP

3.1 DDoS（Distributed Denial of Service）即分布式拒绝服务攻击。

​ 攻击主要目的是让指定目标无法提供正常服务，是最强大、最难防御的攻击之一。

​ 近年出现的DRDos（分布式反射攻击）让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁。

4. 应用防火墙和安骑士

Web应用防火墙（Web Application Firewall，简称WAF）

阿里云云盾Web应用防火墙：基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全

通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击；过滤海量恶意CC攻击；禁止恶意的接口滥刷，数据爬取；

避免网站资产数据泄露，保障网站的安全与可用性。

阿里云云盾-安骑士

是云盾安全防护体系中的主机安全防护模块

基于云端联动防御，可以为云服务器提供防黑客入侵的服务主要防护功能：
木马查杀
防密码暴力破解
异地登录提醒
漏洞检测修复

5. 云监控功能概览

云监控（CloudMonitor）：一项针对阿里云资源和互联网应用进行监控的服务。

可用于收集获取阿里云资源的监控指标，探测互联网服务可用性，以及针对指标设置警报。
能够监控云服务器ECS、云数据库RDS和负载均衡等各种阿里云服务资源
同时也能够通过HTTPICMP等通用网络协议监控互联网应用的可用性。

【在线实验9】安骑士初体验

使用攻击者服务器 hacker-server异地登录 站点服务器。

远程登录ECS服务器 hacker-server ，（ IP地址 和 用户名/密码 可以在实验资源列表中找到），登录成功后，在该终端SSH登录 站点服务器，使用 实验资源 提供的站点服务器的 弹性IP地址，用户 和 密码 远程登录ECS。

【在线实验10】云监控初体验

更多详情请参考 阿里云高校计划