阿里云ACE简答题（收藏版）

由于之前考试码过期，所以没有能考试成功，但是这里奉上简答题，供大家参考和学习，除了考试之外，也对云架构的方面有所帮助。 

整理by Moshow郑锴的博客_CSDN博客-SpringBoot2启示录,Spring,杂谈领域博主

1. 某企业的DNS服务器计划迁移到阿里云上,做域名的权威解析,想使用阿里云的SLB作负载均衡保证高可用,需要SLB同时代理UDP和TCP的53端口,但是SLB目前不支持同时代理两种协议,请使用阿里云的云服务设计一套解决方案解决这个问题

2. 在线论坛:整体架构是: 一组7层负载均衡集群中的一个VIP(220.223.8.10,对应域名:shishijiaoyi.com)下挂了50台Web服务器,web服务器对接(一组8台的redis服务器+一台mysql数据库)。现在,公司业务要求,运维团队需要进行同城容灾和异地容灾方案评估,请拿出一份可行性方案出来供财务部门、技术部门、开发部门进行选择。(请列出重要评估点,具体方案,取舍依据)

 

 

3.

 

答案：游戏盾+云安全中心+漏洞扫描

 

4.某公司只有内网,没有公网出口也不可能开通公网访问,内网IP段为192.168.0.0/16,现在公司想通过购买阿里云主机提供对外的页面或者其他服务,但是所有后端数据必须放在公司内网中。请结合阿里云相关产品,设计一套方案来满足上述需求,要求阐述网络架构方案、数据流向、DNS等解决方案。

答案：使用VPC及专线将该公司与阿里云打通,后端数据及数据库服务在该公司内,前端数据存储于阿里云,外部访问通过阿里云ECS对外提供服务,数据流向为用户-阿里云-专线-该公司。

 

5. 一个电商公司需要搭建一个官网,并且要实现网站数据与图片分离存储,同时满足高的并发访问,实现对外提供不间断服务,请阿里云资深架构师进行设计并详细阐述

 

1)推荐采用动静分离架构, 在该架构中,OSS作为海量文件存储源,静态图片、视频文件、下载包、App更新包等均放在OSS,同时OSS作为CDN的源站,通过CDN加速分发,用户通过CDN节点就近获得文件。该架构优势十分明显:a)降低Web服务器负载,静态文件访问负载全部通过CDN;b)存储费用最低,OSS的存储费用仅为ECS磁盘费用的50%;c)海量存储空间,无需考虑存储架构升级;d)流量费用低,相比直接通过OSS访问,除极少额外增加的回源流量外,主要流量使用CDN流量,单价最低只需0.26GB,远远低于OSS直接访问的外网流量单价。2)高并发访问设计a)在ECS集群前放置SLB,对外发布VIP,所有的请求先转发到SLB,由SLB做流量分发,实现高并发b)SLB开启健康检查,实时检查后台ECS的健康状况,及时隔离故障点,保证服务请求的连续性

6.DNS迁移到阿里云

阿里云DNS服务云解析,是亚洲用户量最大的DNS服务提供商,多年以来,以面向企业客户提供最稳定的DNS服务而著称。 如果您的域名还没有使用阿里云DNS服务,可以按照以下步骤将DNS平滑的从其他服务商、自建DNS服务器迁移至阿里云,不会造成对业务访问连续性造成影响1)相关准备:a)如果只是DNS迁移到阿里云,不涉及相关服务器迁移,则不需要重新备案;b)如果您的阿里云账号没有进行实名制认证,请提前进行实名制认证;c)如果您的域名使用的DNS是其他第三方服务商,请联系服务商获取DNS记录;d)如果您的域名使用的DNS是由自己进行管理,请准备DNS数据文件;e)云解析中添加域名,不需费用支出;2)迁移步骤:a)步骤 一:添加需要迁移的域名;b)步骤 二:添加DNS资源记录;c)步骤 三:检查DNS记录生效状态;d)步骤 四:在域名注册商处更新DNS服务器;e)步骤 五:等待 48 小时,使新DNS服务全球生效;参考链接:https://developer.aliyun.com/article/622404

7.蓝绿发布的原理,如何保证不宕机;

解析:蓝绿发布是一种零宕机的应用更新策略,进行蓝绿发布时,应用的旧版本服务与新版本服务会同时并存,同一个应用不同版本的服务之间共享路由,通过调节路由权重的方式,可以实现不同版本之间的流量切换,验证无误后,可以通过发布确认的方式将应用的旧版本服务删除,如果验证不通过,则进行发布回滚,应用的新版本会进行删除;

8.对于典型web服务,通常有负载均衡、流量接入层、业务逻辑层、缓存、数据库、存储等组成,在迁移过程当中,一般采取什么样的迁移步骤,保证业务平滑迁移?

 

答案：1)为了保证业务不中断,首先在云上部署一套新的平台,接着把web应用部署到云端,再把数据库、存储迁移上云,云端web应用和原有系统同时运行,一方面保证业务的正常运行,一方面测试云端web应用。2)待云端业务运行稳定之后,再把原web应用测试期间的发生的数据变化同步到云端平台,保证云端平台业务环境和数据都是最新的。3)最后把域名解析到云端平台的负载均衡上,启用新平台,停用老平台。

9.阿里云视频监控OSS方案,可以给客户带来哪些价值,请认真阅读题目,给出至少4点业务价值,并详述理由(参考方案2);

答案：

a)视频监控随着时间推移占用非常大的存储空间,阿里云对象存储OSS,是阿里云提供的海量、安全、低成本、高可靠的云存储服务。可以满足视频监控存储空间;

b)视频监控对数据安全要求很高,数据不能丢失,每份文件都是三副本存放,数据稳定性可达11个9,OSS提供服务端加密和客户端加密两种方式,保证数据安全性;

c)视频监控产生的视频7天以内的会经常访问,超过60天的数据可能就不会访问,OSS提供标准、低频、归档三种存储类型,通过生命周期管理可以轻松的将标准转换为、低频或是归档。全面覆盖从热数据到冷数据的存储场景,节约存储数据成本4;

d)对象存储OSS提供图片处理服务,对存储在OSS上的图片进行格式转换,缩放,裁剪,旋转,添加水印等操作;可以结合内容分发CDN,将原厂资源缓存到各个区域的边缘节点,快速获取访问内容;

10.如果某用户的IDC在和阿里云VPC打通混和云时,用户的IDC存在公网私用的情况,例如:当某客户在阿里云向银行方向连接专线时,银行出于安全目的,会要求客户访问银行接口的数据包的源IP地址是银行指定的地址。且此类地址一般是公网私用。例如,客户的VPC地址是172.17.48.0/20,其中的一台ECS:172.17.60.221要访问银行侧的服务地址220.200.1.1,且银行要求访问此地址的源地址为119.100.100.0/28,该如何处理?(参考方案1)

 

答案：公网私用的应用场景可以用NAT网关来解决。1)创建一个NAT网关,并把公网地址119.100.100.0/28地址段绑定到NAT网关上。2)把VPC中的ECS 172.17.60.211 业务端口通过SNAT表映射到NAT网关上;3)ECS172.17.60.211访问银行侧业务通过NAT网关绑定的公网地址池119.100.100.0/28访问。

11.某企业的DNS服务器迁移到阿里云上,做域名的权威解析,想使用阿里云的SLB做负载 均衡保证高可用,需要SLB同时代理UDP和TCP的53端口,但是SLB目前不支持同时代理两种协议,请使用阿里云的云服务设计一套解决方案解决这个问题;(参考方案2)

解析:可以使用阿里云的NAT网关搭配slb来实现a)购买NAT网关,并将SLB放挂在NAT网关后方b)配置DNAT功能i.添加一条记录DNAT为tcp的53端口映射到SLB的tcp54。ii.再添加一条DNAT记录为udp的53端口映射到SLB的udp53c)配置SLB ,添加两条监听,一条是tcp的54转发到后端服务器的tcp53,一条是udp的53转发到后端服务器的udp53以完成同时代理两种协议的需求

12.结合阿里云相关云产品或者业界通用技术,设计一套以java为主要开发语言的交易系统,要求此系统可以承受高并发的考验;并且要涵盖整个交易链路中数据流的逻辑走向、各个应用间角色说明、业务逻辑、运维指标、应急方案等描述,侧重点在说清楚系统架构逻辑;系统要具备快速扩容、容灾、多区域访问加速等能力。

 

答案：系统设计时有以下理念:多级缓存,静态化,任务切分(MR),多线程并行执行(MPP),读写分离,业务拆分,模块无状态,负载均衡,异地容灾,异地备份。

13.某公司有一套业务系统,主要针对国内和美国的用户提供服务,属于计算密集型系统,涉及到的有cms、app、财务系统等,目前服务器主要都在国内IDC托管,由于该公司业务量越来越大,所以希望将除了财务系统以外的系统全部上云,并且想通过阿里云的产品能提升用户的体验,请根据阿里云相关产品,帮该公司设计一套云上解决方案,要求综合考虑成本、用户体验以及财务系统对接等问题。

答案：该系统方案为境内外多区域混合云方案。分别在美西和华北3部署两套业务系统对外提供服务,用户通过云解析访问最近路由的系统,两套业务系统都有弹性伸缩性能。 华北3 VPC和美西VPC通过高速通道连接,把两地的数据同步延时降到最低,两套业务系统的RDS数据库通过最新的DTS双向实时同步功能进行数据同步。 财务服务器依然在本地IDC数据中心,IDC通过合作伙伴的VPN通道与华北3 VPC连通,降低通讯成本。

14.某省电网公司随着采集业务发展,暴露了现有数据中心很多问题,特邀请阿里云的资深架构师重新设计数据中心,并详细阐述设计:公司存在问题1、 系统需要服务4100万居民, 海量数据高并发采集导致采集系过程处理能力存在瓶颈,并发速度难以满足要求2、 系统存储需求快速增加,原存储成本高,扩容难度大导致系统存储能力严重不足,3、 原架构因数据存储、数据处理、数据推送、应用服务都集中在同一数据库进行处理,导致系统计算能力、数据处理能力、数据推送能力及系统响应速度明显不足: 4、整个数据中心30个系统应用集中部署,每次系统版本发都要停机且耗时较长,对系统应用、远程费控等实时性要求高的业务有较大影响。

解析:1)因为该电网公司服务对象量大,传统的IDC部署方式不能满足其服务要求,所以建议其将数据中心迁移至阿里公有云。2)采用阿里云OSS云存储,相对于传统存储大大减少了成本,并可以在线实时扩容,在业务暴增的情况下可以保证存储能力的及时提升。3)使用DRDS分布式数据库取代传统单一数据库,并利用数据库同步工具DTS进行主库与备库的数据同步,保证数据的一致性,并且解决了单一数据库处理能力不足问题。4)使用MQ队列进行异步解耦,解决高并发时的瓶颈问题。5)设计采用弹性伸缩架构,在业务高峰期,计算能力及数据能力不足的情况下,可以自动增加ECS服务器,提高服务性能,并且在业务平缓期,可以自动释放资源,节约成本,并且解决了突发情况下计算能力提供不足的问题。6)发布新应用时,采用蓝绿发布策略,进行蓝绿发布时,应用的旧版本服务与新版本服务会同时并存,同一个应用不同版本的服务之间共享路由,通过调节路由权重的方式,可以实现不同版本服务之间的流量切换。验证无误后,可以通过发布确认的方式将应用的旧版本的服务删除;如果验证不通过,则进行发布回滚,应用的新版本会进行删除。7)对各业务系统设置云监控。

15.使用蓝绿发布进行容器发布时,如何保证服务无宕机,请从原理上详细阐述下

蓝绿发布的原理是新老版本并存,发布新版本时,确定新版本无误后,更新旧版本,如有问题,回滚到旧版本,无需停机,风险较小。可用阿里云“云效平台”实现蓝绿发布+SLB保障应用不宕机。

16.某企业的DNS服务器计划迁移到阿里云上,做域名的权威解析,想使用阿里云的SLB作负载均衡保证高可用,需要SLB同时代理UDP和TCP的53端口,但是SLB目前不支持同时代理两种协议,请使用阿里云的云服务设计一套解决方案解决这个问题。

答案：1)利用NAT网关,将入口处的TCP53映射为TCP54,UDP53保持不变。2)在SLB层面,进行53端口转发(SLB前端端口不可重复,后端可重复)

17.实时交易系统:整体架构是: 一组7层负载均衡集群中的一个VIP(220.223.8.10,对应域名:shishijiaoyi.com)下挂了50台Web服务器,web服务器对接(一组8台的redis服务器+一台mysql数据库)。现在,公司业务要求,运维团队需要进行同城容灾和异地容灾方案评估,请拿出一份可行性方案出来供财务部门、技术部门、开发部门进行选择。(请列出重要评估点,具体方案,取舍依据)

 

 

 

18.如果某用户的IDC在和阿里云VPC打通混合云时,用户的IDC 存在公网私用的情况,例如,某客户在阿里云向银行方向连接专线时,银行处于安全目的,会要求客户访问银行接口的数据包源IP地址时银行指定的地址。且此类地址一般时公网私用。例如,客户的VPC地址是172.17.48.0/20,其中的一台ECS:172.17.60.221要访问银行侧的服务地址220.200.1.1,且银行要求访问此地址为119.100.100.0/28,该如何处理?(参考方案2)

答案：结合阿里云NAT网关来解决公网私用的场景

解析:a)创建NAT网关,将客户的VPC地址172.17.48.0/20绑定在NAT网关后端,并将119.100.100.0/28与NAT网关绑定;b)配置NAT网关上SNAT功能,这样将地址172.17.60.221映射成绑定NAT网关的119.100.100.0/28段的IP对外访问网络;c)即可实现172.17.60.221访问银行服务器地址220.200.1.1时源地址为119.100.100.0/28;

19.题如下所示(参考方案1);

答案：成本+可靠性+分级存储+节省视频接受服务器

解析：

 

20.CDN行业解决方案设计:有2个客户,分别从事电商和视频行业,想对自己的网站进行CDN加速,请分别推荐技术方案,并阐述需要关注点和异同点。

 

 

解析:电商行业在内容分发时面对的主要关注点有:1)静态图片资源多、请求多;2)突发流量;3)访问稳定性、安全性;。视频行业在内容分发时面对的主要关注点有:1)视频文件存储量大、多样性强;2)突发访问量大时,服务器和带宽压力大;3)直播业务需求高网络质量。上述典型电商与视频行业的关注点中,相似的是用户的非集中性、突发访问以及非结构化资源访问多,带宽压力大;不同点在于,电商部分更关注于访问稳定性与安全性,视频行业更关注于带宽问题。a)针对电商行业,使用CDN加速的方案如下:在用户经由CDN访问站点时,对网站的静态资源如html,css,等在CDN内进行存储,针对访问量较多的图片等资源,OSS作为CDN的源站,通过CDN加速分发,用户通过CDN节点就近获得文件。b)针对视频行业,使用CDN加速的方案如下:在用户经由CDN访问站点时,对网站的静态资源如html,css,等在CDN内进行存储,视频流最终通过CDN服务完成视频分发;针对热点内容,通过 CDN主动推流的方式将视频流加载到CDN边缘节点;若存在需要转码等处理的视频流,则由CDN直接请求进行转码存储于OSS并进行分发

21.棋牌游戏是安防重灾区,请简列棋牌游戏解决方案重常用的安全防护产品(至少三种),简要说明为何要选用该产品,以及所选产品的核心功能及优势。(参考方案2)

解析:a)安全游戏盾:游戏盾是阿里云针对游戏行业里面对DDoS,CC攻击推出的针对性网络安全解决方案,相比高防IP,除了能针对大型DDoS攻击(T级别)进行有效防御外,还具备彻底解决游戏行业特有的TCP协议的CC攻击问题能力,防护成本更低,效果更好;产品优势:常见Web应用攻击防护,CC恶意攻击防护,攻击事件管理,可靠性:支持负载均衡,平滑扩容,无单点问题;b)Web应用防火墙Web应用防火墙基于云安全大数据能力,用于防御SQL注入,常见Web服务器插件漏洞,木马上传,非授权核心资源访问等OWASP常见攻击,并过滤海量恶心CC攻击,可以有效的避免网站资产数据泄露,保障网站的安全与可用性;产品优势:10年以上网络安全经验,防御CC攻击和爬虫攻击,集成大数据能力、简易性可靠性;c)安骑士阿里云安骑士是一款经受百万级别主机稳定性考验的主机安全加固产品,支持自动化实时入侵威胁检测,病毒查杀,漏洞智能修复,极限一键检查,网页防篡改等功能,是构建主机安全防线的统一管理平台。产品优势:轻量级,对业务影响小,资源消耗少(CPU占用率小于10%)、50MB内存;便捷统一安全管控:一键开通,即开即用。所有操作均在云盾安骑士控制台中完成;精准防御、安全闭环、大数据防御;

22.由于网络规划原因,某公司网段:10.10.0.0/16,可以通过VPN访问ECS (公网:172.168.3.10, 内网:10.192.16.8),但是无法直接访问到RDS(数据库):10.192.200.9,ECS到RDS网络可达,现在,该公司在测试代码阶段,希望办公网可以连通RDS的3306端口,网络限制不可取消,具体措施是?

 

答案：方案1:该公司通过建立VPC并将ECS、RDS实例划分至该VPC域内,将公网IP映射至ECS主机,访问ECS时,仍通过VPN访问ECS服务器,为了测试代码阶段能够从内网访问RDS的3306端口,通过VPC内的访问控制规则指定仅对RDS所在网断的地址及3306端口开放,实现相应功能。方案2:基于方案1, ECS内对RDS做端口映射,使得从该公司私网访问ECS时使用ECS的指定端口访问RDS的3306端口。

23.用户需要在每月的月末清理历史数据,但业务允许的清理时间仅有 1 个小时;如果 1 小时内不能完成,需要立即回滚以保障业务正常运行;请从架构和schema设计方面提供保障清理任务及时完成、业务能够及时恢复的措施

 

答案：

1)使用DRDS+RDS对数据库进行分库分表,使清理任务的压力下发到每个RDS上面,分散单库的压力。

2)对每个RDS的表按照分区键(月份)进行分区,在清理时直接删除相应月份的表分区,加快清理过程。

3)建立历史库(RDS),利用数据传输工具(DTS)定期将生产库的数据同步到历史库。如果出现意外情况,可从历史数据库将数据恢复至生产库。