[ACP云计算]易混淆知识点(考题总结)

一、知识点

注：蓝色为常见试题选项，最好全部记住 。绿色部分是多次出题的部分，必须记住。紫色：熟悉

云服务器ECS

1、ECS所在的地域叫做Region，可用区叫做Zone。每个地域完全独立，每个可用区完全隔离。

同地域下不同可用区之间的距离大概在数十公里。

2、伸缩组

ECS实例和伸缩组必须在同一个地域，但是对可用区没有要求。

ECS同一时刻只能加入到一个伸缩组，伸缩组的网络类型为专有网络时，经典网络ECS不能被添加到伸缩组中。

如果伸缩组没有执行中的伸缩活动，手动添加ECS实例可以绕过冷却时间直接执行。

手动添加ECS实例时不受伸缩组配置的限制，规格无需和处于启动状态的伸缩配置的属性相同。

3、ECS在创建的时候需要指定所属的VPC。

4、安全组

ECS实例的安全组实现了类似虚拟防火墙的功能，用于设置单个或多个ECS实例的网络访问策略。

ECS实例必须加入至少一个安全组，最多可以加入5个安全组。

可以通过安全组实现不同ECS服务器实例之间的网络控制。 

在没有设置允许访问的安全组规则的情况下，不同安全组内的ECS实例之间默认内网不通。

一个安全组包含一个地域一个专有网络VPC内的云服务器ECS实例。

5、可以通过设定自动释放时间的方式来保证按量付费的ECS实例按预期释放，自动释放时间可以多次设置，且设置了可以取消之前的设置。

6、ECS编配后：升级ECS的CPU和内存后，必须通过阿里云的管理控制台重启ECS实例才能生效，在ECS实例内重启无效。变配后，云服务器ECS实例的带宽即时生效。变配后，阿里云ECS实例的公网和内网IP地址不会。

7、ESC外部系统可以通过API在请求时传入参数来制定返回的数据类型，默认数据格式为XML

8、支持的镜像类型包括：自定义镜像、公共镜像、共享镜像、镜像市场。

9、ECS用于标识访问者身份的是：Access Key Id。

10、对ECS实例的运行数据监控，可以通过：通过阿里云的ECS管理控制台的实例详情页面进行CPU利用率和网络的出网和入网情况的监控、通过云监控服务的管理控制台进行实例运行情况的监控，并设置报警规则进行定制化监控。

11、不同安全组内的ECS实例之间默认内网不通，安全组可以跨可用区。

12、专门针对ECS实例的攻击：安装木马后门、SSH密码暴力破解、RDP密码暴力破解（除了SQL注入）。

负载均衡SLB

1、负载均衡SLB包含了几个重要的部分：来自外部的访问请求、Listener、LoadBalancer、BackendServer等。

Listener包括：转发规则、监听端口、负载均衡策略、健康检查配置。

健康检查支持：GRPC、TCP、HTTP协议类型。

健康检查4层：端口检查是否超时。

2、同一个负载均衡SLB只能挂在同一个地域的云服务器ECS，不支持跨地域部署。如果需要跨地域部署，可以考虑在多个地域部署负载均衡实例，通过DNS轮训来实现跨地域负载。

一个负载均衡只支持跨可用区容灾，不支持跨地域容灾，跨地域容灾需要建议多个SLB，通过DNS轮训实现。

3、SLB支持轮询模式转发规则、最小连接数转发规则。

4、一般情况下默认路由在有外网情况下会先走外网网卡，如无外网则走内网网卡。

5、SLB四层流量走默认路由。四层服务的会话保持是基于源IP实现的。

6、有四层和七层负载均衡：LVS（四层负载均衡）、tengine（七层负载均衡）。

四层服务主要是依据：报文中的目标IP地址和端口、负载均衡SLB中设定的转发策略和转发规则。

四层不支持SNI、域名URL转发。

七层不支持一致性哈希（CH）调度算法。

七层负载均衡支持域名URL转发。

七层、四层都可以关闭健康检查、都支持配置转发策略。

7、负载均衡请求不均衡的原因：ECS实例请求连接数较少、不同ECS实例的性能不同、开启了会话保持功能、ECS健康检查异常、TPC Keepalive保持长连接。

8、SLB只支持ECS，不支持其他。

9、同一个伸缩组同一时刻只能有一个伸缩活动在执行。

10、SLB的会话保持：同时支持TCP层和HTTP层的会话保持。

11、SLB需要PEM证书。

12、负载均衡LVS集群采用三层架构：负载均衡器、服务器池、共享存储。

13、ECS的网络类型不一定需要和SLB一致，负载均衡可以混挂经典网络和VPC网络的ECS。

14、健康检查

1）题一

2）题二

应用负载均衡ALB

ALB健康状态支持：GRPC、TCP、HTTP协议类型。

NLB网络负载均衡

1、在创建私网类型的NLB实例时，系统会为其分配私网IP。

2、公网类型的NLB实例拥有私网IP，支持云上VPC内的ECS访问。

3、NLB实例可以通过变更网络类型实现公网和私网之间的类型转换。

弹性伸缩AS

1、弹性伸缩只支持ECS。不支持RDS和负载均衡。

2、伸缩组

伸缩组具有三种状态：Active、Inactive、Deleting。

伸缩配置具有以下几种状态：Active、Inactive。

执行伸缩组规则，手动添加或移除已有的ECS实例时，均会触发伸缩活动，实现扩张或伸缩。

创建伸缩组时指定的SLB实例必须满足：SLB是已启动状态、SLB实例的所有配置的监听端口必须开启健康检查、SLB和伸缩组在同一地域（而不必在同一个可用区）。

如果负载均衡实力与伸缩组都为专有网络时，则必须处于相同的专有网络下。

当伸缩组为专有网络类型，而负载均衡为经典网络类型时，如果负载均衡实例的后端服务器中包含有专有网络实例，则该实例必须与伸缩组处于相同的专有网络下。

如果创建伸缩组时关联了负载均衡实例，伸缩组会自动将加入伸缩组的云服务器ECS实例添加到该负载均衡实例中，加入负载均衡实例的ECS实例权重默认为50。

一台负载均衡SLB可以关联多个伸缩组。

如果某个伸缩组关联的RDS、ALB、CLB、CLB后端服务器被删除，则伸缩组自动删除与该字段的关联。

弹性伸缩模式：定时模式、动态模式、固定数量模式、自定义模式、健康模式。

3、弹性伸缩的触发条件：CPU负载、内存利用率、系统平均负载、外网和内网出入流量（除IOPS外）。

4、伸缩配置属性：标签、SSH密钥对、实例RAM角色实例自定义数据。

5、弹性伸缩根据客户业务需求横向扩展ECS实例的容量，即自动增加和减少ECS实例，数量是没有限制的。

6、健康模式会定期检查ECS实例的运行状态。

弹性公网EIP

1、EIP是可以独立购买和持有的公网IP地址。EIP可以绑定到专有网络类型的ECS实例上，也可以绑定到专有网络类型的私网SLB实例、NAT网关上。

当绑定到ECS实例上，必须满足：ESC实例的网络类型必须是专有网络、ECS实例的地域必须和EIP的地域相同。弹性公网能动态绑定到不同的ECS实例上，绑定和解绑时无需停机。

当EIP绑定在SLB（负载均衡）上，必须满足：SLB实例的网络类型必须是专有网络、SLB实例必须和EIP的地域相同、 一个SLB实例仅支持绑定一个EIP。

当绑定到公网NAT网关时，公网NAT网关可以绑定多个EIP提供服务。

2、弹性公网EIP只能绑定在相同地域的VPC类型的云产品实例上。

3、公网访问是支持全国各地的。

4、EIP的秒级监控可以帮助用户实时监测流量的波动。

5、EIP支持加入共享宽带以获取超大弹性带宽。

6、在释放经典网络ECS实例时，希望保留其公网IP，在手动释放时选择将公网IP转为弹性公网，操作后：一般情况下，公网宽带和原ECS实例保持一致，EIP采用按使用流量计费方式。

7、EIP只能绑定在云服务器ECS、负载均衡SLB、NAT网关上。

8、ECS如果绑定了EIP就实现对公网的服务。如果想限制某台绑定了EIP的云服务器ECS实例的3390远程访问，需要：在这台服务器实例的安全组规则中添加一条内网规则：拒绝TCP协议来自3389的入方向访问。

专有网络VPC

1、交换机

交换机是阿里云专有网络VPC的基础网络设备，连接不同的网络。

VPC的交换机是一个三层交换机，不支持2层广播和组播。

交换机创建完成后，无法修改CIDRBlock。

删除交换机之前，必须先删除交换机所连接的云产品实例。

交换机的网段必须是其属VPC网段的真子集。

交换机不支持组播和广播。

2、在VPC内的云服务器ESC实例之间的三层网络访问控制是用安全组实现的。

3、VPC是隔离的私有网络，默认情况下，VPC内的ECS无法访问公网也不能被公网访问，但可以通过配置公网负载均衡来实现公网可以访问VPC中的ECS，但是VPC中的ECS不能访问公网。

4、VPC由一个路由器、至少一个交换机、至少一个私网网段组成。

VPC中需要有一个路由器实现不同网络的互通。

同一个VPC内的不同交换机内网互通。

5、VPC默认是没有公网服务的，可以通过弹性公网EIP、NAT网关、公网负载均衡（注意必须是公网）、ECS固定公网IP的方式连接公网。

6、VPC之间默认是隔离的不能直接通信。只能通过云企网、VPN网关来实现互通（可以跨地区）。

两个VPC跨地域访问通过：云企网、VPN网关、VPC对等连接。

高速通道在配置过程中需要针对端到端进行路由配置。高速通道不具有传递性，使用高速通道互通的VPC或本地数据中心只能和对端VPC互通。

7、VPC实现固定私网访问：VPC、NAT网关、云企业网。

通过配置公网负载均衡可以实现公网可以访问VPC中的ECS，但是VPC中的ECS不能访问公网。

8、ECS在创建的时候需要指定所属的VPC。

9、VPC不能跨地域配置。

10、通过智能接入网关将本地IDC和云上专有网络打通。通过VPN可以将VPC与传统数据中心组成一个按需定制的网络环境。

11、七层服务的会话保持是基于：cookie实现的。

12、支持专有网络:ECS、负载均衡、RDS。

13、实现固定私网地址访问：VPC NAT网关、云企业网。

14、VPC通过网络ACL功能进行网络访问控制，网络ACL返回数据流必须被规则明确允许。

15、在VPC内部进行访问控制的工具：安全组、网络ACL、RDS白名单（不包含VPN网关）。

16、ECS在创建时需要指定所属的VPC。

17、VPC可修改：VPC名称、VPC描述。

18、VPC的高级功能包括：网络ACL、DHCP选项集、自定义路由表。

19、SLB四层：报文中的目标IP地址和端口、负载均衡SLB中设定的转发策略和规则。

        SLB七层：报文中有意义的应用层内容、负载均衡SLB中设定的转发策略和规则。

20、每个VPC最多可以有10张路由表，支持创建和删除路由表。

21、网络ACL是无状态的。

对象存储OSS

1、OSS的传输加速服务利用全球分布的云机房，支持全球各地用户对您存储空间（Bucket）的访问。

2、OSS提供标准、归档、低频访问、冷归档四种存储类型。

3、Bucket

在创建OSS之前必须创一个Bucket，之后才能在Bucket中进行文件的上传和管理。

Bucket的名称在OSS内必须是全局唯一的，一旦创建之后无法修改。

同一个Bucket内部的空间是扁平的，所有的对象都隶属于其对应的Bucket。

一个应用可以对应一个或多个Bucket。

一个阿里云账号在同一地域内创建Bucket总数不能超过100个。

Bucket的权限：公共读写、公共读（默认）、私有

当文件所在的Bucket的读写权限为“私有”时，OSS分享链接采用的安全机制是：在管理控制台中获取文件访问URL时设置分享链接有效的时间，超过设定时间就无法下载。

Bucket内的容量是没有上限的。

Bucket的命名规则：小写字母、数字和下划线，必须以数字或小写字母开头和结尾。

通过Bucket属性设置 ：ACL（读写权限）、自定义域名绑定、防盗链设置。

4、只有通过追加上传的Object可以继续写入数据。

5、基于OSS并使用MaxCompute构建PB级数据仓库。对大量数据进行分析，处理效率是秒级。

6、CPFS是阿里推出的安全托管、可扩展并行文件系统，CPFS特有的数据流动功能可以实现将对象存储OSS中的数据合并入CPFS，进行统一命名空间元数据管理，快速地处理OSS中的数据。

7、可以对海量数据存储实现高于99.99999999%的数据可靠性。

8、OSS本身不提供IP黑白名单，可以先试用CDN加速，然后在CDN上配置IP白名单。

9、OSS处于安全考虑，直接在浏览器地址栏输入OSS通信域名时，需要以另存为的方式打开文件，若需要直接在浏览器打开文件，需要：绑定用户自定义域名（可以是三级域名）。

10、OSS支持多种文件上传方式，如果文件大小为10G，建议用户采用分片上传。

11、如果希望将存储在OSS存储空间中的一个指定文件供互联网上任何用户访问，可以通过：Object ACL实现。

12、OSS支持的文件操作：文件创建、文件读取、文件删除。

13、OSS安全性的优势：提供多种健全和授权机制及白名单、防盗链、主子账号功能。免费支持坊DDoS攻击、自动流量清洗及黑洞功能。多用户资源隔离机制。

14、单个object的大小限额：48.8TB

15、OSS支持的文件上传方法：从OSS管理控制台直接上传、通过OpenAPI上传、通过SDK上传、通过云市场里的FTP工具上传（除了通过移动硬盘直接拷贝到OSS中）。

16、OSS的优点：海量存储、低成本、安全、多线BGP接入。

内容分发网络CDN

1、用于全国各地、全球的访问

2、CDN由：LVS（四层负载均衡）、tengine（七层负载均衡）、swift（HTTP缓存）组成

3、CDN可以加速OSS和ECS中的静态数据。不支持动态数据的加速（如各种数据库）。

4、CDN由：链路质量系统、调度系统、缓存系统、支撑系统这四大系统组成。

5、可以通过CDN来减少服务器的宽带输出。

云数据库RDS

1、包括基础版、高可用版、集群版、三节点企业版。

基础版：单节点、计算与存储分离、不支持增加只读实例。

高可用版：采用一主一备的架构，支持自动故障切换。高可用版实例的主备节点可以部署在同一地域里的相同或不同的可用区。备实例不可访问，不支持增加只读实例。

集群版：一主多备的高可用架构，支持自动故障切换。备实例可访问、提高读能力。支持增加只读实例进一步扩展读能力。

2、可以通过开通SQL洞察和审计记录所有的SQL，DML和DDL操作，用以对数据库进行故障分析或安全审计。

3、RDB备份由：数据备份、日志备份组成。

4、RDB，默认提供按备份集恢复、按指定时间点恢复两种恢复功能。

5、在使用RDB时经常出现卡顿，可以通过分析实例来解决。

6、数据传输服务DTS

在使用RDS时，经常用到数据传输服务DTS，它的数据同步功能可支持数据异地多活、数据异地灾备、本地数据灾备等场景的数据源交互。

DTS支持关系型数据库、非关系型数据库、数据多维分析，具体支持的数据库：RDBMS、NoSQL、OceanBase、DB2。

7、高峰期导致RDS MySQL实例出现性能瓶颈，此时可以通过数据库自治服务DASB实现MySQL实例的自动扩缩容。

块存储

1、块存储包括云盘和本地盘

云盘和本地盘均支持SSD。

云盘和本地盘的性能均与其容量大小有关。

云盘支持多副本机制，本地盘不支持。

云盘支持创建快照，本地盘不支持。

2、云盘只能挂在到同一地域同一可用区的实例上。云盘采用分布式三副本机制，为ECS实例提供99.9999999%的数据可靠性保证。云盘定期创建快照、提高业务数据的安全性。

3、扩容系统盘之后，用户创建的快照会保留、通过更换实例的系统盘来实现系统扩容、扩容系统盘的时候需要停止您的实例，因此会短暂终断您的服务。

4、希望创建一个部署同样软件的新ECS：基于现有云服务器ECS实例的系统盘制作自定义镜像，并基于该自定义镜像生成新的云服务器ECS。

5、系统盘式装有操作系统的云盘，只能随实例创建，生命周期与挂载的ECS实例相同。

6、ECS在对磁盘进行回滚时，ECS实例必须处于：“已停止”。

快照和镜像

1、快照

快照是指某一个时间点上某一块磁盘的数据拷贝。

用户可以手动创建快照也可以设置自动快照策略。

系统盘和数据盘都可以制作快照。

云ECS实例到期后或手动释放磁盘时，手动创建的快照不会同时释放。

快照不会自动保留到已有的OSS Bucket，它会自动创建Bucket，然后放到里面去。

2、普通快照

普通快照的创建时间较久，但容灾能力更强。

例：有一个客户要求容灾能力高，岁快照创建时间没有要求，此时普通快照最合适。

3、将经典网络的ECS迁到专有网络中去，需要制作该ECS实例的镜像，基于该镜像制作专有网络类型的ECS实例，业务会短暂停顿。

安全

1、安全组

可以通过安全组实现不同ECS服务器实例之间的网络控制。

2、云（盾）安全中心

云（盾）安全中心提供云计算服务的基础安全加固和防护。

云安全中心可以配置：安全周报、基线检查、网页防篡改。

云安全中心支持通过短信、邮件、站内信、钉钉机器人的方式向您发送通知。

云盾可以防止受暴力密码破解、DDoS攻击、木马文件的查杀、异地登录提醒的安全防护功能。

云盾先知（安全众测）是一个帮助企业建立私有应急响应中心的平台（帮助收集漏洞信息）。不保护密码暴力破解。

收到云盾的暴力破解告警后需要做：修改远程管理服务的端口、设置8位以上的复杂密码，定期修改、在ECS前面增加负载均衡SLB，去掉ECS实例的公网，让ECS实例只响应来自SLB的请求（除了购买DDoS高防），

免费部分：DDoS基础防护、内容安全、安骑士。

以下有关云盾DDoS基础防护特点正确的是：BGP线路防护：受到DDoS攻击不会影响访问速度，宽带充足不会被其他用户连带影响，优质的带宽保证业务可用和稳定。免安装免维护：无需采购昂贵清洗设备，自动为云上客户开通免安装，智能业务学习和配置防护规则。

3、SQL注入

危害：网页被篡改、数据被篡改、核心数据被窃取、数据库所在服务器被攻击变成傀儡主机。

4、WAF保护的是ECS上应用层的用户服务。不保护密码暴力破解。WAF的默认规则组：中等规则组。

6、安全管家是人工的，如果公司没有管理员，可以用阿里云的安全管家。

7、DDoS高防

DDoS高防支持DNS解析、IP直接指向两种。

8、某企业安装了安骑士和DDoS高防，Web应用报502错误（Bad Gateway），可能的原因是：

源站配置了高防，但是没有在高防中配置七层转发规则、在业务层面存在通过SLB实例IP地址访问SLB实例的情况、ECS安装了安骑士插件，但是没有在安骑士中放通相应端口。

9、云监控

如果从业务角度集中管理业务线涉及到的服务器、数据库、负载均衡、存储资源等。从而按业务线来管理报警规则、查看监控数据，从而提升运维效率。该管理员可使用应用分组功能来实现云产品的便捷管理。

云监控系统的站点监控类型：HTTPS监控、TCP监控、SMTP监控。

云监控服务提供的功能：站点监控、云服务监控、自定义监控、报警服务(不包含自定义防火墙)。

如果想自己采集指标做应用层面的监控，可以使用云监控提供的自定义监控功能。

云监控中心是一个实时识别、分析、预警安全威胁的统一安全管理系统。云安全中心不支持解绑阿里云ECS服务器，即使卸载了Agent插件，该服务仍将以离线状态出现在服务器列表中，而不会从列表移除。

Agent插件是云安全中心提供的本地安全插件，您必须在要防护的服务器上安装该插件才能使用云安全中心的服务。未安装Agent插件的服务器将不受云安全中心保护，控制台页面也无法显示该资产的任何漏洞、告警、基线漏洞、资产指纹。

云监控的站点监控功能可以对目标站点服务的可用性以及响应时间进行监控，系统已经默认预设了8种监控类型（http、ping等），其中每种监控类型包含了两个监控项：响应时间responsetime、状态吗status。

阿里云云监控配合ECS实例健康状态可以及时的监控到ECS实例网络配置的异常活动、软件崩溃和硬件使用情况、可及时记录网络、软件或硬件问题。

10、数据安全中心DSC：一键授权、账号密码授权

11、网络DNS被劫持、受到DDoS攻击可能造成网络无法访问。

12、能防护DDoS攻击的产品是：基础DDoS防护、SCDN、高防DDoS。

容器服务ACK

1、构建镜像：Dockerfile

2、ACK集群包括：Pro版、标准版、专有版三种类型。

专有版：Master节点的系统盘支持开启云盘备份以备份云盘数据、ACK专有版集群需要自行创建Master节点及Worker节点。

3、容器服务ACK中也广泛采用弹性伸缩功能进行业务弹性。其中调度层弹性的：容器水平伸缩（HPA）组件内置在Kubernetes中。

4、ACK支持多种公网访问方式：节点访问、负载均衡Nginx、Ingress（不包括EIP）。

5、ACK的三种形态：Serverless Kubernetes、专有版Kubernetes、托管版Kubernetes。

Redis

1、RDB持久化策略是指Redis周期性地为引擎中保存的数据创建快照，生成文件保存到磁盘中，实现数据持久化。

2、redis支持的三种架构类型：标准版、集群版、读写分离版。

3、Redis添加白名单：手动添加、通过ECS安全组设置。

证书

1、阿里云SSL证书支持：ECC、RSA、SM2三种加密算法。

2、阿里云支持申请、购买三种类型的证书：EV企业增强型、DV域名型、OV企业型。

3、网站已部署SSL证书，如果希望将HTTP访问重定向至HTTPS，最简单的实现方式是：添加一个新的监听，并开启监听转发。

NAS

1、急速型NAS文件系统支持快照功能。

2、NAS可以开启回收站功能以实现文件误删后的恢复操作。

日志服务SLS

1、为Log、Metric、Trace等数据组提供大规模、低成本、实时的平台化服务。

2、用阿里云日志服务SLS来采集ECS上的日志数据并进行消费，需要在ECS上安装Logtail来实现日志的采集。

3、用分析功能进行实时监控系统的日志分析，必须将日志存储在Standard Logstore中。

IP

1、题一

申请EIP_弹性公网IP(EIP)-阿里云帮助中心

2、题二

3、题三

专有网络VPC的路由表-阿里云帮助中心_(VPC)-阿里云帮助中心

无法分类的题目

1、造成两台ECS内网无法通讯的原因是：两台ECS实例在不同地域、两个ECS在不同的安全组。

在没有设置允许访问的安全组规则情况下，不同安全组内的ECS实例之间默认内网不通。

不同地域的云服务器ECS、关系型数据库RDS、对象存储服务OSS内网不互通。

2、阿里云的负载均衡SLB、云服务器ECS、弹性伸缩AS配合时：一个ECS实例只能添加到一个伸缩组中、ECS实例的状态必须为运行中才能添加到伸缩组中、同一个伸缩组中的服务器ECS实例必须加入负载均衡SLB白名单、SLB必须开启健康检查，否则无法和弹性伸缩配合使用、一个SLB实例可以绑定多个伸缩组、一个伸缩组可以同时支持多个SLB实例。

3、文件存储HDFS版式是向ECS实例及容器服务等计算资源的文件存储服务：可以通过挂载点来访问文件存储HDFS，同一挂载点可以被多个计算节点同时挂载，共享访问。

4、windows 出现RAW格式原因：硬盘故障导致磁盘分区信息丢失。

5、TCP/IP协议使数万台计算机连接在一起。

6、部署集之间不支持相互合并、部署集内部能创建抢占实力、部署集不支持创建专有宿主主机。（三个不）。

7、公共计算使用的存储是分布式的私有存储。

8、云解析DNS是由：解析数据层、管控层两部分组成，

9、IaaS（基础设施即服务）、PaaS（平台即服务）、SaaS（软件即服务）

基础设施即服务：IaaS

阿里云云安全平台（事态感知）是一个大数据安全分析平台。它提供的事一种：SaaS类型的服务。

10、飞天分布式操作系统包括：任务调度伏羲、集群部署夸父、分布式文件系统盘古（没有弹性裸金属神龙）