SLB产品概要

负载均衡

负载均衡（Service Load Balancer）是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。

SLB可以做什么

1. 负载均衡（SLB）可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性
2. SLB服务器通过设置虚拟服务地址（IP），将同一地域（Region）的多台云服务器（ECS）资源虚拟成一个高性能、高可用的应用服务池
   • 根据应用指定的方式，将来自客户端的网络请求分发到云服务器池中
     
     
3. SLB服务会检查云服务器池中ECS的健康状态，自动隔离异常状态的ECS，从而解决了单台ECS的单点问题，同时提高了应用的整体服务能力
   
   

SLB的特点

• 在标准的负载均衡功能之外，SLB服务还具备TCP与HTTP抗DDoS攻击的特性，增强了应用服务器的防护能力。
  
• SLB服务是ECS面向多机方案的一个配套服务，需要同ECS结合使用

SLB简介

SLB核心概念

• 阿里云SLB主要由三个基本概念组成：
  1. LoadBalancer代表一个SLB实例
  2. Listener代表用户制定的负载均衡策略和转发规则
  3. BackendServer是后端的一组云服务器
• SLB术语
  

SLB主要功能

• 当前提供四层（TCP/UDP协议）和七层（HTTP/HTTPs协议）的负载均衡服务
• 可以对后端ECS进行健康检查，自动屏蔽异常状态的ECS，待该ECS恢复正常后自动解除屏蔽
• 提供会话保持功能，在Session的生命周期内，可以将同意客户端请求转发到同一台后端ECS上
• 支持加权轮询（WRR），加权最小连接数（WLC）转发方式，后端ECS权重越高被分发的几率也越大
• 支持针对监听来分配其对应服务所能达到的带宽峰值
• 可以支持公网或私网类型的负载均衡服务
• 提供丰富的监控数据，实时了解SLB运行状态
• 结合云盾，提供WAF及防DDoS攻击能力，包括CC，SYN FLOOD等
• 支持同一地域（REGION）跨数据中心容灾，结合DNS还可以支持跨REGION容灾
• 针对HTTPs协议，提供统一的证书管理服务，证书无需上传后端ECS，揭秘处理在SLB上进行，降低后端ECS CPU开销
• 提供控制台，API，SDK等多种管理方式

SLB主要操作

SLB相关的问题

SLB支持的协议有哪些？
SLB当前支持四层（TCP协议，UDP）和七层（HTTPs协议）
SLB服务本身解决了后端ECS服务的灾备问题，但如何避免SLB服务本身故障导致的单点问题？关于SLB的灾备，有什么好的建议？
SLB实例后端的ECS可以是不同Zone下的机器，从而提高本地可用性
在同一地域（Region）创建多个SLB实例，通过DNS轮询的方式对外提供服务，从而提高本地可用性
在不同地域（Region）创建多个SLB实例，通过DNS轮询的方式对外提供服务，从而提高跨地域的可用性

后端ECS实例相关的问题

SLB最多支持对几台ECS进行负载均衡服务？
我们不会限制用户在SLB实例后配置的ECS数量，但是为了保证您对外服务的稳定与高效，我们建议您可以根据业务分类或应用服务的模块划分来将提供不同服务或执行不同任务的应用服务器配置在不同的SLB实例后。
不同操作系统的ECS可以同时做SLB服务吗？
可以。SLB本身不会限制后端的ECS使用哪种操作系统，只要您的2台ECS中的服务应用部署是相同且保证数据的一致性即可。但是，我们建议您选择2台相同操作系统的ECS进行配置，以便您日后的管理维护。
如何却好SLB后端和多台ECS之间的数据同步呢？
目前，有很多类似的工具可以实现服务器之间的数据同步，比如：rsync。具体使用及选择，还请通过其他途径获得更多的介绍资料及指导信息。
您也可以将您的ECS配置成无状态的应用服务器，而数据和文件统一存放在RDS和OSS服务上
我有2台ECS分别创建在杭州和青岛，为什么无法把他们添加到一个SLB实例后面？
SLB不支持跨地域（Region）部署，一个SLB实例后端的多台ECS 必须处于同一地域（Region）才可以配置

在线实验：负载均衡使用初体验

• 创建实验资源
• 分别访问两台云服务器
  1. 点击左侧导航栏处的 实验资源 ，弹框中能看到 云服务器ECS-1 和 云服务器ECS-2 的相关信息。
  2. 打开浏览器，在输入框中输入 实验资源 提供的 云服务器ECS-1 的 弹性IP ，页面如下图：
     
     
     3. 打开新的窗口，输入 云服务器ECS-2 的 弹性IP ，访问页面如下：
        
     4. 比较两台ECS的访问结果，发现部署的网站内容相同，只是显示的后端服务器IP不同。
        说明：在真实场景下，负载均衡后端的服务器中部署的应用都是一致的。
• 部署负载均衡后端服务器
  >本小节的主要内容：将两台服务器挂载到负载均衡的后端，这样，用户只需访问一个IP地址或域名，负载均衡服务器将会根据权重自动转发用户请求到相应的后端服务器上。
  1. 通过如下步骤，查看阿里云负载均衡控制台：

  1）点击左侧导航栏处的 实验资源 ，下拉框中点击 控制台url ，
  2）输入实验提供的 子用户名称 和 子用户密码 ，完成后点击 登录 。登录阿里云管理控制台。
  3）在阿里云管理控制台中，点击左侧导航栏的 产品与服务 ，在弹出的页面中点击 负载均衡 ，进入负载均衡控制台。

2. 通过如下步骤，进入本次实验提供的负载均衡实例的管理页面：

   1）点击左侧栏的实例管理。
   2）在地域信息栏中，选择本实验的 实验资源 提供的 地域 。
   3）在 模糊搜索 右侧的搜索输入框中，输入本实验的 实验资源 提供的 负载均衡 实例的 实例ID。
   4）在下端的搜素结果中，点击实例右侧的 点我开始配置，进入负载均衡实例的管理页面。

3. 通过如下步骤，配置监听规则的基本信息：

   1）在弹出的页面中，选择负载均衡协议为HTTP，监听端口为 80；然后点击高级配置右侧的修改按钮：
   2）在展开的高级配置中，查看到默认会话保持的状态为关闭。不做任何修改，直接点击下一步；
   3）选择默认服务器下方的继续添加，将两台已创建的ECS实例添加到SLB后端。
   4）在弹出的页面中勾选两台已创建的ECS实例，并点击下一步；
   5）在弹出的页面点击添加；
   6）选择已添加的ECS实例的端口为 80，并点击下一步：

4. 在健康检查 配置中，不做任何修改，保持健康检查开启状态，点击下一步。
5. 配置完成后，点击提交。

   跳转到实例管理页面，查看到新创建的监听配置，处于运行中状态。
   

   

• 验证负载均衡工作原理

本小节主要内容如下：
验证负载均衡的工作原理；
验证通过配置不同后端服务器权重，将用户的请求按比例分发到不同后端服务器；
验验证在一台后端服务器开启会话请求时，请求在会话开启的时间内只会分发到这一台服务器。

6. 此时，两台后端服务器的权重比例相同。通过如下步骤，验证负载均衡服务器是轮询访问后端云服务器ECS实例：

   1）点击左侧 实例管理 ，在右侧页面中的红框处看到负载均衡的 服务地址（也就是 实验资源 提供的 负载均衡 的 IP地址）；
   2）在浏览器中新建页面，并访问 负载均衡 的 服务地址 。界面显示的 后端服务器IP 为 云服务器ECS-1（或 云服务器ECS-2） 的 内网地址 。
   3）刷新 浏览页面，显示的 后端服务器IP 将发生变化，变为 云服务器ECS-2（或 云服务器ECS-1）的 内网地址 ；
   4）重复刷新操作，观察 后端服务器IP 是在两个云服务器的 内网地址 间轮流更换。
   5）如上结果证明：负载均衡会将用户的请求发送到后端不同的服务器进行处理。这样，可以减轻单台服务器的负载压力，从而确保业务的持续性。

7. 通过如下步骤，修改后端服务器权重，验证负载均衡向后端服务器发送请求的比例是按照权重的比例调整的。

   1）返回 实例管理 页面，点击SLB实例名称进入实例管理页面；
   2）选中 默认服务器组 ，在服务器列表中，勾选下方的勾选框 ，然后点击 修改权重 ；
   3）弹出对话框中，勾选 设置不同的权重 。设置两个实例的 权重 分别为 30 ，90 。
   4）完成如上配置后，点击 确定 ，生效配置信息。可以查看到两台ECS实例的权重分别为30 和 90，并记录对应的ECS实例内网地址和弹性IP。
   5）浏览器中，刷新多次 负载均衡 服务地址 的页面，并记录页面显示的 后端服务器IP 。可以发现：每4次刷新，将有3次访问 权重 为 90 的ECS实例，1次访问权重为 30 的ECS实例。
   6）如上结果证明：用户可以根据实际情况调整负载均衡器的请求分发，一般将配置高的服务器设置的权重调高，配置较低的服务器设置的权重调低。这样可以避免在高并发时，配置较低的服务器因为压力较大服务异常的发生。

8. 执行以下步骤，开启负载均衡的 会话保持 功能。

   1）在实例管理页面，点击SLB的实例名称进入实例管理页面；并在监听页面点击修改监听配置。
   2）在弹出的页面中，点击高级配置右侧的修改，设置开启保持的状态为已开启，然后点击下一步和提交。
   3）提交修改后，点击监听名称，在弹窗中查看到SLB实例的会话保持显示已开启的状态 。

9. 再次在浏览器中输入 负载均衡 的 IP地址 ，多次刷新，发现在会话保持的超时时间内请求只会分发到某一台ECS上（究竟是哪一台ECS没有规定），时间超出后，重新按照权重比例分发。

• 验证负载均衡的健康检查

  本小节主要内容：开启健康检查后，模拟服务器出现故障，关闭某一台服务器，观察负载均衡请求分发情况

10. 重复刷新，在超时时间内，请求只会发送到其中一台ECS上。
11. 我们关闭开启 会话保持 的那台ECS 。后端服务器 页面，已添加的服务器 中 ，选择上述红框对应的目标ECS实例，并点击进入该ECS管理控制台。
12. 实例详情 页面 ，点击右上角处的 停止 ，关闭当前ECS。
13. 返回负载均衡管理控制台，在 默认服务器组 页面中点击左上角的 刷新，页面刷新后被停止的ECS的 状态 变为 已停止。
    监听页面，也出现 异常 提示 。注意：由于检测需要时间，一般再1-2分钟后，状态才会变成异常；
14. 再次刷新浏览器中 负载均衡 的 IP地址 ，此时，请求发送到 健康检查状态 为 正常 的ECS上。
15. 结果证明，当某一台ECS出现异常后，负载均衡会自动将请求发送到健康检查状态正常的ECS上。

在线实验：高并发访问时流量分发和会话保持的实现

• 创建资源
• 配置负载均衡

1. 打开浏览器，拷贝沙箱 实验资源 提供的 后端服务器01 ECS实例的 弹性IP。然后，在新建浏览器页面中，粘贴并访问此公网IP地址，网页将显示“一家三口”的图片。
   
2. 同理，拷贝沙箱 实验资源 提供的 后端服务器02 ECS实例的 弹性IP，并在新建浏览器页面中粘贴并访问此公网IP地址，网页显示“姐弟三人”的图片。
   

• 查看负载均衡后端服务器

3. 首先，点击 实验资源 中提供的 控制台url，通过无痕浏览器打开并访问阿里云官网管理控制台

4. 在阿里云管理控制台中，点击页面左侧顶部的 产品与服务 ，在弹出的页面中点击 负载均衡 ，进入负载均衡管理控制台。

   1）点击左侧栏的 实例管理
   2）在地域信息栏中，选择本实验的 实验资源 提供的 地域 。
   3）在 模糊搜索 右侧的搜索输入框中，输入本实验的 实验资源 提供的 负载均衡 实例的 实例ID。
   4）在下端的搜素结果中，点击实例右侧的 点我开始配置 ，进入负载均衡实例的管理页面。

5. 通过如下步骤，配置监听规则的 基本信息：

   1）在弹出的页面中，选择负载均衡协议为 HTTP，监听端口 为 80；然后点击 高级配置 右侧的 修改 按钮：
   2）在展开的 高级配置 中，查看到默认 会话保持 的状态为 关闭 。不做任何修改，直接点击 下一步；
   3）选择 默认服务器组 下方的 继续添加，将两台已创建的ECS实例添加到SLB后端 4) 在弹出的页面中勾选两台已创建的ECS实例，并点击 下一步；
   5）在弹出的页面中点击添加；
   6）选择已添加ECS实例的端口为 80，并点击下一步：

6. 本次实验不会对ECS进行健康检查，因此，在 健康检查配置 页面中，修改 是否开启健康检查 为 关闭 。完成后，点击点击 下一步 。

7. 配置完成后，点击 提交 。

   跳转到 监听配置 页面，查看到新创建的监听配置，处于 运行中 状态。

8. 在浏览器中，打开新的空白页面，输入负载均衡服务实例的公网IP地址，访问负载均衡后端服务器中的一台ECS上的服务。

9. 刷新此页面IP的地址，访问后端另一台ECS上的服务器，页面变为另一张图片。由此可见在会话保持尚未开启时，负载均衡对后端服务器进行轮询访问。
   

   
   

• 开启会话保持功能

1. 在实例管理页面，点击SLB的实例名称进入实例管理页面；并在监听页面中点击修改监听配置。
2. 在弹出页面中，点击 高级配置 右侧的修改， 设置 开启保持 的状态为 已开启 ，点击 下一步 和 提交。
3. 提交修改后，SLB实例的会话保持显示已开启的状态。
4. 在浏览器中，打开新的空白页面，输入负载均衡服务实例的公网IP地址，多次的刷新此IP地址，页面显示的图片相同。证明负载均衡服务的会话保持功能已开启，该用户发送的所有请求均发送到负载均衡后端的某一台ECS服务器上。
   
   

云上安全防护

互联网安全的形势及常见威胁

2014年重要的安全事件

2014年全球14大网络安全事件 5个在中国

事件一、1·21中国互联网DNS大劫难

2014年1月21日下午3点10分左右，国内.cn域名根服务器出现异常，超过85%的用户遭遇了DNS故障，引发网速变慢和打不开网站的情况，持续数小时。

事件二、中国快递1400万信息泄露

2014年4月，国内某黑客组织对国内两个大型物流公司的内部系统发起网络攻击，非法获取快递用户个人信息1400多万条。

事件三、12306用户数据泄露

2014年12月25日，乌云漏洞报告平台称，大量12306用户数据在互联网疯传，内容包括用户账户、明文密码、身份证号码、手机号码和电子邮箱等。

事件四、OpenSSL心脏出血漏洞

2014年4月爆出了Heartbleed漏洞，该漏洞是近年来影响范围最广的高危漏洞，涉及各大网银、门户网站等。该漏洞可被用于窃取服务器敏感信息，实时抓取用户的账号密码。

安全形势

常见威胁

阿里云安全体系及云盾概览

阿里云云安全体系

云盾的基础DDoS防护

安全相关的概念

DDoS攻击是什么

• DDoS（Distributed Denial of Service）即分布式拒绝服务攻击
• 攻击主要目的是让指定目标无法提供正常服务，是最强大、最难防御的攻击之一。
• 近年出现的DRDoS（分布式反射攻击）让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁

基础DDoS防护的实现流程

基础DDoS防护的主要功能

• 攻击流量的发现，牵引和自动处理
• 能有效抵御所有各类基于网络层、应用层的各种DDoS攻击
  包括最新DNS Query Flood、NTP reply Flood
• 大数据分析技术实现全自动检测
  • 攻击策略全自动匹配
  • 总体响应时间<2秒
  • 清洗服务可用性99.99%

高防IP

高防IP接入流程

应用防火墙&安骑士

阿里云云盾-WAF

• Web应用防火墙（Web Application Firewall，简称WAF）是一款网站必备的安全产品。
• 阿里云云盾WEB应用防火墙：基于云安全大数据能力实现运营+数据+攻防体系、综合打造网站应用安全
• 通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击；过滤海量恶意CC攻击；禁止恶意的接口滥刷，数据爬取；
• 避免您的网站资产数据泄露，保障网站的安全与可用性。

WAF的应用场景

WAF的工作原理

阿里云云盾-安骑士

• 是云盾安全防护体系中的主机安全防护模块
• 基于云端联动防御，可以为云服务器提供防黑客入侵的服务
• 主要防护功能
  • 木马查杀
  • 防密码暴力破解
  • 异地登陆提醒
  • 漏洞检测修复

安骑士工作方式

安装安骑士

云监控

• 云监控是一项针对阿里云资源和互联网应用进行监控的服务
• 云监控服务可用于收集获取阿里云资源的监控指标，探测互联网服务可用性，以及针对指标设置警报
• 云监控服务能够监控云服务器ECS，云数据库RDS和负载均衡等各种阿里云服务资源，同时也能够通过HTTP，ICMP等通用网络协议监控互联网应用的可用性
• 借助云监控服务，您可以全面了解您在阿里云上的资源使用情况、性能和运行情况。借助报警服务，您可以及时作出反应，保证应用程序顺畅运行

云监控功能概览

• 站点监控
• 云产品监控
• 自定义监控
• 报警及联系人管理

云监控应用场景

• 云监控可以帮助运维人员实时了解网络状态、获取网络指标
• 在ECS部署时及时了解网络的运行状况，为后续网络升级提供性能指标
• 在网络升级后，监控SLB的负载均衡能否实现
• 监控到的数据可以作为弹性伸缩服务ESS的触发条件