传统IT架构演进过程: IT架构是指导IT投资和设计决策的IT框架,是建立企业信息系统的综合蓝图。IT架构通常分为数据架构、应用架构和技术架构三部分。此外,随着数据安全的问题日益受到重视,许多企业的IT架构也将安全架构置于重要的位置上。
单体引用:通常服务器操作系统使用linux,应用程序使用PHP开发,然后部署在Apache上,数据库使用Mysql,汇集各种免费开源软件以及一台廉价服务器就可以开始系统的发展之路了;
应用与数据库分离:数据量增加,单台服务器性能以及存储空间的不足,需要将应用和数据分离,并发处理能力和数据存储空间得到了很大改善;此时应用程序、数据库、文件分别部署在独立的资源上;
使用缓存以改善性能:系统访问特点遵循二八定律,即80%的业务访问集中在20%的数据上。缓存分为本地缓存和远程分布式缓存,本地缓存访问速度更快但缓存数据量有限,同时存在与应用程序争用内存的情况;
应用服务器集群:使用集群是系统解决高并发、海量数据问题的常用手段。通过向集群中追加资源,提升系统的并发处理能力,使得服务器的负载压力不再成为整个系统的瓶颈;
数据库读写分离:读写分离就是在主服务器上修改,数据会同步到从服务器,从服务器只能提供读取数据,不能写入,实现备份的同时也实现了数据库性能的优化,以及提升了服务器安全;
反向代理和CDN加速:为了应付复杂的网络环境和不同地区用户的访问,通过CDN和反向代理加快用户访问的速度,同时减轻后端服务器的负载压力。CDN与反向代理的基本原理都是缓存;
分布式文件系统和分布式数据库:随着系统的不断运行,数据量开始大幅增长,这个时 候发现分库后查询仍然会有些慢,于是按照分库的思想开始做分表的工作。数据库采用 分布式数据库,文件系统采用分布式文件系统。任何强大的单一服务器都满足不了大型 系统持续增长的业务需求,数据库读写分离随着业务的发展最终也无法满足需求,需要 使用分布式数据库及分布式文件系统来支撑。分布式数据库是系统数据库拆分的最后方 法,只有在单表数据规模非常庞大的时候才使用,更常用的数据库拆分手段是业务分库,将不同的业务数据库部署在不同的物理服务器上。它的应用场景基本是电商、金融、零 售、O2O等领域,应用广泛;
使用非关系型数据库:随着业务越来越复杂,对数据存储和检索的需求也越来越复杂,系统需要采用一些非关系型数据库如NoSQL和分数据库查询技术如搜索引擎来解决相关问题。应用服务器通过统一数据访问模块访问各种数据,减轻应用程序管理诸多数据源的麻烦;
传统IT架构遇到的挑战
挑战一:不是没有系统,而是遗留系统太多;
挑战二:信息爆炸,数据异构,难以整合;
挑战三:企业需要电子商务支持,但技术异构,难以协同;
挑战四:业务变化快,僵化的IT基础设施难以迅速响应。
云上IT架构演进过程:云上架构是一种全新的技术架构,将IT资源(包括服务器、存储、网络等)有效整合,形成统一资源池,以服务的方式对外提供云服务。
单台云服务器:可以使用云上的云服务器(ECS)作为业务承载的工具,结合系统内核参数调优,web应用的性能参数调优,数据库调优,保证基本上能稳定运行;
应用与数据库分离(2台ECS或者1台ECS+1台RDS):我们可以直接使用云上的RDS数据库资源,利用其丰富的数据结构可以完成不同业务类型的业务场景开发,更加节省成本;
使用负载均衡构建集群:该架构中我们会提到一个集群的概念,即在云上部署一组有相同应用的ECS,ECS的数量能够不断扩充;
动静分离(使用对象存储):静态缓存+文件存储:通过将动态请求和静态请求的访问分离,有效解决服务器的cpu、内存、 磁盘IO,以及带宽的压力;
缓存数据库:通过数据库缓存,有效减少数据库访问压力,进一步提升性能;
数据库读写分离(RDS):在数据层,结合数据库缓存,当数据库压力还不是很大的时候,我们可以通过读写分离的方式,进一步切分及降低数据库的压力;
分库分表(分布式关系型数据库):将不同的应用按照功能的不同分别存放到不同的数据库中。此时,我们可以有数据的垂直拆分和水平拆分两种选择;
当某个业务的数据量或者更新量到达了单个数据库的瓶颈时,此时需要进行数据库的水平拆分;
NoSQL数据库(使用NoSQL和搜索引擎):引入之后能够大大提高查询速度,但是也会带来大量的维护工作,我们需要自己实现索引的构建过程,设计全量增加的构建方式来应对非实时与实时的查询需求;
(10)中间件:即在消息的传输过程中保存消息的容器。我们的系统中可能出现不同语言开发的子模块和部署在不同平台的子系统;
(11)大数据服务:大数据服务是通过底层可伸缩的大数据平台和上层各种大数据应用,支撑
机构或个人对海量、异构、快速变化的数据进行采集、传输、存储、处理(包括计算、分析、可视化等)、交换、销毁等覆盖数据生命周期相关活动的各种数据服务;
使用云上资源之后的架构优势:
随需提供,按需购买,即简化信息资源的获取,提高信息服务质量
降低成本,即降低IT总投资成本、降低运维服务成本,延长IT设备资产的寿命
提高效率,即提高系统运行效率、资源效能、以及运维管理效率
提高可靠性,即提高数据存储的可靠性和系统运行的可靠性,实现计算的安全稳定
传统架构的定义和概念
框架通常指是为了实现某个业界标准或完成特定基本任务的软件组件规范,也指为了实现某个软件组件规范所要求的具有基础功能的软件产品。
ISO/IEC42010:2007将架构定义为:一个系统的基础组织,体现在系统组件、组件之间及组件与环境之间的相互关系,以及对系统设计和演进进行治理的原则中。
TOGAF中的“架构”有两种含义:一个系统的正式描述,或指导系统实施的组件层级详细过程;组件结构、组件之间相互关系,以及对这些组件的设计和随时间演进的治理原则和指南。
架构师定义:一般指企业架构师,是企业软件的总设计师。负责设计系统整体架构,从需求到设计的每个细节都要考虑到,使设计的项目尽量效率高,开发容易,维护方便,升级简单。他不从事具体的软件程序编写工作,但他必须对开发技术非常了解,并且需要有良好的组织管理能力。
云计算架构的概念
云计算架构主要指的是云计算所需的组件和子组件,这些组件包括前端(客户端、移动端)、后端(服务端、服务器、存储)、基于云的交付和网络。通俗的讲,云架构=企业架构+SOA架构+云技术。
云计算架构师:需要交付包含前端、后端、网络和基于云计算的解决方案,需要将项目的技术需求转换为最终产品的体系结构和设计理念,专门为复杂问题提供可行性方案。反过来,倾听市场和客户需求,善于沟通并能看到问题的本质,能够抽象成产品和技术的要求,结合技术发展的趋势,懂得取舍,起到技术和业务的桥梁作用。
云计算解决方案架构的概念
云计算解决方案架构,我们可以通俗的理解为将线下的解决方案架构搬迁到云上进行。 而云计算解决方案架构设计则是利用云计算解决方案架构师丰富的知识累积与实践经验,从纷乱复杂的问题中,应用科学的解决方案分析方法,进行定量和确有论据的定性分析,找出企业要解决问题的核心原因,提炼能被实施的解决方案与设计架构,进而指导方案
实施的过程。
天翼云解决方案架构师的岗位职责:能评估一个组织所需要的技能,以便在天翼云上实现和部署应用程序可以提出一些建议;需要非常熟悉天翼云云平台以及各种各样的产品体系;需要对开源的方案和其他云厂家的解决方案有一定的了解。
架构设计的意义:架构设计源于客户需求;节省成本,提高效率;架构设计服务于整个开发过程。
云原生架构的概念以及它的发展历程:
云原生是一种构建和运行应用程序的方法,是一套技术体系和方法论。云原生
(CloudNative)是一个组合词,即Cloud+Native。Cloud表示应用程序位于云中,而不是传统的数据中心;Native表示应用程序从设计之初即考虑到云的环境,原生为云而设计,在云上以最佳姿势运行,充分利用和发挥云平台的弹性以及分布式优势。
发展历程:
2013 年Matt Stine提出云原生架构的几个特征:12因素、微服务、自服务敏捷架构、基于API协作、抗脆弱性;
到了2017年,Matt Stine在接受采访时又改了口风,将云原生架构的特征重新归纳为:模块化、可观察、可部署、可测试、可替换、可处理6种特质。Pivotal最新官网将云原生概括为4个要点:DevOps+持续交付+微服务+容器
到了2018年,云原生计算基金会(CNCF)又更新了云原生的定义,即容器化封装+自动化管理+面向微服务+服务网格(Service Mesh)+声明式API。
云原生架构的典型技术特征:采用轻量级的容器;设计为松散耦合的微服务;通过API进行交互写作;使用最佳语言和框架开发;通过DevOps流程进行管理。
云原生架构特点(与传统架构相比)
开发模式:云原生是以应用为中心的开发模式,烦琐的软件安装通过自动化的模式来完 成,保证了软件环境一致性,减少了系统依赖的风险,同时开发人员只要聚集在应用上,其他由基础设施服务一键完成,大大提高了软件的生产效率;
交付模式:传统模式的发布流程是中断、有隔离的,并不流畅。云原生模式中,从开发到测试再到上线及监控反馈,整个过程可以不断反馈和螺旋上升;
架构设计模式:传统的架构设计更多关注功能需求的满足,由于架构变化不易实现,所以更倾向于保持架构的稳定性。云应用架构设计意味着更快的迭代速度、持续可用的服务、弹性扩容及一些非功能需求,包括追求产品创新时间的技术挑战、以用户体验为中心的挑战和移动互联网时代的突发性挑战。
云架构设计原则:
高性能:通俗的可以理解为网页秒开、高清视频--即要确保系统能够高效、快速地响应用户的请求。
在浏览器端,可以通过浏览器缓存、使用页面压缩、合理布局页面等手段改善性能;
使用CDN,将网站静态内容分发至离用户最近的网络服务机房,使用户通过最短访问路径获取数据;
应用服务器端,可以使用服务器本地缓存和分布式缓存,通过缓存在内存中的热点数据处理用户请求,加快请求响应速度;
在网站有很多高并发用户的情况下,可以将多台应用服务器组成一个集群共同对外服务,提高整体处理能力;
在代码层面,我们可以通过使用多线程、改善内存管理等手段优化性能;
使用NOSQL数据库通过优化数据模型。
可用性:通俗理解就是系统运行的连续性,尽量避免出现业务中断。
衡量指标:网站可用性的指标就是网站的总可用时间(除去故障时间)。
在设计方面:对于应用服务器而言,将多台应用服务器通过负载均衡设备组成一个集群共同对外提供服务,任何一个宕机,只需把请求切换到其他服务器上面就可实现应用的高可用;对于存储服务器而言,需要的数据存储进行互相备份,这样,当服务器宕机时,将数据访问转移到可用的服务器上,并进行数据恢复以保证继续有服务器宕机时数据依旧能用。
弹性:所谓弹性就是架构能够根据系统的需求进行弹性的伸缩。
在设计方面:对于应用服务器集群,可以通过使用合适的负载均衡设备向集群中不断加入服 务器;对于缓存服务器集群,我们需要注意的是改进缓存路由算法保证缓存数据的可访问性;在数据库方面,因此可考虑在集群伸缩方案之外通过路由分区将部署有多个数据库的服务器 组成一个集群。
可靠性:可理解为系统在规定的时间及规定的环境下完成规定功能的能力,也就是系统无故障运行的概率。
可靠性的衡量指标:平均无故障时间(MTTF)、平均故障修复时间(MTTR)
安全:主要涉及业务范围是企业数据资产、用户数据与隐私等--即如何能够保证云上系统的安全,以防止被黑客攻击。
衡量安全的标准:主要可以考虑使用加密传输、防DDoS/CC攻击、流量限制等手段进行安全设置。
在设计方面:设计安全性;设备安全性;云端安全;网络中的数据安全。
可管理性:可管理性虽然不是最主要的设计原则,但也是架构设计中必不可少的。搭建
的架构如果能够方便后续的管理,会帮助我们节省很多的管理成本。
传统IT基础架构与云上基础架构:IT基础设施主要包含:网络、计算、存储这三方面的内容。
对于两种架构而言,资源方面的不同点在于:
线下资源:网络设备里面包含,互联网接入层的设备、核心层的设备、汇聚层的设备、接入层的设备;
云上资源:云上的IT基础架构主要的资源如图中所示:网络层有vpc,计算有云服务器等,存储有对象存储等。
安全组是一个逻辑上的划分,这个分组由同一个地域内具有相同安全保护需求并相互信任的云主机组成。安全组用来实现安全组内和组间虚拟机的访问控制,加强虚拟机的安全保护。安全组创建后,用户可以在安全组中定义各种访问规则,当虚拟机加入该安全组后,即受到这些访问规则的保护。安全组默认出方向放行,并且组内云主机可相互访问。
子网是属于VPC的资源,一个VPC内的子网可以进行通信,不同VPC的子网不能进行通信。
子网创建好后,网段不能进行修改。
子网的网段要在VPC的网段内部,VPC提供三段私网网段,10.0.0.0/8~24、 172.16.0.0/12~24和192.168.0.0/16~24,所以子网的网段也会在这些范围内。
公有云提供弹性公网IP(EIP)、NAT网关、弹性负载均衡(ELB)等方式连接公网。
EIP提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式,可以满足各种业务场景的需要。
ELB将访问流量自动分发到多台弹性云服务器,扩展应用系统对外的服务能力,实现更高水平的应用容错。为负载均衡器配置需要监听的端口信息以及弹性云服务器,通过监听器来检查后端弹性云服务器的运行状态,确保将请求发送到正常的弹性云服务器上,提高系统可用性。
NAT网关能够为VPC内的弹性云服务器提供SNAT和DNAT功能,通过灵活简易的配置,即可轻松构建VPC的公网出入口。
两个同一区域内的VPC之间使用私有IP地址进行内网通信时,需要使用到对等连接服务。
对比这两种类型的基础架构,并不能直观看到两者的差异。最主要的区别就在于服务器
与存储。
服务器方面:将传统服务器与云服务器从产品性能、可靠性、安全、价格进行对比;
存储方面:本地存储一向以可靠性高、稳定性好,功能丰富而著称,但与此同时,本
地存储也暴露出横向扩展性差、价格昂贵、数据连通困难等不足,容易形成数据孤岛,导致数据中心管理和维护成本居高不下;云上存储即分布式存储主要是以软件定义存 储为主。云存储提高了存储效率,通过分布式技术解决了存储空间的浪费,可以自动 重新分配数据。
云上基础架构解析
云服务器优势:可用性强、稳定性强、安全性强、可扩展性强;
云负载均衡特点:支持多协议、转发灵活、会话保持、配合弹性伸缩;
关系型数据库::即开即用、稳定可靠、可弹性伸缩;
对象存储:容量无限大、数据安全可靠、使用方便;
基础架构设计案例:
案例是一个典型的 3 层 web 应用系统, 包括 web 层、应用层、数据层。 系统状态保存在数据库中。在弹性负载均衡器(ELB)后运行多个弹性云主机(ECS )实例可以提供系统的可用性和可伸缩性,ELB 通过弹性IP接入Internet。数据备份:可将数据逻辑备份保存在对象存储产品中;数据层:使用关系类数据库,建议直接使用天翼云RDS服务。
对CPU、内存、硬盘空间无特殊要求;
对成本比较敏感;
对安全性、可靠性要求高;
对网络带宽有一定的要求。
天翼云高性能架构设计
云上高性能架构升级云上虚拟化硬件配置、优化云上高性能架构、就近部署。
升级云上虚拟化硬件配置:主要从云主机、物理机服务、GPU云主机三方面进行产品选型。
GPU 加速云主机能够提供优秀的浮点计算能力,从容应对高实时、高并发的海量计算场景。特别适合于深度学习、科学计算、CAE、3D 动画渲染、CAD 等应用。
GPU 加速型云主机分为图形加速基础型(G1、G2、G5)和计算加速型(P1、P2V)
GPU 适用于虚拟化环境下运行的图形渲染、 工程制图等应用场景。物理机可以为用户提供资源独享、安全可靠的云上物理机服务器。
云上高性能架构优化:
云上架构可扩展性。这里主要考虑负载均衡和消息队列的使用。这里我们会了解到天翼云分布式消息服务,它是一项基于分布式集群技术的消息中间件服务,具有高可靠、高并发、低时延、海量消息堆积的能力特点。
缓存:这里关注的主要是数据层高性能设计。在数据层高性能设计环节,主要就是数据 库和存储的产品设计。数据库方面可以统称为结构化数据,存储主要就是非结构化数据。我们需要了解关系型数据库、分布式缓存服务、天翼云的文档数据库服务。非结构化数 据主要从云硬盘、共享云硬盘、对象存储、弹性文件存储来进行产品选型,进行架构设 计。
高性能架构的就近部署: CDN(CT–CDN,Content Delivery Network),即内容分发网络,是中国电信依托分布于全国的网络节点搭建的一层虚拟网络。它将源站内容分发至最接近 用户的节点,使用户可就近获取所需内容,解决因跨运营商访问、跨地域访问、服务器带 宽及性能带来的访问延迟问题,提高用户访问的响应速度和成功率。天翼云CDN的相关产
品与服务主要有下载加速、静态加速、视频直播加速、视频点播加速。
静态加速(Static Content Delivery,SCD),又名静态内容分发网络。网站的图标、图片、文字、动画、脚本等组成了网站的静态内容,其文件类型包括但不限于JPG、GIF、
CSS、JS、HTML 和 PDF等。静态内容传递了网站的核心价值。通过天翼云静态内容加速,可极大减少网站的响应时间,显著提升网页用户体验。
天翼云高性能架构设计案例:前端用户请求通过CDN服务响应,CDN主要用来做服务加速,对于可以满足的响应直接使用CDN解决,无法满足的请求转发给后端ELB。
弹性架构概念:弹性架构即随着业务的变化能够进行灵活的、自动的弹性伸缩的一种架构。它包括基础设施层的弹性、应用层的弹性、数据层的弹性等。
优点:弹性、随需计算,充分优化企业的计算资源;
缺点:应用要从架构层做到可横向扩展化改造,依赖的底层配套比较多,对技术水平、实力、应用规模要求都较高。
弹性架构设计原则:
IT基础设施层弹性设计:主要讲的是应用服务器集群的弹性设计。这个设计中,我们了解到请求分发装置负载均衡服务器。HTTP重定向负载均衡;DNS域名解析负载均衡;反向代理负载均衡;IP负载均衡;数据链路层负载均衡。DNS根据A记录和负载均衡算法可以计算得到一个IP地址。
应用层的弹性设计:通常是由PHP、Java、python等写的逻辑代码构成的,需要依赖后台数据库和缓存层面的东西。最核心的就是,应用层不要有状态,将状态分散到缓存层还有数据层;
存储层的弹性设计:这里主要是有缓存的弹性和数据层的弹性两方面。
缓存弹性:以Memcache分布式缓存集群的访问模型;分布式缓存的一致性Hash算法。
数据层的弹性:关系数据库集群的弹性设计和NoSQL数据的弹性设计。
弹性架构的设计模式:水平扩展(增加更多的系统成员)和垂直扩展(增加单个系统成员的负荷)。
传统弹性架构解决方案:主要从脚本、配置、监控系统、自动化部署工具角度来设计。遇到的问题有配置管理操作复杂、脚本稳定性不高、自动化程度不高、学习成本高等问题。
展示层为用户交互,接受和呈现信息:弹性伸缩监控;应用成本分析展示;虚拟计费
(待定)。
逻辑层为运维自动化的核心:弹性伸缩系统;自动化部署;计算资源分配.
资源层为计算、存储、网络、CDN等基础设施资源
天翼云弹性架构设计
基础设施层的弹性设计:
公有云IaaS它通常通过互联网为企业提供虚拟化的计算资源。
天翼云EIP支持与云主机、物理机、NAT网关、负载均衡等实例灵活地绑定与解绑,支持带宽灵活调整,应对各种业务变化;天翼云NAT网关能够为虚拟私有云(Virtual Private Cloud,VPC)内的计算实例提供网络地址转换服务,多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹性云主机提供互联网服务。
同一个NAT网关下的多条规则可以复用同一个弹性IP,不同网关下的规则必须使用不同的弹性IP。
弹性IP的功能
灵活绑定:支持弹性 IP 灵活的绑定和解绑,用户可以使用弹性 IP快速解绑故障实例,绑定到正常实例上,保证业务可用性。
网络适配:可以根据自身业务需求灵活调整网络带宽。独立管理:可以独立管理弹性IP 生命周期。
功能叠加:IPv6功能叠加在IPv4弹性IP功能上实现,用户只需考虑IPv6与IPv4的对应关系即可,无需考虑IPv6与后端云主机等的绑定关系,绑定关系仍由IPv4弹性
IP实现。
共用带宽:IPv6与IPv4共用IPv4的带宽,无需额外申请IPv6带宽。
III.每个VPC支持的NAT网关数为1。
用户不能在VPC下手动添加默认路由。
VPC内的每个子网只能添加一条SNAT规则。
SNAT和DNAT不能共用同一个弹性IP。
DNAT规则不支持将弹性IP绑定到虚拟IP。
当云主机同时配置弹性IP服务和NAT网关服务时,数据均通过弹性IP转发。
NAT网关的规格会影响SNAT功能的最大连接数和每秒新建连接数,数据吞吐量由弹性IP的带宽决定。
在系统并发数由小到大逐渐增大的过程中,系统的吞吐量一般是先逐渐增大,达到一个极限后,随着并发数的增加反而下降,达到系统崩溃点后,资源耗尽,此时的吞吐量为0;
SNAT规则中添加的自定义网段,对于虚拟私有云的配置,必须是虚拟私有云子网网段的子集,不能相等。
SNAT规则中添加的自定义网段,对于云专线的配置,必须是云专线侧网段,且不能与虚拟私有云侧的网段冲突。
路由表允许用户添加自定义路由,使VPC内其他云主机通过绑定弹性IP的云主机访问Internet网络。
应用层的弹性设计:从弹性云主机、天翼云负载均衡服务、天翼云弹性伸缩服务来进行考虑设计。
负载均衡类型:天翼云提供公网负载均衡。
会话保持:用户可针对负载均衡服务监听器开启会话保持功能,针对7层 (HTTP协议)服务,负载均衡系统是基于cookie的会话保持;针对4层(TCP协议)服务,负载均衡系统是基于IP地址的会话保持。
获取用户真实IP:针对7层(HTTP协议)服务,负载均衡支持通过Http Header: X- Forwarded-For获取来访者真实IP;针对4层(TCP协议)服务,支持通过配置TOA插件获取用户真实IP。
转发策略:用户设置负载均衡监听器转发策略时,可选择轮询、最小连接数和源地址三种模式的转发规则。
健康检查;支持用户自定义健康检查方式和频率,负载均衡根据预设的健康检查规则定时检查后端云主机是否正常运行,一旦检测到云主机为非健康状态,则不会将访问流量分派到这些非健康云主机实例。
天翼云弹性云主机具备快速开通的优势,无论是一台还是百台,均可实现分钟级开通使用。
当购买的天翼云弹性云主机的CPU和内存不能满足要求时,可以通过规格变更进行处理。
数据层的弹性设计:从结构化数据和非结构化数据来进行考虑。结构化数据:数据库层面
来考虑,数据库RDS、分布式关系型数据库、分布式缓存进行选择设计。非结构化数据从云硬盘、对象存储来进行考虑设计选型。注意(云硬盘主要是进行块存储。天翼云云硬盘是一种基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘,满足文件系统、数据库或者其他应用等的存储)。
天翼云弹性架构综合案例
天翼云混合云解决方案:依托中国电信云与网的优势,以及丰富的项目经验,为客户提供包含云专线,云网关,私有云,混合云等完整的解决方案。满足客户不同的上云选择,帮助企业实现数字化转型或其他业务战略。
该架构具备的特点有:统一管理,统一服务;云网协同,弹性部署;运维管理,统一平台;无缝互联,灾备保障。
高可用架构概念
系统运行中遇到的问题:资源不可用,包括网络和服务器出故障,网络出故障表明节点 连接不上; 资源不足,在高并发的情况下,节点无法正常工作,对外表现为响应超时;节点的功能有问题,这个主要体现在我们开发的代码上,比如它的内部业务逻辑有问题,或者是接口不兼容导致客户端调用出了问题。
可用性概念:可用性=平均故障间隔/(平均故障间隔+平均修复时间),也就是我们常说的多少个9,99.9%,99.99% ,即可用性层次级别。
高可用架构架构设计原则
接入层设计原则:接入层主要是流量入口,经过简单。设计是应该注意:制定相关的
《域名规范管理说明》,例如根据产品重要等级,制定使用高防ip的策略;搭建我们API 网关,方便API日常管理,包括版本管理,升级,回滚。同时提高调试工具,方便开发人 员, QA调试和测试。 更重要的是API网关起到限流防刷(CC攻击)作用,保护后端服务。
应用层设计原则:可以水平扩展;无状态设计;回滚设计;灰度设计。
服务层设计原则:服务分级管理。这里涉及各级服务的部署原则、各级服务上线发布原则、各级服务监控原则。
数据层设计原则:统一数据视图;数据、应用分离;数据异构;数据读写分离;用mysql数据;合理使用缓存。
连接关系型数据库实例。以 Linux 系统为例,执行如下命令。
mysql -h <hostName> -P <port> -u <userName> -p --ssl-ca=<caName>
参数 | 说明 |
<hostName> | 目标实例的弹性公网 IP。 |
<port> | 目标实例的数据库端口。 |
<userName> | 用户名,即关系型数据库帐号(默认管理员帐号为 root)。 |
<caName> | 相应的 SSL 证书文件名,该文件需放在执行该命令的路径下。 |
高可用架构传统解决方案:高可用架构具体可分为计算高可用和存储高可用
计算高可用架构:
方法: 通过增加更多的服务器来达到计算高可用。
计算高可用架构分为主备、主从、对称集群、非对称集群。主备又分为冷备和温备。前面需要人工更换,集群则会自动更换。
存储高可用架构
存储高可用架构本质:通过将数据复制到多个存储设备;通过数据冗余的方式来实现高可用。
常见的存储高可用有主备、主从、双主,集群(数据集中集群和数据分散集群),分区。
天翼云高可用架构设计
基础设施层高可用架构设计:天翼云云基础设施围绕区域(Regin)和可用区(“AZ”)构建。每个地域完全独立。每个可用区完全隔离,但同一个地域内的可用区之间使用低时延链路相连。基于天翼云产品搭建的高可用架构可支持多区域多可用区使用。
我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。
区域(Region)指物理的数据中心。每个区域完全独立,这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。
可用区(AZ,Availability Zone)是同一区域内,电力和网络互相隔离的物理区域,一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区,不同可用区之间物理隔离,但内网互通,既保障了可用区的独立性,又提供了低价、低时延的网络连接。
下图阐明了区域和可用区之间的关系。
应用层高可用设计:应用层主要处理的是业务逻辑。它有一个显著的特点就是应用的无状态性。在应用层设计中,我们需要解决的问题是:应用服务器宕机、应用服务bug。
天翼云单台弹性云主机的可用性可达到99.95%;并且弹性云主机可在不同可用区中部署(可用区之间通过内网连接)
天翼云的弹性负载均衡,服务器本身有冗余设计,不会出现单点故障。并且会自动剔除不健康云主机,保证在健康主机上进行负载,实现业务可用性。
天翼云弹性负载均衡支持TCP、UDP协议的四层负载均衡和HTTP协议的七层负载均衡
(HTTP协议、HTTPS协议)。
天翼云的弹性伸缩服务可以支持非负载均衡场景和负载均衡场景下的弹性伸缩服务,自动替换不健康实例。可自动增加或者减少云主机,操作灵活,从而保障业务灵活可用,避免损失。它可以实现伸缩组管理、伸缩策略管理、伸缩配置管理功能。
伸缩组配置:
最大/最小实例数:伸缩策略条件满足时,根据最大实例数和最小实例数自动调整需要添加或移除的云主机数量。例如,按照伸缩规则要求,需要将云主机数量
增加到10台,但最大实例数是8,则系统会按照8台云主机数量进行弹性伸缩活动;
期望实例数:默认的云主机数量,伸缩组创建时,自动创建的云主机数量。创建后可以手工修改该值,修改该值就会触发一次弹性伸缩活动。
III.冷却时间:冷却时间是指冷却伸缩活动的时间,在每次触发伸缩活动之后,系统开始计算冷却时间。伸缩组在冷却时间内,会拒绝由告警策略触发的伸缩活动。其他类型的伸缩策略(如定时策略和周期策略等)触发的伸缩活动不受限制,但会重新开始计算冷却时间;
说明:如果伸缩活动是伸缩策略触发的,以伸缩策略的冷却时间为准;如果是手 工修改期望实例数量或者其他方式引起的伸缩活动,则以伸缩组的冷却时间为准。
健康检查方式:伸缩组的健康检查方式,默认是“云主机健康检查”方式。伸缩组使用弹性负载均衡器时,会增加“弹性负载均衡健康检查”方式;
实例移除策略:实例优先被移除的策略。当满足条件时,会触发实例移除活动,
包括如下四种方式:
根据较早创建的配置较早创建的实例:根据“较早创建的配置”较早创建的“实例”优先被移除伸缩组;
根据较早创建的配置较晚创建的实例:根据“较早创建的配置”较晚创建的“实例”优先被移除伸缩组;
较早创建的实例:创建时间较早的实例优先被移除伸缩组;
较晚创建的实例:创建时间较晚的实例优先被移除伸缩组。
弹性伸缩服务可以单独使用,也可以同弹性负载均衡(ELB),云监控(CES)一起使用。其中,云监控服务为免费服务,系统默认开通;负载均衡服务在有需求时可以部署,例如,有分布式集群需求的场景下,可以使用ELB。
VII.天翼云弹性负载均衡CT-ELB中,如需要使用80、8080、443、8443备案端口,请提前进行备案。4个备案端口默认是关闭状态,备案完成后将开放。
数据层高可用设计。在实际的选择天翼云产品时,我们可以从结构化数据高可用和非结构化数据高可用来考虑设计。
结构化数据高可用我们可以通过关系型数据库和分布式缓存数据库来实现。
i.RDS具有完善的性能监控体系和多重安全防护措施,并提供了专业的数据库管理平台,让用户能够在云中轻松的进行设置和扩展关系型数据库。
ii.分布式关系型数据库(简称DRDS),是一款分布式关系型数据库。它兼容MySQL协议,采用存储计算分离架构的模式,使得存储层、计算层可以无限扩展,从而拥有了海量数 据高并发访问能力。
iii. RDS的可用性集中在:
双机热备:RDS 采用热备架构,故障系统 1 分钟自动切换。
数据备份:支持自动备份和手动备份,并支持通过备份数据恢复实例。用户可以设置自动备份的周期,还可以根据自身业务特点随时发起备份,选择备份周期、修改备份策略。
数据恢复:支持按备份集和指定时间点的恢复。在大多数场景下,用户可以将 35天内任意一个时间点的数据恢复到 RDS 临时实例或克隆实例上,数据验证无误后即可将数据迁回 RDS 主实例,完成数据回溯。
IV.分布式缓存:天翼云分布式缓存数据库-DCS提供单机和主备两种缓存实例类型,支持自动容灾切换、在线扩容、数据备份、实例监控等数据库服务。它的可用性体现在:双机热备、数据持久化
非结构化数据高可用可以通过云硬盘、对象存储、弹性文件服务来实现。
云硬盘采用分布式存储,每份数据在后台保存多份副本,多副本数据实时同步,不会因存储掉电、故障导致用户数据丢失,保证数据安全可靠。数据存储的持久性可达99.99995%。
云硬盘的存储系统采用三副本机制来保证数据的可靠性,即针对某份数据,默认将数据分为1 MB大小的数据块,每一个数据块被复制为3个副本,然后按照一定的分布式存储算法将这些副本保存在集群中的不同节点上。
云硬盘三副本技术的主要特点如下:
存储系统自动确保3个数据副本分布在不同服务器的不同物理磁盘上,单个硬件设备的故障不会影响业务
存储系统确保3个数据副本之间的数据强一致性。天翼云硬盘不支持减容操作。
如果当前磁盘使用的是 MBR 格式,并且磁盘的分区数量已经达到上限,则此时需要替
换原有分区,替换原有分区不会删除原有分区的数据,但是需要先卸载原有分区,会影响线上业务运行。如果当前磁盘使用的是 MBR 格式,并且扩容后磁盘容量已经超过 2
TB,则 MBR 格式无法对超过 2 TB 的部分进行分区。此时若将 MBR 分区方式换为 GPT,更换磁盘分区方式时会清除磁盘的原有数据,请先对数据进行备份。
ii.对象存储服务设计可用性不低于99.9%;数据设计持久性可高达99.99999999999%;对象存储服务规模可大规模在线扩展,不影响对外服务;支持多副本和纠删码冗余。
命名规范:对象容器(Bucket)的命名规范是:
Bucket 名称必须全局唯一;
Bucket 名称长度介于 3 到 63 字节之间;
Bucket 名称只能由小写字母、数字、短横线(-)和点(.)组成;
Bucket 名称可以由一个或者多个小节组成,小节之间用点(.)隔开,各个小节需要:
必须以小写字母或者数字开始;
必须以小写字母或者数字结束。
Bucket 名称不能是 IP 地址形式(如 192.162.0.1);
Bucket 名称不能是一组或多组“数字.数字”的组合;
Bucket 名称中不能包含双点(..)、横线点(-.)和点横线(.-);
不允许使用非法敏感字符,例如暴恐涉政相关信息等。
访问权限
中国电信天翼云对象存储系统提供Bucket级别的权限控制,Bucket目前有3种访问权限:public(公有),private(私有),public-read(只读)。各自的含义如下:
公有:任何人(包括匿名访问)都可以对该容器(Bucket)中的对象
(Object)进行 Put,Get 和 Delete 操作。这些操作可能会造成 Bucket 所有者数据的增加或者丢失,且所有这些操作产生的费用由该 Bucket 的所有者承担,所以请慎用该权限。
私有:只有该 Bucket 的所有者可以对该 Bucket 内的对象进行读写操作(包括 Put、Delete 和 Get Object);其他人无法访问该 Bucket 内的对象。
只读:只有该 Bucket 的所有者可以对该 Bucket 内的对象进行写操作(包括
Put 和 Delete Object);任何人(包括匿名访问)可以对该 Bucket 中的对象进行读操作(Get Object)。
iii.弹性文件服务具备高可用性和持久性,为海量数据、高带宽应用提供有力支持。
天翼云高可用案例介绍
分布式消息服务解决方案:基于天翼云提供完整的电商云解决方案,提供资源的弹性伸缩能力、全方位的云安全服务、分布式云中间件、微服务应用平台等,帮助企业快速搭建安全可靠的电 商云平台,从容应对促销、秒杀场景;大数据服务能力帮助客户进行精准营销和用户运营。
1.高性能架构衡量指标: 从技术人员的视角,我们可以从响应时间、吞吐量、并发量、性能计算器来了解。
响应时间:指应用执行一个操作需要的时间,包括从发出请求开始到收到最后响应数据所需要的时间。它直观的反应了系统的"快慢";
并发数:指系统能够同时处理请求的数目,这个数字直接反映了系统的负载特性。
吞吐量:指单位时间内系统处理的请求数量,体现系统的整体处理能力;
性能计算器 :它是描述服务器或者操作系统性能的一些数据指标。包含系统负载、对象与线程数、内存使用、CPU 使用、磁盘与网络 IO 等。
高性能架构的设计原则:高性能架构的设计主要集中在两个方面:设计时尽量提升单服务器的性能,将单服务器的性能发挥到极致 ;如果单服务器无法支撑性能,考虑服务器集群方案。
计算高性能:
单服务器高性能:它设计的关键之一就是服务器采取的网络编程模型;
集群高性能:它的本质很简单,通过增加更多的服务器来提升系统整体的计算能力。我们可以选择水平扩展的方式——也就是增加机器,以扩大计算能力。
存储高性能:存储高性能主要解决存储层读写性能低的问题,常见的方式有:读写分离、数据分片、添加缓存。
读写分离:该方式适合读多写少的场景,通过增加机器水平扩展,使得读性能同步提
高。 该架构往往采用主从架构,主机写,从机读,但是主从同步需要时间,特别是在网络状况差的情况下,耗时能到分钟级别。这时如果主、从数据往往不一致,会导致数据延迟;
数据分片:当单机无法存储全部数据时,需要对数据进行分片存储。但是如何设计分片却是个问题;
添加缓存:缓存主要是为了弥补存储系统在复杂业务场景下的不足,数据落地存储一般在SSD或者硬盘中,其吞吐量大但是延迟高,而缓存一般以内存为载体,速度高但是容量低。可以将热数据放在缓存中,这样数据请求时,不必访问低速的最终存储,转而访问高速的缓存,这样可以减少响应耗时。
高性能架构的传统解决方案:主要从升级硬件配置、优化架构、就近部署来考虑。
硬件配置是实现高性能服务的先决条件,在硬件配置方面经常需要使用的高性能方案。服务器性能主要从CPU、内存和磁盘三个方面来考虑;在网络方面,只有在保证带宽的情况才能实现高性能服务。
优化架构:主要是从可扩展和缓存两个方面来考虑。分布式缓存-缓存的本质是通过key-
value形式的Hash表来提升读写速度;在可扩展性方面,我们了解低耦合的系统更容易扩展,低耦合的模块更容易复用,一个低耦合的系统设计也会让开发过程和维护变得更加轻松和容易管理。在这里,我们主要是考虑是服务分层。
就近部署,这里我们会提到异地多活数据中心和CDN加速。异地多活数据中心:异地多活指分布在异地的多个站点同时对外提供服务的业务场景。异地多活与传统的灾备设计的主要区别在于“多活”,即所有站点都是同时在对外提供服务的;CDN加速将网站的内容缓存在网络边缘(离用户接近网络最近的地方),然后在用户访问网站内容的时候,通过调度系统将用户的请求路由或者引导到离用户接入网络最近或者访问效果最佳的缓存服务器上,由该缓存服务器为用户提供内容服务。
传统解决方案存在的问题:在高性能架构的基础设施层,如果业务扩大,可以采取横向扩展或者纵向扩展的方式;如果线下搭建高性能架构,需要很成熟的技术作为支撑,并且需要投入较高的资金成本。
传统架构的痛点:系统紧耦合,效率低,难扩展;”烟囱式“结构,容易形成资源和信息孤岛;流程化系统饼图,效率低;套装系统软件,响应慢;多类型前端、后端难以打通;面对突发的海量业务,无法高效处理消息。
分层解耦架构的概念:这里需要了解松耦合、紧耦合、解耦的相关概念。
松耦合系统通常是基于消息的系统,此时客户端和远程服务并不知道对方是如何实现的。客户端和服务之间的通讯由消息的架构支配,只要消息符合协商的架构,则客户端或服
务的实现就可以根据需要进行更改。松耦合架构的优点:
多任务并行处理能力获得极大提升;
实现负载自适应机制;
基本杜绝了对Server服务端的网络攻击行为,由于代理服务器的隔绝和筛查作用,同时结合其它安全管理手段,当外部攻击代理服务器时就会被识别和过滤掉,这样就保护了后面的服务器不受影响;
异步操作减少了网络资源消耗和操作关联;
提高了系统的可维护性。
紧耦合是模块或者系统之间关系太紧密,存在相互调用。
紧耦合架构优点:架构简单、设计简单、开发周期短、能够快速的开发、投入、部署、应用。
解耦合的字面意思就是解除耦合,将系统之前的耦合关系解除,形成相对独立的模块。 但是在软件工程中,做到完全解耦是不太可能的,因此,降低耦合度即可以理解为解耦。
解耦合架构的优势:
模块化,缩小故障范围;
降低变更成本;
开发人员写作更简单;
易于扩展。
分层解耦架构常见方案:支撑分层解耦架构的解决方案常见的有中间件,微服务。
中间件在操作系统、网络和数据库之上,应用软件的下层,它的作用是为处于自己上层 的应用软件提供运行与开发的环境,帮助用户灵活、高效地开发和集成复杂的应用软件。消息中间件的使用:即将同步转为异步,通过异步来实现解耦。我们可以先将消息发送 给消息中间件,只要消息中间件是高可用性的没有宕机,整个接口集成过程就是OK的, 而消息中间件再以异步方式分发消息给目标系统,同时支持重试
微服务:如果微服务已经实施完成并出现了大量紧耦合的情况,那么我们就需要在后期考虑对微服务架构进行重构。
消息队列能解决的问题:系统耦合性;处理性能低;扩展难度大。
消息中间件实现了发布者和订阅者在时间、空间和流程三个方面的解耦。
分布式消息服务:分布式消息服务(Distributed Message Service,简称DMS)是一项基于高可用分布式集群技术的消息中间件服务,提供了可靠且可扩展的托管消息队列,用于
收发消息和存储消息。使用DMS,您可以创建消息队列,将消息队列作为一个传输消息的
中转站,存储应用程序不同组件间传递的消息,从而做到在应用程序的不同组件之间传输消息时,不要求各个组件同时处于可用状态。它可以加快系统的响应速度、降低耦合性、实现数据缓存。
分布式消息服务的优势:主要从性能、灵活性、可靠性、集成这四个方面来考虑。
性能方面:支持亿级消息堆积,在消息堆积下不影响队列性能,单队列最高至10万TPS,并可通过队列数扩展提升整系统并发能力;
灵活性:队列处理能力按需自动扩展,及时方便完成系统扩展,消息投递时间可至毫秒级,保证消息及时性;
可靠性:支持数据同步落盘与多副本冗余,数据可靠性高达 99.99999999%,采用集群化部署,保障服务可用性高达99.95%;
集成:支持多种队列类型(普通、有序、Kafka)以及多协议(HTTP RESTful、TCP、
Kafka)接入,轻松完成和其他系统的集成。
分布式消息服务场景:
分布式系统异步通信:在单体应用中,各服务耦合度紧,单个服务出现问题会导致系统 对用户请求响应慢,可以进行系统解耦拆分,并用消息队列作为系统间的异步通信通道,提升整个系统的响应速度;
削峰填谷:在电子商务系统或大型网站中,系统上下游处理能力存在差异,当处理能力高的系统上游突发请求超过系统下游处理能力时,系统对外呈现的服务能力为 0。此时可以通过队列服务堆积请求消息,对请求消息实现削峰填谷,错峰处理,避免下游因突发流量崩溃;
分布式消息服务RabbitMQ的应用场景:应用解耦:以电商秒杀、抢购等流量短时间内暴增场景为例,传统做法如果库存系统发生故障,订单系统获取不到数据,订单失败。这种情况下,订单系统和库存系统两个子系统高耦合,分布式消息即可顺畅支撑应用系统解耦。
分布式消息服务Kafka应用场景:日志收集:Kafka能够做到流计算处理,如股市走向分析、气象数据测控、网站用户行为分析等,这些领域中数据产生快、实时性强、数据量大,很难统一采集并入库存储后再做处理。而Kafka Stream以及Storm/Spark等流计算引擎,可根据业务需求对数据进行计算分析,最终把结果保存或者分发给所需组件。
天翼云微服务平台快速搭建微服务架构
天翼云微服务云应用平台(ServiceStage,CT-SS)是面向企业级开发一站式DevOps平台服务,支持基于微服务的应用开发、治理、部署及运维监控的全生命周期管理,并提供大规模容器集群管理等平台能力,帮助用户快速构建云分布式应用。
平台优势:开放-微服务框架;治理-保障高可靠;管理-全生命周期;灵活-弹性伸缩。
构建分布式系统:分布式应用相对于传统单进程应用新增或加强了很多技术点,例如服务发现,负载均衡,熔断容错,限流降级,调用追踪,日志聚合等,把这些通用能力全部打包到一个SDK里,开发人员只需几个简单的注解即可把上述所有通用能力导入到其开发的业务微服务里,对业务逻辑完全无侵入性。
天翼云服务分层解耦架构案例:
工业电商云解决方案-基于天翼云提供完整的电商云解决方案,提供资源的弹性伸缩能力、全方位的云安全、分布式云中间件、微服务应用平台等,帮助企业快速搭建安全可靠的电商云平台,从容应对促销、秒杀场景;大数据服务能力帮助客户进行精准营销和用户运营。它的优势体现在支持快速弹性伸缩、全面安全防护、数据安全及实现大数据服务。
七类网络安全事件包括:《国家网络安全事件应急预案》规定,网络安全事件是指由于人 为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害, 可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
网络安全事件的分级:依据损失程度,分为4级:特别重大、重大、较大、一般。
我国第一部《网络安全法》于2020年6月1日起正式实施。
等保概念:等保是指对网络和信息系统按照重要性等级分级别保护的一种工作。安全保护等级越高,安全保护能力就越强。根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级。
传统安防方案包括:硬件防火墙、硬件WAF、硬件Anti-DDoS。
新型安防方案包括:下一代防火墙、态势感知。
安全责任共担模型是指:不同组织承担实施、运维和管理不同的责任。因此安全责任由不同的组织分担,所有的参与的组织都包含其中。这个体现安全责任的模型被称为共享责任模型。
云服务提供商CSP的安全责任包括:
承担全部基础设施的安全;
网络安全,承担网络隔离、安全服务白名单、外部DDoS泛洪攻击、扫描的防护;
主机安全,承担虚拟化层的安全加固、系统镜像库、租户根访问权限。
云租户CSC安全责任包括:
承担虚拟机内应用的安全;
网络安全,承担网络威胁检测、安全监控;
主机安全,承担访问控制管理、补丁管理、配置加固、安全监控、日志分析。
天翼云通用场景安全服务解决方案,以云平台数据安全为核心,主要覆盖网络、系统(主机)、应用、数据、运维等基础领域。
Anti-DDoS流量清洗(CT-AntiDDoS ,Anti-DDoS )通过专业的DDoS防护设备来为用户互
联网应用提供精细化的抵御DDOS攻击能力,如UDP Flood攻击、SYN Flood攻击和CC攻击等。用户可以业务模型配置流量参数阈值,可以监控攻防状态,实时保证业务安全运行。
拒绝服务攻击(Denial of Service Attack,缩写:DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。当黑客使用网络上两个或以上被攻陷的电脑作为攻击机器向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击。
天翼云Anti-DDoS流量清洗功能提供查看安全报告能力,其查看区间为一周。
SSL VPN统一业务安全接入平台,帮助用户在任何时间、任何地点、使用任何主流终端,安全、快速地接入业务系统。它以SSL/IPSec二合一VPN安全网关为基础,融合远程应用发布(EasyConnect)等多种移动终端的安全接入方式,通过构建一套平台,即可满足移动办公、分支互联、协同办公、应用虚拟化等多种需求。
服务器安全卫士,通过对主机信息和行为进行持续监控和分析,快速精准地发现安全威胁和入侵事件,并提供灵活高效的问题解决能力,将自适应安全理念真正落地,为用户提供下一代安全检测和响应能力。
服务器安全卫士产品规格分为三种:基础版、企业版、旗舰版。应用风险的功能是只有旗舰版才支持的功能。
Web应用防火墙(CT-WAF,Web Application Firewall)是一款专业为网站提供安全防护的服务。通过多维度防御策略,为网站拦截SQL注入、XSS跨站、命令&代码注入、敏感文件访问、恶意爬虫等Web类型的攻击,保障您的业务安全稳定运行。
天翼云数据库安全为天翼云用户提供数据脱敏、数据库审计、敏感数据发现和数据库攻击防护等功能,是一体化数据库安全解决方案,利用反向代理技术,部署在数据库的前端,为数据库提供实时安全保护和合规性的数据库安全防护服务。
数据加密服务基于国家密码局认证的硬件加密机提供可独占、高性能、安全合规的加密域计算资源,将用户线下加密设备能力转移到云上,为用户提供云上数据加密服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。
日志审计(CT-LA Log Audit)通过主被动结合的方式,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储(可根据日志规模大小进行分布式存储,支持水平弹性扩展和数据高可靠性存储)、索引、备份、全文检索、实时搜索、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
态势感知为用户提供统一的威胁检测和风险处置平台。态势感知能够帮助用户检测云上资产遭受到的各种典型安全风险,还原攻击历史,感知攻击现状,预测攻击态势。
天翼云态势感知服务高级版的独有功能包括:权威情报数据、权威安全预警、攻击源警告和恶意网站告警。
云堡垒机是一款针对云主机、云数据库、网络设备等的运维权限、运维行为进行管理和审计的服务。主要解决云上IT运维过程中操作系统账号复用、数据泄露、运维权限混乱、运维过程不透明等难题。云服务器配置决定云堡垒机的并发性能,并发会话数指运维端和云服务器的运维连接数;并发会话数取决于云服务器的硬件配置,可以通过提高硬件配置来提高并发会话数。
云上安全架构设计原则为:
没有绝对的安全,根据业务实际需要与预算进行合理设计
安全是一项系统工程,适用木桶原则:任何一项安全短板都会降低整体的安全性。因此在安全设计规划阶段需要系统性地对网络、主机、应用、数据和运维各方面的安全风险进行规划防范。
规划的思路我们可以从各方面面临的安全威胁入手,进而得到需要落地的防护技术。
天翼云整体安全架构由网络安全、主机安全、数据安全、应用安全和运维安全服务组成。天翼云提供一站式云安全解决方案,不仅保障物理、环境安全和虚拟化安全,同时可解决基础设施、应用和数据相关的全方位安全控制与防护。
天翼云等保合规服务流程包括以下四个环节:
定级备案:主要对信息系统的重要程度进行定级,并与公安机关进行系统备案;
差距分析:根据等级保护体系的标准与规范,进行合规性与风险分析;
安全整改:提出贴合信息系统实际情况的安全整改与加固设计方案;
等保测评:对信息系统进行测评,并出具等级保护测评报告。
天翼云5S安全体系包括系统(System)、保密(Secrecy)、持久(Sustainability)、标准(Standard)和服务(Service)五部分内容。
传统运维工具——cacti、Nagios、ganglia、Zabbix、Centreon。
管理控制台是网页形式的,您可以使用直观的界面进行相应的操作。而如果您需要将云平台上的服务集成到第三方系统,用于二次开发,可以选择API的方式来进行云资源的运维和管理。
天翼云管理控制台是统一查看和管理天翼云产品及服务的平台。管理控制台面向天翼云用户,通过图形化界面、Cloud shell命令行工具等进行配置操作。核心功能主要包括但不限于:
管理云账号和基础安全设置。
获取在天翼云消费的所有账单信息,管理发票、合同等财资业务。
全面使用和管控天翼云产品。
订阅第三方合作伙伴提供的应用。
通过工单方式获得服务支持等等。
API,英文全称Application Programming Interface,翻译为“应用程序编程接口”。是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。
云API产品优势:
云API提供多语言SDK,方便开发者访问API。
简单配置即可快速提供API,少量的代码即可轻松使用API。
私有加密协议,传输内容更精简,使用更安全。
完善的监控报警功能让您无忧管理API。
在监控的通用架构中, 首先,监控系统在我们的监控对象中进行数据采集,比如在我们的ECS云主机或者说RDS云数据库中进行数据的采集。然后,采集到的各类指标进行各种处
理后会进行监控数据的存储。最后数据会应用到两个重要的用途——监控告警和监控展示。
云监控服务面向云主机、云硬盘、RDS等产品提供监控服务,实现性能指标监控、自动告警、历史信息查询等功能。借助云监控服务,用户可以更详细的了解云资源的使用情况,方便用户及时调整。
云监控目前支持的指标如下所示:
弹性云主机9个指标:CPU使用率、磁盘读速率、磁盘读操作速率、磁盘使用率、磁盘写速率、磁盘写操作速率、内存使用率、带内网络流入速率和带内网络流出速率。
云硬盘4个指标:卷读速率、卷写速率、卷读请求速率、卷写请求速率。
弹性伸缩组1个指标:实例数。
负载均衡10个指标:并发连接数、活跃连接数、非活跃连接数、新建连接数、流入数据包数、流出数据包数、网络流入速率、网络流出速率、异常主机数、正常主机数。
虚拟私有云2个指标:上行带宽、下行带宽。
关系型数据库40个指标:CPU使用率、内存使用率、IOPS、网络输入吞吐量、网络输出吞吐量、数据库总连接数、当前活跃连接数、QPS、TPS、缓冲池利用率、缓冲池命中率、缓冲池脏块率、InnoDB读取吞吐量、 InnoDB写入吞吐量、 InnoDB文件读取频率、
InnoDB文件写入频率 、InnoDB日志写请求频率、InnoDB日志物理写频率、InnoDB日志
fsync()写频率、临时表数量、Key Buffer利用率、Key Buffer写命中率、Key Buffer读命中率、MyISAM硬盘写入频率、MyISAM硬盘读取频率、MyISAM缓冲池写入频率、MyISAM缓冲池读取频率、Delete 语句执行频率、Instert语句执行频率、Instert_Selection语句执行频率、Replace语句执行频率、Replace_Selection语句执行频率、Selection语句执行频率、Select语句执行频率、Update语句执行频率、行删除速率、行插入速率、行读取速率、行更新速率、硬盘利用率。
云监控的主要功能:监控概览、云主机监控、云服务监控、数据可视化、支持查看和导出监控数据、支持告警管理。其中云主机监控功能主要是指基础监控和操作系统监控。
云监控内部组件大体上可以划分为Console模块、API模块、消息队列模块、告警处理模块、数据聚合模块和数据库模块。一个典型的业务流程:被监控的云服务(比如弹性云主机) 将指标数据上报到云监控,用户通过console模块添加告警规则,告警规则通过API模块处 理后,一方面将规则入库,一方面通过消息队列模块下发告警规则到告警处理模块。告警
处理模块按照设置的规则从聚合模块取数据,判断处理告警状态后触发告警或通知。
天翼云云审计服务是天翼云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
云审计的功能:
记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。
审计日志查询:支持在管理控制台对7天内操作记录按照事件来源、资源类型、事件名称、资源名称/ID、事件级别和时间范围等多个维度进行组合查询。
审计日志转储:支持将审计日志周期性的转储至对象存储服务(Object Storage
Service,简称OSS)下的OSS桶,转储时会按照服务维度压缩审计日志为事件文件。
立体化运维:天翼云提供应用运维管理和应用性能管理结合的立体化运维解决方案,为大型分布式应用保驾护航。
灾难的定义:从一个计算机系统的角度来讲,一切引起系统非正常停机的事件都可以称为灾难。针对系统的灾难大致可以分成以下三个类型:
自然灾害,包括地震、火灾、洪水、雷电等,这种灾难破坏性大,影响面广;
设备故障,包括主机的CPU、硬盘等损坏,电源中断以及网络故障等,这类灾难影响范围比较小,破坏性小。
数据中心故障,包括电源故障、人为蓄意破坏等等,都可能影响IT系统业务连续性。
容灾就是在灾难发生时,在保证生产系统的数据尽量少丢失的情况下,保持生存系统的业务不间断地运行。容灾系统是指在相隔较远的异地,建立两套或多套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。
RPO:(Recovery Point Obejective,恢复点目标)是指业务系统所允许的在灾难过程中的最大数据丢失量,用来衡量容灾系统的数据冗余备份能力。RPO:以数据为出发点,衡量能够容忍的数据丢失量
RTO:(Recovery Time Objective,恢复时间目标)是指信息系统从灾难状态恢复到可运
行状态所需的时间,用来衡量容灾系统的业务恢复能力。RTO:以应用为出发点,衡量能够容忍的应用系统恢复时间段。
镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的存储过程。远程镜像技术是在主数据中心和备援中心之间的数据备份时用到。同步远程镜像也叫同步复制技术,是指通过远程镜像软件,将本地数据以完全同步的方式复制到异地,每一本地的I/O事务均需等待远程复制的完成确认信息,方予以释放。异步远程镜像也称异步复制技术,保证在更新远程存储视图前完成向本地存储系统的基本操作,而由本地存储系统提供给请求镜像主机的I/O操作完成确认信息。远程的数据复制是以后台同步的方式进行的,这使本地系统性能受到的影响很小,传输距离长(可达1000公里以上),对网络带宽要求小。
快照是通过软件对要备份的磁盘子系统的数据快速扫描,建立一个要备份数据的快照逻辑单元号LUN和快照cache。快照是通过内存作为缓冲区(快照cache),由快照软件提供系统磁盘存储的即时数据映像,它存在缓冲区调度的问题。
基于IPSAN的远程数据容灾备份技术:利用基于IP的SAN的互连协议,将主数据中心SAN中的信息通过现有的TCP/IP网络,远程复制到备援中心SAN中。
数据容灾,是指建立一个异地的数据系统,该系统是本地关键应用数据的一个可用复制。应用容灾,是在数据容灾的基础上,在异地建立一套完整的与本地生产系统相当的备份应用系统 (可以是互为备份)。业务级容灾是全业务的灾备,除了必要的IT相关技术,还要求具备全部的基础设施。
备份指将文件系统或数据库系统中的数据加以复制;一旦发生灾难或错误操作时,得以方便而及时地恢复系统的有效数据和正常运作。
根据备份的时间及读写可用性可以将备份分为冷备、热备和温备,冷备:备份点平时不启动(甚至可以在主节点首次故障时才进行部署),当主节点故障时,需要先恢复备份点的数据,再启动备份组件。热备:备份点提前部署好。备份组件启动但不处理数据或请求。数据几乎实时镜像到备份点,主备系统有一致的数据。温备:备份点提前部署好,但备份组件平时不启动。当主节点故障时,启动备份节点上的备份组件。
根据备份的内容可以将备份分为全量备份、增量备份以及差异备份,全量备份就是指对某 一个时间点上的所有数据或应用进行的一个完全拷贝。增量备份是指在一次全备份或上一 次增量备份后,以后每次的备份只需备份与前一次相比增加和者被修改的文件。差异备份:是指在一次全备份后到进行差异备份的这段时间内,对那些增加或者修改文件的备份。
Host-Base 备份方式,基于主机的备份系统是最简单的一种数据保护方案,在大多数情况
下,这种备份大多是采用服务器上自带的磁带机或备份硬盘,而备份操作往往也是通过手工操作的方式进行的。
LAN-Base备份方式,LAN-Based 备份结构,是小型办公环境最常使用的备份结构。在该系统中数据的传输是以局域网络为基础的,首先预先配置一台服务器作为备份管理服务器,它负责整个系统的备份操作。磁带库则接在这台备份服务器上,当需要备份数据时,备份服务器把数据通过网络传输到磁带库中,完成数据的备份。
LAN-free有多种实施方式。通常,用户都需要为每台服务器配备光纤通道适配器,适配器负责把这些服务器连接到与一台或多台磁带机相连的SAN上。同时,还需要为服务器配备特定的管理软件,通过它,系统能够把块格式的数据从服务器内存、经SAN传输到磁带机或磁带库中。还有一种常用的LAN-free实施办法,在这种结构中,主备份服务器上的管理软件可以启动其他服务器的数据备份操作。块格式的数据从磁盘阵列通过SAN传输到临时存储数据的备份服务器的内存中,之后再经SAN传输到磁带机或磁带库中。
Server-free也有几种实施方式。通常情况下,备份数据通过名为数据移动器的设备从磁盘阵列传输到磁带库上。另一种实施方法就是利用网络数据管理协议(NDMP)。NDMP把命令从服务器传输到备份应用中,而与NDMP兼容的备份软件会开始实际的数据传输工作,且数据的传输并不通过服务器内存。
容灾不等于备份,容灾是为了在遭遇灾害时能保证信息系统能正常运行,帮助企业实现业务连续性的目标,而备份是为了应对灾难来临时造成的数据丢失问题。
容灾和备份的联系:容灾备份产品的最终目标是帮助企业应对灾害,备份是容灾的基石。容灾不能代替备份。
容灾和备份的区别:
容灾主要针对火灾、地震等重大自然灾害,因此生产站点和容灾站点之间必须保证一定的安全距离;而备份主要针对人为误操作、病毒感染、逻辑错误等因素,用于业务系统的数据恢复,数据备份一般是在同一数据中心进行。
容灾系统不仅保护数据,更重要的目的在于保证业务的连续性;而数据备份系统只保护不同时间点版本数据的可恢复。一般首次备份为全量备份,所需的备份时间会比较长,而后续增量备份则在较短时间内就可完成。
容灾保证数据的完整性;备份则只能恢复出备份时间点以前的数据。容灾是在线过程;备份是离线过程。
容灾系统中,两地的数据是实时一致的;备份的数据则具有一定的时效性。故障情况下,容灾系统的切换时间是几秒钟甚至几分钟;而备份系统的恢复时间可能几小时到几十小
时。
基于天翼云平台的容灾解决方案有以下亮点:
多数据中心:天翼云在全球分布有多个数据中心,用户可根据需求部署跨地域、跨可用区的天翼云产品,完成容灾架构设计。
稳定:每个区域及产品比较稳定,天翼云关键部件(ELB、ECS、Redis、RDS等)经多轮迭代具备比较完善的灾备能力,可以实现更细粒度的控制,可以通过更多已经产品化的功能模块实现容灾。
弹性:用户可根据业务需求横向、纵向扩缩容,按需购买使用的服务。
ELB灾备设计:集群部署,多可用区部署,健康检查
ECS灾备设计:快照备份、快照回滚、镜像备份、镜像恢复
如果云硬盘的数据发生错误或者损坏,可以回滚快照数据至创建该快照的云硬盘,从而恢复数据。注意:只支持回滚快照数据至源云硬盘,不支持快照回滚到其它云硬盘。
OOS灾备设计:多副本保存、数据高可用性,跨地域容灾
数据库容灾——RDS同城容灾:通过购买主备实例实现,主备实例采用一主一备的双机热备架构,故障系统1分钟自动切换。主节点故障时,主备节点秒级完成切换,整个切换过程对应用透明;备节点故障时,RDS会自动新建备节点以保障高可用。
数据库容灾——RDS异地容灾/自建数据库容灾:数据库复制服务(DRS)+OOS跨区域复制实现主实例和异地灾备实例之间的同步。
应用容灾——同城容灾通用架构:
在同一地域下选择购买云产品。建议在VPC网络环境下,选择同一可用区或者同地域不同可用区的云产品。
在前端购买ELB,提供负载功能,当后端ECS资源使用紧张时可以直接横向扩展,对业务无影响。
建议ECS服务器至少两台,避免单点故障。
数据库业务尽量不要和应用服务部署在同一台ECS上,防止不同服务之间资源抢占,同时方便日常管理和后期扩容。数据库服务器推荐直接购买RDS产品,数据安全有保障,同时也不需要花太多精力去运维管理。
应用容灾——同城容灾推荐架构:
在同城不同可用区之间对原有应用架构做一套完整的备份,ELB、ECS、RDS等均在两个机
房同时部署。
前端部署DNS解析,如果某个可用区出现像IDC机房断电或者火灾等机房级故障时,可以通过前端切换DNS来及时恢复业务。
非机房级故障(某个机房的单产品故障,如其中一个机房的ECS服务器损坏),故障切换保障由单产品的灾备设计保障。
天翼云同城容灾架构优势:
可用区之间高速、低延时互联,快速复制数据。
可用区之间配置网络一体化环境,方便发布、部署、配置变更等工作。
负载均衡(ELB)支持多可用区实例,产品化实现容灾及切换。
用户设置负载均衡监听器转发策略时,可选择轮询、最小连接数和源地址三种模式的转发规则。
ELB可直接同时挂载多个可用区的ECS,实现负载均衡及容灾切换。
数据库支持多可用区实例,产品化实现灾备切换。
应用容灾——异地容灾架构设计:
在不同地域、不同可用区中均对原有应用架构做一套完整的备份。
不同地域之间可以采用天翼云的高速通道进行私网通信,保障数据库之间的数据实时同步,将数据传输延迟降到最低。
故障发生时可以通过前端DNS实现快速切换,及时恢复业务。这种容灾架构方式既可以解决单机房故障也可以应对像地震等灾难性故障。
业务系统和容灾系统产生的配置信息、日志、快照和备份文件等,通过OOS跨区复制,完成主实例和容灾实例之间的数据同步。
天翼云异地容灾架构优势:
云DNS提供智能解析、方便流量分配或容灾切换。
提供VPC之间的高速通道,提供统一发布、部署、配置变更功能。
产品化提供OOS不同区域之间的数据复制。
通过数据库复制服务(DRS)提供不同区域之间的数据同步。
天翼云混合云自助式容灾服务提供准应用级热备容灾服务,支持物理隔离或逻辑隔离模式的容灾中心,提供“自服务”的数据传输计划、容灾演练、切换、恢复服务。
数据备份顾名思义,就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。数据备份的根本目的,是重新利用,这也就是说,备份工作的核心是恢复,一个无法恢复的备份,对任何系统来说都是毫无意义的。
基于天翼云平台构建的备份解决方案具备以下优势:
依托于天翼云的“无限”扩展能力为用户提供按需调用的数据备份资源。
利用多点分布的云资源池满足用户异地备份的需求。
通过数据中心内部的高速网络传输数据提供高性能的传输。
云主机备份:
通过存储一致性快照技术,将云服务器包含的多个云硬盘的数据,以及云服务器的配置规格信息(CPU、内存、网卡等配置)备份到对象存储。
支持周期性自动备份。
支持恢复原云服务器,和使用备份数据创建镜像,发放新云服务器。
云硬盘备份:
通过存储快照技术,将云硬盘数据备份到对象存储。
支持周期性自动备份。
支持恢复原云硬盘,和使用备份数据创建新云硬盘。
永久增量备份:
首次备份为全量备份,备份硬盘已用的数据块;后续备份为增量备份,备份全量备份之后变化的数据块。
每个备份点都是一个虚拟的全备,多次备份间有依赖关系的数据块以指针索引的方式引用。
删除某个备份数据(手工删除或者自动过期)时,仅删除它没有被其他备份数据所依赖的数据块。
崩溃一致性备份:基于多个云硬盘的一致性快照技术,实现云服务器的崩溃一致性备份
(云服务器内的多个云硬盘的备份为同一时间点创建的;但备份前未冻结应用和文件系统,不备份内存数据)
应用一致性备份:需要先冻结应用,保证备份期间正在运行的应用程序能完成所有操作
(如数据库事务)并将缓存中的数据刷新到磁盘中。
当企业业务已经部署在天翼云云服务器、云硬盘、SFS服务上时,建议采用云备份解决方案,使用云硬盘备份和云主机备份。
当企业希望将应用通过混合云的方式将数据、应用备份在天翼云上时,建议使用混合云备份解决方案,通过天翼云备份搭建混合云备份架构,具有以下优势:
快速部署,云化交付
安全可靠,异地保护
按需投入,灵活购置,便于管理,运维简单。
天翼云为招商局提供专属云、专用物理机、虚拟私有云、STN云专线、云托管、系统迁移、去小机等服务,规划双活网络方案,设计云平台灾备中心的VPC和各种网络流向。
在借助天翼云平台资源+云专线等资源能力,招商局实现了应用级双活灾备中心的建设,
两个中心负载分担业务流量,打造分钟级灾备应急能力,确保招商局综合管控系统可持续、稳定、安全的运行。
为了提升银行的整体效率南京银行依托天翼云云专线将省内14个数据节点汇总到的数据中心实现与总部数据互联互通,并通过天翼云提供的存储网关汇聚,以增量备份的形式,配合通用互联网文件系统、网络文件系统、文件传输协议和小型计算机系统接口等多种协议接口,将数据存储到天翼云的对象存储平台南京节点。并以三副本的形式备份电信对象存储平台常州、南通2个节点。确保南京银行1份数据在南京、常州、南通3地各保存1份。
迁移背景:经过数十年的发展,云计算的应用服务范围日益扩大,影响力也持续增强。随着云计算经历了两大发展阶段,即云计算1.0时代与2.0时代,企业进行云迁移迫在眉睫。如果说1.0时代,云计算企业大量涌现,市场“觉醒”,那么2.0时代,大型云服务提供商则聚焦于更完整的产品解决方案、更好的生态建设加速全球化。计算时代的技术变革使得传统平台不再满足企业业务需求,上云成为传统企业转型与数字变革的唯一解决方案。
上云迁移策略:上云迁移策略的主要目标是为应用程序和数据顺利运行提供一个良好的场所。从长远来看,借助云迁移,企业将能够获得这三个好处:节约成本、提高性能和获得充足的安全性。
Re-Host 重新托管,也称为 “直接迁移”:即对应用程序运行环境不做改变的情况下迁移上云;
Re-Platform 更换平台,也称为 “修补后迁移”:在迁移上云时,在不改变使用核心架构的基础上,对应用程序做些简单的云优化;
Re-Purchase 重新购置,也称为 “放弃后购买“:指放弃使用原先的产品,改为采购新的替代产品;
Re-factor 重构/重新构建:改变应用的架构和开发模式,进行云原生的应用服务体现,例如单体应用向微服务架构改造。
Retire 停用:确定不再使用当前的基础设施,表明这部分系统或应用已经没有使用价值且还在持续消费资源,应该进行必要的归档备份后停用。
Retain 保留:在部分应用或者业务未做好上云准备,或是更为适合本地部署时, 保留现状,不强行进行迁移上云操作。
迁移流程:一般的迁移流程我们会按照评估分析-规划设计-验证实施-优化验收来进行。
评估分析:收集现网业务应用信息,盘点本地资源,梳理业务流程及依存关系,计划从何处开始想云上迁移。
信息收集:收集业务信息和技术信息;
关键性分析;
评估各种费用还有成本。
规划分析:结合业务目标和愿景,规划采用何种类型的迁移策略来满足业务计划的目标,稳定产品组合和迁移方式,制定全面的业务上云计划。
流程规划
解决方案设计
方案验证
验证实施:天翼云提供灵活且功能强大的迁移工具,结合强大的行业迁移经验及认证合作伙伴计划,以更高效、更稳健的方式进行迁移,确保其对业务的影响降到最低。
环境部署
迁移实施
优化验收:应用在云上运行之,不断将运行模式采用优秀实践转变,持续监控并优化配置提升安全性、改善性能和可靠性,实现ROI达到业务预期。
优化
验证和评估
上云迁移遇到的挑战
安全问题:选择好的云计算服务商是很重要的
成本管理:企业将业务迁移到云平台的成本可能很高,具体取决于企业必须迁移的数据量,因为迁移所需的带宽成本等因素必须在其考虑范围内。
合规性问题:每个企业都应确保所考虑的云计算提供商可以提供与其行业相关的合规性法规兼容的服务;
保持可接受的性能:当企业迁移到云平台中时,其业务运营取决于所选云计算平台的性能;
管理更复杂的环境
服务器迁移模式介绍
P2P:将物理机服务器上的操作系统及其上的应用软件和数据迁移到另外一台物理服务器;
P2V:将物理服务器上的操作系统及其上的应用软件和数据迁移到云平台管理的云服务器中;
V2V:从其他云平台或传统虚拟化平台的虚拟主机迁移到天翼云的云虚拟主机,比如
Vmware迁移到天翼云,AWS迁移到天翼云等;
V2P:将云平台的云虚拟主机迁移到其他物理服务器上。
服务器迁移方式介绍
镜像迁移:镜像迁移是指通过把源主机上的操作系统和应用程序及数据“镜像”到一个虚拟磁盘文件并上传到天翼云镜像中心,成为上传用户的自定义镜像后通过此镜像启动一个和源主机一模一样的云主机实例,来达到应用上云迁移的目的。
冷迁移:通过工具直接镜像被迁移服务器主机,但其无法保证数据一致性;
热迁移:通过镜像迁移工具部署在被迁移服务主机或远程连接的方式迁移,迁移过程可以保持数据实时同步;
手工重新打包部署:这种方式和物理主机部署方式一致,需要自己手动重新部署一套完整的。这种方式通用性比较强,但是效果较低,操作较为复杂,需要的人工干预较多,也有一定的局限性。
天翼云服务器迁移工具介绍:服务器迁移工具是天翼云为上云用户量身打造的零停机的无缝P2V/V2V在线迁移工具。无需中断生产业务,通过实时复制技术帮您实现X86物理机或虚拟机迁移到天翼云,帮助企业快速上云。
天翼云服务器迁移工具支持系统盘、数据盘,只要是块设备,都支持迁移。支持ISCSI/FC和LVM、动态盘、多路径盘等多种磁盘。
产品功能:
复制技术:基于磁盘块级的数据复制,无需卷改造;采用IP网络的异步传输,无距离的限制;限制使用主机的资源,对主机影响小。
平台应用方面: 支持异构硬件平台;支持Windows/Linux下的各种应用, 包括自我开发的;支持异构存储, 可自由选择合适的存储。
P2V/V2V迁移: 支持从物理服务器迁移至虚拟服务器;支持从虚拟机迁移至虚拟机。
b)产品优势
经济高效 | 低成本高效率
操作简单 | 可视化界面
无缝迁移 | 在线不停机
兼容性好 | P2V V2V
应用场景:服务器迁移适用于多种场景,可以很好的为政府、企业客户以最小化的成本投入实现最大价值,最有保证力度的迁移解决方案。主要的场景有:快速上云;业务迁移;机房搬迁;信息化建设。
上云迁移步骤:服务器迁移操作需要完成安装控制端、购买 License、完成授权、源端安装客户端、配置目的端、迁移。
数据库迁移模式
在线迁移:在线数据迁移,是指将正在提供线上服务的数据,从一个地方迁移到另一个地方,整个迁移过程中要求不停机,服务不受影响。
离线迁移:即业务可以忍受长时间停机从而将全部数据一次性整体迁移;或者业务对数据的访问具有明显的热点,并且技术上可以将冷数据与热数据剥离,这样就可以将冷数据下线并迁移到目标端。
在线迁移与离线迁移的区别在于迁移过程中是否需要停机。
全量迁移:即搬迁当前库中所有的历史数据(该过程会搬掉库中大部分数据);
增量迁移:即记录全量迁移开始的时间,搬迁全量迁移过程中变更了的数据。由于迁移过程中业务服务一直运行,因此全量迁移完成前,也要将全量时间点后的数据追回来。
数据库自带迁移工具
MySQL:Mysqldump命令是将数据库中的数据备份成一个文本文件。表的结构和表中的数据将存储在生成的文本文件中。
在创建天翼云关系数据库MySQL实例时,不需要配置存储空间。
Oracle:RMAN(Recovery Manager)—备份与恢复管理器,它提供了一个备份资料库保存备份的详细信息,可以给出针对备份的各种报表,并且整合了相关的操作命令和
SQL*Plus命令为RMAN命令,跨平台的RMAN命令既支持交互式调用,也支持脚本式调用,其目的是保护备份并且最大限度地降低备份和恢复操作中发生人为错误的可能性。
RMAN:可以用来备份和还原数据库文件、归档日志和控制文件。它也可以用来执行完全或不完全的数据库恢复。
注意:
SQL Server:SSMS(SQL Server Management Studio):它是一个集成环境,用于访问、配置、管理和开发 SQL Server 的所有组件。
天翼云数据库复制服务介绍:数据库复制(CT-DRS,Data Replication Service)是为上云用户提供的一种易用、稳定、高效、用于数据库在线迁移的云服务,可解决多场景下数据库之间数据流通问题,满足数据传输业务需求,同时减少数据传输成本。
实时迁移是指在数据库复制服务器能够同时连通源数据库和目标数据库的情况下,只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程,再通过多项指标和数据的对比分析,帮助确定合适的业务割接时机,实现最小化业务中断的数据库迁移。
实时迁移支持多种网络迁移方式,如:公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路,可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。
由于安全原因,数据库的IP地址有时不能暴露在公网上,但是选择专线网络进行数据库迁移,成本又高。这种情况下,您可以选用数据库复制服务提供的备份迁移,通过将源数据库的数据导出成备份文件,并上传至对象存储服务,然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下,实现数据迁移。
天翼云数据库复制服务中的实时同步功能不会应用于云下数据库迁移上云的场景。
产品功能:
在线迁移:数据库在线平滑迁移;
迁移能力:多种数据库迁移类型;
多网络:多种网络场景下数据库迁移;
直观可控:多种辅助功能保障迁移可管可控
产品优势:
便捷 | 操作便捷:操作便捷、简单,仅需按照提示步骤就能搭建完成数据库迁移任务,启动并管理迁移任务,同时支持全量、增量在线迁移。
高效 | 周期短:仅需分钟级就能搭建完成数据库在线迁移任务,让整个环境高效快速。
无缝 | 平滑:通过服务化,免去人力成本,硬件成本,极具性价比。支持数据库不停机迁移,最小化迁移过程引起的业务中断时间。
直观 | 直观可控:提供丰富数据辅助功能,迁移监控,数据一致性对比等多项特性,迁移过程的进度及对比可见,提升迁移任务成功率。
应用场景:
数据库迁移上云场景--在云上创建数据库后,将面临云下数据库迁移上云的场景,通过在线迁移,有效地将业务系统中断时间和业务影响最小化,实现数据库平滑迁移上云。
跨云平台数据库迁移:数据库复制服务支持将其他云平台上的数据库的数据在线迁移至本云数据库,无需手动导入导出数据,方便您快速实现迁移过程中业务和数据库不停机,业务中断时间最小化的数据库迁移。
云上灾备中心场景:数据库复制可支持本地IDC作为业务中心,天翼云作为灾备中心的数据同步。可轻松为本地IDC机房实现容灾,而无需预先投入巨额基础设施。建议搭配关系型数据库MySQL,云专线,虚拟专用网络VPN使用。
非结构化数据迁移模式:传统的NAS存储存在的问题有如下:
性能瓶颈,NAS机头的瓶颈始终有限,扩容柜能持续扩容,NAS机头却不行;
NAS底层文件系统的限制,最常见的就是但目录下文件数量超过限制了,同时文件数量增大到一定量级,读写效率明显降低;
备份问题,也是受限于机头和备份方式,再就是NAS文件系统的访问机制,整体效率特别低。
迁移难点
用户的存储容量很大,能达到TB~PB级别,这样对于迁移来讲也是很大的挑战;
规模:同样,您需要一个能够处理数十亿个文件、PB量级数据的解决方案。
延迟感知:规模很重要,但规模的扩大不能建立在网络响应时间延长的基础上
云端适配:如今,在云端存储数据的成本非常低,但是将数据从云端迁出、迁入是非常麻烦的
天翼云对象存储迁移方式
迁移背景:由于非结构化数据不断涌现,会造成种类与数量众多的同时,将非对象存储 上的数据迁移到OOS,这里的数据源可能来自本地或第三方云存储;OOS之间的数据迁移,此场景是指将OOS源桶数据迁移到OOS目标桶
迁移方式:一种是云专线迁移;一种是使用天翼云OOS数据迁移工具进行迁移。云专线迁移方式为企业上云提供优质的网络传输服务,解决现有业务系统平滑迁移的能力。
适用场景:用户将迁移工具部署在本地服务器或云主机上,将其它云存储的数据迁移到对象存储或者进行对象存储各资源池间数据迁移。目前其他云存储支持从阿里云迁移数据至对象存储。
对象存储数据迁移工具有以下特点:
支持断点续传。迁移过程中,如果出现中断,重新启动工具后,可以继续执行迁移工作。
支持流量控制。迁移过程中,可以动态调整从源云存储资源池下载对象时产生的下行流量。
支持迁移指定前缀的文件。
支持对象并行下载和上传
迁移步骤:迁移准备--安装迁移工具--修改配置文件--执行迁移--断点续传--日志。
上云迁移案例项目背景
客户背景:本次客户是一家基于工业互联网与智联网,专注高等教育阶段相关教学实训硬件/软件开发、数据平台及教学资源搭建的科技企业。
客户为积极响应国家数字化建设,同时也为了促进自身企业的发展,在多方选择之下,决定将自己的主要业务系统“智能编程平台”从自己的数据中心迁移至天翼云。
迁移原则
上云先后顺序
先简单、后复杂的应用;
先普通、后重要的应用;
先空闲、后繁忙的应用;
先应用系统、后数据库;
结合应用系统的从属关系和与数据库的关联关系等因素,优先迁移非核心业务和紧急上线业务;
对于业务复杂度高和核心业务需要进行深入调研,细化方案,演练成熟后进行迁移。
分阶段、逐步迁移原则:迁移工作涉及面广,如应用系统、数据库、不同的数据中心网络,涉及的人员有应用开发厂家、IT维护部门、业务部门和最终用户,各方人员对系统的熟悉程度、配合度对项目的顺利推进,都具有至关重要的作用;
先迁移,后优化原则:避免两个过程互相交叉缠绕,在迁移出现问题时,影响故障定位,无法明晰分工职责,拖延排障时间,最终影响整个项目工期;
数据安全性:迁移过程中需要保证原有数据的安全性,避免因数据迁移造成原有数据的丢失、损坏;同时,通过使用专用线路,或者建立虚拟专用网,以及对迁移过程传输数据的加密,保证迁移前后数据的一致性和过程中数据不被窃取。迁移过后,对关键数据进行一次全备份。
业务连续性:由于业务系统的运行要求不同,对业务连续性的要求也不同。对于关键的
连续性要求较高的业务应尽量减少因迁移而造成的停机时间,保证其业务的连续性。
迁移流程:
整体迁移过程
调研分析:业务系统信息调研是上云方案设计的基础工作,调研结果也是上云方案设计的主要信息输入。在业务系统信息调研阶段,需获取客户现网数据中心详细信息,如网络拓扑结构,服务器、存储设备类型及负载性能数据,业务系统逻辑架构、业务关联关系及运行环境等;同时,为了保障迁移工作的顺利推进,客户数据迁移需要提前评估所需网络带宽并完成内部网络架构调整,及与天翼云平台的网络连通性测试。
规划设计:分为应用服务器迁移和数据库服务器迁移两种,在应用服务器中有两种方式,一种是采用服务器迁移工具进行迁移,一种是手动一比一还原复制迁移。数据库迁移建 议采用数据库复制技术。
测试验证:测试验证必须在迁移实施之前,同比例缩小的进行PoC验证,也叫概念性验证,在选用服务器上进行真实数据的运行,对承载用户量和运行时间进行实际测算,尤其是
一些大型应用复杂系统,可以将系统架构进行划分,对功能模块小范围的进行验证和测试。
迁移实施:在迁移的过程中需要注意文档的输出、随时记录问题、停机时间窗口提前通知和声明、由专业的开发和运维人员进行迁移实施。
监控优化:系统迁移成功后会由客户方专业人员进行对系统业务的监控,天翼云专业运维人员进行云平台,云服务器稳定性的监控。
高性能计算(High Performance Computing, HPC)是利用并行处理和互联技术将多个计算节点连接起来,提供高效、可靠、快速运行的计算平台,可以提供比普通台式计算机或
工作站更高的性能,以解决科学、工程或商业中复杂的问题。
天翼云HPC解决方案的主要应用场景包括:
图形CAD工作站:适用于机械/工业设计/制图能力/建筑信息模型/三维建模渲染,该场景对网络资源和存储资源的需求适中。
松耦合高性能计算:适用于金融风险评估/遥感与测绘/分子动力学场景,该场景对网络资源和存储资源的需求适中。
紧耦合高性能计算:适用于电磁仿真/流体动力学(CAE)/汽车碰撞模拟/AI训练,该场景需要高网络IO,对存储资源的需求适中。
数据密集型高性能计算:适用于气象预报/基因测序/图形渲染/深度学习/能源勘探/计算金融,该场景需要高网络IO和高存储IO。
天翼云HPC解决方案的重点产品有:物理机+GPU云主机+对象存储OOS+云安全+云监控CES+云专线CDA。
在云专线业务中,常规物理专线支持的最大带宽不超过10G。
云监控支持三种告警状态,即告警、正常和数据不足。
混合云所能解决的业务问题:建设成本高:自建机房硬件配置要求高、建设周期长、成本不可控、基础设施建设不完备;运营成本高:计算、网络、存储等多厂商多形态设备,中小企业普遍存在专业技术人员能力不足、运维难度高的难题;不可持续性:单纯的私有云模式,无法快速匹配不断变化的业务需求,产品及服务种类匮乏;且无法利用新技术助力企业业务创新;多平台管理成本高:多平台管理技术要求高,熟悉各个平台功能逻辑需要大量精力,难以聚焦业务。
天翼云混合云解决方案的应用场景有:
混合云管理:统一管理私有云、公有云以及其他第三方云平台等各类云资源。能够帮助企业提高多云IT资源环境下的管理能力、运维效率以及优化企业IT运营成本,从而提升企业IT的能力、效率与价值,帮助企业实现数字化转型。
智能运维:利用混合云实现业务的智能扩容到公有云,使用公有云分担业务负载,达到降低投资、简化运维、节约成本的目的。多维度资源监控、统计,实现对业务健康度的分析。
业务按需部署:考虑到安全合规方面的要求,结合公有云和私有云各自的特点,通过标准化服务目录,屏蔽底层不同资源平台的差异性,以标准化的方式呈现云主机、云数据库、云存储等资源,业务和数据按需部署在公有云和私有云平台上。
备份和容灾:为客户提供多云以及跨云的容灾备份能力,利用从控制面和数据面打通混合云实现数据和业务的灾备,满足企业业务部署、数据保护和管理的综合策略,提高关键数据安全可靠性从而有效保障企业业务连续性。
天翼云混合云解决方案的重点产品有:弹性云主机+负载均衡ELB+云备份+云存储网关+虚拟私有云VPC+VPN连接+云专线CDA等。
传统在线教育面临的挑战有:
信息孤岛:教学资源分散、共享困难;IT资源利用率低,普遍在5%-20%之间;资源使用效果和效益评估困难。
繁重运维:终端故障现场维护,时间长,效率低;不同的IT系统以及资源分布在不同的部门,出现问题,协调工作量大。
缺乏敏捷:学校系统多而分散,使用不便;服务器、存储等采购、交付、上线周期长;且随着业务发展,无法做到弹性伸缩,以及无法提前预留资源;用户分布不同,城区的网络质量较好,偏远地区的网络状况不好。
天翼云教育云解决方案的架构特点是:
实现空中课堂管理功能,包括上课点名、桌面监控、课程统计、锁屏等功能;
可支持点播、录播、直播等多种教学模式,结合云端实现音视频互动、数据交互、文字消息互动等多种方式,提升教学效率;
应用、系统、数据库等不同级别的安全和灾备措施,保障数据安全高可用,便于教育数据长期储存;
音视频快速解码,降低数据的读取时间、支持播放器秒开,支持多个音视频并行转码,提升大流量高并发的数据操作能力。
天翼云教育云解决方案的重点产品有:弹性云主机+关系数据库RDS+云转码+CDN+安全整体解决方案。
天翼云在线教育解决方案中使用的云产品有ECS弹性云主机、关系数据库RDS主从配置,在 Web接入的时候使用了CDN和解析服务等,然后在ECS的Web层使用了OOS和云转码服务,最
后安全方面使用了一整套云上安全解决方案,包括Anti-DDoS、漏洞扫描、Web应用防火墙、服务器安全卫士等等。
远程医疗的业务挑战有:
医疗孤岛现象:行业内目前存在各类基于不同软件、硬件系统为底层的远程医疗系统,由于软件及硬件的品牌、构架方式存在较大区别,往往都为独立自用的系统,相互之间
无法进行对接,成为一个个孤岛,封闭使用。
会诊效果较差:目前多数的远程会诊系统其中采用纯软件方式构架或者使用基于PC个人应用的硬件后台进行系统支撑,存在较普遍的视音频效果差、会诊效率低、使用体验一般的情况。
会诊应用场景简单:较多的会诊系统建设整体简单、对于会诊中所需的各类辅助资料无法进行全部高质量的远程提供,导致只能实现简单的问诊类远程会诊场景。
缺乏有效的运营手段和运营:目前多数医院的远程会诊系统建设完成后,存在形式大于内容的情况,无法真正的实现运营级别的远程会诊应用,且缺乏专业的运营后台维护和保障体系。
天翼云远程医疗解决方案的应用场景有:
综合远程会诊中心平台:远程会诊中心平台建设是整个远程会诊的核心、其中包含硬件及后台支撑系统平台及软件系统平台两个部分,其主要提供各类会诊接入、应用场景实现、提供视音频通话等服务。
综合远程会诊中心:综合远程会诊中心是一个综合性医联体的核心会诊场景所在之处,其具备优质及全面的各类远程会诊所需的视音频及数据资料服务,能够开展几乎覆盖全类别的各类远程会诊场景,也是具备最佳的远程会诊体验的场所。
专科/MDT会诊室:专科/MDT会诊室是医联体中覆盖最多、受众人群最广的远程会诊场所,需具备相对优质的各类会诊所需服务的环境,用于进行例行会诊及常规远程会诊,同时 也是医联体中二三级机构的主要会诊场所。
医生/专家个人会诊室:医生/专家个人会诊是远程会诊中对于边缘应用场景的补充,也是实现全面覆盖的远程会诊的重要组件,其具备一定的相关会诊服务能力,能够提供基础的远程会诊条件,实现会诊场景全覆盖。
天翼云远程医疗解决方案的架构特点有:
部署灵活:远程会诊的整体平台具备很强的灵活性选择,既可虚拟化部署也可以硬件部署、更支持云端部署。
体验优异:各类会诊应用场景都具备体验优异的对应解决方案,其中综合会诊中心更是将会诊中的各类会诊服务体验提升到极致,具备沉浸式会诊的效果。
专业定制:可根据不同类型用户的会诊需求及应用场景进行从会诊场景到后台软件开发对接的定制服务。
互联互通:整体系统具备良好的兼容互通能力,并且可配合定制服务解除医疗孤岛的现象,实现和其他系统的对接。