京东云云计算助理工程师认证(JCA)为京东云基础产品用户提供专业技术认证,该项认证内容包括京东云的计算服务、网络服务、存储服务及安全等方面的核心产品,是对从业人员或希望进入云行业人员的专业性技能认证。通过认证,帮助学习者了解京东云产品、服务和通用解决方案,掌握基本云计算相关知识与技能。参与考试者需提前报名,登录京东云官方授权的考试链接完成考试。如您有学习问题,请联系邮箱:jdc-training@jd.com 或致电:400-623-0183。

说明:本笔记仅为 2020 年 2 月 19 日认证 JCA 之用,由于京东云系列认证是一个刚开放不久的认证,后期可能会发生变化。

20200213084024.png/pk_watermark

第一章 概述

云计算的概述

  • 服务器部署模式的演变
    • 自建-》托管-》云计算
  • IT 系统部署模式的观念转变
    • 从“购买产品”-》购买服务
  • 云计算的定义
    • NIST 定义:云计算是一种模型,它可以实现随时随地、便捷地、随需应变地从可配置计算资源共享池中获取所需的资源(例如,网络、服务器、存储、应用、及服务),资源能够快速供应并释放,使管理资源的工作量和与服务提供商的交互减小到最低限度
  • 云计算的优势
    • 快速部署计算资源
    • 节省成本
    • 高可用、容灾和灾难恢复
    • 弹性和可伸缩性
  • 部署场景
    • 公有云
    • 私有云
    • 混合云

云计算的服务类型

  • 服务类型
    20200217171123.png/pk_watermark - 传统模式 - IaaS:基础架构即服务 - PaaS:平台即服务 - SaaS:软件即服务
  • 扩展的服务模式
    • DaaS:Data as a Service
    • CaaS:Container as a Service
    • FaaS:Function as a Service
    • BaaS:Blockchain as a Service

京东云概览

20200217174041.png/pk_watermark
20200217174110.png/pk_watermark
20200217174132.png/pk_watermark
20200217174150.png/pk_watermark
20200217174218.png/pk_watermark
20200217174236.png/pk_watermark
20200217174255.png/pk_watermark

第二章 弹性计算服务

弹性计算服务理论

  • 什么是弹性计算
    • 根据业务需求和策略,灵活组合多种计算、存储、网络资源
    • 弹性计算服务
    • 按需调整,实时调整
  • 为什么要选择京东云弹性计算产品
    • 变革
      20200217180248.png/pk_watermark
  • 弹性计算产品:云主机
    • 概念
      • 一种计算服务单元
      • 多机型规格,匹配的业务场景
      • 动态调整实例规格,弹性伸缩
      • 快速部署应用
    • 优势
      • 稳定可靠(SLA99.95%,磁盘 9 个 9,三副本)、灵活配置
      • 高性价比、快速部署
      • 多层次安全防护、安全易用
    • 术语
      • 实例规格
      • 云主机
      • 磁盘
      • 镜像
      • 网络
      • 安全
      • 快照
    • 地域和可用区
      20200217181836.png/pk_watermark
      • 华北(北京)AZ*3
      • 华东(宿迁)AZ*1
      • 华东(上海)AZ*3
      • 华南(广州)AZ*1
    • 实例规格
      • 通用型:通用共享型 g.s,通用标准型 g.n
      • 计算优化型:计算优化标准型 c.n
      • 内存优化型:内存优化标准型 m.n
      • 高频计算型:高频计算优化型 h.n
      • GPU 型:GPU 标准型 p.n
    • 应用场景
      20200217182321.png/pk_watermark

创建 Windows 云主机实例(LAB)

本节为实验章节,需实践

创建 Linux 云主机实例(LAB)

本节为实验章节,需实践

云硬盘理论

  • 云硬盘概述
    20200212112731.png/pk_watermark
    • 三重实时副本
    • 9 个 9 的数据可用性
    • 云盘类型:通用性 SSD、性能性 SSD、容量型 HDD
    • 不可跨可用区调用
  • 应用场景
    20200212112826.png/pk_watermark
  • 云硬盘的功能
    20200212113829.png/pk_watermark
    20200212114044.png/pk_watermark
    • 单机最多挂载 8 块云硬盘
    • 支持快照
    • 弹性扩展
    • 性能性 SSD 云盘容量和 IOPS 性能独立计费
  • 创建云硬盘
    • 地域和可用域
    • 规格
      • 磁盘类型:通用型 SSD、通用型 SSD、容量型 HDD
      • 容量:20G-4TB
      • 选项:多点挂载、加密
    • 同一地域、统一可用区挂载
  • 挂载云硬盘
    • 多点挂载云硬盘
      20200212114750.png/pk_watermark
      • 一个多点挂载云硬盘最多可以挂载给 16 个实例
  • 扩容云硬盘
    • 数据不变
    • 须在主机的文件系统上扩展
      • Windows 扩展卷
      • Linux 扩展文件系统
        1
        2
        3
        4
        5
        6
        7
        8
        9
        10
        # 卸载文件系统
        umount /mnt/mountpoint
        # 删除现有分区再创建指定容量的分区,也可以用parted来扩容
        fdisk /dev/vdb
        # 查看扩容后的分区容量
        fdisk -l /dev/vdb1
        # 重定义文件系统大小
        resize2fs /dev/vdb1
        # 查看文件系统大小
        df -h /dev/vdb1
    • 扩容注意事项
      20200212120445.png/pk_watermark
      • 创建快照中不能扩容
      • 扩容前需要先卸载云硬盘
  • 云硬盘快照
    20200212120703.png/pk_watermark
    • 独立存在,不占用用户空间
    • 可定时、手动创建快照
    • 可基于快照创建新盘(容量关系:新盘须大于等于快照容量)
  • 卸载云硬盘注意事项
    20200212122542.png/pk_watermark
    • 先从操作系统上 umount 或脱机再卸载
    • 不对正在读写的云硬盘进行卸载
  • 删除云硬盘
    20200212122726.png/pk_watermark
    • 先卸载,再删除
    • 仅支持删除按配置计费的云硬盘
    • 删除云硬盘,快照可以被保留
  • 使用云硬盘注意事项
    20200212122922.png/pk_watermark
  • 云硬盘的加密
    20200212123529.png/pk_watermark

管理云硬盘实例

  • 创建云硬盘
    • 地域与可用区
    • 规格(类型、容量)
    • 选项(是否加密)
    • 基本信息 -购买量
  • 云硬盘扩容
    • 在系统中使云硬盘脱机或解除挂载
    • 在云硬盘控制台卸载云硬盘
    • 扩容
    • 重新挂载云硬盘
    • 重新在系统中挂载或使云硬盘联机
    • 扩展磁盘

镜像

  • 镜像的概念和作用
    20200212165757.png/pk_watermark
    • 快速部署
    • 备份
  • 镜像来源和使用权限分类
    • 官方镜像:由京东云提供和维护的公共镜像。例如 Windows、Linux 镜像,所有用户均可使用
    • 私有镜像:用户自行创建,仅创建用户可以使用
    • 共享镜像:其他京东云用户通过镜像共享功能将其自定义镜像共享给您使用的一类镜像
    • 镜像市场镜像:由入驻市场的服务商提供的镜像,集成不同软件和运行环境
  • 镜像按架构模式分类
    20200212170636.png/pk_watermark
  • 创建自定义镜像
    20200212170903.png/pk_watermark
    • 用镜像生成的主机,磁盘会继承镜像的磁盘配置

高可用组

  • 高可用组的概念
    20200212190147.png/pk_watermark
    • 故障域:一个故障发生时,最大的影响范围
    • 高可用组:将多台 VM 部署在多个故障域上
  • 高可用组的工作原理
    20200212190642.png/pk_watermark
    • 单可用区高可用组、多可用区高可用组
    • 可用区:网络、电力相对独立的区域
  • 可用性组产品优势
    • 提高业务可用性
    • 根据业务负载情况自动伸缩
    • 只能在高可用组中通过实例模板创建 VM,不能将某台 VM 加入到高可用组中(保证在一个高可用组中,实例的配置、网络环境一致)
      20200212191658.png/pk_watermark

容器和 K8S 集群简介

  • 原生容器
    20200212192410.png/pk_watermark
    • 容器:软件单元
  • 对比:原生容器和云主机
    20200212192509.png/pk_watermark
  • 原生容器的产品优势
    • 安全隔离
    • 简单已用
    • 架构灵活
    • 配置丰富
      • 1vCPU 1GB - 72vCPU 576G
    • 计费灵活
      20200212192816.png/pk_watermark
  • 创建容器实例
    • 控制台-》弹性计算-》容器服务-》容器实例
    • 选择可用区,创建实例
  • 登录容器
    • 准备京东云 CLI 工具
      20200212194120.png/pk_watermark
    • 配置 CLI
      jdc configure --profile default --access-key your-ak --seret-key your-sk
      AK 和 SK 需要在云平台 SK 管理中创建
  • 容器镜像仓库的概念
    20200212194545.png/pk_watermark
  • Kubernetes 集群概述
    20200212194615.png/pk_watermark
    • 容器编排管理工具
  • 京东云 K8S 优势
    20200212194929.png/pk_watermark
  • 京东云弹性计算产品逻辑关系
    20200212195359.png/pk_watermark

云主机监控

  • 监控指标
    20200212195541.png/pk_watermark
    • CPU 使用率:非空闲 CPU 所占百分比(%)
    • 内存使用率:内存使用率占内存总量百分比(%)
    • 磁盘读流量:平均每秒读流量(kbps)
    • 磁盘写流量:平均每秒写流量(kbps)
    • 网络进流量:平均每秒进流量(bps)
    • 网络出流量:平均每秒出流量(bps)
  • 云主机监控
    • 控制台-》云监控-》资源监控-》云主机监控

第三章 网络服务

VPC 虚拟网络理论

  • 传统网络和私有网络 VPC 对比
    20200213085108.png/pk_watermark
    • 通过 ACL 和安全组实现防火墙的功能
  • 私有网络 VS 传统网络
    • 私有网络
      • 软件定义网络,操作灵活,节省设备和运维成本
      • 通过弹性公网 IP 实现业务灵活切换
      • 通过虚拟专用网络和专线接入连接京东云私有网络至企业 IDC,轻松构建混合云
      • 自主配置安全组和 ACL 规则,提供多重安全防护
    • 传统网络
      • 无法进行灵活的变更网络配置,运维成本高
      • 不支持公网 IP 灵活绑定并切换多个业务
      • 不支持混合云部署
      • 达到相同的网络安全级别,需额外采购安全设备
  • 私有网络 VPC 概述
    • VPC 有地域属性,无法跨地域创建 VPC
    • 用户可以在 VPC 内创建和管理多种云产品,同时可以配置网络内的资源连接 Internet
    • 通过虚拟专用网络和专线接入,打通企业 IDC 内网和京东云网络,实现应用的混合云部署
      20200213090239.png/pk_watermark
  • VPC 产品优势
    • 安全隔离的自定义网络
    • 灵活的子网路由策略
    • 多重安全防护
    • 支持多种混合组网方式
  • VPC 私有网络的组件
    20200213091330.png/pk_watermark
    • VPC:京东云提供的自定义逻辑隔离的网络空间
    • 子网:子网是对 VPC 地址空间的再一次划分,用户可以在子网中创建云主机
    • 路由:VR(基于路由表)
    • ACL:关联子网,通过 ACL 配置子网级别东西向和南北向的访问控制
    • 安全组:关联弹性网卡,通过安全组配置实例级别东西向和南北向的访问控制
    • BGW:VPC 的边界网关,支持 VPC 之间、VPC 与专线通道和托管通道的互通,用户根据需求自行创建互联接口与通道,并通过配置路由表实现不同业务端之间的互通
  • 创建私有网络和子网
    • 网络-》私有网络-》私有网络
    • 创建网络
      • 地域:带地域属性,不能跨地域
      • 名称
      • CIDR:此处设置了 CIDR 后,子网不能超过这个范围
    • 创建子网
      • 网络-》私有网络-》子网
      • 关联地域和私有网络

VPC 虚拟网络(LAB4:演示创建和配置 VPC 虚拟网络)

实验拓扑:20200213110432.png/pk_watermark

网络 ACL 和安全组理论

  • 安全组和 ACL
    20200213110528.png/pk_watermark
    • ACL
      • 无状态虚拟防火墙
      • 子网级别安全控制能力
    • 安全组
      • 分布式、有状态、包过滤虚拟防火墙
      • 实例级别安全控制能力
  • 网络 ACL
    • 默认不启用
    • 当启动网络 ACL,默认阻止所有出/入站流量
    • 区别流量方向,需要同时配置入站规则和出站规则
  • 网络 ACL 访问控制列表
    • 子网级别无状态的可选安全层,用于控制进出子网的数据流
    • 没有网络 ACL 的保护,容易导致子网中的服务器受到来自互联网的攻击
    • 可用于对跨子网的访问流量进行过滤
    • 具有相同网络流量控制子网可以关联同一个 ACL
  • 网络 ACL 规则
    20200213114513.png/pk_watermark
    • 通过优先级,改变规则的覆盖关系
    • 区别流量方向
  • 临时端口
    • 由客户端发起请求时配置的端口
    • 由于网络 ACL 无状态的特性,必须设置临时端口的出站规则
    • 发起请求的客户端会选择临时端口范围,受客户端操作系统的改变而改变
      • 许多 Linux 内核: 32768-61000
      • WinSer2003:1025-5000
      • WinSer2008:49152-65535
  • 网络 ACL 使用约束
    • 网络 ACL 规则是无状态的
    • 即使设置入站规则允许指定的 IP 地址访问,如果没有设置相应的出站规则会导致无法响应访问
    • 一个网络 ACL 可以绑定多个子网(1:n)
    • 一个子网只能绑定一个 ACL(1:1)
  • 创建和编辑网络 ACL
    • 控制台-》私有网络-》网络 ACL
  • 安全组
    • 分布式、有状态的包过滤虚拟防火墙
    • 可以将同一地域具有相同网络安全需求的云主机关联到同一个安全组
    • 默认对所有入方向流量执行 All drop,出方向包含一条缺省配置允许所有流量
    • 每个区域/私有网络下最多创建 50 个安全组,每个安全组双向最多可以添加 100 条规则,每个主机最多绑定 5 个安全组
    • 安全组与云主机关联
    • 安全组只需要配置入站访问允许规则,不需要配置放行相应的出站通讯规则
  • 安全组模板
    • 提供三个默认安全组模板
    • Linux 安全组开放 22 端口:仅暴露 TCP 22 端口到公网
    • Windows 安全组开放 3389 端口:仅暴露 TCP 3389 端口到公网
    • 默认安全组开放所有端口:暴露全部端口,有安全风险
  • 安全组规则内容
    • 类型:常用应用类型(SSH、HTTP)
    • 协议:根据应用类型选择(TCP/UDP)
    • 端口:安全组作用的云主机端口范围,(1-65535)
    • 源/目的 IP:允许访问的 IP 地址或 CIDR,仅支持 IPv4
    • 策略:允许(默认)
    • 备注:标识规则用途
  • 安全组规则限制
    20200213131729.png/pk_watermark
  • 创建和配置安全组
    • 控制台-》弹性计算-》云主机-》安全组
    • 地域敏感
    • 关联,绑定主机,解绑主机
  • 网络 ACL 和安全组对比
    • 网络 ACL
      • 无状态
      • 在子网级别生效
      • 支持允许和拒绝规则
      • 自动应用到子网内所有实例
    • 安全组
      • 有状态
      • 在实例级别生效
      • 只支持允许规则
      • 只有启动实例时指定安全组,安全组才能应用到实例上

网络 ACL 和安全组(LAB5:实施网络 ACL 和安全组)

实验拓扑:20200213110432.png/pk_watermark

VPC 对等连接理论

  • VPC 互联方式的选择
    20200213184331.png/pk_watermark
    • VPC 对等连接
      • 如图:VPC1 与 VPC3 建立对等连接,VPC2 与 VPC3 建立对等连接
      • 仅建立对等连接的 VPC 互通,没有建立对等连接的不互通
      • 仅适用于同地域的 VPC 互联
    • 边界网关互联
      • 专线
    • 通过云主机配置多弹性网卡实现互联(?软路由?)
    • 配置虚拟专用网络解决方案
  • VPC 对等连接
    20200213201301.png/pk_watermark
    • 同地域同租户,同地域不同租户(只能同地域)
    • 注意事项
      • 必须配置相关路由规则
      • 仅支持同地域下的 VPC 创建对等连接
      • 对等连接两端私有网络 CIDR 不可重叠(重叠会导致路由问题)
      • 任意一方随时中断连接,互联流量立即中断(已删除状态)
      • 同地域对等连接无带宽上限
    • 状态解释
      • 初始化:单边已创建,对端未创建
      • 已连接:两边均已创建对等连接
      • 已断开:其中一边删除,另一边状态置为已断开
    • 创建对等连接
      • 控制台-》产品-》网络-》私有网络-》VPC 对等连接
      • VPC ID,VPC 连接属性

VPC 对等连接(LAB6:实施 VPC 私有网络互联-VPC 对等)

实验拓扑:20200213110432.png/pk_watermark

NAT 实例网关

20200213211930.png/pk_watermark

  • VPC 公网出口
  • SNAT 源地址转换
  • NAT 实例网关
    20200213212103.png/pk_watermark
  • NAT 实例网关和弹性公网 IP 的使用
    • 方案 1:只使用 NAT 实例网关
      • 云主机不绑定弹性公网 IP,所有访问 Internet 的流量通过 NAT 实例网关转发
    • 方案 2:只使用弹性公网 IP
      • 云主机只绑定弹性公网 IP,不使用 NAT 实例网关。云主机所有访问 Internet 的流量通过弹性公网 IP 流出
  • 创建 NAT 实例网关
    • 注意:
      20200213213306.png/pk_watermark

分布式网络负载均衡及应用负载均衡

  • 分布式网络负载均衡
    • 简称:DNLB
    • 四层分布式负载均衡产品
    • 基于京东云 SDN 技术的轻量级负载均衡
    • 高性能、应对大并发、低延时、无状态的业务分发场景
    • 将用户的无状态业务请求,按照策略自主分发给多台后端服务器,调整资源利用情况,消除单机故障对系统的影响
  • 分布式网络负载均衡产品优势
    20200213225342.png/pk_watermark
  • 创建分布式网络型负载均衡
    • 服务免费
    • 控制台-》网络-》负载均衡-》分布式网络型
    • 带有地域属性,需要选择地域
    • 主要协议类型:TCP
    • 注意:不支持会话保持的业务分发场景
    • 需要公网 IP(收费)
  • 应用负载均衡
    • 简称:ALB
    • 将大流量分发到多台后端实例,调整资源利用情况,消除由于单台设备故障对系统的影响,提高系统的可用性、扩展系统服务能力
    • 4、7 层的负载监听
    • 基于 nginx 架构实现的 TCP、TLS、HTTP、HTTPS 协议下的流量转发
    • 采用集群部署,通过设备冗余提高服务的可用性,消除设备单点故障
  • 网络负载均衡喝应用负载均衡对比
    20200213231352.png/pk_watermark

第四章 云数据库与缓存

RDS 概述

  • 数据库的分类
    20200214090843.png/pk_watermark
  • 数据库的典型应用
    20200214090922.png/pk_watermark
  • 部署数据库方式对比
    20200214091050.png/pk_watermark
  • 云数据库概览
    20200214091918.png/pk_watermark
  • 云数据库 RDS
    20200214092001.png/pk_watermark
  • 云数据库 RDS 多可用区部署
    20200214150818.png/pk_watermark - 主从高可用架构 - 部署方式: - 单可用区部署 - 多可用区部署

管理 RDS 数据库实例理论

  • 创建 MySQL 云数据库实例
    • 控制台-》数据库-》实例列表-》创建
    • 需要选择地域
    • 部署方式
      • 主副本:读写
      • 从副本:只读
      • 多可用区部署
  • 调整 RDS 实例配置
    • 根据用户需求,动态调整实例 CPU、内存、磁盘
    • 热调整,RDS 实例可正常使用
      20200214154850.png/pk_watermark
  • 主备切换
    • 实例列表-》操作-》主备切换
  • 在实例中创建数据库
    • 通过管理控制台创建数据库
    • 数据库名称在实例内唯一
  • RDS 备份
    • 备份策略:自动备份,手动备份
    • 自动备份:自定义设置自动备份触发的时间点
    • 自动备份的数据,默认保存 7 天
    • 手动备份:管理员手动执行备份
    • 手动备份的数据不自动清除
  • MySQL 云数据库的备份
    • 手动备份:实例控制台-》备份-》创建备份
    • RDS 备份策略:备份策略-》修改备份策略
    • 备份操作占用 CPU 和 IO,建议在业务低峰期进行备份
  • 使用备份创建数据库实例
    • 实例列表-》实例详情-》备份管理-》备份
    • 选择备份-》操作-》根据备份创建

部署和管理多可用区 RDS(LAB7)

本节为实验部分,需要实践

MongoDB 云数据库概述

  • 概述
    • 一种 NoSQL 数据库服务
    • 三节点副本集,自动容灾切换
    • 故障迁移自动完成
    • 弹性扩容,备份恢复,监控报警,可降低管理维护成本
  • 特性
    • 三节点副本集,多重保障机制确保服务可用性
    • 单可用区,多可用区部署,不同级别的容灾
    • 备份恢复一键完成
    • 备份文件以三副本保存在京东云对象存储中,无需担心数据丢失
    • 弹性扩容,可实时调整
  • 基础架构
    20200214172747.png/pk_watermark
    • Sentinel:哨兵,监控故障的发生

MongoDB 云数据库管理

  • 创建实例
  • 配置白名单
    • 默认:0.0.0.0/0 无限制
    • 最多允许添加 45 个 IP 地址(段)
  • 连接
    • 使用 Mongo shell 连接:mongo --host jmongo-xxx.jmiss.jcloud.com:27017 --authenticationDatabase admin -u root -p
    • 使用 Connection String URI 连接实例:mongodb://root:****@jmongo-xxx.jmiss.jcloud.com:27017,jmongo-xxx.jmiss.jcloud.com:27017/admin?replicaSet=mgset-xxx (****部分替换为root密码)
  • 备份
    • 手动备份
      • 每实例最多 3 个备份,长期保存,存在京东云对象存储
      • 注意:
        • 已有 3 个手动备份,再次创建备份,会删除第 1 个备份
        • 备份任务正在进行中,无法发起备份任务
    • 自动备份
      • 设置策略
      • 默认每天一次全量备份
      • 备份保存在对象存储中,最长保留 7 天
      • 默认备份时间:0:00-1:00,时间可调
      • 注意:
        • 自动备份不能删除
        • 如果当天已经执行了自动备份,修改自动备份时间在当前时间后,仍然会执行备份
  • 恢复
    • 数据恢复为直接覆盖,操作不可逆,须谨慎操作,建议提前备份
    • 恢复过程中请勿对实例进行写操作
    • 恢复时间与数据量有关

云缓存数据库概述

  • Redis 云缓存
    • redis
      • 基于开源 Redis 协议的 Key-Value 类型在线缓存服务
      • 存储方式:内存+硬盘
      • 提供高速读写能力,提供数据持久化
    • 应用场景
      • 游戏行业
      • 电商行业
      • 视频直播类应用
      • 互联网金融
  • Memcached 云缓存
    • Memcached
      • 基于 Memcached 协议的高性能、内存级的 Key-Value 服务
      • 适用于高速缓存的场景,快速部署,轻松运维
      • 缓解后端压力,提高响应速度
    • 应用场景
      • 高频访问业务
      • 电商大型促销活动
      • 游戏数据场景
      • 社交应用
  • 使用云缓存改善数据库查询性能
    • 部署前
      20200214202012.png/pk_watermark
    • 部署后
      20200214202024.png/pk_watermark

第五章 存储服务

对象存储理论

  • 数据中心本地存储和云存储对比
    20200214202635.png/pk_watermark
  • 对象存储概念
    • OSS
    • 安全,稳定,海量,便捷
    • 上传,下载,存储,分发,在线处理
    • 任何时间,任何应用,任何地点可访问性
  • 对象存储术语
    • 存储空间
      • Bucket
      • 对象存储中数据的组织单位
      • 全局唯一,全局指 OSS 支持的各个地域
    • 对象
      • Object
      • 对象存储中基本实体
      • 组成:Key,Data,Metadata
    • OSS 访问域名
      • Endpoint
      • 默认访问域名
      • 区分内外网访问域名
    • Accesskey
      • 用户身份标识,在用户中心创建
    • 简单上传
      • Put Object
      • 小文件(5GB 以内)
    • 分片上传
      • Multipart Upload
      • 大文件(5GB-48.8TB),断点上传
  • 对象存储类型
    20200214203951.png/pk_watermark
  • 常用功能
    • 加密
    • 防盗链
    • 权限控制
    • 静态网页访问
    • 上传、下载、查看、搜索
    • 数据跨区域复制
    • 资源使用统计
    • 自动批量操作文件(删除)
  • 注意事项
    20200214204712.png/pk_watermark
    20200214204930.png/pk_watermark
  • 常见使用场景
    • 跨区域复制容灾:备份容灾
    • 数据加速分发:CDN
    • 云端数据处理:转码、图片处理
  • 创建存储空间
    • 访问权限:私有读写,共有读写,公有读私有写,自定义权限
    • 自定义权限:对用户对操作授权
  • 历史数据同步
    • 源 Bucket 一次性复制到目标 Bucket
    • 实现数据迁移或跨区域、同区域容灾
  • 增量数据同步
    • 自动、异步复制文件
    • 源 Bucket 的改动(除删除操作)会同步到目标 Bucket
      满足用户数据复制或 Bucket 跨区域容灾
    • 产生精确副本,副本与源对象具有相同的对象名、元数据、内容
  • 数据同步应用场景
    20200214210855.png/pk_watermark
  • 费用组成
    20200214213511.png/pk_watermark
  • 存储计费
    20200214214445.png/pk_watermark
  • 流量计费
    20200214214530.png/pk_watermark
  • 其他费用
    20200214214654.png/pk_watermark

配置和管理对象存储(LAB9)

本节为实验部分,需要实践

存储网关理论

  • 概念
    • 京东云存储网关提供支持 NFS、FTP 协议的文件网关
    • 文件网关将 OSS Bucket 的对象结构与 NAS 文件系统的目录与文件建立映射关系
    • 用户通过标准的的文件存储协议即可读写指定 OSS Bucket 里的对象
    • 网关还利用本地存储空间做为热数据缓存,使用户在享受 OSS Bucket 海量空间的同时,保障数据访问的高性能
  • 应用场景
    • 文件共享及备份
      • 多台云主机之间的文件共享
      • 存储网关最终将数据异步备份到 OSS,实现数据高可靠
    • 数据处理及分发
      • 文件网关将文件存储到对象存储 OSS 上,为文件提供数据处理及分发能力,减轻资源服务器的压力
      • 利用无限容量、高频读写特性,为静态资源提供可扩展和可靠的存储
  • 部署存储网关
    • 最低配置:4 核 4G 40G SSD 云盘
    • 公测,需要提交申请,申请通过在镜像中选择对象存储网关的共享镜像
    • 配置
      • 首次登入部署存储网关的云主机时,将会要求输入 accessKeyID、accessKeySecret、endpoint、bucket,并作为配置项保存在存储网关配置文件/etc/gateway/gw.conf 中
      • 初始化云硬盘,初始化脚本路径为/root/bin/auto_fdisk.sh,该操作将会初始化云硬盘并设置为存储网关的本地缓存
      • 配置完成后即可启动该存储网关文件共享服务,启动脚本路径为/root/bin/gw ,执行该脚本启动服务
      • 执行 df -h 命令查看是否启动成功,确认 127.0.0.1:/gw 为已成功开启的 NFS 共享文件系统
  • 费用说明
    • 存储网关侧:存储网关本身不收费
    • 云主机侧:需收费
    • 对象存储侧:需收费

云文件服务理论

  • 介绍
    • Cloud File Service 高可靠、可扩展、可共享访问的全托管分布式文件系统
    • 在不中断应用服务的情况下,按需扩容或减容,按用量收费
    • NFS 协议,可为 Linux 云主机提供共享访问服务
    • 三副本设计,无单点故障,数据持久可靠
  • 优势
    • 稳定可靠:三副本冗余
    • 全托管服务:直接挂载使用
    • 共享访问:同一 VPC 内多台云主机共享
    • 弹性扩展:根据业务伸缩,灵活计费
  • 应用场景
    • 媒体业务
    • Web 应用服务
  • 创建文件存储
    • 控制台-》文件存储-》创建
    • 有地域属性
    • 需配置所属 VPC 子网
  • 创建挂载目标
    • 文件存储列表-》管理文件存储访问
    • 选择私有网络
    • 管理挂载目标
  • 挂载文件存储
    • 安装 utils 客户端:sudo yum install -y nfs-utils
    • 创建挂载点目录:sudo mkdir nfs-point
    • 挂载目标 IP 地址的文件系统:sudo mount -t nfs 10.0.0.30: /nfs-point
    • 验证是否挂载成功:df -h
    • 注意:文件存储必须和云主机属于同一个 VPC
    • 可以修改 etc/fstab 永久挂载,重启生效
      20200215201236.png/pk_watermark

云文件服务(LAB10)

本节为实验部分,需要实践

第六章 视频服务

  • 媒体处理服务

    • 简称 MPS
    • 功能(对存储于对象存储中的媒体文件)
      • 视频转码
      • 视频截图
      • 回调通知
      • 使用 RESTful 接口实现
    • 工作流程
      20200215202104.png/pk_watermark
  • 视频直播

    • 概述
      • 通过京东云网络基础设施和分布式实施转码技术
      • 低延迟,易接入
      • 后付费,按功能用量计费
    • 应用场景
      20200215202438.png/pk_watermark
    • 优势
      20200215202502.png/pk_watermark
  • 视频点播

    • 介绍
      • 功能:视频上传,处理,分发,播放
      • 快速搭建点播平台和应用
      • 适用于电商娱乐的视频网站和应用
    • 优势
      20200215202738.png/pk_watermark
    • 应用场景
      20200215203052.png/pk_watermark

第七章 访问控制

  • IAM 概述

    • 用户身份管理与资源访问控制服务
    • 主账号向子账号授权管理账户中的资源
    • 管理子用户并控制其访问
    • 管理 IAM 角色及其权限
    • 应用场景
      • 企业内子账户权限管理(跨职能部门)
      • 不同企业间的权限管理(IT 外包)
  • 身份管理

    • 主账号(根账号,计费主体,拥有所有服务和资源的全部权限)
    • 子用户(由主账号创建的,只有资源的使用权)
    • 账号间关系
      • 资源归属和计费
        20200217102129.png/pk_watermark
      • 权限关系
        20200217102214.png/pk_watermark
    • 子用户的安全凭证
      • 登录名/密码(Password):您可以使用登录名和密码登录京东云控制台访问相关资源和服务
      • 访问密钥(AccessKey):您可以使用访问密钥访问 Open API 来管理和操作京东云资源
      • 虚拟 MFA 认证:Multi-Factor Authentication,是一种简单有效的最佳安全实践,它能够在用户名和密码之外再增加一层安全保护
        • 第一安全要素:用户名和密码
        • 第二安全要素:来自您虚拟 MFA 设备的动态验证码
      • 操作保护:您可以单独为子账号开启操作保护,一旦开启操作保护,用户在操作主账号授予的敏感操作时,将需要进行虚拟 MFA 认证
    • 服务角色使用模型(用户授权服务 A 访问服务 B)
      20200217103919.png/pk_watermark
  • 权限管理

    • 授权策略
      20200217104142.png/pk_watermark
    • 可视化策略生成器
    • 策略编辑器
    • 标签
  • 虚拟 FMA 设备
    20200217104950.png/pk_watermark - 启动虚拟 MFA 认证 - 获取 MFA 应用 - 设置安全码

  • IAM 服务逻辑关系
    20200217105221.png/pk_watermark

第八章 云安全

DDoS 基础防护

  • 什么是 DDoS?
    • DDoS(Distributed Denial of Service Attack,即分布式拒绝服务攻击
    • 是指借助于黑客技术,将多个计算机联合起来变为“僵尸主机”,联合起来对一个或多个目标发动 DDoS 攻击,以成倍地拒绝服务攻击威力,使受害者无法提供网络服务
  • DDoS 基础防护
    • 免费服务
    • 2G 基础防护能力
    • 自定义流量清洗触发值
  • 基础防护功能
    20200216195355.png/pk_watermark
  • 基础防护术语
    • 流量清洗
      • 将原始流量重定向至清洗设备,区别正常流量和异常流量,丢弃异常流量
    • 黑洞
      • 超过最大防护能力,自动屏蔽所有访问
  • 基础架构
    20200216201232.png/pk_watermark
  • 防护阈值设置
    • DDoS 基础防护-》公网 IP 列表-》选择 IP-》设置触发值
    • 每秒请求流量
    • 每秒请求报文
  • 查看监控日志

DDoS 防护包

  • 什么是 DDoS 防护包
    • 提升 DDoS 攻击防护能力的付费产品
    • 在基础防护免费 2G 带宽的基础上平滑升级
    • 具有部署简单、网络延时更低、优质访问质量保证等特点
    • 目前支持京东云内多种业务的抗 DDoS 攻击能力提升
  • 产品特性
    • IP 地址不用换:直接对已购买的公网 IP,进行防护能力的提升,IP 地址不用换
    • 快速接入:即买即用,无需复杂配置,秒级生效
    • 独享 IP+共享 IP:独享 IP 和共享 IP 的防护包形式,支持一个防护包用于多个防护对象。最大支持无限个 IP 的防御
    • 攻击抓包取证:攻击自动抓包取证,提供攻击源 IP 的信息,帮助溯源
    • 有效保障业务稳定: 提供最大 50G 的防御能力,保障您的业务稳定
  • 创建防护包
    • 创建防护规则
    • 防护对象设置
  • 查看安全报表

IP 高防

  • 产品概述
    • 抗 DDoS 攻击的安全增值服务
    • 在用户遭受大流量的 DDoS 攻击的情况下,保护用户服务器的安全
    • IP 高防的 IP 地址将代理用户对源站的访问,使用户源站不再直接暴露在外,从而有效保护源站的安全
  • 产品特性
    • 支持海量 DDoS 的攻击防御:对流量特征进行精确识别,有效抵御 Syn Flood、UDP Flood、ICMP Flood 等各种大流量攻击。总防护能力达到 T 级,轻松抵御超大流量攻击
    • 计费灵活:保底防护+弹性防护的灵活组合,当攻击流量超过保底套餐峰值时仍可继续提供防护,确保业务不中断。弹性防护部分根据实际峰值情况灵活计费,无攻击不收费
    • 覆盖所有业务场景:一站式购买,提供网站类(IP)+非网站类(域名)防护,支持 IPV4 和 IPV6 的防护场景
  • IP 高防架构
    • 接入前
      20200217182557.png/pk_watermark
    • 接入后
      20200217182617.png/pk_watermark
  • 创建 IP 高防实例
    • 网站类转发规则

第九章 消息队列和队列服务

消息队列

  • 京东云消息队列
    • 京东云消息队列(JD Cloud Message Queue,简称 JCQ)是京东云自主研发的分布式消息队列服务
    • 为不同应用之间或者不同组件之间提供可靠异步通信机制,并且实现了消息的发布订阅、消息查询、死信队列、重置消费点位、顺序消息和延时消息等功能
    • 具有高可用、高可靠、高性能、平滑扩容和动态监控等特性,是云架构中不可或缺的核心产品
  • 产品功能
    • 核心功能:发布订阅,消息查看,死信队列,重置消费点位
    • 支持协议多样:普通消息、顺序消息、延时消息
    • 多协议接入:HTTP、TCP
    • 安全防护:多维度资源允许状态和性能的监控,安全隔离
  • 产品优势
    20200216211034.png/pk_watermark
  • 应用场景
    • 削峰填谷
      • 上下游系统处理能力存在差距的时候,利用消息队列作为数据的缓冲器,控制信息流量,在下游有能力处理的时候,再进行消费,避免请求无效,无服务能力
      • 场景:秒杀抢购 用户在页面进行秒杀,前端页面即刻响应,将请求发给消息队列 JCQ, 订单或者确认稍后反馈给用户,客户便可关闭网页进行其他活动
    • 信息异步可靠传递
      • 对于上游系统发出的请求,接收者可能响应时间较长,并且由于网络,断电,负载过高等各种原因无法接受,而消息队列同步写入、三副本备份可以存储请求,保证消息的异步可靠传递,保证请求的时效性和可靠性
      • 场景:资金转移 当大量交易产生时,真正交易系统可能还未进行账户数值的变动,但交易操作记录会被持久化保存,允许系统异步处理,直到成功完成
    • 系统解耦
      • 在企业复杂的多业务系统中,很多业务流程不强依赖于核心流程,可以放到消息队列中让消息消费者去按需消费,而不影响核心主流程
      • 场景:电商场景 上游业务交易系统完成后,将消息存储到消息队列中,下游业务系统物流、购物车、积分等等从消息队列中消费,相互隔离,并行处理,能保证分布式系统之间的最终一致
  • 主题管理
    • 创建主题 Topic
    • 订阅主题 Topic
  • 消息管理
    • 发送消息
      • 保留时间:3 天
      • Type
    • 消息查询
      • 按 topic id 查询
      • 按 message id 查询
  • 查看监控信息
    • 详细信息-》监控

队列服务

  • 什么是京东云队列服务
    • 队列服务(Queue Service)是基于 serverless 架构的全托管消息队列服务
    • 用户使用队列服务,无需为了满足数据的高可靠、服务的高可用进行复杂的基础设施配置,也不用因为性能瓶颈而频繁扩容,只需专注业务实现
    • 通过简单的控制台操作或 SDK 调用,即可构建高可靠、高可用、可无限扩展的消息队列
    • 并且服务按量付费,无初始费用
  • 产品功能
    20200216212545.png/pk_watermark
  • 应用场景
    • 削峰填谷,异步解耦
    • 性能扩展,容错处理
  • 创建队列
    • 队列管理-》新建队列
    • 指定属性
  • 发送接收消息
    • 接入点地址
    • 通过 SDK 访问发送消息

第十章 企业应用

  • 云桌面
    • 功能
      • 京东云桌面提供了相当于本地桌面一样的流畅使用体验
      • 流畅的桌面连接访问,支持多种终端使用
      • 可以控制云桌面的开机、关机、重启
      • 数据传输、剪贴板的策略管理
      • 鼠标、键盘等外设支持
      • 提供定制化服务
    • 优势
      20200216214324.png/pk_watermark
    • 架构
      20200216214306.png/pk_watermark
  • PLUS 企业邮箱
    • 优势
      20200216214555.png/pk_watermark
  • PLUS 云会议
    • 优势
      20200216214640.png/pk_watermark
    • 场景:大中小型会议

第十一章 域名服务与备案

  • 域名服务备案服务
    • 域名注册、解析、监控、保护
    • 域名管理
    • 备案服务
  • 云解析
    • 对比
      20200216220516.png/pk_watermark
    • 优势:高可用,容灾,高性能,大带宽,抗 DDoS
    • 应用场景:抗 DDoS、DNS 容灾切换
  • HTTP DNS
    • 概念&作用
      20200216221001.png/pk_watermark
    • 产品优势:高速访问、安全接入、精准调度、稳定可靠
      20200216221126.png/pk_watermark
    • 应用场景:移动应用场景

第十二章 云市场

  • 简介
    • 企业 IT 服务交易平台
    • SaaS、服务、软件
  • 类目
    • 基础软件:通过预装集成环境及软件,经过京东云平台认证,可以随时灵活部署于京东云,随时随地提供给客户直接的高质量的云端服务,实现云服务器即开即用
    • 企业软件:为中小企业用户提供企业管理的一站式信息化解决方案,包括精品管理软件及 SaaS 服务,覆盖办公、销售、生产研发、财务、人力资源等各个领域,充分满足企业发展及管理需求
    • 网站建设:向用户提供基于京东云平台的建站类咨询、设计、开发等相关服务
    • 数据智能:提供高性能、高可用的 API 托管服务及强大的数据库系统和数据平台等服务,并提供计量计费功能
    • 运维服务:为用户提供基于云服务器的基础运维和安全代维,包含数据迁移、环境配置、故障排查、安全加固、技术支持,软件开发、架构咨询、标准化解决方案等全方位服务
    • 云安全:提供基于云产品的安全软件和安全服务,为用户提供安全相关镜像及服务。包括主机安全、应用安全、数据安全等

第十三章 计费与账单管理

  • 计费方式

    • 预付费
      • 包年包月
      • 到期未续费,收回资源
    • 后付费
      • 先申请资源,按使用情况计费
      • 按配置计费、按用量计费
      • 结算周期:天、小时
      • 到结算周期扣费,余额不足停服,逾期资源释放

    20200216223329.png/pk_watermark
    20200216223410.png/pk_watermark

  • 账单和发票

    • 消费总览是将账单按产品类型、计费方式、付款方式的维度统计汇总消费金额后展示给用户
    • 当月的总消费金额、现金支付金额、代金券支付金额、欠费金额
    • 当月的按产品类型消费前六的比例
    • 当月的按产品类型、计费方式、付款方式的维度统计汇总的消费金额、现金支付金额、代金券支付金额、欠费金额
  • 消息中心

    • 我的消息
      • 全部
      • 账户消息
      • 产品消息
      • 安全消息
      • 故障消息
      • 活动消息
      • 其他
    • 消息设置
      • 联系人管理
      • 通知方式