云基礎(chǔ)與應(yīng)用實(shí)戰(zhàn)CloudFoundationsandApplicationPractice第3章云計(jì)算關(guān)鍵技術(shù)單元學(xué)習(xí)目標(biāo)：理解虛擬化技術(shù)；掌握云計(jì)算服務(wù)及其關(guān)鍵技術(shù)；掌握云存儲(chǔ)服務(wù)及其關(guān)鍵技術(shù)；掌握云聯(lián)網(wǎng)與內(nèi)容分發(fā)服務(wù)及其關(guān)鍵技術(shù)；理解云安全責(zé)任共擔(dān)模型及身份認(rèn)證與訪(fǎng)問(wèn)控制技術(shù)。第3章

云計(jì)算關(guān)鍵技術(shù)

1.虛擬化技術(shù)⑴基本概念虛擬化技術(shù)（Virtualization）將計(jì)算機(jī)各種物理資源（CPU、內(nèi)存、磁盤(pán)、網(wǎng)卡等）進(jìn)行抽象、轉(zhuǎn)換，呈現(xiàn)為一種可以供分割與組合的邏輯資源，在最大限度屏蔽物理資源間差異性的同時(shí)，實(shí)現(xiàn)資源的統(tǒng)一表示和靈活分配。經(jīng)過(guò)虛擬化過(guò)程，被虛擬的物理資源得到統(tǒng)一的邏輯表示，并且這種邏輯表示提供給用戶(hù)的功能與物理資源大部分相同或完全相同。通過(guò)虛擬化可以擺脫物理資源束縛，根據(jù)需求整合物理資源并進(jìn)行重新規(guī)劃，可以達(dá)到提高資源利用率的目的。3.1

計(jì)算服務(wù)

1.虛擬化技術(shù)⑴基本概念（Con.）計(jì)算機(jī)系統(tǒng)架構(gòu)是否有效支持虛擬化的基本條件資源控制（ResourceControl）：控制程序?qū)ξ锢頇C(jī)所有資源具有絕對(duì)控制力，不允許虛擬機(jī)直接執(zhí)行敏感指令。同質(zhì)性（Equivalence）：在控制程序管理下所運(yùn)行程序（包括操作系統(tǒng)）的行為與沒(méi)有控制程序時(shí)應(yīng)該完全一致，且預(yù)先編寫(xiě)的特權(quán)指令可以自由地執(zhí)行。即除時(shí)序和資源可用性之外，與物理機(jī)環(huán)境在本質(zhì)上是相同的。性能效率（Efficiency）：大多數(shù)虛擬機(jī)指令是直接由宿主機(jī)硬件執(zhí)行的，不需要控制程序參與。3.1

計(jì)算服務(wù)

虛擬化技術(shù)⑴基本概念（Con.）虛擬化計(jì)算機(jī)架構(gòu)是獨(dú)立于物理基礎(chǔ)架構(gòu)，并在物理資源與虛擬資源間建立以下關(guān)系虛擬對(duì)象：是被虛擬化的物理資源（如：CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)等）；虛擬資源：是資源的邏輯表示，為用戶(hù)提供與虛擬對(duì)象的物理資源部分相同或者完全相同的功能。3.1

計(jì)算服務(wù)

1.虛擬化技術(shù)⑵虛擬機(jī)監(jiān)控器虛擬機(jī)監(jiān)控器VMM（VirtualMachineMonitor）是運(yùn)行在物理計(jì)算機(jī)硬件與操作系統(tǒng)之間的中間軟件層，將下層物理資源（CPU、內(nèi)存、I/O等）抽象邏輯表示為彼此間相互隔離的不同虛擬資源，并以虛擬資源作為“真實(shí)”資源供上層虛擬系統(tǒng)獨(dú)立申請(qǐng)使用。3.1

計(jì)算服務(wù)

3.1

計(jì)算服務(wù)

圖3-1物理資源、VMM與虛擬資源的關(guān)系1.虛擬化技術(shù)⑶虛擬機(jī)虛擬機(jī)VM（VirtualMachine）是使用虛擬資源構(gòu)建出來(lái)的、運(yùn)行在隔離環(huán)境中、具有完整功能邏輯的虛擬計(jì)算機(jī)系統(tǒng)。虛擬機(jī)可以提供與物理計(jì)算機(jī)相同功能，包括獨(dú)立的操作系統(tǒng)和應(yīng)用程序。虛擬機(jī)操作系統(tǒng)通過(guò)虛擬機(jī)監(jiān)控器VMM訪(fǎng)問(wèn)被屏蔽、分配和管理的底層物理資源，使用戶(hù)如同使用自己的計(jì)算機(jī)一樣操作物理資源。3.1

計(jì)算服務(wù)

1.虛擬化技術(shù)⑶虛擬機(jī)（Con.）虛擬機(jī)具有以下特性隔離性：虛擬機(jī)之間相互間隔離，即使是在同一物理機(jī)上，不同虛擬機(jī)操作系統(tǒng)相對(duì)獨(dú)立運(yùn)行，不會(huì)影響其它虛擬機(jī)系統(tǒng)；封裝性：計(jì)算任務(wù)封裝在虛擬機(jī)內(nèi)，便于虛擬機(jī)狀態(tài)的隨時(shí)抓取、備份、克隆、掛起和恢復(fù)；硬件無(wú)關(guān)性：具有相同硬件抽象的虛擬機(jī)之間可以無(wú)縫遷移，便于系統(tǒng)維護(hù)與升級(jí)；多實(shí)例：?jiǎn)闻_(tái)物理計(jì)算機(jī)可以構(gòu)建多個(gè)虛擬機(jī)，并分別安裝不同操作系統(tǒng)，從而大幅提高物理資源利用率；3.1

計(jì)算服務(wù)

1.虛擬化技術(shù)⑶虛擬機(jī)（Con.）虛擬機(jī)具有以下特性安全性：便于故障隔離、訪(fǎng)問(wèn)控制、病毒入侵檢測(cè)等。3.1

計(jì)算服務(wù)

1.虛擬化技術(shù)⑷云計(jì)算基礎(chǔ)設(shè)施與虛擬化為有效管理云計(jì)算基礎(chǔ)設(shè)施，并根據(jù)用戶(hù)需要及時(shí)調(diào)配計(jì)算資源，云計(jì)算平臺(tái)需要對(duì)數(shù)據(jù)中心資源實(shí)施以下工作資源定制：通過(guò)虛擬資源全局性、統(tǒng)一的管理和調(diào)度，形成包括異構(gòu)資源在內(nèi)的統(tǒng)一資源池，實(shí)現(xiàn)包括虛擬服務(wù)器所需CPU數(shù)目、內(nèi)存容量、磁盤(pán)空間在內(nèi)的云計(jì)算資源的按需分配。資源分享：通過(guò)計(jì)算資源封裝，為用戶(hù)提供相對(duì)獨(dú)立的運(yùn)行環(huán)境，實(shí)現(xiàn)的數(shù)據(jù)中心資源的多用戶(hù)按需分享。細(xì)粒度資源管理：通過(guò)對(duì)虛擬資源實(shí)施從生成、分配、擴(kuò)展、遷移、回收全流程管理，實(shí)現(xiàn)數(shù)據(jù)中心計(jì)算資源的用戶(hù)自助配置和管理。3.1

計(jì)算服務(wù)

1.虛擬化技術(shù)⑷云計(jì)算基礎(chǔ)設(shè)施與虛擬化為優(yōu)化計(jì)算資源管理，提高數(shù)據(jù)中心設(shè)備利用率,云計(jì)算系統(tǒng)需要在其系統(tǒng)架構(gòu)中增加虛擬化層，對(duì)云數(shù)據(jù)中心龐大的硬件設(shè)備實(shí)現(xiàn)以下功能資源虛擬化：將數(shù)據(jù)中心硬件設(shè)備物理資源抽象表示為全局性、可統(tǒng)一管理的虛擬資源，擺脫對(duì)硬件設(shè)備物理特性的依賴(lài)，消除異構(gòu)設(shè)備間的物理壁壘，并將虛擬資源集成為相應(yīng)的虛擬資源池，如CPU資源池、內(nèi)存資源池、存儲(chǔ)資源池、網(wǎng)絡(luò)資源池等。進(jìn)而以此為基礎(chǔ)，根據(jù)不同功能邏輯將虛擬資源映射為各種類(lèi)型、規(guī)格的虛擬資源（如實(shí)例等），供云計(jì)算用戶(hù)按需使用。3.1

計(jì)算服務(wù)

1.虛擬化技術(shù)⑷云計(jì)算基礎(chǔ)設(shè)施與虛擬化為優(yōu)化計(jì)算資源管理，提高數(shù)據(jù)中心設(shè)備利用率,云計(jì)算系統(tǒng)需要在其系統(tǒng)架構(gòu)中增加虛擬化層，對(duì)云數(shù)據(jù)中心龐大的硬件設(shè)備實(shí)現(xiàn)以下功能資源管理與調(diào)度：通過(guò)對(duì)虛擬資源的度量、監(jiān)控、調(diào)度和回收，實(shí)現(xiàn)對(duì)虛擬資源生成、分配、擴(kuò)展、遷移、回收全流程管理。進(jìn)而以此為基礎(chǔ)，實(shí)現(xiàn)虛擬資源靈活調(diào)度和按需分配（如虛擬機(jī)自動(dòng)化部署、虛擬機(jī)資源的彈性擴(kuò)展等），優(yōu)化計(jì)算任務(wù)在物理資源上的分布，使資源利用率得以最大化。3.1

計(jì)算服務(wù)

2.云服務(wù)器云服務(wù)器是云服務(wù)供應(yīng)商提供的一組虛擬計(jì)算資源，是一種具有與物理計(jì)算機(jī)相同功能邏輯，并可以按需調(diào)整的計(jì)算服務(wù)，又稱(chēng)實(shí)例（Instance）。3.1

計(jì)算服務(wù)

2.云服務(wù)器⑴云服務(wù)器基本構(gòu)成①實(shí)例類(lèi)型實(shí)例類(lèi)型是云服務(wù)供應(yīng)商根據(jù)自身商業(yè)目標(biāo)和業(yè)務(wù)場(chǎng)景，通過(guò)調(diào)度、編排其虛擬資源構(gòu)建的一組經(jīng)過(guò)優(yōu)化的虛擬資源配置組合。不同實(shí)例類(lèi)型具有不同的虛擬資源組合及容量，以適用用戶(hù)業(yè)務(wù)場(chǎng)景對(duì)計(jì)算功能，特別是性能的具體需求。每種實(shí)例類(lèi)型通常又括一種或多種實(shí)例大小，從而使用戶(hù)能夠通過(guò)資源容量的調(diào)整來(lái)滿(mǎn)足目標(biāo)工作負(fù)載的要求。實(shí)例類(lèi)型用于標(biāo)識(shí)云服務(wù)器所具有的虛擬計(jì)算資源，包括CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)帶寬的資源組合與容量，是云服務(wù)器在計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等方面功能與性能的定義。用戶(hù)通過(guò)選擇不同實(shí)例類(lèi)型來(lái)獲取不同CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)等虛擬資源的組合。3.1

計(jì)算服務(wù)

2.云服務(wù)器⑴云服務(wù)器基本構(gòu)成②映像文件映像文件用于封裝實(shí)例啟動(dòng)所需要環(huán)境信息，通常包括實(shí)例啟動(dòng)運(yùn)行的操作系統(tǒng)及其配置信息、安裝的應(yīng)用軟件及其運(yùn)行環(huán)境、相關(guān)數(shù)據(jù)。映像文件的本質(zhì)是供實(shí)例選擇的啟動(dòng)運(yùn)行環(huán)境模板。用戶(hù)在部署實(shí)例時(shí)通過(guò)選擇映像文件來(lái)指定實(shí)例啟動(dòng)的運(yùn)行環(huán)境，隨后使用映像文件在實(shí)例上部署操作系統(tǒng)與應(yīng)用軟件副本，從而快速獲得與映像文件一致的實(shí)例運(yùn)行環(huán)境。用戶(hù)可以使用不同映像文件啟動(dòng)不同類(lèi)型的實(shí)例，也可以通過(guò)一個(gè)映像文件啟動(dòng)多個(gè)實(shí)例。例如，用戶(hù)可以選擇一個(gè)映像文件啟動(dòng)實(shí)例，將其用作一個(gè)Web服務(wù)器，而選擇另一個(gè)映像文件來(lái)啟動(dòng)實(shí)例托管應(yīng)用程序服務(wù)器。3.1

計(jì)算服務(wù)

2.云服務(wù)器⑴云服務(wù)器基本構(gòu)成②映像文件（Con.）亞馬遜云科技映像文件AMI（AmazonMachineImage）包括以下組件根卷模板：通常包含一個(gè)完整的操作系統(tǒng)（OS）和在該操作系統(tǒng)中安裝的所有內(nèi)容（應(yīng)用程序、庫(kù)、實(shí)用工具等）。AmazonEC2會(huì)將該模板復(fù)制到一個(gè)新EC2實(shí)例的根卷中，然后啟動(dòng)它。啟動(dòng)許可：控制哪些亞馬遜云科技賬戶(hù)可以使用該AMI。塊儲(chǔ)存設(shè)備映射：指定在實(shí)例啟動(dòng)時(shí)需要附加的卷（如果有的話(huà)）。3.1

計(jì)算服務(wù)

2.云服務(wù)器⑴云服務(wù)器基本構(gòu)成②映像文件（Con.）根據(jù)映像文件來(lái)源的不同，亞馬遜云科技映像文件AMI分為以下幾類(lèi)快速啟動(dòng)AMI（QuickStartAMI）：亞馬遜云科技提供的預(yù)構(gòu)建映像文件，包含眾多Linux和Windows選項(xiàng)，供用戶(hù)選擇快速部署實(shí)例。我的AMI（MyAMI）：用戶(hù)根據(jù)其現(xiàn)有實(shí)例自行創(chuàng)建的映像文件。第三方AMI（AWSMarketplaceAMI）：由受亞馬遜云科技信任的第三方供應(yīng)商提供的映像文件，目前已列有數(shù)千種軟件解決方案，可以提供特定案例使用。社區(qū)AMI（CommunityAMI）：由亞馬遜云科技用戶(hù)創(chuàng)建并共享的映像文件。由于社區(qū)映像沒(méi)有經(jīng)過(guò)亞馬遜云科技檢測(cè)，使用時(shí)需要自擔(dān)風(fēng)險(xiǎn)。3.1

計(jì)算服務(wù)

2.云服務(wù)器⑴云服務(wù)器基本構(gòu)成③實(shí)例存儲(chǔ)實(shí)例存儲(chǔ)是以“物理”方式掛載到實(shí)例（云服務(wù)器）的臨時(shí)性塊存儲(chǔ)，作為實(shí)例的一個(gè)或多個(gè)存儲(chǔ)卷（塊儲(chǔ)存設(shè)備）用以臨時(shí)存儲(chǔ)頻繁更新的信息，例如緩存、緩沖區(qū)、臨時(shí)數(shù)據(jù)和其它臨時(shí)內(nèi)容。實(shí)例存儲(chǔ)的容量和數(shù)量隨實(shí)例類(lèi)型而不同，用戶(hù)不能自行修改。實(shí)例存儲(chǔ)與所掛載的實(shí)例具有相同生命周期，并且不能與已掛載的實(shí)例分離再附加到其它實(shí)例上。實(shí)例存儲(chǔ)中的數(shù)據(jù)在實(shí)例重新啟動(dòng)時(shí)會(huì)被保留。但是，用戶(hù)如果停止、休眠或終止實(shí)例，實(shí)例存儲(chǔ)中的所有數(shù)據(jù)都將丟失。3.1

計(jì)算服務(wù)

3.1

計(jì)算服務(wù)

圖3-2實(shí)例存儲(chǔ)架構(gòu)2.云服務(wù)器⑵實(shí)例狀態(tài)一個(gè)實(shí)例從啟動(dòng)一直到其終止，將經(jīng)過(guò)不同的狀態(tài)轉(zhuǎn)換。一個(gè)AmazonEC2實(shí)例生命周期各狀態(tài)轉(zhuǎn)換如后圖所示。3.1

計(jì)算服務(wù)

3.1

計(jì)算服務(wù)

圖3-3EC2實(shí)例生命周期各狀態(tài)轉(zhuǎn)換亞馬遜云科技EC2實(shí)例生命周期各狀態(tài)待處理狀態(tài)（Pending）：實(shí)例正準(zhǔn)備進(jìn)入Running狀態(tài)。實(shí)例在首次啟動(dòng)時(shí)進(jìn)入Pending狀態(tài)，或者在處于Stopped狀態(tài)后啟動(dòng)。此狀態(tài)不計(jì)費(fèi)。運(yùn)行狀態(tài)（Running）：實(shí)例正在運(yùn)行，并且做好了使用準(zhǔn)備。此狀態(tài)已開(kāi)始計(jì)費(fèi)。停止中狀態(tài)（Stopping）：實(shí)例正準(zhǔn)備處于停止?fàn)顟B(tài)或休眠狀態(tài)實(shí)例休眠（僅限AmazonEBS支持的實(shí)例）。如果是準(zhǔn)備停止，則不計(jì)費(fèi)；而如果是準(zhǔn)備休眠（Hibernated），則仍然計(jì)費(fèi)。停止?fàn)顟B(tài)（Stopped）：實(shí)例已關(guān)閉，不能使用，但是可以隨時(shí)啟動(dòng)實(shí)例。此狀態(tài)不計(jì)費(fèi)。3.1

計(jì)算服務(wù)

亞馬遜云科技EC2實(shí)例生命周期各狀態(tài)（Con.）終止中狀態(tài)（Shutting-down）：實(shí)例正準(zhǔn)備終止。此狀態(tài)不計(jì)費(fèi)。終止?fàn)顟B(tài)（Terminated）：實(shí)例已被永久刪除，無(wú)法啟動(dòng)。此狀態(tài)不計(jì)費(fèi)。3.1

計(jì)算服務(wù)

1.塊存儲(chǔ)⑴塊存儲(chǔ)原理塊存儲(chǔ)（BlockStorage）是將數(shù)據(jù)存儲(chǔ)在拆分為固定大小的“塊”介質(zhì)（例如：磁盤(pán)、磁帶、內(nèi)存等）中，并賦予每個(gè)塊一個(gè)用于尋址的編號(hào)。塊存儲(chǔ)是最基本的數(shù)據(jù)存儲(chǔ)方式。在塊存儲(chǔ)系統(tǒng)中，服務(wù)器通過(guò)SCSI/SAS或FCSAN等協(xié)議直接控制和訪(fǎng)問(wèn)存儲(chǔ)數(shù)據(jù)的硬件介質(zhì)，中間沒(méi)有抽象層，具有較高的I/O效率。塊存儲(chǔ)在修改數(shù)據(jù)時(shí)只需要更改特定塊的數(shù)據(jù)，因此具有高帶寬、低延遲的優(yōu)勢(shì)，但是擴(kuò)展能力有限，適用于對(duì)響應(yīng)時(shí)間有要求較高的工作負(fù)載。3.2存儲(chǔ)服務(wù)3.2存儲(chǔ)服務(wù)圖3-4塊存儲(chǔ)系統(tǒng)架構(gòu)1.塊存儲(chǔ)⑵塊存儲(chǔ)性能指標(biāo)IOPS（Input/OutputPerSecond）：每秒能夠處理的最大輸入/輸出請(qǐng)求數(shù)量（I/O讀寫(xiě)次數(shù)），一般以每秒處理的I/O請(qǐng)求數(shù)量為單位，I/O請(qǐng)求是讀或?qū)憯?shù)據(jù)的操作請(qǐng)求。吞吐量（Throuput)：又稱(chēng)帶寬，是系統(tǒng)在單位時(shí)間內(nèi)傳輸?shù)臄?shù)據(jù)量的總和，即存儲(chǔ)設(shè)備寫(xiě)入和讀出數(shù)據(jù)量的大小。通常只在大量順序讀寫(xiě)操作時(shí)可以獲得存儲(chǔ)設(shè)備的最大吞吐量。一般以MB/s為單位衡量存儲(chǔ)設(shè)備的吞吐量。響應(yīng)時(shí)間：從一個(gè)輸入/輸出請(qǐng)求開(kāi)始，到接收到返回結(jié)果結(jié)束該請(qǐng)求所經(jīng)歷的時(shí)間，也就是存儲(chǔ)設(shè)備處理一個(gè)輸入/輸出請(qǐng)求所需要的時(shí)間，一般是以秒、毫秒為單位。響應(yīng)時(shí)間與存儲(chǔ)系統(tǒng)緩存（Cache）大小以及命中率有較大關(guān)系。3.2存儲(chǔ)服務(wù)1.塊存儲(chǔ)⑶Amazon塊存儲(chǔ)服務(wù)AmazonEBS（AmazonElasticBlockStore）是易于使用、可擴(kuò)展的高性能數(shù)據(jù)塊存儲(chǔ)服務(wù)，用于AmazonEC2實(shí)例的持久化塊級(jí)存儲(chǔ)，適合任何規(guī)模吞吐量和事務(wù)密集型的工作負(fù)載。用戶(hù)可以將可用的EBS存儲(chǔ)卷附加到該卷所處于可用區(qū)（AZ）內(nèi)的一個(gè)或多個(gè)AmazonEC2實(shí)例上。EBS存儲(chǔ)卷的生命周期獨(dú)立于所掛載的AmazonEC2實(shí)例，用戶(hù)可以動(dòng)態(tài)更改附加到AmazonEC2實(shí)例的EBS卷配置。3.2存儲(chǔ)服務(wù)1.塊存儲(chǔ)⑶Amazon塊存儲(chǔ)服務(wù)（Con.）用戶(hù)可以在AmazonEBS卷上創(chuàng)建文件系統(tǒng)，或者像使用塊儲(chǔ)存設(shè)備（如硬盤(pán)）的方式使用EBS卷。AmazonEBS存儲(chǔ)卷特別適用于文件系統(tǒng)和數(shù)據(jù)庫(kù)的主存儲(chǔ)，或各種應(yīng)用需要細(xì)粒度頻繁更新及訪(fǎng)問(wèn)的原始的、無(wú)格式數(shù)據(jù)的塊級(jí)別存儲(chǔ)。AmazonEBS非常適合依賴(lài)隨機(jī)讀寫(xiě)操作的數(shù)據(jù)庫(kù)風(fēng)格的應(yīng)用，以及執(zhí)行長(zhǎng)時(shí)間連續(xù)讀寫(xiě)的吞吐量密集型應(yīng)用。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑴文件存儲(chǔ)與文件系統(tǒng)文件存儲(chǔ)，又稱(chēng)文件級(jí)或者基于文件的存儲(chǔ)，是以一種層次結(jié)構(gòu)的數(shù)據(jù)存儲(chǔ)。文件存儲(chǔ)將數(shù)據(jù)保存于文件和文件夾中，通過(guò)文件系統(tǒng)將所有的文件、文件目錄形成一個(gè)有層次的樹(shù)形結(jié)構(gòu)來(lái)管理文件的存儲(chǔ)和檢索。在文件存儲(chǔ)中，文件是邏輯上具有完整意義的信息集合，構(gòu)成文件的信息可以是一個(gè)程序或著一組數(shù)據(jù)。文件可以長(zhǎng)期保存在存儲(chǔ)設(shè)備中并被反復(fù)使用。文件的屬性通常包括名稱(chēng)、唯一標(biāo)識(shí)符、類(lèi)型、位置、大小、時(shí)間、保護(hù)等。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑴文件存儲(chǔ)與文件系統(tǒng)（Con.）文件系統(tǒng)是操作系統(tǒng)的文件信息存儲(chǔ)和管理系統(tǒng)，用以明確文件在存儲(chǔ)空間中的組織方法和數(shù)據(jù)結(jié)構(gòu)。文件是文件系統(tǒng)對(duì)數(shù)據(jù)的組織單元。文件系統(tǒng)負(fù)責(zé)文件的創(chuàng)建、存儲(chǔ)、讀取、修改、檢索等操作，并在用戶(hù)不再使用時(shí)撤銷(xiāo)文件。文件系統(tǒng)采用樹(shù)型目錄結(jié)構(gòu)組織文件，使用文件夾和子文件夾賦予所管理文件以上下分層的目錄結(jié)構(gòu)，方便用戶(hù)使用文件路徑進(jìn)行直觀(guān)操作。文件在存儲(chǔ)空間中的組織方法因文件系統(tǒng)不同而不同，以適應(yīng)不同類(lèi)型底層存儲(chǔ)機(jī)制（如硬盤(pán)、光盤(pán)、網(wǎng)絡(luò)等），實(shí)現(xiàn)不同設(shè)計(jì)目標(biāo)（如速度、靈活性、安全性等）。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑴文件存儲(chǔ)與文件系統(tǒng)（Con.）文件系統(tǒng)主要由以下三部分組成被管理文件及屬性：文件系統(tǒng)的管理對(duì)象，包括文件、目錄、磁盤(pán)存儲(chǔ)空間；操作和管理文件的軟件集合：在對(duì)文件進(jìn)行增刪改查操作時(shí)，負(fù)責(zé)組織文件接口，將文件邏輯地址轉(zhuǎn)換為磁盤(pán)空間的物理地址，以及操作權(quán)限檢查等，是文件系統(tǒng)的核心；文件系統(tǒng)接口：是操作和管理文件的軟件的封裝，為用戶(hù)提供文件的統(tǒng)一訪(fǎng)問(wèn)接口。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑴文件存儲(chǔ)與文件系統(tǒng)（Con.）文件系統(tǒng)需要完成以下功能提供文件的邏輯結(jié)構(gòu)、物理結(jié)構(gòu)和存儲(chǔ)方法，管理并調(diào)度文件存儲(chǔ)空間。實(shí)現(xiàn)文件從標(biāo)識(shí)到存儲(chǔ)地址的映射。實(shí)現(xiàn)對(duì)文件操作的控制和存取操作，包括文件的創(chuàng)建、存儲(chǔ)、讀取、修改、轉(zhuǎn)移、檢索、刪除等。實(shí)現(xiàn)以文件為單位的數(shù)據(jù)共享和文件保護(hù)措施。提供文件的可靠存儲(chǔ)措施。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑵網(wǎng)絡(luò)文件系統(tǒng)與網(wǎng)絡(luò)附加存儲(chǔ)網(wǎng)絡(luò)文件系統(tǒng)（NetworkFileSystem）基于TCP/UDP傳輸協(xié)議，允許用戶(hù)和應(yīng)用程序以遠(yuǎn)程過(guò)程調(diào)用（RPC）方式通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)位于遠(yuǎn)端計(jì)算機(jī)上的文件，如同訪(fǎng)問(wèn)本地文件一樣。網(wǎng)絡(luò)文件系統(tǒng)是本地文件系統(tǒng)的擴(kuò)展，其目的就是通過(guò)網(wǎng)絡(luò)將存儲(chǔ)系統(tǒng)的文件系統(tǒng)映射到計(jì)算節(jié)點(diǎn)（比如Web服務(wù)器），而不需要生成該資源的副本，從而實(shí)現(xiàn)存儲(chǔ)資源的共享，提高存儲(chǔ)設(shè)備利用率。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑵網(wǎng)絡(luò)文件系統(tǒng)與網(wǎng)絡(luò)附加存儲(chǔ)（Con.）網(wǎng)絡(luò)附加存儲(chǔ)（NetworkAttachedStorage）是一種網(wǎng)絡(luò)文件存儲(chǔ)系統(tǒng)，使用TCP/IP協(xié)議在局域網(wǎng)內(nèi)實(shí)現(xiàn)異構(gòu)平臺(tái)之間的文件傳輸和數(shù)據(jù)共享。NAS服務(wù)器通常僅包括存儲(chǔ)設(shè)備和內(nèi)嵌系統(tǒng)軟件，是一種專(zhuān)用網(wǎng)絡(luò)文件存儲(chǔ)服務(wù)器，可實(shí)現(xiàn)異構(gòu)平臺(tái)的文件存儲(chǔ)和數(shù)據(jù)共享。3.2存儲(chǔ)服務(wù)3.2存儲(chǔ)服務(wù)圖3-5NAS網(wǎng)絡(luò)附加存儲(chǔ)系統(tǒng)架構(gòu)2.文件存儲(chǔ)⑵網(wǎng)絡(luò)文件系統(tǒng)與網(wǎng)絡(luò)附加存儲(chǔ)（Con.）NAS服務(wù)器是一種即插即用網(wǎng)絡(luò)設(shè)備，用戶(hù)和應(yīng)用程序通過(guò)網(wǎng)絡(luò)方便地接入，不僅響應(yīng)速度快，數(shù)據(jù)傳輸速率高，而且可以通過(guò)增加磁盤(pán)陣列或NAS節(jié)點(diǎn)存儲(chǔ)容量和性能實(shí)現(xiàn)快速擴(kuò)展。用戶(hù)和應(yīng)用程序不需要管理對(duì)存儲(chǔ)文件的操作，在存儲(chǔ)設(shè)備更新或出現(xiàn)故障情況下，NAS服務(wù)器仍可以繼續(xù)運(yùn)行。NAS系統(tǒng)適用于對(duì)讀寫(xiě)性能要求不高的跨平臺(tái)文件存儲(chǔ)和共享服務(wù)。例如日志存儲(chǔ)和文件備份等。NAS服務(wù)器不足在于功能單一，協(xié)議開(kāi)銷(xiāo)高、讀寫(xiě)速率低，適用于較小規(guī)模網(wǎng)絡(luò)，不適合在高性能集群中使用。此外，NAS性能受網(wǎng)絡(luò)數(shù)據(jù)傳輸能力限制，嚴(yán)重情況下可能會(huì)增加網(wǎng)絡(luò)擁塞，可靠性有待提高。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑶分布式文件系統(tǒng)分布式文件系統(tǒng)（DistributedFileSystem）所管理的物理存儲(chǔ)設(shè)備分布在網(wǎng)絡(luò)上，并具有統(tǒng)一命名的存儲(chǔ)空間。分布式文件系統(tǒng)支持通過(guò)網(wǎng)絡(luò)多服務(wù)器多用戶(hù)間實(shí)現(xiàn)文件和數(shù)據(jù)的共享和實(shí)時(shí)訪(fǎng)問(wèn)。分布式文件系統(tǒng)在邏輯上與其它文件系統(tǒng)相似，其接口與普通文件系統(tǒng)的接口兼容，用戶(hù)可以像使用本地文件系統(tǒng)一樣管理和存儲(chǔ)數(shù)據(jù)文件。分布式文件系統(tǒng)通常將每份文件至少?gòu)?fù)制兩個(gè)副本以上，并分散存儲(chǔ)到不同節(jié)點(diǎn)上，節(jié)點(diǎn)間通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，在避免由于單個(gè)節(jié)點(diǎn)失效導(dǎo)致整個(gè)系統(tǒng)故障的同時(shí)，將負(fù)載從單個(gè)節(jié)點(diǎn)遷移到多個(gè)節(jié)點(diǎn)，從而提高整個(gè)系統(tǒng)的性能效率。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑶分布式文件系統(tǒng)（Con.）分布式文件系統(tǒng)通常包括主控服務(wù)器（又稱(chēng)元數(shù)據(jù)服務(wù)器、名字服務(wù)器等）和備用主控服務(wù)器，以便在故障時(shí)接管服務(wù)（也可以?xún)蓚€(gè)都為主控模式），多個(gè)存儲(chǔ)服務(wù)器（又稱(chēng)數(shù)據(jù)服務(wù)器，存儲(chǔ)節(jié)點(diǎn)等），以及若干客戶(hù)端?？蛻?hù)端可以是各種應(yīng)用服務(wù)器，也可以是終端用戶(hù)或應(yīng)用程序。HDFS文件系統(tǒng)（HadoopDistributedFileSystem）就是一種應(yīng)用廣泛、易于擴(kuò)展、開(kāi)源的分布式文件系統(tǒng)。3.2存儲(chǔ)服務(wù)3.2存儲(chǔ)服務(wù)圖3-6HDFS分布式文件系統(tǒng)架構(gòu)2.文件存儲(chǔ)⑷Amazon文件存儲(chǔ)服務(wù)AmazonEFSAmazonEFS（ElasticFileSystem）是亞馬遜云科技提供的一種簡(jiǎn)單、無(wú)服務(wù)器、設(shè)置即用的彈性文件系統(tǒng)，旨在為AmazonEC2實(shí)例提供各種工作負(fù)載所需的穩(wěn)定、低延遲、高吞吐量、IOPS可隨文件系統(tǒng)增長(zhǎng)而擴(kuò)展的，高可用性、持久性、可跨多可用區(qū)的數(shù)據(jù)冗余存儲(chǔ)。借助AmazonEFS，用戶(hù)既可以將EFS掛載到托管應(yīng)用程序的AmazonEC2實(shí)例上，用以從文件系統(tǒng)讀取或?qū)懭霐?shù)據(jù)，也可以將EFS作為獨(dú)立文件系統(tǒng)使用。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑷Amazon文件存儲(chǔ)服務(wù)AmazonEFS（Con.）AmazonEFS自動(dòng)管理文件存儲(chǔ)底層的基礎(chǔ)架構(gòu)，可以在不中斷應(yīng)用程序的情況下，按需彈性擴(kuò)展至PB級(jí)，并隨著文件的添加或刪除而自動(dòng)擴(kuò)展或縮減，可以自適應(yīng)增長(zhǎng)而無(wú)需預(yù)置容量和手動(dòng)管理。AmazonEFS具有簡(jiǎn)單的Web服務(wù)界面，用戶(hù)可讓快速方便地創(chuàng)建和配置文件系統(tǒng)，管理所有文件存儲(chǔ)基礎(chǔ)設(shè)施。這意味著用戶(hù)無(wú)需關(guān)心文件系統(tǒng)部署、補(bǔ)丁管理和復(fù)雜的配置維護(hù)等技術(shù)細(xì)節(jié)。AmazonEFS服務(wù)的功能近似于本地文件存儲(chǔ)，用戶(hù)可以輕松地將本地現(xiàn)有文件結(jié)構(gòu)遷移到云端，并享有與訪(fǎng)問(wèn)本地文件相同的各種操作。相對(duì)于自建NFS服務(wù)器，使用AmazonEFS不僅能夠有效提升效率，而且成本也得以降低。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑷Amazon文件存儲(chǔ)服務(wù)AmazonFSxforLustreAmazonFSxforLustre是亞馬遜云科技的一種基于Lustre的為需要快速存儲(chǔ)的應(yīng)用程序而設(shè)計(jì)的高性能文件存儲(chǔ)服務(wù)，可提供亞毫秒級(jí)延遲、高達(dá)數(shù)百GBP吞吐量以及高達(dá)數(shù)百萬(wàn)IOPS。作為一項(xiàng)全托管服務(wù)，AmazonFSxforLustre用戶(hù)可以避免傳統(tǒng)Lustre文件系統(tǒng)復(fù)雜的設(shè)置和管理工作。AmazonFSxforLustre提供原生文件系統(tǒng)接口，用戶(hù)可以使用現(xiàn)有基于Linux的應(yīng)用程序，而無(wú)需進(jìn)行任何更改。AmazonFSxforLustre可以實(shí)現(xiàn)寫(xiě)后讀一致性，并支持文件鎖定，用戶(hù)可以從AmazonEC2實(shí)例、AmazonEKS集群訪(fǎng)問(wèn)其文件系統(tǒng)，也可使用AmazonDirectConnect或AmazonVPN從本地訪(fǎng)問(wèn)。3.2存儲(chǔ)服務(wù)2.文件存儲(chǔ)⑷Amazon文件存儲(chǔ)服務(wù)AmazonFSxforLustre（Con.）AmazonFSxforLustre文件系統(tǒng)可以鏈接到AmazonS3存儲(chǔ)桶，用戶(hù)可以同時(shí)從高性能文件系統(tǒng)和S3API快速訪(fǎng)問(wèn)和處理數(shù)據(jù)。在鏈接到AmazonS3存儲(chǔ)桶時(shí)，AmazonFSxforLustre以透明方式將對(duì)象顯示為文件，使用戶(hù)可以運(yùn)行工作負(fù)載，而無(wú)需花費(fèi)時(shí)間和精力管理來(lái)自AmazonS3的數(shù)據(jù)傳輸。AmazonFSxforLustre提供多種部署選項(xiàng)，其高吞吐量、高一致性和低延遲特點(diǎn)，可以根據(jù)用戶(hù)工作負(fù)載的需求優(yōu)化成本和性能，可以充分滿(mǎn)足機(jī)器學(xué)習(xí)、高性能計(jì)算（HPC）、視頻渲染和財(cái)務(wù)模擬等眾多快速數(shù)據(jù)處理和分析的工作負(fù)載對(duì)高性能共享存儲(chǔ)的需要。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑴基本概念對(duì)象存儲(chǔ)是一種將數(shù)據(jù)作為“對(duì)象”進(jìn)行存儲(chǔ)并管理的數(shù)據(jù)存儲(chǔ)系統(tǒng)。對(duì)象由與文件數(shù)據(jù)類(lèi)似的對(duì)象實(shí)體數(shù)據(jù)，和一組說(shuō)明該對(duì)象規(guī)格定義及數(shù)據(jù)質(zhì)量等屬性信息的元數(shù)據(jù)（Metadata）組成。與傳統(tǒng)文件存儲(chǔ)不同，對(duì)象的元數(shù)據(jù)（Metadata）可以根據(jù)應(yīng)用需求進(jìn)行設(shè)置，例如，數(shù)據(jù)分布、服務(wù)質(zhì)量等，并且與對(duì)象實(shí)體數(shù)據(jù)分開(kāi)存儲(chǔ)。對(duì)象存儲(chǔ)空間是對(duì)象的組織管理單位，一個(gè)對(duì)象必然隸屬于某個(gè)對(duì)象存儲(chǔ)空間，對(duì)象存儲(chǔ)空間名稱(chēng)全局唯一，且不能進(jìn)行修改。對(duì)象存儲(chǔ)空間采用扁平結(jié)構(gòu)組織對(duì)象，并通過(guò)對(duì)象標(biāo)識(shí)符（ObjectID）檢索對(duì)象。存儲(chǔ)空間對(duì)內(nèi)部對(duì)象數(shù)量沒(méi)有限制。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑴基本概念（Con.）用戶(hù)可以設(shè)置和修改存儲(chǔ)空間屬性來(lái)控制和管理存儲(chǔ)空間。例如，對(duì)象的上傳下載、訪(fǎng)問(wèn)權(quán)限、生命周期，存儲(chǔ)空間訪(fǎng)問(wèn)控制等。用戶(hù)對(duì)存儲(chǔ)空間屬性的設(shè)置直接作用于該存儲(chǔ)空間內(nèi)所有對(duì)象。用戶(hù)可以通過(guò)創(chuàng)建不同存儲(chǔ)空間靈活實(shí)現(xiàn)不同的管理功能。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑵對(duì)象存儲(chǔ)系統(tǒng)工作機(jī)制在對(duì)象存儲(chǔ)系統(tǒng)中，對(duì)象維護(hù)自己的屬性信息，以簡(jiǎn)化存儲(chǔ)系統(tǒng)管理任務(wù)，增強(qiáng)系統(tǒng)訪(fǎng)問(wèn)和管理的靈活性。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑵對(duì)象存儲(chǔ)系統(tǒng)工作機(jī)制(Con.)對(duì)象通常由“鍵”、“數(shù)據(jù)”和“元數(shù)據(jù)”三部分組成鍵（Key）：是對(duì)象在存儲(chǔ)空間內(nèi)的唯一標(biāo)識(shí)。在對(duì)象存儲(chǔ)空間內(nèi)，對(duì)象間沒(méi)有層次結(jié)構(gòu)關(guān)系，用戶(hù)使用對(duì)象標(biāo)識(shí)符跟蹤并獲取對(duì)象的詳細(xì)信息。數(shù)據(jù)（Data）：是對(duì)象的數(shù)據(jù)或內(nèi)容。通常是非結(jié)構(gòu)化數(shù)據(jù)，例如音視頻、圖片和二進(jìn)制文件等。用戶(hù)通過(guò)自定義對(duì)象元數(shù)據(jù)來(lái)描述這些不包含文本字段、非結(jié)構(gòu)化的數(shù)據(jù)。元數(shù)據(jù)（Metadata）：是關(guān)于對(duì)象數(shù)據(jù)屬性的集合，例如對(duì)象的大小、最后修改時(shí)間等，以及對(duì)象的一些自定義信息。元數(shù)據(jù)通常以“鍵—值”對(duì)（Key-ValuePair）形式存儲(chǔ)。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑵對(duì)象存儲(chǔ)系統(tǒng)工作機(jī)制(Con.)對(duì)象存儲(chǔ)系統(tǒng)通常由元數(shù)據(jù)服務(wù)器（MDS）、對(duì)象存儲(chǔ)服務(wù)（OSS）、對(duì)象存儲(chǔ)設(shè)備（OSD）和對(duì)象存儲(chǔ)客戶(hù)端（Client）四部分組成。3.2存儲(chǔ)服務(wù)3.2存儲(chǔ)服務(wù)圖3-7對(duì)象存儲(chǔ)體系結(jié)構(gòu)3.對(duì)象存儲(chǔ)⑵對(duì)象存儲(chǔ)系統(tǒng)工作機(jī)制(Con.)①客戶(hù)端應(yīng)用向元數(shù)據(jù)服務(wù)器（MDS）發(fā)送對(duì)象訪(fǎng)問(wèn)請(qǐng)求，查詢(xún)獲取要讀取數(shù)據(jù)所在的對(duì)象存儲(chǔ)設(shè)備（OSD）；②元數(shù)據(jù)服務(wù)器（MDS）通過(guò)對(duì)象存儲(chǔ)服務(wù)（OSS）查詢(xún)對(duì)象存儲(chǔ)設(shè)備（OSD）中數(shù)據(jù)的狀態(tài)信息；③對(duì)象存儲(chǔ)服務(wù)（OSS）向元數(shù)據(jù)服務(wù)器（MDS）返回對(duì)象存儲(chǔ)設(shè)備（OSD）中數(shù)據(jù)的相關(guān)信息（OSDid，BucketID，Key與偏移量等）；④元數(shù)據(jù)服務(wù)器（MDS）更新客戶(hù)端保存的信息；⑤客戶(hù)端向?qū)ο蟠鎯?chǔ)服務(wù)（OSS）提交客戶(hù)端認(rèn)證，例如AccessKey；3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑵對(duì)象存儲(chǔ)系統(tǒng)工作機(jī)制(Con.)⑥客戶(hù)端認(rèn)證通過(guò)，則對(duì)象存儲(chǔ)服務(wù)（OSS）返回與對(duì)象相關(guān)的對(duì)象存儲(chǔ)設(shè)備（OSD）信息；⑦客戶(hù)端通過(guò)Rest接口訪(fǎng)問(wèn)對(duì)應(yīng)的數(shù)據(jù)，并在收到對(duì)象存儲(chǔ)設(shè)備（OSD）返回的數(shù)據(jù)后，讀操作完成。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑶對(duì)象存儲(chǔ)特點(diǎn)對(duì)象存儲(chǔ)技術(shù)的核心是通過(guò)對(duì)象的數(shù)據(jù)讀寫(xiě)與對(duì)象的元數(shù)據(jù)控制分離并獨(dú)立存儲(chǔ)，從而加快對(duì)象的排序、分類(lèi)和查找。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑶對(duì)象存儲(chǔ)特點(diǎn)對(duì)象存儲(chǔ)具有以下優(yōu)勢(shì)管理靈活：對(duì)象存儲(chǔ)的扁平化數(shù)據(jù)結(jié)構(gòu)，對(duì)象維護(hù)描述自身屬性的元數(shù)據(jù)，可以有效減輕對(duì)象存儲(chǔ)系統(tǒng)管理任務(wù)，大幅提高系統(tǒng)靈活性和可管理性，并支持彈性自動(dòng)伸縮。無(wú)限擴(kuò)展：對(duì)象存儲(chǔ)系統(tǒng)采用分布式集群架構(gòu)，相關(guān)功能節(jié)點(diǎn)、集群能夠獨(dú)立擴(kuò)容，理論上存儲(chǔ)總?cè)萘亢蛯?duì)象數(shù)量沒(méi)有限制。方便共享：對(duì)象存儲(chǔ)系統(tǒng)將被管理對(duì)象的元數(shù)據(jù)下移至對(duì)象存儲(chǔ)設(shè)備（OSD）上，并由OSD負(fù)責(zé)管理元數(shù)據(jù)，以減少其與上層應(yīng)用相關(guān)性，增強(qiáng)對(duì)象數(shù)據(jù)跨平臺(tái)共享能力。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑶對(duì)象存儲(chǔ)特點(diǎn)對(duì)象存儲(chǔ)具有以下優(yōu)勢(shì)（Con.）標(biāo)準(zhǔn)接口：由對(duì)象存儲(chǔ)設(shè)備維護(hù)元數(shù)據(jù)，可以使用較少的元數(shù)據(jù)維護(hù)數(shù)據(jù)的一致性。用戶(hù)可以使用智能終端利用標(biāo)準(zhǔn)Web瀏覽器根據(jù)對(duì)象ID方便地訪(fǎng)問(wèn)對(duì)象?？焖贆z索：對(duì)象存儲(chǔ)采用平面數(shù)據(jù)結(jié)構(gòu)而非樹(shù)型層級(jí)結(jié)構(gòu)，一個(gè)存儲(chǔ)數(shù)據(jù)對(duì)應(yīng)一個(gè)對(duì)象。這種一對(duì)一映射，使對(duì)象可通過(guò)其元數(shù)據(jù)或ID進(jìn)行檢索，檢索速度更快。安全可靠：對(duì)象存儲(chǔ)系統(tǒng)可以對(duì)訪(fǎng)問(wèn)用戶(hù)進(jìn)行身份鑒權(quán)，可以對(duì)對(duì)象存儲(chǔ)“容器”（Bucket）和對(duì)象數(shù)據(jù)本身訪(fǎng)問(wèn)設(shè)置ACL等訪(fǎng)問(wèn)控制策略，并支持SSL連接加密。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑶對(duì)象存儲(chǔ)特點(diǎn)對(duì)象存儲(chǔ)存在以下不足修改數(shù)據(jù)困難：對(duì)象存儲(chǔ)必須一次性完整寫(xiě)入，并且只能更新整個(gè)對(duì)象文件，而不能單獨(dú)修改對(duì)象數(shù)據(jù)。因此，對(duì)象存儲(chǔ)適合變動(dòng)不大，甚至不變的數(shù)據(jù)。例如，用戶(hù)的備份文件、圖像和視頻文件等。最終一致性差：由于不同存儲(chǔ)節(jié)點(diǎn)所處空間位置不同，數(shù)據(jù)同步可能導(dǎo)致一定時(shí)間延遲或者不一致情況發(fā)生。因此，對(duì)象存儲(chǔ)不適合用于數(shù)據(jù)頻繁變化的數(shù)據(jù)庫(kù)類(lèi)應(yīng)用。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)S3存儲(chǔ)桶及其結(jié)構(gòu)對(duì)象：由對(duì)象數(shù)據(jù)和描述該對(duì)象數(shù)據(jù)的任意元數(shù)據(jù)兩部分組成，是AmazonS3的基本存儲(chǔ)單元。其中對(duì)象數(shù)據(jù)部分可以是任意類(lèi)型，可存儲(chǔ)數(shù)據(jù)總?cè)萘亢蛯?duì)象個(gè)數(shù)不受限制；元數(shù)據(jù)部分是以“鍵-值（Keys-Value）”來(lái)形式定義。桶（Bucket）：是AmazonS3存儲(chǔ)對(duì)象的容器。AmazonS3以“桶”的形式組織對(duì)象，每個(gè)對(duì)象都存在一個(gè)存儲(chǔ)桶中。用戶(hù)通過(guò)在特定亞馬遜云科技區(qū)域創(chuàng)建、命名和配置存儲(chǔ)桶，來(lái)組織對(duì)象的存儲(chǔ)空間，控制對(duì)象的訪(fǎng)問(wèn)。3.2存儲(chǔ)服務(wù)3.2存儲(chǔ)服務(wù)圖3-8AmazonS3對(duì)象存儲(chǔ)系統(tǒng)基本組成3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)AmazonS3對(duì)象特性鍵（Keys）：即對(duì)象名稱(chēng)，是對(duì)象在存儲(chǔ)桶內(nèi)的唯一標(biāo)識(shí)符，可以使用對(duì)象鍵檢索該對(duì)象。用戶(hù)可以在對(duì)象名稱(chēng)中使用前綴和分隔符模擬文件夾來(lái)表示對(duì)象間的目錄層次結(jié)構(gòu)。AmazonS3可以視為是一種“存儲(chǔ)桶+鍵+對(duì)象版本ID”的組合與對(duì)象數(shù)據(jù)之間的映射，是Web服務(wù)節(jié)點(diǎn)地址、存儲(chǔ)桶名、對(duì)象鍵及版本ID（可選）共同定位AmazonS3中的每個(gè)對(duì)象數(shù)據(jù)。例如，URL/2006-03-01/AmazonS3.wsdl，其中，“doc”是S3存儲(chǔ)桶名稱(chēng)，而“2006-03-01/AmazonS3.wsdl”則是對(duì)象鍵。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)AmazonS3對(duì)象特性（Con.）元數(shù)據(jù)：是對(duì)象上傳時(shí)設(shè)置的一組描述對(duì)象信息的“鍵-值（Key-Value）”對(duì)，對(duì)象上傳完成后將無(wú)法修改。元數(shù)據(jù)的唯一修改方式是創(chuàng)建對(duì)象副本并設(shè)置元數(shù)據(jù)。對(duì)象元數(shù)據(jù)又分為系統(tǒng)定義元數(shù)據(jù)（如對(duì)象創(chuàng)建日期等）和用戶(hù)自定義元數(shù)據(jù)（一組鍵值對(duì)）。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)AmazonS3對(duì)象特性（Con.）版本控制：用于在同一存儲(chǔ)桶中保留對(duì)象的多個(gè)版本。用戶(hù)可以保留、檢索和恢復(fù)存儲(chǔ)桶中對(duì)象的各個(gè)版本，避免因意外覆蓋或刪除造成數(shù)據(jù)丟失。例如，當(dāng)新版對(duì)象（photo.gif）存入已包含相同名稱(chēng)對(duì)象的存儲(chǔ)桶時(shí)，原有對(duì)象（ID=111111）仍將保留在該存儲(chǔ)桶中，而新版對(duì)象（photo.gif）則生成新的版本（ID=121212），并被添加到該存儲(chǔ)桶中。版本控制作用于整個(gè)存儲(chǔ)桶，而不是單個(gè)對(duì)象。版本ID：存儲(chǔ)桶啟用S3版本控制后，AmazonS3會(huì)為添加到存儲(chǔ)桶中的每個(gè)對(duì)象生成唯一的版本ID。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)AmazonS3對(duì)象特性（Con.）訪(fǎng)問(wèn)控制：默認(rèn)情況下，AmazonS3所有資源都是私有的，包括存儲(chǔ)桶、對(duì)象和相關(guān)子資源（如生命周期、網(wǎng)站配置等）。只有資源擁有者，即創(chuàng)建資源的亞馬遜云科技賬戶(hù)可以訪(fǎng)問(wèn)該資源。資源擁有者可以通過(guò)編寫(xiě)訪(fǎng)問(wèn)策略管理對(duì)存儲(chǔ)桶內(nèi)對(duì)象的訪(fǎng)問(wèn)，授予他人訪(fǎng)問(wèn)權(quán)限。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)AmazonS3存儲(chǔ)類(lèi)別AmazonS3標(biāo)準(zhǔn)：旨在為頻繁訪(fǎng)問(wèn)的數(shù)據(jù)提供高持久性、高可用性和高性能的對(duì)象存儲(chǔ)。“AmazonS3標(biāo)準(zhǔn)”存儲(chǔ)所提供的較低延遲和較高吞吐量，適合各種應(yīng)用場(chǎng)景，包括云應(yīng)用程序、動(dòng)態(tài)網(wǎng)站、內(nèi)容分發(fā)、移動(dòng)和游戲應(yīng)用程序以及大數(shù)據(jù)分析等。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)AmazonS3存儲(chǔ)類(lèi)別（Con.）AmazonS3智能分層：旨在通過(guò)智能分析數(shù)據(jù)使用頻率并將數(shù)據(jù)自動(dòng)移至最經(jīng)濟(jì)高效的存儲(chǔ)設(shè)備來(lái)優(yōu)化成本，同時(shí)不影響性能或產(chǎn)生運(yùn)營(yíng)開(kāi)銷(xiāo)。智能分層應(yīng)用場(chǎng)景與S3標(biāo)準(zhǔn)存儲(chǔ)相同。AmazonS3監(jiān)控智能分層的對(duì)象訪(fǎng)問(wèn)模式，將連續(xù)30天未訪(fǎng)問(wèn)對(duì)象移動(dòng)到不頻繁訪(fǎng)問(wèn)層，而如果訪(fǎng)問(wèn)不頻繁訪(fǎng)問(wèn)層中對(duì)象，則該對(duì)象將被自動(dòng)移回頻繁訪(fǎng)問(wèn)層。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)AmazonS3存儲(chǔ)類(lèi)別（Con.）AmazonS3標(biāo)準(zhǔn)-IA（不頻繁訪(fǎng)問(wèn)）：用于不頻繁訪(fǎng)問(wèn)但在必要時(shí)能夠快速訪(fǎng)問(wèn)的數(shù)據(jù)，適合長(zhǎng)期存儲(chǔ)和備份，以及用作災(zāi)難恢復(fù)文件的數(shù)據(jù)存儲(chǔ)。“AmazonS3標(biāo)準(zhǔn)-IA”提供與S3標(biāo)準(zhǔn)存儲(chǔ)相同的高持久性、高吞吐量和低延遲，并且每GB存儲(chǔ)價(jià)格和檢索費(fèi)用都較低。AmazonS3單區(qū)-IA（不頻繁訪(fǎng)問(wèn)）：用于不頻繁訪(fǎng)問(wèn)但必要時(shí)要求快速訪(fǎng)問(wèn)的數(shù)據(jù)，并將數(shù)據(jù)存儲(chǔ)在單個(gè)可用區(qū)中，并且成本比“AmazonS3標(biāo)準(zhǔn)-IA”低。適用于成本較低選項(xiàng)來(lái)存儲(chǔ)不頻繁訪(fǎng)問(wèn)的數(shù)據(jù)，而不需要S3標(biāo)準(zhǔn)存儲(chǔ)或“AmazonS3標(biāo)準(zhǔn)-IA”的可用性和彈性。3.2存儲(chǔ)服務(wù)3.對(duì)象存儲(chǔ)⑷AmazonS3對(duì)象存儲(chǔ)服務(wù)AmazonS3存儲(chǔ)類(lèi)別（Con.）AmazonS3Glacier：適用于數(shù)據(jù)歸檔，旨在為用戶(hù)提供高性能、安全、持久、低成本的對(duì)象存儲(chǔ)類(lèi)，同時(shí)滿(mǎn)足各種數(shù)據(jù)檢索需求。AmazonS3Glacier根據(jù)歸檔數(shù)據(jù)訪(fǎng)問(wèn)模式和持續(xù)存儲(chǔ)時(shí)間提供三類(lèi)優(yōu)化的存儲(chǔ)選擇。AmazonS3GlacierInstantRetrieval可以提供最低的存儲(chǔ)成本及毫秒級(jí)檢索速度，適用于需要即時(shí)訪(fǎng)問(wèn)的歸檔數(shù)據(jù)；AmazonS3GlacierFlexibleRetrieval（原S3Glacier）可以在幾分鐘內(nèi)檢索，也可以在5-12小時(shí)內(nèi)進(jìn)行免費(fèi)批量檢索，適用于不需要立即訪(fǎng)問(wèn)但需要靈活地免費(fèi)檢索大量數(shù)據(jù)的歸檔數(shù)據(jù)；AmazonS3GlacierDeepArchive是成本最低的云存儲(chǔ)，數(shù)據(jù)檢索時(shí)間為12小時(shí)，適用于很少需要訪(fǎng)問(wèn)的歸檔存儲(chǔ)。3.2存儲(chǔ)服務(wù)1.VPC⑴概念與架構(gòu)VPC（VirtualPrivateCloud）是用戶(hù)在公有云服務(wù)供應(yīng)商平臺(tái)上自定義的，用于資源部署的私有虛擬網(wǎng)絡(luò)空間。不同VPC間相互邏輯隔離，用戶(hù)通過(guò)選擇IP地址范圍、創(chuàng)建子網(wǎng)（包括公有子網(wǎng)、私有子網(wǎng)）、配置路由表等，來(lái)自定義VPC網(wǎng)絡(luò)環(huán)境，組織服務(wù)資源（網(wǎng)站服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等）的部署，靈活控制對(duì)資源的訪(fǎng)問(wèn)。為保障云資源和應(yīng)用程序的安全，用戶(hù)可以根據(jù)VPC網(wǎng)絡(luò)環(huán)境，部署安全組和網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表（網(wǎng)絡(luò)ACL）等多層安全措施，通過(guò)在VPC內(nèi)部構(gòu)建起嚴(yán)密的網(wǎng)絡(luò)安全防護(hù)機(jī)制，實(shí)現(xiàn)對(duì)云資源和應(yīng)用程序的安全訪(fǎng)問(wèn)。3.3聯(lián)網(wǎng)與路由3.3聯(lián)網(wǎng)與路由圖3-9VPC結(jié)構(gòu)及其基本組件1.VPC⑴概念與架構(gòu)IP地址段用戶(hù)創(chuàng)建VPC時(shí)，需要選擇VPC所使用IP地址的范圍，用于劃分為一個(gè)或多個(gè)子網(wǎng)，以隔離放置的資源組。用戶(hù)可以使用RFC1918的私有IP地址段、公有IPv4或者IPv6地址段，并將它們靜態(tài)分配給子網(wǎng)和EC2實(shí)例。如果需要通過(guò)Internet訪(fǎng)問(wèn)這些地址，用戶(hù)需要將VPC連接到Internet，并更新路由表將它們發(fā)布到Internet。在Internet上只有公有IP地址可以被路由，VPC中任何可供Internet訪(fǎng)問(wèn)的實(shí)例或托管服務(wù)均需要分配公有IP地址。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)IP地址段（Con.）VPC可以為每個(gè)資源（實(shí)例）自動(dòng)分配或由用戶(hù)設(shè)置一個(gè)私有IP地址。亞馬遜云科技建議VPC使用/8、/12、/16三個(gè)私有IP地址網(wǎng)段。默認(rèn)VPC分配有/16的CIDR范圍。每個(gè)默認(rèn)VPC中的默認(rèn)子網(wǎng)分配有大小為/20的VPCCIDR網(wǎng)段。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)子網(wǎng)子網(wǎng)是VPC私有網(wǎng)絡(luò)IP地址范圍的劃分，所有云資源（例如實(shí)例、云數(shù)據(jù)庫(kù)等）必須部署在子網(wǎng)內(nèi)。用戶(hù)可以在VPC所在區(qū)域的一個(gè)或多個(gè)可用區(qū)創(chuàng)建子網(wǎng)，每個(gè)子網(wǎng)完全從屬于某個(gè)可用區(qū)，不能跨越多個(gè)可用區(qū)，并且子網(wǎng)網(wǎng)段一經(jīng)創(chuàng)建后就不能修改。VPC子網(wǎng)分為公有子網(wǎng)和私有子網(wǎng)。公有子網(wǎng)可以路由流量到Internet網(wǎng)關(guān)，并且可以訪(fǎng)問(wèn)Internet。因此，通常需要將直接連接Internet的資源部署在公有子網(wǎng)內(nèi)。私有子網(wǎng)不能直接路由網(wǎng)絡(luò)流量到Internet網(wǎng)關(guān)，無(wú)法訪(fǎng)問(wèn)Internet，通常將不需要直接連接到Internet的資源部署在私有子網(wǎng)內(nèi)。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)子網(wǎng)（Con.）子網(wǎng)在創(chuàng)建時(shí)需要保留少量IP地址，用于自己的無(wú)類(lèi)域間路由CIDR（ClasslessInter-DomainRouting）。以亞馬遜云科技為例，每個(gè)子網(wǎng)段需要保留五個(gè)IP地址。對(duì)于/24網(wǎng)段，需要保留網(wǎng)絡(luò)地址（）、VPC本地路由器（）、域名系統(tǒng)解析（）、未來(lái)使用（）、網(wǎng)絡(luò)廣播地址（55）五個(gè)IP地址。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)路由表VPC路由表包含一組稱(chēng)為“路由”的規(guī)則，用于確定網(wǎng)絡(luò)流量的走向。表中的每條路由都指定一個(gè)目的地址和一個(gè)目標(biāo)地址。目的地址是希望流量傳輸?shù)降腎P地址范圍（目的CIDR），而目標(biāo)地址則是用來(lái)向目的地址發(fā)送流量的網(wǎng)關(guān)、網(wǎng)絡(luò)接口或連接，例如Internet網(wǎng)關(guān)。路由表分為隨VPC創(chuàng)建而自動(dòng)生成主路由表和用戶(hù)創(chuàng)建的自定義路由表兩種。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)路由表（Con.）VPC的每個(gè)子網(wǎng)都必須與某個(gè)路由表相關(guān)聯(lián)，用以控制子網(wǎng)路由。子網(wǎng)一次只能與一個(gè)路由表關(guān)聯(lián)，但是多個(gè)子網(wǎng)可以與同一路由表關(guān)聯(lián)。主路由表控制VPC中未與其它路由表顯式關(guān)聯(lián)的所有子網(wǎng)的路由。用戶(hù)不能刪除主路由表，但可以對(duì)主路由表進(jìn)行編輯，添加、刪除和修改路由。默認(rèn)情況下，自定義路由表創(chuàng)建時(shí)為空表，用戶(hù)通過(guò)在其中添加、刪除和修改路由，來(lái)控制與該自定義路由表建立顯式關(guān)聯(lián)的VPC子網(wǎng)的網(wǎng)絡(luò)流量走向。用戶(hù)只能刪除沒(méi)有關(guān)聯(lián)子網(wǎng)的自定義路由表。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)Internet網(wǎng)關(guān)和NAT網(wǎng)關(guān)Internet網(wǎng)關(guān)（InternetGateway）是一種用于VPC與Internet間通信的可以水平擴(kuò)展、冗余、高可用的VPC組件。Internet網(wǎng)關(guān)用于在VPC路由表中為Internet可路由流量提供目標(biāo)，以及為已分配了公有IPv4地址的實(shí)例執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（NetworkAddressTranslation）。用戶(hù)需要將VPC的Internet網(wǎng)關(guān)添加到公有子網(wǎng)所關(guān)聯(lián)的路由表中，以通過(guò)Internet網(wǎng)關(guān)將非本地網(wǎng)絡(luò)流量發(fā)送到Internet（/0）。如果沒(méi)有Internet網(wǎng)關(guān)，VPC將無(wú)法與Internet連接。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)Internet網(wǎng)關(guān)和NAT網(wǎng)關(guān)（Con.）NAT網(wǎng)關(guān)（NATGateway）是一種網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)。使用NAT網(wǎng)關(guān)，私有子網(wǎng)的實(shí)例可以中轉(zhuǎn)連接到VPC外部的服務(wù)，但外部服務(wù)無(wú)法發(fā)起與這些實(shí)例的連接。NAT網(wǎng)關(guān)創(chuàng)建時(shí)，需要指定是公有連接類(lèi)型還是私有連接類(lèi)型。通過(guò)公有NAT網(wǎng)關(guān)，私有子網(wǎng)實(shí)例可以連接到Internet，但是不能接收來(lái)自Internet的未經(jīng)請(qǐng)求的入站連接；而通過(guò)私有NAT網(wǎng)關(guān)，私有子網(wǎng)實(shí)例可以連接到其它VPC或者用戶(hù)在本地部署的網(wǎng)絡(luò)。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)安全組安全組根據(jù)安全規(guī)則控制網(wǎng)絡(luò)流量的進(jìn)入（入站）和離開(kāi)（出站）與其關(guān)聯(lián)的資源，其中入站規(guī)則控制流量的進(jìn)入，出站規(guī)則控制流量的離開(kāi)。用戶(hù)通過(guò)向安全組中添加規(guī)則，控制流量進(jìn)入和離開(kāi)與它關(guān)聯(lián)的資源（如：Web服務(wù)器、數(shù)據(jù)庫(kù)等）。用戶(hù)創(chuàng)建VPC時(shí)，系統(tǒng)會(huì)自動(dòng)為VPC創(chuàng)建一個(gè)默認(rèn)安全組。以亞馬遜云科技為例，VPC在創(chuàng)建時(shí)會(huì)自動(dòng)生成一個(gè)名為“default”的默認(rèn)安全組，并擁有一個(gè)由Amazon分配的安全組ID。對(duì)于某些資源，如果用戶(hù)在創(chuàng)建資源時(shí)沒(méi)有關(guān)聯(lián)安全組，則會(huì)關(guān)聯(lián)默認(rèn)安全組。例如，如果用戶(hù)在啟動(dòng)EC2實(shí)例時(shí)沒(méi)有指定安全組，則會(huì)關(guān)聯(lián)默認(rèn)安全組。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)安全組（Con.）默認(rèn)情況下，安全組允許所有流量離開(kāi)，而限制流量進(jìn)入。安全組只能在創(chuàng)建該安全組的VPC中使用，且僅在與實(shí)例關(guān)聯(lián)的情況下，規(guī)則才會(huì)用于控制訪(fǎng)問(wèn)實(shí)例的網(wǎng)絡(luò)流量。用戶(hù)可以創(chuàng)建其它安全組，并在部署實(shí)例時(shí)指定其與一個(gè)或多個(gè)安全組關(guān)聯(lián)。在確定是否允許流量到達(dá)關(guān)聯(lián)的EC2實(shí)例時(shí)，會(huì)評(píng)估所有與該實(shí)例關(guān)聯(lián)的安全組中的所有規(guī)則。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)安全組（Con.）安全組是有狀態(tài)的，通常只需要設(shè)定其所允許的入站協(xié)議端口。例如，如果某實(shí)例發(fā)送請(qǐng)求，則無(wú)論所關(guān)聯(lián)安全組的入站規(guī)則如何，都允許該請(qǐng)求的響應(yīng)流量到達(dá)該實(shí)例。用戶(hù)可以隨時(shí)修改安全組的規(guī)則，新規(guī)則將自動(dòng)應(yīng)用到所有與該安全組相關(guān)聯(lián)的實(shí)例。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表（AccessControlList）是VPC的可選安全層，用于控制特定網(wǎng)絡(luò)流量進(jìn)入和離開(kāi)與其關(guān)聯(lián)的子網(wǎng)。VPC自帶有可修改的默認(rèn)網(wǎng)絡(luò)ACL，默認(rèn)情況下，該網(wǎng)絡(luò)ACL允許所有流量入站和出站。網(wǎng)絡(luò)ACL有獨(dú)立的入站和出站規(guī)則，并且每項(xiàng)規(guī)則可以允許或拒絕流量。3.3聯(lián)網(wǎng)與路由1.VPC⑴概念與架構(gòu)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表（Con.）與安全組相似，用戶(hù)可以通過(guò)添加入站或出站網(wǎng)絡(luò)ACL規(guī)則，對(duì)與它關(guān)聯(lián)的子網(wǎng)的進(jìn)入（入站）和離開(kāi)（出站）流量進(jìn)行精確控制。每個(gè)VPC子網(wǎng)都必須與一個(gè)網(wǎng)絡(luò)ACL關(guān)聯(lián)，如果用戶(hù)沒(méi)有將某個(gè)子網(wǎng)與一個(gè)網(wǎng)絡(luò)ACL顯式關(guān)聯(lián)，則該子網(wǎng)將自動(dòng)關(guān)聯(lián)默認(rèn)網(wǎng)絡(luò)ACL。與安全組不同的是，網(wǎng)絡(luò)ACL在子網(wǎng)級(jí)別運(yùn)行，是一種無(wú)狀態(tài)防火墻，對(duì)入站規(guī)則允許進(jìn)入流量的響應(yīng)會(huì)隨著出站規(guī)則的變化而改變（反之亦然）。具有相同網(wǎng)絡(luò)流量控制需求的子網(wǎng)可以關(guān)聯(lián)同一個(gè)網(wǎng)絡(luò)ACL，而一個(gè)子網(wǎng)一次只能與一個(gè)網(wǎng)絡(luò)ACL關(guān)聯(lián)。當(dāng)一個(gè)子網(wǎng)與某個(gè)網(wǎng)絡(luò)ACL建立新的關(guān)聯(lián)時(shí)，它此前的關(guān)聯(lián)將被刪除。3.3聯(lián)網(wǎng)與路由1.VPC⑵主要功能網(wǎng)絡(luò)空間結(jié)構(gòu)規(guī)劃區(qū)域（位置）選擇：云服務(wù)供應(yīng)商將遍布全球的基礎(chǔ)設(shè)施根據(jù)地理位置集合成若干“區(qū)域”。因此，區(qū)域（Region）既是一個(gè)地理概念，也是云服務(wù)網(wǎng)絡(luò)時(shí)延的劃分。用戶(hù)在創(chuàng)建VPC時(shí)通過(guò)“區(qū)域”選擇，可以使其業(yè)務(wù)在地理位置上更加靠近最終客戶(hù)，并滿(mǎn)足有關(guān)法律法規(guī)的合規(guī)性要求。子網(wǎng)劃分：子網(wǎng)是VPC內(nèi)IP地址范圍的劃分。用戶(hù)可以根據(jù)業(yè)務(wù)在網(wǎng)絡(luò)流量傳輸、容錯(cuò)和安全等方面的需要，通過(guò)劃分子網(wǎng)來(lái)合理規(guī)劃網(wǎng)絡(luò)空間。3.3聯(lián)網(wǎng)與路由1.VPC⑵主要功能網(wǎng)絡(luò)空間結(jié)構(gòu)規(guī)劃（Con.）私有IP地址選擇與劃分：VPC中資源依據(jù)IP地址相互通信以及與Internet資源進(jìn)行通信，每個(gè)服務(wù)實(shí)例至少需要有一個(gè)私有IP地址。而VPC子網(wǎng)創(chuàng)建成功后，不支持IP地址范圍更改。因此，用戶(hù)需要根據(jù)業(yè)務(wù)需求和未來(lái)發(fā)展選擇VPC內(nèi)部私有IP地址范圍，并合理劃分私有IP地址網(wǎng)段，在實(shí)現(xiàn)VPC子網(wǎng)相關(guān)規(guī)劃的同時(shí)，為其部署云資源（例如：實(shí)例、云存儲(chǔ)等）預(yù)留足夠IP地址空間。3.3聯(lián)網(wǎng)與路由1.VPC⑵主要功能網(wǎng)絡(luò)空間結(jié)構(gòu)規(guī)劃（Con.）彈性IP地址：是為動(dòng)態(tài)云計(jì)算資源設(shè)計(jì)的靜態(tài)公有IPv4地址，可通過(guò)Internet訪(fǎng)問(wèn)。用戶(hù)可以將彈性IP地址與其帳戶(hù)的VPC中的實(shí)例或網(wǎng)絡(luò)接口進(jìn)行關(guān)聯(lián)，在用戶(hù)明確釋放其彈性IP地址之前，該彈性IP地址一直分配給用戶(hù)的Amazon帳戶(hù)。借助彈性IP地址，用戶(hù)可以通過(guò)將故障實(shí)例的彈性IP地址重新映射給VPC內(nèi)的其它實(shí)例，快速屏蔽故障帶來(lái)的影響。3.3聯(lián)網(wǎng)與路由1.VPC⑵主要功能網(wǎng)絡(luò)流量規(guī)劃彈性IP地址連接Internet：部署在公有子網(wǎng)為公眾提供服務(wù)的云資源（例如：實(shí)例、云存儲(chǔ)等），可以通過(guò)配置彈性IP地址直接為Internet用戶(hù)所訪(fǎng)問(wèn)。一個(gè)彈性IP只能綁定一個(gè)云資源使用。NAT網(wǎng)關(guān)連接Internet：部署在私有子網(wǎng)的云資源（例如：實(shí)例、云數(shù)據(jù)庫(kù)等），可以配置有私有IP地址，并利用部署在公有子網(wǎng)的NAT網(wǎng)關(guān)轉(zhuǎn)發(fā)Internet訪(fǎng)問(wèn)請(qǐng)求，Internet用戶(hù)不能直接訪(fǎng)問(wèn)。NAT網(wǎng)關(guān)可以實(shí)現(xiàn)同一VPC內(nèi)多個(gè)云資源共享一個(gè)或多個(gè)公有IP地址主動(dòng)訪(fǎng)問(wèn)Internet，有效降低管理成本，減少云資源直接暴露在互聯(lián)網(wǎng)的風(fēng)險(xiǎn)。3.3聯(lián)網(wǎng)與路由1.VPC⑵主要功能網(wǎng)絡(luò)流量規(guī)劃（Con.）組合連接：將彈性公有IP地址與實(shí)例直接綁定是一種網(wǎng)絡(luò)資源獨(dú)占方式；而NAT則是一種IP地址映射技術(shù)，兩者存在本質(zhì)不同。用戶(hù)需要根據(jù)業(yè)務(wù)，組合使用彈性IP地址和NAT網(wǎng)關(guān)，實(shí)現(xiàn)VPC內(nèi)的不同資源以不同方式連接到Internet。路由表配置：在創(chuàng)建VPC時(shí)，系統(tǒng)會(huì)自動(dòng)為其生成主路由表，所創(chuàng)建的子網(wǎng)默認(rèn)與主路由表關(guān)聯(lián)。用戶(hù)如果需要對(duì)VPC內(nèi)部網(wǎng)絡(luò)流量傳輸進(jìn)行特殊控制，可以創(chuàng)建自定義路由表，并將相關(guān)子網(wǎng)顯式關(guān)聯(lián)該路由表，利用自定義路由規(guī)則確保能夠有效控制關(guān)聯(lián)子網(wǎng)的流量路由。3.3聯(lián)網(wǎng)與路由1.VPC⑵主要功能VPC組件協(xié)作流程分析來(lái)自Internet訪(fǎng)問(wèn)云資源（如：實(shí)例）的流量經(jīng)由Internet網(wǎng)關(guān)進(jìn)入VPC；與該Internet網(wǎng)關(guān)綁定的路由表根據(jù)路由規(guī)則將流量轉(zhuǎn)發(fā)至相應(yīng)子網(wǎng)（Subnet）；如果該子網(wǎng)關(guān)聯(lián)有網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表ACL，該網(wǎng)絡(luò)ACL將入站根據(jù)規(guī)則判斷是否允許流量進(jìn)入；網(wǎng)絡(luò)ACL允許進(jìn)入子網(wǎng)的流量將被轉(zhuǎn)發(fā)至待訪(fǎng)問(wèn)云資源（如：實(shí)例）所關(guān)聯(lián)的安全組，該安全組將根據(jù)安全規(guī)則判斷是否將流量轉(zhuǎn)發(fā)給相應(yīng)資源；安全組允許入站的流量被發(fā)送給相應(yīng)資源。3.3聯(lián)網(wǎng)與路由3.3聯(lián)網(wǎng)與路由圖3-10VPC組件協(xié)作流程2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑴部署安全組安全組規(guī)則構(gòu)成規(guī)則種類(lèi)：規(guī)則分為控制流量達(dá)到與該安全組相關(guān)聯(lián)實(shí)例的“入站”規(guī)則，和控制流量離開(kāi)實(shí)例的“出站”規(guī)則。安全組在被創(chuàng)建時(shí)沒(méi)有入站規(guī)則，用戶(hù)需要添加入站規(guī)則來(lái)允許特定入站流量傳輸?shù)剿P(guān)聯(lián)的實(shí)例。默認(rèn)情況下，安全組出站規(guī)則允許所有出站流量，用戶(hù)需要?jiǎng)h除該規(guī)則并添加允許特定出站流量的出站規(guī)則，才能控制出站流量離開(kāi)與之關(guān)聯(lián)的實(shí)例。類(lèi)型：規(guī)則用于篩選流量的類(lèi)型，例如，HTTP流量、HTTPS流量、SSH流量等。協(xié)議：規(guī)則用于篩選流量的應(yīng)用層協(xié)議，通常是TCP、UDP傳輸協(xié)議和ICMP協(xié)議。3.3聯(lián)網(wǎng)與路由2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑴部署安全組安全組規(guī)則構(gòu)成（Con.）端口范圍：規(guī)則用于篩選流量的端口或端口范圍，可以是單個(gè)端口（例如，80）或端口范圍（例如，7000-8000）。源（Source）：對(duì)于入站規(guī)則是流量的源，對(duì)于出站規(guī)則是流量的目標(biāo)。源可以是單個(gè)IP地址、IP地址段（例如，/24）、也可以是其它安全組。策略：規(guī)則對(duì)符合條件的流量的操作，分為“允許”或“拒絕”。3.3聯(lián)網(wǎng)與路由2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑴部署安全組安全組規(guī)則優(yōu)先級(jí)安全組以規(guī)則在列表中位置的高低來(lái)表示規(guī)則的優(yōu)先級(jí)，列表頂端規(guī)則的優(yōu)先級(jí)最高，最先被應(yīng)用，而列表底端的規(guī)則優(yōu)先級(jí)則最低。如果規(guī)則發(fā)生沖突，則默認(rèn)使用位置排列在前（優(yōu)先級(jí)高）的規(guī)則。安全組是從規(guī)則列表的頂端開(kāi)始逐條匹配規(guī)則直至最后一條。如果某條規(guī)則匹配成功，則允許入站/出站流量通過(guò)，并且不再匹配列表中該規(guī)則之后的規(guī)則。用戶(hù)可以隨時(shí)調(diào)整安全組規(guī)則。3.3聯(lián)網(wǎng)與路由2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑴部署安全組多安全組協(xié)作在實(shí)際應(yīng)用場(chǎng)景中，某個(gè)云資源（實(shí)例）可能需要關(guān)聯(lián)多個(gè)安全組，以滿(mǎn)足業(yè)務(wù)配置需求。當(dāng)多個(gè)安全組被關(guān)聯(lián)到同一個(gè)云資源（實(shí)例）時(shí)，將根據(jù)關(guān)聯(lián)安全組的順序有效匯總各個(gè)安全組的規(guī)則成為一組規(guī)則聚合，并按照優(yōu)先級(jí)自上而下依次匹配執(zhí)行。3.3聯(lián)網(wǎng)與路由2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑵部署網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表是作用在VPC子網(wǎng)上的網(wǎng)絡(luò)安全控制單元。每個(gè)VPC子網(wǎng)必須與一個(gè)網(wǎng)絡(luò)ACL關(guān)聯(lián)。如果用戶(hù)沒(méi)有將某個(gè)子網(wǎng)與一個(gè)網(wǎng)絡(luò)ACL顯式關(guān)聯(lián)，該子網(wǎng)將自動(dòng)關(guān)聯(lián)VPC創(chuàng)建時(shí)系統(tǒng)自動(dòng)生成的默認(rèn)網(wǎng)絡(luò)ACL，該默認(rèn)網(wǎng)絡(luò)ACL允許所有流量入站和出站。用戶(hù)可以創(chuàng)建自定義網(wǎng)絡(luò)ACL，并通過(guò)網(wǎng)絡(luò)ACL規(guī)則的源和目標(biāo)IP地址、端口和協(xié)議等的設(shè)置，控制進(jìn)入或離開(kāi)與其關(guān)聯(lián)VPC子網(wǎng)的網(wǎng)絡(luò)流量。默認(rèn)情況下，每個(gè)自定義網(wǎng)絡(luò)ACL都拒絕所有入站和出站流量，直至用戶(hù)添加相應(yīng)規(guī)則。3.3聯(lián)網(wǎng)與路由2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑵部署網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表網(wǎng)絡(luò)ACL規(guī)則構(gòu)成規(guī)則編號(hào)：每條規(guī)則擁有唯一編號(hào)，規(guī)則匹配根據(jù)編號(hào)從最低到高進(jìn)行，只要流量與某條規(guī)則匹配，就應(yīng)用該規(guī)則并忽略與其沖突的任何具有更高編號(hào)的規(guī)則。類(lèi)型：規(guī)則用于篩選的流量類(lèi)型，例如：SSH流量等，用戶(hù)也可以指定所有流量或自定義流量范圍。協(xié)議：用于指定篩選任何具有標(biāo)準(zhǔn)協(xié)議編號(hào)的協(xié)議，當(dāng)指定協(xié)議為ICMP時(shí)，可以指定ICMP協(xié)議的任意類(lèi)型和代碼。端口范圍：規(guī)則偵聽(tīng)流量的端口或端口范圍。例如，HTTP流量的80端口，也可以是全部端口。3.3聯(lián)網(wǎng)與路由2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑵部署網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表網(wǎng)絡(luò)ACL規(guī)則構(gòu)成（Con.）源：僅限于進(jìn)入方向規(guī)則，用以指定入站流量的源（CIDR范圍）。允許/拒絕：對(duì)匹配條件的流量的操作，分為“允許”或“拒絕”。3.3聯(lián)網(wǎng)與路由2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑵部署網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表網(wǎng)絡(luò)ACL規(guī)則優(yōu)先級(jí)默認(rèn)網(wǎng)絡(luò)ACL允許所有流量流入和流出。如果使用默認(rèn)網(wǎng)絡(luò)ACL對(duì)進(jìn)入或離開(kāi)某個(gè)子網(wǎng)的流量進(jìn)行過(guò)濾，需要修改默認(rèn)網(wǎng)絡(luò)ACL，或者將該子網(wǎng)與某個(gè)自定義網(wǎng)絡(luò)ACL顯式關(guān)聯(lián)。網(wǎng)絡(luò)ACL將作用于與之關(guān)聯(lián)子網(wǎng)內(nèi)的全部資源（實(shí)例等），為整個(gè)子網(wǎng)提供防護(hù)。當(dāng)網(wǎng)絡(luò)ACL包含多條規(guī)則時(shí)，需要使用數(shù)字從小到大對(duì)規(guī)則編號(hào)，并根據(jù)編號(hào)從小到大順序?qū)@些規(guī)則進(jìn)行匹配，并且一旦與某條規(guī)則匹配成功就結(jié)束匹配過(guò)程。3.3聯(lián)網(wǎng)與路由2.網(wǎng)絡(luò)訪(fǎng)問(wèn)控制⑵部署網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表安全組與網(wǎng)絡(luò)ACL比較3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑴使用路由表①路由規(guī)則路由表包含一組稱(chēng)為“路由”的規(guī)則，用于判斷將網(wǎng)絡(luò)流量導(dǎo)向目的的轉(zhuǎn)發(fā)路徑。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑴使用路由表①路由規(guī)則路由屬性目的（Destination）：希望流量傳輸?shù)降哪康腎P地址范圍。目標(biāo)（Target）：用于定義將網(wǎng)絡(luò)流量發(fā)送到目的地址所需要轉(zhuǎn)發(fā)的下一跳IP地址或網(wǎng)關(guān)、網(wǎng)絡(luò)接口。例如Internet網(wǎng)關(guān)。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑴使用路由表①路由規(guī)則本地路由每個(gè)路由表中至少包含一條用于VPC內(nèi)部實(shí)例間通信的本地路由。默認(rèn)情況下，本地路由會(huì)被添加到所有路由表中，用戶(hù)不能在子網(wǎng)路由表或主路由表中修改或刪除這些路由。如果VPC包含多個(gè)IP地址段，則路由表將為每個(gè)IP地址段添加一條本地路由。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑴使用路由表①路由規(guī)則本地路由每個(gè)路由表中至少包含一條用于VPC內(nèi)部實(shí)例間通信的本地路由。默認(rèn)情況下，本地路由會(huì)被添加到所有路由表中，用戶(hù)不能在子網(wǎng)路由表或主路由表中修改或刪除這些路由。如果VPC包含多個(gè)IP地址段，則路由表將為每個(gè)IP地址段添加一條本地路由。默認(rèn)路由每個(gè)路由表都可以包含一條默認(rèn)路由（/0），用于將子網(wǎng)的非本地網(wǎng)絡(luò)流量通過(guò)VPC的Internet網(wǎng)關(guān)路由到Internet。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑴使用路由表②路由表分類(lèi)主路由表：在創(chuàng)建VPC時(shí)，會(huì)自動(dòng)生成主路由表。如果VPC的子網(wǎng)未與某個(gè)路由表顯式關(guān)聯(lián)，默認(rèn)情況下將使用主路由表。自定義路由表：用戶(hù)為VPC創(chuàng)建的路由表。默認(rèn)情況下，自定義路由表是空表，用戶(hù)可以根據(jù)需要添加路由。網(wǎng)關(guān)路由表：當(dāng)路由表與某個(gè)網(wǎng)關(guān)關(guān)聯(lián)時(shí)，則稱(chēng)為網(wǎng)關(guān)路由表。網(wǎng)關(guān)路由表可以精確控制進(jìn)入VPC的網(wǎng)絡(luò)流量的轉(zhuǎn)發(fā)路徑。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑴使用路由表③路由表關(guān)聯(lián)VPC的每個(gè)子網(wǎng)都必須與某個(gè)路由表關(guān)聯(lián)以控制子網(wǎng)路由。子網(wǎng)可以與主路由表隱式或顯式關(guān)聯(lián)，也可與自定義路由表顯式關(guān)聯(lián)。如果VPC的某個(gè)子網(wǎng)未與特定路由表顯式關(guān)聯(lián)，該子網(wǎng)將自動(dòng)與VPC主路由表隱式關(guān)聯(lián)。一個(gè)子網(wǎng)一次只能與一個(gè)路由表關(guān)聯(lián)，多個(gè)子網(wǎng)可以與同一路由表關(guān)聯(lián)。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑵使用域名解析服務(wù)域名解析服務(wù)（DomainNameService）是一種將域名（如）轉(zhuǎn)換為計(jì)算機(jī)所使用IP地址（如）的過(guò)程，方便人們使用便于記憶的域名訪(fǎng)問(wèn)網(wǎng)站。例如，用戶(hù)在Web瀏覽器地址欄中輸入某個(gè)網(wǎng)站或Web應(yīng)用程序的注冊(cè)域名（如），就可以訪(fǎng)問(wèn)該網(wǎng)站或Web應(yīng)用程序。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑵使用域名解析服務(wù)域名結(jié)構(gòu)Internet采用層次樹(shù)狀結(jié)構(gòu)的命名方法為連接在Internet上的計(jì)算機(jī)或其它設(shè)備（例如路由器）命名。域名（DomainName）是一串使用”.“分隔的便于記憶的層次結(jié)構(gòu)字符串，用于命名Internet上的計(jì)算機(jī)或其它設(shè)備。域名是一種邏輯概念，不代表計(jì)算機(jī)所在的物理位置。計(jì)算機(jī)或其它設(shè)備要在Internet上使用域名，需要事先為其注冊(cè)域名。Internet在傳輸數(shù)據(jù)時(shí)使用的是便于計(jì)算機(jī)處理并定位資源位置的IP地址，是一組32位定長(zhǎng)二進(jìn)制數(shù)字。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑵使用域名解析服務(wù)域名結(jié)構(gòu)（Con.）域名空間：域名采用樹(shù)狀層次結(jié)構(gòu)命名方式，每層代表一個(gè)域（Domain），是域名空間中一個(gè)可管理范圍的劃分。整個(gè)域名空間自頂層到底層，劃分為一個(gè)由根域、頂級(jí)域、二級(jí)域、子域等構(gòu)成的域?qū)哟谓Y(jié)構(gòu)。構(gòu)成整個(gè)域名空間的不同層次域名間采用“.”表示分隔。根域：位于域名空間最頂層，一般用一個(gè)“.”表示。頂級(jí)域（Top-LevelDomains）：是根域下第一層級(jí)域的名稱(chēng)，是域名中緊跟在最后的“.”符號(hào)后面的部分，又稱(chēng)域名后綴，用以表示域名所屬類(lèi)別、組織機(jī)構(gòu)或國(guó)家地區(qū)。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑵使用域名解析服務(wù)域名結(jié)構(gòu)（Con.）二級(jí)域：用于標(biāo)明頂級(jí)域內(nèi)某個(gè)特定組織，或公司名稱(chēng)。而國(guó)家頂級(jí)域下的二級(jí)域名由國(guó)家網(wǎng)絡(luò)部門(mén)統(tǒng)一管理，例如：.cn頂級(jí)域名下設(shè)置二級(jí)域名：.、.、.等。主機(jī)名：處于域名空間結(jié)構(gòu)最底層，是一臺(tái)具體的計(jì)算機(jī)。例如：www、mail，通常表示為用戶(hù)提供特定服務(wù)的計(jì)算機(jī)設(shè)備。完全域名：完全限定域名FQDN（FullyQualifiedDomainName）是域加上主機(jī)名的總稱(chēng)，可以從邏輯上表示主機(jī)所在的位置和提供的服務(wù)，簡(jiǎn)稱(chēng)完全域名。例如：域名、、。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑵使用域名解析服務(wù)域名系統(tǒng)域名系統(tǒng)（DomainNameSystem）管理域名，并通過(guò)建立分布式數(shù)據(jù)庫(kù)存儲(chǔ)域名與IP地址的映射關(guān)系來(lái)實(shí)現(xiàn)域名與IP地址的解析。利用域名解析服務(wù)，用戶(hù)得以使用便于記憶的域名，而不是既難以記憶又不能顯示組織名稱(chēng)、結(jié)構(gòu)和性質(zhì)等的IP地址。域名解析服務(wù)器運(yùn)行DNS服務(wù)程序，負(fù)責(zé)將用戶(hù)的域名解析請(qǐng)求（查詢(xún)）轉(zhuǎn)換為相應(yīng)計(jì)算機(jī)的IP地址，又稱(chēng)DNS服務(wù)器。由于域名服務(wù)是分布式的，每個(gè)DNS服務(wù)器都含有域名空間內(nèi)自己的完整信息，其控制管轄范圍稱(chēng)為“區(qū)（zone）”。DNS服務(wù)器是以“區(qū)”為單位，每個(gè)DNS服務(wù)器都有一或多個(gè)“區(qū)”。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑵使用域名解析服務(wù)域名系統(tǒng)（Con.）DNS服務(wù)器完成解析的最小單元就是“域”，每個(gè)域都有自己的DNS服務(wù)器。DNS服務(wù)器負(fù)責(zé)保存并維護(hù)當(dāng)前域內(nèi)的域名與IP地址間映射關(guān)系的數(shù)據(jù)文件，以及下級(jí)子域的DNS服務(wù)器。所有DNS服務(wù)器的域名與IP地址映射集合就構(gòu)成了域名空間。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑵使用域名解析服務(wù)域名系統(tǒng)（Con.）根域名服務(wù)器：是負(fù)責(zé)管理域名系統(tǒng)整體結(jié)構(gòu)和IP地址的最高層次的域名服務(wù)器，保存有所有頂級(jí)域名服務(wù)器的域名和IP地址。頂級(jí)域名服務(wù)器：負(fù)責(zé)管理在該頂級(jí)域名服務(wù)器注冊(cè)的所有二級(jí)域名。權(quán)威域名服務(wù)器：是實(shí)際負(fù)責(zé)管轄某個(gè)域名“區(qū)域（zone）”的計(jì)算機(jī)域名和IP地址映射記錄的域名服務(wù)器，是DNS查找鏈底部的服務(wù)器。本地域名服務(wù)器：它負(fù)責(zé)在計(jì)算機(jī)發(fā)出DNS查詢(xún)請(qǐng)求時(shí)解析該查詢(xún)，或者代替計(jì)算機(jī)向域名空間中不同層次的權(quán)威域名服務(wù)器查詢(xún)，再將查詢(xún)結(jié)果返回給計(jì)算機(jī)。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑶亞馬遜云科技域名服務(wù)AmazonRoute53是亞馬遜云科技的高可用、擴(kuò)展性強(qiáng)的域名系統(tǒng)（DNS）Web服務(wù)，提供域名注冊(cè)、DNS路由轉(zhuǎn)發(fā)、運(yùn)行狀況檢查等服務(wù)，幫助用戶(hù)管理自己VPC的資源。3.3聯(lián)網(wǎng)與路由3.3聯(lián)網(wǎng)與路由圖3-11Route53域名解析過(guò)程AmazonRoute53協(xié)同工作，基于域名解析將Internet流量路由至用戶(hù)資源（例如Web服務(wù)器或云存儲(chǔ)設(shè)備）的過(guò)程。①用戶(hù)在Web瀏覽器地址欄中輸入，發(fā)起訪(fǎng)問(wèn)請(qǐng)求。②對(duì)的解析請(qǐng)求被路由到DNS解析程序，通常是由用戶(hù)接入Internet的網(wǎng)絡(luò)服務(wù)提供商（ISP）或企業(yè)網(wǎng)絡(luò)管理的本地域名服務(wù)器運(yùn)行。③DNS解析程序?qū)⒌慕馕稣?qǐng)求轉(zhuǎn)發(fā)給DNS根域名服務(wù)器。④DNS解析程序依據(jù)DNS根域名服務(wù)器的解析，將對(duì)的解析請(qǐng)求再次轉(zhuǎn)發(fā)到.com域的某個(gè)頂級(jí)域名服務(wù)器。該.com域的頂級(jí)域名服務(wù)器使用與

域關(guān)聯(lián)的四個(gè)Route53域名服務(wù)器的域名來(lái)響應(yīng)該解析請(qǐng)求。3.3聯(lián)網(wǎng)與路由AmazonRoute53協(xié)同工作，基于域名解析將Internet流量路由至用戶(hù)資源（例如Web服務(wù)器或云存儲(chǔ)設(shè)備）的過(guò)程。（Con.）DNS解析程序會(huì)緩存（存儲(chǔ)）四個(gè)Route53名稱(chēng)服務(wù)器解析信息，后續(xù)如果再有訪(fǎng)問(wèn)的解析請(qǐng)求，因?yàn)橐呀?jīng)緩存有域名服務(wù)器，解析程序?qū)⑻^(guò)步驟3和4。域名服務(wù)器緩存期通常為兩天。⑤DNS解析程序選擇某個(gè)Route53域名服務(wù)器，將對(duì)的解析請(qǐng)求轉(zhuǎn)發(fā)給該域名服務(wù)器。⑥Route53域名服務(wù)器在托管區(qū)域中查找記錄，獲取關(guān)聯(lián)值（Web服務(wù)器的IP地址4），并將該IP地址返回給DNS解析程序。3.3聯(lián)網(wǎng)與路由AmazonRoute53協(xié)同工作，基于域名解析將Internet流量路由至用戶(hù)資源（例如Web服務(wù)器或云存儲(chǔ)設(shè)備）的過(guò)程。（Con.）⑦DNS解析程序最終得到用戶(hù)所需的IP地址，并將該值返回給Web瀏覽器。DNS解析程序可以根據(jù)用戶(hù)設(shè)定的存活期（TTL）緩存該的IP地址，以便后續(xù)再次訪(fǎng)問(wèn)時(shí)可以做出快速響應(yīng)。⑧Web瀏覽器將訪(fǎng)問(wèn)的請(qǐng)求發(fā)送到它從DNS解析程序獲得的IP地址，也就是待訪(fǎng)問(wèn)內(nèi)容所在位置。例如，運(yùn)行在AmazonEC2實(shí)例的Web服務(wù)器，或配置為網(wǎng)站終端節(jié)點(diǎn)的AmazonS3存儲(chǔ)桶。⑨使用IP地址4的Web服務(wù)器或其它資源將網(wǎng)頁(yè)文檔發(fā)送給Web瀏覽器，Web瀏覽器在獲得該文檔后將顯示該頁(yè)面。3.3聯(lián)網(wǎng)與路由3.路由服務(wù)⑷運(yùn)行狀況檢查AmazonRoute53域名服務(wù)器通過(guò)向用戶(hù)的應(yīng)用程序（例如：Web服務(wù)器和電子郵件服務(wù)器）發(fā)送請(qǐng)求，驗(yàn)證其是否可以訪(fǎng)問(wèn)，監(jiān)控資源的運(yùn)行狀況。3.3聯(lián)網(wǎng)與路由3.3聯(lián)網(wǎng)與路由圖3-12Route53運(yùn)行狀況檢查工作原理用戶(hù)可以為運(yùn)行狀況檢查配置AmazonCloudWatch警報(bào)，在資源變得不可用時(shí)發(fā)送告警信息。①用戶(hù)創(chuàng)建運(yùn)行狀況檢查，并指定用以定義工作運(yùn)行狀況的值。用戶(hù)希望Route53監(jiān)控的終端節(jié)點(diǎn)（如Web服務(wù)器）的IP地址或域名。用戶(hù)希望Route53用于執(zhí)行相應(yīng)檢查的協(xié)議，如：HTTP、HTTPS或TCP。用戶(hù)希望Route53向終端節(jié)點(diǎn)發(fā)送請(qǐng)求的頻率，也就是請(qǐng)求時(shí)間間隔。在Route53認(rèn)為終端節(jié)點(diǎn)運(yùn)行狀況不佳之前，終端節(jié)點(diǎn)必須嘗試響應(yīng)請(qǐng)求的連續(xù)次數(shù)，也就是失敗閾值。（可選）在Route53檢測(cè)到終端節(jié)點(diǎn)運(yùn)行狀況不佳時(shí)，用戶(hù)希望接收通知的方式。在配置通知時(shí)，Route53會(huì)自動(dòng)設(shè)置CloudWatch警報(bào)。3.3聯(lián)網(wǎng)與路由用戶(hù)可以為運(yùn)行狀況檢查配置AmazonCloudWatch警報(bào)，在資源變得不可用時(shí)發(fā)送告警信息。（Con.）②Route53以用戶(hù)在運(yùn)行狀況檢查中指定的時(shí)間間隔向終端節(jié)點(diǎn)發(fā)送請(qǐng)求。如果終端節(jié)點(diǎn)響應(yīng)請(qǐng)求，則Route53認(rèn)為終端節(jié)點(diǎn)運(yùn)行狀況良好，因而不會(huì)采取任何措施。③如果終端節(jié)點(diǎn)沒(méi)有響應(yīng)請(qǐng)求，則Route53開(kāi)始計(jì)算終端節(jié)點(diǎn)連續(xù)未響應(yīng)的請(qǐng)求次數(shù)：如果連續(xù)次數(shù)達(dá)到設(shè)定的失敗閾值，則Route53認(rèn)為終端節(jié)點(diǎn)運(yùn)行狀況不佳。如果在連續(xù)次數(shù)達(dá)到失敗閾值之前終端節(jié)點(diǎn)開(kāi)始再次響應(yīng)，則Route53重置未響應(yīng)請(qǐng)求次數(shù)為0，而CloudWatch也不會(huì)發(fā)送告警信息。3.3聯(lián)網(wǎng)與路由用戶(hù)可以為運(yùn)行狀況檢查配置AmazonCloudWatch警報(bào)，在資源變得不可用時(shí)發(fā)送告警信息。（Con.）④如果Route53認(rèn)為終端節(jié)點(diǎn)運(yùn)行狀況不佳，并且用戶(hù)配置有運(yùn)行狀況檢查通知，則Route53將通知CloudWatch。用戶(hù)即使沒(méi)有配置通知，仍然可以從Route53控制臺(tái)中看到Route53運(yùn)行狀況檢查的狀態(tài)。⑤如果用戶(hù)配置有運(yùn)行狀況檢查通知，則CloudWatch將觸發(fā)警報(bào)，并使用AmazonSNS向指定收件人發(fā)送通知。如果用戶(hù)擁有執(zhí)行相同功能的多個(gè)資源（例如Web服務(wù)器或數(shù)據(jù)庫(kù)服務(wù)器），并且用戶(hù)希望Route53僅將流量路由到運(yùn)行狀況良好的資源，則可以通過(guò)將運(yùn)行狀況檢查與每個(gè)資源的相應(yīng)記錄