Acp-Course on UU 技术站

Day1 云计算概述

Fri, 13 Mar 2026 10:00:00 +0800

来源：Notion ACP学习笔记 + 阿里云开发者社区 + 网络资料整理

一、详细讲解

1.1 云计算的定义

云计算（Cloud Computing）是一种通过网络统一管理和调度的计算、存储、软件等资源，形成一个资源池，用户按需使用、按量付费的计算模式。

核心特征：

按需自助服务：用户无需人工干预即可获取资源
泛在网络接入：通过标准网络随时随地访问
资源池化：物理资源被抽象为池化资源池
快速弹性伸缩：资源可快速扩缩容
按使用量付费：用多少付多少，无浪费

1.2 三种服务模型（重点）

模型	全称	用户管理层次	阿里云产品举例
IaaS	Infrastructure as a Service	基础设施（网络/存储/服务器）	云服务器ECS、块存储、vSwitch
PaaS	Platform as a Service	操作系统以上，中间件以上	数据库RDS、对象存储OSS、容器服务ACK
SaaS	Software as a Service	直接使用应用	钉钉、云效、DataV

考试口诀：

IaaS = 你管啥都要管（除了机房硬件）
PaaS = 你只管应用和数据（平台全管）
SaaS = 你只用（啥都不用管）

阿里云各层典型产品：

IaaS： ECS / ECS Bare Metal / 弹性裸金属 PaaS： RDS / OSS / ACK / 函数计算FC / API网关 SaaS：钉钉 / 云效 / 瓴山羊

1.3 四种部署模型

部署模型	说明	适用场景
公有云	第三方提供，多租户共享	中小企业、创业公司
私有云	企业自建，独占资源	金融、政府、大型企业的核心系统
社区云	多个组织共享建设的云	行业联盟、区域联盟
混合云	公有云 + 私有云组合	核心数据留私有云，业务弹性用公有云

1.4 阿里云全球化基础设施

阿里云在全球 28 个地域（Region）运营，拥有 86 个可用区（Zone）。

Day2 计算虚拟化 + CPU内存虚拟化

Fri, 13 Mar 2026 10:00:00 +0800

来源：Notion ACP学习笔记 + 阿里云开发者社区 + 网络资料整理

一、详细讲解

1.1 虚拟化概述

**虚拟化（Virtualization）**是将物理计算资源（CPU、内存、存储、网络）抽象成虚拟资源池的技术，使得一个物理服务器可以同时运行多个相互隔离的虚拟机。

虚拟化的核心价值：

资源利用率提升：一台物理机跑多个 VM，充分利用 CPU 空闲算力
成本降低：减少物理服务器采购，降低机房空间和电力消耗
隔离性强：每个 VM 独立运行，故障互不影响
快速部署：分钟级创建 VM vs 传统物理机数天交付
弹性伸缩：根据负载动态创建/销毁 VM

1.2 CPU 虚拟化（重点）

CPU 虚拟化的原理

CPU 虚拟化让一个物理 CPU 模拟出多个虚拟 CPU（vCPU），每个 VM 认为自己独占一个完整的 CPU。

两种 CPU 虚拟化架构：

架构	说明	特点
全虚拟化	VM 通过二进制翻译模拟硬件，Guest OS 无需修改	性能损耗较大，但兼容性好
半虚拟化	Guest OS 经过修改，主动配合 Hypervisor	性能好，但需要修改 Guest OS
硬件辅助虚拟化	CPU 提供 VT-x/AMD-V 硬件支持，Guest OS 无需修改	性能接近物理机，主流方案

阿里云 ECS 使用的虚拟化技术：

ACP Day 3 阿里云综述

Sun, 15 Mar 2026 10:00:00 +0800

来源：Notion ACP学习笔记

ACP Day 3｜阿里云综述

今日主题

Day 3：阿里云综述
对应资料：1-04-阿里云综述.pdf

重点整理

阿里云创立于 2009 年，是全球领先的云计算与人工智能科技公司。
核心定位：通过在线公共服务提供安全、可靠的计算与数据处理能力。
关键发展脉络：成立 → 对外服务 → 海外布局 → 城市大脑 → 数据库与云原生成熟 → 倚天 710 / 一云多芯 → 冬奥全面上云与 CIPU 架构。
能力版图覆盖：计算、存储、数据库、网络、安全、大数据、AI、云原生、物联网。
全球化能力体现为多区域、多可用区和全球 CDN 节点布局。
三条生命线：坚持自主研发之路、与合作伙伴共生共存、坚决不碰客户数据。
整体架构可理解为：基础设施层 + 平台产品层 + 行业解决方案层。

背诵版

阿里云成立于 2009 年。
阿里云提供安全、可靠的计算和数据处理能力。
阿里云既有 IaaS，也有数据库、安全、AI、大数据、云原生等平台能力。
阿里云具备全球化部署能力。
三条生命线：自主研发、合作共赢、不碰客户数据。
整体架构：基础设施层、平台产品层、行业解决方案层。

自测题

阿里云成立于哪一年？
阿里云的三条生命线分别是什么？
阿里云整体架构可以概括为哪三层？
为什么说阿里云不是单一产品，而是完整平台？

口语化背诵版

阿里云成立于 2009 年，它是全球领先的云计算和人工智能科技公司。它的核心作用，就是通过在线公共服务的方式，给客户提供安全、可靠的计算和数据处理能力。

阿里云不是只有一两个产品，它是一整套完整的平台，能力覆盖计算、存储、数据库、网络、安全、大数据、AI、云原生和物联网。所以考试里如果问阿里云是什么，不要只答“卖服务器的”，要答它是完整的云平台和数字化基础设施。

阿里云的发展有几个关键节点：2009 年成立，开始研发飞天；之后具备对外服务能力；再往后开始全球化布局；然后在城市大脑、数据库、云原生、芯片这些方向不断增强；后面又有倚天 710、冬奥全面上云、CIPU 新架构这些代表性成果。这里不用死记所有年份，记住“不断从基础云服务走向全球化、平台化、智能化”就行。

阿里云还有一个特别重要的考点，就是三条生命线：第一，坚持自主研发之路；第二，与合作伙伴共生共存；第三，坚决不碰客户数据。这三条里面，最容易被单独拿出来考的就是“不碰客户数据”，因为它和云上安全、客户信任、责任边界都很相关。

阿里云的整体架构，也可以用一个很简单的方法记：最下面是基础设施层，也就是计算、存储、网络这些基础资源；中间是平台产品层，比如数据库、安全、大数据、AI、云原生这些服务；最上面是行业解决方案层，也就是面向具体业务场景和行业需求的解决方案。所以你可以把它理解成：底层给资源，中间给能力，上层给方案。

另外，阿里云还有很强的全球化能力，有很多区域和可用区，也有全球 CDN 节点。这个点通常不是让你背数字，而是让你理解它代表了全球部署能力、高可用能力、容灾能力和海外业务支撑能力。

ACP Day 4 网络架构 + IP编址

Mon, 16 Mar 2026 10:00:00 +0800

来源：Notion ACP学习笔记

ACP Day 4｜网络架构 + IP编址

今日主题

Day 4：网络架构 + IP编址
对应资料：2-01-网络架构和网络设备详解 (1).pdf、2-02-IP编址 (1).pdf

重点整理

最简单的网络由两个终端和一条能够承载数据传输的物理介质组成。
数据通信网络由路由器、交换机、防火墙、无线控制器、无线接入点以及主机、服务器等设备组成，最基本功能是实现数据互通。
OSI 七层模型要记住：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。考试常问网络层负责逻辑地址与转发，传输层负责端到端传输。
TCP/IP 参考模型是互联网主流模型，常见协议包括：应用层 HTTP/DNS/DHCP，传输层 TCP/UDP，网络层 IP/ICMP/IGMP，链路层 Ethernet/PPP。
交换机可按网络构成分为接入层、汇聚层、核心层；按 TCP/IP 模型可分为二层交换机和三层交换机。
路由器也可按网络构成分为接入层、汇聚层、核心层；作用是实现不同网络之间的互联。
无线网络常见设备包括 AC（无线控制器）和 AP（无线接入点），其中 AP 分为胖 AP 和瘦 AP。
防火墙的核心作用是控制两个网络之间的安全通信，实现访问控制、身份认证、远程接入、VPN、NAT 等安全功能。
IP 地址由网络部分和主机部分组成，网络掩码用于区分网络部分与主机部分，例如 192.168.10.1/24。
有类编址中：A 类默认 /8，B 类默认 /16，C 类默认 /24；D 类用于组播，E 类用于研究。
私网地址要重点记忆：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。
特殊 IP 地址要会辨认：255.255.255.255 是有限广播地址，0.0.0.0 是任意地址，127.0.0.0/8 是环回地址，169.254.0.0 段用于本地链路临时通信。
划分子网的目的：减少地址浪费、缩小广播域、让网络规划更合理。
子网划分的本质是向主机位借位，得到更多子网；同时每个子网的可用主机数会减少。
网络工程不仅是设备堆叠，而是按标准、规范和需求完成规划、设计、实施、排错和优化。

背诵版

OSI 七层：物链网传会表应。
网络层管逻辑地址和转发，传输层管端到端传输。
TCP/IP 是互联网主流参考模型。

Day 5: VPC专有网络与NAT网关 - ACP云计算工程师认证

Sun, 26 Apr 2026 00:00:00 +0000

Day 5：VPC专有网络与NAT网关

本文基于阿里云ACP云计算工程师认证课程内容整理，涵盖VPC专有网络核心架构、NAT网关原理与实践，以及企业级网络规划最佳实践。

一、VPC专有网络核心概念与逻辑架构

专有网络VPC（Virtual Private Cloud） 是阿里云基于飞天云平台构建的逻辑隔离私有网络，为用户提供完全可控的云上私有网络环境。与传统经典网络相比，VPC允许用户自主规划IP地址范围、配置路由表、部署网关设备，实现与传统数据中心一致的网络体验，同时兼具云端的弹性与高可用优势。

VPC的三大核心组件

组件	作用	说明
私网网段	定义VPC地址空间	支持10.0.0.0/8、172.16.0.0/12、192.168.0.0/16及其子网
路由器（vRouter）	VPC网络枢纽	连接各交换机，同时作为VPC与外部网络的网关
交换机（vSwitch）	基础连接设备	部署在特定可用区内，连接云资源实例

VPC的逻辑架构

VPC采用数据通路与配置通路分离的设计：

数据通路：交换机（分布式节点）+ 网关组成，所有链路冗余容灾
配置通路：控制器下发转发表到网关和交换机，基于自研协议实现

这种架构确保了控制面与数据面的解耦，使VPC具备电信级的高可用保障。系统路由自动创建，用户可创建自定义路由表与交换机绑定，实现精细化的流量管理。

VPC的显著特点

完全掌控：用户自主选择IP地址范围、配置路由表和网关
灵活互联：通过高速通道、VPN网关、云企业网CEN连接其他VPC或本地IDC
高可用：支持跨可用区部署，单可用区故障不影响整体网络
安全隔离：网络ACL、安全组多层次访问控制

考试要点：VPC是地域级别资源，不支持跨地域部署。一个VPC最多包含10张路由表（含系统路由表），一个交换机只能绑定一张路由表。

二、VPC路由器、交换机与路由表深度解析

交换机（vSwitch）

交换机是组成VPC的基础网络设备，用于连接不同的云资源实例。其关键特性：

可用区绑定：交换机属于特定可用区，不可跨可用区部署
网段约束：交换机网段必须是所属VPC网段的子集，掩码范围16~29位
容灾建议：生产环境至少创建2个跨可用区的交换机

路由表类型

系统路由表 - 创建VPC后自动生成 - 不可删除、不可手动创建 - 可添加自定义路由条目自定义路由表 - 用户自行创建 - 与交换机绑定（一个交换机只能绑定一张） - 多个交换机可绑定同一张自定义路由表网关路由表 - 与IPv4网关绑定，控制公网流量路由

路由条目类型

类型	说明	可修改性
系统路由	VPC内默认路由，管理基础流量	不可修改
自定义路由	用户添加的路由规则	可添加、删除
动态路由	通过CEN/VPN/BGP学习到的路由	自动更新

路由匹配采用最长前缀匹配原则（Longest Prefix Match），这与Internet路由协议标准一致。

ACP Day 6 应用交付网络 + 全球化网络

Wed, 18 Mar 2026 10:00:00 +0800

来源：Notion ACP学习笔记

ACP Day 6｜应用交付网络 + 全球化网络

今日主题

Day 6：应用交付网络 + 全球化网络
对应资料：2-05-阿里云应用交付网络 (1).pdf、2-06-阿里云全球化网络.pdf

重点整理

应用交付网络核心组件包括：负载均衡 SLB、全球加速 GA、弹性公网 IP（EIP）、共享带宽/共享流量包。
负载均衡 SLB 的价值是把流量分发到多台后端服务器，提升吞吐、消除单点故障、提高系统高可用性。
SLB 产品按场景可分为：ALB（7层 HTTP/HTTPS/QUIC，适合复杂七层路由与云原生 Ingress）、NLB（4层 TCP/UDP/TCPSSL，适合超高并发连接）、CLB（传统型，兼顾 4 层和 7 层场景）。
ALB 重点记忆：面向七层应用交付，支持 HTTP/HTTPS/HTTP2/WSS/QUIC/GRPC，单实例可达高规格 QPS。
NLB 重点记忆：面向四层流量，支持 TCP、UDP、TCPSSL，单实例可支持超大规模并发连接。
GA（全球加速）依托阿里云全球传输网络与 BGP 带宽，实现全球就近接入、跨地域部署，优化公网访问质量，减少时延、抖动和丢包。
GA 关键组成包括：加速区域、接入点、加速 IP、CNAME、监听、终端节点组、终端节点、终端节点出公网 IP、基础带宽包。
GA 分为标准型和基础型：标准型支持 4 层/7 层网络加速；基础型主要用于 3 层 IP 协议加速。
EIP 是独立购买和持有的公网 IP 资源，可绑定到 VPC 类型 ECS、私网 SLB、辅助弹性网卡、NAT 网关和高可用虚拟 IP。
EIP 相比 ECS 固定公网 IP，更灵活：可独立持有、可弹性绑定解绑、可灵活调整带宽，还可加入共享带宽以节省成本。

ACP Day 7 万物上云网络 + Week1复习

Thu, 19 Mar 2026 10:00:00 +0800

来源：Notion ACP学习笔记

ACP Day 7｜操作数据库 RDS 的参数实验

今日主题

Day 7：操作数据库 RDS 的参数实验
对应资料：07操作数据库RDS的参数实验.pdf

重点整理

RDS（Relational Database Service）是阿里云关系型数据库服务，支持 MySQL、SQL Server、PostgreSQL、OceanBase 等引擎，提供开箱即用的数据库能力，无需自行运维底层基础设施。
RDS 实例创建关键配置：实例规格（CPU/内存配比）、存储类型（ESSD PL0-PL3/普通云盘/高效云盘）、网络类型（专有网络 VPC 推荐）、连接地址（生产环境建议只用内网）。
参数组（Parameter Group）用于批量管理数据库配置参数，确保实例间配置一致。常用参数包括：max_connections（最大连接数）、innodb_buffer_pool_size（InnoDB 缓冲池大小）、character_set_server（字符集，建议 utf8mb4）、wait_timeout（空闲连接超时时间）、long_query_time（慢查询阈值）。
参数修改分为动态生效和需重启生效两类，修改时需注意影响范围。
RDS 高可用架构：主备实例（一主一备，自动数据同步，故障自动切换）用于保障业务连续性；只读实例用于读写分离，分担主实例查询压力。主备建议跨可用区部署。
RDS 备份与恢复：自动备份按策略执行（支持全量备份 + 日志备份），手动备份用于重大变更前。按时间点恢复可恢复到新实例或覆盖原实例。备份保留天数最长 730 天。
RDS 安全配置：白名单控制 IP 访问（默认 0.0.0.0/0 禁止，生产环境应限制具体 IP）；SSL 加密数据传输；TDE 静态数据加密；审计日志记录 SQL 操作。
RDS 监控指标：CPU 使用率、内存使用率、IOPS、连接数、QPS/TPS，配合性能洞察进行 SQL 分析与死锁检测。

背诵版

RDS 核心价值：托管式关系数据库，自带高可用、备份、安全。
参数组作用：批量管理配置，确保实例配置一致；常见参数：连接数、缓冲池、字符集、慢查询时间。
高可用：主备自动切换保障连续性，只读实例分担查询压力。
备份恢复：自动 + 手动两种，按时间点恢复。
安全三剑客：白名单（访问控制）+ SSL（传输加密）+ TDE（静态加密）。

自测题

1. RDS 参数组的主要作用是什么？哪些参数修改需要重启实例？
1. 主备实例和只读实例的区别是什么？
1. RDS 备份分为哪两种？恢复方式有哪些？
1. RDS 白名单的默认策略是什么？生产环境应该如何设置？
1. 什么场景下需要使用 RDS 只读实例？

ACP Day 7｜万物上云网络 + Week1复习（最终整理版）

今日主题

Day 7：万物上云网络 + Week1复习

Day8 云服务器ECS

Fri, 20 Mar 2026 00:00:00 +0000

Day 8 云服务器 ECS

📅 ACP云计算工程师认证系列 · Day 8
阿里云云服务器 ECS（Elastic Compute Service）是阿里云最基础的计算服务，提供弹性的、可扩展的虚拟计算能力。本篇详细讲解 ECS 的概念、架构、核心组件（实例规格、镜像、磁盘、快照、安全组）、计费方式，以及操作实践与最佳实践。
🎯考试重点：实例规格族分类、镜像类型对比、快照原理、安全组规则与实践建议、计费方式

📖 详细讲解

一、服务器基础知识

1.1 服务器的概念

服务器（Server） 是提供计算服务的硬件设备，通常配置高、性能强、稳定可靠，7×24 小时运行。服务器与普通计算机的核心区别在于：可靠性更高、扩展性更强、长期持续运行能力。

1.2 服务器的发展过程

阶段	形态	特点
传统物理服务器	自购硬件托管	采购周期长、运维成本高、扩展困难
虚拟化服务器	VMware/Hyper-V 虚拟化	资源利用率提升，但仍有物理服务器瓶颈
云服务器	云上虚拟化	按需购买、弹性伸缩、免运维

1.3 云服务器产生的背景

传统硬件服务器存在的不足：

采购周期长：从采购到上线通常需要数周
资源利用率低：平均利用率仅 15%~20%
运维成本高：需要专人维护硬件、网络、空调等
扩展困难：扩容受限于物理服务器数量

云服务器通过虚拟化技术和资源池化，解决了以上问题，实现了即开即用、弹性伸缩、按需付费。

二、阿里云云服务器全景图

2.1 飞天云平台与神龙计算

阿里云的基础设施建立在飞天云操作系统之上。2022 年阿里云发布以 CIPU（Cloud Infrastructure Processing Unit） 为核心的新一代计算架构，配合神龙计算平台，实现了设备虚拟化、网络存储转发和随路加解密的硬件全加速。

神龙架构发展历程：

第一代：基础虚拟化增强
第二代：性能大幅提升
第三代：超大规模支持
第四代（当前）：硬件加速全面集成，飞天+CIPU体系成型

2.2 弹性计算服务定位

阿里云弹性计算服务（ECS）是阿里云最基础、最核心的 IaaS 层服务，为各类云上业务提供计算支撑。

三、云服务器 ECS 概述

3.1 ECS 的概念

云服务器 ECS（Elastic Compute Service） 是一种简单高效、处理能力可弹性伸缩的计算服务。无需提前采购硬件，即可在云上快速创建或释放任意数量的云服务器，降低 IT 运维成本，使您更专注于核心业务创新。

ACP Day 9 弹性存储系列

Sat, 21 Mar 2026 10:00:00 +0800

来源：Notion ACP学习笔记

ACP Day9 学习整理｜弹性存储系列

主资料为《弹性存储系列》，配套实验为《云数据库Redis的操作实践》；本节应按“存储体系概念 + Redis 实验落地”两层来理解。

今日主题

Notion 标题：💾 Day9 弹性存储系列
核心理解：先建立云上存储体系认知，再掌握 Redis 这种高性能数据服务的接入与操作。

重点整理

弹性存储系列的整体框架包括：数据存储基础、块存储、文件存储、对象存储 OSS、日志服务 SLS、混合云存储等。
存储基础要抓住：速度、容量、成本、可靠性，以及快照、备份、故障恢复等概念。
Redis 属于 NoSQL / Key-Value 数据库，常用于缓存与热点数据访问，核心价值是高性能与高并发。
Redis 实验重点是：设置白名单、添加安全组、查看连接地址、通过 ECS 使用 redis-cli 连接实例并完成 AUTH 认证。

高频考点

为什么 Day9 不是只讲 Redis：因为主线是云上存储体系，Redis 只是其中一个具体数据服务实践切口。
为什么 Redis 常用于缓存：因为它基于内存，性能高，能减轻后端数据库压力。
为什么连接 Redis 前要处理白名单和安全组：因为云数据库实例处在受控网络中，访问必须满足网络与安全策略。
为什么通过 ECS 连接 Redis：这更符合云上实际网络模型，也通常是被允许的访问路径。

背诵版

Day9 主题是弹性存储系列，重点是建立云上存储体系认知。
常见存储类型包括：块存储、文件存储、对象存储，以及数据库类数据服务。
Redis 属于 NoSQL / Key-Value 数据库，核心价值是高性能缓存与热点数据承载。
连接 Redis 前要关注白名单、安全组、连接地址与认证信息。
Day9 的本质是：理解存储体系 + 掌握 Redis 操作实践。

ACP Day 10 云数据库RDS

Sun, 22 Mar 2026 10:00:00 +0800

来源：Notion ACP学习笔记

ACP Day10 学习整理｜云数据库RDS

主资料为《云数据库RDS》，补充资料为《云数据库RDS的操作实践》；本节应按“RDS 产品能力 + DMS / 迁移实践”两层来理解。

今日主题

Notion 标题：🗄️ Day10 云数据库RDS
核心理解：RDS 是关系型数据库的云服务化形态，DMS 负责管理，迁移流程负责把业务数据库接入 RDS。

重点整理

RDS 的核心价值：高可用、自动备份、弹性扩展、安全体系完善、运维成本低。
RDS 支持 MySQL、SQL Server、PostgreSQL、MariaDB TX 等关系型引擎。
RDS 重要维度包括：产品系列、规格族、存储类型、备份恢复、安全体系。
实践主线是：创建账号 -> 通过 DMS 建库 -> 导入本地 MySQL 数据 -> 修改 WordPress 配置 -> 验证应用改连 RDS 成功。

高频考点

为什么企业更愿意用 RDS：因为高可用、备份恢复、安全和扩容等能力被服务化了。
DMS 和 RDS 的关系：RDS 是数据库实例，DMS 是数据库管理平台。
为什么迁移后要改 wp-config.php：因为应用端必须把数据库连接从本地 MySQL 改到 RDS。
为什么备份恢复是重点：数据库场景最关键的是故障后的可恢复性。

背诵版

Day10 核心主题是云数据库 RDS。
RDS 是关系型数据库的云服务化形态。

Day11 负载均衡SLB

Fri, 10 Apr 2026 00:00:00 +0000

Day11 负载均衡SLB

一、详细讲解

1.1 负载均衡概述

负载均衡（Load Balancing）是将访问流量根据转发策略分发到多台后端服务器的技术，通过消除单点故障、提升应用系统的吞吐能力和可用性。

负载均衡发展背景

互联网初期：单机部署即可满足需求
业务增长期：访问量增加导致服务器延迟或宕机
集群方案：多台服务器组成集群，通过负载均衡设备统一分发

负载均衡分类

类别	特点
DNS负载均衡	通过DNS服务器配置多个A记录实现
二层负载均衡(MAC)	基于MAC地址分发，对应OSI第二层
三层负载均衡(IP)	基于IP分发，对应OSI网络层
四层负载均衡(TCP/UDP)	基于IP+端口分发，高效率
七层负载均衡(HTTP)	基于URL、语言等应用层信息，灵活

最常用的是四层和七层负载均衡。

负载均衡算法

静态算法（不考虑服务器状态）：

轮询法（RR）：轮流分配请求
加权轮询（WRR）：按权重分配
随机法：随机分配
Hash类：基于关键字Hash分配

动态算法（考虑服务器实时负载）：

最小连接法（LC）：分配给连接数最少的服务器
加权最小连接法（WLC）：综合权重和连接数

1.2 阿里云负载均衡SLB产品家族

阿里云SLB包含三种负载均衡产品：

产品	定位	性能
ALB（应用型负载均衡）	七层，HTTP/HTTPS/QUIC	单实例最大100万QPS
NLB（网络型负载均衡）	四层，TCP/UDP/TCPSSL	单实例最大1亿并发
CLB（传统型负载均衡）	四层+七层，TCP/UDP/HTTP/HTTPS	100万并发、5万QPS

ALB特点

强大七层处理能力与高级路由功能
基于内容的路由、重写、重定向、限速
云原生Ingress网关支持
适用场景：互联网应用七层高性能、音视频、IoT、云原生金丝雀发布

NLB特点

新一代四层负载均衡
超高性能（1亿并发）、自动弹性
支持TCPSSL卸载
适用场景：四层大流量高并发、物联网、车联网

CLB特点

基于物理机架构
四层：LVS + keepalived
七层：Tengine集群
适用场景：网站四层流量分发、同城灾备

1.3 CLB核心概念

实例类型

公网CLB：自动分配公网IP，用于互联网访问
私网CLB：通过私网IP对外提供服务

实例规格

性能共享型：资源共享，不保障性能
性能保障型：可保障性能指标

高可用架构

单实例高可用：支持多可用区，跨机房容灾
多实例高可用：通过云解析DNS调度或全球负载均衡
两地三中心：同城双活 + 异地容灾

会话保持

四层：同一IP持续发往同一服务器
七层：相同Cookie发往同一服务器

健康检查

判断后端ECS业务可用性
TCP健康检查：发送SYN报文
HTTP健康检查：发送HEAD/GET请求，检查2xx状态码
异常服务器自动移除流量

SSL证书管理

证书统一管理在SLB，解密在SLB上进行
降低后端ECS的CPU开销

日志管理

操作日志：ActionTrail集成
健康检查日志：三天内，可存OSS
访问日志：存储SLS日志库

1.4 SLB操作配置流程

准备工作：规划地域、VPC、ECS实例
创建实例：选择网络类型、VPC、可用区、IP模式
创建后端服务器组：添加ECS/ECI/ENI或IP
配置监听：配置协议、端口、转发规则
设置域名解析：CNAME解析到SLB域名

监听配置要点

协议选择：HTTP/HTTPS/QUIC/TCP/UDP
端口配置
转发规则（ALB支持丰富规则）
健康检查配置

HTTP重定向至HTTPS

创建HTTPS监听（443端口）
创建HTTP监听（80端口）
开启监听转发，选择目的HTTPS监听

1.5 SLB最佳实践场景

场景	特点	推荐搭配
公网流量入口	ECS无公网IP，提高可用性	弹性公网IP、NAT网关
音视频/游戏大流量	突发访问、海量流量、QUIC支持	全球加速GA、共享带宽
零售/金融弹性高可靠	弹性伸缩、即开即用	云企业网CEN
云原生应用	ACK/ASK/SAE集成	容器服务ACK、云数据库RDS
跨地域容灾	多地域用户智能调度	云企业网CEN

二、背诵版

2.1 负载均衡基础

负载均衡将流量分发到多台后端服务器，消除单点故障，提升可用性
四层负载均衡：基于IP+端口（TCP/UDP），效率高
七层负载均衡：基于应用层信息（HTTP/URL），灵活
静态算法：轮询、加权轮询、随机、Hash
动态算法：最小连接法、加权最小连接法

2.2 阿里云SLB产品家族

产品	层次	协议	性能指标
ALB	七层	HTTP/HTTPS/QUIC	100万QPS
NLB	四层	TCP/UDP/TCPSSL	1亿并发
CLB	四层+七层	TCP/UDP/HTTP/HTTPS	100万并发/5万QPS

2.3 CLB核心要点

CLB四层：LVS + keepalived；七层：Tengine集群
公网CLB自动分配公网IP；私网CLB使用私网IP
性能保障型可保障性能指标
会话保持：四层基于IP，七层基于Cookie
健康检查：探测后端ECS可用性，异常自动移除
SSL证书在SLB解密，减轻后端ECS压力
支持HTTPS重定向（HTTP→HTTPS）

2.4 SLB操作流程

创建实例 → 创建后端服务器组 → 配置监听 → 设置域名解析

Day 12: 云数据库Redis - ACP云计算工程师认证

Sun, 26 Apr 2026 00:00:00 +0000

Day 12：云数据库Redis

本文基于阿里云ACP云计算工程师认证课程内容整理，涵盖Redis非关系型数据库核心知识、云数据库Redis架构选型、操作配置及性能优化最佳实践。

一、非关系型数据库与Redis核心原理

什么是非关系型数据库（NoSQL）

NoSQL（Not Only SQL） 泛指非关系型数据库，区别于传统关系数据库不保证ACID特性，核心优势在于：

易扩展：无固定表结构，数据模型灵活
大数据量、高性能：支持TB级数据存储，高并发读写
灵活的数据模型：键值、列存储、文档、图形多种类型
高可用：副本集、分片集群自动故障切换

Redis核心特性

Redis（Remote Dictionary Server） 是开源的ANSI C语言编写的内存数据库，支持网络、可基于内存或持久化运行：

特性	说明
持久化	周期性地将内存更新写入磁盘，重启可恢复
数据结构丰富	支持String、List、Set、ZSet、Hash等
主从备份	Master-Slave模式数据复制
原子操作	所有操作原子性，支持事务合并执行
发布/订阅	支持消息通知、Key过期等高级特性

Redis vs 其他数据库

MySQL/PostgreSQL（关系型）→ 复杂查询、事务强一致性 MongoDB（文档型）→ JSON文档存储、半结构化数据 Redis（键值型）→ 高性能缓存、Session存储、实时计算

Redis典型使用场景：缓存层加速

在大并发场景下，直接访问数据库会造成IO压力过大：

用户请求 → 应用服务器 → Redis缓存（先访问） ↓ 未命中数据库服务器

Redis基于内存存储，QPS可达10万以上，远超MySQL等磁盘数据库，是应对高并发访问的核心武器。

考试要点：Redis不仅支持简单的Key-Value，还提供List、Set、ZSet、Hash等复杂数据结构。Redis操作是原子性的，支持事务。

二、云数据库Redis架构选型指南

阿里云Redis产品家族

阿里云提供社区版Redis和企业版Tair两大产品线：

版本	简介	适用场景
社区版	兼容开源Redis协议	小型网站、开发测试、个人学习
企业版Tair	阿里集团自研，增强性能	企业级缓存、高性能并发、低延迟场景

Tair企业版三大存储形态

类型	核心技术	适用场景
性能增强型	多线程模型，性能≈社区版3倍	高性能、低延迟要求
持久内存型	掉电数据不丢失，成本降低30%	温冷数据存储、兼顾性能与成本
容量存储型	基于ESSD，大容量低成本	大容量、低访问频率数据

部署架构选型

标准版-双副本（Master-Replica）

主节点提供日常访问，备节点提供HA高可用
主节点故障后30秒内自动切换到备节点
适用：Redis协议兼容性要求高、作为持久化数据存储、单节点性能压力可控

标准版-单副本

单节点部署，无备用节点
提供数据持久化和备份机制
价格优势明显，适合纯缓存业务

集群版-双副本

代理（Proxy）模式，一个统一连接地址访问集群
数据分片横向扩展，每个分片双副本高可用
适用：数据量大、QPS高、吞吐密集型场景

读写分离版

主备节点 + 只读节点 + 代理节点
链式复制架构，只读节点扩展使整体性能线性增长
适用：读多写少、读取QPS压力大的场景

容灾方案三级对比

灾备级别	架构	说明
★★★☆☆	单可用区双副本	主备部署在不同机器，同一可用区
★★★★☆	双可用区高可用	主备分属同一地域两个可用区，单AZ故障自动切换
★★★★★	全球多活分布式	多子实例跨地域同步，支持异地灾备、就近访问

考试要点：标准版-双副本的主备自动切换时间约为30秒。集群版采用代理模式，通过统一域名访问。读写分离版只读节点采用链式复制架构。

Day 13: 容器服务ACK - ACP云计算工程师认证

Sun, 26 Apr 2026 00:00:00 +0000

Day 13：容器服务ACK

本文基于阿里云ACP云计算工程师认证课程内容整理，涵盖容器与Docker技术原理、Kubernetes核心概念、容器服务ACK架构与操作配置，以及企业级DevOps最佳实践。

一、容器与Docker技术原理

云计算应用架构演进

单体应用 → SOA架构 → 微服务架构 → 云原生架构 (垂直竖井) (服务化) (轻量容器) (容器+K8s+DevOps)

云原生时代三驾马车：容器、微服务、DevOps

为什么需要容器

容器是一种轻量级、可移植、自包含的软件打包技术，使应用程序可以在几乎任何地方以相同方式运行：

一致性环境：开发、测试、生产环境完全一致
超快速启动：秒级启动，告别分钟级虚拟机
资源隔离：容器间相互隔离，互不影响
高效利用：不需要完整操作系统，容器密度远高于VM

Docker核心特性

特性	说明
标准化	一次构建，到处运行，环境一致
高性能	容器直接运行在宿主机内核，无需硬件虚拟化
轻量级	共享宿主机内核，秒级启动，资源利用率高
隔离性	Linux Namespace实现进程级隔离

Docker vs 虚拟机

对比项	Docker容器	虚拟机
启动时间	秒级	分钟级
资源占用	共享宿主机内核，低	独立操作系统，高
隔离级别	进程级	硬件级
镜像大小	MB级	GB级
交付内容	应用+依赖	完整OS+应用

Docker核心组件

Docker架构 ├── Docker Client（客户端）← 用户交互界面 ├── Docker Daemon（服务端）← 守护进程 ├── Image（镜像）← 只读模板 ├── Container（容器）← 镜像运行实例 └── Registry（镜像仓库）← 镜像存储分发

Build、Ship、Run 流程：

Day14 弹性伸缩 + 云架构运维

Thu, 16 Apr 2026 10:00:00 +0800

来源：Notion ACP学习笔记 + 阿里云开发者社区 + 网络资料整理

一、详细讲解

1.1 弹性伸缩概述

弹性伸缩（Auto Scaling）：根据业务负载自动调整计算资源（ECS 实例数量）的功能，实现"用多少扩多少，不用就缩回去"。

为什么需要弹性伸缩：

成本优化：波峰扩容、波谷缩容，避免资源浪费
应对突发流量：大促、活动等场景下自动承接流量
保证可用性：负载高时自动扩容，避免服务崩溃
减少人工干预：规则驱动，7×24 小时无人值守

1.2 阿里云弹性伸缩核心概念（重点）

伸缩组（Scaling Group）

伸缩组是弹性伸缩的核心管理单元，包含以下要素：

要素	说明
最小实例数	伸缩组始终保持的最小实例数量
最大实例数	伸缩组允许扩容到的最大实例数量
期望实例数	伸缩组当前期望维持的实例数量
默认实例数	伸缩组创建时自动创建的实例数量

伸缩配置（Scaling Configuration）

定义创建新 ECS 实例的规格：

实例规格（vCPU / 内存）
镜像（操作系统）
安全组
弹性网卡
实例存储

伸缩规则（Scaling Rule）

规则类型	说明	示例
简单规则	直接指定目标实例数或调整量	+1 台、-2 台、调整到 5 台
步进规则	按负载分层递进调整	CPU > 80% 时 +3 台，> 60% 时 +1 台
目标追踪规则	自动维持目标指标	保持平均 CPU 利用率在 60%

伸缩触发任务

触发方式	说明
定时任务	固定时间触发扩缩容（如每晚高峰期提前扩容）
云监控报警任务	指标阈值触发（CPU、内存、QPS 等）
周期任务	周期性重复触发（每天/每周定时）

⚠️ 重要：云监控报警任务是独立于伸缩组存在的，删除伸缩组不会删除报警任务！

Day 15: 企业应用服务（DNS/SSL/CDN）- ACP云计算工程师认证

Sun, 26 Apr 2026 00:00:00 +0000

Day 15：企业应用服务（DNS/SSL/CDN）

本文基于阿里云ACP云计算工程师认证课程内容整理，涵盖企业网站访问全链路：DNS域名解析原理、云解析DNS配置、SSL证书管理，以及CDN内容分发网络原理、配置与最佳实践。

一、企业应用访问全链路：DNS与域名系统

为什么需要域名

人类记忆域名（如www.aliyun.com）比IP地址（如119.75.217.109）容易得多。计算之间通过IP通信，但用户通过域名访问应用——这背后就是DNS（Domain Name System） 域名系统在起作用。

用户浏览器输入域名 ↓ DNS服务器查询域名对应的IP地址 ↓ 返回IP地址 ↓ 浏览器根据IP发起HTTP/HTTPS请求 ↓ 服务器响应内容

域名结构解析

以www.google.com为例：

层级	名称	说明
顶级域名（TLD）	`.com`	由ICANN管理
二级域名	`google`	注册人可自定义
子域名/三级域名	`www`	主机记录，指向Web服务器

常见子域名用途：

mail.google.com → Gmail邮件服务
drive.google.com → Google Drive云存储
map.baidu.com → 百度地图

HTTP vs HTTPS

协议	端口	加密	安全性
HTTP	80	明文传输	低，存在中间人攻击风险
HTTPS	443	SSL/TLS加密	高，提供身份认证和隐私保护

HTTPS = HTTP + SSL，SSL证书在浏览器和网站之间建立加密通道。

SSL加密原理

SSL（Secure Sockets Layer）采用公钥密码体制：

网站向权威CA机构申请SSL证书（包含公钥和网站身份信息）
浏览器访问网站时，服务器发送证书
浏览器验证证书有效性，获取公钥
浏览器生成对称密钥，用公钥加密后发送
服务器用私钥解密，获取对称密钥
双方使用对称密钥加密通信

企业网站建设五步流程

域名注册认证 → 网站建设备案 → 配置域名解析 → 部署SSL证书 → 网站上线

考试要点：域名由ICANN统一管理，国内由CNNIC负责.cn域名。完整的域名至少包含顶级域名和二级域名两部分。SSL证书提供加密传输和身份认证双重功能。

Day16 阿里云安全概述

Sun, 26 Apr 2026 03:32:00 +0800

阿里云安全概述

详细讲解

一、信息安全重大事件回顾

2017年勒索病毒大爆发

2017年5月12日，Windows敲诈勒索病毒大规模爆发，在全球大范围蔓延，感染用户主要集中在企业、高校等内网环境。此事件标志着网络攻击从技术炫耀转向利益驱动。

2018年供应链攻击兴起

Memcache DDoS攻击：GitHub遭受1.35TB攻击，随后NETSCOUT确认1.7 Tbps反射放大攻击
GPON路由器漏洞：绕过验证漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562)，十天内被僵尸网络利用传播
供应链攻击成为主要威胁形式

2019-2021年安全威胁持续升级

2019年"罗宾汉"勒索软件打瘫美国市政府，1万台电脑被入侵
2020年运维面板紧急安全更新，7.4.2版本存在严重漏洞
2021年国内多家银行、医疗机构感染incaseformat蠕虫病毒

二、信息安全基本概念

定义：涉及信息的保密性、完整性、可用性、真实性、可控性的相关技术和理论。

本质：

保护：系统的硬件、软件、数据
防止：系统和数据遭受破坏、更改、泄露
保证：系统连续可靠正常地运行，服务不中断

两个层面：

技术层面：防止外部用户的非法入侵
管理层面：内部员工的教育和管理

三、云计算面临的安全威胁（CSA 12大威胁）

威胁类型	安全威胁	影响
可用性	DDoS攻击、僵尸网络	网站业务不可用
完整性	网站入侵、暴力破解	页面被篡改、植入后门
保密性	网站后门、数据库拖库	用户信息和敏感数据泄露

CSA 12大云计算安全威胁：

数据泄露 2. 身份凭证不足 3. 不安全接口API 4. 系统漏洞 5. 账户劫持 6. 恶意内部人员 7. APT 8. 数据丢失 9. 尽职调查不足 10. 滥用云服务 11. DoS 12. 共享技术漏洞

四、阿里云安全体系

责任分担模型

云平台安全责任：云产品安全、虚拟化安全、硬件安全、物理安全
用户安全责任：用户账户安全、用户业务安全、用户应用安全、用户数据安全、用户基础安全

阿里云安全里程碑

2009年：飞天第一行代码，阿里云成立
2011年：推出"云盾"安全产品与服务
2017年：奥运会全球指定云服务商
2021年：发布108个云产品安全功能，服务超300万企业客户

安全能力

基础安全：DDoS防护、Web应用防火墙、云防火墙
业务安全：内容安全、实人认证、风险识别
数据与身份安全：数据安全中心、密钥管理、加密服务

云产品安全生命周期（SPLC）

安全左移，实现产品默认安全：立项→研发→测试→上线/变更→监控→应急响应

Day17 网络安全

Sun, 26 Apr 2026 03:33:00 +0800

网络安全

详细讲解

一、阿里云DDoS防护

DDoS攻击介绍

分布式拒绝服务（Distributed Denial of Service，简称DDoS）将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对一个或多个目标发起DDoS攻击，消耗目标服务器性能或网络带宽，从而造成服务器无法正常地提供服务。

DDoS危害：

重大经济损失
数据泄露
恶意竞争

常见DDoS攻击类型

类型	攻击方式
畸形报文	Frag Flood、Smurf、Stream Flood、Land Flood等
传输层DDoS	Syn Flood、Ack Flood、UDP Flood、ICMP Request Flood等
DNS DDoS	DNS Query Flood、权威服务器攻击、Local服务器攻击等
连接型DDoS	TCP慢速连接、Loic、Hoic、Slowloris等
Web应用层DDoS	HTTP Get Flood、HTTP Post Flood、CC攻击

阿里云DDoS防护产品线

产品	特点	适用场景
DDoS原生防护基础版	免费提供最大5Gbps防护	基础防护
DDoS原生防护企业版	透明防护，一键添加	需要多IP防护
DDoS高防	Tbps级防护，全协议防护	网站、游戏、金融
游戏盾	专防TCP协议CC攻击	游戏行业

DDoS原生防护工作原理

直接为阿里云公网IP资产提升DDoS攻击防御能力
主要提供三层和四层流量型攻击防御
超出清洗阈值后自动触发流量清洗
通过旁路部署方式建设DDoS攻击检测及清洗系统

DDoS高防工作原理

支持DNS解析和IP直接指向两种引流方式
正常访问流量通过端口协议转发返回源站
恶意攻击流量在高防流量清洗中心过滤

二、Web应用防火墙（WAF）

WAF背景

传统WAF痛点：

80%用不上
50%无法应用复杂业务
30%误报机率大
无专人后续运维
产品升级慢、流程复杂

阿里云WAF核心能力

0day漏洞防护：自动防御补丁规则
Web应用防护：防御OWASP常见威胁
CC防护：拦截恶意肉鸡请求
业务风控：防刷、防爬、防撞库

WAF工作原理

浏览器输入域名访问
DNS服务器解析到WAF集群地址
访问流量到达WAF防护集群进行清洗
干净流量根据域名回源到真实服务器
响应内容回到WAF进行双向检测

WAF产品优势

10年以上网络安全经验
集成大数据能力
防御CC攻击和爬虫攻击
5分钟内部署和激活
无需安装软硬件或调整路由

三、云防火墙

云防火墙定位

业界首款Saa化防火墙，云原生的云上边界网络安全防护产品，是业务上云的第一道网络防线。

Day18 主机安全

Sun, 26 Apr 2026 03:34:00 +0800

主机安全

详细讲解

一、主机安全困境

云环境面临的新安全问题

边界和责任越来越模糊：云的边界/安全责任（共担模型）越来越模糊
资产业务的多元化：用户资产涉及云上云下，类型越来越多元
安全威胁的预谋化：攻击方式从撒网式无差别扫描转向定向攻击

二、云安全中心介绍

云安全中心（态势感知）是集持续监测、深度防御、全面分析、快速响应能力于一体的云上安全管理平台。

产品规格

版本	特点
免费版	基础免费安全防护服务
防病毒版	一键式病毒查杀，避免服务器被入侵
高级版	更轻松满足合规检查要求
企业版	服务器、容器环境的全面安全检测与防护能力
旗舰版	全面建立主机安全防御体系，防勒索防篡改

产品优势

稳定性：百万级服务器装机量，CPU使用率低于10%
统一安全管理：支持线下IDC及其他云平台统一管控
安全闭环能力：主动拦截病毒木马，漏洞扫描，一键修复
病毒云查杀：实时病毒检测和防护服务
全面攻击检测：250+威胁检测模型

产品架构

云安全中心构建涵盖网络层、主机层、应用层的安全纵深防护体系：

网络层：流量镜像检测分析出入云平台的全部网络流量
应用层：扫描Web漏洞、检测Web攻击、分析应用层访问记录
主机层：实时检测主机资产，异常进程/端口/网络连接，漏洞扫描

三、安全预防功能

漏洞扫描与修复

Windows系统漏洞
Linux软件漏洞
Web-CMS漏洞
应用漏洞
应急漏洞

基线检查

检测操作系统和服务的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置。

云平台配置检查

基于云平台安全实践，联动云产品能力形成安全闭环。

四、主动防御功能

防勒索、防病毒

实时拦截已知勒索病毒、挖矿、蠕虫、DDoS等七类病毒。

应用白名单

防止未经授权的应用异常启动，影响业务正常运行。

防篡改

防止网站被植入涉恐涉政、暗链、后门等，保障网页正常。

云蜜罐

云原生VPC黑洞功能：导流至蜜罐服务
通用主机探针方案：业务主机上部署Agent进行流量转发
丰富蜜罐服务：高低交互蜜罐，覆盖Web、数据库、系统服务等

五、威胁检测功能

安全告警类型

网页防篡改、进程异常行为、网站后门
异常登录、异常事件、敏感文件篡改
恶意进程（病毒云查杀）、异常网络连接
异常账号、应用入侵事件、容器集群异常

病毒云查杀能力

深度学习检测引擎：智能识别未知威胁
云沙箱：真实还原云上环境，监控恶意样本攻击行为
多引擎集成：集成中国及海外主流杀毒引擎
威胁情报检测：多维度检测异常进程和恶意行为

病毒类型：蠕虫病毒、挖矿程序、病毒型感染、勒索病毒、后门程序、木马程序、DDoS木马

查杀优势

轻量：仅占用1% CPU、50MB内存
实时：获取进程启动日志，实时监控
统一管理：云安全中心控制台统一管控

六、容器安全

镜像漏洞扫描

支持深度漏洞扫描，提供漏洞修复方案。

Day19 数据安全

Sun, 26 Apr 2026 03:35:00 +0800

数据安全

详细讲解

一、数据安全中心（DSC）

数据安全中心（Data Security Center，简称DSC）为客户提供敏感数据自动识别、分级分类、大数据安全审计与数据脱敏等数据安全能力。

产品特点

合规性：满足等保2.0二级"安全审计"与三级"个人信息保护"要求
云原生：依托云原生优势，为云上数据源提供一体化保护
智能化：运用大数据和机器学习能力，智能识别敏感数据
可视化：提供敏感数据识别结果可视化能力

产品功能

免代理一键授权接入：侵入度低，无需登录应用程序
以敏感数据为中心的能力联动：异常行为告警自动关联敏感数据
数据安全态势可视化管理：以资产/用户/事件为中心的审计报表

数据域管理

支持企业管理员基于业务属性、组织架构、数据特征等维度对数据资产进行划分
将具有相同特征的数据资产划分到同一个数据域

数据梳理

敏感数据：客户资料、技术资料、个人信息等高价值数据
支持结构化数据、非结构化数据和大数据产品
内置超过200种文件类型、40+种敏感数据类型

安全审计

原生日志采集：自动建立与对应产品的数据采集链路
Agent采集：通过部署Agent转发日志给DSC审计服务器

数据脱敏

静态脱敏：使用脱敏算法对敏感数据进行遮盖、加密或替换
动态脱敏：直接脱敏指定数据，每次小于2MB
脱敏算法：哈希、洗牌、数据解密、遮盖、替换、加密、变换

数据泄露检测

异常行为识别：及时告警并一键止血
联动威胁情报：封禁恶意IP访问
联动敏感数据识别：从海量告警中快速锁定高危风险
数据明/暗水印：泄露事件溯源

二、密钥管理服务（KMS）

密钥管理服务KMS（Key Management Service）为应用提供符合国密要求的密钥服务及极简应用加解密服务。

功能组件

组件	说明
密钥服务	密钥的全托管和保护，支撑云原生接口的极简数据加密和数字签名
凭据管家	凭据托管加密、定期轮转、安全分发、中心化管理
证书管家	高可用、高安全的密钥和证书托管能力，以及签名验签能力
专属KMS	专属于用户的云上私有密钥管理服务

托管密码机

硬件密码机（HSM）是执行密码运算、安全生成和存储密钥的硬件设备
合规：国密检测认证、FIPS认证
安全：硬件保护、密钥版本管理
易运维：按量计费、自动密钥轮转

密钥轮转

KMS中的CMK支持多个密钥版本
每一个密钥版本是独立生成的密钥
通过生成新密钥版本实现自动轮转

凭据管家

通用凭据：存储账号口令、访问密钥、OAuth密钥、API Key等
动态RDS凭据：应用程序无需配置静态数据库账号口令
动态RAM凭据：全自动定期轮换AccessKey
动态ECS凭据：托管ECS实例登录凭据

三、加密服务

加密服务基于国家密码局认证的硬件加密机，提供了云上数据加解密服务。

加密机类型

类型	说明
通用服务器密码机	满足GM/T 0030要求，提供国际通用密码服务接口
金融数据密码机	满足GM/T 0045要求，用于金融支付领域
签名验签密码机	满足GM/T 0029要求，提供数字签名、验证签名运算

工作原理

通过云密码机产生加密密钥
使用加密密钥对应用数据明文进行加密产生密文
应用系统把密文数据存储到数据库

背诵版

数据安全中心DSC：敏感数据识别 + 分级分类 + 安全审计 + 数据脱敏

Day20 业务安全

Sun, 26 Apr 2026 03:36:00 +0800

业务安全

详细讲解

一、内容安全

内容安全基于深度学习技术，提供图片、视频、语音、文字、网页等多媒体的内容风险智能识别和审核服务。

产品功能

内容检测API：提供图片、视频、文本、语音、网页等形式内容违规检测API
OSS违规检测：检测OSS中图片、视频、音频文件中的违规风险
自定义机审标准：基于业务场景配置审核标准

核心能力

海量数据样本：基于阿里巴巴多年积累的海量互联网数据训练AI模型
弹性服务扩容：服务秒级弹性扩容
性价比高：毫秒级结果返回，99%以上准确率
个性化定制：一对一运营，支持个性化识别策略调整

检测能力覆盖

暴恐、涉政、涉黄、广告、辱骂、不良场景等风险检测

人工审核服务

人机审核：机器识别基础上选择性人工审核
纯人工审核：对全量内容数据进行人工审核

二、实人认证

实人认证是对用户身份信息真实性核验的服务，验证用户为真人且为本人。

产品优势

精准身份认证技术：基于深度学习生物识别算法
全局信息安全保障：从终端设备、网络传输、服务器、数据管理各环节保障
多样产品能力输出：PC、APP、H5、小程序全场景覆盖
安全对抗丰富经验：源自阿里巴巴多年风险对抗实战经验

金融级实人认证方案

方案	说明
金融级多因子意愿认证方案	人脸与声纹双模态活体检测
金融级活体人脸验证方案	活体检测+人脸比对
金融级活体检测方案	纯活体检测
金融级人脸比对方案	人脸比对

认证场景

有源认证：权威渠道验证
自定义比对源认证：自定义比对源
真人检测：验证真人为本人

三、风险识别

风险识别（Fraud Detection）是一套实时分析、精准识别、全场景覆盖的业务风险管理产品。

核心能力

资深专家团队：多行业资深风控专家
全链路防控：从端到云全链路分析与动态攻防
智能算法策略：上千套策略模型即开即用
超强性能：毫秒级、超高并发能力

功能概述

功能	说明
决策引擎平台	可视化、交互友好的风险管理运营平台
场景化风控方案	面向注册、登录、营销、信贷等通用场景
设备安全能力	基于端上安全组件对设备风险进行识别

场景风控类型

注册风险识别：发现批量注册行为
登录风险识别：发现账户被盗行为
营销风险识别：发现作弊、薅羊毛、套利等风险
设备风险识别：对移动APP上的恶意设备行为进行识别
业务风险情报：对企业平台的账户或用户进行风险检测

版本对比

功能	基础版	增强版
实时分析	支持	支持
服务返回值	量化评分	量化评分+风险特征标签
设备风险监测	不支持	支持
设备指纹	不支持	支持
团伙分析	不支持	支持
日志服务投递	不支持	支持

背诵版

内容安全：深度学习 + 图片/视频/语音/文字/网页检测 + 毫秒级返回 + 99%准确率

Day21 其他安全产品

Sun, 26 Apr 2026 03:37:00 +0800

其他安全产品

详细讲解

一、身份安全 - IDaaS

应用身份服务IDaaS介绍

IDaaS（Identity as a Service）是阿里云原生企业身份管理服务：

EIAM：用于保护企业内部身份
CIAM：提供面向外部会员的身份管理
安全认证：集成多种无密码认证方式

IDaaS设计理念

默认安全：可用性和安全性难以两全时，优先保障安全性
开发友好：API在线调试、SDK与样例代码、代码开源

EIAM使用流程

免费开通实例 → 创建账户 → 登录门户 → 创建应用

CIAM版本

版本	说明
专属版	独立环境部署，支持功能定制，适合中大型公司
标准版（未开放）	共享集群，按月活用户计费
免费版（未开放）	MAU限制100以内

安全认证

号码认证：整合三大运营商网关认证能力
IFAA：金融级移动端生物识别产品
WebAuthn：PC端浏览器免密登录
短信认证、OTP

二、安全管理服务

安全管家服务

阿里云安全专家提供的全方位安全技术和咨询服务。

产品功能

安全体系咨询：建设完善的安全运营体系
安全风险评估：评估企业信息系统安全风险
安全事件应急响应：7*24远程紧急响应处理
应用安全评估：评估应用层安全风险
安全监测与巡检：每日安全巡检
安全加固服务：指导安全加固

双层服务形态

类型	说明
企业版	安全常态化防护，风险评估+每日巡检+安全加固+事件提醒+应急响应
护航版	应急突发保障，量身定制防护方案+全面安全体检+全天候值守

应急响应服务

参照国家信息安全事件响应处理标准，提供预防、情报收集、遏制、根除、恢复流程的7*24远程紧急响应处理。

等保咨询服务

等级保护整改方案咨询
安全产品选型及部署指导
系统安全整改工作
安全管理咨询

威胁狩猎服务

基于欺骗伪装技术，通过部署诱饵和陷阱，诱导攻击者进入蜜网，完整记录攻击者行为，捕获高级未知攻击。

三、通用安全解决方案

等保合规解决方案

覆盖等保定级、备案、建设整改及测评阶段：

系统定级
系统备案
建设整改
等级测评
监督检查

等保合规2.0架构（等保三级）

安全物理环境：阿里云平台自带
安全通信网络：网络架构、通信传输、可信验证
安全区域边界：边界防护、访问控制、入侵防范、恶意代码防护、安全审计
安全计算环境：身份鉴别、访问控制、安全审计、入侵防范等
安全管理中心：系统管理、审计管理、安全管理、集中管控

四、云监控

云监控概念

云监控（CloudMonitor）是针对阿里云资源和互联网应用进行监控的服务，用于收集监控指标、探测可用性、设置警报。