HCIE云计算备考知识点记录
仅针对个人觉得需要记录的知识点记录,大概会有错误kubernetes由master节点与node节点组
Dockerfile基础镜像中有一个特别镜像scratch,表示一个空白镜像
kubernetes组件功能:
kube-apiserver——暴露kubernetes的API接口,负责接收全部请求
kube-proxy——kubernetes的数据库
kube-schedule——kubernetes集群调度器,用于为新pod选择node
Eggo是openEuler21.09推出的kubernetes集群部署工具
CCE服务的pod访问范例不需要配置为负载均衡
创建pod的yaml文件,但不真正创建pod:kubectl run nginx-image=xxxx -o yaml —dry-run=client >test.yaml
dockerfile中ADD命令可以用于将文件、目录从构建上下文或远程URL复制到容器中,与COPY指令雷同,可以多次使用ADD指令,实现多个文件和目录的复制操作
创建Cronjob和job时,kind参数应该设置为不同的Cronjob和job两种
kubectl get deployment命令回显的字段寄义:
NAME:部署的名称。
READY:展示有多少个副本已经就绪(Ready)。
UP-TO-DATE:展示有多少个副本与部署期望的副本数一致。
AVAILABLE:展示有多少个副本可以提供服务(Available)。
AGE:展示部署对象创建的时间长度。
安全容器指的是每一个pod都运行在独立的微型虚拟机中,拥有独立的操作系统和内核,以及虚拟化层的安全隔离
kubernetes中image pull policy用于设置镜像拉取策略,支持三种拉取策略:
Always——总是从从远端仓库拉取镜像
IfNotPresent——当地有则使用当地镜像,当地没有则从从远端仓库拉取镜像
Never——只使用当地镜像,如果当地没有就会报错
调度pod运行节点的两种方式node selector和node affinity:
node affinity支持更为复杂的pod调度策略,
node selector相对简单,只能使用基于集合的标签选择器匹配节点
docker run 命令指定了参数会把CMD里的参数覆盖,但如果使用ENTRYPOINT就不会被覆盖
K8s启动pod容器时,会按照配置文件中顺序启动,如果此中一个容器没有启动乐成,会影响其他容器,为了避免这种环境建议在编写yaml时规定容器启动顺序
k8s中通过yaml创建的对象可以通过yaml文件或者指定对象名称删除
k8s中的Cronjob在完成一次使命后,pod是running状态
pod中的容器都被乐成终止之后,pod会处于conpleted状态
dockerfile在容器构建时,可以使用entrypoint指定镜像启动时执行的命令,且不会像CMD一样被覆盖,一般是一些脚本,用以启动时进行初始化配置
docker run如果指定了参数会把dockerflie制作时的CMD参数覆盖
docker中docker daemon负责接收客户端对容器的操作请求
HCS的CCE服务在架构上分为管理面、控制面和数据面,进行一站式kubernetes创建的是“云容器引擎”
HCS的SWR服务是一个容器镜像存储和管理服务。SWR提供了一个会合的、安全的容器镜像仓库,用于存储、分享和管理容器镜像。
eReplication与IAM需要部署在Global区
bind mounts与volumes的区别在于bind mounts是将宿主机的恣意文件和文件夹挂载到容器,而volumes本质是将docker服务管理的一块地区挂载到容器
pod的污点范例:
preferNoSchedule:尽大概不调度到该节点
NoSchedule:新创建的pod不调度到该节点,已运行的pod不受影响
NoExecute:完全不调度到该节点
kubernetes管理层面的组件在本质上属于静态容器
在测试阶段使用kubernetes部署测试应用,可以使用容器默认权限级别
Kubernetes生态系统中有许多常用的插件和工具,用于增强和扩展Kubernetes的功能。以下是一些常见的Kubernetes插件:
[*]Ingress Controllers:用于实现HTTP和HTTPS流量的入口控制和路由。常见的Ingress Controllers包括Nginx Ingress Controller、Traefik、HAProxy Ingress等。
[*]Prometheus:用于监控和度量Kubernetes集群的开源监控系统。它可以采集指标数据并提供强大的查询和报警功能。
[*]Grafana:一个可视化和监控仪表盘工具,可与Prometheus等数据源集成,用于展示和分析监控数据。
[*]Helm:一个Kubernetes包管理器,用于简化应用步伐的部署、升级和管理。它允许用户界说和分享应用步伐的Chart,以便轻松部署到Kubernetes集群。
[*]Istio:一个用于微服务架构的服务网格平台,提供流量管理、安全性、可观察性和策略执行等功能。
[*]Calico:一个网络和安全插件,用于提供高性能的网络功能和网络策略。它支持Kubernetes集群的网络隔离和安全性。
[*]Flannel:一个网络插件,用于创建覆盖整个Kubernetes集群的容器网络。它提供IP地点管理和网络通讯功能。
[*]CoreDNS:一个用于Kubernetes集群的DNS插件,提供服务发现和DNS解析功能,简化了对服务的访问和管理。
[*]Velero:一个备份和恢复工具,用于保护和迁徙Kubernetes集群中的应用步伐和数据。
[*]MetalLB:一个用于在裸金属(Bare Metal)环境中提供负载均衡服务的插件。
docker run的参数 —cpu-period 10000 —cpu-quota 2500的数字以纳秒为单位
yaml文件根本格式
1、GVK信息,由groupAPI组,versionAPI版本和kind构成,决定了对象的范例
2、元数据信息,包罗对象名称,标签
3、对象规格,对应对象的规格参数
kubernetes的GVK中version有三种范例:
Alpha内部测试版本,未经严格测试;
Beta版本,是用户体验版,比Alpha版更加完满但仍然存在问题;
Stable版本是最终版本,也称为正式版或生产版,稳定和可靠。
CronJob* * * * *对应分 时 天 月 周
为了防止网络抖动或其他原因误把容器杀死,在容器探活时应选择readinessPribe
OCI容器规范是为了保证不同容器之间可以兼容,并没有界说容器网络中的通讯方式
Volcano是一个kubernetes的扩展调度器框架
Canal是一个开源的网络覆盖层网络插件
ROMA Factory DevOps提供了云原生一站式应用托管与治理,可以随时随地在云端交付软件全生命周期
Appube提供零代码/低代码开发模式,学习成本低
初始化容器是用来检查依靠服务是否正常
DaemonSet通常用于在每个kubernetes节点上运行系统级别的使命或署理步伐,比方日志网络、监控、网络署理等。
StatefulSet是一种用于部署和管理需要状态和恒久性的有状态应用步伐的Kubernetes控制器对象,它提供了稳定的网络标识、恒久性存储和有序部署的功能。不支持策略更新
SSL网关-旁挂焦点 管理墙-旁挂 外部接入TOR-串联
三层组网中SSL网关旁挂在border leaf上
网络安全等保二级和等保三级的差异:
1、结构安全方面:三级在二级的基础上要求网络设备满足高峰时需求,业务终端与业务服务器之间建立安全路径,带宽优先级管理
2、访问控制方面:三级在二级防火墙ACL的基础上,要求进行端口级控制,协议命令过滤,会话控制等
3、安全审计方面:三级对审计日志保存提出了更高的要求,需要采用日志服务器
4、网络设备防护:三级要求对重要网络设备实施双因素认证进行身份
5、边界完备性:二级要求部署终端安全系统,三级要求能够进行阻断
6、入侵防护:二级要求部署IPS,三级要求配置日志模块
7、恶意代码:二级无要求,三级要求部署UTM或AV、IPS
三种不同范例的防护针对点:
安全组-针对虚机网卡进行访问控制,配置允许放行的流量
云防火墙-针对业务逻辑设置角色,基于角色进行流量管控,RBMC
网络ACL-基于子网进行访问控制
EdgeFW是边界防火墙,位于内外网的边界处,连接内网与外网。
edgeFW针对云数据中心与外部网络的南北向流量,支持对EIP流量进行访问控制,入侵防御,流量日志,网络防病毒
EdgeFW采用主备模式,单焦点场景通过10GE口旁挂在焦点交换机,双焦点场景通过10GE接口直挂在业务焦点交换机。三层组网时,旁挂在Border Leaf。可以与数据中心的出口防火墙合并部署
EdgeFW针对EIP进行保护,但不会保护绑定了EIP的ECS
EdgeFW需要硬件支持,可以是华为防火墙,也可以选择第三方的防火墙
SecoManager是华为硬件防火墙管理平台,在EdgeFW中,SecoManager和ManagerOne对接,驱动HCS管理EdgeFW
CSP计算安全平台,提供服务器的资产管理、毛病检测、基线检查、入侵检测功能。能够主动防御、智能检测
CSP可以和数据库审计服务DBAS同一个工程中进行部署安装
CSP服务Agent可以安装在物理机中,可以安装在基础服务和高阶服务的管理节点中,不能代替的ECS的CloudAgent
Cgroup 是 Linux 控制组(Control Group)的缩写。它是 Linux 内核提供的一种机制,用于对历程和使命进行分组并分配资源。通过 Cgroup,华为云容器服务可以提供更加可靠和高效的容器资源管理,确保容器应用步伐在共享资源环境中的稳定性和性能。
HCS对计算节点进行扩容时,如果新增的AZ需要用KVM虚拟化或发放通用型ECS,就需要设置成新增计算节点,新增节点承载分布式网关要设置扩容SDI节点;新增容器业务要扩容MCS节点
进行管理区管理节点数量计算时,不需要思量计算节点网口数量信息
HCS中cloudnetDebug工具可以通过ID和IP查询VM信息
HCSD部署HCS时,如果LLD中填错管理节点地点错误,在启动后无法修改,只能重新创建工程并重新导入LLD表;如果计算节点地点错误,在启动安装后可跳过“计算节点安装”
HCS的VHA服务依靠华为存储的HyperMetro特性实现
HCS中VHA服务不支持业务存储的分布式存储。但CSDR可以支持业务存储为华为分布式存储的异地容灾
备份是基于存储的快照技术和快照对比技术来实现的。每次备份时,eBackup会为待备份的云硬盘创建一个快照。首次备份时,通过快照数据进行全量备份,第N次备份时,eBackup通过对比上一个快照数据进行增量备份,只备份变革数据
恢复是基于快照比对技术来实现。eBackup获取备份副本数据与目的磁盘的数据差异,仅将差异的数据恢复至目的磁盘,恢复前无需合成完备的磁盘数据
VHA的实现原理:
1、申请VHA实例
2、BCManager eReplication调用Nova查询ECS或BMS挂载的卷,创建保护组
3、BCManager eReplication调用cinder,在双活存储设备上创建双活从卷
4、BCManager eReplication调用DRextend创建主卷和从卷的双活pair,将全部双活pair参加到双活一致性组
5、BCManager eReplication调用Nova,将双活LUN挂载给ECS或BMS
HCS中将业务从x86像ARM迁徙的过程中,应该从非焦点业务入手,逐步的更换迁徙
HCS中,VPN用于在当地网络、数据中心和云上网络之间搭建安全可靠的加密通道连接。
云专线搭建当地数据中心和华为云VPC之间专属通道。
二层桥接L2BR为VPC和云外网段提供高速安全的二层互通:可以实现云外网段与云内VPC同网段子网二层互通,不同网段三层互通
HCS的SIS是一个关于云环境的安全评估服务
HCS的KMS是密钥管理服务,可以通过KMS创建软件密钥登录云服务器,也可以使用硬件加密机
CBH云堡垒机是4A统一安全管控平台,4A包括会合账号、授权、认证、审计
CMDB配置管理平台:用来存储与管理企业IT架构中设备和系统的各种数据信息,依靠相关流程保证数据的准确、实时有用,实现信息共享,发挥配置信息的价值。
HCS中安全组、云防火墙、网络ACL都是通过软件实现,基于iptables进行规则配置
HCS中分化的各类VRF,如果有互通需求,需要在防火墙上配置安全策略后进行流量打通
希罕文件(Sparse file)是指在文件系统中占据磁盘空间的部分一连数据块中包罗大量的空闲或未使用的数据块。这种文件只使用了部分块来存储实际数据,而别的的块被标记为空闲状态,不占用实际磁盘空间。
windows在线块级迁徙步骤
1、对目的虚拟机分区格式化
2、源端启动扇区追踪步伐,记录变革扇区,在内存中生成变革扇区追踪表
3、根据源端bitmap追踪表读取标记为使用的扇区,并复制到目的端
4、各分区扇区复制完成后再进行数据同步
5、修改windows启动项并重启
Rainbow进行Linux主机在线文件迁徙,全量迁徙重要依靠源端tar脚本,再使用rsync脚本进行增量同步与最终同步
Rainbow在迁徙windows的场景中,8899端口是源端和目的端agent的管理端口,8900是agent的数据传输端口,445端口是smb文件共享端口
Rainbow在迁徙windows的场景中,1888是linux块迁徙源端agent管理端口,1889是目的端agent管理端口
Rainbow工具迁徙时,在windows端使用pfx范例证书,Linux不涉及pfx证书
Rainbow工具迁徙windows主机时,不支持盘范例为共享的磁盘
AB两台VM相互通讯时,A将流量发送给B时,A所在的计算节点会判断该流量是否需要跨VPC,如果需要则进行VXLAN封装,并发送给vRouter
统一运营、分级运维的技术框架,是总部与分部全部使用统一一朵云,由总部统一运营,各分部采购本身所需的资源,各分部各自进行当地运维
HCS涉及ECS的流量都不经过brcps
HCS安全防护办理方案中,硬件安全设备和服务一般采用旁挂焦点交换机模式部署 出口安全设备和服务一般采用旁路模式部署,用来提拔便捷网络的可用性
网络范例VLAN:支持映射到实际网络上,支持内网与外网的连通
LOCAL:不会进入物理网络,支持主机内部互通
HCS标准组网中,焦点交换机配置租户VPC访问外网的下一跳指向管理墙
HCS容灾场景中,Global运维区是HCS容灾办理方案的特别地区,用于管理配置和监控整个容灾方案
HCS中两个网桥之间使用veth pair连接
HCS交付前需要完成的前期预备工作包括HDL方案输出,BOQ输出,硬件设备到货开箱验收
HCS中SC服务中心面向用户,提供统一运营管理平台,OC运维中心面向管理员,提供统一的运维管理平台,OCC运营指挥中心同时面向运营运维职员
HCS中BR网元不需要接入DMZservice平面
HCS的HSS服务是一种集成了主机安全、容器安全、网页防篡改功能的安全产物,重要办理混淆云和多云数据中心的负载保护要求。但无法防护数据敏感与数据屏蔽的问题
HCS中CBH主机状态故障时,管理员可在service OM登录进行故障排查
HCS中备份服务通过Karbor组件进行保存和调度备份策略
AB两个虚机需要通讯时,如果处于一个VPC的不同子网,不需要进行VXLAN封装,在计算节点内判断时间需要跨VPC,如果需要则将流量进行VXLAN封装,发送给vRouter网元
HCS中CVS网元可以提供健康检查和会话保持功能,根据租户的健康检查策略,用业务网络对业务虚机进行健康检查
HCS中防火墙根据功能不同分为管理墙,运维墙,边界墙,此中边界墙重要用于对租户业务进行保护
管理墙,需要被旁挂到焦点交换机侧,用于对管理区和业务区之间的安全防护
管理墙如果碰到无法提供明细路由的流量,就会将其默认焦点交换机
HCS云服务中包括
云防火墙基础包CFW
——微隔离
——流量可视
——业务标签
——策略继续
边界防火墙EdgeFW
数据库审计DBAS
数据库安全DBSS
安全指数服务SIS
数据加密服务DEW
云备份服务CSBS-VBS
应用运维管理AOM
应用性能管理服务APW
消息通知服务SMN
分布式缓存服务DCS
华为智慧医保办理方案中,“大支撑”指的是自主可控的第二计算平面与高可用的灾备服务
CSHA是用于在同一个region内做双活 CSDR是跨region做主备的容灾,CSHA+CSDR实现两地三中心容灾,RTO=0 但CSDR RPO≠0
CSDR计划性迁徙过程(BCManager eReplication)
1、主节点nova接口停止云服务器
2、主节点调用DRextend启动存储复制
3、备节点调用DRextend启动灾备卷资源,DRextend Driver调用存储进行备端读写
4、备节点nova接口设置占位虚机为正常虚机
5、备节点nova将备端磁盘挂载给云服务,通过cinder完成LUN映射
6、备节点Neutron禁用测试网络,启用容灾恢复网络
7、备节点nova启动云服务器并接入容灾网络
8、主节点nova卸载原生产服务器卷,并锁定原生产服务器
CSBS备份流程:
1、租户通过CSBS控制台进行手工备份、或按照备份策略主动备份
2、karbor启动云服务器备份调度,下发使命到eBackup Manager
3、eBackup Workflow调用FS接口获取云服务和云硬盘信息,并在生产阵列上创建快照,下发使命给ebackup server&proxy进行备份
4、ebackup proxy负责从生产存储快照中读取数据写入备份存储
VBS备份流程:
1、租户通过VBS控制台进行手工备份、或按照备份策略主动备份
2、karbor启动云硬盘备份调度,调用cinder对卷创建快照
3、karbor调用cinder备份接口,通过ebackup Driver通知ebackup server&proxy创建备份卷快照 4、ebackup proxy负责从生产存储快照中读取数据写入备份存储
HCS的CCE(Container Cluster Engine)服务是一种容器集群引擎服务。CCE为用户提供了一种高度可扩展的容器化办理方案,用于部署、管理和运行容器化应用步伐
HCS的CCE服务中,要实现HPA策略需要安装metric-server插件
HCS单焦点组网应用于业务规模较小时,管理和业务合布的场景;双焦点是业务规模较大时,管理和业务分开部署的场景。如果需要物理隔离则必须使用双焦点组网
HCS安装CCE时,不需要规划management storage data平面的地点,因为本身就是容器服务 CCE使用Everest插件实现对于IAAS层的调用
HCSD新建工程部署云服务中没有CCE选项,安装CCE后,无法通过HCSD进行主动调测
在安装CCE之前,需要完成ALB上VIP网络等价路由的配置,以确保ALB应用负载均衡器能够正常工作
CC服务于VPC-peering的区别:
VPC-peering重要关注虚拟私有云之间的内部连接,而CC服务则更偏重于实现跨地域、跨云平台的网络连接。
VPC-peering适用于同一云平台内的VPC之间的连接需求,而CC服务适用于不同云平台之间或云与企业数据中心之间的连接需求。
相对于容器隧道网络,VPC网络有着性能较高、容器网络与节点网络相互独立的特点
HCS中,SOC、WAF服务可以和ISAP服务在雷同工程中部署,因为同属于高阶安全服务
WAF可以提供CC攻击的防护,防篡改,
WAF只有软WAF一种模式,没有硬WAF
HCS的规划中,支持同一套存储设备创建两套存储池,可以映射给不同cpu架构的AZ;但两套设备无法互相映射,因为跨AZ无法通讯
HCS的业务容灾,基于ECS部署的
HCS的FDI数据集成服务,能够提供多种异构数据源灵活转化入户入库本领
HCS网络节点要求6网口,至少是万兆网口 HCS中eSight 是一种网络管理软件,用于监控和管理企业网络设备和服务。
在G/R解耦的场景中,eSight的资源占用需要在Global和Region地区中分别进行计算
G/R合布场景下,首Region管理节点CPU架构需要保持一致;在G/R解耦场景中,Global区管理节点CPU可以和首Region内管理节点CPU架构不一致
在Global独立部署的场景中,Global和Region需要分别单独部署一套FSO、分布式存储、ServiceOM等组件。
HCS三层组网架构中,Underlay网络使用eBGP协议打通不同地区的网络
HCS中,新增的AZ与原有的AZ可以共享网络出口与华为分布式存储的存储池,但不能共享IPSAN/FCSAN提供的存储池
UnionFS联合文件系统是实现docker镜像的技术基础
HCS的云联邦2.0功能能够办理电子政务碰到的“数据不敢共享,不愿共享,不敢使用”的痛点
eDesigner工具是一种用于网络设计和规划的软件。其功能包括1、网络拓扑设计2、网络配置设置3、网络性能评估4、链路规划和优化5、故障模仿和容灾规划
LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录服务的开放标准协议。LDAP服务器是实现LDAP协议的服务器软件,用于存储、管理和提供访问分布式目录数据的服务。常见的LDAP服务器软件包括OpenLDAP、Microsoft Active Directory等。
在VPC内创建一个新子网,相当于让OpenStack创建一个新的Network,然后再创建一个新subnet
横向越权:访问与攻击者拥有同级别权限的用户资源。
防备方法:可用过建立用户和可操作资源的绑定关系,用户对任何资源进行操作,通过绑定关系确保该资源是属于该用户全部
纵向越权:访问比攻击者拥有权限更高级别的用户资源。
防备方法:使用基于角色的访问控制机制,预界说不同权限的角色,为角色分配不同权重,每个用户属于特定角色
数据库、 数据仓库和数据湖之间的区别:
数据库通常用于存储相对较小且高度结构化的数据
数据湖用于存储大量未经处理的原始数据
数据仓库则介于两者之间,通常用于存储结构化和清洗过的数据,以便进行分析和陈诉
区别还包括数据的处理方式、访问模式、用例等
HTTPS使用HTTP传输,参加了TLS为传输提供身份验证,加密和校验 通过TLS协议,HTTPS提供以下功能:
1、身份验证:TLS协议使用数字证书来验证服务器的身份。客户端可以验证服务器的证书以确保与正确的服务器建立连接。
2、加密:TLS使用对称加密和公钥加密的技术来加密传输的数据。如许,即使在网络传输过程中,第三方也无法读取或篡改传输的数据。
3、完备性校验:TLS使用消息认证码(MAC)来验证数据的完备性。接收方可以确保数据在传输过程中没有被更改。
关于HCS的L2BR二层桥接技术: L2BR 支持将云上的虚拟局域网(VLAN)与云下的物理局域网桥接,实现二层的透明通讯。 云上虚拟机和云下物理服务器的MAC地点学习和转发,提供VLAN与网络ACL的安全策略
要进行二层桥接网络,bgp_broker_float_ip与inter_connect网络平面需要提前规划
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]