HCIE云计算备考知识点记录
仅针对个人觉得需要记录的知识点记录,可能会有错误
kubernetes由master节点与node节点组
Dockerfile基础镜像中有一个特殊镜像scratch,表示一个空白镜像
kubernetes组件功能:
kube-apiserver——暴露kubernetes的API接口,负责接收所有请求
kube-proxy——kubernetes的数据库
kube-schedule——kubernetes集群调度器,用于为新pod选择node
Eggo是openEuler21.09推出的kubernetes集群部署工具
CCE服务的pod访问类型不需要配置为负载均衡
创建pod的yaml文件,但不真正创建pod:kubectl run nginx-image=xxxx -o yaml —dry-run=client >test.yaml
dockerfile中ADD命令可以用于将文件、目录从构建上下文或远程URL复制到容器中,与COPY指令类似,可以多次使用ADD指令,实现多个文件和目录的复制操作
创建Cronjob和job时,kind参数应该设置为不同的Cronjob和job两种
kubectl get deployment命令回显的字段含义:
NAME:部署的名称。
READY:展示有多少个副本已经就绪(Ready)。
UP-TO-DATE:展示有多少个副本与部署期望的副本数一致。
AVAILABLE:展示有多少个副本可以提供服务(Available)。
AGE:展示部署对象创建的时间长度。
安全容器指的是每一个pod都运行在独立的微型虚拟机中,拥有独立的操作系统和内核,以及虚拟化层的安全隔离
kubernetes中image pull policy用于设置镜像拉取策略,支持三种拉取策略:
Always——总是从从远端仓库拉取镜像
IfNotPresent——本地有则使用本地镜像,本地没有则从从远端仓库拉取镜像
Never——只使用本地镜像,如果本地没有就会报错
调度pod运行节点的两种方式node selector和node affinity:
node affinity支持更为复杂的pod调度策略,
node selector相对简单,只能使用基于集合的标签选择器匹配节点
docker run 命令指定了参数会把CMD里的参数覆盖,但如果使用ENTRYPOINT就不会被覆盖
K8s启动pod容器时,会按照配置文件中顺序启动,如果其中一个容器没有启动成功,会影响其他容器,为了避免这种情况建议在编写yaml时规定容器启动顺序
k8s中通过yaml创建的对象可以通过yaml文件或者指定对象名称删除
k8s中的Cronjob在完成一次任务后,pod是running状态
pod中的容器都被成功终止之后,pod会处于conpleted状态
dockerfile在容器构建时,可以使用entrypoint指定镜像启动时执行的命令,且不会像CMD一样被覆盖,一般是一些脚本,用以启动时进行初始化配置
docker run如果指定了参数会把dockerflie制作时的CMD参数覆盖
docker中docker daemon负责接收客户端对容器的操作请求
HCS的CCE服务在架构上分为管理面、控制面和数据面,进行一站式kubernetes创建的是“云容器引擎”
HCS的SWR服务是一个容器镜像存储和管理服务。SWR提供了一个集中的、安全的容器镜像仓库,用于存储、分享和管理容器镜像。
eReplication与IAM需要部署在Global区
bind mounts与volumes的区别在于bind mounts是将宿主机的任意文件和文件夹挂载到容器,而volumes本质是将docker服务管理的一块区域挂载到容器
pod的污点类型:
preferNoSchedule:尽可能不调度到该节点
NoSchedule:新创建的pod不调度到该节点,已运行的pod不受影响
NoExecute:完全不调度到该节点
kubernetes管理层面的组件在本质上属于静态容器
在测试阶段使用kubernetes部署测试应用,可以使用容器默认权限级别
Kubernetes生态系统中有许多常用的插件和工具,用于增强和扩展Kubernetes的功能。以下是一些常见的Kubernetes插件:
- Ingress Controllers:用于实现HTTP和HTTPS流量的入口控制和路由。常见的Ingress Controllers包括Nginx Ingress Controller、Traefik、HAProxy Ingress等。
- Prometheus:用于监控和度量Kubernetes集群的开源监控系统。它可以采集指标数据并提供强大的查询和报警功能。
- Grafana:一个可视化和监控仪表盘工具,可与Prometheus等数据源集成,用于展示和分析监控数据。
- Helm:一个Kubernetes包管理器,用于简化应用程序的部署、升级和管理。它允许用户定义和分享应用程序的Chart,以便轻松部署到Kubernetes集群。
- Istio:一个用于微服务架构的服务网格平台,提供流量管理、安全性、可观察性和策略执行等功能。
- Calico:一个网络和安全插件,用于提供高性能的网络功能和网络策略。它支持Kubernetes集群的网络隔离和安全性。
- Flannel:一个网络插件,用于创建覆盖整个Kubernetes集群的容器网络。它提供IP地址管理和网络通信功能。
- CoreDNS:一个用于Kubernetes集群的DNS插件,提供服务发现和DNS解析功能,简化了对服务的访问和管理。
- Velero:一个备份和恢复工具,用于保护和迁移Kubernetes集群中的应用程序和数据。
- MetalLB:一个用于在裸金属(Bare Metal)环境中提供负载均衡服务的插件。
docker run的参数 —cpu-period 10000 —cpu-quota 2500的数字以纳秒为单位
yaml文件基本格式
1、GVK信息,由groupAPI组,versionAPI版本和kind组成,决定了对象的类型
2、元数据信息,包含对象名称,标签
3、对象规格,对应对象的规格参数
kubernetes的GVK中version有三种类型:
Alpha内部测试版本,未经严格测试;
Beta版本,是用户体验版,比Alpha版更加完善但仍然存在问题;
Stable版本是最终版本,也称为正式版或生产版,稳定和可靠。
CronJob* * * * *对应分 时 天 月 周
为了防止网络抖动或其他原因误把容器杀死,在容器探活时应选择readinessPribe
OCI容器规范是为了保证不同容器之间可以兼容,并没有定义容器网络中的通信方式
Volcano是一个kubernetes的扩展调度器框架
Canal是一个开源的网络覆盖层网络插件
ROMA Factory DevOps提供了云原生一站式应用托管与治理,可以随时随地在云端交付软件全生命周期
Appube提供零代码/低代码开发模式,学习成本低
初始化容器是用来检查依赖服务是否正常
DaemonSet通常用于在每个kubernetes节点上运行系统级别的任务或代理程序,例如日志收集、监控、网络代理等。
StatefulSet是一种用于部署和管理需要状态和持久性的有状态应用程序的Kubernetes控制器对象,它提供了稳定的网络标识、持久性存储和有序部署的功能。不支持策略更新
SSL网关-旁挂核心 管理墙-旁挂 外部接入TOR-串联
三层组网中SSL网关旁挂在border leaf上
网络安全等保二级和等保三级的差异:
1、结构安全方面:三级在二级的基础上要求网络设备满足高峰时需求,业务终端与业务服务器之间建立安全路径,带宽优先级管理
2、访问控制方面:三级在二级防火墙ACL的基础上,要求进行端口级控制,协议命令过滤,会话控制等
3、安全审计方面:三级对审计日志保存提出了更高的要求,需要采用日志服务器
4、网络设备防护:三级要求对主要网络设备实施双因素认证进行身份
5、边界完整性:二级要求部署终端安全系统,三级要求能够进行阻断
6、入侵防护:二级要求部署IPS,三级要求配置日志模块
7、恶意代码:二级无要求,三级要求部署UTM或AV、IPS
三种不同类型的防护针对点:
安全组-针对虚机网卡进行访问控制,配置允许放行的流量
云防火墙-针对业务逻辑设置角色,基于角色进行流量管控,RBMC
网络ACL-基于子网进行访问控制
EdgeFW是边界防火墙,位于内外网的边界处,连接内网与外网。
edgeFW针对云数据中心与外部网络的南北向流量,支持对EIP流量进行访问控制,入侵防御,流量日志,网络防病毒
EdgeFW采用主备模式,单核心场景通过10GE口旁挂在核心交换机,双核心场景通过10GE接口直挂在业务核心交换机。三层组网时,旁挂在Border Leaf。可以与数据中心的出口防火墙合并部署
EdgeFW针对EIP进行保护,但不会保护绑定了EIP的ECS
EdgeFW需要硬件支持,可以是华为防火墙,也可以选择第三方的防火墙
SecoManager是华为硬件防火墙管理平台,在EdgeFW中,SecoManager和ManagerOne对接,驱动HCS管理EdgeFW
CSP计算安全平台,提供服务器的资产管理、漏洞检测、基线检查、入侵检测功能。能够主动防御、智能检测
CSP可以和数据库审计服务DBAS同一个工程中进行部署安装
CSP服务Agent可以安装在物理机中,可以安装在基础服务和高阶服务的管理节点中,不能代替的ECS的CloudAgent
Cgroup 是 Linux 控制组(Control Group)的缩写。它是 Linux 内核提供的一种机制,用于对进程和任务进行分组并分配资源。通过 Cgroup,华为云容器服务可以提供更加可靠和高效的容器资源管理,确保容器应用程序在共享资源环境中的稳定性和性能。
HCS对计算节点进行扩容时,如果新增的AZ需要用KVM虚拟化或发放通用型ECS,就需要设置成新增计算节点,新增节点承载分布式网关要设置扩容SDI节点;新增容器业务要扩容MCS节点
进行管理区管理节点数量计算时,不需要考虑计算节点网口数量信息
HCS中cloudnetDebug工具可以通过ID和IP查询VM信息
HCSD部署HCS时,如果LLD中填错管理节点地址错误,在启动后无法修改,只能重新创建工程并重新导入LLD表;如果计算节点地址错误,在启动安装后可跳过“计算节点安装”
HCS的VHA服务依赖华为存储的HyperMetro特性实现
HCS中VHA服务不支持业务存储的分布式存储。但CSDR可以支持业务存储为华为分布式存储的异地容灾
备份是基于存储的快照技术和快照对比技术来实现的。每次备份时,eBackup会为待备份的云硬盘创建一个快照。首次备份时,通过快照数据进行全量备份,第N次备份时,eBackup通过对比上一个快照数据进行增量备份,只备份变化数据
恢复是基于快照比对技术来实现。eBackup获取备份副本数据与目标磁盘的数据差异,仅将差异的数据恢复至目标磁盘,恢复前无需合成完整的磁盘数据
VHA的实现原理:
1、申请VHA实例
2、BCManager eReplication调用Nova查询ECS或BMS挂载的卷,创建保护组
3、BCManager eReplication调用cinder,在双活存储设备上创建双活从卷
4、BCManager eReplication调用DRextend创建主卷和从卷的双活pair,将所有双活pair加入到双活一致性组
5、BCManager eReplication调用Nova,将双活LUN挂载给ECS或BMS
HCS中将业务从x86像ARM迁移的过程中,应该从非核心业务入手,逐步的替换迁移
HCS中,VPN用于在本地网络、数据中心和云上网络之间搭建安全可靠的加密通道连接。
云专线搭建本地数据中心和华为云VPC之间专属通道。
二层桥接L2BR为VPC和云外网段提供高速安全的二层互通:可以实现云外网段与云内VPC同网段子网二层互通,不同网段三层互通
HCS的SIS是一个关于云环境的安全评估服务
HCS的KMS是密钥管理服务,可以通过KMS创建软件密钥登录云服务器,也可以使用硬件加密机
CBH云堡垒机是4A统一安全管控平台,4A包括集中账号、授权、认证、审计
CMDB配置管理平台:用来存储与管理企业IT架构中设备和系统的各种数据信息,依赖相关流程保证数据的准确、及时有效,实现信息共享,发挥配置信息的价值。
HCS中安全组、云防火墙、网络ACL都是通过软件实现,基于iptables进行规则配置
HCS中分化的各类VRF,如果有互通需求,需要在防火墙上配置安全策略后进行流量打通
稀疏文件(Sparse file)是指在文件系统中占据磁盘空间的部分连续数据块中包含大量的空闲或未使用的数据块。这种文件只使用了部分块来存储实际数据,而其余的块被标记为空闲状态,不占用实际磁盘空间。
windows在线块级迁移步骤
1、对目标虚拟机分区格式化
2、源端启动扇区追踪程序,记录变化扇区,在内存中生成变化扇区追踪表
3、根据源端bitmap追踪表读取标记为使用的扇区,并复制到目的端
4、各分区扇区复制完成后再进行数据同步
5、修改windows启动项并重启
Rainbow进行Linux主机在线文件迁移,全量迁移主要依赖源端tar脚本,再使用rsync脚本进行增量同步与最终同步
Rainbow在迁移windows的场景中,8899端口是源端和目的端agent的管理端口,8900是agent的数据传输端口,445端口是smb文件共享端口
Rainbow在迁移windows的场景中,1888是linux块迁移源端agent管理端口,1889是目的端agent管理端口
Rainbow工具迁移时,在windows端使用pfx类型证书,Linux不涉及pfx证书
Rainbow工具迁移windows主机时,不支持盘类型为共享的磁盘
AB两台VM相互通信时,A将流量发送给B时,A所在的计算节点会判断该流量是否需要跨VPC,如果需要则进行VXLAN封装,并发送给vRouter
统一运营、分级运维的技术框架,是总部与分部全部使用统一一朵云,由总部统一运营,各分部采购自己所需的资源,各分部各自进行本地运维
HCS涉及ECS的流量都不经过brcps
HCS安全防护解决方案中,硬件安全设备和服务一般采用旁挂核心交换机模式部署 出口安全设备和服务一般采用旁路模式部署,用来提升便捷网络的可用性
网络类型VLAN:支持映射到实际网络上,支持内网与外网的连通
LOCAL:不会进入物理网络,支持主机内部互通
HCS标准组网中,核心交换机配置租户VPC访问外网的下一跳指向管理墙
HCS容灾场景中,Global运维区是HCS容灾解决方案的特殊区域,用于管理配置和监控整个容灾方案
HCS中两个网桥之间使用veth pair连接
HCS交付前需要完成的前期准备工作包括HDL方案输出,BOQ输出,硬件设备到货开箱验收
HCS中SC服务中心面向用户,提供统一运营管理平台,OC运维中心面向管理员,提供统一的运维管理平台,OCC运营指挥中心同时面向运营运维人员
HCS中BR网元不需要接入DMZservice平面
HCS的HSS服务是一种集成了主机安全、容器安全、网页防篡改功能的安全产品,主要解决混合云和多云数据中心的负载保护要求。但无法防护数据敏感与数据屏蔽的问题
HCS中CBH主机状态故障时,管理员可在service OM登录进行故障排查
HCS中备份服务通过Karbor组件进行保存和调度备份策略
AB两个虚机需要通信时,如果处于一个VPC的不同子网,不需要进行VXLAN封装,在计算节点内判断时候需要跨VPC,如果需要则将流量进行VXLAN封装,发送给vRouter网元
HCS中CVS网元可以提供健康检查和会话保持功能,根据租户的健康检查策略,用业务网络对业务虚机进行健康检查
HCS中防火墙根据功能不同分为管理墙,运维墙,边界墙,其中边界墙主要用于对租户业务进行保护
管理墙,需要被旁挂到核心交换机侧,用于对管理区和业务区之间的安全防护
管理墙如果遇到无法提供明细路由的流量,就会将其默认核心交换机
HCS云服务中包括
云防火墙基础包CFW
——微隔离
——流量可视
——业务标签
——策略继承
边界防火墙EdgeFW
数据库审计DBAS
数据库安全DBSS
安全指数服务SIS
数据加密服务DEW
云备份服务CSBS-VBS
应用运维管理AOM
应用性能管理服务APW
消息通知服务SMN
分布式缓存服务DCS
华为智慧医保解决方案中,“大支撑”指的是自主可控的第二计算平面与高可用的灾备服务
CSHA是用于在同一个region内做双活 CSDR是跨region做主备的容灾,CSHA+CSDR实现两地三中心容灾,RTO=0 但CSDR RPO≠0
CSDR计划性迁移过程(BCManager eReplication)
1、主节点nova接口停止云服务器
2、主节点调用DRextend启动存储复制
3、备节点调用DRextend启动灾备卷资源,DRextend Driver调用存储进行备端读写
4、备节点nova接口设置占位虚机为正常虚机
5、备节点nova将备端磁盘挂载给云服务,通过cinder完成LUN映射
6、备节点Neutron禁用测试网络,启用容灾恢复网络
7、备节点nova启动云服务器并接入容灾网络
8、主节点nova卸载原生产服务器卷,并锁定原生产服务器
CSBS备份流程:
1、租户通过CSBS控制台进行手工备份、或按照备份策略自动备份
2、karbor启动云服务器备份调度,下发任务到eBackup Manager
3、eBackup Workflow调用FS接口获取云服务和云硬盘信息,并在生产阵列上创建快照,下发任务给ebackup server&proxy进行备份
4、ebackup proxy负责从生产存储快照中读取数据写入备份存储
VBS备份流程:
1、租户通过VBS控制台进行手工备份、或按照备份策略自动备份
2、karbor启动云硬盘备份调度,调用cinder对卷创建快照
3、karbor调用cinder备份接口,通过ebackup Driver通知ebackup server&proxy创建备份卷快照 4、ebackup proxy负责从生产存储快照中读取数据写入备份存储
HCS的CCE(Container Cluster Engine)服务是一种容器集群引擎服务。CCE为用户提供了一种高度可扩展的容器化解决方案,用于部署、管理和运行容器化应用程序
HCS的CCE服务中,要实现HPA策略需要安装metric-server插件
HCS单核心组网应用于业务规模较小时,管理和业务合布的场景;双核心是业务规模较大时,管理和业务分开部署的场景。如果需要物理隔离则必须使用双核心组网
HCS安装CCE时,不需要规划management storage data平面的地址,因为本身就是容器服务 CCE使用Everest插件实现对于IAAS层的调用
HCSD新建工程部署云服务中没有CCE选项,安装CCE后,无法通过HCSD进行自动调测
在安装CCE之前,需要完成ALB上VIP网络等价路由的配置,以确保ALB应用负载均衡器能够正常工作
CC服务于VPC-peering的区别:
VPC-peering主要关注虚拟私有云之间的内部连接,而CC服务则更侧重于实现跨地域、跨云平台的网络连接。
VPC-peering适用于同一云平台内的VPC之间的连接需求,而CC服务适用于不同云平台之间或云与企业数据中心之间的连接需求。
相对于容器隧道网络,VPC网络有着性能较高、容器网络与节点网络相互独立的特点
HCS中,SOC、WAF服务可以和ISAP服务在相同工程中部署,因为同属于高阶安全服务
WAF可以提供CC攻击的防护,防篡改,
WAF只有软WAF一种模式,没有硬WAF
HCS的规划中,支持同一套存储设备创建两套存储池,可以映射给不同cpu架构的AZ;但两套设备无法互相映射,因为跨AZ无法通信
HCS的业务容灾,基于ECS部署的
HCS的FDI数据集成服务,能够提供多种异构数据源灵活转化入户入库能力
HCS网络节点要求6网口,至少是万兆网口 HCS中eSight 是一种网络管理软件,用于监控和管理企业网络设备和服务。
在G/R解耦的场景中,eSight的资源占用需要在Global和Region区域中分别进行计算
G/R合布场景下,首Region管理节点CPU架构需要保持一致;在G/R解耦场景中,Global区管理节点CPU可以和首Region内管理节点CPU架构不一致
在Global独立部署的场景中,Global和Region需要分别单独部署一套FSO、分布式存储、ServiceOM等组件。
HCS三层组网架构中,Underlay网络使用eBGP协议打通不同区域的网络
HCS中,新增的AZ与原有的AZ可以共享网络出口与华为分布式存储的存储池,但不能共享IPSAN/FCSAN提供的存储池
UnionFS联合文件系统是实现docker镜像的技术基础
HCS的云联邦2.0功能能够解决电子政务遇到的“数据不敢共享,不愿共享,不敢使用”的痛点
eDesigner工具是一种用于网络设计和规划的软件。其功能包括1、网络拓扑设计2、网络配置设置3、网络性能评估4、链路规划和优化5、故障模拟和容灾规划
LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录服务的开放标准协议。LDAP服务器是实现LDAP协议的服务器软件,用于存储、管理和提供访问分布式目录数据的服务。常见的LDAP服务器软件包括OpenLDAP、Microsoft Active Directory等。
在VPC内创建一个新子网,相当于让OpenStack创建一个新的Network,然后再创建一个新subnet
横向越权:访问与攻击者拥有同级别权限的用户资源。
预防方法:可用过建立用户和可操作资源的绑定关系,用户对任何资源进行操作,通过绑定关系确保该资源是属于该用户所有
纵向越权:访问比攻击者拥有权限更高级别的用户资源。
预防方法:使用基于角色的访问控制机制,预定义不同权限的角色,为角色分配不同权重,每个用户属于特定角色
数据库、 数据仓库和数据湖之间的区别:
数据库通常用于存储相对较小且高度结构化的数据
数据湖用于存储大量未经处理的原始数据
数据仓库则介于两者之间,通常用于存储结构化和清洗过的数据,以便进行分析和报告
区别还包括数据的处理方式、访问模式、用例等
HTTPS使用HTTP传输,加入了TLS为传输提供身份验证,加密和校验 通过TLS协议,HTTPS提供以下功能:
1、身份验证:TLS协议使用数字证书来验证服务器的身份。客户端可以验证服务器的证书以确保与正确的服务器建立连接。
2、加密:TLS使用对称加密和公钥加密的技术来加密传输的数据。这样,即使在网络传输过程中,第三方也无法读取或篡改传输的数据。
3、完整性校验:TLS使用消息认证码(MAC)来验证数据的完整性。接收方可以确保数据在传输过程中没有被更改。
关于HCS的L2BR二层桥接技术: L2BR 支持将云上的虚拟局域网(VLAN)与云下的物理局域网桥接,实现二层的透明通信。 云上虚拟机和云下物理服务器的MAC地址学习和转发,提供VLAN与网络ACL的安全策略
要进行二层桥接网络,bgp_broker_float_ip与inter_connect网络平面需要提前规划