阿里云服务学习路径图总结
开始探索阿里云的产品和服务,可以发现无限的可能性。
云服务器 ECS
云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。Learning Path 带您由浅入深学习使用和运维 ECS。
云服务器ECS与传统IDC的对比如下表所示。
| 对比项 | 云服务器 | 传统IDC |
|---|---|---|
| 机房部署 | 自主研发的直流电服务器,绿色机房设计,电源利用效率(Power Usage Effectiveness,PUE)低 | 传统交流电服务器设计,PUE高 |
| 骨干机房,出口带宽大,独享带宽 | 机房质量参差不齐,用户选择困难,以共享带宽为主 | |
| BGP(Border Gateway Protocol,边界网关协议)多线机房,全国访问流畅均衡 | 以单线和双线为主 | |
| 操作易用 | 内置主流的操作系统,Windows正版激活 | 需用户自备操作系统,自行安装 |
| 可在线更换操作系统 | 无法在线更换操作系统,需要用户自己重装 | |
| Web在线管理,简单方便 | 没有在线管理工具,维护困难 | |
| 手机验证密码设置,安全方便 | 重置密码麻烦,且被破解的风险大 | |
| 容灾备份 | 多份数据副本,单份损坏可在短时间内快速恢复 | 用户自行搭建,使用传统存储设备,价格高昂 |
| 用户自定义快照 | 没有提供快照功能,无法做到自动故障恢复 | |
| 快速自动故障恢复 | 数据损坏需用户自己修复 | |
| 安全可靠 | 有效阻止MAC欺骗和ARP攻击 | 很难阻止MAC欺骗和ARP攻击 |
| 有效防护DDoS攻击,可进行流量清洗和黑洞 | 清洗和黑洞设备需要另外购买,价格昂贵 | |
| 端口入侵扫描、挂马扫描、漏洞扫描等附加服务 | 普遍存在漏洞挂马和端口扫描等问题 | |
| 灵活扩展 | 开通云服务器非常灵活,可以在线升级配置 | 服务器交付周期长 |
| 带宽升降自由 | 带宽一次性购买,无法自由升降 | |
| 在线使用负载均衡,轻松扩展应用 | 硬件负载均衡,价格昂贵,设置也非常麻烦 | |
| 节约成本 | 使用成本门槛低 | 使用成本门槛高 |
| 无需一次性大投入 | 一次性投入巨大,闲置浪费严重 | |
| 按需购买,弹性付费,灵活应对业务变化 | 无法按需购买,必须为业务峰值满配 |
阿里云RDS
阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务。Learning Path 指导您由浅入深了解 RDS并学习相关的控制台操作。
| 对比项 | 云数据库RDS | 自购服务器搭建数据库服务 |
|---|---|---|
| 服务可用性 | 99.95% | 需自行保障,自行搭建主备复制,自建RAID等。 |
| 数据可靠性 | 99.9999% | 需自行保障,自行搭建主备复制,自建RAID等。 |
| 系统安全性 | 防DDoS攻击,流量清洗;及时修复各种数据库安全漏洞。 | 自行部署,价格高昂;自行修复数据库安全漏洞。 |
| 数据库备份 | 自动备份。 | 自行实现,但需要寻找备份存放空间以及定期验证备份是否可恢复。 |
| 软硬件投入 | 无软硬件投入,按需付费。 | 数据库服务器成本相对较高,对于SQL Server还需支付许可证费用。 |
| 系统托管 | 无托管费用。 | 每台2U服务器每年超过5000元(如果需要主备,两台服务器需超过10000元/年)。 |
| 维护成本 | 无需运维。 | 需招聘专职DBA来维护,花费大量人力成本。 |
| 部署扩容 | 即时开通,快速部署,弹性扩容。 | 需硬件采购、机房托管、机器部署等工作,周期较长。 |
| 资源利用率 | 按实际结算,100%利用率。 | 由于业务有高峰期和低峰期,资源利用率很低。 |
阿里云OSS
对象存储 OSS 是一种海量、安全、低成本、高可靠的云存储服务。学习路径图指导您快速了解 OSS,学习相关的基础操作,并利用丰富的 API 和 SDK 包和便捷工具进行二次开发。
OSS与自建存储对比的优势
| 对比项 | 对象存储OSS | 自建服务器存储 |
|---|---|---|
| 可靠性 |
|
|
| 安全 |
|
|
| 成本 |
|
|
| 数据处理能力 | 提供图片处理、音视频转码、内容加速分发、鉴黄服务、归档服务等多种数据增值服务,并不断丰富中。 | 需要额外采购,单独部署。 |
阿里云CDN
阿里云内容分发网络 CDN 将源站内容分发至最接近用户的节点,使用户可就近取得所需内容,提高用户访问的响应速度和成功率。Learning Path 带您由浅入深了解 CDN 的相关功能和操作。
工作原理
通过以下案例,您可以清楚地了解CDN的工作原理。
假设您的源站域名为www.a.com。接入CDN开始使用加速服务后,当您的终端用户(北京)发起HTTP请求时,实际的处理流程如下:
-
终端用户(北京) 向 www.a.com下的某资源发起请求,会先向 LDNS 发起域名解析请求。
-
当 LDNS 解析 www.a.com 时,会发现已经配置了 CNAME www.a.tbcdn.com。
-
解析请求会发送至阿里云DNS调度系统,并为请求分配最佳节点 IP。
-
LDNS 获取 DNS 返回的解析 IP。
-
用户获取解析 IP。
-
用户向获取的 IP 发起对该资源的访问请求。
-
若该 IP 对应的节点已经缓存了该资源,则会将数据直接返回给用户(如图中步骤7、8),此时请求结束。
-
若该节点未缓存该资源,则节点会向业务源站发起对该资源的请求。获取资源后,结合用户自定义配置的缓存策略(可参考产品文档中的缓存配置),将资源缓存至节点(如图:北京节点),并返回给用户,此时请求结束。
-
阿里云ARMS
业务实时监控服务 ARMS(Application Real-Time Monitoring Service)是一款阿里云应用性能管理(APM)类监控产品。借助本产品,您可以基于前端、应用、业务自定义等维度,迅速便捷地为企业构建秒级响应的业务监控能力。
工作流程
ARMS 工作流程如下图所示:
- 数据收集:ARMS 支持通过配置从 ECS Log、MQ 和 Loghub 上抓取日志。
- 任务定义:
- 通过任务配置来定义实时处理、数据存储、展示分析、数据 API 和报警等任务,从而定义出自己的应用场景。
- 通过前端监控、应用监控等预设场景直接进行业务监控。
- 应用场景:如上所述,除了自定义监控以外,ARMS 还有可直接使用的预设监控场景,包括前端监控、应用监控等。
适用场景
- 业务深度定制监控:可按需深度定制具备业务属性的实时监控报警和大盘。业务场景包括电商场景、物流场景、航旅场景等。
- 前端体验监控:按地域、渠道、链接等维度实时反映用户页面浏览的性能和错误情况。
- 应用性能和异常监控:对分布式应用进行性能异常监控和调用链查询的应用性能管理(APM)能力。
- 统一报警和报表平台:集自定义监控、前端监控和应用监控为一体的统一报警和报表平台。
凭借 ARMS,IT 人员能够在数分钟内搭建和启动基于大数据平台的业务实时监控系统,在充分发挥数据监控时效性的同时提升 IT 人员效率。
阿里云MaxCompute
MaxCompute(原 ODPS)是一项大数据计算服务,它能提供快速、完全托管的 PB 级数据仓库解决方案,使您可以经济并高效的分析处理海量数据。Learning Path 带您由浅入深了解 MaxCompute 及相关功能和操作。
大数据计算服务(MaxCompute,原名ODPS)是一种快速、完全托管的GB/TB/PB级数据仓库解决方案。
当今社会数据收集手段不断丰富,行业数据大量积累,数据规模已增长到了传统软件行业无法承载的海量数据(百GB、TB乃至PB)级别。MaxCompute服务于批量结构化数据的存储和计算,提供海量数据仓库的解决方案及分析建模服务。
由于单台服务器的处理能力有限,海量数据的分析需要分布式计算模型。分布式的计算模型对数据分析人员要求较高且不易维护:数据分析人员不仅需要了解业务需求,同时还需要熟悉底层分布式计算模型。MaxCompute为您提供完善的数据导入方案以及多种经典的分布式计算模型,助您快速解决海量数据的计算问题,有效降低企业成本并保障数据安全。您可以不必关心分布式计算和维护细节,便可轻松完成大数据分析。
阿里云ACM
应用配置管理 ACM(Application Configuration Management)前身为淘宝内部配置中心 Diamond,可简化微服务、DevOps 等场景下的配置管理,并帮助您确保配置安全合规
应用配置管理 ACM(Application Configuration Management)前身为淘宝内部配置中心 Diamond,是一款在分布式架构环境中对应用配置进行集中管理和推送的应用配置中心产品。利用 ACM,您可以在微服务、DevOps、大数据等场景下极大减轻配置管理的工作量,并增强配置管理的服务能力。
在应用生命周期管理中,开发人员通常会将应用中需要变更的一些配置项或者元数据从代码中分离出来,放在单独的配置文件中管理,这些单独管理的内容就称为应用配置。这种分离应用配置的方法是管理应用变更的常见手段之一。发布应用后,运维人员或最终用户可以通过调整配置来适配环境,或调整应用程序的运行行为。
ACM 是面向分布式系统的配置中心。凭借配置变更、配置推送、历史版本管理、灰度发布、配置变更审计等配置管理工具,ACM 能帮助您集中管理所有应用环境中的配置,降低分布式系统中管理配置的成本,并降低因错误的配置变更带来可用性下降甚至发生故障的风险。
传统架构中的配置管理
在传统架构中,如果配置信息有变更,通常需要登录服务器并手动修改配置来使配置生效,如下图。
ACM 配置管理
在 ACM 的配置管理场景下,您只需要在 ACM 控制台上更改配置,配置信息就会自动被推送到各个服务器中,并在秒级延迟内生效。完整的 ACM 产品包括三个主要部分:客户端、服务端和用于配置管理的控制台。
ACM 价值
通过 ACM 管理配置可以为 IT 运维带来以下益处:
- 更新的配置秒级自动下发到各机器,降低配置手动分发的工作量;
- 通过接入 ACM 配置监听接口,各应用端的配置可立即生效,无需重启应用;
- 所有配置监听、更改和版本信息自动记录在案,增强了审计、版本管理、诊断等方面的能力。
相似产品简介
-
ZooKeeper
ZooKeeper 是一个分布式应用程序协调服务,是 Google Chubby 的开源实现。它是一个为分布式应用提供一致性服务的软件,提供的功能包括配置维护、域名服务、分布式同步、组服务等。在 Hadoop 集群等场景下,ZooKeeper 同时充当应用配置管理的角色。但是由于它是 CP(Consistency,Partition Tolerance) 类应用,因此在可用性和性能上都会受到一定影响。
-
etcd
和 ZooKeeper 类似,etcd 是一个高可用的键值存储系统,主要用于配置共享和服务发现。ETCD 是由 CoreOS 开发并维护的,灵感来自于 ZooKeeper 和 Doozer。它使用 Go 语言编写,并通过 Raft 一致性算法处理日志复制以保证强一致性。etcd 和 ZooKeeper 类似,同样可以用来做应用管理配置。但是由于它是强一致的管理类应用,因此其可用性和性能在某些场景会受到一定影响。
-
Spring Cloud Config Server
和 ACM 类似,Spring Cloud Config Server 为服务端和客户端提供了分布式系统的外部配置支持。配置服务器为各应用的所有环境提供了一个中心化的外部配置。与 ACM 不同的是,Spring Cloud 配置服务器默认采用 Git 来存储配置信息,其配置存储、版本管理、发布 等功能都基于 Git 或其他外围系统来实现。除此之外,在配置功能方面,ACM 和 Spring Cloud Config 也有很大不同。
产品对比
以下表格详细描述了 ACM 与 etcd、ZooKeeper 和 Spring Cloud Config 在应用配置管理方面的区别。
| 产品 | ACM | Spring Cloud Config Server | ZooKeeper | ETCD |
|---|---|---|---|---|
| 配置修改 | 直接在 ACM 控制台上进行配置修改 | 一般在 Git 仓库上进行配置修改 | 通过调用 ZK API 修改 | 通过调用 etcd API 修改 |
| 配置自动推送 | 修改过的配置自动推送到监听的客户端 | 客户端只能在启动的时候加载 | 修改过的配置自动推送到监听的客户端 | 修改过的配置自动推送到监听的客户端 |
| API接口 | 基于 RESTful API,同时支持 Java Native 接口,Spring Cloud 接口,和其他语言类接口 | 基于 RESTful API 和 Spring Cloud 规范,同时也支持其他语言客户端 | 支持 Java 原生接口 | 基于 RESTful API 的接口 |
| 版本管理 | 在 ACM 上自动记录各个修改的版本信息 | 通过 Git 间接管理版本 | 不带任何版本控制 | 不带任何版本控制 |
| 配置推送追踪 | 可查询所有客户端配置推送状态和轨迹 | 无法查询配置推送历史 | 无法查询配置推送历史 | 无法查询配置推送历史 |
说明 ACM 不是 CP 类应用,因此和 etcd、ZK 定位不同,ACM 并不适合用于严格的事务类配置服务,例如分布式锁。
阿里云EDAS
企业级分布式应用服务 EDAS 是以分布式应用为中心的 PaaS 平台。能够协助您进行 IT 系统转型,以满足不断增长的业务需求
EDAS 充分利用阿里云的资源管理和服务管理系统,并在此基础上提供了一系列强大的功能,包括分布式服务框架、服务治理、统一配置管理、分布式链路跟踪、高可用及数据化运营等。这些功能在阿里巴巴集团内部经过核心电商平台多年严苛的测试。
通过 EDAS,可以轻松构建微服务架构,发布和管理应用,数字化剖析系统监管应用运行状态以及构建分布式系统。EDAS 协助您进行 IT 系统转型,以满足不断增长的业务需求。
应用发布与管理
在云环境中,应用发布与管理会变得十分复杂。本地开发完成的应用需要登录到每一台服务器进行发布和部署,并且要对每一个应用进行增删改查缩容扩容等生命周期管理。服务器的不断增加需要越来越多的运维人员来维护,这对公司的业务拓展会产生巨大的成本和造成很多阻碍。
针对这个场景,EDAS 提供了一个可视化的控制台,无论集群规模多大,都可以在控制台上方便地发布应用并轻松地进行应用生命周期管理。
数字化剖析系统监管应用运行状态
应用开发完毕部署到生产环境之后,通常需要对应用运行状态进行一些监控,比如 CPU 使用率、机器负载、内存使用率和网络流量等。但此类基础监控通常满足不了业务需求,比如系统运行变慢却无法定位瓶颈所在,或者页面打开出错但是无法排查具体调用错误等。
EDAS 提供了一系列系统数据化运营组件,针对分布式系统的每一个组件和每一个服务进行精细化的监控和跟踪,建立数字化剖析系统,帮助您精准的找到系统瓶颈所在。
构建分布式系统
当集中式应用转变成分布式系统后,系统之间的可靠调用一致依赖、中间件运维、问题排查都是分布式架构的难题。
EDAS 支持 Dubbo 、Spring Cloud 、HSF 等多种主流的 RPC 框架,并提供了扩展支持。这个框架久经阿里巴巴内部系统考验,在双十一等极端挑战下表现出了卓越的性能和稳定性。EDAS帮您解决了各个应用之间的分布式服务发现、服务路由、服务调用以及服务安全等细节,让您能专注于业务开发。EDAS 同时提供高可用低成本的中间件服务端,让您从中间件运维的繁琐工作中解脱出来,节约了您的时间和人力成本。EDAS 同时提供完善的全链路跟踪监控方案,让您在应用出错时迅速定位问题,以便解决问题减少该问题造成的损失。
构建闭环式的研发运维体系
随着互联网+的不断兴起,“科技+行业”的融合创新已经成为行业转型的核心策略。比如金融+科技造就了众安保险、天弘基金、网商银行等创新金融企业,塑造了行业转型的标杆。为了能够更好地支撑业务的创新,如何塑造企业的共享业务中台,如何支撑互联网架构下研发工程效率的提升,将会是企业遇到的核心挑战。
EDAS DevOps 版是业内领先的面向企业的一站式研发效能平台,通过项目管理流程和专项提效自动化工具,真正实现24小时持续集成持续交付。
阿里云WAF
WAF 是阿里云云盾提供的 Web 应用防火墙,帮助您监控网站上的 HTTP/HTTPS 访问请求,并通过自定义过滤规则和启用多种 Web 防护功能帮助您部署网站访问控制
云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。
您购买Web应用防火墙后,把域名解析到Web应用防火墙提供的CNAME地址上,并配置源站服务器IP,即可启用Web应用防火墙。启用之后,您网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
阿里云云盾Web应用防火墙具备以下优势。
五分钟体验网站安全
- 无需安装任何软、硬件。
- 无需更改网站配置、代码。
- 只需修改DNS记录,五分钟实现网站Web安全。
强大Web防御能力
- 内置近千条安全防护规则,每周均有规则的新增和优化。
- Web 0Day漏洞补丁修复,24小时内防护,全球同步。
- 专业攻防团队进行漏洞研究,捕获0Dday漏洞并生成防护规则。
- 通过大数据平台分析规则优化,整体误报率控制在十万分之一以内。
网站专属防护
支持业务精准防护、快速过滤恶意流量、如保护管理后台、恶意IP封禁、特定URL加白等功能。
大数据安全能力
- 每日对数十亿条数据进行安全分析,提取规则同步到所有用户,进行协同防御。
- 不断通过大数据分析丰富恶意IP库、恶意样本库,建立网站的可信源。
检测快、防护稳
- 一毫秒内检测攻击并防护生效,防护无延时。
- 新的防护规则一分钟内全球同步。
- 覆盖OWASP常见的10余种威胁攻击。
- 全年稳定在线可用。
高可靠、高可用的服务
- 全自动检测和攻击策略匹配,实时防护。
- 清洗服务可用性高达99.99%。
阿里云RAM
RAM(Resource Access Management)是阿里云为客户提供的用户身份管理与访问控制服务
RAM (Resource Access Management) 是阿里云为客户提供的用户身份管理与资源访问控制服务。使用 RAM,您可以创建、管理 RAM 用户(比如员工、系统或应用程序),并可以控制这些 RAM 用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用 RAM 可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。
使用 RAM 进行身份管理和资源访问控制
RAM 允许在一个云账户下创建并管理多个用户身份,并允许给单个身份或一组身份分配不同的权限策略,从而实现不同用户拥有不同的云资源访问权限。
用户身份
RAM 用户身份是指任意通过控制台或 OpenAPI 操作阿里云资源的人、系统或应用程序。为了支持多种应用场景的身份管理,RAM 支持两种不同的用户身份类型:RAM 用户和 RAM 角色。
- RAM 用户:一种实体身份,有确定的身份 ID 和身份认证密钥,它通常与某个确定的人或应用程序一一对应。
- RAM 角色:一种虚拟身份,有确定的身份 ID,但没有确定的身份认证密钥。
RAM 角色需要与某个实体身份进行关联之后才能被使用。一个 RAM 角色可以与多种实体身份关联:
- 与当前云账号下的 RAM 用户关联。
- 与其它云账号下的 RAM 用户关联。
- 与阿里云服务(EMR/MTS/…)关联。
- 与外部实体身份(如企业本地账号)关联。
权限策略
RAM 允许在云账号下创建并管理多个权限策略,每个权限策略本质上是一组权限的集合。管理员可以将一个或多个权限策略分配给 RAM 用户(包括 RAM 用户和 RAM 角色)。
RAM 权限策略语言可以表达精细的授权语义,可以指定对某个 API-Action 和 Resource-ID 授权,也可以支持多种限制条件(源 IP、访问时间、多因素认证等)。
云账户与 RAM 用户的关系
- 从归属关系来看,云账户与 RAM 用户是一种主子关系。
- 云账户是阿里云资源归属、资源使用计量计费的基本主体。
- RAM 用户只能存在于某个云账户下的 RAM 实例中。RAM 用户不拥有资源,在被授权操作时所创建的资源归属于主账户;RAM 用户不拥有账单,被授权操作时所发生的费用也计入主账户账单。
- 从权限角度来看,云账户与 RAM 用户是一种 root 与 user 的关系(类比 Linux系统)。
- Root 对资源拥有一切操作控制权限。
- User 只能拥有被 root 所授予的某些权限,而且 root 在任何时刻都可以撤销 user 身上的权限。
使用 RAM 进行企业级云资源管理
RAM 适用具有如下特点的企业场景:
- 简单管理每个操作人员(或应用)的账号及权限。
- 不需要分别核算每个操作人员(或应用)的成本和费用。
其具体需求如下图所示:
图 1. 企业场景
- 企业只需使用一个云账号(比如 [email protected])。
- 所有资源都归属于该云账号的名下,云账号是资源的 Owner(掌握完全控制权的人),也是账单的支付者。
- 通过 RAM 为您名下的操作员(对资源进行运维管控操作)创建独立的 RAM 用户并进行授权管理。
- RAM 用户不拥有资源(对其所创建的资源默认没有访问权限),只能操作被授权的资源。
- RAM 用户操作所发生费用都计入主账号名下,不支持 RAM 用户的独立计量计费。
RAM 的典型应用场景包括:企业子账号管理与分权、不同企业之间的资源操作与授权管理和针对不可信客户端 app 的临时授权管理。
企业子账号管理与分权
企业 A 购买了多种云资源(如 ECS 实例/ RDS 实例/ SLB 实例/ OSS 存储桶/…),企业的员工需要操作这些云资源,比如有的负责购买,有的负责运维,还有的负责线上应用。由于每个员工的工作职责不一样,需要的权限也不一样。
需求说明:
- 出于安全或信任的考虑,A 不希望将云账号密钥直接透露给员工,而希望能给员工创建相应的用户账号。
- 用户账号只能在授权的前提下操作资源,不需要对用户账号进行独立的计量计费,所有开销都计入A 账号名下。
- A 随时可以撤销用户账号的权限,也可以随时删除其创建的用户账号。
不同企业之间的资源操作与授权管理
A 和 B 代表不同的企业。A 购买了多种云资源(如 ECS 实例/ RDS 实例/ SLB 实例/ OSS 存储桶/…)来开展业务。
需求说明:
- A 希望能专注于业务系统,而将云资源运维监控管理等任务委托或授权给企业 B。
- 企业 B 可以进一步将代运维任务分配给 企业 B 的员工,从而可以精细控制其员工对 A 的云资源操作权限。
- 如果 A 和 B 的这种代运维合同终止,A 随时可以撤销对 B 的授权。
针对不可信客户端 app 的临时授权管理
企业 A 开发了一款移动 app,并购买了 OSS 服务。移动 app 需要上传数据到 OSS(或从 OSS 下载数据)。
需求说明:
- A 不希望所有 app 都通过 appServer 来进行数据中转,而希望让 app 能直连 OSS 上传/下载数据。
- 由于移动 app 运行在用户自己的终端设备上,这些设备并不受 A 的控制。出于安全考虑,A 不能将访问密钥保存在移动 app 中。
- A 希望将安全风险控制到最小,比如,每个移动 app 直连 OSS 时都必须使用最小权限的访问令牌,而且访问时效也要很短(比如 30 分钟)。
云解析DNS
阿里云解析是面向全网域名开放的域名智能解析服务,提供强大稳定的解析调度入口,带来顺畅的访问体验。云解析学习路径图助您快速由浅入深,享受云解析的便利
阿里云VPC
专有网络 VPC(Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离
物联网平台
阿里云物联网平台(IoT Platform)可以帮助设备数据快速上云,提供云端设备管理能力,支持使用规则引擎将设备数据无缝流转至其他云产品
IoT Hub
IoT Hub帮助设备连接阿里云IoT服务,是设备与云端安全通信的数据通道。IoT Hub支持PUB/SUB与RRPC两种通信方式,其中PUB/SUB是基于Topic进行的消息路由。
IoT Hub具有下列特性:
- 高性能扩展:支持线性动态扩展,可以支撑十亿设备同时连接。
- 全链路加密:整个通信链路以RSA,AES加密,保证数据传输的安全。
- 消息实时到达:当设备与IoT Hub成功建立数据通道后,两者间将保持长连接,以减少握手时间,保证消息实时到达。
- 支持数据透传: IoT Hub支持将数据以二进制透传的方式传到自己的服务器上,不保存设备数据,从而保证数据的安全可控性。
- 支持多种通信模式:IoT Hub支持RRPC和PUB/SUB两种通信模式,以满足您在不同场景下的需求。
- 支持多种设备接入协议:支持设备使用CoAP、MQTT、HTTPS协议接入物联网平台。
设备管理
物联网平台为您提供功能丰富的设备管理服务。包括:生命周期、设备组、设备影子、固件升级、物模型、数据解析、在线调试、远程维护、数据存储、实时监控等。不同版本的物联网平台设备管理功能有所不同,具体请参考产品规格。
规则引擎
当设备基于Topic进行通信时,您可以编写SQL对Topic中的数据进行处理,然后配置转发规则将数据转发到其他Topic或阿里云服务上。例如:
- 可以转发到RDS、Table Store、TSDB中进行存储。
- 可以转发到DataHub中进而使用Streamcompute进行流计算,使用MaxCompute进行大规模离线计算;或转发到函数计算进行事件计算。
- 转发到消息队列MQ实现高可靠消费数据。
- 可以将Topic中的数据处理转发到另一个Topic中实现M2M通信。
安全认证&权限策略
安全是IoT的重要话题。阿里云物联网平台提供多重防护保障设备云端安全。
- 物联网平台为每个设备颁发唯一证书,设备使用证书进行身份验证连接IoT Hub。
- 针对不同安全等级和产线烧录的要求,物联网平台为开发者提供了多种设备认证方式。
- 授权粒度精确到设备级别,任何设备只能对自己所属的Topic发布订阅消息,服务端凭借阿里云AK对账号下所属的Topic进行操作。
阿里云容器服务
容器服务(Container Service)提供高性能可伸缩的容器应用管理服务,支持用 Docker 和 Kubernetes 进行容器化应用的生命周期管理
容器服务的基础架构如上图所示,其中:
- 集群管理服务:提供Docker集群管理和调度。
- 服务发现:提供Docker的状态等元数据存储。
- Agent 通信服务:提供每台宿主机和集群管理服务之间的通信服务。
- 集群 API:对外暴露阿里云统一的OpenAPI能力。
- 服务 API:对外暴露兼容Docker Swarm的API能力。
阿里云云监控
云监控(CloudMonitor)作为云服务的监控管理入口,能让用户快速了解各产品实例的状态和性能
阿里云日志服务
阿里云日志服务(Log Service,简称LOG)是针对实时日志数据的一站式服务,提供日志类数据采集、消费、投递及查询分析功能,全面提升海量日志处理和分析能力
函数计算
函数计算是事件驱动的全托管无服务器计算服务。
DLA
Data Lake Analytics(简称DLA)是无服务器化的云上交互式查询分析服务,通过标准JDBC对阿里云OSS、Table Store、RDS中的数据进行查询和分析。Learning Path带您由浅入深学习和使用DLA。