公有云	名称
国内	阿里云、华为云（政务云）、腾讯云
国外	AWS（亚马逊云）、CloudFlare、GCP（谷歌云）、Azure（微软云）

阿里云

新人用户注册阿里云可免费领取3个月2c2g云服务器，同时还可以搜索99计划，以99元购买2c2g一年的云服务器。

云服务器有什么用？

你可以搭建和我一样的博客网站，还可以部署游戏、服务、自己开发的系统。

阿里云入门教程：

1.注册与登录阿里云账户

2.领取免费 3 个月，做测试用（蜜罐平台 hfish.net）

3.选择 99 元/年，2核心2G内存 40G硬盘 3M带宽的云服务器

4.购买后配置

5.远程连接云服务器

6.域名

7.备案

8.DNS 解析

注册与使用

新人注册免费 3 个月云服务器

参考链接：https://free.aliyun.com/

ECS 99元实例（99 计划也仅限新用户）

参考链接：https://www.aliyun.com/benefit?spm=5176.29188366.J_hvfZ8uTmEQ5FL2yzbWOAH.2.1eaa3e4dLzOgLV&scm=20140722.M_10513598._.V_1

或者https://www.aliyun.com/minisite/goods?userCode=5xu3fuqz

购买 OSS 存储包（云服务 ECS--->快照）

如何远程登录云主机？

步骤 1：远程连接云看，进入操作窗口

控制台--->ECS 管理（左上角橙色三个杠）--->云服务器 ECS--->实例--->远程连接

步骤 2：关闭防火墙、开启远程连接、修改ssh配置文件(改端口等)

切换 root：sudo su -

更改 root 密码：passwd

修改基本配置：关闭防火墙、开启远程连接、修改ssh配置文件(改端口等)

步骤 3：配置安全组策略（云上的防火墙）

远程连接工具（Xshell、HexHub 等）进行连接，用云的公网 IP

公有云的使用

本地连接（重置 root 密码）

重置系统（重新初始化云盘）

快照（记得购买 OSS 存储包，一年 9 元 40G）

域名（域名查询与购买）

参考链接：https://wanwang.aliyun.com/

或者https://wanwang.aliyun.com/domain/?spm=5176.21213303.J_ZGek9Blx07Hclc3Ddt9dg.1.27e62f3dwaGOG6&scm=20140722.S_card@@%E4%BA%A7%E5%93%81@@3417315.S_new~UND~card.ID_card@@%E4%BA%A7%E5%93%81@@3417315-RL_%E5%9F%9F%E5%90%8D-LOC_2024SPSearchCard-OR_ser-PAR1_213e053717592262536168291e5239-V_4-RE_new5-P0_0-P1_0

备案（检查域名是否可以备案）

参考链接：https://beian.aliyun.com/

DNS 解析

阿里云按需付费的服务创建与使用

所部署的服务	作用
docker,docker-compose	容器部署
部署 kodbox 业务	kodbox 开源代码
mysql	数据存储
redis	缓存
OSS 存储	文件，音频等资源存储

1. 创建 ECS 服务器与专有网络

根据业务情况选择合适的配置，我这里演示就选择最小配置 1C2G

选择 Rocky 系统 ARM 架构（选择你擅长的系统）

2. 创建云数据库 RDS

3. 创建缓存 redis（云数据库 Tair）

创建 redis 实例后设置白名单

4. 对象存储 OSS 创建存储桶（Bucket）与创建子账号 RAM 访问控制

创建子账号 RAM 访问控制

RAM：

访问控制，子账号，类似于 linux 普通用户+sudo 权限
管理云资源的权限（云产品）
使用永久 AccessKey 访问

应用场景：

刚入职的运维人员
开发人员代码中调用资源
二次开发

创建用户并授权（本案例是创建可道云，对 OSS 有读写权限所以给 full）

最后将存储挂载到可道云

上传验证

可以看到上传的 txt 文件已经同步到 OSS 存储了

5. 镜像/同业务克隆

克隆

镜像选择自定义镜像，选择我们刚创建的自定义镜像

6. 负载均衡（CLB、ALB、NLB）

对比项	ALB（7 层负载）	NLB（4 层负载）	CLB（七层与四层:域名、URI）
产品定位	强大的七层处理能力与丰富的高级路由功能聚焦HTTP、HTTPS和QUIC应用层协议面向应用层交付	强大的四层处理能力与大规模SSL卸载功能聚焦TCP、UDP和TCPSSL协议面向网络层交付	具备良好的四层和基础的七层处理能力支持TCP、UDP、HTTP和HTTPS协议
产品架构与性能	基于NFV虚拟化平台，支持弹性伸缩单实例最大支持100万QPS	基于NFV虚拟化平台，不依赖物理机，支持弹性和快速扩容等需求单实例最大支持1亿并发	基于物理机架构单实例最大支持100万并发、5万QPS
转发能力	丰富七层特性，基于内容的路由 HTTP标头改写、重定向、重写、限速等	丰富四层高级特性，支持TCPSSL卸载洪峰限速、优雅中断、Anyport等	四、七层基础能力仅支持基于域名或URL转发
后端业务类型	云服务器ECS 弹性网卡ENI 弹性容器实例ECI IP地址函数计算FC	云服务器ECS 弹性网卡ENI 弹性容器实例ECI IP地址	云服务器ECS 弹性网卡ENI 弹性容器实例ECI
运维能力	自动弹性处理能力随着业务峰值自动伸缩，无需人工干预	自动弹性处理能力随着业务峰值自动伸缩，无需人工干预	按规格售卖模式下需要主动管理规格需要预估业务峰值
云原生集成	云原生Ingress网关流量拆分、流量镜像、灰度发布、蓝绿测试	支持ACK/ASK集成（1.24版本以后）	支持较弱，需要与阿里云ACK或ASK等容器服务结合使用
典型应用场景	互联网应用七层高性能自动弹性场景音视频应用大流量低时延场景云原生应用金丝雀蓝绿发布场景	四层大流量高并发业务场景物联网、车联网等IoT业务入口多活容灾、IDC云上出入口场景	网站、系统四层流量分发高可靠场景大并发高性能网络分流场景同城灾备、跨地域容灾场景

6.1. 购买 CLB 负载实例(CLB 可做七层或四层负载)

将其中一台页面改为： echo "fanxuxu aliyun test lb" > /usr/share/nginx/html/index.html

多次刷新，方便我们更直观的看负载转发到后端哪一台主机上

6.2. 给负载做 https（http--->https）

记得在云解析 dns 中添加域名 A 记录，然后回到 SLB，证书管理中点击创建证书

域名访问验证

6.3. 后端 URI 的跳转(域名下多个 URI 的跳转)

给 web02 创建一个 admin 的 URI 页面

将默认组规则删除

创建虚拟组规则

6.4. ALB 四层负载

获得 DNS 的域名（它给的不是 IP，所以要做 CNAME 记录）

dns 云解析做 CNAME 记录（别名记录）

再创建服务器组

再去实例中设置监听

回到实例---监听---设置转发规则

测试：根据不同请求头信息做跳转

测试正常再做 80 跳转 443（http--->https）

7. CDN 缓存

7.1. 配置 CDN

安装 nginx 并开机自启

yum -y install nginx

systemctl enable --now nginx

第一次用 CDN 会有一个 TXT 记录验证，在云解析 DNS 中添加

云解析 DNS 添加 CNAME 记录

变成正常后访问 cdn

F12 看一下响应标头，HIT 是命中缓存，MISS 是没有缓存

页面刷新与预热，先创建点页面

先打开 F12，再访问。

CDN配置了预热，为什么还是MISS？

Via: cache29.l2cn3022[28,28,200-0,H], cache74.l2cn3022[30,0], kunlun8.cn8037[709,709,200-0,M], kunlun1.cn8037[711,0]

x-cache: MISS TCP_MISS dirn:-2:-2

预热为：源站预热(离网站近的 CDN)与边缘节点预热(离用户近的 CDN)

Via 其中有一个 H，表示该节点已成功缓存资源（预热生效），可能是源站预热，

7.2. 预热与刷新的区别？

预热：提前将资源缓存到 CDN 上

刷新：用于网站更新时--->删除旧缓存，再预热获取新缓存

维度	CDN 预热（Preload/Cache Prefetch）	CDN 刷新（Purge/Refresh）
核心目的	提前将源站资源缓存到 CDN 节点，避免用户首次请求 “MISS”	强制删除 CDN 节点上的过期 / 错误缓存，让后续请求回源获取最新资源
操作本质	主动 “推” 资源到 CDN 节点（CDN 主动向源站拉取并缓存）	主动 “删” 节点上的缓存（不影响源站资源）
触发时机	资源未被缓存、即将大量访问前（如大促、新功能上线）	资源已更新、缓存内容错误 / 过期（如静态资源迭代、配置修改）
影响范围	仅缓存指定资源，不影响已有缓存	删除指定资源 / 目录的缓存，后续请求需重新回源缓存
资源状态	源站资源必须存在且可访问（否则预热失败）	源站资源可存在（更新后）或不存在（需删除无效缓存）
缓存命中效果	预热成功后，用户请求直接命中 CDN（HIT）	刷新后，首次请求回源（MISS），之后重新缓存（HIT）
执行耗时	取决于资源大小、节点数量（全网预热可能需数分钟到 1 小时）	执行较快（一般秒级到分钟级生效）
常见限制	单任务资源数量 / 大小有限制（如单任务≤1000 个 URL，单文件≤10GB）	单日刷新次数 / URL 数量有限制（如单日≤10000 次，目录刷新慎⽤）
响应头特征	预热成功后，边缘节点返回`X-Cache: HIT`	刷新后首次请求返回`X-Cache: MISS`，重新缓存后变为 HIT

7.3. CDN 配置 HTTPS

a. 创建证书

b. 配置证书

c. 验证 https

7.4. 命中率地，提升命中率

获取 CDN 日志，离线日志/实时日志
过滤日志中 MISS 状态，状态码是 200,301,302，获取地址
浏览器检查页面，访问
F12
配置刷新/预热
调整缓存时间
配置 cdn 缓存忽略功能

在curl -v https://ssl.kebumt.cn/index.html?name=3ryh2398 时，

x-cache: MISS TCP_MISS dirn:-2:-2 显示 MISS，因为没有缓存，所以没有命中。

具体删除哪些参数，和开发人员看

此时设置了忽略参数，访问：curl -v https://ssl.kebumt.cn/index.html?name=suibianxiede

< x-cache: HIT TCP_MEM_HIT dirn:11:443798070 显示 HIT 表示命中

8. WAF 防火墙

8.1. DNS+WAF

vim /etc/nginx/nginx.conf
http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"'
                      '"$http_waf" "$http_kebumt"';
                      
tail -f  /var/log/nginx/access.log

47.110.182.116 - - [08/Dec/2025:17:50:26 +0800] "GET / HTTP/1.1" 200 7620 "-" "Mozilla/5.0(compatible;MSIE10.0;WindowsNT6.2;WOW64;Trident/6.0;.NET4.0E;.NET4.0C;InfoPath.3)" 
"62.113.113.43, 61.241.120.24, 47.110.182.116""aliyun" "fanxuxu"

表示经过防火墙