跳转至

2.1 云服务器 CVM 及最佳实践

课程简介

云服务器(Cloud Virtual Machine,CVM)是腾讯云提供的可扩展的计算服务,是构建云上应用的最基础单元。本课程将从底层架构原理出发,深入解析 CVM 的产品特性,并重点讲解如何根据业务场景进行科学选型、成本优化以及实施高标准的安全与备份策略。

学习目标

通过本课程的学习,您将能够:

  • 理解底层原理:掌握 CVM 的虚拟化架构(VStation)及计算、网络、存储解耦原理。
  • 精准选型:读懂实例命名规则,能根据业务特征(计算密集/内存密集等)选择最优机型。
  • 架构设计:掌握跨可用区高可用部署方案及相关网络规划。
  • 数据保障:实施基于快照和镜像的“3-2-1”数据备份策略。
  • 安全基线:熟练配置安全组、网络 ACL 及主机安全防护,构建防御体系。

第一部分:云服务器 CVM 基础架构

本部分导读
了解 CVM 是如何“跑”起来的,有助于我们更好地理解其弹性与高可用特性。本节将揭示 CVM 的底层技术架构。

一、CVM 产品概述

1.1 定义与核心价值

云服务器 CVM 是一种在云端提供的弹性计算服务。用户无需提前购买硬件,即可在几分钟内获取任意数量的计算实例。

CVM 与传统物理机(IDC)对比:

维度 传统 IDC 服务器 云服务器 CVM 核心价值
交付效率 采购、上架、部署需数周 分钟级即开即用 极大缩短业务上线周期
运维管理 需维护硬件、网络设备 托管式服务,仅需关注操作系统及应用 降低运维人力成本
弹性能力 扩容困难,需预留大量冗余资源 支持垂直升降配、水平自动伸缩 资源利用率提升 50%+
成本模式 CAPEX(固定资产投入) OPEX(按量/包年包月),按需付费 现金流压力小,试错成本低
高可用性 单点故障风险高,需自建容灾 硬件故障自动迁移,多副本存储 内置 SLA 保障

1.2 腾讯云 CVM 架构原理

CVM 基于计算、网络、存储分离的架构设计,确保了各组件的独立扩展性和高可靠性。

1.2.1 底层三层解耦架构

graph TD
    User[用户 / API] --> VStation[VStation 调度层<br>(资源调度与生命周期管理)]

    subgraph 基础设施层
    VStation --> Compute[计算资源池<br>KVM/星星海服务器]
    VStation --> Network[网络资源池<br>VPC/SDN]
    VStation --> Storage[存储资源池<br>CBS 云硬盘]
    end

    Compute -- 挂载 --> Storage
    Compute -- 接入 --> Network
  • 计算层 (Compute):基于 KVM 虚拟化技术(及腾讯自研“星星海”硬件),提供 CPU 和内存资源。
  • 网络层 (Network):基于 VPC(虚拟私有云)和 SDN 技术,提供隔离的网络环境。
  • 存储层 (Storage):基于 CBS(云硬盘),通过网络挂载到计算节点,实现数据持久化。

1.2.2 实例创建全流程

当您点击“购买”时,后台发生的操作: 1. 调度:VStation 系统根据算法选择负载最优的物理宿主机。 2. 网络申请:在 VPC 中分配私有 IP,配置虚拟网卡。 3. 存储生产:在 CBS 集群中划分存储块,通过 IO 路径挂载到宿主机。 4. 虚拟化启动:下发指令启动 KVM 虚拟机,加载操作系统镜像。

二、CVM 的核心优势

2.1 极高的弹性 (Elasticity)

  • 纵向扩展 (Scale Up):业务升级时,可在线或关机将 4核 8G 升级为 16核 32G。
  • 横向扩展 (Scale Out):结合弹性伸缩(AS),在流量高峰自动增加实例数量,低谷自动减少。

2.2 行业领先的稳定性

  • 热迁移技术:当底层物理机检测到硬件故障风险时,系统会自动将您的 CVM 热迁移到健康的物理机,业务过程零感知
  • 置放群组:支持将多台 CVM 分散部署在不同物理机架上,避免单点硬件故障影响集群。

2.3 全球化部署

腾讯云在全球 27+ 个地理区域(Region)、70+ 个可用区(Zone)通过光纤骨干网互联。 - Region(地域):物理隔离,如广州、上海、新加坡。 - Zone(可用区):同地域内电力和网络独立的物理数据中心,如广州三区、广州四区。

第二部分:CVM 选型指南

本部分导读
面对几百种实例规格,如何选择最适合业务且性价比最高的机型?本节提供标准化的选型方法论。

一、选型四步法

1. 选地域/可用区 → 2. 选实例规格 → 3. 选镜像/存储 → 4. 选计费模式

1.1 第一步:地域与可用区选择

黄金法则: 1. 就近原则:选择距离目标用户最近的地域,降低网络延迟(如用户在珠三角选广州,在长三角选上海)。 2. 合规原则:数据必须留在境内的业务不能选海外地域。 3. 高可用原则:生产环境务必选择同地域下的不同可用区进行部署(同城容灾)。 4. 内网互通:需要内网互通的云产品(如 CVM 和 RDS),必须在同一 VPC 内(通常需在同地域)。

1.2 第二步:实例规格选择

1.2.1 读懂实例命名

例如:S6.MEDIUM4 - S:系列代号(S=Standard 标准型,C=Compute 计算型,M=Memory 内存型)。 - 6:代际(数字越大越新,推荐使用最新一代,性价比通常更高)。 - MEDIUM4:具体配置(表示 2核 4G,后缀数字通常代表内存与 CPU 的比例)。

1.2.2 主流实例类型详解

类型 系列代号 特点 (CPU:内存) 适用场景 推荐机型
标准型 S 均衡 (1:2 或 1:4) Web 服务器、中小型数据库、企业办公 S5, S6, SA3(AMD)
计算型 C CPU 强劲 (1:2) 批处理、游戏服务器、高性能 Web 前端 C6, C5
内存型 M 内存充足 (1:8) Redis/Memcached、高性能数据库、大数据处理 M6, M5
高 I/O 型 IT 本地 NVMe SSD NoSQL (MongoDB/Elasticsearch)、低延迟应用 IT5
大数据型 D 海量本地 HDD Hadoop/Spark 集群、日志分析 D3
GPU 型 GN/GT 搭载 NVIDIA 显卡 深度学习训练/推理、图形渲染、视频编解码 GN7, GN10

1.2.3 选型避坑指南

  • Web 应用:首选 S 系列(标准型),性价比最高。
  • Java 应用:由于 JVM 吃内存,优先考虑内存配比更大的机型。
  • 数据库:生产环境数据库强烈建议使用 M 系列(内存型),并配合 SSD 云硬盘。
  • 视频转码:如需 CPU 转码选 C 系列,如需 GPU 加速选 GN 系列

1.3 第三步:镜像与存储

  • 镜像 (Image)
    • 公共镜像:纯净的 OS(CentOS, Ubuntu, Windows Server),适合运维能力强的用户。
    • 市场镜像:预装了环境(如 LAMP, WordPress, Java),适合快速建站。
    • 自定义镜像:用于标准化部署和批量扩容。
  • 系统盘/数据盘
    • 高性能云硬盘:入门级。
    • SSD 云硬盘:主流选择,性能稳定。
    • 增强型 SSD:极高性能,适合核心数据库。

1.4 第四步:计费模式优化

模式 适用场景 成本特点 优化建议
包年包月 7x24 小时运行的核心业务(Web Server, DB) 单价最低,预付费 购买时长越长折扣越高(3年约 5 折)
按量计费 突发业务、临时测试、弹性扩容节点 灵活性高,单价稍高 用完即销毁,避免闲置扣费
竞价实例 可中断的非关键任务(图像处理、大数据分析) 超低价(1-2 折) 系统可能会强制回收,必须做好断点续传

第三部分:CVM 最佳实践

一、高可用架构设计 (High Availability)

单机永远是不可靠的,架构设计必须面向失败。

1.1 跨可用区容灾架构

不要将所有鸡蛋放在一个篮子里。

graph TD
    User[用户流量] --> CLB[负载均衡 CLB<br>(跨可用区绑定)]

    subgraph 广州地域
        subgraph 可用区 A
            Server1[CVM 实例 1]
        end

        subgraph 可用区 B
            Server2[CVM 实例 2]
        end
    end

    CLB --> Server1
    CLB --> Server2
- 部署方案:在广州三区购买一台 CVM,在广州四区购买另一台 CVM。 - 流量分发:使用负载均衡(CLB)将流量分发到两个可用区的实例。 - 效果:即使广州三区发生机房级故障(如断电),业务仍可通过广州四区继续运行。

二、数据备份策略

遵循 3-2-1 备份原则:3 份数据,2 种介质,1 个异地备份。

2.1 云硬盘快照 (Snapshot)

  • 机制:基于数据块的增量备份。
  • 策略
    • 关键业务:开启定时快照,每小时或每天凌晨自动备份。
    • 高危操作前:在系统升级、打补丁前,必须手动创建快照。
    • 快照回滚:当由于误操作导致数据丢失或系统崩溃时,可一键回滚到指定时间点。

2.2 自定义镜像 (Custom Image)

  • 用途:备份整个系统盘环境(含 OS、应用环境、配置)。
  • 场景:用于制作标准启动模板,结合弹性伸缩(AS)批量创建配置完全一致的实例。

三、安全配置基线

3.1 安全组 (Security Group) —— 第一道防线

安全组是有状态的虚拟防火墙,作用于实例级别

最佳实践配置原则: 1. 白名单机制:默认拒绝所有,只开放必要的端口。 2. 最小权限原则:不要开放 0.0.0.0/0 的全端口访问。

规则方向 协议端口 源地址/目标 策略 说明
入站 TCP:22 (Linux) 管理员 IP 或 堡垒机 IP 允许 远程 SSH 管理(严禁对公网全开)
入站 TCP:3389 (Win) 管理员 IP 或 堡垒机 IP 允许 远程桌面管理
入站 TCP:80/443 0.0.0.0/0 允许 Web 服务对外提供访问
入站 TCP:3306 (MySQL) Web 服务器的安全组 ID 允许 仅允许内网应用服务器访问数据库

3.2 网络 ACL —— 子网级防护

网络 ACL 是无状态的包过滤规则,作用于子网级别。它作为安全组之外的第二道防线。

3.3 主机安全 (CWP/云镜)

  • 功能:异地登录报警、密码暴力破解阻断、高危漏洞扫描、木马查杀。
  • 建议:所有生产环境 CVM 必须安装并保持 Agent 在线,定期查看安全控制台的体检报告。

3.4 密钥对登录

  • 痛点:传统密码容易被暴力破解,且多人共享密码管理混乱。
  • 方案:使用 SSH 密钥对登录 Linux 实例。
  • 优势:安全性远高于密码,且支持免密登录,方便自动化运维。

课程总结

知识点回顾

  1. 核心概念:CVM 是计算、网络、存储的集合体,具备分钟级交付和弹性伸缩能力。
  2. 实例选型
    • 通用 Web 选 S 系列
    • 科学计算/游戏 选 C 系列
    • 数据库/缓存 选 M 系列
  3. 计费优化:包年包月(基线)+ 按量计费(弹性)+ 竞价实例(批处理)。
  4. 安全基线:安全组最小权限、SSH 密钥登录、定期快照。

架构师实践清单 (Checklist)

在创建 CVM 之前,请确认以下清单: - [ ] 地域规划:是否已根据用户分布和容灾需求选择了正确的地域和可用区? - [ ] 网络规划:是否已规划好 VPC 网段,避免与本地 IDC 网段冲突? - [ ] 规格验证:所选实例规格是否满足业务峰值性能需求? - [ ] 安全加固:安全组是否仅开放了必要端口(如 80/443),且 22/3389 端口已限制来源 IP? - [ ] 数据保护:是否已配置自动快照策略? - [ ] 监控告警:是否已在云监控中配置了 CPU、内存、磁盘利用率的告警阈值?

下一章,我们将深入讲解 2.2 弹性伸缩 AS 及最佳实践,学习如何让 CVM 集群自动随业务负载“呼吸”。