雲計算

輕量應用服務器（Simple Application Server）是新一代面向中小企業和開發者的雲服務器產品，具備輕運維、開箱即用的特點，適用於小型網站、博客、論壇、電商以及雲端開發測試和學習環境等輕量級業務場景，相比傳統雲服務器更加簡單易用，並通過一站式融合常用基礎雲服務幫助用戶便捷高效的構建應用，是您使用阿里雲的最佳入門途徑。 一般用來搭建簡單網站,一般配置的Simple Application Server跑不動複雜的應用 與雲服務器ECS對比輕量應用服務器 （Simple Application Server），是可快速搭建且易於管理的輕量級雲服務器；提供基於單臺服務器的應用部署，安全管理，運維監控等服務，一站式提升您的服務器使用體驗和效率。 對比 雲服務器 ECS，輕量應用服務器更加簡單易用，簡化了傳統雲服務器的高階概念及功能，一站式融合多種雲服務，您可以便捷高效的部署、配置和管理應用，是使用阿里雲的最佳入門途徑。 說明： 創建輕量應用服務器時不支持指定底層物理服務器的 CPU 型號，阿里雲將隨機分配滿足套餐規格的物理 CPU 型號。與同規格的 標準型雲服務器 […]

本文作者：阿里雲技術專家李雨前 摘要 隨著企業數字化轉型、企業IT服務雲原生化快速發展，客戶上雲的步伐更加緊湊，隨之而來雲上的預算直接影響上雲的優先級、上雲的進度、上雲的深度。預算投入的多少，與業務發展有關，另外一個關鍵因素就是資源需求的容量評估。 精準的容量評估，可以使企業上雲的預算規劃更科學，同時也更貼合業務發展階段的需要。本文將分享企業業務上雲後，如何進行容量的規劃和實施。 一、為什麼要進行容量規劃 企業數字化轉型，企業IT服務雲原生化正大踏步的發展，上雲的或正在上雲企業，常規的預算支出中就包含數字信息化或者IT軟件服務支出。這部分的預算支出，其中就包含雲上資源的預算投入，其核算依據之一：雲上容量規劃和實施。 日常生活中，需要“容量”規劃的場景是很普遍的。例如：水庫儲水就是一個典型的動態“容量”規劃過程，需要根據上下游水環境情況做庫容的調控。例如：疫情期間，景區實行遊客提前預約成功後購票入園的舉措，需要根據防控要求做每日遊客的總人數的調控。 同理，雲上的業務也會動態發展變化，雲產品服務依賴的算力資源也需要相應調整。我們把算力資源的用量規劃抽象為容量規劃。 企業上雲後進行容量規劃的必要性在於，企業的業務是動態發展的，業務依賴的雲上算力資源也需要相應地動態調整。過多算力資源導致資源閒置、成本浪費，過少的算力資源影響業服務響應性能、阻礙業務快速發展。那麼，企業上雲後，如果不進行容量規劃會產生什麼問題呢？ 首先，可能出現成本投入和業務發展不匹配。例如，當業務呈現快速發展的態勢，業務依賴的算力資源需求也呈現上升趨勢，此時，如果沒有容量規劃，很可能業務爆發期來的時候，後端服務能力不能及時跟上，進而影響業務持續、穩定發展，甚至錯失業務的黃金髮展時機。 另外，互聯網技術的應用極大地拉近了服務消費者和服務提供者的距離，服務提供者的服務表現跨地域的高可用、穩定性已是常態化目標。針對這個目標，一種最直接的實現方案：進行地域間的容量冗餘，從而在軟硬件故障或者其他應急場景下，進行流量切換實現災備。 總結起來就是：企業上雲後，業務的容量規劃是剛需，並且需要持續地規劃。精準的容量規劃，可以幫助業務的快速發展，避免算力支持成為業務發展的瓶頸、阻礙項，同時，企業業務跨地域服務的高可用、穩定性也能得到保障。 二、業務需求轉化為容量規劃 容量規劃是為業務服務的，脫離業務實際狀況的容量規劃毫無意義。根據業務特徵、業務發展階段目標，制定和業務發展相匹配的容量規劃，才是合理的規劃。 例如某A企業，B部門的業務需要人均一臺辦公電腦。目前採購的是阿里雲的雲桌面產品。今年預計B部門員工數量擴大10%，那麼今年雲桌面臺數的容量規劃也需要擴大10%。這個例子比較直觀的好理解，實際上不同行業、不同業務特徵的雲上容量規劃需要考慮的因素非常多。下面按通用的理解，進行拆解分析，如圖1所示，自底向上逐步細分。 圖1-業務驅動的容量規劃 因素1：業務需求的整體發展評估      企業業務整體發展態勢和評估是一切需求來源的根基，沒有業務整體發展的充分評估，不可能輸出合理、有效的容量規劃評估。對企業來說，不會為了容量規劃而規劃，容量規劃都是為業務發展服務的。業務整體發展評估自然就在“金字塔”的最底部。

Docker是一個用於開發，交付和運行應用程序的開放平臺。它讓你能夠將應用程序與基礎架構分離，從而可以快速交付軟件。藉助Docker，你可以以與管理應用程序相同的方式來管理基礎架構。正如它的logo所展示的，鯨魚/貨輪代表了操作系統，而集裝箱就是那些需要一個個部署的應用。在一艘貨輪上，集裝箱的作用就是將各種貨物進行標準化擺放，並且使它們相互之間不受到影響。有了集裝箱，我們就不需要專門運輸某種特定貨品的船了。我們可以把各種貨品通過集裝箱打包，然後統一放到一艘船上運輸。Docker 要做的就是把各種軟件打包成一個集裝箱（鏡像），然後發佈到任何流行的Linux機器或Windows 機器上（也可以實現虛擬化），並且其內部的沙箱機制可以確保軟件在運行的時候可以相互隔離。 安裝 Docker Docker支持在當前各大主流平臺上安裝使用，包括CentOS、Debian、Fedora、Ubuntu等Linux平臺以及macOS、Windows等非Linux平臺。因為 Linux 是 Docker 的原生支持平臺，所以推薦你在 Linux 上使用 Docker。由於在生產環境中 CentOS 使用的較多，下文主要介紹在 CentOS 平臺下安裝和使用 Docker。 前置條件 操作系統要求

雲與虛擬化雲計算是通過 Internet 服務的方式提供動態可伸縮資源的計算模式，經過多年的發展已成為企業 IT 技術的重要支撐。虛擬化是雲計算的核心技術之一，將一臺計算機抽象為多臺邏輯計算機，即虛擬機，每個虛擬機是一個單獨安全的環境，可運行不同的操作系統且互不影響。 虛擬化技術給資源使用和調度帶來了極大便利，雲計算系統可以根據負載情況及時進行資源調度，在提升資源利用率的同時保證應用和服務不會因資源不足而影響服務質量。然而虛擬化也是有代價的，對資源的抽象帶來了性能損失，這也是虛擬化一直致力解決的問題。 虛擬化的資源抽象可以簡單劃分為三部分：CPU 虛擬化、內存虛擬化和設備虛擬化。其中設備虛擬化已經可以實現網絡、存儲等設備直通虛擬機，沒有性能損失；CPU 虛擬化在硬件特性的支持下，執行普通指令性能與裸機相同；而內存虛擬化相比裸機，仍然存在較大差異，是當下值得關注的問題。 內存虛擬化虛擬內存：說到內存虛擬化，就不得不提虛擬內存的概念。早期的操作系統只有物理地址且空間有限，進程使用內存時必須小心翼翼以避免覆蓋其他進程的內存。為避免此問題，虛擬內存的概念被抽象出來，保證每個進程都有一塊連續的、獨立的虛擬內存空間。進程直接通過 VA（Virtual Address）使用內存，CPU 訪存時發出的 VA 由硬件 MMU（Memory Management Unit）攔截並轉換為 PA（Physical Address），VA

服務化原則​在軟件開發過程中，當代碼數量與開發團隊規模都擴張到一定程度後，就需要重構應用，通過模塊化與組件化的手段分離關注點，降低應用的複雜度，提升軟件的開發效率，降低維護成本。​如圖 1，隨著業務的不斷髮展，單體應用能夠承載的容量將逐漸到達上限，即使通過應用改造來突破垂直擴展（Scale Up）的瓶頸，並將其轉化為支撐水平擴展（Scale Out）的能力，在全局併發訪問的情況下，也依然會面臨數據計算複雜度和存儲容量的問題。 因此，需要將單體應用進一步拆分，按業務邊界重新劃分成分佈式應用，使應用與應用之間不再直接共享數據，而是通過約定好的契約進行通信，以提高擴展性。 服務化設計原則是指通過服務化架構拆分不同生命週期的業務單元，實現業務單元的獨立迭代，從而加快整體的迭代速度，保證迭代的穩定性。同時，服務化架構採用的是面向接口編程方式，增加了軟件的複用程度，增強了水平擴展的能力。服務化設計原則還強調在架構層面抽象化業務模塊之間的關係，從而幫助業務模塊實現基於服務流量（而非網絡流量）的策略控制和治理，而無須關注這些服務是基於何種編程語言開發的。​ 有關服務化設計原則的實踐在業界已有很多成功案例。其中影響最廣、最為業界稱道的是 Netflix 在生產系統上所進行的大規模微服務化實踐。通過這次實踐，Netflix 在全球不僅承接了多達 1.67 億訂閱用戶以及全球互聯網帶寬容量 15% 以上的流量，而且在開源領域貢獻了 Eureka、Zuul、Hystrix 等出色的微服務組件。​ 不僅海外公司正在不斷進行服務化實踐，國內公司對服務化也有很高的認知。隨著近幾年互聯網化的發展，無論是新銳互聯網公司，還是傳統大型企業，在服務化實踐上都有很好的實踐和成功案例。阿里巴巴的服務化實踐發端於 2008 年的五彩石項目，歷經 10

Heterogeneity-Aware Lowering and Optimization (HALO)是異構計算加速度基於編譯器的技術平臺。 它通過稱為開放深度學習 API ( ODLA )的抽象、可擴展接口來利用針對深度學習領域的異構計算能力。HALO 提供統一的 Ahead-Of-Time 編譯解決方案，自動為雲、邊緣和物聯網場景量身定製。 HALO 支持多種編譯模式。在提前（AOT）編譯模式下，HALO 將 AI 模型編譯成用 ODLA API

接上文   在上一篇文章中，講了下ARM在ARMv9中人工智能領域的相關技術SVE2，以及其他人工智能相關的佈局。對於ARMv9是否能給ARM帶來騰飛，僅根據SVE2，我認為是不夠的。  ARMv9另一大技術點是安全，本文會重點介紹ARMv9的CCA(Confidential Compute Architecture)技術和MTE(Memory Tagging Extension)技術。最終，結合兩大方向，給出我對這個問題的結論。 安全，永遠的安全   隨著越來越多的設備連在網上，隨著越來越多的數據被採集，隨著人們隱私意識的不斷增強，安全問題不斷成為社會議論的焦點，相關的軟硬件技術也在不斷產生和迭代。賽門鐵克僅在2020第一季度，就在IoT的Honypots中偵測到近1億9千萬次攻擊，平均每秒超過100次[1]。  作為芯片IP提供設計者，ARM在其中扮演的角色至關重要。硬件的安全方案是軟件無法攻克的，因此ARM有責任為當前社會的安全問題提供安全的硬件底座。這也就是為什麼TrustZone技術被ARM在ARMv6中發佈以來，已經被廣泛的使用，提供可靠的安全啟動，加解密等服務。下面我們先簡單介紹下TrustZone的基本原理。 另一個世界(TrustZone)   TrustZone最核心思想就是在真實的世界(normal world)之外並行的增加了一個安全世界(secure world)，兩個世界都是完整的(都有硬件，操作系統，應用軟件)。安全世界是全知全能的，但真實世界則對安全世界不感知的。創世紀(系統啟動)先從安全世界開始，真實世界被安全世界定義後才被啟動。而當待定的事件(比如特定的異常)在真實世界中被觸發後，真實世界會被暫停，切換到安全世界來處理完成後再切換回真實世界，這段逝去的時間對於真實世界是無感的。  有了這樣的硬件設計，就可以把一些敏感重要的信息和處理過程放在安全世界處理，對於這個數據的訪問和過程調用，被封裝成服務調用，在真實世界中被使用。比如安全啟動的信任鏈的起點總是從安全世界開始，比如敏感的加解密過程也可以放在安全世界等等。  ARM的TrustZone設計是比Intel的TPM技術更方便的。TPM僅僅是把固定的能力設計成安全可靠，但ARM的TrustZone是提供了一個完整的世界，提供的功能可被軟件完整定義，這樣就提供了非常強的可塑性。  但TrustZone也有它的侷限性。TrustZone基於的安全模型是低安全等級的軟件對於高安全等級的軟件是完全可見的，因此應用的安全性是會被操作系統和Hypervisor影響的。隨著對於安全的訴求不斷增加，TrustZone已經逐漸不夠用了，此次ARMv9的發佈，ARM和微軟合作開發了CCA技術。 更多的世界(CCA)前文說TrustZone是增加了一個並行的安全世界，在CCA中，更是增加了一個Realm的概念，也就是可以給應用創建一個單獨的世界，這個世界對於其他的Realm，操作系統，hypervisor甚至是安全世界都是不透明的。所以那些商業軟件就可以運行在這個世界中，這樣那些商業敏感數據和代碼是被硬件隔離保護的。即使其他的應用被攻破，這些商業軟件的敏感信息也是安全的。   在CCA技術中，hypervisor僅僅用於資源分配和調度，而Realm是被Realm Manager管理的。應用會被Realm Manager認證是不是可信的。通過使用Realm，信任鏈變短了，可信應用可以跑在任意的設備上，而不需要考慮底層的操作系統，這樣整個系統的安全設計會大大簡化。在最近的一份調查報告顯示，91%的被調查企業表示，通過CCA，企業的機密數據得到保護的話，會大大提高企業的創新能力 [3]。   迄今為止，ARM並未發佈CCA的詳細資料。但既然CCA的開發是ARM和微軟合作的結果，相信微軟未來會基於CCA的硬件推出其完整的軟硬件協同的安全解決方案的。 ## C/C++語言的新生(MTE)

引言   邊緣計算並不是誕生於物聯網時代，AKAMAI作為一家內容分發網絡CDN和雲服務的提供商，並且是世界上最大的分佈式計算服務商之一，早在2003年就和IBM合作過“邊緣計算”。然而5G技術的到來，加速了邊緣計算技術的突破，特別是對物聯網領域而言，許多的南向控制將不在需要通過雲端，處理過程在本地邊側即可完成，這無疑將大大提升處理效率，減輕雲端的負荷，提高響應時間。那麼5G、邊緣、物聯網他們之間將會產生怎樣的化學反應呢，本文會嘗試從實際應用的角度切入，看看邊緣計算到底為物聯網帶來了什麼。 什麼是邊緣計算 維基百科的解釋： 邊緣運算（英語：Edge computing），又譯為邊緣計算，是一種分佈式運算的架構，將應用程序、數據資料與服務的運算，由網絡中心節點，移往網絡邏輯上的邊緣節點來處理。邊緣運算將原本完全由中心節點處理大型服務加以分解，切割成更小與更容易管理的部分，分散到邊緣節點去處理。邊緣節點更接近於用戶終端設備，可以加快資料的處理與發送速度，減少延遲。在這種架構下，資料的分析與知識的產生，更接近於數據資料的來源，因此更適合處理大數據。  這裡提到了幾個核心的概念，一是縮短距離，二是分佈式，這應該也是邊緣計算最核心的特點。為什麼把縮短距離作為一個重要的原因呢，因為數據傳輸再快也是有上限——光速，如果沒有分佈式計算，機房都在北京，端在杭州，來回2千多公里，即便是光速傳播，也需要50ms，50ms在一些特定領域就非常關鍵，比如車聯網，工業控制等領域。有了邊緣計算，這些更靠近終端設備的節點，就可以大大加快信息傳遞。對於分佈式的理解， 舉一個最形象的例子就就好比是的人的大腦和肌肉反射，我們的皮膚碰到外界刺激後，比如火燙，針刺等，會立即做出反應，這個處理是不需要經過大腦的，這就充分體現了分佈式和低延遲的特點。邊緣計算在物聯網領域的典型應用   邊緣計算能應用在物聯網很多的領域領域比如：智能音箱，智能家居，IP攝像頭，智能水/電錶，工業控制設備等，本文簡單從中挑選2個場景說明一下邊緣計算在其中的應用。 應用場景一：  這裡舉一個IP攝像頭的應用，在日常生活中，大家開車一定遇到過這樣的場景，有時候明明道路沒有車，非得讓我等1分鐘的紅燈，這時候大家可以想到能夠通過攝像頭監控道路上來往的車流量，再通過AI算法來計算當前交通狀況，從而實時調整交通信號燈的等待時間。這時候就有2種選擇，一是採用雲計算方案，二是採用邊緣計算的方案：應用場景二：  在工業物聯網領域，經常有一些預警傳感器，比如測量反應鍋爐的壓力、溫度等，超過一定的閾值就需要報警並自動切斷，保護設備和員工的安全。監測模塊可以對當前所有數據進行綜合分析，以確定是否超過定義的臨界值，並能在幾毫秒內關閉。這個過程中的超短延時是非常關鍵的，這裡不能有延遲，也不能依賴聯網，因此只有邊緣計算才能符合需求。未來發展   未來物聯網的發展會有兩個趨勢：海量連接以及海量數據。Gartner公司在2019年發佈報告預測，到2021年總數將達到250億個，它們會生成大量的數據。這些數據無法用雲計算來承載，因為即使5G技術成熟應用，帶寬的增長還是遠遠趕不上數據的增加，只有通過邊緣計算，在一個個分佈式的節點上進行中小型，實時的數據計算來解決。當然，雲計算和邊緣計算未來一定是相輔相成，邊緣計算重要，但它永遠不可能替代雲計算！

關於 ACK CNFS 傳統的共享文件系統存在缺少容量配額的精確控制、無法恢復誤刪文件、缺失存儲卷容量性能等監控指標、無安全加密及小文件讀寫延遲等問題。針對這些挑戰，阿里雲容器服務 ACK 推出了容器網絡文件系統 CNFS，提升NAS、OSS 及 CPFS 等文件系統的性能、QoS 控制。 CNFS 通過將阿里雲的文件存儲抽象為一個 Kubernetes 對象（CRD）進行獨立管理，包括創建、刪除、描述、掛載，監控及擴容等運維操作，使用戶可以在享受容器使用文件存儲帶來的便捷的同時，提高文件存儲的性能和數據安全，並提供容器一致的聲明式管理。 我們推薦用戶在 ACK 中使用 CNFS 管理

一、內存虛擬化的產生 　　內存虛擬化的產生源於VMM與客戶系統在對物理內存的認識上存在衝突，造成物理內存真正擁有者-VMM必須對系統訪問的內存進行一定程度上的虛擬化。 　　先看非虛擬化環境：　　 　　·指令對內存的訪問通過處理器來轉發>>>>處理器將解碼後的請求放到總線上>>>>芯片組負責轉發。 　　為了唯一標示，處理器將採用統一編址的方式將物理內存映射成為一個地址空間（物理地址空間）。 　　　　1）操作系統會假定內存地址從0開始。 　　　　2）內存是連續的或者說在一些大的粒度（比如 256M）上連續。 　　　　在虛擬環境裡，VMM就要模擬使的虛擬出來的內存仍符號客戶機 OS 對內存的假定和認識，內存虛擬化要解決哪些問題呢？ 　　　　a.物理內存要被多個客戶OS同時使用，但物理內存只有1個，地址0也只有一個，無法滿足同時從0開始的要求。 　　　　b.由於使用內存分區方式，物理內存分給多個系統使用，客戶機OS內存連續性可解決但不靈活。 　　　　要解決以上問題引入了一層新的地址空間—客戶機物理地址空間來解決讓虛擬機OS 看到一個虛擬的物理地址，讓VMM 負責轉化成物理地址給物理處理器執行。 　　 　　VMM需要做哪些事情呢？ 　　1）給定一個虛擬機，維護客戶機物理地址到宿主機物理地址之間的映射關係。 　　2）截獲虛擬機對客戶機物理地址的訪問，將其轉化為物理地址。