本文主要总结下,关于本人云上各服务以及站点的监控工作。
监控的总体原则:
- 高优:网站可达性及稳定性、rds、oss 访问次数 & 流量 & 带宽、cdn 访问次数 & 流量 & 带宽;
- 一般:其他各服务异常访问、资源‘坏‘请求(比如访问不存在资源);
高优的监控,除了站点,其余都是会直接造成经济损失的破坏,必须做到严重时,电话告警。具体监控实施见下文。
阿里云云监控
本章节内容,均通过「阿里云云监控」完成对各项云上服务(暂有 rds、oss 以及 cdn)以及域名站点的监控工作。监控告警等级分为 Critical 、Warn、Info
rds 监控
因为 rds 对异常比较敏感,各个站点都使用了 rds mysql ,所以这里将 Warn 设置为了连续 3 个周期,即异常连续 3 个周期就 Warn 。
- 连接数使用率:(Warn) 连续 3 次平均值 > 80 ;
- IOPS 使用率:(Warn) 连续 3 次平均值 > 80 ;
- 磁盘使用率:(Warn) 连续 3 次平均值 > 80 ;
- 只读实例延迟:(Warn) 连续 3 次平均值 > 5 ;
- CPU 使用率:(Warn) 连续 3 次平均值 > 80 ;
- 内存使用率:(Warn) 连续 3 个周期平均值 >= 80 % ;
oss 监控
现监控针对所有 bucket 生效。
- 每分钟请求数达到一定量的前提下,有效请求率低于阈值:(Warn) 总请求数 >= 50 Count && 有效请求率 < 70 % 连续出现 5 次;(Info) 总请求数 >= 50 Count && 有效请求率 < 70 % 连续出现 3 次;
- 每分钟总请求数超过阈值:(Critical) 连续 10 个周期监控值 >= 50 Count ;(Warn) 连续 5 个周期监控值 >= 50 Count;(Info) 连续 3 个周期监控值>= 50 Count;
- 公网流出流量超过阈值:(Critical) 连续 10 个周期监控值 >= 500 Mbytes ;(Warn) 连续 5 个周期监控值 >= 500 Mbytes ;(Info) 连续 3 个周期监控值 >= 500 Mbytes
- 公网流出带宽超过阈值:(Critical) 连续 10 个周期 internetsendbandwidth >= 163840000 bps ;(Warn) 连续 5 个周期internetsendbandwidth >= 163840000 bps ;(Info) 连续 3 个周期 internetsendbandwidth >= 163840000 bps ;(阈值:20M)
cdn 监控
现监控针对所有 cdn 资源生效。
- 每秒访问次数达到一定量的前提下,其中3xx占比超过阈值:(Info)每秒访问次数 >= 10 Count && 边缘状态码 3XX占比 >= 70 % 连续出现 3 次;
- 每秒访问次数达到一定量的前提下,其中4xx占比超过阈值:(Info)每秒访问次数 >= 10 Count && 边缘状态码 4XX占比 >= 70 % 连续出现 3 次;
- 每秒访问次数达到一定量的前提下,其中5xx占比超过阈值:(Info)每秒访问次数 >= 10 Count && 边缘状态码 5XX占比 >= 70 % 连续出现 3 次;
- 回源网络带宽超过阈值:回源网络带宽 (Critical) 连续 10 个周期平均值 >= 20 Mbits/s ;(Warn) 连续 5 个周期平均值 >= 20 Mbits/s ;(Info) 连续 3 个周期平均值 >=20 Mbits/s;
- 每秒访问次数超过阈值:每秒访问次数(Critical) 连续 10 个周期平均值 >= 50 Count ;(Warn) 连续 5 个周期平均值 >= 50 Count ;(Info) 连续 3 个周期平均值 >= 50 Count ;
- 下行流量超过阈值:下行流量(Critical) 连续 10 个周期平均值 >= 500 Mbytes ;(Warn) 连续 5 个周期平均值 >= 500 Mbytes ;(Info) 连续 3 个周期平均值 >= 500 Mbytes;
- 边缘节点带宽超过阈值:边缘网络带宽 (Critical) 连续 10 个周期平均值 >= 20 Mbits/s ;(Warn) 连续 5 个周期平均值 >= 20 Mbits/s ;(Info) 连续 3 个周期平均值 >= 20 Mbits/s;
- 字节命中率低于阈值:字节命中率(Warn) 连续 5 个周期平均值 <= 50 % ;(Info) 连续 3 个周期平均值 <= 50 %;
站点监控
因为该站点搭在 GithubPage 上,除了部分静态资源用了 cdn ,所以鉴于 Github 在大陆内的尿性(一堵墙)所以监控条件适度放宽。
- 响应时间 ResponseTime:(Warn) 连续 5 个周期平均值 > 6000 milliseconds ;(Info) 连续 3 个周期平均值 > 6000 milliseconds;
- 可用率:(Warn) 连续 5 个周期可用探测点百分比 < 90 % ;(Info) 连续 3 个周期可用探测点百分比 < 90 %
- 响应时间 ResponseTime:(Warn) 连续 5 个周期平均值 > 1000 milliseconds ;(Info) 连续 3 个周期平均值 > 1000 milliseconds;
- 可用率:(Warn) 连续 5 个周期可用探测点百分比 < 90 % ;(Info) 连续 3 个周期可用探测点百分比 < 90 %
- 响应时间 ResponseTime:(Warn) 连续 5 个周期平均值 > 1000 milliseconds ;(Info) 连续 3 个周期平均值 > 1000 milliseconds;
- 可用率:(Warn) 连续 5 个周期可用探测点百分比 < 90 % ;(Info) 连续 3 个周期可用探测点百分比 < 90 %
- 响应时间 ResponseTime:(Warn) 连续 5 个周期平均值 > 1000 milliseconds ;(Info) 连续 3 个周期平均值 > 1000 milliseconds;
- 可用率:(Warn) 连续 5 个周期可用探测点百分比 < 90 % ;(Info) 连续 3 个周期可用探测点百分比 < 90 %
统计平台
- 响应时间 ResponseTime:(Warn) 连续 5 个周期平均值 > 1000 milliseconds ;(Info) 连续 3 个周期平均值 > 1000 milliseconds;
- 可用率:(Warn) 连续 5 个周期可用探测点百分比 < 90 % ;(Info) 连续 3 个周期可用探测点百分比 < 90 %
云资源访问控制
除了上述对各阿里云服务监控外,还需要在资源访问控制、权限等方面做一下安全措施。具体实施如下:
- 所有 oss bucket 禁止空 Referer 访问;
- 所有 cdn 禁止空 Referer 访问;
禁止空 Referer 访问,也可以避免一定的资源链接盗用情况(直接将图片 cdn url,拿去别的站点使用情况。)
站点云主机物理机上的安全措施
待办项
- 加 cc脚本限制(技术参考:https://zhang.ge/5066.html)
各站点实现上的安全措施
无需安全措施,纯静态资源,托管于 GithubPage,且其中引用 cdn 资源也纯属免费。
因为博客载体中有图片内容,即 cdn 资源,所以少部分工作,在于上文中的阿里云 cdn 安全措施。
- WordPress 插件 Wordfence 完成常见漏洞攻击(如注入攻击)、后台密码破解以及访问频次限速节流控制。
- WordPress 插件完成后台地址隐蔽转换。
- WordPress 插件完成垃圾评论过滤。
因为相册站点中,几乎内容全部为图片或视频等多媒体内容,即 cdn 资源,所以大部分工作,在于上文中的阿里云 cdn 安全措施。站点平台本身暂未做其他措施。
该站点为本人里程碑站点,没什么流量,多媒体资源(即 cdn 资源,此处工作见于上文)更少之又少,所以风险性低。站点平台本身暂未做其他措施。
剩余工作(看情况考虑中的待办项)
- □ cdn 频次限制开通?(需要根据 cdn 3月使用情况以及被攻击情况决定)
- □ 主机监测,主要是机器出网带宽、cpu 以及内存;
- □ oss回源量较少,不用购买资源包。cdn可以购买个流量包(需要根据 cdn 3月使用情况以及被攻击情况决定)
- □ 所有站点后台登录验证码 (blog、milestone、photograph)
- □(milestone、photograph)cc 5 秒盾(技术实现参考:https://www.ruletree.club/archives/1167/)
发表回复