云服务器内容精选
-
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
-
安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。 您也可以根据需要创建自定义的安全组,或使用默认安全组,系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。默认安全组您可以直接使用,详情请参见默认安全组和规则。 安全组需在网络互通的情况下生效。若实例属于不同VPC,但同属于一个安全组,则此安全组不生效,您可以使用对等连接等产品建立VPC连接互通。VPC连接请参见VPC连接。
-
SDK列表 在开始使用之前,请确保您安装的是最新版本的SDK。使用过时的版本可能会导致兼容性问题或无法使用最新功能。您可以在 SDK中心 查询版本信息。 表 SDK列表提供了HSS服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导 NodeJs huaweicloud-sdk-nodejs-v3 NodeJs SDK使用指导 PHP huaweicloud-sdk-php-v3 PHP SDK使用指导
-
使用建议 如果您对自己的业务流量特征还不完全清楚,建议先切换到“仅记录”模式进行观察。一般情况下,建议您观察一至两周,然后分析仅记录模式下的攻击日志。 如果没有发现任何正常业务流量被拦截的记录,则可以切换到“拦截”模式启用拦截防护。 如果发现攻击日志中存在正常业务流量,建议调整防护等级或者设置全局白名单(原误报屏蔽)来避免正常业务的误拦截。 业务操作方面应注意以下问题: 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。 正常业务的URL尽量不要使用一些特殊的关键字(UPDATE、SET等)作为路径,例如:“https://www.example.com/abc/update/mod.php?set=1”。 如果业务中需要上传文件,不建议直接通过Web方式上传超过50M的文件,建议使用 对象存储服务 或者其他方式上传。
-
使用OCR服务,是否会保存用户数据 OCR服务坚持“华为云始终把可信作为产品质量的第一要素”的理念,我们基于安全、合规、隐私、韧性、透明,为您提供有技术、有未来、值得信赖的云服务。 OCR服务承诺用户识别的图片与识别结果全部不作任何形式留存,识别返回后立即释放。 具体的声明请参考隐私政策声明和法律声明,可信资源请参见白皮书资源。关于 文字识别 的相关声明请参见文字识别服务声明。 父主题: 数据安全与隐私
-
约束与限制 VPC对等连接只能实现同区域VPC的网络互通,因此请确保您的VPC位于同一个区域内。 需要通过VPC对等连接通信的VPC的子网网段不能重叠,否则对等连接不会生效,更多详情请参见无效的VPC对等连接配置。 第三方防火墙部署的E CS 所在的子网需要关联自定义路由表 ,请确保您资源所在的区域支持自定义路由表功能。 如果在网络控制台的左侧子栏目看到独立的“路由表”选项,表示支持自定义路由表功能。 图2 支持定义路路由
-
方案架构 本示例中vpc-A、vpc-B、vpc-C为业务所在的VPC,vpc-X为防火墙所在的VPC,这些VPC通过对等连接实现网络互通。vpc-A、vpc-B、vpc-C之间互通的流量均需要经过vpc-X上的防火墙。根据默认路由表配置,所有vpc-X的入方向流量均引入防火墙,通过防火墙清洗后的流量根据自定义路由表的目的地址送往指定业务VPC。 在图1中,以ecs-A01访问ecs-C01为例,您可以清晰的看到流量的请求路径和响应路径。 图1 云上VPC互访使用第三方防火墙组网规划
-
组网规划说明 本示例中需要在VPC路由表中配置路由,实现VPC之间的互通以及通过防火墙的流量清洗、组网规划总体说明请参见表5。 以下路由规划详情仅为示例,供您参考,您需要根据实际业务情况规划路由。 表5 云上VPC互访使用第三方防火墙组网规划总体说明 路由表 说明 业务所在VPC vpc-A、vpc-B、vpc-C为业务VPC,路由表的规划详情如表6所示。 在vpc-A、vpc-B、vpc-C的默认路由表中,分别添加指向其他VPC子网,下一跳为对等连接的路由,实现不同VPC之间的网络互通。 防火墙所在VPC vpc-X为防火墙VPC,路由表的规划详情如表7所示。 在vpc-X的默认路由表中,根据您防火墙部署方案分为以下情况: 防火墙部署在一台ECS上,则添加目的地址为默认网段(0.0.0.0/0),下一跳为ecs-X01的路由,将流量引入防火墙所在的云服务器。 防火墙部署在两台ECS上,对外通过同一个虚拟IP通信,当主ECS发生故障无法对外提供服务时,动态将虚拟IP切换到备ECS,继续对外提供服务。此场景下,则添加目的地址为默认网段(0.0.0.0/0),下一跳为虚拟IP的路由,将流量进入虚拟IP,由虚拟IP将流量引入防火墙所在的云服务器。 本文以防火墙部署在一台ECS上为例,vpc-A、vpc-B、vpc-C互访的流量,都需要经过vpc-X,然后通过该条路由,将流量引入防火墙中进行清洗过滤。 在vpc-X的自定义路由表中,添加目的地址为业务VPC子网网段(vpc-A、vpc-B、vpc-C子网),下一跳为对等连接的路由,将清洗后的流量引入业务VPC。 表6 业务VPC路由表规划 VPC名称 VPC路由表 目的地址 下一跳类型 下一跳 路由类型 路由作用 vpc-A 默认路由表:rtb-vpc-A 10.2.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-A01和subnet-C01 192.168.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-A01和subnet-X01 vpc-B 默认路由表:rtb-vpc-B 10.1.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-B01和subnet-X01 vpc-C 默认路由表:rtb-vpc-C 10.1.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-C01 10.2.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-C01和subnet-X01 表7 防火墙VPC路由表规划 VPC名称 VPC路由表 目的地址 下一跳类型 下一跳 路由类型 路由作用 vpc-X 默认路由表:rtb-vpc-X 0.0.0.0/0 服务器实例 ECS-X 自定义 目的地址指向部署防火墙的ecs-X 将vpc-X入方向的流量引入防火墙 本文以防火墙部署在一台ECS上为例,如果您的防火墙同时部署在多台ECS上,对外通过虚拟IP通信,则路由下一跳选择虚拟IP。 自定义路由表:rtb-vpc-custom-X 10.1.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-X01 10.2.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-X01 10.3.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-C01和subnet-X01
-
资源规划说明 本示例中需要创建 虚拟私有云VPC 、弹性 云服务器ECS 以及VPC对等连接,资源规划总体说明请参见表1。 以下资源规划详情仅为示例,供您参考,您需要根据实际业务情况规划资源。 表1 云上VPC互访使用第三方防火墙资源规划总体说明 资源 说明 虚拟私有云VPC VPC的资源规划详情如表2所示。 本示例中共有4个VPC,包括业务所在VPC和防火墙所在的VPC。这些VPC位于同一个区域内,且这些VPC的子网网段不重叠。 vpc-A、vpc-B、vpc-C为业务VPC,vpc-X为防火墙VPC,这些VPC通过对等连接实现网络互通。 vpc-A、vpc-B、vpc-C、vpc-X各有一个子网。 vpc-A、vpc-B、vpc-C各有一个默认路由表,子网关联VPC默认路由表。 vpc-X有两个路由表,一个系统自带的默认路由表,一个用户创建的自定义路由表,vpc-X的子网关联自定义路由表。 默认路由表控制vpc-X的入方向流量,自定义路由表控制vpc-X的出方向流量。 须知: 需要通过对等连接通信的VPC的子网网段不能重叠,否则对等连接不会生效,更多详情请参见无效的VPC对等连接配置。 弹性云服务器ECS ECS的资源规划详情如表3所示。 本示例中共有4个ECS,这些ECS分别位于不同的VPC内,这些ECS如果位于不同的安全组,需要在安全组中添加规则放通对端安全组的网络。 VPC对等连接 VPC对等连接的资源规划详情如表4所示。 本示例中共3个对等连接,网络连通需求如下: peer-AX:连通vpc-A和vpc-X的网络。 peer-BX:连通vpc-B和vpc-X的网络。 peer-CX:连通vpc-C和vpc-X的网络。 由于VPC对等连接具有传递性,通过路由配置,vpc-A、vpc-B以及vpc-C之间可以通过vpc-X进行网络通信。 表2 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 子网作用 vpc-A 10.1.0.0/16 subnet-A01 10.1.0.0/24 默认路由表 部署业务的子网 vpc-B 10.2.0.0/16 subnet-B01 10.2.0.0/24 默认路由表 部署业务的子网 vpc-C 10.3.0.0/16 subnet-C01 10.3.0.0/24 默认路由表 部署业务的子网 vpc-X 192.168.0.0/16 subnet-X01 192.168.0.0/24 自定义路由表 部署防火墙的子网 表3 ECS资源规划详情 ECS名称 VPC名称 子网名称 私有IP地址 镜像 安全组 ECS作用 ecs-A01 vpc-A subnet-A01 10.1.0.139 公共镜像: CentOS 8.2 64bit sg-demo: 通用Web服务器 部署业务的云服务器 ecs-B01 vpc-B subnet-B01 10.2.0.93 部署业务的云服务器 ecs-C01 vpc-C subnet-C01 10.3.0.220 部署业务的云服务器 ecs-X01 vpc-X subnet-X01 192.168.0.5 部署防火墙的云服务器 表4 VPC对等连接资源规划详情 VPC对等连接名称 本端VPC 对端VPC peer-AX vpc-A vpc-X peer-BX vpc-B vpc-X peer-CX vpc-C vpc-X
-
为什么网络ACL添加了拒绝特定IP地址访问的规则,但仍可以访问? 网络ACL存在规则优先级。优先级的数值越小,表示优先级越高,*为默认的规则,优先级最低。 多个网络ACL规则冲突,优先级高的规则生效,优先级低的不生效。 若某个规则需要优先或落后生效,可在对应规则(需要优先或落后于某个规则生效的规则)前面或后面插入此规则。例如:A规则优先级为1,B规则需要优先级高于A,则向A规则前插入B规则,此时B规则优先级为1,A规则优先级为2。同样地,B规则需要优先级低于A,则向A规则后插入B规则即可。 当添加了拒绝特定IP地址访问的规则时,可以将允许所有IP访问的规则放至最后,拒绝特定IP地址访问的规则将生效。具体操作请参见添加网络ACL规则(自定义生效顺序)。 父主题: 安全类
-
如何保护点播音视频的版权,防止非法盗播? 视频点播 服务支持视频播放权限认证和视频加密等安全策略,保护点播音视频的版权不受侵犯。 播放权限认证:点播服务提供了Referer防盗链和Key防盗链功能,对分发的音视频进行播放权限控制,避免非授权用户通过播放URL下载或播放点播视频。具体请参见通过防盗链控制音视频的播放权限。 HLS视频加密:为有效防止视频泄露和盗链问题,可以对HLS视频内容进行加密。加密后的视频,即使恶意用户下载也无法分发给其他人观看。具体请参见通过HLS加密防止视频泄露。 父主题: 安全类问题
-
平台(含深度采集) 采集项 说明 作用 id ID 用于规格评估 name 名称 用于规格评估 platformType 平台类型 用于规格评估 regionId 区域ID 用于规格评估 credentialId 凭证ID 用于规格评估 ip 连接地址 用于规格评估 serverNum 主机数 用于规格评估 databaseNum 数据库资源个数 用于规格评估 kubernetesNum 容器资源个数 用于规格评估 obsNum 对象存储资源个数 用于规格评估 eipNum 弹性公网IP个数 用于规格评估 elbNum 负载均衡个数 用于规格评估 vpcNum VPC个数 用于规格评估 securityGroupNum 安全组个数 用于规格评估 natNum NAT网关个数 用于规格评估 sfsNum 文件存储个数 用于规格评估 redisNum Redis个数 用于规格评估 kafkaNum Kafka个数 用于规格评估 bigdataNum 大数据集群个数 用于规格评估 pubDomainNum 公网域名数量 用于规格评估 vpcDomainNum VPC域名数量 用于规格评估 routeTableNum 路由表个数 用于规格评估 vpnNum VPN网关个数 用于规格评估 dcNum 专线个数 用于规格评估 cloudConnectNum 云连接个数 用于规格评估 rocketmqNum RocketMQ个数 用于规格评估 collectResourceCategory 采集资源列表 用于规格评估
-
数据库(含深度采集) 采集项 说明 作用 id ID 用于迁移前评估 name 数据库名称 用于迁移前评估 connectAddress 连接地址 用于迁移前评估 dbType 数据库类型 用于迁移前评估 dbName 数据库名称 用于迁移前评估 dbVersion 数据库版本 用于迁移前评估 useSsl 是否使用SSL 用于迁移前评估 credentialId 凭证ID 用于迁移前评估 instanceId 实例ID 用于迁移前评估 vpcId VPC的ID 用于迁移前评估 vpcName VPC名称 用于迁移前评估 subnetId 子网ID 用于迁移前评估 subnetName 子网名称 用于迁移前评估 platformId 平台ID 用于迁移前评估 platformName 平台名称 用于迁移前评估 platformType 平台类型 用于迁移前评估 regionId 区域ID 用于迁移前评估 privateAddress 内网地址 用于迁移前评估 publicAddress 公网地址 用于迁移前评估 type 类型 用于迁移前评估 nodes 集群节点信息 用于迁移前评估 ids ID列表 用于迁移前评估 assessStatus TCO评估状态 用于迁移前评估
-
容器(含深度采集) 采集项 说明 作用 id 编号 用于规格评估 name 名称 用于规格评估 credentialId 绑定的凭证ID 用于规格评估 collectInfo 采集器返回的原始信息 用于规格评估 collectError 采集出错时的错误信息 用于规格评估 assessStatus 评估状态 用于规格评估 clusterVersion K8S集群版本 用于规格评估 totalNamespaces 总命名空间数 用于规格评估 totalCpuCores 总CPU核数 用于规格评估 totalMemory 总内存大小(byte) 用于规格评估 totalNodes 总节点数 用于规格评估 nodes 集群节点信息 用于规格评估 storages 持久卷存储信息 用于规格评估 ingressClass ingress资源 用于规格评估 networkPolicy networkPolicy状态 用于规格评估 loadbalancerServices loadbalancer型service资源 用于规格评估 runtimeClass 容器运行底座 用于规格评估 schedulers 调度器(用于组织将POD放到合适节点的机制) 用于规格评估 platformType 云平台类型 用于规格评估 platformId 云平台ID 用于规格评估 platformName 云平台名 用于规格评估 regionId 区域ID 用于规格评估 instanceId 集群实例ID 用于规格评估 status 集群状态 用于规格评估 billingMode 付费模式 用于规格评估 creationTime 集群创建时间 用于规格评估 clusterType 集群类型 用于规格评估 clusterSpecs 集群规格 用于规格评估 kubeProxyMode 服务转发模式(网络模式):iptables、IPVS等 用于规格评估 networkModel 网络模型:VPC模式、Tunnel、GlobalRouter等 用于规格评估 vpcId VPC的ID 用于规格评估 vpcName VPC名称 用于规格评估 subnetId 子网ID 用于规格评估 subnetName 子网名称 用于规格评估 subnetCidr 子网网段 用于规格评估 containerCidr 容器网段 用于规格评估 serviceCidr 服务网段 用于规格评估 highAvailable 是否高可用 用于规格评估 containerEngine 容器引擎 用于规格评估 cpuAllocation CPU分配率 用于规格评估 cpuUsage CPU使用率 用于规格评估 memoryAllocation 内存分配率 用于规格评估 memoryUsage 内存使用率 用于规格评估
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
