云服务器内容精选

  • 任务状态显示失败如何处理? 任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因分析 解决方案 应用文件解析异常 应用文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供正确的应用文件重新创建扫描任务即可。 应用文件上传中损坏 应用文件在传送过程中损坏,导致无法正确解析,重新创建扫描任务进行扫描即可。 其它原因导致任务失败 多次重复创建任务后扫描任务仍然失败,可联系 失败任务不会产生扣费,可重新创建任务进行扫描。 父主题: 移动应用安全类
  • 为什么网络ACL添加了拒绝特定IP地址访问的规则,但仍可以访问? 网络ACL存在规则优先级。优先级的数值越小,表示优先级越高,*为默认的规则,优先级最低。 多个网络ACL规则冲突,优先级高的规则生效,优先级低的不生效。 若某个规则需要优先或落后生效,可在对应规则(需要优先或落后于某个规则生效的规则)前面或后面插入此规则。例如:A规则优先级为1,B规则需要优先级高于A,则向A规则前插入B规则,此时B规则优先级为1,A规则优先级为2。同样地,B规则需要优先级低于A,则向A规则后插入B规则即可。 当添加了拒绝特定IP地址访问的规则时,可以将允许所有IP访问的规则放至最后,拒绝特定IP地址访问的规则将生效。具体操作请参见添加网络ACL规则(自定义生效顺序)。 父主题: 安全类
  • 背景知识 虚拟私有云VPC 是您在云上的私有网络,通过配置安全组和网络ACL策略,可以保障VPC内部署的实例安全运行,比如弹性云服务器、数据库、云容器等。 安全组对实例进行防护,将实例加入安全组内后,该实例将会受到安全组的保护。 网络ACL对整个子网进行防护,将子网关联至网络ACL,则子网内的所有实例都会受到网络ACL保护。 除了VPC提供的安全策略,通常情况下您还可以配置实例的防火墙,进一步提升实例的安全。不同安全策略配合使用的工作原理图如图1所示。 图1 VPC安全策略 基于以上情况,如果您的安全组规则配置完未生效,除了安全组本身参数的配置可能有误,还有可能是不同的安全策略之间存在冲突,具体请您参考以下指导处理。
  • 安全组规则配置错误 当安全组规则配置有误时,无法按照规划的安全组规则对实例进行保护。您可以按照以下几点原因对安全组配置进行检查: 安全组规则方向设置错误,例如将需要在入方向添加的规则添加到出方向规则下。 安全组中包括入方向规则和出方向规则,用来控制安全组内实例的入方向和出方向的网络流量。 入方向规则控制外部请求访问安全组内的实例,控制的是流入实例的流量。 出方向规则控制安全组内实例访问外部的请求,控制的是从实例流出的流量。 安全组规则协议类型未选择正确。 网络协议即匹配流量的协议类型,支持TCP、UDP、ICMP和GRE协议,请正确选择安全组规则协议类型。 添加的端口是高危端口,对于运营商判断的高危端口,这些端口默认被屏蔽,在受限区域无法访问,此时建议您将端口修改为其他非高危端口。 常用端口说明及高危端口请参考弹性云服务器常用端口。 实际未开通业务所需的端口。 在安全组规则中放开某个端口后,您还需要确保实例(如E CS )内对应的端口也已经放通,安全组规则才会对实例生效。 请参考添加安全组规则中的“检查安全组规则是否生效”小节,检查ECS内端口开放情况,并验证配置是否生效。 当找到问题原因后,您可以参考添加安全组规则或修改安全组规则选择正确的方向或协议类型、放通需要开放的端口。
  • 排查思路 以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 图2 排查思路 表1 排查思路 可能原因 处理措施 安全组规则配置错误 解决方法请参考安全组规则配置错误。 网络ACL规则与安全组规则冲突 解决方法请参考网络ACL规则与安全组规则冲突。 实例防火墙限制端口访问 解决方法请参考实例防火墙限制端口访问。 实例属于不同VPC,网络不通 解决方法请参考实例属于不同VPC,网络不通。
  • 用户安全组配置 用户配置安全组69端口,同时将TFTP使用的数据通道端口范围配置在安全组上;(RFC1350定义了FTP协议,TFTP协议定义了数据通道的端口范围(0,65535));一般不同应用的TFTP守护程序实际上不会使用整个(0,65535)端口来做数据通道协商端口,由TFTP守护程序确定,推荐用户TFTP守护程序使用较小端口范围。 如果用户使用的数据通道端口范围为60001-60100,则安全组规则如下所示。 图1 安全组规则
  • 问题背景 在EulerOS 2.3和EulerOS 2.5裸金属服务器上,绑定多个eth网络设备(比如128个单队列网卡)时,网络性能差。这是因为128个网卡队列都中断到同一个CPU上,导致该CPU严重瓶颈影响网络性能。网卡队列中断CPU严重不均衡的原因是EulerOS 2.3和EulerOS 2.5 irqbalance程序的hintpolicy默认策略subset导致,按操作步骤将策略改成ignore即可。 irqbalance程序的hintpolicy是一种用来控制中断平衡的策略,内核会为每一个中断提供一个affinity_hint值,告诉irqbalance此中断倾向的CPU亲和性。其取值有三个: exact:irqbalance程序会严格按照内核的affinity_hint值进行亲和性平衡 subset:irqbalance程序会以affinity_hint的一个子集进行亲和性平衡 ignore:完全忽略内核的affinity_hint
  • 无法访问华为云ECS的某些端口时怎么办? 添加安全组规则时,需要您指定通信所需的端口或者端口范围,然后安全组根据规则,决定允许或是拒绝相关流量转发至ECS实例。 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访问,此时建议您将端口修改为其他非高危端口。 表1 高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996 父主题: 安全类
  • DES如何确保上传的数据与服务单匹配不出错? 用户提交数据快递服务申请后,系统会生成签名文件,签名文件是服务单与设备一一对应的唯一标识,需要将其存放入磁盘或Teleport共享文件系统的根目录,然后将磁盘或Teleport寄送到华为数据中心。华为数据中心管理员收到磁盘或Teleport并连线配置后,系统会自动判断用户申请单中的信息与设备信息是否准确对应,设备信息匹配成功后,用户需输入访问密钥(AK/SK)触发数据开始自动上传,数据上传过程中均无任何人工干预,以此来避免人为误操作。 父主题: 服务安全类
  • HLS加密和防盗链有什么区别? HLS加密:在m3u8中的ts数据进行加密处理,播放器在播放时,会通过m3u8中内置的解密密钥地址去动态解密,仅有获取正确解密密钥能播放音视频。 Key防盗链:在播放地址上添加鉴权串,只有合法生成的鉴权串,才会通过检验从而成功播放。由于鉴权串存在时效性,仅在设定的有效期内可播放,可以有效防止盗播。 Referer防盗链:在 域名 上进行限制,只有白名单内的域名或不在黑名单中的域名可以拉取视频资源。 表1 安全机制比较 安全机制 安全手段 特点 安全等级 使用门槛 Referer防盗链 Referer黑白名单 基于HTTP Header跟踪请求来源,易伪造 低 低,仅需在控制台配置,具体请参见通过防盗链控制音视频的播放权限。 Key防盗链 URL鉴权,并进行时效控制 在播放地址中添加具有时效性的鉴权串 中 较低,在控制台配置后,可直接在控制台获取鉴权URL,或通过配置参数自行生成,具体请参见通过防盗链控制音视频的播放权限。 HLS加密 HLS标准加密 HLS通用加密方案,使用AES-128进行内容加密,适配所有HLS播放器 较高 高,需要自行搭建密钥管理和token生成服务,具体请参见通过HLS加密防止视频泄露。 父主题: 安全类问题
  • 任务状态显示失败如何处理? 任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因分析 解决方案 应用文件解析异常 应用文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供正确的应用文件重新创建扫描任务即可。 应用文件上传中损坏 应用文件在传送过程中损坏,导致无法正确解析,重新创建扫描任务进行扫描即可。 其它原因导致任务失败 多次重复创建任务后扫描任务仍然失败,可联系 失败任务不会产生扣费,可重新创建任务进行扫描。 父主题: 移动应用安全类
  • 解决方案一(推荐) 推荐您将一键式重置密码插件Wraper从AUTO模式(SOCKET)修改为PIPE模式,修改后插件运行时不再占用端口。 打开CloudResetPwdAgent配置文件。 Linux服务器文件位置: “/CloudrResetPwdAgent/conf/wrapper.conf”和“/CloudResetPwdUpdateAgent/conf/wrapper.conf” Windows服务器文件位置: “C:\CloudResetPwdUpdateAgent\conf\wrapper.conf”和“C:\CloudResetPwdUpdateAgent\conf\wrapper.conf” 在末端新增如下配置: wrapper.backend.type=PIPE 重新启动CloudResetPwdUpdateAgent服务。 Linux服务器 /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script restart Windows服务器 使用快捷键“Win+R”,打开“运行”窗口。 输入“Services.msc”,并单击“确定”。 右键单击服务“cloud reset password update agent”,选择“重新启动”。
  • 解决方案二 修改CloudResetPwdAgent配置,更换默认随机端口选取的范围(31000~32999),确保业务端口不在一键式重置密码插件的端口选择范围内。 将一键式重置密码插件随机占用的端口范围修改为40000~42000为例,具体范围请按照实际情况操作: 打开CloudResetPwdAgent配置文件。 Linux服务器文件位置: “/CloudrResetPwdAgent/conf/wrapper.conf”和“/CloudResetPwdUpdateAgent/conf/wrapper.conf” Windows服务器文件位置: “C:\CloudResetPwdUpdateAgent\conf\wrapper.conf”和“C:\CloudResetPwdUpdateAgent\conf\wrapper.conf” 在末端新增如下配置: wrapper.port.min=40000wrapper.port.max=41000wrapper.jvm.port.min=41001wrapper.jvm.port.max=42000 重新启动CloudResetPwdUpdateAgent服务。 Linux服务器 /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script restart Windows服务器 使用快捷键“Win+R”,打开“运行”窗口。 输入“Services.msc”,并单击“确定”。 右键单击服务“cloud reset password update agent”,选择“重新启动”。