云服务器内容精选

  • 证书吊销列表 证书吊销列表(Certificate Revocation List,CRL)是指在有效期内就被其父CA吊销的证书的名单,其中被吊销的证书类型,包含子CA与私有证书。证书吊销列表是一种有固定格式的结构化数据文件,其中包含颁发者信息、吊销列表的生效时间、列表下一次更新时间、签发算法、指纹以及已被吊销证书的序列号与对应的吊销时间和吊销理由码。证书吊销列表具体内容,如图 证书吊销列表所示。 图2 证书吊销列表
  • 证书链 从根CA到私有证书之间的完整的证书链路,即各个层级证书按序链在一起的文件,用于进行身份的逐层校验。各级证书的链接关系,如图 证书链所示。 图3 证书链 证书校验主要体现在两方面: 证书链的完整性校验,逐层校验证书的有效性。 证书链中的根CA是否被校验方所信任(提前预置到信任列表中)。 证书校验过程中主要包含的校验项: 实体所宣称的主体信息(如服务端的 域名 )是否在证书可选名称的范围内。 证书是否过期。 密钥用法是否符合当前操作(如密钥协商、数字签名等)。 数字签名验证。 是否已被吊销。 此处未列举出所有校验项,X509证书允许用户增加多种自定义扩展项,详情请参考相关国际标准。
  • PCA证书有效期 在证书链中,根CA是整条链的信任起点,一旦根CA过期,其与其子CA签发的所有证书将不再被信任,因此根CA的有效期是其下层所有证书的有效期上限。即使签发下层证书时,可以将有效期填写超过根CA的有效期(不做强制要求下),但在校验证书链时,只要链中根CA过期,校验就会失败。 在PCA服务中,强制要求新签发的证书的到期时间不可超过其父CA的到期时间,确保从根CA到私有证书之间的链路上,有效期逐层递减。PCA服务对各类证书有效期的约束见表 证书有效期约束。 不同类型证书的有效期是根据其扮演的角色而定的。使用越频繁的证书,其密钥材料泄露风险更高,有效期应尽量设置更小。例如,根CA通常只用于签发子CA,使用频率最少,且使用最高的安全保护措施(PCA中使用KMS进行CA密钥管理),有效期一般设置为10~30年左右。子CA根据其所在的层级,越往下有效期逐级减少,最下层的证书用于签发大量的私有证书,有效期通常设置为2~5年左右。私有证书,频繁用于通信,通常根据使用场景的安全要求,将有效期设置为几个小时、几个月以及一两年不等。 表1 证书有效期约束 证书类型 最小有效期 最大有效期 是否支持延长 有效期其它约束 根CA 1小时 30年 否 无 子CA 1小时 20年 否 在父CA有效期内 私有证书 1小时 20年 否 在父CA有效期内
  • 记录集示例 记录集在实际解析场景中的应用: 网站解析 A、AAAA类型的记录集,常用于网站解析,通过域名获取对应的IP地址。 图1 网站解析 内网解析 A、AAAA类型的记录集常用于内网解析,通过内网域名获取对应的私网IP地址。 图2 内网解析 邮箱解析 MX、CNAME以及TXT类型的记录集常用于邮箱解析。 图3 邮箱解析 私网IP反向解析 PTR记录集常用于通过云服务器的私网IP反向解析对应的内网域名。 图4 私网IP反向解析
  • 记录集简介 云解析服务的解析记录由各种类型的记录集(Record Set)组成,是指一组资源记录的集合。这些资源记录属于同一域名,用于定义域名支持的解析类型以及解析值。 当您已经在云解析服务中创建完域名,需要对其进行域名级别的拓展或记录域名的详细信息,通过添加记录集来实现。 云解析服务支持的解析记录类型及适用场景如表1所示。 表1 解析记录适用场景说明 记录集类型 适用场景 描述 A 公网域名、内网域名 指定域名对应的IPv4地址,用于将域名解析到IPv4地址。 CNAME 公网域名、内网域名 指定域名的别名,用于将域名解析到另一域名,或者 多个域名 映射到同一域名上。 MX 公网域名、内网域名 指定域名对应的邮件服务器,用于为邮件域名设置邮箱服务器。 AAAA 公网域名、内网域名 指定域名对应的IPv6地址,用于将域名解析到IPv6地址。 TXT 公网域名、内网域名 用于对域名进行标识和说明,可填写任意的信息。主要用于以下场景: 记录DKIM的公钥,用于反电子邮件欺诈。 用于记录域名所有者身份信息,用于域名找回。 SRV 公网域名、内网域名 记录了具体某台计算机对外提供哪些服务,供用户查询使用。 NS 公网域名、内网域名 指定域名的权威DNS服务器,用于指定域名由哪个DNS服务器进行解析: 对于公网域名,系统默认创建,支持为域名的子域名手工创建NS记录。 对于内网域名,系统默认创建,不支持手工创建。 SOA 公网域名、内网域名 指定域名的主权威DNS服务器,系统默认创建,不支持手工创建。 CAA 公网域名 指定为域名颁发HTTPS证书的授权CA机构,用于防止HTTPS证书错误签发。 PTR 公网域名、内网域名 指定IP地址反向解析记录,用于通过私网IP地址反向查询对应的云服务器。
  • 云硬盘备份 您可以通过云备份(Cloud Backup and Recovery,CBR)中的云硬盘备份功能为云硬盘创建在线备份,无需关闭云服务器。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景,可通过任意时刻的备份恢复数据,以保证用户数据正确性和安全性,确保您的数据安全。 当前,普通IO(上一代产品)、高IO、通用型SSD、超高IO、极速型SSD云硬盘支持云备份。 父主题: 基本概念
  • IPsec VPN IPsec VPN是一种加密的隧道技术,通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。 如图1所示,假设您在云上已经申请了VPC,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),同时您在自己的数据中心也有2个子网(192.168.3.0/24,192.168.4.0/24),那么您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 支持站点到站点VPN(Site-to-Site VPN),可实现VPC子网和数据中心局域网互访。 父主题: 基本概念
  • 增强备份 增强备份是在云备份支持即时恢复特性的场景下,产生的一种能够快速恢复云服务器数据和快速创建镜像的备份。 即时恢复特性上线前,云备份创建的备份类型均为“普通备份”。即时恢复特性上线后,云备份创建的备份类型为“增强备份”。“增强备份”是云备份系统性能上的优化,启用增强备份需要对“普通备份”的资源重新执行一次全量备份。云备份目前系统默认创建的备份均为“增强备份”,已不会再创建“普通备份”。 使用“普通备份”恢复云服务器数据或创建镜像时,恢复耗时较长。“增强备份”相较于“普通备份”,恢复云服务器数据和创建镜像所需的时间要大大缩短,但备份内容和大小并无区别。“增强备份”与“普通备份”只有恢复速度上的区别。
  • 备份 备份即一个备份对象执行一次备份任务产生的备份数据,包括备份对象恢复所需要的全部数据。备份可以通过一次性备份和周期性备份两种方式产生。 云备份提供两种配置方式,一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定服务器的方式创建的周期性备份任务。 一次性备份的备份名称支持用户自定义,也可以采用系统自动生成的名称。一次性备份产生的备份名称为“manualbk_xxxx”。 周期性备份的备份名称由系统自动生成。周期性备份产生的备份名称为“autobk_xxxx”。
  • 存储库 云备份使用存储库来存放备份,存储库分为备份存储库、复制存储库、专属云备份存储库: 备份存储库是存放服务器和磁盘产生的备份副本的容器,备份存储库同时又分为以下几种: 云服务器备份存储库:分为两种规格,一种为仅存放普通备份的服务器备份存储库;一种为仅存放含有数据库的服务器产生的数据库备份的存储库。可以将服务器绑定至存储库并绑定自动备份或复制策略,支持将存储库中的备份复制至其他区域的复制存储库中,支持利用备份数据恢复服务器数据。 云硬盘备份存储库:仅存放磁盘备份,可以将磁盘绑定至存储库并绑定备份策略。 SFS Turbo备份存储库:仅存放SFS Turbo文件系统备份,可以将文件系统绑定至存储库并绑定备份策略。 混合云备份存储库:存放线下VMware虚拟机同步至云备份的备份数据,可以将备份复制至其他区域的复制存储库中,将备份数据恢复至其他服务器中。存放云上服务器或用户数据中心虚拟机中的文件目录备份数据,无需再以整机或整盘的形式进行备份。 云桌面 备份存储库:仅存放云桌面备份,可以将云桌面绑定至存储库并绑定备份策略。 复制存储库只能存放复制操作产生的备份,且由复制操作产生的备份不允许再次复制。云服务器备份的复制存储库也分为服务器备份和数据库备份两种规格。 专属云备份存储库:当用户购买专属对象存储后,可以选择将数据备份到专属存储库中,从而满足对隔离性、安全性、性能的更高要求。
  • 复制 复制是指将一个区域已经生成的备份数据复制到另一个区域。后续可在另一个区域使用复制的备份数据创建镜像,并发放新的云服务器。 云服务器备份和混合云备份支持对单个备份执行手动复制操作。同时也支持在备份策略中配置对应的复制策略,周期性的对未向目标区域进行过复制或复制失败的备份执行复制操作。 例如:需要为服务器A备份,则存储库的保护类型需要选择“备份”。如需要将服务器A在区域一产生的备份复制至区域二,则需要在区域二选择保护类型为“复制”的存储库。
  • 数据库服务器备份 业界对备份一致性的定义包括如下三类: 不一致备份:备份的文件、磁盘不在同一个时间点。 崩溃一致性备份:崩溃一致性备份会捕获备份时磁盘上已存在的数据,文件或磁盘数据在同一时间点,但不会备份内存数据并且静默应用系统,不保证应用系统备份一致性。尽管并未保证应用一致性,但通常情况下,操作系统重启后会进行chkdsk等磁盘检查过程来修复各种损坏错误,数据库会进行日志回滚操作保证一致性。 应用一致性备份:文件或磁盘数据在同一时间点,并备份内存数据,保证应用系统一致性。 云服务器备份同时支持崩溃一致性备份和应用一致性备份(即数据库服务器备份)。启用数据库服务器备份前,需要先安装客户端,否则会导致数据库服务器备份失败。
  • 辅助弹性网卡应用场景 辅助弹性网卡通过VLAN子接口挂载在弹性网卡上,其组网示意图如图1所示。 图1 辅助弹性网卡示意图 单个云服务器实例支持绑定的弹性网卡数量有限,当因业务需要绑定超过弹性网卡上限的网卡时,可以通过为弹性网卡挂载辅助弹性网卡实现。 为云服务器实例配置多个分属于同一VPC内不同子网的辅助弹性网卡,每个辅助弹性网卡拥有不同的私网IP、弹性公网IP,可以分别承载云服务器实例的内网、外网和管理网流量。 辅助弹性网卡可配置独立安全组策略,从而实现网络隔离与业务流量分离。
  • “网关”型终端节点服务 “网关”型是由系统配置的云服务类别的终端节点服务,用户无需创建,可以直接使用,如表1所示。 系统在不同区域支持的云服务不同,具体以管理控制台可配置的“服务列表”为准。 仅“拉美-墨西哥城一”、“拉美-圣保罗一”和“拉美-圣地亚哥”区域支持通过控制台直接选择“网关”类型的OBS终端节点服务。 其他区域的“网关”类型的OBS终端节点服务目前需要按照名称查找并关联终端节点,终端节点服务名称请提交工单或联系OBS服务运维人员获取。 表1 “网关”型终端节点服务 服务名称 服务类别 终端节点服务类型 终端节点服务示例 说明 对象存储服务 云服务 网关 以“拉美-墨西哥城一”为例: com.myhuaweicloud.na-mexico-1.obs obs:实现通过终端节点访问OBS内网地址。 请参见配置访问OBS服务内网地址的终端节点
  • “接口”型终端节点服务 “接口”型终端节点服务包括: 由系统配置的云服务类别的终端节点服务,用户无需创建,可以直接使用。 由用户私有服务创建的终端节点服务。 系统在不同区域支持的云服务不同,具体以管理控制台可配置的“服务列表”为准。 表2 “接口”型终端节点服务 服务名称 服务类别 终端节点服务类型 终端节点服务示例 说明 云解析服务 云服务 接口 以“华北-北京四”为例: com.myhuaweicloud.cn-north-4.dns dns:实现通过终端节点访问内网DNS。 API网关 云服务 接口 以“华北-北京四”为例: com.myhuaweicloud.cn-north-4.api api:实现通过终端节点访问API网关。 私有依赖库 云服务 接口 以“华南- 广州”为例: com.myhuaweicloud.cn-south-1.cloudartifact cloudartifact:实现通过终端节点访问CloudArtifact。 容器镜像服务 云服务 接口 以“华北-北京四”为例: com.myhuaweicloud.cn-north-4.swr swr:实现通过终端节点访问SWR。 请参见通过 VPC终端节点 访问SWR 智能边缘平台 云服务 接口 以“华北-北京四”为例: com.myhuaweicloud.cn-north-4.ief-placement com.myhuaweicloud.cn-north-4.ief-edgeaccess com.myhuaweicloud.cn-north-4.ief-telemetry ief:实现通过终端节点访问IEF,IEF包括以下三种终端节点服务类型: ief-placement:用于边缘节点的纳管和升级。 ief-edgeaccess:用于边缘节点与IEF发送边 云消息 。 ief-telemetry:边缘节点上传监控和日志数据。 请参见通过专线或VPN连接IEF 镜像源 云服务 接口 以“华北-北京四”为例: repo2.myhuaweicloud.com repo:实现通过终端节点访问镜像源。 数据接入服务 云服务 接口 以“华北-北京四”为例: com.myhuaweicloud.cn-north-4.dis dis:实现通过终端节点访问DIS。 弹性负载均衡 用户私有服务 接口 无 弹性负载均衡:适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器 用户私有服务 接口 无 E CS :作为服务器使用。 裸金属服务器 用户私有服务 接口 无 BMS:作为服务器使用。