云服务器内容精选

  • 背景信息 数据库安全审计支持对华为云上的E CS /BMS自建数据库和RDS关系型数据库进行审计。 数据库安全审计不支持跨区域(Region)使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启SSL时,将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能,请关闭数据库的SSL。关闭数据库SSL的详细操作,请参见如何关闭数据库SSL?。 有关审计数据的保存说明,请参见数据库安全审计的审计数据可以保存多久?。
  • 通过Agent方式审计数据库 表1中的数据库类型及版本,需采用安装Agent方式开启DBSS服务。 表1 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0(8.0.11及以前的子版本) 8.0.30 8.0.35 8.1.0 8.2.0 Oracle (因Oracle为闭源协议,适配版本复杂,如您需审计Oracle数据库,请先联系客服人员) 11g 11.1.0.6.0 、11.2.0.1.0 、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0 、12.2.0.1.0 19c PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 12 13 14 SQL Server 2008 2012 2014 2016 2017 GaussDB (for MySQL) 8.0 DWS 1.5 8.1 DAMENG DM8 KINGBASE V8 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 GaussDB 1.3企业版 1.4企业版 2.8企业版 3.223企业版 MongoDB V5.0 DDS 4.0 Hbase (华为 云审计 实例:23.02.27.182148 及其之后的版本支持) 1.3.1 2.2.3 Hive (华为云审计实例:23.02.27.182148 及其之后的版本支持) 1.2.2 2.3.9 3.1.2 3.1.3 MariaDB 10.6 TDSQL 10.3.17.3.0 图1 快速使用数据库安全审计流程图 表2 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 2 添加Agent 添加数据库后,您需要为添加的数据库选择Agent的添加方式。 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计,请根据您在华为云上实际部署的数据库选择Agent添加方式。 3 添加安全组规则 Agent添加完成后,您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。 4 安装Agent(Linux操作系统) 安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent。 5 开启数据库安全审计 Agent安装成功后,您还需要开启数据库安全审计功能,将添加的数据库连接到数据库安全审计实例,才能使用数据库安全审计功能。 6 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知: 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则。
  • 前提条件 请参见DBSS权限管理确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“DBSS Administrator”角色。 VPC Administrator:对虚拟私有云的所有执行权限。项目级角色,在同项目中勾选。 DBSS Administrator:对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色,在同项目中勾选。 ECS Administrator:对弹性云服务器的所有执行权限。项目级角色,在同项目中勾选。
  • 安装Agent 请参见步骤二添加Agent。 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”,请执行4。 如果该Windows主机未安装“Npcap”,请执行以下步骤: 请前往https://nmap.org/npcap/下载Npcap最新软件安装包。 图5 下载npcap 将下载好的npcap-xxxx.exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中,单击“I Agree”,如图6所示。 图6 同意安装“Npcap” 在弹出的对话框中,单击“Install”,不勾选安装选项,如图7所示。 图7 安装“Npcap” 在弹出的对话框中,单击“Next”。 单击“Finish”,完成安装。 请参见下载Agent获取Windows操作系统Agent安装包。 以“Administrator”用户登录到Windows主机,将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 图8 Agent安装包 进入Agent安装包所在目录,并解压缩安装包。 进入解压后的文件夹,双击“install.bat”执行文件。 图9 双击install.bat 安装成功,界面如图10所示,按任意键结束安装。 图10 Agent安装成功 安装完成后,在Windows任务管理器中查看“dbss_audit_agent”进程,如下图图11所示。 图11 查看dbss_audit_agent进程 如果进程不存在,说明Agent安装失败,请尝试重新安装Agent。
  • 常见安装场景 请您根据数据库的类型以及部署场景,在数据库端或应用端安装Agent。数据库常见的部署场景说明如下: ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 安装Agent节点的详细说明如表1所示。 当您的应用端和数据库(ECS/BMS自建数据库)都部署在同一个节点上时,Agent需在数据库端安装。 表1 安装Agent场景说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端安装Agent。 当某个应用端连接多个ECS/BMS自建数据库时,需要在所有连接该应用端的数据库端安装Agent。 RDS关系型数据库 应用端(应用端部署在云上) 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端安装Agent。 当多个应用端连接同一个RDS时,所有连接该RDS的应用端都需要安装Agent。 RDS关系型数据库 代理端(应用端部署在云下) 只能审计代理端与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。 在代理端安装Agent。
  • 通过Agent方式审计数据库 非表1中的数据库类型及版本,需采用安装Agent方式开启DBSS服务。 图2 快速使用数据库安全审计流程图 表3 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 2 添加Agent 添加的数据库开启审计功能后,您需要为添加的数据库选择Agent的添加方式。 数据库安全审计支持对华为云上的ECS/BMS自建数据库和RDS关系型数据库进行审计,请根据您在华为云上实际部署的数据库选择Agent添加方式。 3 添加安全组规则 Agent添加完成后,您还需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议(8000端口)和UDP协议(7000-7100端口),使Agent与审计实例之间的网络连通,数据库安全审计才能对添加的数据库进行审计。 4 安装Agent(Linux操作系统) 安全组规则添加完成后,您还需要下载Agent,并根据Agent的添加方式在数据库端或应用端安装Agent。 5 开启数据库安全审计 Agent安装成功后,您还需要开启数据库安全审计功能,将添加的数据库连接到数据库安全审计实例,才能使用数据库安全审计功能。 6 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知: 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则。
  • 前提条件 已配置DNS和安全组,配置方法参考如何配置DNS和安全组?。 已配置委托,配置方法参考如何配置委托?。 确保操作步骤中的安装目录都有读写权限,并且安装成功后的Telescope进程不会被其他软件关闭。 确保已下载Agent安装脚本,获取脚本的方式如下: 表1 获取Linux镜像的Agent安装脚本 区域 regionID 下载路径 华北-北京一 cn-north-1 https://uniagent-cn-north-1.obs.cn-north-1.myhuaweicloud.com/package/agent_install.sh 华北-北京四 cn-north-4 https://uniagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/package/agent_install.sh 华北-乌兰察布一 cn-north-9 https://uniagent-cn-north-9.obs.cn-north-9.myhuaweicloud.com/package/agent_install.sh 华南-广州 cn-south-1 https://uniagent-cn-south-1.obs.cn-south-1.myhuaweicloud.com/package/agent_install.sh 华南-广州-友好用户环境 cn-south-4 https://telescope-cn-south-4.obs.cn-south-4.myhuaweicloud.com/scripts/agentInstall.sh 华南-深圳 cn-south-2 https://uniagent-cn-south-2.obs.cn-south-2.myhuaweicloud.com/package/agent_install.sh 华东-上海一 cn-east-3 https://uniagent-cn-east-3.obs.cn-east-3.myhuaweicloud.com/package/agent_install.sh 华东-上海二 cn-east-2 https://uniagent-cn-east-2.obs.cn-east-2.myhuaweicloud.com/package/agent_install.sh 华东-青岛 cn-east-5 https://uniagent-cn-east-5.obs.cn-east-5.myhuaweicloud.com/package/agent_install.sh 西南-贵阳一 cn-southwest-2 https://uniagent-cn-southwest-2.obs.cn-southwest-2.myhuaweicloud.com/package/agent_install.sh 中国-香港 ap-southeast-1 https://uniagent-ap-southeast-1.obs.ap-southeast-1.myhuaweicloud.com/package/agent_install.sh 亚太-曼谷 ap-southeast-2 https://uniagent-ap-southeast-2.obs.ap-southeast-2.myhuaweicloud.com/package/agent_install.sh 亚太-新加坡 ap-southeast-3 https://uniagent-ap-southeast-3.obs.ap-southeast-3.myhuaweicloud.com/package/agent_install.sh 亚太-雅加达 ap-southeast-4 https://uniagent-ap-southeast-4.obs.ap-southeast-4.myhuaweicloud.com/package/agent_install.sh 非洲-约翰内斯堡 af-south-1 https://uniagent-af-south-1.obs.af-south-1.myhuaweicloud.com/package/agent_install.sh 拉美-圣地亚哥 la-south-2 https://uniagent-la-south-2.obs.la-south-2.myhuaweicloud.com/package/agent_install.sh 拉美-圣保罗一 sa-brazil-1 https://uniagent-sa-brazil-1.obs.sa-brazil-1.myhuaweicloud.com/package/agent_install.sh 拉美-墨西哥城一 na-mexico-1 https://uniagent-na-mexico-1.obs.na-mexico-1.myhuaweicloud.com/package/agent_install.sh 拉美-墨西哥城二 la-north-2 https://uniagent-la-north-2.obs.la-north-2.myhuaweicloud.com/package/agent_install.sh 中东-利雅得 me-east-1 https://uniagent-me-east-1.obs.me-east-1.myhuaweicloud.com/package/agent_install.sh
  • 操作步骤 使用root账号,登录主机。 执行以下命令,安装Agent,安装脚本分为agent_install.sh和agentInstall.sh,分别对应以下两种命令。 新架构Agent: cd /usr/local && curl -k -O ${download_url} && bash agent_install.sh -t ${version} -r ${regionID} 老架构Agent: cd /usr/local && curl -k -O ${download_url} && bash agentInstall.sh 表1中老架构的区域包括:华南-广州-友好用户环境、拉美-圣保罗一、拉美-墨西哥城一,其余都属于新架构。 将${download_url} 替换成表1中的下载路径,将${version}替换成Agent版本特性中的版本,将${regionID}替换成表1中的regionID。例如,用北京一下载地址替换${download_url},对应的安装命令为: cd /usr/local && curl -k -O https://obs.cn-north-1.myhuaweicloud.com/uniagent-cn-north-1/package/agent_install.sh && bash agent_install.sh -t 2.7.2 -r cn-north-1 命令执行完成时,输出Telescope process starts successfully.则代表安装成功。 执行如下命令,清除安装脚本。 if [[ -f /usr/local/uniagent/extension/install/telescope/bin/telescope ]]; then rm /usr/local/agent_install.sh; else rm /usr/local/agentInstall.sh; fi Agent插件配置完成后,因监控数据暂未上报,插件状态仍显示“未安装”,等待3-5分钟,刷新即可。
  • 免Agent方式审计数据库 部分数据库类型及版本支持免安装Agent方式,如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 MySQL 默认都支持 PostgreSQL (华为云审计实例:23.04.17.123301 及其之后的版本支持) 须知: 当SQL语句大小超过4kb审计时会被截断,会导致审计到的SQL语句不完整。 默认都支持 SQLServer 2008 2012 2014 2016 2017 GaussDB(for MySQL) Mysql8.0 DWS 8.2.0.100及以上版本 MariaDB 10.2 免安装Agent模式配置简单、易操作,但较之安装了Agent的DBSS实例,支持的功能上存在如下差异: 统计会话数量时,无法统计成功登录、与失败登录的会话个数。 无法获取数据库访问时客户端的端口号。 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略,只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。 GaussDB默认不开启ddl,用户需要参照GaussDB用户手册操作开启如下配置: audit_system_object = 130023423,操作请参考:GaussDB开发指南。 datastyle=ISO,YMD,保证日期格式为yyyy-MM-dd HH:mm:ss+Z。 图1 免Agent安装流程 表2 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 申请数据库安全审计后,您需要将待审计的数据库添加到数据库安全审计实例。 2 开启数据库安全审计 您需要开启数据库安全审计功能,将添加的数据库连接到数据库安全审计实例,才能使用数据库安全审计功能。 3 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围,可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后,您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知: 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作,请参见配置审计规则。
  • 步骤五:购买并配置ELB 登录控制台,进入购买弹性负载均衡页面。 根据页面提示,设置弹性负载均衡参数。 建议根据表5所示设置部分参数,其余参数请结合实际情况按需配置。关于购买弹性负载均衡更详细的参数介绍请参见创建独享型负载均衡器。 表5 购买弹性负载均衡参数说明 参数名称 参数说明 取值样例 实例类型 负载均衡的实例类型,选定后不支持修改。 独享型实例适用于大流量高并发的业务场景,如大型网站、云原生应用、车联网、多可用区容灾应用。 独享型 计费模式 独享型负载均衡器的付费方式。 包年/包月:预付费模式,即先付费再使用,按照订单的购买周期进行结算。 按需计费:后付费模式,即先使用再付费,按照弹性负载均衡实际使用时长计费,秒级计费,按小时结算。 按需计费 区域 不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。 华东-上海一 名称 待创建负载均衡器的名称。 长度范围为1~64位。 名称由中文、英文字母、数组、下划线(_)、中划线(-)和点组成。 HSS-outside-anp-ELB 企业项目 创建负载均衡器时,可以将其加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。 关于创建和管理企业项目的详情,请参见《企业管理用户指南》。 default 实例规格 按需计费模式下,独享型负载均衡支持按弹性规格和固定规格两种规格进行购买。 规格弹性: 弹性规格:适用于业务用量较大的场景,按实例使用量收取LCU费用。 固定规格:适用于业务用量较为稳定的场景,按固定规格折算收取LCU费用。 固定规格 网络型 小型 网络配置 网络类型:可以单独选择一个网络类型,也可以同时选择多个。 IPv4私网:负载均衡器通过IPv4私网IP对外提供服务,将来自同一个VPC的客户端请求按照指定的负载均衡策略分发到后端服务器进行处理。如果您有IPv4公网业务需求,请为负载均衡实例绑定弹性公网IP。 IPv6网络:系统会为实例分配一个IPv6地址,转发来自IPv6客户端的请求。 所属VPC:负载均衡器所属虚拟私有云,独享型ELB创建完成后不支持切换,请做好相关网络规划。 您可以选择使用已有的虚拟私有云网络,或者单击“查看虚拟私有云”创建新的虚拟私有云。 前端子网:独享型负载均衡所在的子网,从该子网中分配ELB实例对外服务的IP地址。 ELB创建完成后,支持解绑IP地址后,绑定新的前端子网下的IP地址。 后端子网:负载均衡实例将使用后端子网中的IP地址与后端服务器建立连接。 IPv4私网 HSS-outside-anp-VPC (在执行步骤一:创建VPC时,创建的VPC。) HSS-outside-subnet (在执行步骤一:创建VPC时,创建的VPC子网。) 与前端子网保持一致 弹性IP 支持您为负载均衡器配置对应的弹性公网IP以处理IPv4公网业务流量。 现在购买 全动态BGP 按带宽计费 购买参数设置完成后,单击“立即购买”,完成ELB创建。 在弹性负载均衡页面,查看创建成功的ELB,记录IPv4公网地址。 单击目标ELB所在行的“监听器(前端协议/端口)”列的“去添加”,进入添加监听器页面。 根据页面提示,设置监听器参数。 建议按表6所示设置部分参数,其余参数请结合实际情况按需配置。关于添加监听器更详细的参数介绍请参见添加TCP监听器。 表6 添加监听器参数取值 参数名称 参数说明 取值样例 配置监听器 名称 监听器名称。 HSS-outside-anp-Listener 前端协议 客户端与负载均衡监听器建立流量分发连接的协议。 TCP 前端端口 客户端与负载均衡监听器建立流量分发连接的端口。 8091 访问控制 支持通过白名单和黑名单进行访问控制。 允许所有IP访问 配置后端分配策略 后端服务器组 把具有相同特性的后端服务器放在一个组。 新创建 使用已有 新创建 名称 待创建的后端服务器组的名称。 HSS-outside-anp-server-group 后端协议 后端云服务器自身提供的网络服务的协议。 TCP 分配策略类型 负载均衡采用的算法。 加权轮询算法:根据后端服务器的权重,按顺序依次将请求分发给不同的服务器,权重大的后端服务器被分配的概率高。 加权最少连接:加权最少连接是在最少连接数的基础上,根据服务器的不同处理能力,给每个服务器分配不同的权重,使其能够接受相应权值数的服务请求。 源IP算法:对不同源IP的访问进行负载分发,同时使得同一个客户端IP的请求始终被派发至某特定的服务器。 加权轮询算法 添加后端服务器 云服务器 在使用负载均衡服务时,确保至少有一台后端服务器在正常运行,可以接收负载均衡转发的客户端请求。 单击“添加云服务器”,可添加后端服务器。 HSS-outside-anp-ECS ,“业务端口”设置为“8091”。 (在执行步骤三:创建ECS时,创建好的服务器。) 在确认配置页面,可查看并确认设置好的参数信息。 单击“提交”,完成配置。
  • 步骤一:创建VPC 登录控制台,进入创建虚拟私有云页面。 在“创建虚拟私有云”页面,根据页面提示配置VPC和子网的参数。 建议参考表1所示设置部分参数,其余参数保持默认。关于创建虚拟私有云更详细的参数介绍请参见创建虚拟私有云和子网。 表1 创建虚拟私有云参数说明 参数名称 参数说明 取值样例 区域 不同区域的云服务产品之间内网互不相通,请就近选择靠近您业务的区域,可减少网络时延,提高访问速度。 华东-上海一 名称 输入VPC的名称。要求如下: 长度范围为1~64位。 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。 HSS-outside-anp-VPC 企业项目 创建VPC时,可以将VPC加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default。 关于创建和管理企业项目的详情,请参见《企业管理用户指南》。 default 子网名称 输入子网的名称。要求如下: 长度范围为1~64位。 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。 HSS-outside-subnet 单击“立即创建”,创建完成后,可查看已创建虚拟私有云。
  • 前提条件 云服务器的“状态”为“运行中”,且可正常访问公网。 云服务器安全组出方向的设置允许访问100.125.0.0/16网段的10180端口(默认允许访问,如做了改动请修正)。 云服务器的DNS服务器地址已配置为华为云内网 DNS地址 ,具体请参考修改云服务器的DNS服务器地址和华为云内网DNS地址。 安装Agent的磁盘剩余可用容量大于300M,否则可能导致Agent安装失败。 云服务器已关闭Selinux防火墙(防止Agent安装失败,请安装成功后再打开)。 如果云服务器已安装第三方安全软件,可能会导致主机安全服务Agent无法正常安装,请您关闭或卸载第三方安全软件后再安装Agent。 待安装Agent的服务器支持SSH登录。
  • 安装场景 主机安全服务支持华为云主机和非华为云主机两种安装方式,请按表1进行选择。 表1 安装场景 服务器类型 如何安装Agent 华为云弹性 云服务器ECS 华为云裸金属服务器BMS 华为云云耀云服务器HECS 主机与HSS配额在同一区域,请使用华为云主机的安装方式。 主机与HSS配额不在同一区域,请退订配额后,重新购买主机所在区域的配额。 华为云 云桌面Workspace 云桌面 镜像中已预置HSS Agent,购买云桌面23.6.0及以后版本将会自动安装Agent,无需您手动安装。如果您购买的云桌面是23.6.0以前的版本,可以参照本文手动为云桌面安装Agent。 第三方云主机 非华为云主机的安装方式。 目前北京一、北京四、上海一、上海二、广州、新加坡、香港区域支持非华为云主机的安装方式,其他区域敬请期待。 在非华为云主机中安装Agent后,在防护列表中,您可以根据主机的IP地址查找该主机。 线下主机
  • 约束与限制 华为云主机 主机与HSS必须在同一区域,并使用配额所在区域的安装命令或安装包为主机安装Agent,否则会导致HSS Agent安装失败。若主机与HSS配额不在同一区域,请退订重新购买主机所在区域的配额。 非华为云主机 当前仅“华北-北京一”、“华东-上海二”、“华南-广州”、“华北-北京四”可接入非华为云的主机,请在以上区域内购买防护配额,并使用以上区域内的安装包或安装命令为主机安装Agent。 非华为云主机需要能通过公网IP访问华为云,才能接入HSS。安装Agent后,在防护列表中,您可以根据主机的IP地址查找该主机。 由于主机的性能差异,非华为云的主机与 企业主机安全 服务的兼容性可能较差,为使您获得良好的服务体验,建议您使用华为云主机。 安装Agent时,请暂时清理主机中可能干扰主机安装的应用进程和配置信息(例,McAfee软件、360安全卫士、腾讯管家等第三方安全防护软件),防止Agent安装失败。