检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网络服务选型 华为云提供的网络服务有虚拟私有云VPC、企业路由器ER、企业交换机ESW、云专线DC、虚拟专用网络VPN、全球加速GA、弹性负载均衡ELB、NAT网关、弹性公网IP等。以下是这些网络服务的选型建议: 云内同区域少量VPC互通用对等连接,跨区域VPC互通用云连接CC,
整体网络架构 Landing Zone的整体网络架构设计如下图所示。网络运营账号作为Landing Zone的网络枢纽,该账号集中管理多账号的边界网络出入口,并打通多账号下VPC之间的网络。在网络运营账号下集中部署企业路由器(Enterprise Router, ER),通过ER
中管理: 集中网络管理:中心IT部门统一规划、部署和维护企业在云上的网络基础设施,包括专线、企业路由器、VPN、云连接、NAT网关、VPC等。这样可以确保整个企业的网络架构统一、稳定、安全,避免各业务单元自行管理网络所带来的不一致性和潜在的安全漏洞。同时,统一的网络管理还能提高数
具备良好的故障排除和问题解决能力。 IT部门 云网络管理员 负责云平台网络架构的设计、配置和日常运维,保障网络稳定和安全。 管理VPN、专线、VPC、子网、网络ACL、路由、负载均衡、防火墙等网络组件。 监控网络性能,排查网络故障,优化网络延迟和带宽使用。 确保网络安全,防范DDoS攻击等网络威胁。 熟悉云平台
资源发现与评估工具(RDA):是一个部署在Windows主机上的工具,用于评估上云驱动力和准备度,发现应用基础设施(例如虚拟机规格信息,CPU,内存利用率性能数据,网络拓扑数据等),并提供其迁移到华为云的推荐配置以及主机的一站式迁移能力。 主机迁移服务(SMS):是一种P2V/V2V迁移服务,可以把X86
践。 网络防线 核心是要做好网络边界防护和内网东西向的访问控制。 网络边界防护:网络边界主要指的是企业内部网络与外部网络的边界,典型的场景如互联网接入、VPN、专线接入。客户可以基于华为云提供的云防火墙(Cloud Firewall,CFW)、VPC的安全组和ACL实施网络边界访
层级:接入层、应用层、中间件层、数据层。 图1 应用的四层部署架构设计 接入层:为外部访问提供了访问入口,云上业务部署在VPC私有网络中,与外部网络是隔离的,当外部需要访问VPC业务时,通常可以通过如下两种方式: 专线:云专线是搭建用户本地数据中心/其他云厂商与云上虚拟私有云(Virtual
、集中网络管理、共享服务管理、统一安全管理、统一合规审计、统一运维管理、统一财务管理和数据边界总共9个领域。 图1 Landing Zone解决方案参考架构 这九大领域的实施需要在特定的账号内完成,比如组织与账号管理是在主账号(管理账号)中完成,而集中网络管理主要是在网络运营账号中完成。下表是九大领域对应的主要账号。
CXO(包含CEO、CIO、CTO、COO、CFO等) 业务主管 IT主管、技术主管 财务专家 人力资源主管 云架构师、应用架构师、数据架构师、网络架构师 IT治理专家 运维主管、IT运维专家 CISO、安全专家、合规审计专家 应用开发专家、应用测试专家 应用运维专家 迁移实施工程师 项目经理
基础架构、安全责任、安全管理、合规与审计等方面存在显著差异。 在基础架构方面,传统IT安全主要针对企业自建的物理硬件和网络设施,安全措施集中于物理环境和内部网络的防护,包括部署防火墙、入侵检测系统和防病毒软件等。云安全则基于虚拟化技术和云服务商的基础设施,安全防护需要考虑虚拟化层
Runbook操作步骤设计 Runbook中的每一步操作,都有明确的操作步骤、操作命令/脚本、串/并行标记、操作人、确认人、预估开始时间、结束时间、预估执行时长。切换方案不同,对应的Runbook的操作步骤也不同。切换方案可以分停服切换和不停服切换。不停服切换方案对应用架构的要求
将已有的业务云镜像导入到云平台,方便企业业务迁移与业务的批量部署,实现业务上云或云上迁移。 图2 镜像导出导入方案 在源端与目标端无法通过网络使用SMS主机迁移服务进行整机迁移时,可以使用IMS镜像服务进行整机迁移。将源端服务器的系统盘和数据盘分别制作私有镜像,上传至华为云OBS
境构建好以后,上云工作才能正式开始。基础环境在业界也叫做LandingZone(着陆区),基础环境设计包括6个方面,即账号和权限设计、整体网络设计、整体安全设计、资源治理设计、运维监控设计、财务管理设计。 应用部署架构设计:应用部署架构是应用在云上的技术架构,应用部署架构要从接入
过程,包括依赖安装、配置和启动命令。 容器编排与管理:如果需要管理多个容器实例、自动扩展和负载均衡等功能,可以使用容器编排工具,如Kubernetes。通过编写配置文件或使用命令行工具,定义容器的部署和运行方式。 网络和存储配置:配置容器之间的网络通信和访问外部资源的方式。确保容
风险。为了帮助客户提高云环境的安全防护能力,华为云为客户提供了华为云安全配置基线指南。该指南包括身份与访问管理、日志与监控、虚拟机与容器、网络、存储、数据库、企业智能等方面的安全配置,但并不是所有可能的安全配置的详尽列表。建议您将该指南作为一个起点,并根据实际需要在此基础上进行补充或裁剪。
源,而不是网段。与传统安全理念对比,它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。所有的资源(如人/物/终端/应用/网络/数据/供应链)都需要进行持续身份验证和信任评估,从全局视角执行动态安全策略。零信任通过动态、持续性的实体风险评估,缩小受攻击面,保证系统安全。
全方位数据边界基于身份控制策略、网络控制策略和资源控制策略构筑起一道坚固的数据安全屏障。确保只有经过严格验证的可信身份,在符合安全标准的可信网络环境中,方能获得对特定资源的访问权限,从而保障数据安全。如下图所示,可信身份从互联网(不可信网络)访问云资源的请求会被拒绝,不可信身份通过本地数据中心网络(可信网
根据云上大数据资源配置,修改源代码,例如版本、依赖库、数据库连接串,以及本地开发环境的库依赖配置等。 编译源代码,生成云上环境可执行的Jar包。 上传Jar包,并在任务调度平台部署和配置Jar包。 执行调度任务,并根据日志检查任务执行状态和结果。 如果任务执行不符合预期,例如执行时间过长,需要查找根因并进行优化和验证。
策略、网络控制策略和资源控制策略构筑起一道坚固的数据安全屏障。确保只有经过严格验证的可信身份,在符合安全标准的可信网络环境中,方能获得对特定资源的访问权限,从而保障数据安全。如下图所示,可信身份从互联网(不可信网络)访问云资源的请求会被拒绝,不可信身份通过本地数据中心网络(可信网
维护这些公共IT服务,将其共享给公司内所有业务单元。华为云提供了三种资源共享的方式。 图1 资源共享方案 基于网络的共享:通过ER或VPC Peering将账号之间的网络打通,在此基础上进行资源共享,该方式仅限于拥有租户可见IP地址的资源,如NTP服务器、自建DNS服务器或者SFS文件存储等。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
