检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ELB是否自带防DDoS攻击和Web代码层次安全的功能? ELB服务不提供DDoS等安全防护功能,防护功能一般配合高防系统来使用; DDoS防护是华为云默认开启的防护,所有公网的入口流量都会被DDos防护。 DDoS高防(Advanced Anti-DDoS,AAD)是基于Ant
方案概述 应用场景 某公司在云上多个VPC及云下用户数据中心(IDC)拥有多台后端服务器,如图1所示。希望使用弹性负载均衡将访问流量分发到这些后端服务器上。 本节操作介绍通过独享型负载均衡实现将云上、云下多台后端服务器添加至ELB的方法。 图1 添加云上、云下多台后端服务器至ELB
功能支持 ELB是否可以单独使用? ELB是否自带防DDoS攻击和Web代码层次安全的功能? ELB权限和使用范围是什么? ELB是否可以添加不同操作系统的服务器? ELB支持跨用户、跨VPC使用么? 后端服务器可以反过来访问ELB吗? ELB能否实现全链路HTTPS协议? ELB支持IPv6网络吗?
审计与日志 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后,ELB可记录ELB的操作事件用于审计。
后端服务器可以反过来访问ELB吗? 通常情况,不建议同一台服务器既作为后端服务器又作为客户端的业务场景。 如果您有特殊业务需求,请谨慎选择方案。 公网通信:如果后端服务器绑定了公网IP地址,可以访问ELB的公网IP地址。 私网通信: 七层监听器支持后端服务器作为客户端访问ELB。
handshake_failure 异常原因:ELB服务器没有提供证书或者提供的证书不符合客户端的校验要求,导致握SSL/TLS手失败。 解决方案: 请检查监听器上配置的证书是否正确。 请确认监听器的TLS安全策略使用的加密套件是否满足客户端要求。 排查项二:证书验证报错 报错信息:
通过IP类型后端功能添加服务器至ELB 方案概述 通过IP类型后端添加云上不同VPC的服务器至ELB 通过IP类型后端添加云上相同VPC的服务器至ELB
络,或者不同账号内VPC的网络等。 不同VPC之间网络连通后,通过IP类型后端添加的后端服务器可参与流量负载分发。 网络连通方案详情请参见VPC网络连接方案概述。 表1 IP类型后端网络连通指引 连通场景 网络服务 功能介绍 相关文档 添加云上同一个区域、不同VPC的后端服务器 VPC对等连接
黑名单:黑名单IP地址组内的客户端将被ELB强制丢包。 白名单:仅白名单IP地址组内的客户端可以正常访问,白名单IP地址组外的客户端将被ELB强制丢包。 解决方案:您可通过查看监控指标“黑白名单阻断数据包数”和“黑白名单阻断流量”判断是否有数据包因为访问控制策略黑白名单的限制导致丢包,查看监控指标详
通过IP类型后端添加云上相同VPC的服务器至ELB 应用场景 您还可以通过IP类型后端功能添加与ELB同VPC内的服务器至ELB后端服务器组。 方案架构 独享型负载均衡(ELB-Test)在vpc-peering(10.1.0.0/16)中; 服务器(ECS-Test)也在vpc-peering(10
通过IP类型后端添加云上不同VPC的服务器至ELB 应用场景 本实践以用户常用的云上跨VPC添加服务器至ELB后端服务器组为例。 方案架构 独享型负载均衡(ELB-Test)在VPC-Test-01(172.18.0.0/24)中; 服务器(ECS-Test)在VPC-Test-02(172
与其他服务的关系 弹性负载均衡服务与其它服务的依赖关系如图1所示: 图1 弹性负载均衡服务其它服务的关系示例图 表1 与其他服务之间关系 服务名称 交互功能 相关内容 弹性云服务器(Elastic Cloud Server,ECS) 通过相关服务部署用户业务,并接收ELB分发的访问流量。
API概览 API(共享型) 如何调用API API(共享型_企业项目) 权限策略和授权项 API(独享型) 常见问题 了解更多常见问题、案例和解决方案 热门案例 健康检查异常如何排查? 为什么通过负载均衡无法访问后端业务? 如何检查弹性负载均衡服务不通或异常中断? 如何检查请求不均衡? 如何检查弹性负载均衡业务访问延时大?
五元组2-ECS TCP IP-Client 100 IP-ECS 90 后端服务器接收到五元组报文相同的请求1和请求2,就会导致连接建立失败。 解决方案 为解决后端服务五元组冲突问题,客户端需要避免使用相同的源端口访问不同的实例或监听器,具体而言,您可采用以下措施: 客户端请求源端口硬编码
ELB与WAF如何配合使用? 如果您的网站已接入Web应用防火墙(Web Application Firewall,简称WAF)进行安全防护,您可以通过ELB来设置源站服务器的访问控制策略,只放行WAF回源IP段,防止黑客获取您的源站IP后绕过WAF直接攻击源站。详见《Web应用防火墙用户指南》。
该实现方式可能会导致后端服务器中的应用认为TCP连接异常退出,并打印错误信息,如“Connection reset by peer”。解决方案如下: 采用HTTP健康检查。 后端服务器忽略健康检查的连接错误。 UDP健康检查 对于四层(UDP)后端协议,默认配置UDP健康检查,通
将独享WAF接入ELB以增强Web业务安全防护能力 应用场景 如果您的业务服务器部署在华为云,您可以将WAF独享引擎实例接入应用型ELB,对重要的域名或仅有IP的Web服务进行防护。 HTTP(S)请求经由ELB转发后会先经过WAF,恶意攻击流量在WAF上被检测过滤,而正常流量转
不同可用区的负载均衡实例间采用双活或者多活模式,客户端访问的请求就近分配到同可用区的实例。 表1 弹性负载均衡可用区容灾规划场景说明 可用区容灾方案 推荐业务场景 场景优势 单实例多可用区 对于业务量没有超过独享型负载均衡最大规格限制的,建议创建一个负载均衡实例,并选择多个可用区。 单
该实现方式可能会导致后端服务器中的应用认为TCP连接异常退出,并打印错误信息,如“Connection reset by peer”。解决方案如下: 采用HTTP健康检查。 后端服务器忽略健康检查的连接错误。 UDP健康检查 对于四层(UDP)后端协议,默认配置UDP健康检查,通
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
