检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
式,采用ECS或者BMS的形式进行应用部署,以满足应用和业务本身的性能诉求。 如果借助上云的机会业务侧也会做容器化和微服务的改造,上云时选择容器化(CCE/CCI)进行部署。 如果本身业务已经是微服务化的形式,建议上云时考虑容器服务(CCE/CCI)进行部署。 相关服务和工具 弹性云服务器
通过企业项目分隔工作负载:企业项目是云服务资源的逻辑集合,将工作负载部署在不同的企业项目中,实现资源的分组管理和权限控制。 通过多账号分隔工作负载:将不同的工作负载部署在不同的华为云账号中,每个账号具有独立的身份验证、访问控制和资源隔离。这种方法可以实现更严格的隔离和安全性。为每个账号分配最小必要权限,避免权
跟踪并监控对网络资源和关键数据的所有访问:通过系统的活动记录机制和用户活动跟踪功能可有效降低恶意活动对于数据的威胁程度。当系统出现错误或安全事件时,通过执行彻底地跟踪、告警和分析,可以较快地确定导致威胁的原因。 风险等级 中 关键策略 采集各类安全服务的告警事件,并进行大数据关联、检索、排序,全面评估安全运营态势。
RES01 冗余 RES01-01 应用组件高可用部署 RES01-02 应用组件多位置部署 RES01-03 云服务器反亲和 父主题: 高可用设计
影响。 相关云服务和工具 弹性负载均衡器 ELB:支持健康检查,会定期向后端服务器发送请求以测试其运行状态,并根据健康检查来判断后端服务器是否可用,当判断为异常后就不会将流量分发给该异常后端服务器。 云容器引擎 CCE:支持容器健康检查,容器运行过程中,可根据用户需要,定时检查容
通常对外网络地址需要尽可能集中管控,避免分散暴露,如使用网络服务ELB弹性负载均衡、公网NAT网关、Web云防火墙等作为公网访问入口。 对外的IP地址需要通过安全组、NAT等限制网络端口访问,减少安全风险。 相关云服务和工具 虚拟私有云VPC:安全组 弹性负载均衡器 ELB NAT网关
由于硬件故障导致的高可用切换或跨AZ切换过程中,导致瞬时链接中断,需要应用系统具备链接中断重试的功能。 由于外部流量突发导致业务过载,需要应用系统具备流量控制的能力。 部分强依赖于硬件的负载,如依赖本地硬盘、GPU等,由于硬件故障导致服务中断,需要应用系统自身构建高可用的能力。 不同的应
非关键路径透传数据库,建议对访问数据库进行限流。 建议 - 从Redis获取数据未命中时,访问只读数据库实例。可通过域名等方式对接多个只读实例。 建议 核心是未命中的缓存数据不会打到主库上。 用域名对接多个只读数据库实例,一旦出现问题,可以增加只读实例应急。 不用作消息队列 发布订阅场景下,不建议作为消息队列使用。
CCE突发弹性引擎(对接CCI) 将Kubernetes API扩展到无服务器的容器平台(如CCI),无需关心节点资源。 适合在线突增流量、CI/CD、大数据作业等场景。 CCE容器实例弹性伸缩到CCI服务 相关云服务和工具 弹性伸缩 AS 云容器引擎 CCE 云容器实例 CCI 父主题: 选择合适的计算资源
最小化密钥的使用范围,避免在不必要的情况下暴露密钥。 实施访问控制和权限管理,限制对密钥的访问。 存储密钥: 使用安全的存储设备或者加密存储来保存密钥。 确保只有授权人员可以访问密钥存储。 更新密钥: 定期更新密钥以应对安全漏洞和攻击。 使用安全的方式进行密钥轮换,确保服务的连续性。 备份与恢复: 定期备份密钥,并将备份存储在安全的地方。
权问题。 服务运行用户,例如服务运行的用户是否为最低权限用户,禁止使用root用户运行服务。 Web攻击,例如Web应用是否存在SQL注入、XSS跨站脚本、文件包含、目录遍历、敏感文件访问、命令、代码注入、网页木马上传、第三方漏洞攻击等常见Web威胁问题。 相关云服务和工具 企业主机安全
监控。基础监控为 ECS自动上报的监控指标,操作系统监控通过在ECS中安装Agent插件,为用户提供服务器的系统级、主动式、细颗粒度监控服务。主要关注:CPU_UTIL、DISK_READ_BYTES_RATE、带外网络流入速率等指标 用户线下 组件监控 对用户的线下组件统一监控,主要支持:线下
最小化服务。 最小化原则(Least Privilege) 最小化身份:尽可能减少非必要的系统管理员,定时清理过期的身份。 最小化权限:给予用户或实体最小必要权限来执行其工作,以降低潜在的安全风险。 最小化暴露面:对不同的访问区域和访问对象,仅暴露最小的服务端点和最少的服务应用接口。
攻击特别是新型网络攻击行为和异常行为的识别和分析。 基于安全事件进行攻击链分析和攻击溯源, 包含攻击的各个路径,初始访问、执行、持久化、权限提升、防御绕过、凭证访问、信息收集、横向移动、数据采集、命令控制、数据窃取和影响破坏等。 可基于流批一体化平台,支持在线、近线和离线的各种异
其中两条物理专线接入同区域的两个华为云专线接入点,并通过BGP路由协议接入同一个VPC,用户可设置虚拟接口的优先级以决定业务的主备链路。具体的方案参见“用户通过双专线双接入点BGP协议访问VPC”。 双VPN冗余:用户数据中心与华为云VPC之间采用两条VPN连接保证可靠性;当其中
秒杀、流控、系统解耦等场景。 详细版本对比可参考官方文档。 相关云服务和工具: 分布式消息服务Kafka版 分布式消息服务RocketMQ版 分布式消息服务RabbitMQ版 父主题: 选择合适的应用中间件云服务资源
输出件是可执行性能测试方案。 用户原子行为:识别测试场景,通过识别用户在与服务系统交互时大量执行的步骤和操作,模拟真实的用户行为和系统负载模式。 例如登录、执行搜索、批操场景、导入导出、提交表单或访问特定功能等活动。 将每个方案分解为表示用户与服务系统交互的特定场景步骤和操作。
通过加固操作系统、减少未使用的组件和外部服务,以及使用工具加强云安全,减少资源的攻击面。 风险等级 高 关键策略 强化操作系统和减少组件:通过减少未使用的组件、库和外部服务,可以缩小系统在意外访问下的危险。这包括操作系统程序包、应用程序以及代码中的外部软件模块。 创建安全的虚拟机镜像或者容器镜像。
DCS分布式缓存服务 分布式缓存服务(Distributed Cache Service,简称DCS)是华为云提供的一款兼容Redis的高速内存数据处理引擎,可提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力,满足用户高并发及数据快速访问的业务诉求。 可靠性功能 常见故障模式
EPS为客户提供单账号下的人财物权管理,用户可以根据组织架构规划企业项目,将企业分布在不同区域的资源按照企业项目进行统一管理,同时可以为每个企业项目设置拥有不同权限的用户组和用户。 标签管理TMS是一种快速便捷将标签集中管理的可视化服务,提供跨区域、跨服务的集中标签管理和资源分类功能。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
