正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用ECS作为NFS服务器实现多用户资源隔离 使用ECS作为NFS服务器实现多用户资源隔离 FunctionGraph的函数实例除了支持挂载SFS弹性文件系统外,也支持挂载ECS服务器共享出来的NFS共享路径,使用ECS更便于进行多租户的资源管理。 购买ECS服务器,其中以下几点需要注意:
配置触发器 触发器管理 使用定时触发器 使用APIG(专享版)触发器 使用Kafka触发器 使用DIS触发器 使用SMN触发器 使用LTS触发器 使用CTS触发器 使用DDS触发器 使用GeminiDB Mongo触发器 使用APIG触发器 使用APIC触发器 使用RabbitMQ触发器
准备 开通CTS云审计服务 在云审计服务中开通配置追踪器,如图1所示。开通案例参考追踪器配置。 图1 配置追踪器 创建委托 登录统一身份认证服务控制台,在左侧导航栏单击“委托”,进入“委托”界面。 单击“创建委托”,进入“创建委托”界面。 填写委托信息。 委托名称:输入“serverless_trust”。
触发器管理 停用/启用触发器 已经创建的触发器,通过设置停用/启用,控制触发器的状态。SMN触发器、APIG触发器创建以后,不能停用,只能删除。 登录函数工作流控制台,在左侧的导航栏选择“函数 > 函数列表”。 单击函数名称,进入函数详情界面。 选择“设置 > 触发器”,进入“触发器”页
DevOps、企业办公、容器应用等。详情请参见SFS产品介绍。 ECS共享目录 ECS共享目录是通过nfs服务,把ECS上的指定目录设置为共享文件系统(详情请参见添加ECS共享目录),函数(和ECS相同的VPC配置)可以挂载对应目录进行读写等操作,实现计算资源的动态扩展。此类型适合业务不太频繁的场景。
配置权限:确保登录的用户已有“FunctionGraph Administrator”权限。 创建函数:选择使用空白模板创建函数、示例代码创建函数、容器镜像部署函数。 配置函数:配置代码源或修改其他参数配置。 测试函数:创建测试事件来调试函数。 查看执行结果:在函数详情页面,根据配置的测试事件,查看执行结果。
添加事件源 选择准备中开通的CTS云审计服务,创建CTS触发器,CTS触发器配置如图1所示。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 函数+CTS:登录/登出安全分析实战
配置环境变量 概述 环境变量可以在不修改代码的情况下,将动态参数传递到函数,调整函数的执行行为。 应用场景 区分多环境:相同的函数逻辑,可根据部署环境的不同,配置不同的环境变量以区分。例如,通过环境变量给测试和开发环境配置不同的数据库。 配置加密:函数中访问其他服务的认证信息,例
关于定时触发器事件源具体介绍请参见支持的事件源。 前提条件 已经创建函数,创建过程请参见创建函数。 创建定时触发器 登录函数工作流控制台,在左侧的导航栏选择“函数 > 函数列表”。 选择待配置的函数,单击进入函数详情页。 选择“设置 > 触发器”,单击“创建触发器”,弹出“创建触发器”对话框。
的创建请参见配置委托权限。 由于创建HelloWorld函数的时候没有设置委托,所以需要先修改函数委托。 登录函数工作流控制台,在左侧的导航栏选择“函数 > 函数列表”。 选择待配置的函数,单击进入函数详情页。 在“设置 > 权限”页签,修改函数委托,将委托修改为配置委托权限创建
华为云 函数工作流 函数工作流(FunctionGraph)是华为云提供的一款无服务器(Serverless)计算服务,无服务器计算是一种托管服务,服务提供商会实时为你分配充足的资源,而不需要预留专用的服务器或容量,真正按实际使用付费。 免费体验 图说函数工作流 仅两个按钮时选用 立即使用
开启函数流VPC访问后,需要在GeminiDB Mongo服务安全组配置对应子网的权限。如何开启VPC访问请参见配置网络。 配置GeminiDB事件触发函数 返回函数工作流控制台,在左侧的导航栏选择“函数 > 函数列表”。 选择待配置的函数,单击进入函数详情页。 在函数详情页,选择函数版本。
组ID用于对访问远端文件系统的目录权限进行控制。 文件系统/云服务器名称:选择创建的文件系统或者云服务器资源,注意函数配置的VPC和委托要有访问权限。 共享目录路径:如果选择ECS挂载需要配置远端共享目录,请参见ECS创建nfs共享目录。 函数访问路径:为本地文件系统挂载目录,不能是系统已存在目录。建议使用/mnt/
配置常规信息 概述 在函数创建完成后,“内存”、“函数执行入口”、“执行超时时间”会根据您所选的“运行时语言”默认填写。如果您需要贴合实际业务场景修改配置,请参见本章节进行配置。 前提条件 已创建函数。 操作步骤 登录函数工作流控制台,在左侧的导航栏选择“函数 > 函数列表”。 选择待配置的函数,单击进入函数详情页。
rust”。 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法IP登录/登出,进行SMN消息主题邮件告警。形成良好的账户安全监听服务。 设置环境变量 在函数配置页签需配置环境变量,设置SMN主题名称,说明如表1所示。 表1 环境变量说明表 环境变量 说明 SMN_Topic
案例概述 场景介绍 通过CTS云审计服务,完成对公有云账户对各个云服务资源操作动作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
步骤三:配置部署主机 在CodeArts界面,在“设置 > 通用设置”页签下,选择“主机组管理”,单击“新建主机组”。 输入主机组名“deploy-function”,单击“保存”: 图1 填写主机组名 在跳转界面“主机信息”页签下,单击“导入ECS”。 将部署环境准备的ECS云服务
FullAccess权限的委托,创建过程请参见配置委托权限。 已经创建日志组,此处以LogGroup1为例,创建过程请参见创建日志组。 已经创建日志流,此处以LogTopic1为例,创建过程请参见创建日志流。 配置Agent,快速将ECS等服务器上日志采集到指定的日志组,详情请参见安装ICAgent。 创建LTS触发器
| 1GiB 镜像:CentOS 8.2 64bit 其他:需要配置弹性公网IP,因为要安装python库和CodeArts,配置该服务器为部署主机。 注意:因为CodeArts配置该服务器为部署主机是通过SSH协议22端口,如果您对安全有较高的要求,至少需要将以下IP地址加入安全组并放开限制,否则将无法进行授信。