检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
进入安全组列表页面。 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。 进入安全组规则配置页面。 在入方向规则页签,单击“添加规则”,添加入方向规则。 单击“+”可以依次增加多条入方向规则。
客户端或JDBC/ODBC应用程序使用SSL连接方式,用户必须在客户端或应用程序代码中配置相关的SSL连接参数。GaussDB(DWS)管理控制台提供了客户端所需的SSL证书,该SSL证书包含了客户端所需的默认证书、私钥、根证书以及私钥密码加密文件。
如果要强制使用SSL连接,需要在集群“安全设置”页面开启“服务器端是否强制使用SSL连接”,操作详情可参见设置SSL连接,客户端和服务器端SSL连接参数组合情况可请见客户端和服务器端SSL连接参数组合情况。
基于公网NAT网关的用户网络,可以通过配置安全组和网络ACL实现访问限制。 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。
图1 配置ECS安全组 表1 安全组规则 方向 协议端口 目的地址 出方向 全部放通 Default_All RabbitMQ实例所在安全组需要增加如下规则,以保证能被客户端访问。
如果用户使用的数据通道端口范围为60001-60100,则安全组规则如下所示。 图1 安全组规则 父主题: 安全类
安全 责任共担 审计与日志 监控安全风险 认证证书
检查安全组规则 如果安全组没有放通弹性云服务器访问和对外提供服务使用的端口,需要在弹性云服务器对应的安全组中添加放行该端口的规则。 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。 选择“计算 > 弹性云服务器”。
如果需要设置限制访问的网站,您可以配置安全组和ACL规则进行限制。具体请参考安全组配置示例和网络ACL配置示例。 父主题: DNAT规则
在弹性云服务器列表,单击待检查安全组规则的弹性云服务器名称。 选择“安全组”页签,展开安全组规则。 检查入方向规则和出方向规则是否已经配置放行弹性云服务器使用端口的规则。 如果已配置放行弹性云服务器使用端口规则,请检查下一项。
相关链接 管理DNAT规则 父主题: 管理DNAT规则
配置DNAT规则后,需在对应的云主机中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 父主题: 管理DNAT规则
步骤七:添加安全组规则 进入安全组列表页面。 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。 进入安全组规则配置页面。 在入方向规则页签,单击“添加规则”,添加入方向规则。 单击“+”可以依次增加多条入方向规则。
配置DNAT规则后,需在对应的云主机中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 父主题: 云间NAT网关高速访问互联网
配置DNAT规则后,需在对应的云主机中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 父主题: 使用DNAT为云主机面向公网提供服务
即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访问,此时建议您将端口修改为其他非高危端口。
配置DNAT规则后,需在对应的云服务器中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 步骤五:验证是否成功添加DNAT规则 在DNAT页签的DNAT规则列表中,可以看到DNAT规则详细信息验证是否成功添加DNAT规则。
图2 添加路由 在目的网段包含的服务器(私网地址为:10.0.0.62)中添加入方向安全组规则,用于将发到目的端的流量全部放通。 图3 添加入方向安全组规则 配置验证 配置完成,测试连通性。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外
如何正确配置集群安全组规则? Autopilot集群在创建时将会自动创建两个安全组,其中Master节点的安全组名称是:{集群名}-cce-control-{随机ID};ENI的安全组的名称是:{集群名}-cce-eni-{随机ID}。
区域:选择华北-北京四 名称:vpc-监管 IPv4网段:10.10.0.0/24 可用区:可用区1 名称:subnet-W 子网IPv4网段:保持默认 未提及参数,保持默认或根据界面引导配置 创建安全组 选择“网络 > 虚拟私有云”,选择“访问控制 > 安全组”,单击“创建安全组
监控安全风险 云监控(Cloud Eye)服务是面向华为云资源的监控平台,提供了实时监控、及时告警、资源分组、站点监控等能力,使您全面了解云上资源的使用情况和业务的运行状况。 监控是保持NAT网关服务可靠性、可用性和性能的重要部分。通过云监控服务,可以按时间轴查看连接数、PPS、流入
创建DNAT规则后,需在VPC中放通对应的安全组规则,否则DNAT规则不能生效,所以还需要配置VPC服务的VPC FullAccess权限,或添加细粒度权限vpc:securityGroups:create,具体详见《虚拟私有云API参考》。
安全组:Sys-FullAccess。本实践选择一个全部放通的安全组作为测试安全组,后期可以根据业务情况重新绑定业务所需的安全组,提升业务安全性。 弹性公网IP:暂不购买 未提及参数,保持默认或根据界面引导配置 配置完成后单击“下一步:高级配置”。
华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
