检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。关于
跨境业务需要提升指定区域用户范围跨境资源的体验时,选择云连接CC搭配全球加速GA,使流量通过华为云骨干网实现降低时延的效果。 低并发、大流量基础四/七层负载分发场景建议选择共享型ELB并开启性能保障模式(支持5万并发),购买两个实例、通过域名解析分流可获得更大的并发支持。 超过10万并发
统一策略管理:为各个组织单元和子账号设置(包括服务控制策略和标签策略),强制限定子账号下用户(包括账号管理员)的权限上限,避免用户权限过大带来安全风险,创建控制策略时可以将其应用到某一个组织单元,该策略可以继承到关联的子账号和下层组织单元。 统一身份管理:基于IAM身份中心,统一创建用户和用户群,或者统一配置与外部IdP(Identity
接入层迁移实施 EIP EIP不涉及到迁移,EIP通常需要在目标端华为云环境中重新购买,如果EIP需要对华为云以外的地方提供服务,那么该EIP需要在当地信管局进行服务域名和对应EIP的备案,备案通过后,方可对外提供服务。EIP购买和使用方法,请参照华为云弹性公网IP服务。 备案是
应用部署架构按照各个组件的功能,一般可以抽象出四个层级:接入层、应用层、中间件层、数据层。 图1 应用的四层部署架构设计 接入层:为外部访问提供了访问入口,云上业务部署在VPC私有网络中,与外部网络是隔离的,当外部需要访问VPC业务时,通常可以通过如下两种方式: 专线:云专线是搭建用户本地数据中心/其他云厂商与云上虚拟私有云(Virtual
手段授予用户足够履行其职责的最小权限。企业利用这些细粒度授权方法可以精确设置访问控制的5 个要素:Who、What、How、Where、When。Who 表示谁可以访问云资源,What 表示可以访问哪些云资源,How 表示有权执行该资源的哪些操作,Where 表示允许用户从哪里访问,When
号内部访问其中的云资源。 图1 统一身份和权限管理 用户组和权限规划 您可以参照之前CCoE的角色划分来规划IAM身份中心的用户组,将对应的员工加入与其职责匹配的用户组,下表为推荐的用户组划分方式,基于这些用户组的职责,按照最小授权原则,下表也推荐了应该给这些用户组设置访问哪些账
接入层迁移方案 接入层为应用的外部访问提供了访问入口,常见的接入层技术4种,分别是Nginx/Openresty、硬件或软件负载均衡器,微服务网关Kong/Zuul、DNS。通常采用重新配置的方式进行迁移,具体如下: 表1 接入层迁移方式 技术组件 功能说明 迁移方式 nginx/openresty
序依赖关系映射。它可以发现和监控微服务和应用程序,甚至是那些在容器内运行的微服务和应用程序。它收集性能数据和通信时间数据,并突出显示性能不佳的服务和应用程序。 网络空间测绘 商用 网络空间测绘是一个应用和服务器发现工具。支持无代理自动发现,广泛支持MS和LINUX/Unix、云供
的监控和运维管理,如下图所示。 运维监控账号中的AOM服务与其他账号下的AOM服务进行协同,可以统一接入其他账号下的各个云服务的监控指标数据,并在运维监控账号中统一查看这些指标数据,在此基础上进一步统一配置告警规则。具体实施步骤请参考通过多账号聚合Prometheus实例实现指标数据统一监控。
需要调研大数据任务调度平台的类型、版本、支持的大数据框架和技术,调度任务类型,可视化和管理界面,扩展性和集成性,容错和故障恢复,安全性和权限控制以及社区支持和文档资料等方面的信息。用于后续大数据调度平台的选型和方案设计。 调研现有的大数据任务调度平台的类型,例如Azkaban等,了解它们的特点和适用场景。
data) 利用工具和管理机制减少人员直接访问和处理数据的必要性,减少处理敏感数据时出现人为错误和人为删改的风险。 DevSecOps 将安全性纳入到整个软件开发生命周期中,从需求分析、设计、开发、测试、部署、运维、运营的每个阶段都考虑安全性,以确保系统的安全性和稳定性。通过将安全
IAM策略用于精细化地控制用户、用户组和委托对华为云资源的访问权限。通过IAM策略,企业可以基于最小权限原则,为用户分配恰到好处的权限,确保他们只能访问与其工作相关的资源和操作。这不仅提高了安全性,还减少了权限滥用的风险。关于IAM策略的详细介绍,请查看这个链接。 在华为云中,身份控
师,职责和技能要求如下表所示。 表1 云安全团队的角色和职责 角色 职责 技能要求 来源 云安全专家 负责云平台整体安全方案的设计与优化,制定安全策略和标准。 评估云基础设施和业务系统的安全风险,提出改进方案。 设计并实施身份安全、网络安全、数据安全、应用安全、主机安全和安全运维方案。
身份认证防线 需要基于零信任理念做好身份认证和权限管理,授权要遵从最小授权的原则,用户认证默认要启用多因素认证,管理好特权账号,对用户在云平台上的任何操作进行记录和审计。建议参考官网提供的IAM最佳实践。 网络防线 核心是要做好网络边界防护和内网东西向的访问控制。 网络边界防护:网络边界主要
数据共享 支持,需通过ECS/BMS中安装的集群管理软件控制,不能跨可用区共享 支持,直接NFS V3协议访问即可(SFS Turbo还支持CIFS),支持跨可用区共享 支持,直接HTTP/HTTPS访问即可,可无限制共享 远程访问 不支持 支持 支持 单独使用 不支持 支持 支持 容量
(推荐) 全量+增量迁移 配置简单,一键迁移,支持实时同步增量数据 适用于自建MongoDB实例或云服务MongoDB实例迁移至华为云自建MongoDB实例或云服务MongoDB实例 导出导入 全量迁移 不依赖网络,操作较为复杂,只能全量迁移,不支持增量数据同步 适用于无法使用华为云DRS数据服务的场景
基于RAM的共享:通过华为云RAM服务设置资源共享,授权其他组织单元和账号使用该共享资源的权限,该共享方式更加安全。目前支持通过RAM进行跨账号共享的资源清单请参考官网文档。 基于资源策略的共享:通过资源策略授予其他账号访问资源的权限,如OBS服务的桶策略、IMS服务的共享镜像和CBR的共享备份等。 父主题: Landing
华为云的安全责任在于保障云平台和云服务自身的安全,涵盖华为云数据中心的物理环境和运行其上的基础服务、平台服务、应用服务等。这不但包括华为云基础设施和各项云服务的安全功能和性能,也包括对这些云基础设施和各项云服务进行安全运维和运营,以及保障华为云平台和云服务遵从相关的合规性要求。
禁止业务账号直接接入互联网。只允许通过网络运营账号的DMZ网络提供互联网服务或访问互联网。 禁止公网访问华为云管理控制台,用户只能从内网访问控制台,确保敏感数据不经过互联网。 限制用户可以使用的Region,限制数据在不同Region间的转移,满足GDPR等合规要求。 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
