检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
跨境业务需要提升指定区域用户范围跨境资源的体验时,选择云连接CC搭配全球加速GA,使流量通过华为云骨干网实现降低时延的效果。 低并发、大流量基础四/七层负载分发场景建议选择共享型ELB并开启性能保障模式(支持5万并发),购买两个实例、通过域名解析分流可获得更大的并发支持。 超过10万并发
全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。关于
访问其中的云资源。 图1 统一身份和权限管理 用户组和权限规划 您可以参照之前CCoE的角色划分来规划IAM身份中心的用户组,将对应的员工加入与其职责匹配的用户组,下表为推荐的用户组划分方式,基于这些用户组的职责,按照最小授权原则,下表也推荐了应该给这些用户组设置访问哪些账号的哪
统一策略管理:为各个组织单元和子账号设置(包括服务控制策略和标签策略),强制限定子账号下用户(包括账号管理员)的权限上限,避免用户权限过大带来安全风险,创建控制策略时可以将其应用到某一个组织单元,该策略可以继承到关联的子账号和下层组织单元。 统一身份管理:基于IAM身份中心,统一创建用户和用户群,或者统一配置与外部IdP(Identity
数据共享 支持,需通过ECS/BMS中安装的集群管理软件控制,不能跨可用区共享 支持,直接NFS V3协议访问即可(SFS Turbo还支持CIFS),支持跨可用区共享 支持,直接HTTP/HTTPS访问即可,可无限制共享 远程访问 不支持 支持 支持 单独使用 不支持 支持 支持 容量
应用部署架构按照各个组件的功能,一般可以抽象出四个层级:接入层、应用层、中间件层、数据层。 图1 应用的四层部署架构设计 接入层:为外部访问提供了访问入口,云上业务部署在VPC私有网络中,与外部网络是隔离的,当外部需要访问VPC业务时,通常可以通过如下两种方式: 专线:云专线是搭建用户本地数据中心/其他云厂商与云上虚拟私有云(Virtual
手段授予用户足够履行其职责的最小权限。企业利用这些细粒度授权方法可以精确设置访问控制的5 个要素:Who、What、How、Where、When。Who 表示谁可以访问云资源,What 表示可以访问哪些云资源,How 表示有权执行该资源的哪些操作,Where 表示允许用户从哪里访问,When
接入层迁移方案 接入层为应用的外部访问提供了访问入口,常见的接入层技术4种,分别是Nginx/Openresty、硬件或软件负载均衡器,微服务网关Kong/Zuul、DNS。通常采用重新配置的方式进行迁移,具体如下: 表1 接入层迁移方式 技术组件 功能说明 迁移方式 nginx/openresty
Agreement)和供应商支持关系 检查既有的 SLA 和供应商支持协议,并评估迁移到云平台后对这些关系的影响。确保在云环境中依然能够满足业务需要并获得期望的支持和服务。 网络和连接依赖关系 调研目标应用所需的网络连接和传输协议。确定上云后是否需要进行网络配置和访问控制,以确保应用程序可以与相关的外部系统正常通信。
身份认证防线 需要基于零信任理念做好身份认证和权限管理,授权要遵从最小授权的原则,用户认证默认要启用多因素认证,管理好特权账号,对用户在云平台上的任何操作进行记录和审计。建议参考官网提供的IAM最佳实践。 网络防线 核心是要做好网络边界防护和内网东西向的访问控制。 网络边界防护:网络边界主要
IAM策略用于精细化地控制用户、用户组和委托对华为云资源的访问权限。通过IAM策略,企业可以基于最小权限原则,为用户分配恰到好处的权限,确保他们只能访问与其工作相关的资源和操作。这不仅提高了安全性,还减少了权限滥用的风险。关于IAM策略的详细介绍,请查看这个链接。 在华为云中,身份控
师,职责和技能要求如下表所示。 表1 云安全团队的角色和职责 角色 职责 技能要求 来源 云安全专家 负责云平台整体安全方案的设计与优化,制定安全策略和标准。 评估云基础设施和业务系统的安全风险,提出改进方案。 设计并实施身份安全、网络安全、数据安全、应用安全、主机安全和安全运维方案。
云上同时存在数百个业务系统和海量云资源,而且包括企业自有员工、外包员工及合作伙伴的员工在内的大量用户需要访问和操作这些云资源,量变导致质变,资源闲置、误操作、恶意操作、数据泄露和权限错配等风险将随着用云规模呈现指数级增长。大型企业必须构建精益化、集中化和结构化的IT治理体系才能有
统与华为云的单点登录,以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。集中权限管理加强了对用户权限的控制,防止未经授权的访问,保障系统的安全性。 公共资源管理:企业内部的公共IT资源,如DNS服务器、容器镜像库、CA证书机构、云盘等由中心
网络安全防护相关的服务,如WAF、Anti-DDoS和网络防火墙等服务,按照就近部署原则集中部署在网络运营账号,以保护网络运营账号中的NAT网关和弹性公网IP等网络连接资源。 统一合规审计 审计人员以日志账号为中心对所有成员账号进行统一的操作审计,而无需逐个登录到成员账号,如下图所示。统一的操作审
(推荐) 全量+增量迁移 配置简单,一键迁移,支持实时同步增量数据 适用于自建MongoDB实例或云服务MongoDB实例迁移至华为云自建MongoDB实例或云服务MongoDB实例 导出导入 全量迁移 不依赖网络,操作较为复杂,只能全量迁移,不支持增量数据同步 适用于无法使用华为云DRS数据服务的场景
基于RAM的共享:通过华为云RAM服务设置资源共享,授权其他组织单元和账号使用该共享资源的权限,该共享方式更加安全。目前支持通过RAM进行跨账号共享的资源清单请参考官网文档。 基于资源策略的共享:通过资源策略授予其他账号访问资源的权限,如OBS服务的桶策略、IMS服务的共享镜像和CBR的共享备份等。 父主题: Landing
华为云的安全责任在于保障云平台和云服务自身的安全,涵盖华为云数据中心的物理环境和运行其上的基础服务、平台服务、应用服务等。这不但包括华为云基础设施和各项云服务的安全功能和性能,也包括对这些云基础设施和各项云服务进行安全运维和运营,以及保障华为云平台和云服务遵从相关的合规性要求。
禁止业务账号直接接入互联网。只允许通过网络运营账号的DMZ网络提供互联网服务或访问互联网。 禁止公网访问华为云管理控制台,用户只能从内网访问控制台,确保敏感数据不经过互联网。 限制用户可以使用的Region,限制数据在不同Region间的转移,满足GDPR等合规要求。 父主题:
需要调研大数据任务调度平台的类型、版本、支持的大数据框架和技术,调度任务类型,可视化和管理界面,扩展性和集成性,容错和故障恢复,安全性和权限控制以及社区支持和文档资料等方面的信息。用于后续大数据调度平台的选型和方案设计。 调研现有的大数据任务调度平台的类型,例如Azkaban等,了解它们的特点和适用场景。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
