检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
业务账号内的网络规划:一个业务系统对应一个子账号 针对多个业务系统共用一个子账号的场景,在该账号中同样建议创建三个独立的VPC:生产VPC、开发VPC、测试VPC,VPC之间彼此隔离。这些业务系统共同部署在这几个VPC中,不同的业务系统通过子网隔离,每个业务系统也都有独立的应用子网
网络服务选型 华为云提供的网络服务有虚拟私有云VPC、企业路由器ER、企业交换机ESW、云专线DC、虚拟专用网络VPN、全球加速GA、弹性负载均衡ELB、NAT网关、弹性公网IP等。以下是这些网络服务的选型建议: 云内同区域少量VPC互通用对等连接,跨区域VPC互通用云连接CC,
华为云把安全合规作为首要任务,安全是华为云和客户的共同责任。在云服务模式下,华为云与客户共同承担云环境的安全保护责任,为明确双方的责任,确定责任边界,华为云制定了如下图所示的责任共担模型。 图1 安全责任共担模型 华为云的安全责任在于保障云平台和云服务自身的安全,涵盖华为云数据中心的物理环境和运行其上的基础服务、平
如何做好业务单元的安全和故障隔离,确保业务单元之间的云资源、应用和数据的隔离? 如何减少单点故障的爆炸半径? 企业组织架构和业务架构经常调整,云上资源如何灵活应对? 如何设计跨多个业务单元的网络架构、建立受控的网络连接通道? 如何统一管控多个业务单元的边界网络出入口? 如何规划生产、开发和测试环境?
网络控制策略 网络控制策略是数据边界的第二道防线,主要是通过VPCEP(Virtual Private Cloud Endpoint,VPC终端节点)策略来实现。 VPCEP是一种用于在VPC中建立私有连接的网络服务。通过VPCEP,用户可以在不使用公网IP地址的情况下,安全地将
不要将用户密码共享给他人,而是为每个管理或使用华为云资源的人创建一个单独的用户并分配相应的权限,这样每个人在华为云的操作都能被追踪审计。 主账号根用户(与账号同名)的密码建议由企业的CTO或CIO保管,子账号根用户的密码建议由所属业务单元的负责人保管。 根用户(与账号同名)的权限很大,建议不要直接使用根用户访问华
盖物理硬件、网络、操作系统、应用程序和数据等。而在云环境下,采用的是安全责任共担模型。云服务商负责基础设施层面的安全,包括数据中心的物理安全、网络和虚拟化平台的安全;企业作为云服务的租户,则需要负责其在云上部署的操作系统、应用程序和数据的安全配置和管理。 在安全管理与技术实现方面
中,使用上传的外部镜像文件制作成私有镜像,最后使用私有镜像发放云服务器,完成整机迁移。迁移后的主机操作系统、系统配置,数据文件与源端服务器完全一致。关于主机迁移服务的更多详细信息,请参考IMS帮助文档。 容器迁移 容器是操作系统内核自带能力,是基于Linux内核实现的轻量级高性能
有实际上的决定权。但在法律上,子公司仍是具有法人地位的独立企业,并以自己的名义进行业务活动。子公司可以根据经营管理需求再成立自己的子公司或分公司。 分公司:分公司是母公司管辖的分支机构,是指母公司在其住所以外设立的以自己的名义从事活动的机构,如在各个省市成立的销售分公司。分公司不
开放企业架构框架 TPS Transactions Per Second 每秒事务处理量 VPC Virtual Private Cloud 虚拟私有云 VPN Virtual Private Network 虚拟专用网络 WAF Well-Architected Framework 卓越架构技术框架
足这些属性所对应的条件,满足条件时才允许访问。这些属性通常包含五大类:一是身份属性,比如用户姓名、是否启用 MFA 、是否根用户等;二是网络属性,比如源IP地址、源VPC ID等;三是资源的属性,比如资源的标签、资源名称等;四是时间属性,比如访问时间、Token的签发时间等;五是
IT管理账号规划 针对企业的中心IT部门,在华为云上创建对应的组织单元,并在其下面创建安全和基础设施两个下级组织单元,分别容纳安全管理的子账号群和基础设施管理的子账号群。这些IT管理账号可以对企业范围内所有子账号进行统一的IT管理。 原则上,IT管理能账号的规划需要跟组织当前的IT组织规模和
当企业云化转型的规模逐步变大,云化转型进入运维治理阶段的时候,可以将小型化的CCoE组织逐步扩大,增加更多的运维治理阶段所需的关键角色,如云基础设施管理员、云网络管理员、数据库管理员、应用运维管理员、云治理专家、安全运营工程师、云成本运营工程师等,逐步演进到如下全功能的CCoE组织。
如果EIP需要对华为云以外的地方提供服务,那么该EIP需要在当地信管局进行服务域名和对应EIP的备案,备案通过后,方可对外提供服务。EIP购买和使用方法,请参照华为云弹性公网IP服务。 备案是中国大陆的一项法规,使用大陆节点服务器提供互联网信息服务的用户,需要在服务器提供商处提
接入层:为外部访问提供了访问入口,云上业务部署在VPC私有网络中,与外部网络是隔离的,当外部需要访问VPC业务时,通常可以通过如下两种方式: 专线:云专线是搭建用户本地数据中心/其他云厂商与云上虚拟私有云(Virtual Private Cloud,VPC)之间高速、低时延、稳定安全的专属连接通道。可以让用
资源的权限,该共享方式更加安全。目前支持通过RAM进行跨账号共享的资源清单请参考官网文档。 基于资源策略的共享:通过资源策略授予其他账号访问资源的权限,如OBS服务的桶策略、IMS服务的共享镜像和CBR的共享备份等。 父主题: Landing Zone参考架构
迁移中心(MgC):是一站式迁移平台,集成了华为云的各个迁移工具,内置了由最佳实践总结而来的迁移工作流模板,您可以根据不同迁移场景,选择合适的迁移模板构建迁移工作流。具体功能及使用方法请查看MgC帮助文档。 资源发现与评估工具(RDA):是一个部署在Windows主机上的工具,用于评估上云驱动力和准备度,
管理VPN、专线、VPC、子网、网络ACL、路由、负载均衡、防火墙等网络组件。 监控网络性能,排查网络故障,优化网络延迟和带宽使用。 确保网络安全,防范DDoS攻击等网络威胁。 熟悉云平台的网络服务(如VPC、VPN、专线、负载均衡、防火墙等)及其配置。 熟悉TCP/IP、HTTP、DNS、TLS等网络协议。
连接、NAT网关、VPC等。这样可以确保整个企业的网络架构统一、稳定、安全,避免各业务单元自行管理网络所带来的不一致性和潜在的安全漏洞。同时,统一的网络管理还能提高数据传输的效率,保障各部门之间的信息交流畅通无阻。 集中运维管理:借助AOM和COC等服务所提供的多账号统一监控和运
理,如将不同密级的业务部署在不同的VPC中,通过VPC实施大的网络安全域隔离,通过CFW实施东西向VPC网络之间访问控制,并通过VPC的安全组和ACL在VPC内进一步实施网络微分段隔离。 应用防线 面向互联网发布的应用应该默认部署WAF防护。应用的安全是设计出来的,要重视在软件安
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
