正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
OPS06-05 实施依赖项遥测 风险等级 高 关键策略 依赖项遥测可以监控工作负载所依赖的外部服务和组件的运行状况及性能。提供有关与 DNS、数据库或第三方 API 等依赖项相关的可访问性、超时及其他关键事件的高价值指标采集。当对应用程序进行检测,以发布有关这些依赖项的指标、日
Organizations:多账号场景使用Organizations云服务的服务控制策略(SCP)。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务控制策略可以关联到组织、组织单元和成员账号。当服务控制策略关联到组织或组织单元时,该组织或组织单元下所有账号受到该策略影响。
试可能会导致情况进一步恶化,因此需要避免这种影响。 风险等级 高 关键策略 客户端进行重试处理时,建议: 增加指数回退和抖动方法,以避免对服务端造成流量压力;采用指数回退重试时,每次重试之间的间隔会逐渐延长,并在两次重试之间引入抖动,以随机调整重试间隔,避免同时出现造成重试峰值。
OPS06-01 建立可观测性体系 可观测性(observability)最初是系统理论中的一个概念,指系统的状态能否被外部观察到和重现。随着云原生、微服务架构的发展,IT系统对可观测性的需求日益增强。业界对可观测性的定义:通常是指基于对复杂系统外部输出的了解,能够了解其内部状态或状况的程度。
问题,并提高处理性能。 风险等级 低 关键策略 消息跟踪需要包含消息处理流程中所有组件,以便跟踪结果完整,从而进行准确分析和定位。 相关云服务和工具 应用性能管理 APM:支持调用链追踪,能够针对应用的调用情况,对调用进行全方面的监控,可视化地还原业务的执行路线和状态,协助性能及故障快速定位。
系统组网与架构:系统组网方式如主备、集群、分布式等组网,系统架构分析服务间依赖关系,确定周边依赖服务。 硬件规格:所需服务器的数量、规格以及硬件配置,包括 CPU 主频/核数、内存容量、磁盘类型与容量、存储池类型与容量,网卡带宽等。 软件环境:软件版本与配置,如操作系统版本、服务版本、数据库版本、以及影响性能的相关配置。
定义进程监控,还会监控包含关键字的进程个数。主要关注:运行中进程数、空闲进程数、僵死进程数等指标 日志监控 配置日志服务从日志中提取指定的关键词,便于您使用监控服务对日志中的关键指标进行监控及告警。主要关注:访问日志数量、错误日志数量、日志大小等指标 自定义监控 自定义监控展示用
典型确定性故障场景下自动容灾或切换,无需人工接入,业务不受影响,满足RPO/RTO指标。 典型亚健康故障场景,支持业务降级或主动切换,业务不持续受损。 相关云服务和工具 多活高可用服务 MAS 父主题: RES03 跨AZ容灾
中间件层:Redis、Kafka集群跨可用区高可用部署。 数据层:MySQL数据库跨可用区高可用,通过DRS数据复制服务实现跨Region的双向数据库复制与容灾切换;并支持定期自动数据备份,在数据丢失时能快速恢复。OBS对象存储服务同样支持跨Region的双向复制能力。 为了保证数据的可靠性,RDS for My
/TLS,以防止证书被篡改或窃取。 避免在不安全的网络中传输证书,确保传输的安全性。 相关云服务和工具 云证书管理服务 CCM:CCM提供SSL证书的申请、签发、查询、吊销等一站式管理服务。 父主题: SEC05 运行环境安全
来源可靠。由于开源软件是公开的,因此黑客和攻击者可以更容易地找到其中的漏洞和安全隐患,从而进行攻击和入侵。确保引入的开源软件来源于正规社区官网、供应商官网或厂家官网。 明确软件许可要求。确保引入的开源软件有明确的许可证或签订有相关使用协议。确保按许可要求使用开源,遵守相关的开源许可证和法律法
安全组仅开放业务所需的网段及端口,禁止设置成对所有IP(0.0.0.0/0)都可访问。 相关云服务和工具 虚拟私有云 VPC NAT网关 NAT 安全云脑 SecMaster:云服务基线核查 父主题: SEC04 网络安全
建议:使用分布式的调用链技术,可以识别多个服务和组件之间请求链路;通过收集调用链数据实现数据流端到端的分析,产品阻塞瓶颈点或者效率低下的请求片段,从而进行针对性的优化。 相关云服务和工具 应用运维管理 AOM 应用性能管理 APM 云日志服务LTS 父主题: 性能数据采集
使用度量指标衡量运营目标 风险等级 高 关键策略 定义清晰的运营成功的目标和 KPI,设置基线作为参考点并定期重新评估。与业务领导者和利益相关者确定服务的总体目标。确定各个运营团队的任务以及可能面临的挑战。并明确运营目标的关键绩效指标 (KPI),可能是客户满意度、TTM、平均问题解决时间等等。根据
数据完整性验证:使用哈希函数、数字签名、消息认证码(MAC)等方法来验证数据的完整性,以确保数据在传输过程中没有被篡改。 相关云服务和工具 虚拟专用网络 VPN 云专线 DC 云连接服务 CC 数据快递服务 DES 云证书管理 CCM 父主题: SEC07 通用数据安全
关键策略 根据不同变更场景构建风险控制能力,通过风险数字化度量分析和评估风险影响程度,并采取风险控制措施削减或规避风险,保障变更成功。变更风险指现网各要素增、删、改及状态改变(如版本迭代、配置改变、节点扩缩容等)时引发的业务中断风险及变更失败可能导致的业务受损风险。 设计建议 变更风控衡
使用云堡垒机服务CBH识别并拦截数据库高危命令。CBH提供数据库控制策略功能,用户可设置预置命令执行策略,动态识别并拦截高危命令(包括删库、修改关键信息、查看敏感信息等),中断数据库运维会话。同时自动生成数据库授权工单,发送给管理员进行二次审批授权。 相关云服务和工具 数据库安全服务
RES09-01 API及命令调用需要设计为可重试 在进行重试处理时,API及命令调用会重复发送,服务方会多次重复执行,需要保证重复执行多次的结果不变。 风险等级 高 关键策略 应用系统在设计时,应使操作具有幂等性,也就是允许一个操作连续执行两次或多次时,应该与单次调用产生的结果
故障检测涉及以下方面: 检测范围:识别并跟踪检测所有组件,有重大影响的故障模式需要重点检测。 亚健康检测:对不引起系统故障却导致系统或服务KPI下降的亚健康异常需要能检测,如网络时延变大、磁盘变慢、内存泄露等亚健康故障。 备用检测:冗余系统中,主备用模块的故障都需要检测,避免静默故障。
当账号委托给另一个账号时,设置到期时间。 通过IAM用户的“最近一次登录时间”,判断该用户是否为长期未登录的用户,及时管理他们的身份凭证及权限。 相关云服务和工具 统一身份认证服务 IAM 父主题: SEC03 权限管理