检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网络服务选型 华为云提供的网络服务有虚拟私有云VPC、企业路由器ER、企业交换机ESW、云专线DC、虚拟专用网络VPN、全球加速GA、弹性负载均衡ELB、NAT网关、弹性公网IP等。以下是这些网络服务的选型建议: 云内同区域少量VPC互通用对等连接,跨区域VPC互通用云连接CC,
整体网络架构 Landing Zone的整体网络架构设计如下图所示。网络运营账号作为Landing Zone的网络枢纽,该账号集中管理多账号的边界网络出入口,并打通多账号下VPC之间的网络。在网络运营账号下集中部署企业路由器(Enterprise Router, ER),通过ER
华为云大数据组件 常用的华为云大数据服务组件如下,设计大数据部署架构时可参考: MapReduce服务(MapReduce Service,简称MRS) MRS是一个在华为云上部署和管理Hadoop系统的服务,一键即可部署Hadoop集群,完全兼容开源接口,轻松运行Hadoop、
具备良好的故障排除和问题解决能力。 IT部门 云网络管理员 负责云平台网络架构的设计、配置和日常运维,保障网络稳定和安全。 管理VPN、专线、VPC、子网、网络ACL、路由、负载均衡、防火墙等网络组件。 监控网络性能,排查网络故障,优化网络延迟和带宽使用。 确保网络安全,防范DDoS攻击等网络威胁。 熟悉云平台
卓越架构设计 我们基于华为公司自身的云上架构设计经验和业界最佳实践整理了卓越架构技术框架(Well-Architected Framework,简称WAF),为架构师、软件工程师、运维工程师等技术人员提供一套云上架构设计原则和最佳实践,其目的是帮助企业在云上设计、构建和运营高韧性、高安全、高性能且成本最优的应用系统。
施团队负责方案实施,云实施团队通常包含调研评估工程师、迁移实施工程师,职责和技能要求如下表所示。需要注意的是,这两个角色所负责的工作不是持续性的,业务系统全部上云之后也就不再需要了,所以这两个角色可以由IT部门内具备相关技能的工程师临时承担,或者外包给云迁移实施的专业服务提供商。
需要基于零信任理念做好身份认证和权限管理,授权要遵从最小授权的原则,用户认证默认要启用多因素认证,管理好特权账号,对用户在云平台上的任何操作进行记录和审计。建议参考官网提供的IAM最佳实践。 网络防线 核心是要做好网络边界防护和内网东西向的访问控制。 网络边界防护:网络边界主要指的是企业内部
运营,推动团队在预算内高效使用云资源,不断提升云资源的成本效益,实现业务价值最大化。FinOps团队通常包含FinOps教练、云成本运营工程师,职责和技能要求如下表所示。 表1 FinOps团队的角色和职责 角色 职责 技能要求 来源 FinOps教练 指导和培训团队成员理解和应
系统的云化就可以。 我们认为在早期的小规模CCoE组织中应该包含指导委员会、云项目经理、应用架构师、应用开发工程师、应用测试工程师、云架构师、调研评估工程师、迁移实施工程师等关键角色。通过这些角色的协同努力将第一批业务系统逐步云化,快速获取业务收益,从而推动企业将更多的业务系统逐步云化。
云安全专家、安全运营工程师,职责和技能要求如下表所示。 表1 云安全团队的角色和职责 角色 职责 技能要求 来源 云安全专家 负责云平台整体安全方案的设计与优化,制定安全策略和标准。 评估云基础设施和业务系统的安全风险,提出改进方案。 设计并实施身份安全、网络安全、数据安全、应用安全、主机安全和安全运维方案。
安全责任共担 华为云把安全合规作为首要任务,安全是华为云和客户的共同责任。在云服务模式下,华为云与客户共同承担云环境的安全保护责任,为明确双方的责任,确定责任边界,华为云制定了如下图所示的责任共担模型。 图1 安全责任共担模型 华为云的安全责任在于保障云平台和云服务自身的安全,涵
出一个全面且专业的上云调研评估团队,以下为必要的团队成员。 调研评估工程师:由IT主管指派,来自IT部门,对企业现有的IT基础设施、业务系统、应用架构、数据存储、安全策略等进行全面调研和评估,包括硬件配置、网络架构、软件版本、依赖关系等;分析这些设施与云服务的兼容性和迁移难度,评
IT主管、技术主管 财务专家 人力资源主管 云架构师、应用架构师、数据架构师、网络架构师 IT治理专家 运维主管、IT运维专家 CISO、安全专家、合规审计专家 应用开发专家、应用测试专家 应用运维专家 迁移实施工程师 项目经理 父主题: 云采用框架简介
PaaS服务。然后集中部署和维护这些公共IT服务,将其共享给公司内所有业务单元。华为云提供了三种资源共享的方式。 图1 资源共享方案 基于网络的共享:通过ER或VPC Peering将账号之间的网络打通,在此基础上进行资源共享,该方式仅限于拥有租户可见IP地址的资源,如NTP服务
所有其他账号下的Tenant Guest权限 网络管理组 集中部署和管理企业的网络连接资源,如ER、VPN、DC、NATG等,统一创建和管理各个账号的VPC、子网和NACL;集中部署和管理网络边界安全防护资源,如WAF,CFW等 网络运营账号的Tenant Administrator权限
监控和优化。 云安全专家:来自信息安全部门或具有安全合规认证的专业人士,专注于云安全和合规,确保上云过程中遵循行业规范、法律法规和企业内部管理要求,同时制定和实施安全策略,识别潜在风险并提出相应的解决方案。 应用开发工程师:来自业务部门的应用团队,负责业务上云的适配改造和应用现代
网(不可信网络)访问云资源的请求会被拒绝,不可信身份通过本地数据中心网络(可信网络)访问云资源的请求也会被拒绝,可信身份访问其他企业的对象存储桶(不可信资源)的请求还会被拒绝,只有可信身份通过本地数据中心网络(可信网络)访问本企业的云资源的请求是允许的。 图1 全方位数据边界 通
在合规与审计方面,传统IT需要企业自行确保满足相关的安全合规性,需投入大量资源进行审计和认证。云服务商通常已经通过了多项国际安全认证,企业可以借助云服务商的合规基础,但仍需对自身的应用和数据进行合规管理。 华为云对云安全整体设计和实践更侧重于为您提供完善的、多维度的、按需定制和组合的各种安
图1 应用的四层部署架构设计 接入层:为外部访问提供了访问入口,云上业务部署在VPC私有网络中,与外部网络是隔离的,当外部需要访问VPC业务时,通常可以通过如下两种方式: 专线:云专线是搭建用户本地数据中心/其他云厂商与云上虚拟私有云(Virtual Private Cloud,VP
全方位数据边界基于身份控制策略、网络控制策略和资源控制策略构筑起一道坚固的数据安全屏障。确保只有经过严格验证的可信身份,在符合安全标准的可信网络环境中,方能获得对特定资源的访问权限,从而保障数据安全。如下图所示,可信身份从互联网(不可信网络)访问云资源的请求会被拒绝,不可信身份通过本地数据中心网络(可信网
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
