检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
题和隐患,及时进行修复和优化。 DNS劫持测试:因云上部署的业务一般按照生产环境的域名进行配置,在使用手机App或浏览器测试业务功能时,需要配合使用DNS劫持的方式进行测试,可以使用内网WIFI及运维改造的APISIX,配合WiFi上的DNS解析,劫持流量指向测试环境,进行的内网测试。
修改转发策略 DNS域名解析 解析应用的内外部域名 方案1:使用华为云平台的DNS服务替代源端的DNS,并重新配置DNS解析地址。 方案2:在华为云的ECS上部署DNS服务,并重新配置DNS解析地址。 方案3:使用SMS工具将源端DNS服务器迁移到华为云并修改DNS配置。 父主题:
应用和定时任务的启停经常有顺序,需梳理应用和批处理任务的启停顺序,避免启动顺序不当造成业务影响。 由于公网DNS的域名解析有缓存功能,所以通常会出现虽然系统已切换到目的端,但是仍然有访问流量转发到源端的场景。所以Runbook步骤需要考虑公网DNS缓存问题,建议保留一段时间源端到目的端的转发路径,并持续观测一段时间后,再切断此转发路径。
/数据层,实现双写。注意:双写的数据一致性由应用逻辑保障; 实时对比源端和目标端数据一致性; 历史数据迁移至华为云数据层; 修改外部DNS域名解析地址,将外部流量从源端切换到华为云。 图1 不停服切换方案 父主题: 设计切换方案
公共服务管理 首先您要识别出各个业务单元所需要的公共IT服务和资源,比如NTP服务器、SFS文件存储、自建DNS服务器、OBS桶、虚拟机镜像、证书等,也可以是CodeArts等PaaS服务。然后集中部署和维护这些公共IT服务,将其共享给公司内所有业务单元。华为云提供了三种资源共享的方式。
源端数据层和华为云数据层增量同步完成,并完成数据一致性对比,断开同步链路; 华为云上的应用层和数据层内部域名等配置修改,重启华为云上的应用服务; 外部DNS域名解析,将解析地址从源端接入层切换到华为云接入层,使外部流量进入华为云; 图2 一把切方案 应用层灰度切流,数据层整体切换 应用层灰度切流前做好如下准备工作:
生产站点某个AZ故障时,切换到另一个AZ,数据库主备切换。 生产站点全体故障时,切换数据库的主备状态,然后将 DNS 授权修改为容灾站点(生产站点 0%,容灾站点为 100%)。 生产站点修复后,数据库切换回主库,DNS 切换回主站点(生产站点 100%,容灾站点为 0%)。 为提高容灾中心利用率,可将只读和数据分析业务放到容灾站点。
云安全团队 云安全团队负责云基础设施和云上业务系统的安全保障工作,主要职责包括云平台安全方案设计、访问控制与权限管理、安全监控与威胁检测、漏洞扫描与修复、数据加密与隐私保护、合规性审查与风险评估,以及应急响应与安全事件处理,确保云上业务系统的安全性、合规性和稳定性。云安全团队通常
用系统相关的配置文件。这可能包括DNS配置、ELB配置、NAT配置以及Nginx.conf等。 解析配置文件:对于每个配置文件,需要编写脚本或使用现有工具来解析其内容,脚本可以根据文件格式和语法规则,提取出关键信息并进行处理。 提取关联信息:在解析配置文件时,需要识别出与其他组件
熟悉云平台的网络服务(如VPC、VPN、专线、负载均衡、防火墙等)及其配置。 熟悉TCP/IP、HTTP、DNS、TLS等网络协议。 具备网络故障排查能力。 熟悉网络安全技术(如防火墙规则配置、入侵检测等)。 IT部门 中间件管理员 负责消息队列 (例如 Kafka, RabbitMQ),Web
漏洞管理服务 漏洞管理服务(CodeArts Inspector)是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。关于漏洞管理服务的详细
负责维护现场秩序,提供切换期间的会务保障。 每一行执行步骤都对应一个操作人和一个确认人(如涉及多人确认的情况,可以通过共享文档由多个分项确认人在线刷新确认进展)。 引导人通常是1~2个,是整个切换的总指挥(对于大规模切换,参与人员多,操作时间长的场景,也可以设计2~3名引导人,互为备
停写不停读切换方案 停写不停读,主要指切换期间,为了追求较好的用户体验,保持一部分读的服务不停服,保持在线可使用状态;为了保持数据一致性,写的服务仍然采用停服方式进行切换。从业务对外体验上,多数用户感知不到停服的影响,比如某购物平台,用户仍然可以浏览商品,但是不能下单,下单时可友
据),因地制宜的部署合适的安全措施,形成多层安全防线,各层安全防线能够相互支持和补救,避免攻击者突破单层防线后畅通无阻,层层阻击,为防御方检测响应赢得时间。 图1 一个中心和七层防线 物理安全防线 华为云建设和运营的数据中心都严格实施了五层安全防护,包括机房容灾、人员管理、运维审
概述 安全防护三分在于技术,七分在于运营。安全运营是指在云计算环境中,通过持续监控、检测、响应和改进,确保云资源、数据和应用的安全性。这种方法强调安全防护是一个持续的过程,而不是一次性的任务。只有通过持续的、有效的安全运营才能将多道安全防线有效协同起来,共同保障业务系统的安全稳定
显著差异。 在基础架构方面,传统IT安全主要针对企业自建的物理硬件和网络设施,安全措施集中于物理环境和内部网络的防护,包括部署防火墙、入侵检测系统和防病毒软件等。云安全则基于虚拟化技术和云服务商的基础设施,安全防护需要考虑虚拟化层、多租户环境下的数据隔离、API接口安全等新挑战。
优秀的跨部门沟通、协作和问题解决能力。 IT部门 公共服务管理员 识别各个业务单元所需要的公共IT服务和资源,比如NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器镜像库等,也可以是CodeArts等PaaS服务。 负责集中部署和维护这些公共IT服务,并将其共享给公司内所有业务单元使用。
区块链技术则增强了产品和服务的安全性和可信度,可应用于供应链管理、数字身份认证等场景,构建透明可追溯的体系。 数字人技术打造虚拟形象,应用于虚拟主播、在线教育等领域,提供更具沉浸感的用户体验。 大数据分析则帮助企业深入了解用户需求,优化产品和服务,实现精准营销和精细化运营。 物联网技术将设备
求分析、设计、开发、测试、部署、运维、运营的每个阶段都考虑安全性,以确保系统的安全性和稳定性。通过将安全检测手段与DevOps的自动化流程相结合,DevSecOps可更快地检测和修复安全漏洞,并提高软件开发的效率和质量。 父主题: 安全架构设计
运营风险。 高可用架构:云服务商提供多地域、多可用区的部署模式,支持跨地域的容灾备份,提升业务系统的可靠性。 自动故障转移:云平台具备自动检测和故障转移机制,当发生硬件或软件故障时,能够迅速恢复业务运行,减少停机时间。 安全防护能力:云服务商在安全防护方面有很深的积淀,既有端到端
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
