检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用FunctionGraph函数和CTS识别非法IP的登录登出操作 案例概述 准备 构建程序 添加事件源 处理结果 父主题: 功能应用类实践
是否支持在函数中启动TCP的监听端口,通过EIP接收外部发送过来的TCP请求? 目前函数暂不支持这种方式。函数的理念是无服务器计算,计算资源只会在运行期分配,这种自定义监听端口的场景并不适合。 父主题: 产品咨询
登录统一身份认证服务控制台,在左侧导航栏单击“委托”,进入“委托”界面。 单击“创建委托”,进入“创建委托”界面。 填写委托信息。 委托名称:输入您自定义的委托名称,此处以“serverless_trust”为例。 委托类型:选择“云服务”。 云服务:选择“函数工作流 FunctionGraph”。
访问公网时使用用户VPC中配置的SNAT地址,该地址是固定的,查看公网IP方法如下: 登录NAT网关的管理控制台,单击左上角,选择区域。 左侧导航栏选择“NAT网关 > 公网NAT网关”,右侧列表中单击网关名称,进入详情页面。 选择“SNAT规则”页签,在规则列表中即可查看公网IP地址。 图3 查看公网IP VPC内访问
通用设置”页签下,选择“主机组管理”,单击“新建主机组”。 输入主机组名“deploy-function”,单击“保存”: 图1 填写主机组名 在跳转界面“主机信息”页签下,单击“导入ECS”。 将部署环境准备的ECS云服务器导入,输入该服务器的用户名、密码、ssh端口号22、勾选《隐私政策声明》,完成后单击“添加”。
一:购买ECS服务器中使用的VPC和子网,其余参数保持默认,单击“保存”。 图7 网络配置 在“设置”页签的左侧导航栏中,单击“磁盘挂载 > 添加挂载”,配置完成后,单击“确定”。 文件系统来源:选择“ECS”。 云服务器名称:选择步骤一:购买ECS服务器创建的云服务器。 共享目
请选择步骤一:购买ECS服务器中使用的VPC和子网,单击“保存”。 图7 网络配置 在“设置”页签的左侧导航栏中,单击“磁盘挂载 > 添加挂载”,配置完成后单击“确定”。 文件系统来源:选择“ECS”。 云服务器名称:选择中步骤一:购买ECS服务器创建的云服务器。 共享目录路径:
骤一:购买ECS服务器中使用的VPC和子网,其余参数保持默认,单击“保存”。 图7 网络配置 在“设置”页签的左侧导航栏中,单击“磁盘挂载 > 添加挂载”,配置完成后单击“确定”。 文件系统来源:选择“ECS”。 云服务器名称:选择步骤一:购买ECS服务器创建的云服务器。 共享目
124.70.46.237 部署主机安全组配置流程 进入创建IP地址组页面。 根据界面提示设置IP地址组参数,具体参数详细说明请参见创建IP地址组,完成后单击“保存”。 名称:ipGroup-clouddeploy IP地址: 42.202.130.147 49.4.3.11 122
析,过滤白名单功能,对非法IP登录/登出,进行SMN消息主题邮件告警。形成良好的账户安全监听服务。 设置环境变量 在函数配置页签需配置环境变量,设置SMN主题名称,说明如表1所示。 表1 环境变量说明表 环境变量 说明 SMN_Topic SMN主题名称。 RegionName Region域
前提条件 (1)函数中的IP地址为LTS的接入点,获取接入点IP方法如下: 登录云日志服务 LTS控制台,在左侧导航栏选择“主机管理 > 主机”; 在页面右上方,单击“安装ICAgent”; 在弹出的“安装ICAgent”窗口中获取接入点IP。 图1 接入点IP (2)函数中的log
CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 使用FunctionGraph函数和CTS识别非法IP的登录登出操作
流程中存在的节点没有任何后继节点,且后续节点非条件分支,并行分支或开始节点。 流程中存在结束节点,且结束节点后续无其他节点。 流程中的所有节点参数配置完成后,单击右上角的“保存”,进行参数配置,最后单击“确定”。 表1 配置信息 参数 说明 名称 输入函数流名称。 企业项目 选择企业项目。 日志记录 创建快速函数流,保存时需要选择此参数。
getRequestId() 获取此次API请求的requestId。 getStage() 获取发布环境名称。 getSourceIp() 获取APIG自定义认证信息中的源IP。 APIGTriggerResponse相关方法说明 表3 APIGTriggerResponse构造方法说明
类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。 可以通过函数指标查看函数的调用情况,如图2所示。
插件(软件包校验文件:Eclipse插件.sha256)。 将获取的Eclipse插件jar/zip包,放入Eclipse安装目录下的plugins文件夹中,重启Eclipse,即可开始使用Eclipse插件。如图1所示。 图1 安装插件 打开Eclipse,单击“File”,选择“New > Other”,如图2所示。
开启IPv6 可选参数。当前仅“华东二”区域支持函数VPC配置开启IPv6。 在创建虚拟私有云VPC时,确保默认子网配置中支持开启IPv6,此处将自动开启,具体详情请参见创建虚拟私有云和子网。 开启IPv6功能后,将自动为子网分配IPv6网段,暂不支持自定义设置IPv6网段。
FunctionGraph是否支持对上传的zip文件进行反编译? 函数不支持反编译,需要用户反编译后上传上来。 父主题: 产品咨询
查看连接报错信息如下,通过VPC2连接Redis2时,Redis IP地址变成乱码。 分析Redis1与Redis2除了IP地址和密码不一样之外,其他没有什么不同,让客户比较两个Redis密码后发现,Redis2的密码中含有@符号,导致请求redis的时候IP地址截取有误变成乱码了。 修改Redis2的密码后正常。
通过CTS云审计服务,快速完成日志分析,对指定IP进行过滤。 基于serverless无服务架构的函数计算提供数据加工、分析,事件触发,弹性伸缩,无需运维,按需付费。 结合SMN消息通知服务提供日志、告警功能。 父主题: 使用FunctionGraph函数和CTS识别非法IP的登录登出操作
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
