检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 服务韧性
配置方法: 创建两个安全组:安全组1和安全组2。 安全组1的入方向规则配置deny网段192.168.1.0/24。 安全组2允许192.168.1.0/24访问。 网段10.1.0.0/24的ECS选择安全组1,其他的主机选择安全组2。 父主题: VPN协商与对接
图2 故障切换场景 父主题: 安全
配置示例:VPC内子网10.1.0.0/24下的ECS不允许访问客户侧的子网192.168.1.0/24, 配置方法: 创建两个安全组:安全组1和安全组2。 安全组1的入方向规则配置deny网段192.168.1.0/24。 安全组2允许192.168.1.0/24访问。
通过VPN连接云下数据中心与云上VPC 操作场景 默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,可以启用VPN功能。
虚拟私有云 弹性云服务器(Elastic Cloud Server,ECS) 通过ECS服务,定义安全组中的规则,将VPC中的弹性云服务器划分成不同的安全域,以提升弹性云服务器访问的安全性。
VPN服务默认开启抗重放功能。 图2 重放攻击原理 资源隔离 VPN默认为每个用户创建独立的VPN网关,提供租户网关隔离防护能力,确保租户的数据安全。 该特性仅企业版VPN支持,经典版VPN不支持。
IPsec VPN IPsec VPN是一种加密的隧道技术,通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。
审计与日志 VPN支持记录用户账号发出的所有资源创建、删除和修改事件,以日志文件方式发送到云审计服务(CTS),以便用户查询、审计和溯源。 图1 审计与日志 父主题: 安全
安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。
服务公共接口 VPN配额 VPN标签 父主题: API
身份认证与访问控制 站点入云VPN连接支持通过预共享密钥(PSK)方式对对端网关进行身份验证。 只有对端网关配置的预共享密钥和VPN连接配置的预共享密钥相同时,身份验证才能通过,VPN连接才能成功建立。 图1 身份和访问管理 父主题: 安全
云上云下无法Ping通 故障现象 云下数据中心服务器无法Ping通华为云VPC上的ECS服务器。 华为云VPC上的ECS服务器无法Ping通云下数据中心服务器。
IPsec VPN IPsec VPN是一种加密的隧道技术,通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。
172.16.0.0/16 隧道类型 SSL协议是一种传输层安全协议,用于构建客户端和服务端之间的安全通道。 OpenVPN(SSL),不支持修改。 OpenVPN(SSL) 认证信息 服务端证书 服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。
服务端 创建VPN服务端 查询网关下VPN服务端 修改VPN服务端 导出VPN服务端对应的客户端配置 查询租户下所有VPN服务端 校验客户端CA证书 上传客户端CA 证书 查询客户端CA证书 修改客户端CA证书 删除客户端CA证书 父主题: 终端入云VPN API
服务端 权限 对应API接口 授权项(Action) 依赖的授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建终端入云VPN服务端 POST /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/vpn-servers
服务端 权限 对应API接口 授权项(Action) 依赖的授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建终端入云VPN服务端 POST /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/vpn-servers
父主题: 终端入云VPN服务端管理
云上云下无法Ping通 故障现象 云下数据中心服务器无法Ping通华为云VPC上的ECS服务器。 华为云VPC上的ECS服务器无法Ping通云下数据中心服务器。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
