检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
代码签名 为了保障用户的代码安全,防止代码文件损坏或被篡改导致代码不一致问题,保证被执行的函数代码为正确版本,当函数创建或修改代码时,FunctionGraph对用户的函数代码签名加密,为其生成代码签名,并存储在函数元信息内。 FunctionGraph在函数执行时,为当前执行的
资产识别与管理 在函数的环境变量中,若有敏感信息例如账号和密码、Ak/Sk等,建议通过配置加密环境变量。不配置加密环境变量,则会在界面或API返回结果中明文展示。 在使用触发器、配置VPC访问、使用自定义镜像、挂载SFS等场景下,FunctionGraph需要与其他云服务协同工作
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CT
数据保护技术 为了确保用户的数据(例如函数元数据等)不被未经过认证、授权的实体或者个人获取,FunctionGraph对数据的传输进行全程加密保护,以防止数据泄露,保证您的数据安全。所有的API请求调用和内部通信均通过TLS 1.2及以上协议进行传输中加密 父主题: 安全
准备 开通CTS云审计服务 在云审计服务中开通配置追踪器,如图1所示。开通案例参考追踪器配置。 图1 配置追踪器 创建委托 登录统一身份认证服务控制台,在左侧导航栏单击“委托”,进入“委托”界面。 单击“创建委托”,进入“创建委托”界面。 填写委托信息。 委托名称:输入您自定义的
身份认证与访问控制 身份认证 用户访问FunctionGraph的方式有多种,包括FunctionGraph控制台、API、SDK,无论访问方式封装成何种形式,其本质都是通过FunctionGraph提供的REST风格的API接口进行请求。FunctionGraph支持Token认证和AK/SK认证。
案例概述 场景介绍 通过CTS云审计服务,完成对公有云账户对各个云服务资源操作动作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。
构建程序 本案例提供了实现告警日志功能的程序包,使用空白模板创建函数,用户可以下载(index.zip)学习使用。 创建功能函数 创建实现日志提取功能的函数,将示例代码包上传。创建过程请参考创建函数,运行时语言选择“Python2.7”,委托名称选择创建委托中的“serverless_trust”。
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
添加事件源 选择准备中开通的CTS云审计服务,创建CTS触发器,CTS触发器配置如图1所示。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 函数+CTS:登录/登出安全分析实战
心跳函数入口需要与函数执行入口在同一文件下。在开启心跳函数配置时,此参数必填。 enable_class_isolation Boolean 类隔离开关,只支持JAVA运行时配置。开启类隔离后可以支持Kafka转储并提升类加载效率,但也可能会导致某些兼容性问题,请谨慎开启。 gpu_type String 显卡类型。
iffusion应用仅支持上海一部署。 名称:自定义。 IPv4网段:请根据实际情况填写。 企业项目:default。 默认子网 可用区:默认即可,后续创建文件系统可用区请保持一致。 名称:自定义。 子网IPv4网段:请根据实际情况填写。 其他保持默认。 参数配置完成后,单击“立即创建”,完成VPC和子网的创建。
基础Terraform语法 Terraform配置语言主要基于HCL语法,具有配置简单、可读性强等特点,并且兼容JSON语法。详情参见官网介绍https://developer.hashicorp.com/terraform/language,此文不做赘述。 父主题: 使用Terraform部署函数
准备Terraform环境 安装Terraform执行环境 Terraform提供了多种环境的安装包,具体可以参考官网(https://developer.hashicorp.com/terraform/downloads)。 下面以Linux CentOS (系统需要有访问公网权限)为例指导安装Terraform。
配置心跳函数 概述 心跳函数用于检测用户函数运行时的异常,例如以下场景: 用户函数死锁,无法正常运行。 用户函数内存溢出,无法正常运行。 用户函数网络异常,无法正常运行。 在配置了自定义心跳函数后,当用户函数运行时,FunctionGraph每隔5s向函数实例发送一次心跳请求,触
使用DDS触发器 本节介绍创建DDS触发器,供用户了解DDS触发器的使用方法。 使用DDS触发器,每次更新数据库中的表时,都可以触发FunctionGraph函数以执行额外的工作,关于DDS触发器事件源具体介绍请参见支持的事件源。 前提条件 进行操作之前,需要做好以下准备。 已经创建函数,创建过程请参见创建函数。
凭证 Serverless Framework需要访问您的华为云账号的凭证,代表您创建和管理资源。 创建华为云账号 打开华为云官网,选择“注册”,详情请参考注册华为账号并开通华为云。 获取凭证 您需要创建凭证,以便Serverless可以使用它们在项目中创建资源。 进入“访问密钥”页面,获取您华为云账号的访问密钥。
心跳函数入口需要与函数执行入口在同一文件下。在开启心跳函数配置时,此参数必填。 enable_class_isolation 否 Boolean 类隔离开关,只支持JAVA运行时配置。开启类隔离后可以支持Kafka转储并提升类加载效率,但也可能会导致某些兼容性问题,请谨慎开启。 表4 FuncVpc 参数 是否必选
triggers字段介绍 trigger 字段 表1 trigger参数说明 参数名 必填 类型 参数描述 triggerTypeCode True String 触发器类型。 status False Enum 触发器状态,取值为 ACTIVE、DISABLED,默认为 ACTIVE。
函数执行超时的可能原因有哪些? 自身代码执行逻辑超时,建议优化代码或增加超时时间。 网络请求超时,建议增加超时时间。 函数进行冷启动时,Java加载类时间过长,建议增加超时时间或增加内存。 父主题: 通用问题
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
