检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云上安全设计原则 原则1:基于业务价值制定安全目标 安全是一项系统工程,从建设成本和方案上看有较大的弹性空间。那么如何衡量安全、合规的投资预算呢?
详见配置并验证CloudPond和用户本地系统之间的网络连接。 如果您有更多配置需求,请联系华为云团队进一步沟通。 父主题: 场地安装
验证通用可用区和用户本地系统之间的网络连通性 当配置了通用可用区和用户本地系统之间的路由信息时,即在表1中的“目的地址”参数填写为虚拟私有云的大网段,或者又单独新增了对应子网网段的路由信息,您可以在本地系统通过VPC内网访问通用可用区的云服务。
验证通用可用区和用户本地系统之间的网络连通性 当配置了通用可用区和用户本地系统之间的路由信息时,即在表1中的“目的地址”参数填写为虚拟私有云的大网段,或者又单独新增了对应子网网段的路由信息,您可以在本地系统通过VPC内网访问通用可用区的云服务。
设计原则 组织,流程和成本管理相匹配 在成本优化过程中,一个很重要的原则是需要将组织结构,流程和成本管理相匹配。需要建立“责权分明”的体系,否则即使用再好的成本优化工具,也无法将成本优化落到实处。
设计原则 建立持续改进的团队文化和标准化运维体系 在卓越运营中,团队文化建设至关重要。运营是一门不断改进的艺术。只有不断从已有事故中学习经验,持续学习和改进,才能最终达到卓越运营。
设计原则 以下是常用的性能优化指导原则: 中心化原则:识别支配性工作量负载功能,并使其处理过程最小化,把注意力集中在对性能影响最大的部分进行提升。 本地化原则:选择靠近的活动、功能和结果的资源;避免通过间接的方式去达到目的,导致通信量或者处理量大辐增加,性能大辐下降。
设计原则 由于故障不可避免,如硬件故障、软件错误、网络延迟、突发流量等,因此在设计高可用应用系统时,必须考虑所有的硬件及系统包括的软件都可能会失效,包括IaaS、PaaS、SaaS及应用系统本身。
设计原则 国际标准化组织(ISO)对计算机系统安全的定义为:确保信息资产(包括硬件、软件、网络、数据等)受到保护,以确保其机密性、完整性和可用性。
CloudPond用户需要对IAM的账号授权进行严格管理,遵从最小授权的原则,为其他用户开通完成工作所需的最小权限,并定期对其权限范围进行审核。更多细节请参见IAM安全使用最佳实践。 父主题: 安全性
图1 方案设计示意图 方案设计关键点: 考虑到用户云上业务和本地业务没有明显交集(一个是面向外部客户宣传和业务开展,一个是面向内部员工进行工作处理),故而建议采用多VPC的隔离网段进行业务网络的划分。
图1 方案设计示意图 方案设计关键点: 考虑到目前用户业务均部署在本地,云边网络流量小,仅保持最低限度的管理面和数据面网络带宽即可。
在基础设施之上构建了云操作系统及基础IaaS云服务。云操作系统负责整个云平台的资源调度和管理。IaaS云服务包括计算服务,存储服务,网络服务。 基于IaaS资源提供了PaaS服务,包含数据库,大数据,AI服务。
图1 方案设计示意图 方案设计关键点: 考虑到目前用户业务均部署在本地,云边网络流量小,仅保持最低限度的管理面和数据面网络带宽即可。 用户侧数据中心网络,因业务需要服务公司外的用户,建议将现有数据中心的公网进行扩容,单独服务于ERP业务。
图1 方案设计示意图 方案设计关键点: 考虑到用户业务流程,建议将数据收集、数据处理、AI建模等不长期存储数据的业务模块部署到公有云上,然后将数据库、数据分析、数据仓库、BI等业务模块部署到CloudPond上,一方面可保证合规要求,一方面可降低整体成本开销。
ECS上运行Windows、RedHat等商业操作系统时,需要用户自行提供操作系统许可。 CloudPond支持的ECS规格请参考:规格清单(CloudPond)。
服务的访问控制 访问控制 CloudPond用户需要对IAM的账号授权进行严格管理,遵从最小授权的原则,为其他用户开通完成工作所需的最小权限,并定期对其权限范围进行审核。更多细节请参见IAM安全使用最佳实践。
通过CloudPond与在云端运行的其他业务系统,如办公OA、ERP等无缝互通,实现IT-OT系统融合。 医疗保健场景:将华为云大数据、机器学习等服务部署在客户机房,通过将医疗数据存储在CloudPond上,实现快速医疗信息分析和检索。
配置完成后,通过测试边缘可用区的弹性云服务器和用户本地系统中的服务器之间的网络是否连通,来验证CloudPond和用户本地系统之间的网络连通性。 详细的配置和验证方法请参见配置并验证CloudPond和用户本地系统之间的网络连接。 父主题: 网络连接
系统进入“服务配额”页面。 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求,请参考后续操作,申请扩大配额。 如何申请扩大配额? 登录管理控制台。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。
其中名称和ID均为系统默认生成。 当前CloudPond支持一个本地网关对应一个本地网关路由表。 删除VPC和本地网关路由表的关联关系 当您不再需要为本地网关路由表关联某一个VPC时,可以删除其关联关系。
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。
CloudPond将云基础设施和云服务部署到企业现场,适合对应用访问时延、数据本地化留存及本地系统交互等有高要求的场景,可便捷地将云端丰富应用部署到本地。 您可以使用本文档提供的API对CloudPond进行相关操作,如创建场地、创建边缘小站等。支持的全部操作请参见API概览。
操作系统 缓存镜像的操作系统类型。 镜像类别 根据镜像来源不同,可以分为公共镜像、私有镜像、共享镜像。它们的区别请参考镜像怎么选? 镜像类型 包括系统盘镜像、数据盘镜像和整机镜像。 磁盘容量(GiB) 镜像文件运行所需要的磁盘容量。
图1 网络连接数据规划示意图 详细的网络连接配置和验证操作请参见: 配置并验证CloudPond和用户本地系统之间的网络连接 验证CloudPond和中心云之间的网络连接 父主题: 网络连接
公共镜像 常见的标准操作系统镜像,所有用户可见,包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有镜像 用户基于弹性云服务器创建的个人镜像,仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。
注册边缘小站 管理边缘小站 网络连接 CloudPond和用户本地系统之间:根据实际业务需要,用户可以通过边缘小站内部的本地网关打通CloudPond和本地系统之间的网络,达到内部网络互访的效果。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
