检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简云安全配置、云防护策略的设置与维护,提前预防风险,同时,可以让威胁检测和响应更智能、更快速,帮助您实现一体化、自动化安全运营管理。关于SecMaster服务的详细功能和详细使用方法,请参考官网帮助文档。
典型使用场景 成本管理 通过为每个云资源设置标签,可以实现精细化的成本追踪和管理,有效控制云成本,提高企业财务管理的有效性和便捷性。标签也是财务部门实施精细化管理的重要工具。可以让财务人员以更好地理解、管理和优化公司的IT投资。这包括且不限于以下几个方面: 更精确的成本控制:合理
是仍然有访问流量转发到源端的场景。所以Runbook步骤需要考虑公网DNS缓存问题,建议保留一段时间源端到目的端的转发路径,并持续观测一段时间后,再切断此转发路径。 设计回退操作步骤 在切换过程中,出现严重问题无法短时间解决的必须进行回退,以恢复到切换之前的状态,避免对业务造成不
DBSS服务可以基于Agent采集模式,在网络可达的前提下,实现跨账号的数据库审计和统一信息展现。安全运营账号的CCM服务可以集中申请SSL证书,然后通过RAM服务共享给其他账号使用。安全运营账号的DEW服务可以集中创建KMS秘钥,然后通过RAM服务共享给其他账号使用。 图1 多账号的统一安全管理
在部署好目标大数据平台后,为了确保正确的权限设置,可以参考源端平台的权限设置,并按照以下步骤进行设置: 审查源端权限设置 仔细审查源端平台的权限设置,包括用户、角色、组织结构和权限级别等信息。了解每个用户的权限范围和访问权限,以便在目标平台上进行对应的设置。 创建用户和角色 根据源端平台的权限设置,创建相应的用
用户组的职责,按照最小授权原则,下表也推荐了应该给这些用户组设置访问哪些账号的哪些权限,您可以将其作为起点,精细化规划符合企业要求的用户组和权限。 表1 IAM身份中心的用户组 用户组 用户组的职责 多账号访问权限的设置建议 财务管理组 统一管理成员账号的账单、成本、折扣、发票等财务元素
精细化权限控制 在安全合规要求日趋严格的情况下,企业需要采用精细化权限控制手段授予用户足够履行其职责的最小权限。企业利用这些细粒度授权方法可以精确设置访问控制的5 个要素:Who、What、How、Where、When。Who 表示谁可以访问云资源,What 表示可以访问哪些云资源,How
保障 在大数据迁移的保障阶段,需要执行以下任务来确保顺利过渡到新的云环境: 监控和警报设置:建立实时监控系统,监测集群、任务调度平台和应用程序的运行状态。设置警报,以便及时发现潜在的问题并采取措施。 优化集群性能:对大数据集群进行性能评估和调优。监视资源使用情况,优化配置参数、调整集群大小和资源分配,以提高整体性能。
在上云迁移的保障阶段,需要执行以下任务来确保顺利过渡到新的云环境: 云平台监控:确保建立有效的监控系统,跟踪云平台的性能、可用性和安全性。设置警报机制,及时发现并解决潜在的问题。 系统监控和运维:设置系统监控和告警,确保及时发现和解决潜在的问题。配置基础设施监控工具,监测服务器、存储、网络等关键指标,并确保日志记录和错误报警机制正常运行。
应用层迁移实施 主机迁移 主机迁移是典型的Rehost迁移方式,虽然主机(服务器)上可以承载各种系统应用如Nginx代理、数据库、容器、中间件、大数据等,但由于数据库/中间件/大数据等应用是以数据为核心,对于这类数据层面的迁移我们通常会采用独立的数据迁移方式而非主机迁移,这里讲的
leader的正常选主。 Kafka-Broker数据节点高可用:Kafka-Broker节点3AZ分布(2+2+1)。Topic副本至少设置3副本,设置unclean.leader.election.enable参数为true,在3AZ其中任意一个AZ整体宕机情况,确保集群始终最少有一份副本。
的网络枢纽,其他账号之间的通信必须通过该账号的ER进行。ER可以通过设置路由规则决定哪些VPC之间的网络可以连通,华为云基于以下假设并根据各个账号的职责梳理各个账号下VPC之间的连通性矩阵,据此则可以在ER上设置对应的路由规则。 运维监控账号需要运维第三方云和本地DC中的资源; 安全运营账号需要到公网获取系统补丁包;
人员安全管理 企业需要对IT部门内的员工以会接触到企业敏感数据的员工进行人员安全管理,主要包括安全意识教育、安全能力培训、重点岗位管理和安全违规问责等。 安全意识教育 为了提升全员的信息安全意识,规避信息安全违规风险,保证业务的正常运营,企业可以从意识教育普及、宣传活动开展、承诺书签署三个方面开展安全意识教育
型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境等)对云资源进行标识和分类,然后基于标签进行资源筛选、成本归类和细粒度权限设置等,从而简化资源管理和优化成本。 如下图所示,用户为每个云资源分配了两个标签,每个标签都包含自定义的一个“键”和一个“值”,一个标签使用键
据的可用性和完整性。 自动故障恢复:设置自动化故障转移机制,在一个AZ发生故障时,自动将应用程序切换到其他可用的AZ上,以快速恢复服务,企业可以利用容器编排工具、自动化脚本或云服务提供商提供的故障转移功能来实现自动故障恢复。 监控和警报:设置监控和报警机制,实时监测每个AZ中的应
享,该方式仅限于拥有租户可见IP地址的资源,如NTP服务器、自建DNS服务器或者SFS文件存储等。 基于RAM的共享:通过华为云RAM服务设置资源共享,授权其他组织单元和账号使用该共享资源的权限,该共享方式更加安全。目前支持通过RAM进行跨账号共享的资源清单请参考官网文档。 基于
时间等条件,灵活地控制访问权限。例如,企业可以设置桶策略,仅允许来自公司内部网络的请求访问桶,或者限制特定时间段的访问。关于如何创建桶策略,请查看这个链接。 桶策略和VPCEP策略可以结合起来使用,达到“双端固定”的效果,一方面,设置VPCEP策略可以限制VPC中的服务器(ECS
于运行工作负载实际需要,产生过度配置;部分项目新建环境或者扩容实例 后,最后忘记关闭形成闲置等; 企业面对这些问题时,发现难以精细化管理云成本,也难以选择最优的成本优化路径,且优化后的效果难以持续,因此FinOps必须被提上日程。 FinOps是“Finance”和 “DevOps”的结合,推崇业务团队和工程
应用层先做读写分离改造,然后停止写服务,读不停 应用层修改代码,拆分读写服务 应用层服务没有读写分离的场景 复杂 大 中间件层/数据层直接回收写权限 中间件层/数据层设置业务账号只读,收回写权限 直接回收写权限,业务系统会报错,需要做相关轻微改造处理这些报错 简单 轻微改造 网关拦截 服务网关(Gateke
管理工具跟踪起来,并可以设置细粒度的过滤条件,精细化跟踪具体产品、团队、项目的成本。 除了在成本中心查看预算进展外,您还可以为指定预算设置预算提醒,当实际使用或预测使用达到提醒阈值时,及时接收系统发出的短信或邮件预警,从而及时采取下一步措施。 您还可以设置预算报告,定期将指定预算
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
