检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
架构: 表1 应用调研表 应用类型 接入层 应用层 中间件层 数据层 接入域名 备注 应用名称 NAT NGINX 主机数量 IP地址 Redis Kafka MQ MySQL Mongo 内部/外部域名 WAF 备注 也可参考下图绘制应用的部署架构图: 调研方式如下图所示: 图1
安全管理,包括(1)缺省使用最新的实例版本、及时根据官网提示和漏洞通告升级版本等;(2)梳理资产分类及制定数据库实例防护策略,如数据库主备及集群设计、数据灾备及恢复策略、VPC及安全组配置、互联网访问配置、访问通道加密配置、数据库认证和鉴权配置、数据库审计配置以及其他安全配置。
/数据层,实现双写。注意:双写的数据一致性由应用逻辑保障; 实时对比源端和目标端数据一致性; 历史数据迁移至华为云数据层; 修改外部DNS域名解析地址,将外部流量从源端切换到华为云。 图1 不停服切换方案 父主题: 设计切换方案
应用部署架构示例 下图是音频类应用的云上部署设计参考架构: 图1 应用部署架构设计示例 设计要点: 用户接入采用多线路动态BGP,实现公网访问线路的自动容错,可靠性高; 华为云ELB采用集群跨可用区高可靠部署,单数据中心机房故障对业务无影响; 应用接入层采用跨可用区集群部署,单可用区的故障不会影响到全局业务;
概述 当企业上云规模逐渐变大,在云上有数十上百个应用系统和海量云资源,包括企业自有员工、外包员工及合作伙伴的员工在内的大量用户需要访问和操作这些云资源,量变导致质变,资源闲置、误操作、恶意操作、数据泄露和权限错配等风险将随着用云规模呈现指数级增长。 您需要开始着手构建精益化、集中
如果云服务没有达到安全配置基线要求,云上业务及资产将面临巨大安全风险。为了帮助客户提高云环境的安全防护能力,华为云为客户提供了华为云安全配置基线指南。该指南包括身份与访问管理、日志与监控、虚拟机与容器、网络、存储、数据库、企业智能等方面的安全配置,但并不是所有可能的安全配置的详尽列表。建议您将该指南作为一个
一身份管理与访问控制的功能,中心IT部门可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。集中权限管理加强了对用户权限的控制,防止未经授权的访问,保障系统的安全性。
与源端平台一致,并确保用户只能访问其应有的资源。 权限分配和继承 在目标平台上,根据源端平台的权限设置,对用户进行权限分配和继承。确保用户在目标平台上具有与源端平台相同的权限,并能够继承相应的角色和权限设置。 审查和调整访问控制 审查目标平台上的访问控制机制,并根据源端平台的权限
架构设计未考虑业务的地理分布 设计云上部署架构时,未考虑业务的地理分布,导致用户访问延迟高,体验不好。 优化建议:根据业务的用户分布特点,选择合适的Region与AZ部署,确保用户能够就近访问应用实例。 将当前的传统架构直接迁移到云上,而没有进行必要的适配和优化,可能会出现稳定性、体验差等问题。
Provider)的新一代云服务资源终态编排引擎。基于业界开放生态HCL语法模板,实现云服务资源的自动化批量构建,帮助用户高效、安全、一致创建、管理和升级云服务资源,能有效提升资源管理效率,并降低资源管理变更带来的安全风险。具体请参考华为云官网文档。 图1 华为云RFS编排示例 父主题: 采用实施
数据,用户也可以自定义文件的元数据 访问方式 只能在ECS/BMS中挂载使用,不能被操作系统应用直接访问,需要格式化成文件系统(OS层,不涉及应用改造) 在ECS/BMS/CCE中通过网络协议挂载使用,支持NFS/CIFS(通用文件系统不支持CIFS),需要指定网络地址访问,也可
优。监视资源使用情况,优化配置参数、调整集群大小和资源分配,以提高整体性能。 数据安全和权限管理:审查和加强数据的访问控制和权限管理机制。确保只有经授权的人员可以访问敏感数据,并采取适当的加密和脱敏措施保护数据安全。 自动化任务调度:确保大数据任务调度平台的运行和调度正常。优化调
资源。 流量型资源的公共成本按用量拆分:使用成本中心的共同成本分拆能力,可将CDN、Live等团队共享使用的云资源成本,按照实际用量分摊到域名或IP。 容器集群成本拆分:华为云提供CCE成本洞察,开通后可将CCE集群相关的CCE集群管理费、CCE集群关联的ECS和EVS资源费用拆分到集群、命名空间和工作负载。
核心是要做好网络边界防护和内网东西向的访问控制。 网络边界防护:网络边界主要指的是企业内部网络与外部网络的边界,典型的场景如互联网接入、VPN、专线接入。客户可以基于华为云提供的云防火墙(Cloud Firewall,CFW)、VPC的安全组和ACL实施网络边界访问控制。CFW内置了网络入侵
CAF提供的方法、最佳实践、工具和模版来自于华为云、合作伙伴和客户上云、用云和管云的经验,华为云会持续基于不断积累的云化转型经验和认知升级对CAF进行迭代刷新,确保CAF提供的方法、最佳实践、工具和模版能够与时俱进。 父主题: 云采用框架简介
人的管理:多账号环境下对业务单元、账号、用户、用户组、角色等进行统一管理; 财的管理:多账号环境下对资金、预算、成本、发票、折扣等进行统一管理; 物的管理:多账号环境下对计算、存储、网络、数据、应用等云资源进行统一运维、监控和管理; 权的管理:多账号环境下对云资源的访问权限进行统一管理,确保访问权限符合最小授权原则;
Privilege) 基于华为云的细粒度授权机制,只授予用户或应用程序完成任务所需的最小权限,限制访问权限可以减少攻击面,即使用户密码或应用程序被攻破,攻击者也难以获得更广泛的访问权限。如果用户或应用程序的任务产生变化,也应该及时调整权限确保任务能够顺利完成。 纵深防御(Defense
使用标签按各种维度(例如用途、环境、部门等)对云资源进行成本分类之前,需要先进行成本标签激活,具体步骤请参考官网文档。 成本分析和优化 激活成本标签之后,进入“成本分析”页面,通过成本标签进行成本数据汇总和过滤。CCoE团队可以查看哪些标签下的资源被闲置,哪些标签下的资源负载过高,从而进行成本优化。 运维管理
统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。关于CBH服务
会影响和传播到其他账号。华为云账号也是安全管理边界,每个账号都有独立的身份和权限管理系统,一个账号内的用户只能访问和管理本账号的资源,未经允许,一个账号内的用户不能访问其他账号的资源、数据和应用。 从IT治理角度,账号分为管理账号和成员账号,管理账号用于创建和管理组织、成员账号和
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
