检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全管理,包括(1)缺省使用最新的实例版本、及时根据官网提示和漏洞通告升级版本等;(2)梳理资产分类及制定数据库实例防护策略,如数据库主备及集群设计、数据灾备及恢复策略、VPC及安全组配置、互联网访问配置、访问通道加密配置、数据库认证和鉴权配置、数据库审计配置以及其他安全配置。
应用部署架构示例 下图是音频类应用的云上部署设计参考架构: 图1 应用部署架构设计示例 设计要点: 用户接入采用多线路动态BGP,实现公网访问线路的自动容错,可靠性高; 华为云ELB采用集群跨可用区高可靠部署,单数据中心机房故障对业务无影响; 应用接入层采用跨可用区集群部署,单可用区的故障不会影响到全局业务;
概述 当企业上云规模逐渐变大,在云上有数十上百个应用系统和海量云资源,包括企业自有员工、外包员工及合作伙伴的员工在内的大量用户需要访问和操作这些云资源,量变导致质变,资源闲置、误操作、恶意操作、数据泄露和权限错配等风险将随着用云规模呈现指数级增长。 您需要开始着手构建精益化、集中
一身份管理与访问控制的功能,中心IT部门可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。集中权限管理加强了对用户权限的控制,防止未经授权的访问,保障系统的安全性。
纵向(垂直)扩展:适用于单体应用、独立应用、有状态应用等场景下,随着业务不断发展和变化,需要快速升级硬件以应对业务变化。如在进行一些促销活动时,对资源的需求往往比正常要高出多倍,这时企业在云上就可以通过可视化界面或者 OpenAPI 快速升级资源的配置,将资源调整到更高规格的实例上(如更多的 CPU、内存、带
与源端平台一致,并确保用户只能访问其应有的资源。 权限分配和继承 在目标平台上,根据源端平台的权限设置,对用户进行权限分配和继承。确保用户在目标平台上具有与源端平台相同的权限,并能够继承相应的角色和权限设置。 审查和调整访问控制 审查目标平台上的访问控制机制,并根据源端平台的权限
式进行切换。从业务对外体验上,多数用户感知不到停服的影响,比如某购物平台,用户仍然可以浏览商品,但是不能下单,下单时可友好的提示:系统正在升级中,预计凌晨4点恢复,请您稍后重试下单等。 四种停写不停读切换方案对比 停写不停读切换有4种方案可以选择: 表1 四种停写不停读切换方式 方案
概述 在全球化和技术迅速发展的新时代,企业所处的市场环境正经历着变化。消费者需求不断升级,市场竞争日益激烈,传统的商业模式面临巨大挑战。面对这些压力,数字化转型已成为企业实现业务创新和可持续发展的必由之路。 数字化转型是指组织利用数字技术(如IT基础设施、数据库、大数据、物联网、
首先要根据业务场景选择适用的存储类型,重点考虑如下几个方面: 可用的访问方式:EVS盘或SFS文件系统挂载到主机后,体现为操作系统中的一个文件系统路径,上层应用可以直接访问,而OBS需要业务应用调用专用的SDK或API接口访问,需要了解业务可接受的访问方式。对于数据库类需要直接裸盘映射的应用,只能使用块存储(EVS)。
架构设计未考虑业务的地理分布 设计云上部署架构时,未考虑业务的地理分布,导致用户访问延迟高,体验不好。 优化建议:根据业务的用户分布特点,选择合适的Region与AZ部署,确保用户能够就近访问应用实例。 将当前的传统架构直接迁移到云上,而没有进行必要的适配和优化,可能会出现稳定性、体验差等问题。
优。监视资源使用情况,优化配置参数、调整集群大小和资源分配,以提高整体性能。 数据安全和权限管理:审查和加强数据的访问控制和权限管理机制。确保只有经授权的人员可以访问敏感数据,并采取适当的加密和脱敏措施保护数据安全。 自动化任务调度:确保大数据任务调度平台的运行和调度正常。优化调
资源。 流量型资源的公共成本按用量拆分:使用成本中心的共同成本分拆能力,可将CDN、Live等团队共享使用的云资源成本,按照实际用量分摊到域名或IP。 容器集群成本拆分:华为云提供CCE成本洞察,开通后可将CCE集群相关的CCE集群管理费、CCE集群关联的ECS和EVS资源费用拆分到集群、命名空间和工作负载。
核心是要做好网络边界防护和内网东西向的访问控制。 网络边界防护:网络边界主要指的是企业内部网络与外部网络的边界,典型的场景如互联网接入、VPN、专线接入。客户可以基于华为云提供的云防火墙(Cloud Firewall,CFW)、VPC的安全组和ACL实施网络边界访问控制。CFW内置了网络入侵
响和传播到其他账号。 华为云账号也是安全管理边界,每个账号都有独立的身份和权限管理系统,一个账号内的用户只能访问和管理本账号的资源,未经显式的授权,一个账号内的用户不能访问其他账号的资源、数据和应用。 华为云账号还可以作为独立的账单实体,每个账号可以单独在华为云上充值、消费云资源、结算和开票。
Privilege) 基于华为云的细粒度授权机制,只授予用户或应用程序完成任务所需的最小权限,限制访问权限可以减少攻击面,即使用户密码或应用程序被攻破,攻击者也难以获得更广泛的访问权限。如果用户或应用程序的任务产生变化,也应该及时调整权限确保任务能够顺利完成。 纵深防御(Defense
统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。关于CBH服务
享资源的权限,该共享方式更加安全。目前支持通过RAM进行跨账号共享的资源清单请参考官网文档。 基于资源策略的共享:通过资源策略授予其他账号访问资源的权限,如OBS服务的桶策略、IMS服务的共享镜像和CBR的共享备份等。 父主题: Landing Zone参考架构
会影响和传播到其他账号。华为云账号也是安全管理边界,每个账号都有独立的身份和权限管理系统,一个账号内的用户只能访问和管理本账号的资源,未经允许,一个账号内的用户不能访问其他账号的资源、数据和应用。 从IT治理角度,账号分为管理账号和成员账号,管理账号用于创建和管理组织、成员账号和
使用标签按各种维度(例如用途、环境、部门等)对云资源进行成本分类之前,需要先进行成本标签激活,具体步骤请参考官网文档。 成本分析和优化 激活成本标签之后,进入“成本分析”页面,通过成本标签进行成本数据汇总和过滤。CCoE团队可以查看哪些标签下的资源被闲置,哪些标签下的资源负载过高,从而进行成本优化。 运维管理
Provider)的新一代云服务资源终态编排引擎。基于业界开放生态HCL语法模板,实现云服务资源的自动化批量构建,帮助用户高效、安全、一致创建、管理和升级云服务资源,能有效提升资源管理效率,并降低资源管理变更带来的安全风险。具体请参考华为云官网文档。 图1 华为云RFS编排示例 父主题: 采用实施
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
