检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
接入层迁移方案 接入层为应用的外部访问提供了访问入口,常见的接入层技术4种,分别是Nginx/Openresty、硬件或软件负载均衡器,微服务网关Kong/Zuul、DNS。通常采用重新配置的方式进行迁移,具体如下: 表1 接入层迁移方式 技术组件 功能说明 迁移方式 nginx/openresty
纵向(垂直)扩展:适用于单体应用、独立应用、有状态应用等场景下,随着业务不断发展和变化,需要快速升级硬件以应对业务变化。如在进行一些促销活动时,对资源的需求往往比正常要高出多倍,这时企业在云上就可以通过可视化界面或者 OpenAPI 快速升级资源的配置,将资源调整到更高规格的实例上(如更多的 CPU、内存、带
粒度授权方法可以精确设置访问控制的5 个要素:Who、What、How、Where、When。Who 表示谁可以访问云资源,What 表示可以访问哪些云资源,How 表示有权执行该资源的哪些操作,Where 表示允许用户从哪里访问,When 则表示允许访问的时间段。细粒度授权体现在以下三个方面:
符合安全标准的可信网络环境中,方能获得对特定资源的访问权限,从而保障数据安全。如下图所示,可信身份从互联网(不可信网络)访问云资源的请求会被拒绝,不可信身份通过本地数据中心网络(可信网络)访问云资源的请求也会被拒绝,可信身份访问其他企业的对象存储桶(不可信资源)的请求还会被拒绝,
信网络)访问本企业的云资源的请求是允许的。 图1 全方位数据边界 通过全方位的数据边界提供的保护措施,您可以实现如下数据保护能力: 禁止业务账号直接接入互联网。只允许通过网络运营账号的DMZ网络提供互联网服务或访问互联网。 禁止公网访问华为云管理控制台,用户只能从内网访问控制台,确保敏感数据不经过互联网。
应用部署架构按照各个组件的功能,一般可以抽象出四个层级:接入层、应用层、中间件层、数据层。 图1 应用的四层部署架构设计 接入层:为外部访问提供了访问入口,云上业务部署在VPC私有网络中,与外部网络是隔离的,当外部需要访问VPC业务时,通常可以通过如下两种方式: 专线:云专线是搭建用户本地数据中心/其他云厂商与云上虚拟私有云(Virtual
管理系统中的用户同步复制到华为云的IAM身份中心。您还可以在IAM身份中心对这些用户集中配置访问多个账号内资源的权限。配置完成后,前者的用户可以通过SSO(Single Sign-on)登录到华为云控制台,可以看到该用户有权限访问的账号清单,点击“访问控制台”即可登录到该账号内部访问其中的云资源。
下图是音频类应用的云上部署设计参考架构: 图1 应用部署架构设计示例 设计要点: 用户接入采用多线路动态BGP,实现公网访问线路的自动容错,可靠性高; 华为云ELB采用集群跨可用区高可靠部署,单数据中心机房故障对业务无影响; 应用接入层采用跨可用区集群部署,单可用区的故障不会影响到全局业务; 业务
概述 在全球化和技术迅速发展的新时代,企业所处的市场环境正经历着变化。消费者需求不断升级,市场竞争日益激烈,传统的商业模式面临巨大挑战。面对这些压力,数字化转型已成为企业实现业务创新和可持续发展的必由之路。 数字化转型是指组织利用数字技术(如IT基础设施、数据库、大数据、物联网、
云安全团队 云安全团队负责云基础设施和云上业务系统的安全保障工作,主要职责包括云平台安全方案设计、访问控制与权限管理、安全监控与威胁检测、漏洞扫描与修复、数据加密与隐私保护、合规性审查与风险评估,以及应急响应与安全事件处理,确保云上业务系统的安全性、合规性和稳定性。云安全团队通常
基础设施调研 基础环境调研的主要是企业当前的IT基础架构的现状和上云需求,包括资源信息、组网信息、安全架构、运维架构、访问权限管控、资源计量计费等。调研的方式主要是从IT系统导出(如CMDB、CMP、虚拟化管理软件),并结合问卷访谈。基础环境的调研主要是找企业的运维团队。调研人员
节点故障而中断。 安全性和数据保护:云上部署的任务调度平台需要具备安全性和数据保护机制。确保对敏感数据和系统组件进行适当的访问控制和加密,以防止未经授权的访问和数据泄露。 性能优化:在云上部署任务调度平台时,需要考虑性能优化。优化资源配置、任务调度算法和数据分发策略,以提高任务执
停写不停读,主要指切换期间,为了追求较好的用户体验,保持一部分读的服务不停服,保持在线可使用状态;为了保持数据一致性,写的服务仍然采用停服方式进行切换。从业务对外体验上,多数用户感知不到停服的影响,比如某购物平台,用户仍然可以浏览商品,但是不能下单,下单时可友好的提示:系统正在升级中,预计凌晨4点恢复,请您稍后重试下单等。
虑继续采用自建的方案。 最小改造原则:如无特别的业务驱动,要尽量避免进行大规模改造。大数据集群的组件要1:1对标设计,版本尽量一致,有版本升级需求的需要评估适配改造工作量。 弹性扩展和自动伸缩:设计云上的大数据集群时,应考虑集群的弹性扩展和自动伸缩能力。这意味着集群可以根据工作负
CAF提供的方法、最佳实践、工具和模版来自于华为云、合作伙伴和客户上云、用云和管云的经验,华为云会持续基于不断积累的云化转型经验和认知升级对CAF进行迭代刷新,确保CAF提供的方法、最佳实践、工具和模版能够与时俱进。 父主题: 云采用框架简介
调研平台对数据的安全性和权限控制机制,例如数据加密、用户访问权限管理等。 了解大数据集群的高可用性和容错机制,包括故障恢复、备份策略、容灾方案等。 调研大数据任务调度平台 需要调研大数据任务调度平台的类型、版本、支持的大数据框架和技术,调度任务类型,可视化和管理界面,扩展性和集成性,容错和故障恢复,安
这些应用系统的全面云化转型将导致在云上同时存在数百个业务系统和海量云资源,而且包括企业自有员工、外包员工及合作伙伴的员工在内的大量用户需要访问和操作这些云资源,量变导致质变,资源闲置、误操作、恶意操作、数据泄露和权限错配等风险将随着用云规模呈现指数级增长。大型企业必须构建精益化、
一身份管理与访问控制的功能,中心IT部门可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。集中权限管理加强了对用户权限的控制,防止未经授权的访问,保障系统的安全性。
如果云服务没有达到安全配置基线要求,云上业务及资产将面临巨大安全风险。为了帮助客户提高云环境的安全防护能力,华为云为客户提供了华为云安全配置基线指南。该指南包括身份与访问管理、日志与监控、虚拟机与容器、网络、存储、数据库、企业智能等方面的安全配置,但并不是所有可能的安全配置的详尽列表。建议您将该指南作为一个
安全管理,包括(1)缺省使用最新的实例版本、及时根据官网提示和漏洞通告升级版本等;(2)梳理资产分类及制定数据库实例防护策略,如数据库主备及集群设计、数据灾备及恢复策略、VPC及安全组配置、互联网访问配置、访问通道加密配置、数据库认证和鉴权配置、数据库审计配置以及其他安全配置。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
