• [整体安全] 【云小课】| 安全第15课 HSS对近期Cactus勒索病毒的分析
    【摘要】 Cactus勒索病毒的解析与防护建议。近期热点勒索事件2023年首次发现的勒索病毒Cactus已迅速在数字领域蔓延,利用漏洞(尤其是VPN的漏洞)获得未经授权的访问并在受损的基础设施中建立据点,采用动态加密方法并利用许多工具和技术来确保其恶意负载有效且隐蔽地传递,攻击领域多种多样,主要针对从事制造和专业服务业务的组织,并已经攻击达到9个国家。Cactus勒索病毒自2023年3月份开始活动以来一直很活跃,主要针对大型商业实体进行大量勒索。它采用双重勒索策略,在加密前窃取敏感数据,并在其网站威胁公开数据。Cactus勒索病毒利用Fortinet VPN漏洞、Qlik Sense公开暴露的安装漏洞和恶意广告传播的Danabot恶意软件,以获取初始访问权限,然后使用批处理脚本解压7-zip文件来提取勒索病毒可执行程序,并试图删除杀毒软件以逃避检测,它会在执行加密文件恶意代码前删除可执行程序,加密后,它会附加“.CTS[数字]”扩展名,如:1.jpg.CTS1、2.jpg.CTS1、3.jpg.CTS2等,在被加密的文件夹下,会有名为“cAcTuS.readme.txt”的勒索信。1. Cactus勒索病毒:初始入侵阶段Cactus勒索病毒可能采用的攻击手法包括:通过Fortinet VPN漏洞、Qlik Sense漏洞、流氓软件植入木马Danabot等获取初始访问权限。2. Cactus勒索病毒:感染与执行阶段Cactus与常见的勒索软件一样,在感染阶段会执行持久化、提权、横向移动、探测内网敏感数据、禁用安全软件等操作。Cactus在获取初始访问权限后,通过计划任务建立SSH后门来维持权限;使用SoftPerfect、Network Scanner(netscan)、PSnmap.ps1以及powershell命令扫描探测内网主机;同时,安装合法远程访问软件Splashtop、AnyDesk、SuperOps RMM来控制失陷主机并向其植入恶意文件。Cactus通过窃取浏览器配置文件中的凭据和LSASS进程中的凭据来进行权限提升,以及后续的横向移动,在失陷主机上还发现了用来加密通信的Chisel和攻击工具Cobalt Strike。在获取到足够的权限后,植入的恶意文件通过批处理脚本执行恶意操作,并用msiexec来卸载安全软件。Cactus在最后阶段使用Rclone等工具窃取数据,窃取完成后,开始加密失陷主机的数据。PowerShell脚本TotalExec.ps1使用PsExec部署加密器,批处理脚本f1.bat创建用户并赋予管理员权限,配置系统以安全模式启动,配置用户在进入系统时自动登录,并在RunOnce注册表中添加执行第二个批处理脚本f2.bat,然后5秒后强制重启系统并删除自己。图1 f1.bat脚本图2 f2.bat脚本(负责加密失陷主机的文件)f2.bat脚本移除安全模式启动的配置,解压7z文件得到勒索病毒加密组件,然后删除7z压缩包以及7.exe程序,然后通过PsExec在内网扫描入侵的主机上执行加密组件。Cactus勒索病毒可执行程序有-s、-r、-i、-l、-e、-c、-t、-d、-f等参数可选,不同的参数对应不同的行为。主要有下面3种模式:(1)安装模式通过在命令行中传递“-s”标志来触发,可执行文件会将自己复制到C:\ProgramData{Victim_ID}.exe,然后将在C:\ProgramData\ntuser.dat中写入一个配置文件,其中包含原始可执行文件的路径。然后,它会创建并执行一个计划任务来运行程序C:\ProgramData\{Victim_ID}.exe。(2)读取配置模式通过传递“-r”标志,它进入读取配置模式,读取ntuser.dat文件,提取一些字段,使用它们执行不同的操作,然后退出。(3)加密模式Cactus勒索病毒搜索文件系统,并开始使用线程加密多个文件。实现对多个文件进行加密。加密文件的扩展名为“.cts”,其中的“int”可以用任何随机数代替。Cactus采用双重勒索策略会把受害者的文件窃取再加密这些文件。Cactus采用AES+RSA算法加密文件,加密完成后,释放勒索信,命名为 “CAcTuS.readme.txt”。我们可以从以下流程图中观察Cactus勒索病毒执行流程。3. Cactus勒索病毒:数据外泄阶段Cactus勒索病毒会使用合法的云同步工具RClone等,以上传窃取的数据。勒索病毒防护方案按照勒索病毒攻击的3个阶段,进行有针对性的防护。攻击阶段包括:勒索病毒攻击入侵、勒索病毒横向扩散和勒索加密。在攻击入侵前进行事前识别与防御,可有效收敛攻击面;在攻击入侵及横向移动时进行告警,可及时发现勒索病毒入侵行为;在产生告警时进行自动处置,可有效阻断勒索病毒的加密行为和扩散;在勒索加密发生后进行数据恢复,可以保障业务及时恢复。1. 事前识别与防御华为云主机安全服务HSS对勒索攻击提供全链路的安全防护,攻击入侵前,可使用HSS提供的风险预防功能,包含基线检查、漏洞管理、容器镜像安全扫描,对企业资产进行梳理,对服务器的各项服务进行基线检查,以及对服务器运行的各类应用进行漏洞扫描,及时修复漏洞,收敛攻击面,降低服务器被入侵风险。步骤1:进入“基线检查”页面,处理配置风险、弱口令风险等。​步骤2:进入“漏洞管理”页面,扫描并修复漏洞。2. 事中威胁检测黑客进行勒索首先需要获取边界服务器的权限,在攻击过程运用多种攻击手段进行入侵,所以需要在黑客入侵过程,对各类入侵攻击进行及时告警、阻断,华为云主机安全服务HSS支持对暴力破解、漏洞利用、Webshell、反弹shell、病毒、木马、Rootkit等的检测。Cactus勒索攻击的常见战术行为列表及华为云主机安全HSS对应检测能力项如下表,HSS提供对攻击路径全链路的检测:针对勒索病毒,华为云主机安全服务HSS提供了多维度的检测能力,包括AV病毒引擎检测、诱饵文件检测、HIPS主机入侵规则检测。AV病毒引擎根据勒索病毒特征进行检测,诱饵文件根据勒索病毒加密行为进行检测,HIPS引擎对勒索病毒常见异常行为进行检测。3. 事中监控与处置在华为云主机安全服务HSS发现勒索病毒和勒索加密行为后,您可以手动处置,也可以在策略中开启对勒索病毒的自动隔离查杀,防止勒索病毒扩散蔓延。4. 事后恢复若服务器被勒索病毒加密,事后需要及时通过备份恢复数据,分析被入侵的原因,然后进行安全加固,避免再次被入侵勒索。华为云主机安全服务HSS支持一键恢复数据,开启勒索病毒防护策略后,可以对业务数据进行便捷地备份,服务器被勒索病毒入侵后,可以通过云服务器备份进行数据恢复,降低勒索病毒带来的损失。勒索病毒防护建议通过分析Cactus勒索病毒我们可以看到勒索病毒攻击的全部路径,包括攻击入侵、横向移动、勒索加密3大阶段。针对勒索病毒攻击的特点,可以在事前识别与防御、事中威胁检测、事中监控与处置和事后恢复4个阶段进行检测与防御,将勒索病毒的危害降到最低。赶紧戳这里,体验华为云主机安全服务防勒索能力!
  • [整体安全] 【云小课】| 安全第14课 HSS教您如何应对近期发生的LockBit勒索事件
    【摘要】 勒索病毒是一种极具破坏性、传播性的恶意软件,勒索手段也逐步发展为加密数据、威胁泄露敏感数据、DDoS攻击威胁和供应链攻击等多阶段勒索。近期某银行的美国子公司发布公告被勒索攻击,数十亿美元的业务受到影响。一旦被勒索,会严重影响公司运作、数据安全以及公司声誉。近期热点勒索事件2023年11月10日,某银行的美国全资子公司在官网发布声明称11月8日遭受了勒索软件攻击导致部分系统中断。并且11月9日LockBit勒索组织公开确认对此次攻击负责。LockBit是一种勒索软件家族,最初出现在2019年,目前已经升级至LockBit3.0,已发展成为一种具有高度定制化和复杂特性的勒索软件,并提供勒索软件即服务(RaaS)能力,是2023年最多产的勒索软件组织,其受害者名单不乏世界知名企业和机构,覆盖金融服务、食品和农业、教育、能源、政府、医疗保健、制造业和运输等,如果受害者不支付赎金,则文件可能会永久丢失或被公开泄露。目前某银行尚未公布调查结果,据安全专家 Kevin Beaumont 称攻击者疑似利用Citrix Netscaler Gateway/ADC产品的CVE-2023-4966漏洞发起攻击(Citrix NetScaler Gateway是一套安全的远程接入解决方案,提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix NetScaler ADC是一个应用程序交付和安全平台。)未授权的远程攻击者可通过利用此漏洞,窃取如cookie等敏感信息,从而绕过身份验证。 LockBit 勒索软件操作遵循勒索软件即服务 (RaaS) 模式,使用附属机构来分发勒索软件,这些附属机构使用不同的攻击方法来渗透并部署勒索软件。初始入侵阶段勒索入侵可能采用的攻击手法包括:远程桌面协议利用(RDP exploitation)、钓鱼活动(Phishing Campaigns)、有效帐户滥用(Abuse of Valid Accounts)、面向公众的应用程序的漏洞利用(Exploitation of Public-facing Applications),该勒索家族历史上利用的典型漏洞有:感染与执行阶段 LockBit与常见的勒索软件一样,在感染阶段会执行持久化、提权、横向移动、探测内网敏感数据、禁用安全软件等操作。Lockbit 3.0在受害者环境中实际执行勒索软件时,可以提供各种参数来控制勒索软件的行为,可以接受额外的参数用于横向移动和加密端点上的特定目录的特定操作。并且通过使用加密可执行文件方式保护自身以躲避检测和分析。LockBit采用双重勒索策略会把受害者的部分文件窃取再加密这些文件。LockBit3.0持续针对windows、linux系统,采用AES+RSA算法加密文件(市面上无相应的解密工具),同时更改桌面壁纸用于提示用户已被勒索,并释放文件名为[Random string].README.txt的勒索信。数据外泄阶段LockBit勒索软件会使用其自研的数据外泄工具StealBit,或合法的云同步工具(如RClone、Mega等),以上传窃取的数据。勒索病毒防护方案按照勒索病毒攻击的3个阶段,进行有针对性的防护。攻击阶段包括:攻击入侵、横向扩散和勒索加密。常见勒索病毒攻击路径分析 :华为云主机安全服务能够在攻击入侵前进行风险预防,在攻击入侵及横向移动时进行告警和攻击阻断,在勒索加密发生后进行数据恢复、安全加固。风险预防华为云主机安全HSS对勒索攻击提供全链路的安全防护,攻击入侵前,可使用HSS主机安全提供的风险预防功能,包含基线检查、漏洞管理、容器镜像安全扫描,对企业资产进行梳理,对服务器的各项服务进行基线检查,以及对服务器运行的各类应用进行漏洞扫描,及时修复漏洞,收敛攻击面,降低服务器被入侵风险。步骤1:进入“基线检查”页面,处理配置风险、弱口令风险等。步骤2:进入“漏洞管理”页面,扫描并修复漏洞。入侵检测与阻断黑客进行勒索首先需要获取边界服务器的权限,在攻击过程运用多种攻击手段进行入侵,所以需要在黑客入侵过程,对各类入侵攻击进行及时告警、阻断,华为云主机安全HSS支持对暴力破解、漏洞利用、Webshell、反弹shell、病毒、木马、Rootkit等的检测。LockBit勒索攻击的常见战术行为列表及华为云主机安全HSS对应检测能力项如下表,HSS提供对攻击路径全链路的检测:针对勒索病毒,华为云主机安全HSS提供了多维度的检测能力,包括AV病毒引擎检测、诱饵文件检测、HIPS主机入侵规则检测。AV病毒引擎根据勒索病毒特征进行检测,诱饵文件根据勒索病毒加密行为进行检测,HIPS引擎对勒索病毒常见异常行为进行检测。在发现勒索病毒和勒索加密行为后,对勒索病毒进程进行阻断,防止勒索病毒扩散蔓延。数据恢复若服务器被勒索病毒加密,事后需要及时通过备份恢复数据,分析被入侵的原因,然后进行安全加固,避免被再次被入侵勒索。华为云主机安全HSS支持一键恢复数据,开启勒索病毒防护策略后,可以对业务数据进行便捷地备份,服务器被勒索病毒入侵后,可以通过云服务器备份进行数据恢复,降低勒索病毒带来的损失。赶紧戳这里,体验华为云主机安全服务防勒索能力! 
  • [计算] 【云小课】基础服务第91课 共享镜像和复制镜像的区别与联系
    【摘要】“共享镜像”和“复制镜像”两者从字面含义上的区分较小,不易理解。但实际上“共享镜像”和“复制镜像”是镜像服务两个重要且不同的功能,在跨区域跨账号复制镜像时,还需要联合两者使用。本节课程详细介绍下两者之间的区别和联系。什么是共享镜像?共享镜像是指在同一区域内,将自己已经创建好的私有镜像共享给其他用户使用。共享后,接受者可以使用该共享镜像快速创建同一镜像环境的云服务器。镜像共享流程图如下:什么是复制镜像?复制镜像分为区域内复制镜像和跨区域复制镜像。区域内复制镜像:用户可以通过区域内复制镜像功能实现加密镜像与非加密镜像的转换,或者使镜像具备一些高级特性(如快速发放)。跨区域复制镜像:镜像是一种区域性资源,私有镜像归属于其被创建时的区域,如果需要在其他区域使用某一私有镜像,需要通过跨区域复制镜像功能实现。跨区域复制镜像场景示意图如下:共享镜像和复制镜像的区别与联系操作类型操作场景说明共享镜像适用于同区域跨帐号共享镜像,镜像提供者共享指定的镜像给在同一区域内的其他帐号使用。共享镜像不会生成新的镜像,接受者所看到的镜像和源镜像拥有相同的ID。镜像所有者仍为共享者。区域内复制镜像适用于同区域同帐号复制镜像,有以下场景: 加密镜像复制为非加密镜像,可将自己的加密镜像发布为市场镜像或共享给某个租户。 加密镜像复制为加密镜像,可为自己的加密镜像更换加密密钥。 非加密镜像复制为加密镜像,可将原有的非加密镜像复制为新的加密私有镜像。 优化系统盘镜像使其支持云服务器快速发放。实现加密镜像与非加密镜像的转换,或者使镜像具备一些高级特性(如快速发放)。跨区域复制镜像适用于跨区域同帐号复制镜像,将一个镜像复制到多个目标区域,然后使用私有镜像快速部署云服务器。复制完成后,目标区域会生成新的镜像,且新镜像具有唯一的ID。跨区域复制、共享镜像适用于跨区域复制镜像到目标区域后,再将镜像共享给其他帐号使用。/支持跨区域复制系统盘镜像和数据盘镜像的区域有哪些?“√”表示支持跨区域复制镜像。“×”表示不支持跨区域复制镜像,可手动在A区域做镜像导出,再将其导入到B区域。“-”表示相同区域不涉及跨区域复制镜像。图中未包含的区域,不支持跨区域复制系统盘镜像和数据盘镜像。
  • [数据库] 【第58课】如何通过DRS实现Oracle到DDM的数据同步
    数据复制服务(DRS)是一种易用、稳定、高效、用于数据同步的云服务,本节小课为您介绍,如何通过DRS将Oracle的数据同步到DDM。使用场景DRS实时同步功能一般用于建立数据同步通道,解决数据共享问题,也可以用于数据流式集成,具有数据转换能力。本实践中的选择均为测试简化基本操作,仅做参考,实际情况请用户按业务场景选择,更多关于DRS的使用场景请单击这里了解。部署架构本示例中,DRS源数据库为本地自建Oracle数据库,目标端为华为云上的分布式数据库中间件DDM,通过公网网络,将源端的数据同步到目标端,部署架构可参考下图。更多关于DRS的使用场景请单击这里了解。源端Oracle准备同步前需要在源库构造一些数据类型,供同步完成后验证数据。执行如下步骤在源库构造数据:1. 根据本地的Oracle数据库的IP地址,通过数据库连接工具连接数据库。2. 根据支持的数据类型,在源库执行语句构造数据。3. 创建一个测试用的用户。create user test_info identified by xxx;test_info为本次实践创建的用户,xxx为用户的密码,请根据实际情况替换。4. 给用户赋权。grant dba to test_info;5. 在当前用户下创建一个数据表。CREATE TABLE test_info.table3(ID INT,COL01 CHAR(100),COL02 NCHAR(100),PRIMARY KEY(ID));6. 插入两行数据。insert into test_info.table3 values(4,'huawei','xian');insert into test_info.table3 values(2,'DRS-test','test1');insert into test_info.table3 values(1,'huawei','xian');7. 使语句生效。commit;目标端DDM准备一、创建DDM实例1. 登录华为云控制台。2. 单击管理控制台左上角的图标,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 分布式数据库中间件 DDM”,进入DDM管理控制台。4. 在实例管理页面,单击页面右上方的“购买数据库中间件实例”。5. 按需设置实例相关信息和规格。6. 选择实例所属的VPC和安全组、配置数据库端口。7. 实例信息设置完成后,单击页面下方“立即购买”。8. 实例创建成功后,用户可以在“实例管理”页面对其进行查看和管理。数据库端口默认为5066,实例创建成功后可修改。当实例运行状态为“运行中”时,表示实例创建完成。二、创建RDS for MySQL实例本章节介绍创建DDM下关联的RDS for MySQL实例,创建步骤如下。1. 登录华为云控制台。2. 单击管理控制台左上角的图标,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 云数据库 RDS”。4. 单击“购买数据库实例”。5. 配置实例名称和实例基本信息。6. 选择实例规格。7. 选择实例所属的VPC和安全组、配置数据库端口。注意:RDS for MySQL实例的虚拟私有云(VPC)和子网必须和DDM实例保持一致。8. 配置实例密码。9. 单击“立即购买”。10. 返回云数据库实例列表。    当RDS实例运行状态为“正常”时,表示实例创建完成。三、创建逻辑库并关联RDS for MySQL实例1. 登录华为云控制台。2. 单击管理控制台左上角的图标,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 分布式数据库中间件 DDM”,进入DDM管理控制台。4. 在实例管理页面,单击实例对应操作栏的“创建逻辑库”。5. 在创建逻辑库页面,选择“逻辑库模式”、“逻辑库总分片数”,填写“逻辑库名称”,并选择要关联的DDM帐号、要关联的实例,单击“下一步”。本示例中逻辑库模式为单库,逻辑库名称为db_test。注意:DRS目前仅支持同步源端Oracle的数据到目标DDM,不支持同步源库表结构及其他数据库对象,用户需要在目标库根据源端数据库的表结构创建对应的逻辑库。四、创建DDM账号1. 登录华为云控制台。2. 单击管理控制台左上角的图标,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 分布式数据库中间件 DDM”,进入DDM管理控制台。4. 在实例管理页面,单击实例实例名称,进入实例基本信息页面。5. 在左侧导航栏选择“帐号管理”,进入帐号管理页面。6. 在帐号管理页面单击“创建DDM帐号”,在弹窗中填选帐号信息、关联的逻辑库和权限。DDM目标库账号所需要的权限可参考DRS使用须知中的数据库权限说明。7. 信息填写完成,单击“确定”即可创建成功。五、创建目标库表结构DRS目前仅支持同步源端Oracle的数据到目标DDM,不支持同步源库表结构及其他数据库对象。用户需要在目标库根据源端逻辑库的表结构,自行在目标库创建对应的表结构及索引。更对约束限制可参考DRS使用须知。1. 登录华为云控制台。2. 单击管理控制台左上角的图标,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 分布式数据库中间件 DDM”,进入DDM管理控制台。4. 在弹出的对话框中输入创建DDM账号中的实例用户名和密码,单击“测试连接”检查。5. 连接成功后单击“登录”,登录DDM实例。6. 单击创建逻辑库并关联RDS for MySQL实例中创建的逻辑库db_test。7. 在db_test库中执行如下语句,创建与源端结构一致的同名目标表table3。CREATE TABLE `db_test`.`table3`( ID INT, COL01 CHAR(100), COL02 NCHAR(100), PRIMARY KEY(ID));创建DRS同步任务本章节介绍如何创建DRS同步任务,将本地自建Oracle上的数据库同步到华为云DDM。在创建任务前,需要针对同步条件进行手工自检,以确保您的同步任务更加顺畅。本示例为同步到DDM入云同步,您可以参考DRS使用须知获取相关信息。1. 登录华为云控制台。2. 单击管理控制台左上角的图标,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 数据复制服务 DRS”。4. 单击“创建同步任务”。5. 填写同步任务参数:    a、配置同步任务名称。        b、填写同步任务信息并选择目标库。    这里的目标库选择创建DDM实例所创建的DDM实例。    6. 单击“开始创建”。同步实例创建中,大约需要5-10分钟。7. 配置源库信息和目标库数据库密码。    c、配置源库信息,单击“测试连接”。当界面显示“测试成功”时表示连接成功。        d、配置目标库信息,单击“测试连接”。当界面显示“测试成功”时表示连接成功。    8. 单击“下一步”。9. 在“设置同步”页面,选择同步对象。流速模式:不限速。同步对象:表级同步在源库选择需要同步的数据库和表。本次实践中选择“test_info”中的“table3”表,设置同步到目标“db_test”中的“table3”中。        10. 单击“下一步”,在“预检查”页面,进行同步任务预校验,校验是否可进行同步。查看检查结果,如有不通过的检查项,需要修复不通过项后,单击“重新校验”按钮重新进行同步任务预校验。预检查完成后,且所有检查项结果均成功时,单击“下一步”.11. 单击“提交任务”。返回DRS实时同步管理,查看任务状态。启动中状态一般需要几分钟,请耐心等待。当状态变更为“全量中”,表示同步任务已经启动。说明:目前Oracle到DDM同步支持全量、全量+增量两种模式。如果创建的任务为全量同步,任务启动后先进行全量数据同步,数据同步完成后任务自动结束。如果创建的任务为全量+增量同步,任务启动后先进入全量同步,全量数据同步完成后进入增量同步状态。增量同步会持续性同步增量数据,不会自动结束。确认同步执行结果确认同步结果可参考如下两种方式:1. DRS会针对同步对象、数据等维度进行对比,从而给出同步结果,详情参见在DRS管理控制台查看同步结果。2. 直接登录数据库查看库、表、数据是否同步完成。手工确认数据同步情况,详情参见在DDM管理控制台查看同步结果。在DRS管理控制台查看同步结果1. 登录华为云控制台。2. 单击管理控制台左上角的图标,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 数据复制服务 DRS”。4. 单击DRS实例名称。5. 单击“同步对比”。6. 选择“对象级对比”页签,查看对象是否缺失。单击“开始对比”,对比完成后,查看对比结果。7. 选择“数据级对比”页签,查看同步对象行数是否一致。 a、单击“创建对比任务”。b、在弹出的对话框中选择对比类型、时间和对象。c、等待对比任务结束后,查看数据对比结果。​d、如需查看对比明细,可单击对比任务后的“查看对比报表”。在DDM管理控制台查看同步结果1. 登录华为云控制台。2. 单击管理控制台左上角的图标,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 分布式数据库中间件 DDM”。4. 选择DDM实例,单击同步的目标实例的操作列的“登录”。5. 在弹出的对话框中输入密码,单击“测试连接”检查。6. 连接成功后单击“登录”。7. 查看并确认目标库名和表名等,确认相关数据是否同步完成。
  • [数据库] 【第57课】RDS for MySQL停止和开启实例
    在仅使用数据库实例进行日常开发活动时,RDS for MySQL支持通过暂时停止按需实例以节省费用。实例停止后,支持手动重新开启实例。实例停止后还会收费吗?实例停止后,虚拟机(VM)停止收费,其余资源包括弹性公网IP(EIP)、存储资源、数据库代理(Proxy)、以及备份都正常计费。如何停止实例?1. 在“实例管理”页面,在主实例上,选择“更多 > 停止实例”。2. 在停止实例弹框,单击“是”,停止实例。3. 实例状态为“已停止”,说明实例停止成功。    实例停止后,自动备份任务也会停止。如何开启实例?1. 在“实例管理”页面,在主实例上,选择“更多 > 开启实例”。2. 在开启实例弹框,单击“是”,开启实例。3. 实例状态为“正常”,说明实例开启成功。    实例开启后,会自动触发一次全量备份。
  • [数据库] 【第56课】RDS for MySQL参数模板一键导入导出,参数配置轻松搞定
    云数据库RDS for MySQL支持参数模板的导入和导出功能。导入参数模板:导入后会生成一个新的参数模板,供您后期使用。导出参数模板:您可以将数据库实例参数列表,导出并生成一个新的参数模板,供您后期使用。或者将数据库实例参数列表(参数名称,值,描述)导出到CSV中,方便查看并分析。导入参数模板1. 登录管理控制台。2. 单击管理控制台左上角的图标,选择区域和项目。3. 单击页面左上角的图标,选择“数据库 > 云数据库 RDS”,进入RDS信息页面。4. 在“参数管理”页面,单击“导入参数模板”。5. 在弹出框中,选择本地设置好的参数列表(参数名称,值,描述),单击“确定”。文件只能单项导入,只支持csv格式,文件大小不能超过50K。导出实例的参数1. 登录管理控制台。2. 单击管理控制台左上角的图标,选择区域和项目。3. 单击页面左上角的图标,选择“数据库 > 云数据库 RDS”,进入RDS信息页面。4. 在“实例管理”页面,选择指定的实例,单击实例名称,进入实例的基本信息页面。5. 在左侧导航栏中选择“参数修改”,在“参数”页签单击“导出”。导出到参数模板。将该实例对应参数列表导出并生成一个参数模板,供您后期使用。在弹出框中,填写新参数模板名称和描述,单击“确定”。创建完成后,会生成一个新的参数模板,您可在“参数管理”页面的“自定义模板”页签对其进行管理。 ​参数模板名称长度在1~64个字符之间,区分大小写,可包含字母、数字、中划线、下划线或句点,不能包含其他特殊字符。参数模板的描述长度不能超过256个字符,且不能包含回车和>!<"&'=特殊字符。导出到文件。将该实例对应的参数模板信息(参数名称,值,描述)导出到CSV表中,方便用户查看并分析。在弹出框中,填写文件名称,单击“确定”。​文件名称长度在4~81个字符之间,必须以字母开头,可以包含字母、数字、中划线或下划线和中文,不能包含其他特殊字符。导出参数模板1. 登录管理控制台。2. 单击管理控制台左上角的图标,选择区域和项目。3. 单击页面左上角的图标,选择“数据库 > 云数据库 RDS”,进入RDS信息页面。4. 在“参数管理”页面,选择“系统模板”或“自定义模板”,选择“更多 > 导出”。5. 在弹出框中,设置文件名,单击“确定”。文件名长度4~81个字符。
  • [其他问题] 【问题求助】华为云和阿里云的区别
    我想了解华为云和阿里云的区别,为啥不用阿里云,要用华为云,
  • [其他问题] 【问题求助】关于华为云的书籍
    我想了解下华为云,有关于这块的书籍吗
  • [数据库] 【第55课】GaussDB(for MySQL)小版本升级全攻略
    本节重点讲GaussDB(for MySQL如何升级内核小版本,内核小版本的升级涉及性能提升、功能优化或问题修复等。关于内核的版本更新说明,请前往华为云官网查看。华为云有新的内核小版本发布时,您可以在“实例管理”页面的“数据库引擎”列看到内核小版本升级提示,轻点“补丁升级”,即可前往升级,具体内容参考后续操作步骤。升级小知识升级数据库内核小版本会重启GaussDB(for MySQL)实例,服务可能会出现闪断,请您尽量在业务低峰期执行该操作,或确保您的应用有自动重连机制。如果数据库内核从8.0.18升级到8.0.22版本,分区数大于1000时可能会升级失败,请升级之前提交工单联系华为云工程师协助检查版本兼容性。升级实例小版本时,如有只读节点,也会同步升级只读节点的小版本,升级完成会重启实例,请您选择合适的时间升级(不支持单独升级只读实例的小版本)。升级内核小版本后,实例会升级到最新的内核小版本,升级成功,无法降级。小版本升级过程中禁止event的ddl操作,如create event、drop event和alter event。操作步骤登录管理控制台。单击管理控制台左上角的,选择区域和项目。在页面左上角单击,选择“数据库 > 云数据库 GaussDB(for MySQL)”。在“实例管理”页面,选择指定的目标实例,单击实例名称。在“基本信息”页面,“实例信息”模块的“兼容的数据库版本”处,单击“补丁升级”。您也可以在“实例管理”页面的“数据库引擎”列看到内核小版本升级提示,单击“补丁升级”。在弹出框中,选择升级方式,单击“确定”。a、立即升级:系统会立即升级您的数据库内核版本到当前最新版本。操作完成后,可进入任务中心的“即时任务”页签,查看该升级任务的相关信息。b、可维护时间段内升级:系统会在您设置的可维护时间段内,升级您的数据库内核版本到当前最新版本。操作完成后,可进入任务中心的“定时任务”页签,查看该升级任务的相关信息。
  • [数据库] 【第54课】DDM如何实现读写分离
    什么是读写分离读写分离是分布式数据库中间件(Distributed Database Middleware,简称DDM)的一项核心功能,可以将只读查询的流量按比例分摊至下挂存储节点的主实例和只读实例,从而减轻主实例的工作负担,保障读写事务的性能。此功能对应用透明,业务代码无需改造,只需要在控制台中设置主实例和只读实例的读权重,即可实现将读流量按照权重分流到主实例和只读实例上。写流量不受影响,默认会分流到主实例上。一般来说该比例的设置需结合业务实际特点以及存储节点实际负载进行设置。只读实例上的数据是从主实例上异步复制而来,所以存在毫秒级的延迟。如果只读查询对数据实时性要求不高(容忍亚秒级可见性延迟)且只读查询的开销较大并对业务核心读写事务有一定影响,设置主实例和只读实例的权重为0:100,即所有只读查询均由只读实例承担,最大程度保证主实例性能。对于其他场景,建议结合实际情况酌情调整。如何设置读写分离1. 登录管理控制台。2. 单击管理控制台左上角的,选择区域。3. 单击左侧的服务列表图标,选择“数据库 > 分布式数据库中间件 DDM”,进入DDM管理控制台。4. 选择目标DDM实例,单击实例名称进入实例基本信息页面。5. 在左侧导航栏选择“DN管理”,进入DN管理页面。图1-1 DN管理6. 设置实例的读写权重。只读实例挂载后默认承载全部可分离的只读请求,如果需要设置实例的读写权重,可参照以下操作来设置。如果需要设置多个实例的读写权重,可单击实例上方的“设置读权重”来进行批量设置。如图1-2所示。在批量设置的弹窗中,“同步”功能可以用来将第一个实例的读权重设置同步到其他的实例上,如图1-3所示。此操作需满足所有实例的只读实例数量一致才可以实行。如果有实例的只读实例数量与其他实例不一致,则无法使用“同步”功能,需手动设置各个实例的读权重,如图1-4所示。图1-2 批量设置读权重图1-3 同步第一个实例的读权重图1-4 手动设置权重如果需要设置单个实例的读写权重,可单击操作栏的“设置读权重”来进行设置。7. 设置读权重命令下发成功提示。
  • [计算] 【云小课】基础服务第47课 谈谈镜像的前世今生
    ↵首先,我们通过一个有趣的栗子来认识什么是镜像。假如我来到一片空地,想要建一座房子,那么我需要砍木头、搬石头、画图纸等等,一顿忙活后,房子终于盖好了。这时,我发现地址选的不好,想迁到另外一处。按照之前的方法,我必须重新砍木头、搬石头、画图纸,想想都头大。我幻想拥有一种超能力,将盖好的房子复制一份,做成“镜像”,装在口袋里,等到了另一片空地,用这个“镜像”复制一座房子,拎包入住。在云计算界,镜像就是这么神奇的存在。让我们从镜像的前世开始谈起,慢慢揭开它的神秘面纱~温馨提示:本文干货较多,阅读可能需要二十分钟。镜像的前世说到镜像,不得不提起云计算业界大佬OpenStack。OpenStack是一个开源的云计算管理平台项目,旨在为公共及私有云的建设与管理提供软件,这个项目由几个主要的组件组合起来完成一些具体的工作。Glance组件负责虚拟机镜像的上传、注册、查找、编辑、删除等功能,它提供了一个REST API,允许用户查询虚拟机镜像元数据来获取实际的镜像文件。您可以将Glance提供的镜像存储在各种位置,从简单的文件系统到对象存储系统。OpenStack各组件关系及Glance所扮演的角色见图1 OpenStack各组件关系。图1 OpenStack各组件关系​在OpenStack整个云环境中,如果没有虚拟机镜像,就无法在计算节点上生成虚拟机,OpenStack也就失去了它的意义,所以说镜像服务是OpenStack的一个核心服务。Glance组成Glance包括以下服务:Glance API:接受最终用户或Nova Compute对镜像的请求,诸如镜像创建、检索、存储。Glance Registry:存储、处理和检索有关镜像的元数据,元数据诸如大小、类型。Database:存储镜像的元数据,主要使用MySQL和SQLite。Store Backend:存储镜像本身,支持多种方式,包括普通的文件存储、Swift、Amazon S3等。图2 Glance组成​Glance APIGlance API是系统后台运行的服务进程,对外提供REST API,响应镜像查询、检索和存储的调用。Glance API不会真正处理请求。如果是与镜像元数据相关的操作,Glance API会把请求转发给Glance Registry;如果是与镜像自身存取相关的操作,Glance API会把请求转发给该镜像的Store Backend。Glance RegistryGlance Registry是系统后台运行的服务进程,负责处理和存取镜像的元数据,例如镜像的大小、格式和名称。Glance支持多种格式的镜像,包括AKI、AMI、ARI、ISO、QCOW2、Raw、VDI、VHD和VMDK,下次课程将着重介绍镜像格式的相关知识,敬请期待。Database镜像的元数据会保存到Database中,使用比较广泛的是MySQL和SQLite。Store BackendGlance自己并不存储镜像,真正的镜像是存放在Backend中的。Glance支持多种Backend,包括普通的文件存储、Swift、Amazon S3等。Glance的操作方式可以通过OpenStack Web UI、命令行和OpenStack CLI三种方式操作Glance,例如镜像的增删改查。对于Glance的镜像管理命令举例如下:glance image-createglance image-deleteglance image-updateglance image-show​云计算从初创时的牛刀小试,到现如今成长为一个庞大的行业和生态,各云厂商不断为其注入能量。为了提升用户的云上体验,华为云在镜像服务产品能力和生态能力方面也做了很多工作,下面将从两个方面介绍镜像服务IMS:镜像产品能力:镜像有哪些类型?IMS提供了哪些产品能力?镜像生态能力:围绕镜像衍生出了哪些产品?这些产品对用户有什么价值?镜像产品图3 产品导图​镜像分类镜像是云服务器运行环境的模板,在购买云服务器时,镜像是必填项,有四个分类,分别是公共镜像、私有镜像、共享镜像和市场镜像。​他们有什么区别?实际该如何选择呢?下面我们将这四种类型做个对比:镜像类型说明可用性/安全性费用公共镜像常见的标准操作系统镜像,所有用户可见,包括操作系统以及预装的公共应用。公共镜像具有高度稳定性,皆为正版授权,可放心使用。高免费市场镜像提供预装操作系统、应用环境和各类软件的优质第三方镜像。无需配置,可一键部署,满足建站、应用开发、可视化管理等个性化需求。较高免费/收费私有镜像包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像,仅用户个人可见。中免费共享镜像用户将接受云平台其他用户共享的私有镜像,作为自己的镜像进行使用。低免费在实际选择时,有一个简单的判断原则:如果需要一个纯净版OS,则选择公共镜像如果需要一个完整的软件环境,比如Magento电子商务系统,则选择市场镜像如果希望基于当前云服务器实例复制新实例,则选择私有镜像如果想使用别人共享的镜像,则选择共享镜像镜像产品能力创建镜像流程为了满足用户多种业务场景的需求,华为云将私有镜像再次分类为:系统盘镜像、数据盘镜像和整机镜像,从字面即可理解这几种镜像的含义,整机镜像也叫全镜像,可以包含系统盘和数据盘。整机镜像基于差量备份制作,相比同样磁盘容量的系统盘镜像和数据盘镜像,创建效率更高。以系统盘镜像为例,图5展示了从ECS实例创建镜像的过程:从现有镜像开始,创建一个实例,自定义该实例,从该实例创建新的镜像,并最终创建新的实例。图5 系统盘镜像使用流程​用途​创建镜像可用于将ECS实例环境信息打包,快速复制新的ECS实例,常见于应用扩容场景。也可用于混合云部署场景,为了实现云上及线下资源同步,可以借助镜像导入导出功能。以将公有云资源同步到私有云为例,实现过程如下:i. 基于ECS制作私有镜像,可以为系统盘镜像或数据盘镜像(不建议制作整机镜像,因其不支持导出)ii. 将私有镜像导出到OBS桶iii. 下载OBS桶中的镜像文件,上传到私有云使用更多指导,请参阅“通过云服务器创建系统盘镜像”。导入镜像流程支持将本地或者其他云平台的镜像文件导入到华为云使用,依据镜像文件类型可用来创建ECS实例或EVS数据盘。包括四个步骤,详细流程如下:图6 导入镜像​用途上云,将计算资源从线下迁移到云上。更多指导,请参阅“通过外部镜像文件创建系统盘镜像”。导出镜像流程图7 导出镜像​用途将云上的ECS系统及软件环境复制到线下集群或私有云环境使用。更多指导,请参阅“导出镜像”。共享镜像假设Jack要将自己的镜像共享给Rose,流程如下:图8 共享镜像过程​同样的镜像,又需要共享给Alice,可以通过为镜像添加共享租户实现:图9 添加共享租户​Rose已经使用Jack共享的镜像完成业务部署,不再需要该镜像,可以拒绝已经接受的共享镜像:图10 拒绝已经接受的共享镜像​Jack也可以单方向取消共享给其他人的镜像:图11 取消共享镜像​更多指导,请参阅“共享指定镜像”。复制镜像流程区域内复制:实现加密镜像与非加密镜像的转换图12 区域内复制​跨区域复制:实现镜像在不同区域间迁移图13 跨区域复制​用途典型场景为系统环境多区域部署,以应对系统高可用及国际化的趋势,部署方式通常需要多区域+海外节点部署,快速实现跨区域复制ECS实例的方法之一便是通过复制镜像将一个镜像复制到多个区域,然后使用私有镜像快速创建实例。更多指导,请参阅“跨区域复制镜像”。镜像生态除了上文介绍的镜像产品能力,华为云也建立了比较完善的镜像生态体系,比如Cloud-Init开源组件、用户数据、镜像的商品管理能力。图14 镜像生态​Cloud-Init是开源的云初始化工具,本质上是一系列Python脚本及组件,用来在云服务器启动时配置自定义信息。华为云公共镜像默认都已安装Cloud-Init,建议您在创建私有镜像时也进行安装。用户数据注入,是华为云提供的一种自定义实例启动行为及传入数据的功能。当您有如下需求时,可以考虑使用用户数据注入:i. 通过脚本简化实例配置ii. 通过脚本初始化系统iii. 已有脚本,在创建实例时一并上传iv. 其他可以使用脚本完成的功能举个栗子,通过以下脚本为Linux ECS实例更新系统软件包,并且开启httpd相关服务。用户数据将会在ECS启动时由Cloud-Init进行调度配置。注入成功后,您的ECS就可以使用httpd服务了。​迁移服务,即华为云主机迁移服务SMS,是一种P2V/V2V迁移服务,可以帮您把x86物理服务器或者私有云、公有云平台上的虚拟机迁移到ECS上,轻松实现服务器上的应用和数据迁移到华为云。更多信息,请参阅“主机迁移服务”。镜像商品管理能力华为云支持第三方ISV上架市场镜像,市场镜像通常由具有丰富云服务器维护和配置经验的服务商提供,并且市场镜像经过服务商和华为云云市场的严格测试,可保证镜像内容的安全性。今天小课就为大家分享到这里,希望对您认识镜像有所帮助。后续课程会展开介绍镜像前世今生中的某些知识点,比如Cloud-Init和用户数据注入技术,敬请期待。
  • [技术干货] 【第53课】RDS for MySQL绑定多安全组
    ​RDS for MySQL实例支持绑定多个安全组(为了更好的网络性能,建议不超过5个)。此时,实例的访问规则遵循几个安全组规则的并集。什么是安全组?安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求,并相互信任的ECS和云数据库RDS实例提供访问策略。用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。您也可以根据需要创建自定义的安全组,或使用默认安全组。系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的ECS无需添加规则即可互相访问。如何绑定多个安全组?购买实例时绑定多安全组:在“实例管理”页面,单击“购买数据库实例”。在“安全组”下拉框,选择多个安全组。购买后绑定多安全组:在“实例管理”页面,选择对应的主实例或只读实例,单击实例名称。在 “安全组”处,单击“管理”,选择多个安全组。配置安全组规则示例为了保障数据库的安全性和稳定性,在使用云数据库RDS实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。场景1:RDS与ECS在相同安全组,直接连接。场景2:RDS与ECS在不同安全组,需分别添加RDS安全组入方向规则,ECS安全组出方向规则(出方向规则可以全部放通),放通来自另一个安全组内的ECS的访问。入方向规则添加示例:方向协议/应用端口源地址入方向TCP3306单个IP地址、IP地址段或安全组。例如:192.168.20.6/53绑定多个安全组,实例的访问规则遵循几个安全组规则的并集。可以绑定配置了该入方向规则的安全组,即可放通RDS连接。
  • [数据库] 【第52课】GaussDB元命令使用指导
    所谓元命令就是在gsql里输入的任何以不带引号的反斜杠开头的命令。本课程通过实际使用gsql实践,介绍GaussDB数据库gsql所提供的元命令。本课程仅展示基础的元命令使用,如果想要了解更多元命令使用方法,请单击此处。操作步骤步骤1   使用gsql连接到GaussDB实例。gsql工具使用-d参数指定目标数据库名、-U参数指定数据库用户名、-h参数指定主机名、-p参数指定端口号信息。若未指定数据库名称,则使用初始化时默认生成的数据库名称;若未指定数据库用户名,则默认使用当前操作系统用户作为数据库用户名;当某个值没有前面的参数(-d、-U等)时,若连接的命令中没有指定数据库名(-d)则该参数会被解释成数据库名;如果已经指定数据库名(-d)而没有指定数据库用户名(-U)时,该参数则会被解释成数据库用户名。示例,使用root用户连接到远程主机postgres数据库的8000端口。gsql -h 10.180.123.163 -d postgres -U root -p 8000步骤2   使用元命令查看所有的数据库。l回显如下: Name | Owner | Encoding | Collate | Ctype | Access privileges -----------+----------+----------+---------+-------+----------------------- postgres | rdsAdmin | UTF8 | C | C | template0 | rdsAdmin | UTF8 | C | C | =c/rdsAdmin + | | | | | rdsAdmin=CTc/rdsAdmin template1 | rdsAdmin | UTF8 | C | C | =c/rdsAdmin + | | | | | rdsAdmin=CTc/rdsAdmin (3 rows)可以看到,新创建的实例默认存在postgres库和两个模板数据库。步骤3   使用元命令,查看或设置客户端字符编码格式。encodingUTF8使用encoding ENCODING,在元命令后指定对应的字符集类型即可设置客户端字符编码格式。步骤4   使用元命令查看实例的所有角色。du回显如下:Role name | Attributes | Member of -----------+------------------------------------------------------------------------------------------------------------------+-------------------------------- ------------------------------------------------------------------------- rdsAdmin | Sysadmin, Create role, Create DB, Replication, Administer audit, Monitoradmin, Operatoradmin, Policyadmin, UseFT | {} rdsBackup | Operatoradmin, Persistence | {} rdsMetric | Monitoradmin, Persistence | {} rdsRepl | Replication, Persistence | {} root | Create role, Create DB, Monitoradmin | {gs_role_copy_files,gs_role_sig nal_backend,gs_role_tablespace,gs_role_replication,gs_role_account_lock}可以看到当前数据库的所有角色,以及角色所拥有的所有权限。也可以使用如下方法模糊查找指定角色。du ro?tRole name | Attributes | Membe o -----------+--------------------------------------+--------------------------------------------------------------------------------------------------------- root | Create role, Create DB, Monitoradmin | {gs_role_copy_files,gs_role_signal_backend,gs_role_tablespace,gs_role_replication,gs_role_account_lock} 步骤5   使用元命令,查看当前连接的数据库的信息。conninfoYou are connected to database "postgres" as user "root" on host "10.xxx.xxx.xxx" at port "8000".步骤6   创建一个新的库,并使用元命令快速切换至新的数据库。执行如下语句,创建新的数据库。CREATE DATABASE db_tpcds;执行如下元命令,快速切换至新库。c db_tpcds输入密码,成功切换至新库。Password for user root: SSL connection (cipher: ECDHE-RSA-AES128-GCM-SHA256, bits: 128) You are now connected to database "db_tpcds" as user "root". db_tpcds=>步骤7   执行元命令,退出数据库。q更多元命令请参见元命令参考。
  • [整体安全] 【云小课】安全第13课 CBH:通过云堡垒机管理资产时出现异常,怎么办?
    关键词:华为云 云堡垒机 登录异常在使用云堡垒机管理您的资产时,您是否会遇到以下这些问题呢?云堡垒机系统登录不上资源登录不上文件不能上传/下载......遇上这些问题,我们先通过一张图来了解一下CBH的网络访问限制吧。现在让我们跟随小课的脚步自查,购买云堡垒机实例时,是否做好了以下这些操作呢?检查CBH实例的可用区。根据资源选择可用区,即待管理的ECS、RDS等服务器上资源在哪个可用区(区域),就选择哪个可用区(区域),以此可以降低网络时延、提高访问速度。选择的区域和可用区必须是云堡垒机支持的区域。目前云堡垒机已开通区域和可用区如下表:区域名称区域可用分区名称可用分区华北-北京一cn-north-1cn-north-1a可用区1cn-north-1b可用区2华北-北京四cn-north-4cn-north-4a可用区1cn-north-4c可用区3华东-上海一cn-east-3cn-east-3a可用区1cn-east-3b可用区2cn-east-3c可用区3华东-上海二cn-east-2cn-east-2a可用区1cn-east-2b可用区2cn-east-2c可用区3cn-east-2d可用区4华南-广州cn-south-1cn-south-1a可用区1cn-south-1b可用区2cn-south-1c可用区3cn-south-1e可用区5华南-深圳cn-south-2cn-south-2a可用区1西南-贵阳一cn-southwest-2cn-southwest-2a可用区1cn-southwest-2d可用区4西北-克拉玛依cn-northwest-1cn-northwest-1a可用区1确认CBH规格是否满足用户运维的资源需求。根据运维用户量和资源数,选择合理规格配置。受限于云堡垒机“数据分区”空间大小,当上传/下载的文件大小大于剩余“数据分区”空间时,会导致上传/下载失败,因此需要变更版本规格,扩大系统的数据盘大小。云堡垒机提供“标准版”和“专业版”两个功能版本。功能版本功能说明标准版基础功能:身份认证、权限控制、帐号管理、安全审计专业版基础功能:身份认证、权限控制、帐号管理、安全审计增强功能:自动化运维、数据库运维审计每个版本配备100/200/500/1000/2000/5000资产规格,不同规格配置说明如下表。资产数并发数CPU内存系统盘数据盘1001004核8GB100GB1000GB2002004核8GB100GB1000GB5005008核16GB100GB2000GB100010008核16GB100GB2000GB200015008核16GB100GB2000GB500020008核16GB100GB2000GB确认选择的虚拟私有云(Virtual Private Cloud,VPC)网络与ECS等资源在同一区域。默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通,同一个VPC下的不同可用区之间内网互通。云堡垒机支持直接管理同一区域同一VPC网络下ECS等资源,同一区域同一VPC网络下ECS等资源可以直接访问。若需管理同一区域不同VPC网络下ECS等资源,要通过对等连接、VPN等打通两个VPC间的网络;不建议跨区域管理ECS等资源。确认选择的是当前区域下的安全组,系统默认安全组Sys-default。一个安全组为同一个VPC网络内具有相同安全保护需求,并相互信任的CBH与资源提供访问策略。当云堡垒机加入安全组后,即受到该安全组中访问规则的保护。建议为云堡垒机单独创建安全组,与主机资源互不影响。确认选择的是当前VPC内的子网。子网选择必须在VPC的网段内。确认选择的是当前区域下EIP,且EIP的带宽在5M以上。一个弹性公网IP只能绑定一个云资源使用,云堡垒机绑定弹性IP不能与其他云资源共用。实例创建成功后,弹性IP作为云堡垒机系统登录IP使用。故为正常使用云堡垒机,用户帐号至少需要创建一个弹性IP。为满足CBH系统使用需求,建议配置EIP带宽为5M以上。实例创建成功后,可根据需要“解绑”和“绑定”操作,更换云堡垒机系统登录EIP地址。更多关于CBH使用故障类的问题,戳这里进行了解吧~~。
  • [整体安全] 【云小课】安全第12课 DSC:数据资产地图,俯瞰您的云上数据资产
    关键词:华为云 数据安全中心 数据资产地图 风险监控和预警摘要:华为云数据安全中心(Data Security Center,简称DSC)提供数据资产地图,帮助客户建立数据资产的全景视图,可视化呈现数据资产分布、数据敏感程度、当前的风险级别。华为云DSC的数据资产地图具有以下亮点:梳理云上数据资产:自动扫描并梳理云上数据资产,地图化展示资产分布,帮助用户解决数据在哪里的问题。敏感数据展示:基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术,对数据资产进行分类分级。对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。风险监控和预警:基于风险识别引擎,对数据资产进行风险监控,展示每类资产的风险分布,并预警。跟随小课的脚本,小课教您如何搭建数据资产地图,轻松梳理云上数据资产并进行风险监控~~资产地图搭建及大屏展示步骤 1 开启数据安全中心服务后,进入DSC管理控制台。步骤 2 完成云资产委托授权。在左侧导航树中选择“资产列表”,单击页面右上角的“云资产委托授权”。授权访问“OBS”、“数据库”、“大数据”、“数据安全总览”。步骤 3 添加资产。在OBS资产列表右上角,单击“批量添加”,添加OBS、数据库和大数据资产。步骤 4 在左侧导航树中选择“数据安全总览”,进入数据安全总览页面,查看云服务全景图,即资产地图模块。步骤 5 单击数据资产图标,在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。----结束更多关于DSC的功能,戳这里进行了解吧~~
总条数:138 到第
上滑加载中