省复赛(云)
本人系第九届华为ICT大赛实践赛云赛道选手,曾包揽省赛、中国总决赛及全球总决赛三项一等奖,并持有HCIE-Cloud Service认证。现通过本平台分享备赛经验与参赛心得,供各位同学参考。文中所述内容若有疏漏之处,恳请各位不吝指正,在此先行致谢!(建议首先阅读专栏首篇文章——【备赛指南】华为ICT大赛 实践赛 云赛道01,之后再逐步阅读后续内容)
八、运维服务
云防火墙CFW
(1) 云防火墙CFW的概念
是云原生防火墙,提供云上互联网边界和VPC边界的防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求,极简应用让用户快速灵活应对威胁,是网络安全防护的基础服务
CFW服务充分尊重用户隐私,遵循法律法规。以入侵防护功能为例,CFW仅会对流量进行威胁签名匹配检测和异常行为检测,不会采集和存储任何用户隐私数据
当发生故障时,CFW的五级可靠性架构支持不同层级的可靠性,因此具有更高的可用性、容错性和可扩展性
(2) 云防火墙CFW的适用场景
①外部入侵防御:通过云防火墙,对已开放公网访问的服务资产进行安全盘点,可一键开启入侵检测与防御
②主动外联管控:云防火墙支持基于域名的访问控制,可对主动外联行为进行精准管控
③VPC间互访控制:云防火墙支持VPC间流量的访问控制,实现内部业务互访活动的可视化与安全防护
④等保合规:云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求
(3) 云防火墙CFW的数据保护技术
①静态数据保护:通过敏感数据加密保证用户流量中敏感数据的安全性
②传输中的数据保护:微服务间管理数据传输进行加密,防止数据在传输过程中泄露或被篡改。用户的配置数据传输采用安全协议HTTPS,防止数据被窃取
③数据完整性校验:CFW进程启动时,配置数据从配置中心获取而非直接读取本地文件
④数据隔离机制:租户区与管理面隔离,租户的所有操作权限隔离,不同租户间的策略、日志等数据隔离
⑤数据销毁机制:考虑到残留数据导致的信息泄露问题,华为云根据客户等级设定了不同的保留期时长,保留期到期仍未续订或充值,存储在云服务中的数据将被删除,云服务资源将被释放。CFW对云服务自动感知并在保留期到期后释放资源
Web应用防火墙WAF
(1) Web应用防火墙WAF的概念
通过对网站业务流量进行全方位检测和防护,智能识别恶意请求特征和防御未知威胁,避免源站被黑客恶意攻击和入侵,防止核心资产遭窃取,为网站业务提供安全保障
保障Web应用的安全服务。为网站拦截SQL注入、XSS跨站、命令注入、网站挂马、CC攻击、恶意爬虫等Web类型的攻击
Web基础防护能力:
①覆盖OWASP TOP 10中常见安全威胁,通过预置丰富的信誉库,对漏洞攻击、网页木马等威胁进行检测和拦截
②全面的攻击防护支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击检测和拦截
③Webshell检测防护通过上传接口植入网页木马
④识别精准:内置语义分析+正则双引擎,黑白名单配置,误报率更低。支持防逃逸,自动还原常见编码,识别变形攻击能力更强。默认支持的编码还原类型:url encode、Unicode、xml、C-OCT、十六进制、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆
⑤深度检测,深度反逃逸识别:支持同形字符混淆、通配符变形的命令注入、UTF7、Data URl Scheme等的防护
⑥header安全检测:支持对请求里header中所有字段进行攻击检测
(2) Web应用防火墙WAF的优势
①防御全面:预置丰富的攻击特征签名库,可检测数十类的通用Web攻击特征
(1)漏洞攻击、网页木马、SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入
(2)识别精准内置语义分析+正则双引擎,黑白名单配置
(3)支持防逃逸,自动还原常见编码,识别变形攻击能力更强
(4)支持对请求里header中所有字段进行攻击检测
②专业可靠:多区域分散部署,异地容灾安全可靠,专业安全团队7*24小时监控,确保业务“零”中断
③技术领先
④配置灵活:内置丰富的策略配置项,可根据自身业务特点灵活制定精细化防护规则
(3) Web应用防火墙WAF的工作原理
购买WAF后,在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后,客户端发送请求到WAF,WAF检测并拦截恶意流量,WAF转发过滤后的请求正常流量返回给源站
流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器,在源站服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,进而隐藏源站
①客户端发送请求到WAF ②WAF检测并拦截恶意流量 ③WAF转发过滤后的请求到源站
(4) Web应用防火墙WAF的部署方式
· 云模式
(1)业务服务器部署在:华为云上、非华为云、线下
(2)防护对象:域名
(3)弹性扩容能力强,可以防护华为云、非华为云和云下的Web业务,支持IPv6防护
①云模式-CNAME接入
(1)防护对象:域名
(2)优势:弹性扩容能力强,通过升级规格可以扩容防护能力可以防护华为云、非华为云和云下的Web业务,支持IPv6防护
(3)使用场景
入门版:个人网站防护
标准版:中小型网站
专业版:中型企业级网站或服务对互联网公众开放
铂金版:中大型企业网站具备较大的业务规模,或是具有制定个性化防护的安全需求
②云模式-ELB接入
(1)防护对象:域名、IP地址
(2)优势:支持华为云上的Web业务,不改变业务架构,水平扩展防护能力,旁路部署。业务零影响,当WAF发生故障时,流量将直接通过ELB发送给后端,不影响客户正常业务
(3)使用场景:大型企业网站,对业务稳定性有较高要求的安全防护需求
· ③独享模式
(1)业务服务器部署在:华为云上
(2)防护对象:域名或IP
(3)资源由用户独享,可满足大规模流量攻击场景防护需求,时延低
(4)优势:部署灵活,独享引擎,实例资源由用户独享,可以满足大规模流量攻击场景防护需求,独享引擎实例部署在VPC内,网络链路时延低
(5)使用场景:大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求
(5) Web应用防火墙WAF的应用场景
①常规防护
防护常见的Web安全问题,比如命令注入、敏感文件访问
②电商抢购秒杀防护
业务接口在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务
③0Day漏洞爆发防范
当第三方Web框架、插件爆出高危漏洞,业务无法快速升级修复时,Web应用防火墙会第一时间升级预置防护规则,保障业务安全稳定
WAF相当于第三方网络架构加了一层保护膜,和直接修复第三方架构的漏洞相比,WAF创建的规则能更快地遏制住风险
④防数据泄露
恶意访问者通过SQL注入,网页木马,入侵网站数据库,窃取数据或其他敏感信息。用户可通过Web应用防火墙配置防数据池露规则,以实现:
· 精准识别:采用语义分析+正则表达式双引擎,对流量进行多维度精确检测,精准识别攻击流量
· 变形攻击检测:支持7种编码还原,可识别更多变形攻击,降低Web应用防火墙被绕过的风险
⑤防网页篡改
攻击者利用黑客技术,在网站服务器上留下后门或篡改网页内容造成经济损失或带来负面影响。用户可通过Web应用防火墙配置网页防改规则,以实现:挂马检测和页面不被篡改
(6) WAF与CFW的区别
①Web应用防火墙WAF:防护Web服务
(1)防护机制:网站成功接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全
(2)防护对象:域名或IP
(3)部署模式
· 云模式:部署在华为云、非华为云或线下,且防护对象为域名
· 独享模式和ELB模式:业务服务器部署在华为云,防护对象为域名或IP
(4)功能特性:网站SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护
②云防火墙CFW:防护互联网边界和VPC边界的流量
(1)防护机制:CFW可对全流量进行精细化管控,包括互联网边界防护,跨VPC,NAT流量防护,防止外部入侵、内部渗透攻击和从内到外的非法访问
(2)防护对象:弹性公网IP和VPC
(3)部署模式:互联网边界和VPC边界
(4)功能特性
· 资产管理与入侵防御:对已开放公网访问的服务资产进行安全盘点,进行实时入侵检测与防御
· 访问控制:支持互联网边界访问流量的访问控制
· 流量分析与日志审计:VPC间流量全局统一访问控制,全流量分析可视化,日志审计与溯源分析
企业主机安全HSS
(1) 企业主机安全HSS的概念
①通过提供主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,构建服务器安全体系,降低当前服务器面临的安全风险
②HSS不受地理位置影响,为主机、容器等提供统一的可视化和控制能力
③HSS是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求
④HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等,保护工作负载免受攻击
⑤云端防护中心将分析后的信息以检测报告的形式呈现在控制台界面
(2) 企业主机安全HSS的优势
①集中管理:可实现检测和防护的一体化管控,降低管理的难度和复杂度,集中管理同一区域内多样化部署的主机。根据各项风险的处理建议处理主机中的各项风险,利用多样化检索、批量处理等功能,快速分析同一区域内所有主机的风险
②轻量Agent:Agent占用资源极少,不影响主机系统的正常运行
③网页防篡改:支持动态、静态网页防篡改,保障重要系统的网站信息不被恶意篡改。第三代网页防篡改技术,内核级事件触发技术,锁定用户目录下的文件后,有效阻止非法篡改行为。篡改监测自动恢复技术,当主机安全服务检测到非法篡改行为时,将使用备份文件主动恢复被篡改的网站
④精准防御:拥有先进的检测技术和丰富的检测库,提供精准防御
⑤全面防护:提供事前预防、事中防御、事后检测的全面防护,全面降低入侵风险
(3) 企业主机安全HSS的工作原理
在主机中安装Agent后,用户的主机将受HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,用户可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险
组件功能:
①管理控制台:可视化的管理平台,便于用户集中下发配置信息,查看在同一区域内主机的防护状态和检测结果
②HSS云端防护中心:HSS服务的Server端
③Agent:通过HTTPS和WSS协议与HSS云端防护中心进行连接通信,默认端口443
(4) 企业主机安全HSS的应用场景
①等保合规:企业主机安全是等保合规的关键项,企业主机安全服务提供的入侵检测功能,能协助各企业保护企业云服务器账户、系统的安全
②统一安全管理:企业主机安全服务提供统一的主机安全管理能力,帮助用户管理云服务器的安全配置和安全事件,降低安全风险和管理成本
③安全风险评估:对主机系统进行安全评估,将系统存在的各种风险(账户、端口、软件漏洞、弱口令)进行展示,提示用户及时加固,消除安全隐患
④账户安全保护:提供覆盖事前、事中和事后的账户安全保护功能。支持双因子认证登录,防止用户云服务器上的账户遭受暴力破解攻击,提高云服务器的安全性
⑤主动安全防御:通过清点主机安全资产,管理主机漏洞与不安全配置,预防安全风险;通过网络、应用、文件主动防护引擎,主动防御安全风险
⑥黑客入侵检测:提供主机全攻击路径检测能力,能够实时、准确地感知黑客入侵事件,并提供入侵事件的响应手段,对业务系统“零”影响,有效应对APT攻击等高级威胁
⑦容器安全:
(1)容器镜像安全:容器镜像安全对镜像进行安全扫描,将镜像中存在的各种风险(镜像漏洞账号、恶意文件等)进行展示,提示用户及时修改,消除安全隐患
(2)容器运行时安全:通常容器的行为是固定不变的,容器安全服务帮助企业制定容器行为的白名单,确保容器以最小权限运行,有效阻止容器安全风险事件的发生
(3)满足等保合规:安全计算环境是等保合规的关键项,容器安全服务的核心功能够满足入侵防范与恶意代码防范等保条款,能够协助用户保护容器安全、系统安全
(5) 企业主机安全HSS的服务版本
①主机安全服务有基础版、专业版、企业版、旗舰版、网页防篡改版、容器版供用户选择
(1)测试或个人用户防护:基础版或专业版,无数量限制,支持部分功能的检测能力,不支持等保认证
(2)等保二级认证:企业版,主机安全防护,入侵检测,等保三级认证
(3)等保三级认证:旗舰版,防御勒索病毒等入侵攻击,应用防护,等保三级认证
(4)网站过等保认证或网站或关键系统防篡改:网页防篡改版,实时检测并拦截篡改指定目录下文件,支持恢复被篡改的文件
(5)安全、容器运行:容器版,可以满足等保合规容器化部署类业务
(6)主机涉及重要资产或存在高风险:旗舰版或网页防篡改版,适合对外暴露EIP、保存有关键资产、存在数据库等
②申请等保认证,需购买企业版及以上(包含企业版、旗舰版、网页防篡改版)版本
数据加密服务DEW
(1) 数据加密DEW的概念
是云上数据加密服务。它可以提供凭据管理(CSMS)、专属加密(DHSM)、密钥管理(KMS)、密钥对管理(KPS)等功能。其密钥由硬件安全模块HSM保护,并与许多华为云服务集成。您也可以借此服务开发自己的加密应用
(2) 数据加密DEW的微服务
1. 云凭据管理服务CSMS:凭据托管服务,用户或应用程序通过凭据管理服务,创建、检索、更新、删除凭据,实现对敏感凭据的全生命周期的统一管理,有效避免程序硬编码或明文配置等问题导致的敏感信息泄露以及权限失控带来的业务风险(凭据可自动轮转)
①CSMS与传统密钥管理的区别(适用场景)
(1)凭据统一管理
传统方法:敏感信息分散,管理混乱
CSMS:可对敏感凭据进行统一的存储、检索、使用等全生命周期管控,可靠性高
(2)凭据安全检索
传统方法:访问数据或服务时需校验身份,常明文写在配置文件中,安全性低
CSMS:可通过API调用的方法查询动态凭据,不含敏感信息,安全性高
(3)轮换凭据和密钥
传统方法:相关应用均需更新,容易遗漏,造成业务中断
CSMS:通过多版本管理,直接调用API/SDK实现应用层凭据轮换,效率高
②凭据通过集成KMS进行加密存储,加密密钥基于第三方认证的硬件安全块(HSM)来生成和保护。凭据检索时,通过TLS安全传输到服务器本地
2. 专属加密DHSM:云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作,为用户提供经国家密码管理局检测认证的加密硬件,帮助用户保护弹性云服务器上数据的安全性与完整性
①云服务器密码机(CIoudHSM)硬件加密模块经过合规认证。一个硬件物理设备,虚拟出多个HSM,每个VSM独立加密芯片。用户作为设备使用者完全控制密钥的产生、存储和访问授权
②Dedicated HSM功能介绍
(1)生成、存储、导入、导出、管理加密密钥(包括对称密钥和非对称密钥)
(2)使用对称和非对称算法加密和解密数据
(3)使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码
(4)同时支持国际与国产加密算法,支持以下国密算法:对称密码算法(SM1、SM4、SM7)、非对称密码算法(SM2)、摘要算法(SM3)
(5)对数据进行加密签名(包括代码签名)并验证签名
(6)以加密方式生成安全随机数据
③若用户购买了专属加密实例,可通过Dedicated HSM初始化并管控专属加密实例。用户作为设备使用者完全控制密钥的产生、存储和访问授权
④可为金融支付、电子票据、国密应用、敏感数据加密等多场景提供硬件数据加解密签名验签,安全密钥生成等多项能力
3. 密钥管理服务KMS:密钥托管服务,帮助用户轻松创建和管理密钥,保护密钥的安全,其密钥安全由HSM中的根密钥保护,可与许多其他华为云服务集成以保护存储在这些服务上的数据,也可以借助KMS开发自己的加密应用
①功能特点
(1)支持OBS、EVS、IMS、SFS、RDS、DDS、DWS等存储类云服务加密
(2)KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求
(3)KMS创建的对称密钥使用的是AES、SM4(国密)加解密算法;KMS创建的非对称密钥支持RSA、ECC、SM2(国密)算法
(4)KMS通过专属密钥库支持HYOK功能,帮助用户完全自主可控名下的用户主密钥,用户主密钥不脱离加密机,并且密码运完全在加密机中完成。与默认密钥库不同,用户可以通过专属加密集群随时对密钥进行全生命周期管理
(5)KMS通过密钥区域性,实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料,因此可以实现单区域的加密数据在不同区域进行解密,解决因跨区导致的无法解密
②硬件安全模块(HSM):硬件安全模块是一种用于保护和管理强认证系统所使用的密钥,同时提供相关密码学操作的计算机硬件设备
③应用场景
小数据加解密:当有少量数据(口令、证书、电话号码等)需要加解密时,用户可以通过KMS界面使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据
(1)用户需要在KMS中创建一个用户主密钥
(2)用户调用KMS的“encrypt-data”接口,使用指定的用户主密钥将明文证书加密为密文证书
(3)用户在服务器上部署密文证书
(4)当服务器需要使用证书时,调用KMS的“decrypt-data”接口,将密文证书解密为明文证书
4. 密钥对管理服务KPS:SSH密钥对托管服务,帮助用户集中管理SSH密钥对,保护SSH密钥对的安全。密钥对登录ECS,方便私密。本地私钥可托管,防止丢失。密钥对可重置、替换,安全性更高
①私钥/口令动态获取登录
②KPS利用HSM产生的硬件真随机数来生成密钥对,并提供了一套完密钥对的管理方案,解决弱口令爆破问题、消减私钥失窃威胁、防撞库
③KPS可帮助用户轻松创建、导入和管理SSH密钥对。生成的SSH密钥对的公钥文件均保存在华为云中,私钥文件由用户自己下载保存在本地,保障了SSH密钥对的私有性和安全性
公钥和私钥就是俗称的不对称加密方式。公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,则必须用另一个密钥才能解密。比如用公钥加密的数据就必须用私钥才能解密,如果用私钥进行加密也必须用公钥才能解密,否则将无法成功解密
密钥对是通过加密算法生成的一对密钥,包含一个公钥和一个私钥,公钥自动保存在KPS中,私钥由用户保存在本地。用户也可以根据自己的需要将私钥托管在KPS中由KPS统一管理。如果用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解造成的账户密码泄露,从而提高Linux云服务器的安全性
5. 密码系统服务CPCS功能:云平台密码系统服务,提供专属的密码服务以及服务集群化部署能力
(3) 数据加密DEW的优势
①云上使用:专属加密旨在满足用户将线下加密设备能力转移到云上的要求,降低运维成本
②弹性扩容:灵活调整专属加密的数量,满足不同业务的加解密运算要求
③安全管理:专属加密实例设备管理与内容(敏感信息)管理权限分离,用户作为设备使用者完全控制密钥的产生、存储和访问授权,Dedicated HSM只负责监控和管理设备及其相关网络设施。即使专属加密的运维人员也无法获取到用户的密钥
④权限认证:敏感指令支持分类授权控制,有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式
⑤可靠性:基于国家密码局认证或FIPS 140-2第3级验证的硬件加密机,对高安全性要求的用户提供高性能专属加密服务。专属加密实例之间独享加密芯片,即使部分硬件芯片损坏也不影响使用
⑥安全合规:提供经国家密码管理局检测认证的专属加密实例,帮助用户保护弹性云服务器上数据的安全性和隐私性要求,满足监管合规要求
⑦应用广泛:提供认证合规的金融加密机、服务器加密机以及签名验签服务器等灵活支撑用户业务场景
云堡垒机CBH
(1) 云堡垒机CBH的概念
是一款4A统一安全管控平台,提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维审计等功能模块,为企业提供集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体的运维管理服务。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计
· 账号(Account)
· 授权(Authorization)
· 认证(Authentication)
· 审计(Audit)
可以通过IAM账号来进行CBH的访问权限控制,同时管理人员能够在CBH系统中创建系统用户,为用户分配不同系统角色,即为CBH中分配的不同账号权限,其中仅admin拥有管理系统角色的权限
(2) 云堡垒机CBH的产品功能
①身份认证:采用多因子认证和远程认证技术,加强用户身份认证管理
②账户管理:集中管理系统用户和资源帐号信息,对帐号全生命周期建立可视、可控、可管运维体系
③权限控制:集中管控用户访问系统和资源的权限,对系统和资源的访问权限进行细粒度设置,保障了系统管理安全和资源运维安全
④操作审计:基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警
⑤高效运维:通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入,全面提升运维效率
⑥工单申请:系统运维用户在运维过程中,遇到需运维资源而无权限情况,可提交系统工单申请资源控制权限,寻求管理人员授权审批
(3) 云堡垒机CBH的使用流程
①管理员定制CBH访问策略
CBH:登录云堡垒机
用户:添加主账号
资源:添加资源,添加从账号
· 管理员定制策略流程
(1)添加资源:管理员添加需要管理的资源,资源包括服务器、网络设备、安全设备、应用系统、数据库系统等对象。支持编辑相关设备信息,包括系统类型、所属部门、资源名称、资源地址、协议类型、应用程序等
(2)添加主账户:管理员添加主账户(用户账户)。主账户是登录云堡垒机,获取目标设备访问权的唯一账户,与实际用户身份一一对应,每个用户一个主账户每个主账号只属于一个用户
(3)添加从账户:管理员添加与资源对应的从账户(资源账户),包括账户名、密码等。从账户支持自动、手动、半自动的登录方式,并且能够由普通账户切换到特权账户,同时密码可由云堡垒机定期自动更新
(4)创建访问控制策略:管理员建立基于“时间+主账户+资源+从账户+权限”等要素的关联策略
(5)行为全程审计:云堡垒机自动记录管理员的资源管理、用户管理和策略管理等所有行为日志,以便审计员监控和审计
策略:选择主账号+选择从账号,创建访问控制策略
审计:行为全程审计
②运维员访问目标资源
CBH:登录云堡垒机
用户:检查访问杈限
运维:列举可访问资源,访问目标资源
审计:行为全程审计
③单点登录(Single Sign On,SSO):指在多个独立应用系统环境下,各个应用系统相互信任,在一个应用系统中将用户认证信息映射到其他系统中,多个系统共享用户认证数据
即用户通过登录一个应用系统,就可以访问其他所有相互信任的应用系统,实现用户单点多系统登录
④资产数:指云堡垒机管理的云服务器上运行的资源数,同一台云服务器上对应有多个需要运维的协议、应用等资源
(4) 云堡垒机CBH的适用场景
①严要求的审计合规场景:保险和金融行业,具有大量个人信息数据和金融资金操作行为,以及大量第三方机构代为运作,可能存在巨大违规操作、滥用职权等非法运作风险
云上部署云堡垒机系统集中管理账户和资源,隔离权限,可以满足监管要求
通过在云上部署云堡垒机系统,单点登录入口,集中管理账户和资源,部门权限隔离,核心资产多人审核授权,敏感操作二次复核授权,健全的运维审计机制,能够为高风险行业提供严要求审计功能,满足行业监管要求
②高效稳定的运维场景:极速发展的互联网企业,大量经营数据等敏感信息,暴露在公网且由于服务高度公开,存在高度数据泄露风险
使用云堡垒机,在远程运维过程中隐藏资产真实地址,解决远程运维资产信息暴露问题,同时使用日志严格监控运维操作
云堡垒机在远程运维过程中,隐藏资产真实地址,解决远程运维资产信息暴露问题。同时提供全面的运维日志,为审计运维和代运维人员的操作行为,提供有效监控,减少网上安全事故,助力企业长久稳定发展
③大量资产和人员管理场景:传统企业上云后,云上运维成为一大难点。部分企业选择把系统运维转交给系统供应商或第三方代维商进行,由于涉及提供商、代维商过多,人员复杂流动性又大,对操作行为缺少监控带来的风险日益凸显。使用云堡垒机管理海量人员及资源,全量用户审计,及时呈现风险,有效追溯问题
云堡垒机针对大量用户和大量资产,可海量容纳庞大人员和资源数据,运维人员单点登录,解决运维人员维护多台资产效率低,易出错的问题。同时通过制定细粒度权限控制,资源操作全程记录,可审计全量用户操作行为,并对事故问题进行有效追溯,确保有效定责。此外,系统桌面实时呈现运维全景,并可接收异常行为告警通知,确保人员无法越权操作
应用运维管理AOM
(1) 应用运维管理AOM的概念
①是云上应用的一站式立体化运维管理平台,融合云监控、云日志、应用性能、真实用户体验、后台链接数据等多维度可观测性数据源,提供应用资源统一管理、一站式可观测性分析和自动化运维方案,帮助用户及时发现故障,全面掌握应用、资源及业务的实时运行状况,提升企业海量运维的自动化能力和效率
②实时监控移动端APP、Browser、网络、应用服务、中间件及云资源全链路的数百种运维指标,通过运维知识库和AI Ops引擎快速发现并诊断异常,提高IT应用的可靠性和质量,保证用户得到良好的服务,降低IT总拥有成本(TCO)
(2) 应用运维管理AOM的功能特点
①将所有资源对象与应用统一管理,为AOM上层运维场景服务提供准确、及时一致的资源配置数据
②提供批量脚本执行、文件分发、云服务变更等功能,将日常运维操作服务化流程化、标准化、自动化
③实时监控用户的应用及相关云资源,采集并关联资源的各项指标、日志及性能数据共同分析应用健康状态,快速诊断应用异常
④统一监控大盘,将不同数据可视化展示在同一个仪表盘中
⑤支持原生PromQL语言查询各类指标数据,也可通过grafana接入AOM
⑥集成云监控服务CES、应用性能管理APM和云日志服务LTS数据,通过应用模型实现数据联动
⑦获取异常关键词统计
⑧设置阈值规则
(3) 应用运维管理AOM的服务架构
是云上应用一站式可观测性分析平台,基于四层指标体系(业务层指标、应用层指标、中间件层指标、基础设施层),提供指标、日志、调用链3类数据关联分析、根因分析、场景化分析等可观测分析能力,帮助用户全面掌握应用、资源实时运行状况,及时发现故障
(4) 应用运维管理AOM的核心价值
①全栈可观测:包括华为云、IDC和友商云可观测数据(指标/日志和性能);包括端/云/中间件/基础设施/数据库等
②数据关联分析:支持提供应用为视角的可观测,以及指标/监控/调用链数据的关联
③端到云全链路:支持提供从Mobile/Browser客户端到Server端的全链路追踪
④高性价比:相比用户自建ELK/Prometheus,成本可低约40%,支持LTS提供日志冷热存储分离场景
(5) 应用运维管理AOM的服务
1. 应用资源管理CMDB
①应用资源管理CMDB的概念
在AOM2.0中管理应用与云资源的关系,并为AOM的监控、自动化运维、APM服务提供统一、及时的资源环境管理服务
资源管理服务除可天然管理华为云上的资源对象,也可通过租户托管的方式管理第三方云厂商的资源对象和自建IDC内部的资源,以达成多云资源的集中统一管理,并为上层运维服务提供统一、准确、及时的资源配置服务
是基于DevOps理念打造的面向应用全生命周期的资源管理平台,是现代自动化运维的基石服务,统一集中管理华为云同时覆盖不同云厂商的一切资源对象与应用之间的关系
②应用资源管理CMDB的功能列表
(1)资源检索:提供应用、主机等资源的检索功能,支持通过ID、关键字、名称等方式快速检索资源
(2)应用管理:管理云服务对象与应用之间的关系,主要用于管理ECS、CCE、RDS等云服务的应用
(3)资源管理:对用户所有的各类云服务进行统一管理。可全局查看所有的云服务资源对象与应用的关联关系,包括未绑定应用的云资源,便于用户对资源进行分析和管理
(4)环境标签:根据实际的使用场景,为已创建的应用环境添加标签,便于用户快速过滤和查找相同属性的应用环境
2. 变更管理服务(CMS)
①变更管理服务(CMS)的概念
作为AOM的自动化运维平台,提供批量脚本执行、文件分发、云服务变更等原子操作功能,支持自定义编排原子操作并组装成作业和标准化运维流程
(6) 应用运维管理AOM的功能
1. 容器洞察运维
①AOM全面对接开源Prometheus生态,将容器服务Kubernetes集群接入Prometheus监控,通过Grafana大盘监控主机和Kubernetes集群的众多性能指标。AOM兼容开源Prometheus,支持包括基础资源、K8s资源对象、K8s服务组件、K8s集群Node、云原生上层业务资源监控管理
· Prometheus是容器场景的最佳监控工具,但自建Prometheus对于运维人力有限的中小型企业而言,成本较高
· Prometheus实例是AOM服务提供的管理Prometheus数据采集和数据存储分析的逻辑单元。Prometheus实例类型分为多种:
(1)Prometheus实例 for CCE
(2)Prometheus实例 for ECS
(3)Prometheus实例 for 云服务
②支持以容器视角提供常用服务或功能快速入口,实时监控并展示重点资源或应用
③仪表盘功能内置常见的容器监控大盘,如Kubernetes APl Server组件监控、CoreDNS组件等
④支持多种巡检模式,目前支持以集群维度、核心插件、节点、负载、外部5大检测维度,19个巡检场景,约49个检测项
(1)集群:资源规划、运维、配置
(2)核心插件状态:coredns、everest、autoscaler、prometheus-agent、log-agent
(3)负载:Pod状态、负载状态、Pod配置、Pod探针配置
(4)节点:节点状态、配置、资源水位诊断
(5)外部依赖:租户节点资源配额
⑤通过CCE的kube-prometheus-stack插件、自建K8s集群、Service Monitor、Pod Monitor等多种方式采集上报指标,监控部署在CCE集群内的业务数据
2. 应用监控
①应用监控是针对资源和应用的监控,通过应用监控可以及时了解应用的资源使用情况、趋势和告警,使用这些信息,用户可以快速响应,保证应用流畅运行
②运维场景
(1)用户高并发访问,保障资源/网络状态正常
(2)瞬时访问量高,需要应对快速扩容场景
③华为云运维方案特点
(1)监控ECS内存、CPU、网卡等信息,精确获取指标状态
(2)关键指标对接告警
④应用监控是逐层下钻设计,层次关系为:
应用列表 -> 应用详情 -> 组件详情 -> 实例详情 -> 容器详情 -> 进程详情
即在应用监控中,将应用、组件、实例、容器、进程做了层层关联,在界面上就可以直接得知务层关系
3. 日志管理及分析
①AOM支持容器服务日志和云服务器日志采集,将采集日志文件并展现在AOM服务中,以供需要时进行检索
②AOM提供了海量运行日志的检索和分析功能,支持日志采集、下载、转储、搜索,并提供报表分析、SQL查询、实时监控、关键词告警等能力
③AOM作为华为云服务可观测性分析统一入口,自身并不具有日志服务功能,AOM2.0控制台中日志分析相关功能由云日志服务LTS提供。用户可在AOM控制台界面操作,也可登录LTS控制台界面操作
(1)日志管理:快速在海量日志中查询到所需的日志
(2)日志搜索与分析:可以快速在海量日志中查询所需的日志,支持通过分析日志的来源信息和上下文数据快速定位
(3)日志应用:LTS支持接入多种云产品标准日志,并针对这些云服务日志,提供开箱即用的日志仪表盘模板
(4)日志转储:对于需要长期存储的日志数据(日志持久化),通过日志转储功能,实现日志长期存储
(5)日志加工:日志加工主要提供DSL加工、定时SQL、函数加工和生成指标的功能
(6)日志接入:日志接入功能支持ICAgent采集、云服务、API接入、SDK接入等日志采集方式
(7)日志结构化:以日志桶为单位,通过提取规则将日志桶中的日志进行结构化,提取出有固定格式或相似度较高的日志,过滤掉不相关的日志
(8)配置分词:通过配置分词可将日志内容按照分词符切分为多个单词,在日志搜索时可使用切分后的单词进行搜索
(9)日志检索:帮助用户快速在海量日志中查询到所需的日志
(10)日志统计规则:实现关键词周期性统计,并生成指标数据,实时了解系统性能及业务等信息
4. 告警管理
①告警是指AOM自身或外部服务在异常情况或在可能导致异常情况下上报的信息,并且需采取相应措施清除故障,否则会由于AOM自身或外部服务的功能异常而引起业务的异常
(1)告警列表是告警和事件的管理平台,支持自定义通知动作,即可通过邮件、短信等方式获得告警信息,可在第一时间发现异常及其根因
(2)通过仪表盘可将不同图表展示到同一个屏幕上,通过不同的仪表形式来展示资源数据例如,曲线图、数字图、Top N图表等,进而全面、深入地掌握监控数据
(3)日志检索功能可快速在海量日志中查询到所需的日志;日志转储实现长期存储;通过创建日志统计规则实现关键词周期性统计,并生成指标数据,实时了解系统性能及业务等信息;通过配置分词可将日志内容按照分词符切分为多个单词,在日志搜索时可使用切分后的单词进行搜索
②告警管理使用前提条件:已在主机安装UniAgent
UniAgent:统一数据采集Agent,完成统一插件生命周期管理,并为AOM提供指令下发,如脚本下发和执行。它自身不提供数据采集能力,运维由不同的插件分工采集,插件按需安装、升级和卸载
应用性能管理APM
(1) 应用性能管理APM的概念
①是实时监控并管理云应用性能和故障的云服务,提供专业的分布式应用性能分析能力,帮助运维人员快速发现应用的性能瓶颈,以及故障根源的快速定位,为用户体验保驾护航
②APM作为云应用性能管理服务,拥有应用指标监控、调用链追踪、应用拓扑、URL跟踪、资源标签管理、标签管理、智能告警、Agent管理、前端监控、链路追踪、App监控、配置管理、跨账号管理、系统管理以及应用监控多个功能
· 通过检查接口调用情况,查找有问题的调用
· 在调用链搜索界面,查看失败/高时延调用链,通过查看调用链详情,并配合AOM日志搜索搜索对应时间的日志,进行根因确认
③APM支持通过普罗实例,将应用指标上报到AOM界面
④在APM系统,由于URL跟踪消耗资源较大,并不会默认将入口的url调用标示为URL跟踪,需要用户自己将某个环境的某个监控项的调用标示为URL跟踪
(2) 应用性能管理APM的架构
①数据采集:APM可以通过非侵入方式采集Java探针、Istio网格等提供的应用数据、基础资源数据、用户体验数据等多项指标
②应用拓扑
(1)单组件拓扑:是单个组件下的单个环境的拓扑,同时可以展开直接或间接上游的组件的拓扑关系
(2)全局应用拓扑:可以查看这个应用下面全部或者部分组件的全局拓扑关系
③应用性能管理APM的APM探针
(1)APM是通过采集探针采集应用数据的。采集探针是通过字节码增强技术进行埋点,生成调用数据。调用数据被采集代理ICAgent所获取并处理,然后上报并呈现在界面中
(2)APM仅采集应用的业务调用链数据、资源信息、资源属性、内存检测信息、调用请求的KPI数据,不涉及个人隐私数据
(3)APM探针基于业界Pinpoint开源项目,通过非侵入方式采集应用指标
(4)APM探针在类装载时通过介入应用代码为分布式事务和性能信息注入必要的跟踪代码
(5)APM中的事务指的是http事务;用户在华为商城购买一台手机,用户的电脑会向华为商城服务后端发起一次http请求,该过程发生的http请求就是一个http事务,由于http请求的url地址有唯一性,我们把url地址作为事务的名称;当部署探针(pinpoint的服务接收到一条http事务后,APM系统就会将该事务的信息抓取并呈现在APM管理面)
(3) 应用性能管理APM的功能及特点
①应用指标监控:可以度量应用的整体健康状况;APM Agent会采集应用的Profiler性能分析、Debugging诊断、IM、GC、服务调用等信息,全面掌握应用的运行情况
②调用链追踪:能够针对应用的调用情况进行全方面的监控,可视化地还原业务的执行轨迹和状态,协助性能及故障快速定位
③应用拓扑:拓扑图展示服务之间一段时间的调用关系,可以是从调用方统计的,也可以是从被调用方统计的,并且可以查看这个调用关系的趋势图
④智能告警:接入APM的应用在达到设定的告警条件时,会触发告警并及时上报信息,进而迅速处理故障,避免造成业务损失
⑤前端监控:会周期性采集一些前端监控的性能指标数据,用来衡量网站/H5端、小程序端的总体健康状况
⑥URL跟踪:用户需要关注某个重要应用调用的拓扑关系,称之为URL跟踪分析,用户可以将某个环境的某个监控项的调用标示为URL跟踪
(4) 应用性能管理APM的功能
1. 应用/资源关联分析
用户无需修改代码,通过为应用安装Agent,APM应用监控就能够对该应用进行全方位监控,帮助用户快速定位出错接口和慢接口、重现调用参数、发现系统瓶颈,从而大幅提升线上问题诊断的效率
APM作为云应用诊断服务,拥有全链路拓扑、调用链追踪、事务分析功能
①全链路拓扑
(1)可视化拓扑:APM通过拓扑可视化展示应用间调用关系和依赖关系。拓扑使用应用性能指标对应用性能满意度进行量化,并使用不同颜色对不同区间的值进行标识,快速发现应用性能问题,并进行定位。拓扑清晰地展示应用间关系调用数据(服务、实例指标)、健康状况等详细内容
(2)跨应用调用:拓扑图支持在不同应用服务间的调用关系,对于不同应用之间有服务调用时,可实现跨应用调用关系的采集并展示应用的性能数据
(3)异常SQL分析:拓扑图可以统计并展示数据库或SQL语句的关键指标。APM提供数据库、SQL语句的调用次数、响应时间、错误次数等关键指标视图,通过这些指标视图,可以分析异常(慢或调用出错)SQL语句导致的数据库性能问题
(4)JVM指标监控:拓扑图可以统计并展示实例的JVM指标数据。APM实时监控JVM运行环境的内存和线程指标,快速发现内存泄漏、线程常等问题
②调用链追踪:APM能够针对应用的调用情况,对调用进行全方面的监控,可视化地还原业务的执行轨迹和状态,协助性能及故障快速定界
(1)在查询后的调用链列表中,单击待查看的调用链的链接,查看该调用链基本信息
(2)调用链详情页面可以查看调用链的完整链路信息,包含本地方法堆栈和相关远程调用的调用关系
③事务分析:APM通过对服务端业务流实时分析,展示事务的吞吐率、错误率、时延等关键指标,使用健康指标Apdex对应用打分,直观体现用户对应用的满意度。当事务异常,则上报告警;对于用户体验差的事务,通过拓扑和调用链完成事务问题定位。以应用为中心,拉通服务、实例、主机、中间件等多维度关联分析
(1)指标丰富:提供多维度指标超过200种,同时支持Prometheus、zipkin等CNCF开源接口规范
(2)关联分析:用户通过应用、服务、实例、主机和事务等多视角分析关联指标和告警数据
2. 事务会话监控
通过检测,快速发现业务运营的状态,对于异常的应用程序快速诊断
关键技术:实时跟踪每条业务交易,快速分析交易的运行状态并提供诊断能力
①自定义事务:用户可根据每条URL定义事务名称,方便理解
②健康规则匹配:对每条事务匹配监控规则,如超过1s提示异常
③性能追踪:精确采集异常性能数据,可对比历史基线,也可找到应用的异常方法
3. 精准定位故障
①应用发现与依赖关系:非侵入采集应用KPI数据,并通过服务间接口自动生成依赖关系
②应用KPI汇聚:微服务实例汇聚到应用(数字表示XX个实例),KPI数据自动汇聚到应用
性能测试CodeArts PerfTest
(1) 性能测试CodeArts PerfTest的概念
性能测试CodeArts PerfTest(原CPTS服务)是一项为基于HTTP、HTTPS、TCP、UDP、HLS、RTMPWEBSOCKET、HTTP-FLV、MQTT等协议构建的云应用提供性能测试的服务
服务支持快速模拟大规模并发用户的业务高峰场景,可以很好的支持报文内容和时序自定义、多事务组合的复杂场景测试,测试完成后会为用户提供专业的测试报告呈现用户的服务质量
(2) 性能测试CodeArts PerfTest的功能特点
云性能测试服务支持多协议报文内容、事务、测试任务模型的灵活自定义,可实时、离线查看并发、RPS、响应时延等多个维度的性能统计,同时根据用户对性能测试规模的变化,提供按需的私有测试集群创建、扩缩容等性能测试集群管理能力
①多协议高并发性能测试
(1)标准HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTP-FLV/MQTT报文内容快捷自定义,简单调整即可给不同的被测试应用发送压测流量
(2)根据被测试应用的实际需求,支持对协议报文字段进行自定义的设置和编辑
(3)虚拟用户的行为定义。通过思考时间对同一个用户的请求设置发送间隔或者在一个事务中定义多个请求报文来设置每个用户每秒内发起的请求数
(4)自定义响应结果校验,更准确的请求成功标准。针对每个用户的请求,支持用户配置检查点,在获取到响应报文后针对响应码及头域内容做结果检验
②测试任务模型自定义,支持复杂场景测试
(1)通过多种事务元素与测试任务阶段的灵活组合,可以帮助用户测试在多操作场景并发场景下的应用性能表现
(2)事务可以被多个测试任务复用,针对每个事务可以定义多个测试阶段,并对每个阶段分别定义持续压测参数和次数,模拟流量波峰波谷的复杂场景
③专业性能测试报告,应用性能表现一目了然
(1)提供用例RPS、并发数、响应时延、访问累计、响应超时等多种维度统计功能
(2)提供实时、离线两种类型的测试报告,供用户随时查看和分析测试数据
④私有压测集群管理,流量租户隔离,用户按需使用
(1)用户按需创建测试集群,实现租户间流量隔离和内/外网压测能力
(2)提供测试集群的实时扩容、缩容、升级能力
云性能测试服务包括两部分费用:所使用资源(弹性云服务器)的费用和使用云性能测试服务的费用。云性能测试服务支持套餐包和按需付费
(3) 性能测试CodeArts PerfTest的应用场景
业务高峰测试:部分行业业务波峰波谷明显,比如游戏、电商类等行业,具备弹性伸缩的能力,一方面需要验证弹性伸缩是否可以正常工作,另一方面需要验证在流量突发高峰场景下,时延等关键KPI是否达标
①多场景组合模拟:通过多事务组合、事务元素多样性、报文自定义功能模拟真实场景
②波峰波谷模拟:针对每个单事务根据时间段定义压测曲线,模拟波峰波谷
③KPI度量:通过自定义响应超时时间,验证高峰场景游戏KPI满足度
DDoS攻击防护
(1) 拒绝服务Dos(Denial of service)攻击也称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时,称为分布式拒绝服务攻击DDos(Distributed Denial ofService Attack)
(2) 华为云DDoS防护服务(Anti-DDos Serice,简称AAD),针对DDoS攻击,华为云提供了DDoS原生基础防护、DDoS原生高级防护和DDoS高防三个子服务
①华为云DDoS防护服务(Anti-DDos Serice,简称AAD)提供了DDoS原生基础防护(Anti-DDoS流量清洗)、DDoS原生高级防护和DDoS高防。用户可以根据自己的实际业务选择合适的防护方案
· DDoS原生基础防护
(1)通过对互联网访问公网IP的业务流量进行实时监测及时发现异常DDoS攻击流量;在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量
(2)适用场景:使用华为云即可使用Anti-DDos流量清洗服务,可以满足华为云内弹性公网IP(IPv4和IPv6)较低安全防护需求
· DDoS原生高级防护
(1)DDoS原生高级防护对华为云上的IP生效,无需更换IP地址,通过简单的配置,提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力
(2)适用场景:适用于部署在华为云服务上,且华为云服务有公网IP资源的业务,能够满足业务规模大,对网络质量要求高的用户
· DDoS高防
(1)DDoS高防通过高防IP代理源站IP对外提供服务将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击
(2)适用场景:业务服务器部署在中国内地,且业务主要用户来自中国内地;支持华为云、非华为云及IDC的互联网主机
②DDoS高防不支持接入未经ICP备案的域名。DDoS原生高级防护和WAF联动防护时,只能和独享WAF配合使用
③当购买DDoS高防并将业务接入DDoS高防后,网站类业务把域名解析指向高防IP,非网站类的业务IP将替换成高防IP,DDoS高防将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击
④DDoS攻击高防AAD:DDoS高防(Advanced Anti-DDos)通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断,服务于华为云、非华为云及IDC的互联网主机
(1)满足合规要求:满足等保2.0中关于DDoS防护的部署要求,满足网络安全法条款中关于抗DDOS的法律规定
(2)海量带宽:15T是指DDoS高防机房的整体防御能力1T是指单个高防IP的最大防护能力,抵御各类网络层、应用层的DDoS攻击
(3)高可用服务:全自动检测和攻击策略匹配,实时防护;业务流量采用集群分发,性能高,时延低,稳定性好
(4)弹性防护:通过基础带宽+弹性带宽的购买方式,DDoS防护阈值支持弹性调整,可随时升级更高级别的防护
(5)专业运营团队:7*24小时运营团队随时应对;专业的运营人员随时解答您的疑问,为用户的业务保驾护航
(3) 常见DDoS攻击类型
①网络层攻击:通过大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问
②传输层攻击:通过占用服务器的连接池资源,达到拒绝服务的目的
③会话层攻击:通过占用服务器的SSL会话资源,达到拒绝服务的目的
④应用层攻击:通过占用服务器的应用处理资源,极大消耗服务器处理性能,达到拒绝服务的目的
九、云原生
企业IT数字化转型的“三阶段两转变”
(1) 服务器阶段:特点是以硬件设备为中心,业务应用随不同厂商设备、操作系统虚拟化软件的差异化进行定制;设备的安装、调试,应用的部署、运维基本靠人力完成,自动化程度低,缺乏统一的设备和应用管理能力。后期随着虚拟化软件的出现,资源的利用率、扩缩容器的灵活性方面得到一定的提升,但并未从根本上解决基础设施与软件割裂、运维复杂的难题
(2) 云化阶段:传统模式下分布离散的设备,被统一起来,实现了各类资源如计算、存储网络的池化,通过统一的虚拟化软件平台,为上层业务软件提供统一的资源管理接口实现资源管理能力的自动化,屏蔽一部分基础设施的差异,使得应用的通用性增强但因为虚拟化软件平台差异化较大,尤其是各厂商的一些商业化增强,无法在厂商间进行能力共享,应用还是无法以完全标准化的模式构建,应用部署还是以资源为中心
(3) 云原生阶段:在这一阶段,企业的关注点从以资源为中心转移到以应用为中心,包括应用敏捷交付、快速弹性、平滑迁移、无损容灾等。因此,企业开始考虑如何将基础设施与业务平台融合,为业务应用提供标准的运行、监控、治理平台,并将业务的通用能力下沉到平台侧,更好的帮助企业实现应用的自动化
云原生的概念
(1) 云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用
(2) 云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段,云原生技术使工程师能够轻松地对系统作出频繁和可预测的重大变更
云原生2.0
(1) 云原生2.0的概念
①企业数字化转型初期,主要是将业务从线下搬迁上云,在这一阶段企业主要是的把业务简单部署和运行在云上,可以称之为ON CLOUD。这种形态下,通过资源池云化,解决了IDC 时代运维、部署、扩容的难题,但传统应用单体架构厚重、烟肉式架构等带来的一系列应用层面的问题并没有得到有效解决,云对业务的价值主要还停留在资源供给的阶段,无法充分发挥出云的价值
②云原生1.0时期,云原生技术集中在基础设施层,单体架构,以资源为中心,支持的应用生态比较单一,主要是在互联网行业得以应用
③随着企业数字化转型的深入,企业需要充分享受云计算带来的红利,需要让业务能力生于云、长于云,由现在的ON CLOUD进阶到IN CLOUD,同时基于云构建的新生能力与既有能力有机协同、立而不破。生于云是指基于云原生的技术、架构和服务来构建企业应用,长于云是指充分利用云的优势来助力企业应用和业务发展,将企业的数字化建设、业务智能升级带入新阶段,我们称之为云原生2.0时代
④云原生2.0,企业云化从“ON Cloud"走向“IN Cloud“,生于云、长于云且立而不破企业新生能力基于云原生构建,使其生于云;应用、数据和AI的全生命周期云上完成使其长于云;同时,既有能力通过立而不破的方式继承下来,并与新生能力有机协同
(1)云原生技术要从以资源为中心转向以应用为中心,云原生基础设施要能感知应用特征,而应用能更智能、更高效的使用云原生基础设施
(2)基于云原生多云架构,支持云原生应用的分布式化趋势,可以支持端边云协同多云协同,支持政企的复杂全场景应用
(3)云原生2.0是一个开放系统,新生能力和既有能力有机协同、立而不破
(4)云原生2.0是一个全栈能力,云原生能力扩展到应用、大数据、数据库、AI等全栈技术
⑤智能升级新阶段,赋能“新云原生企业”。云原生2.0是企业智能升级的新阶段,企业云化从“ON Cloud"走向“IN Cloud“,成为”新云原生企业“。新生能力与既有能力立而不破、有机协同,实现资源高效、应用敏捷、业务智能,安全可信
(2) 云原生2.0的优势
①资源高效:通过对多元算力的支持,满足不同应用场景的个性化算力需求;基于多云治理和边云协同打造分布式泛在计算平台;以“应用”为中心打造资源调度和管理平台,为企业提供一键式部署、可感知应用的智能化调度,以及全方位监控与运维能力
②应用敏捷:通过最新的DevSecOps应用开发模式,实现了应用的敏捷开发,提升业务应用的迭代速度高效响应用户需求,并保证全流程安全
③业务智能:帮助企业管理好数据,快速构建数据运营能力,实现数据的资产化沉淀和价值挖掘,并借助一系列AI技术,再次赋能给企业应用,结合数据和AI的能力帮助企业实现业务的智能升级
④安全可信:结合云平台全方位企业级安全服务和安全合规能力,保障企业应用在云上安全构建,业务安全运行
(3) 云原生2.0的十大架构模式
(4) 华为云云原生2.0的架构全景
①云原生硬件:以追求云算力极致性价比为目标,通过引入云基础设施服务感知的硬件PCI板卡(SDI/擎天卸载)、自研通用CPU(鲲鹏)、异构NPU(昇腾),经一系列面向同构及异构计算的硬件卸载及深度软硬协同,打造与容器、虚拟机运行时配合的最极致性价比的算力平台
②云原生操作系统:除标准操作系统功能外,云上下文内这一层的职责在于“资源大分小”,将物理服务器资源切分为多个虚机、多个容器,通过Euler OS,从而为上层的智能资源调度及柔性计算提供支撑,并通过硬件直通最小化存储及网络虚拟化性能开销
③云原生基础资源:这一层的职责是小聚大的过程,比如面向云原生计算,特别是K8S容器集群及其扩展任务,以及瑶光智能调度系统,拉通云边、跨Region的全域调度云原生的网络虚拟化功能及,云原生的分布式存储及其高级存储如容灾、高可等
④云原生应用与数据使能:涵盖了云原生分布式中间件、区块链、云原生边缘,云安全使能,云原生数据库,以及云原生大数据,AI ModelArts普惠AI开发平台,云原生视频,以及云原生IoT物联网
⑤云原生应用生命周期管理:包括DevSecOPs流水线,云原生的服务治理与编排,面向租户自己部署业务的CMDB,监控与运维服务等
⑥云原生生态使能:面向云服务多租认证与权限管理(云服务及云资源能力接入的身份认证,以及对云服务对象实例的访问权限管理),云原生的运营与计费,云服务API能力开放,以及云原生Console等
架构演进
(1) 架构的演进和选择,企业要在快速发展业务和一个“优美”的应用架构之间进行取舍;微服务化是未来趋势,带来的核心价值是提高团队研发效能、兼容采纳新技术和缩短业务上线周期。特点包括:容错性、快速上线能力、功能复杂度增加、高可用性、需求响应能力、可管理性、模块独立发布
(2) 第一代:单体架构
单体架构的特点:所有功能都集中在一个项目中。单体架构简单,前期开发成本低,周期短,小型项目首选。但是全部功能集中在一个项目中,随着项目的变大,变的不易开发,扩展,维护
(1)紧耦合
(2)系统复杂、错综交互,动一发而牵全身
(3)重复制造各种轮子:如OS、DB、中间件等
(4)完全封闭的架构
详解
①单体式应用:一般是指单层的应用程序,其用户界面和数据访问等内容,整合在单一系统平台上的某个程序里。单体式应用程序可以独立运作;其设计理念是此应用程序要完成指定功能所需要的所有步骤
②单体系统的优点
(1)系统的简易性
(2)易于测试
(3)易于部署与升级
③单体系统的问题
(1)复杂性高:由于是一个单体的系统,所以整个系统的模块是耦合在一起的,模块的边界比较模糊、依赖关系错综复杂。功能的调整,容易带来不可知的影响和潜在的bug风险
(2)服务性能问题:体系统遇到性能瓶颈问题,只能横向扩展,增加服务实例,进行负载均衡分担压力。无法纵向扩展,做模块拆分
(3)扩展性差、扩缩容能力受限:单体应用只能作为一个整体进行扩展,影响范围大,无法根据业务模块的需要进行单个模块的伸缩
(4)无法做故障隔离、可靠性差:当所有的业务功能模块都聚集在一个程序集当中,如果其中的某一个小的功能模块出现问题(如某个请求堵塞),那么都有可能会造成整个系统的崩溃
(5)维护成本高
(6)发布的影响范围较大:每次发布都是整个系统进行发布,发布会导致整个系统的重启对于大型的综合系统挑战比较大,如果将各个模块拆分,哪个部分做了修改,只发布哪个部分所在的模块即可
(7)部署速度逐渐变慢,随着代码的增加,构建和部署的时间也会增加
(8)阻碍技术创新、单体应用,往往使用统一的技术平台或方案解决所有问题,团队的每个成员都必须使用相同的开发语言和架构,想要引入新的框架或技术平台非常困难
(9)单体架构顾名思义就是一个归档包,如rar包或者jar包,包含了所有功能的应用程序,这是一种比较传统的架构风格。在软件开发的早期,因为单体架构部署简单,技术单一、用人成本低等特点,大家基本都采用这一架构模式。但是随着互联网时代的到来随着业务需求复杂度的提高以及交付频率的不断加快,传统的单体架构,因为下面这些缺陷越来越难以满足开发人员的要求
(3) 第二代:SOA架构
SOA架构的特点:基于SOA的架构思想将重复公用的功能抽取为组件,以服务的方式给各各系统提供服务。各个项目(系统)与服务之间采用Webservice、RPC等方式进行通信。能提高开发效率,提高系统的可重用性、可维护性。可以针对不同服务的特点制定集群及优化方案。缺点:系统与服务的界限模糊,不利于开发及维护。抽取的服务的粒度过大,系统与服务之间耦合性高
(1)松耦合
(2)在大型、超大型企业中仍然流行
(3)通常通过ESB总线进行系统集成
(4)大团队:100~200人
(5)上市周期: 1年、半年、月
(6)集中式、计划内停机扩容
详解
①SOA:面向服务的架构。是一个组件模型,它将应用程序的不同功能单元(称为服务),通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的,它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以以一种统一和通用的方式进行交互
可以理解为在SOA架构中包含多个服务,服务之间通过相互依赖或者通过通信机制,来完成相互通信的,最终提供一系列的功能。一个服务通常以独立的形式存在与操作系统进程中。各个服务之间通过网络调用
· SOA架构引入ESB:企业服务总线
· SOA中最常见的架构部分就是企业服务总线ESB,企业服务总线是指由中间件基础设施产品技术实现的、通过事件驱动和基于XML消息引擎,为更复杂的面向服务的架构提供的软件架构的构造物
· 企业服务总线通常在企业消息系统上提供一个抽象层,使得集成架构师能够不用编码而是利用消息的价值完成集成工作
· 主要功能
(1)监控及路由消息通信传输
(2)控制服务版本与部署
(3)监控通讯质量及故障修复
(4)事件处理
· 缺点:系统扩大时,系统间调用增加,ESB的服务接入压力较大
· 详情
(1)总线一词是对在一台电脑的不同设备间运输比特的物理总线的引申。ESB在更高抽象层次上提供类似的功能。在一个使用ESB的企业架构中,应用将通过总线交互,而总线扮演着应用间的信息调度的角色。这种方法的主要优点是它减少了应用间交互所需的点对点连接的数量。这样,另一方面使得对主要软件变化带来的影响进行分析更单更直观了。通过减少一个应用系统的连接点数量,对这个系统中的一个组件的改造过程变得简单了
(2)企业服务总线提供可靠消息传输,服务接入,协议转换,数据格式转换,基于内容的路由等功能,屏蔽了服务的物理位置,协议和数据格式
(3)未来企业的集成架构演进将会突破企业集成边界,实现集成应用API、消息、设备、数据、跨云等多个场景的集成,为企业的一切应用、大数据、云服务、设备及合作伙伴构建连接。传统的由IT团队控制的“集成工厂”模式将转变为支持由业务线,子公司,应用程序开发团队和最终业务用户负责的自助集成模式,也就是我们所说的“统一混合集成平台"
· SOA结构将应用解耦,使其模块化,将各功能构建成独立单元提供服务
②SOA主要解决以下问题
(1)系统集成:站在系统的角度,解决企业系统间的通信问题,把原先散乱、无规划的系统间的网状结构,梳理成规整、可治理的系统间星形结构,这一步往往需要引入一些产品,比如ESB、以及技术规范、服务管理规范
(2)系统的服务化:站在功能的角度,把业务逻辑抽象成可复用、可组装的服务通过服务的编排实现业务的快速再生。目的:把原先固有的业务功能转变为通用的业务服务,实现业务逻辑的快速复用
(3)业务的服务化:站在企业的角度,把企业职能抽象成可复用、可组装的服务;把原先职能化的企业架构转变为服务化的企业架构,进一步提升企业的对外服务能力;前面两步都是从技术层面来解决系统调用、系统功能复用的问题
(4) 第三代:微服务架构
微服务架构的特点:微服务架构风格的开发方法,是以开发一组小型服务的方式来开发一个独立的应用系统的。其中每个小型服务都运行在自己的进程中,并经常采用HTTP资源API轻量的机制来相互通信。服务拆分粒度更细,有利于资源重复利用,提高开发效率。可以更加精准地制定每个服务的优化方案,提高系统可维护性。适用于互联网时代,产品迭代周期更短
(1)解耦
(2)互联网公司、中小企业、初创公司
(3)小团队:几人-十几人
(4)上市周期:按天、周进行升级发布
(5)DevOps:CI/CD,全自动化
(6)可扩展性:自动弹性伸缩
(7)高可用:升级、扩容不中断业务
所需图片信息均源自华为官方技术文档
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
