专有网络 VPC
阿里云专有网络VPC(Virtual Private Cloud),是由虚拟网络设备(如虚拟交换机/虚拟路由器)组成的虚拟专有网络服务,帮助您基于阿里云构建一个逻辑隔离的私有云。您可以通过专线/VPN等方式与传统数据中心连接,组成一个按需定制的免费虚拟专有网络环境,实现应用的平滑迁移上云。
使用安全组功能,可以将专有网络中的产品实例划分成不同的安全域,并为每个安全域定义不同的访问控制规则.RAM访问控制.可通过 RAM 实现对网络的权限管理.灵活的访问控制规则,满足政务、金融等行业用户的安全隔离规范需求.按需绑定弹性IP到相同地域下VPC类型的云产品实例上,可实现与公网互访.公网出入口管理.使用NAT网关...
来自:
云产品
基于函数计算FC实现企业级权限精准控制Kafka跨实例消息同步
应用场景 在大数据场景,企业的Kafka实例可能存在多种情况,比如使用阿里云Kafka服务,可能是自建开源Kafka,或者是其他云上的云Kafka。不同的业务使用不同类型的Kafka实例,在这个前提下Kafka实例之间可能会需要消息同步的情况: 同帐号容灾场景:比如Kafka实例都是阿里云Kafka,但是Kafka实例会有主备之分,需要将主Kafka实例的消息实时同步到备Kafka。 跨帐号或异地容灾:这类场景比如主Kafka是阿里云Kafka,备Kafka是IDC开源自建Kafka,或者是其他云上的Kafka。 不同业务之间消息同步:因为现在的业务通常不会是信息孤岛,都需要消息互通,所以可能是A业务的Kafka实例消息需要同步到B业务的Kafka实例,并且这两个Kafka实例归属不同的RAM角色,有自己独自的权限控制。 解决问题 解决使用开源组件做消息同步的高成本问题。 解决使用开源组件做消息同步的并发性能、稳定性问题。 解决使用开源组件做消息同步的可靠性问题(重试机制,容错机制,死信队列等)。 大幅提升构建消息同步架构的效率,降低构建复杂度问题。
创建kafka-ram-b权限策略 步骤1 根据3.2的操作步骤,再次创建kafka-ram-b权限策略,策略脚本与kafka-ram-a一致,与kafka-ram-a权限策略不同的是在指定资源时,资源ID是业务系统Kafka云上备份 实例的ID。(ID同样可以在CADT中找到)文档版本:20240330 31基于函数计算FC实现企业级权限精准控制Kafka跨实例消息同步 场景验证 3....
对象存储 OSS
阿里云对象存储 OSS(Object Storage Service)是一款海量、安全、低成本、高可靠的云备份服务,提供最高可达 99.995 % 的服务可用性。多种存储类型供选择,全面优化存储成本。
访问控制ACL权限:读写权限 ACL 用于定义用户或用户组被授予的访问权限。收到某个资源的请求后,OSS 会检查相应的 ACL 以验证请求者是否拥有所需的访问权限。Bucket Policy:Bucket Policy 是 OSS 推出的针对 Bucket 的授权策略,您可以通过 Bucket Policy 授权其他用户访问您指定的 OSS 资源。RAM Policy:RAM Policy 是...
来自:
云产品
EMR集群安全认证和授权管理
场景描述 阿里云EMR服务Kafka和Hadoop安全集群使 用Kerberos进行用户安全认证,通过Apache Ranger服务进行访问授权管理。本最佳实践中以 Apache Web服务器日志为例,演示基于Kafka 和Hadoop的生态组件构建日志大数据仓库,并 介绍在整个数据流程中,如何通过Kerberos和 Ranger进行认证和授权的相关配置。 解决问题 1.创建基于Kerberos的EMR Kafka和 Hadoop集群。 2.EMR服务的Kafka和Hadoop集群中 Kerberos相关配置和使用方法。 3.Ranger中添加Kafka、HDFS、Hive和 Hbase服务和访问策略。 4.Flume中和Kafka、HDFS相关的安全配 置。 产品列表:E-MapReduce、专有网络VPC、云服务器ECS、云数据库RDS版
授权有多种方式,从访问控制列表(ACL)到 HDFS 扩展 ACL,再到使用 Apache Ranger的访问控制,几种不同的机制一起工作以对集群中的用户和服务进行 身份验证。Apache Ranger Apache Ranger 提供集中式的权限管理框架,可以对 Hadoop 生态中的 HDFS/Hive/YARN/Kafka/Storm/Solr 等组件进行细粒度的权限访问控制,并且提 供了...
企业多账号环境下的安全资源统一管控最佳实践
某地产公司在上海、杭州设有两个分公司,公司使用阿里云支撑各分公司的 IT 业务系统,这些系统由各分公司独立负责,包括独立负责云上业务账号的创建、员工权限的分配管理、资源的购买、IT 风险的管控、安全管理等。由于公司业务发展较快,各分公司创建了非常多的业务账号来承载新的业务,每个业务账号独立管理,带来了非常大的管理问题。人员权限管理混乱,离职员工在云上的身份梳理不清难以及时清理造成极大的安全隐患;账号权限过大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各业务系统各自为政,数据泄露、业务中断、安全入侵风险升级。 为了提升云上的管控效率和安全性,总公司成立新的信息安全中心和阿里云对接。信息安全中心的定位是统一采购安全产品,集中保障云上资源的安全性。
步骤15 访问控制策略(ACL)即 Access Control List,可以通过一系列规则对报文进行过滤,是 云防火墙一种重要的安全隔离手段。云防火墙的访问控制策略根据生效位置的不同分 为三层,分别是:互联网边界防火墙的访问控制策略、VPC 间防火墙访问控制策略和 主机间防火墙访问控制策略。文档版本:20220224 39 企业多账号环境下的...
混合云存储构建VMware虚拟化平台
场景描述 本文以混合云存储阵列SA2600系统为例,介绍如 何在混合云存储环境下部署VMware虚拟化平台, 以及混合云环境下虚拟机的部署、扩容、云备份等功 能演示。 解决问题 1.如何使用混合云存储部署VMware虚拟化平台。 2.存储阵列在混合云环境下的使用,比如虚拟机部 署、扩容、云备份等。 产品列表 1.混合云存储阵列 2.对象存储OSS
访问控制RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用RAM创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资 源的访问。更多信息,请参见https://www.aliyun.com/product/ram。 对象存储OSS:OSS是海量、安全、低成本、高可靠的云存储服务,提供 99.9999999999%的数据可靠性。使用...
远程办公-AD管控下的弹性云桌面
在弹性云桌面中部署企业基础办公环境时,IT人员通常会面临以下问题,本文希望通过场景实践的方式,示范如何结合使用不同阿里云产品,来解决这些问题:用户如何管理?企业已有AD用户如何上云?云上共享文件服务权限怎么管?数据安全问题有保障吗?该如何设置?云桌面能使用本地机房或IDC中的服务吗? 本文使用的应用场景: 场景1:客户A在云上新建Windows ActiveDirectory(以下简称AD);弹性云桌面,和NAS文件存储服务部署在AD所在的VPC内。场景2:客户B在阿里云上已有AD和NAS。弹性云桌面创建在与AD不同的VPC中。AD与云桌面的VPC通过CEN连接。场景3:客户C在云下IDC有自建AD和文件服务。弹性云桌面创建在阿里云上。云下机房与阿里云弹性云桌面所在VPC通过IPsec VPN连接。 方案优势: 易部署:弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。 CEN和VPN网关服务开通即用,配置实时生效,快速完成部署。 低成本:弹性云桌面无需前期传统硬件投资,帮您快速构建安全、高性能、低成本的桌面办公体系。可广泛应用于具有高数据安全管控、高性能计算等要求的金融、设计、视频、教育等领域。VPN网关基于Internet建立加密通道,比建立专线更便宜,快速实现混合云。 安全性:VPN网关使用IKE(秘钥交换协议)和IPSec对传输数据或进行加密,保证数据安全可靠。云桌面自带的安全策略保证数据不落地。 集中管控:通过Windows AD对云桌面用户和共享文件服务进行统一权限管控。可实现AD用户自动同步上云,和文件级别的权限管控。
如果不是通过本地磁盘路径 C:\myshare访问 文件系统,而是通过普通网络路径\ as-mount-point.nas.aliyuncs.com\myshare访 问,在设置 ACL时,会遇到因 RPC服务器不可用而无法确定 NAS挂载点是否已加 入域的情况。如下图所示。步骤1 打开 Windows的文件资源管理器(File Explorer),单击 C:/盘符→myshare。文档版本:...
CDH迁移升级CDP最佳实践
当前 CDH 免费版停止下载,终止服务,针对需要企业版服务能力并且CDH 升级过程对业务影响较小的客户,通过安装新的 CDP 集群,将现有数据拷贝至新集群,然后将新集群切换为生产集群,升级过程没有数据丢失风险,停机时间较短,适合大部分互联网客户升级使用。
Ranger有更好的 UI,更灵活的访问 控制模型,该模型包括基于属性的访问控制以及与 Atlas集成。为了简化迁移过程,Ranger 2.0版本还进行了功能扩展,例如:支持基于角色的权限 管理、提供 HDFS ACL Sync功能,理论上可以实现 1 对 1权限映射。3.1.2.迁移方法 Cloudera提供两类 Sentry迁移工具:Replication Manager:在定制 ...
基于DDH+MyBase降本合规
出版、金融、保险等传统行业一方面希望能借助云计算以更好地适应业务发展需求(政策上云),另一方面出于对降低单实例部署成本(CPU 超分超配)以及满足更严格合规和监管要求的考虑,希望能对云上资源有更多的自主控制权(监管合规)。从业务系统架构云上部署的角度,基于专有宿主机DDH 和云数据库专属集群MyBase 的解决方案,可以很好地满足这两方面的需求。 解决问题: 1. 国家政策上云趋势和需求 2. 更严格的云上安全合规要求 3. 对云上资源有更灵活的管控权 4. 有效降低企业上云的整体拥有成本(TCO) 方案优势: 1、单租户隔离 DDH和 MyBase都可以提供宿主机级别物理隔离,可以独占资源,可以开放更多接口 , 同时杜绝 多租户间 干扰 。 2、安全合规:在完备的隔离基础之上,开放更多数据库权限和 OS权限 。 3、资源灵活部署和调度 创建 ECS实例、从共享宿主机迁移 ECS实例至专有宿主机或在专有宿主机之间迁移 ECS实例时,若您不指定专有宿主机,系统将自动帮您选择专有宿主机部署实例。 针对于初始部署数据库实例时,提 供紧凑型和均衡型两种方式将数据库实例分不到不同的主机上。 4、超配 降本 DDH和 MyBase组合的方式可以实现资源自定义 CPU内存 配比以及CPU超分 ,可以降低单 ECS实例以及云数据库实例的部署成本。
RAM(Resource Access Management):是阿里云为客户提供的用户身份管理与 访问控制服务。使用 RAM,您可以创建、管理用户账号(比如员工、系统或应用 程序),并可以控制这些用户账号对您名下资源具有的操作权限。当您的企业存在 多用户协同操作资源时,RAM可以按需为用户分配最小权限,从而让您避免与其 他用户共享云账号...
AK防泄漏
场景描述 用户名密码是开发运维人员访问阿里云控制台 的凭据,AK是软件程序访问阿里云资源的凭据。 如果AK被泄露,那么会造成非常严重的后果, 比如资源被释放导致业务不可用、大量服务器被 创建用来挖矿,等等。采用合适的方式来使用、 保护AK,是每一个云客户都必须关注的问题。 解决问题 1.避免AK被泄露 2.改进已经错误使用AK的方法 产品列表 访问控制RAM 云服务器ECS 操作审计Action Trail 云安全中心
改进已经错误使用 AK的方法 demo架构图:产品列表 访问控制 RAM 云服务器 ECS 操作审计 Action Trail 云安全中心 最佳实践频道 阿里云最佳实践分享群 如二维码过期,请搜索群号:31852400 云服务器 ECS(产品名称)文档模板(手册名称)/文档版本信息 阿里云 企业上云实践 AK防泄漏 最佳实践 文档版本:20220211 文档版本:...
RAM角色集成企业OpenLDAP身份认证
场景描述 本文介绍阿里云RAM使用KeyCloak集成企业OpenLDAP, 管理员工的身份及权限。配置RAM角色与KeyCloak 用户 /用户组的映射关系,实现企业员工使用企业OpenLDAP账 号以单点登录(SSO)的方式访问阿里云控制台。 解决问题 快速部署OpenLDAP及用户创建。 快速部署KeyCloak,并与OpenLDAP实现用户联 合。 阿里云角色SSO配置。 KeyCloak用户绑定RAM角色SSO。 KeyCloak用户组绑定RAM角色SSO。 产品列表 访问控制RAM 专有网络VPC 云服务器ECS 容器镜像服务ACR
产品列表 访问控制 RAM 专有网络 VPC 云服务器 ECS 容器镜像服务 ACR 云架构设计工具 CADT 文档模板(手册名称)/Error!Use the Home tab to apply 云服务器 ECS(产品名称)标题 to the text that you want to appear here.阿里云 RAM角色 集成企业 OpenLDAP身份认证 文档版本:20210616(发布日期)文档版本:20150122...
RAM用户集成企业AD FS身份认证
介绍阿里云RAM集成Windows AD FS,使用企 业AD对员工的身份认证及管理功能,配置RAM 用户与AD用户的映射关系,实现企业员工使用企 业AD域账号以单点登录(SSO)的方式访问阿里 云控制台。 解决问题 1.Windows AD域部署。 2.Windows AD证书服务及Web服务部署。 3.Windows AD FS部署。 4.阿里云用户SSO配置。 5.AD FS集成RAM用户SSO。 产品列表 l访问控制RAM l专有网络VPC l云服务器ECS
产品列表 访问控制 RAM 专有网络 VPC 云服务器 ECS 文档版本:20190828RAM用户集成企业ADFS身份认证 文档版本信息 阿里云 企业上云实践 RAM用户集成企业AD FS身份认证 文档版本:20150122(发布日期)2RAM用户集成企业ADFS身份认证 文档版本信息 文档版本信息 文本信息:属性 内容 文档名称 企业上云实践RAM用户...
VMware迁移DDH
场景描述 介绍本地部署或托管在IDC环境的VMware系统迁移 上云至独立宿主机(DDH)的最佳实践。使用DDH在 云端构建由独享物理服务器组成的资源池,同时配合 ECS成熟稳定的虚拟化技术体系,充分利用云上资源 弹性、按使用付费的优势,快速构建高性能、高可靠 和可快速动态伸缩的虚拟化系统,满足安全、合规、 自定义部署、自带许可证(BYOL)等企业级需求。 解决问题 l云端独享高性能、高可靠、高弹性的物理服务器资源池。 l基于成熟云原生虚拟化技术体系,支持ECS自定义部 署,可在DDH环境和多租户环境间迁移。 l支持自带许可证(BYOL)。 产品列表 l访问控制RAM l专有网络VPC l云服务器ECS l对象存储OSS l专有宿主机DDH l资源编排ROS
产品列表 l 访问控制 RAM l 专有网络 VPC l 云服务器 ECS l 对象存储 OSS l 专有宿主机 DDH l 资源编排 ROS 文档版本:V1.2 版本日期:20191106 云服务器 ECS(产品名称)文档模板(手册名称)/文档版本信息 阿里云 企业上云实践 VMware 迁移 DDH 最佳实践 文档版本:20150122(发布日期)II 企业上云实践 VMware 迁移 DDH|...
影视数据分发汇集与传输加速
场景描述 使用阿里云对象存储服务OSS及OSSBrowser 工具,实现影视数据多用户多地域分发、汇集, 以及传输加速的最佳实践。 解决问题 1.跨地域、多角色、分权限文件上传、下载。 2.基于OSS及其客户端实现Serverless文件 分发服务(可替换传统FTP服务)。 3.OSS文件传输全球加速。 产品列表 lOSS lRAM
产品列表 对象存储 OSS 访问控制 RAM 阿里云最佳实践技术分享群 最佳实践频道 如二维码过期,请搜索群号:31852400 错误!未知的文档属性名称 错误!未知的文档属性名称/文档版本信息 阿里云 企业上云实践 影视数据分发汇集与传输加速 文档版本:20220507 文档版本:错误!未知的文档属性名称 II 影视数据分发汇集与传输加速 ...
DDH集群运维管理
场景描述 当前许多企业的IDC业务场景,资源管理 等使用习惯与公共云不同,使用DDH集群 管理,继承IDC虚拟化使用习惯,比如自 定义ECS规格。同时针对CPU负载较低 的场景,通过CPU超分,可以有效提高资 源利用率,节省整体成本。并且可以通过账 号授权业务团队,结合云监控资源使用率, 方便业务使用的同时又能有效遏制资源浪 费。 方案优势 1.使用专有宿主机集群构建云上环境,通 过超分提高资源利用率,降低企业成 本。 2.通过访问控制授权,云监控资源,完成 专有宿主机集群运维管理使用闭环。 产品列表 访问控制RAM 专有网络VPC 云服务器ECS 云监控CloudMonitor
产品列表 方案优势 访问控制RAM 1.使用专有宿主机集群构建云上环境,通 专有网络VPC 过超分提高资源利用率,降低企业成 云服务器ECS 本。 云监控CloudMonitor 2.通过访问控制授权,云监控资源,完成 专有宿主机集群运维管理使用闭环。云服务器ECS(产品名称)文档模板(手册名称)/文档版本信息 阿里云 DDH集群...
ACK容器平台集群安全控制
场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 容器集群API Server的安全访问控 制 容器服务多租户场景下的授权管理 容器中的敏感信息数据的存储 容器服务集群安全策略配置管理 产品列表 容器服务Kubernetes版 负载均衡SLB 专有网络VPC 访问控制RAM
方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 产品列表 容器集群 API Server的安全访问控制 容器服务 Kubernetes版 容器服务多租户场景下的授权管理 负载均衡 SLB 容器中的敏感信息数据的存储 专有网络 VPC 容器服务集群安全策略配置管理 访问控制 RAM 最佳实践频道 阿里云最佳实践...
云数据库RDS MySQL版备份恢复
场景描述 用户数据库数据, 部分需要快速、 小颗粒度恢复、 部分需要异地备份、部分需求长期归档。 当前自建 MySQL 上建立完善的备份/恢复系统无法完美满足用户需求, 且建设/维护成本很高。 RDS 的完善的备份/恢复方案可以有效帮助到用户。 方案优势 1. 可以方便实现本地备份及库表级别快速恢复, 快速应对误操作误删除等逻辑错误, 降低业务损失。 2. 可以方便实现异地备份, 实现数据级容灾, 满足合规要求。 3. 可以方便将数据进行归档, 实现长期数据的高性价比保存方案。 4. 有效提升用户数据备份效率, 降低维护工作量。 解决问题 1. 自建数据库发生误操作时恢复复杂 2. 部分数据发生错误进行恢复时可能影响其他数据访问 3. 异地备份操作复杂 4. 长期数据保存成本较高 5. 备份恢复系统维护所需人力成本较高
自建数据库发生误操作时恢复复 访问控制 RAM 杂。专有网络 VPC 2.部分数据发生错误进行恢复时可能 云服务器 ECS 影响其他数据访问。云数据库 RDS 3.异地备份操作复杂。4.长期数据保存成本较高。5.备份恢复系统维护所需人力成本较 高。最佳实践频道 阿里云最佳实践分享群 如二维码过期,请搜索群号:31852400 云服务器 ECS...
- 产品推荐
- 这些文档可能帮助您