电商网站业务安全
场景描述 业务运营活动是电商行业开展业务必不可少的 手段,但大流量带来的系统可用性、优惠券带来 的“薅羊毛”等问题屡见不鲜,都会影响到运营 效果、甚至出现负面影响。阿里云基于集团电商 业务多年的运营经验,为云上客户提供完整的电 商网站运营期间的防护方案。 解决问题 1.保障业务运维活动系统稳定运行 2.防止“薅羊毛” 3.运营优惠给到真实的客户 产品列表 爬虫风险管理 风险识别 DDoS防护包
进行本章 之前,需要准备一个已经通过管局认证的域名,这里准备的是 magento.lustre.site的 域名。1.1.开通产品及服务 步骤1 登录阿里云官网(www.aliyun.com),单击右上角的控制台。步骤2 单击左上角的图标。步骤3 在弹出的页面中,输入产品名称,如 ECS,单击对应的链接。文档版本:20210806 1 企业上云实践 电商网站...
全球应用加速解决方案
全球应用加速解决方案通过高质量多线BGP接入公网带宽,优化客户接入能力,通过全球加速或云解析提供智能调度,实现用户就近接入阿里云,利用阿里云全球加速网络实现业务的跨地域高质量传输,实现对互联网应用的加速。
通过在世界各地部署加速节点来加快全球范围内访问网络的速度,不受域名注册地的限制。本解决方案通过阿里云 CDN 加速服务提升视频网络体验。采用 DDoS 防护和 WAF 规避网络攻击,为您的网络和应用保驾护航。配备的健康检查机制能够助您根据阿里云的可用区直观地了解后端服务的可用性.我们的解决方案.云解析 DNS.Web应用...
来自:
解决方案
自建Hive数据仓库跨版本迁移到阿里云Databricks数据洞察
场景描述 客户在IDC或者公有云环境自建Hadoop集群构建数据仓库和分析系统,购买阿里云Databricks数据洞察集群之后,涉及到数仓数据和元数据的迁移以及Hive版本的订正更新。 方案优势 1. 全托管Spark集群免运维,节省人力成本。 2. Databricks数据洞察与阿里云其他产品(OSS、RDS、MaxCompute、EMR)进行深度整合,支持以这些产品为数据源的输入和输出。 3. 使用Databricks Runtime商业版引擎相比开源Spark性能有3-5倍的提升。 解决问题 1. Hive数仓数据迁移OSS方案。 2. Hive元数据库迁移阿里云RDS方案。 3. Hive跨版本迁移到Databricks数据洞察使用Delta表查询以提高查询效率。
1.收集 4个节点的私网 IP地址和对应的主机名,如下所示(请根据您环境的实际 IP 地址进行修改):192.168.100.37 master 192.168.100.38 slave1 192.168.100.39 slave2 文档版本:20210425 7 自建 Hive数据仓库跨版本迁移到阿里云 Databricks数据洞察 基础环境搭建 192.168.100.41 slave3 2.通过 SSH远程登录 hadoop-master...
异地双活场景下的数据双向同步
概述 随着客户业务规模的扩大,对系统高可用性要求越来越高,越来越多用户采用异地双活/多活架构,多活架构往往涉及业务侧做单元化改造,本方案仅模拟用户已做单元化改造后的数据双向同步,数据库采用双主架构,本地写本地读,同时又保证双库的数据一致性,为业务增加可用性和灵活性。 适用场景 数据库双向同步 数据库全局ID不冲突 双活架构的数据库建设问题 技术架构 本实践方案基于如下图所示的技术架构和主要流程编写操作步骤: 方案优势 DTS双向同步,采用独立模块避免数据同步占用系统资源。 奇偶ID涉及,避免数据冲突。 DTS多种处理冲突的方式供业务选择。 安全:原生的多租户系统,以项目进行隔离,所有计算任务在安全沙箱中运行。
步骤4 这时需要用户手动去判断数据已哪个单元的为准,对数据修复后重启任务。说明:本方案先简单重启任务,跳过错误。文档版本:20220209 59 异地双活场景下的数据双向同步 模拟业务测试 4.2.单元化 ID模拟测试 说明:为了避免数据冲突,双活业务需要做到单元内自闭环,本方案仅模拟双活场景 下的数据库处理,不涉及流量...
HTTPDNS
阿里云HTTPDNS是面向多端应用(移动端APP,PC客户端应用)的域名解析服务,具有域名防劫持、精准调度、实时解析生效的特性。域名解析请求直接发送至HTTPDNS服务器,绕过运营商Local DNS,避免域名劫持问题。直接获取客户端 IP ,基于客户端 IP 获得最精准的解析结果,让客户端就近接入业务节点。
域名劫持一直是困扰许多开发者,其表现即域名A应该返回的DNS解析结果IP1被恶意替换为了IP2,导致A的访问失败或访问了一个不安全的站点.使用HTTP(HTTPS)协议进行域名解析,域名解析请求直接发送至HTTPDNS服务器,绕过运营商Local DNS,避免域名劫持问题.由于运营商策略的多样性,其 Local DNS 的解析结果可能不是最近、...
来自:
云产品
RAM用户集成企业AD FS身份认证
介绍阿里云RAM集成Windows AD FS,使用企 业AD对员工的身份认证及管理功能,配置RAM 用户与AD用户的映射关系,实现企业员工使用企 业AD域账号以单点登录(SSO)的方式访问阿里 云控制台。 解决问题 1.Windows AD域部署。 2.Windows AD证书服务及Web服务部署。 3.Windows AD FS部署。 4.阿里云用户SSO配置。 5.AD FS集成RAM用户SSO。 产品列表 l访问控制RAM l专有网络VPC l云服务器ECS
文档版本:20200120 86RAM用户集成企业ADFS身份认证 附录一 文档版本:20200120 87RAM用户集成企业ADFS身份认证 附录二 附录二 使用域别名实现RAM 用户与AD 用户映射的配置方法 当AD 域名是一个在公网 DNS中注册的域名,则可以将AD域名设置为 RAM的域 别名。ADFS中无需设置域名转换,直接映射用户即可,具体操作如下:步骤1...
云速搭部署 ALB 实现负载分发
本实践通过云速搭构建一个基于 http(s)的负载均衡业务架构,实现终端浏览器发起http(s)请求后,经过 ALB 监听配置的转发规则,分别负载分担到后端 ECS 服务器、CLB 和 ACK 集群。
选择资源丰富、离用户近的区 VPC名 vpc-HZ-CADT-域保障项目顺利实施。DEMO 网络规划留足可用 IP数即可。网段 172.10.0.0/16 虚拟交换机 状态 新购(根据实际情况 选择新购或已保有,本最佳实践新购交换 机)vswitch名 vswitch_H 可用区 华东 1 可用区 H IPv4网段 172.10.0.0/24 vswitch名 vswitch_I 文档版本:20211028 5 ...
远程办公-AD管控下的弹性云桌面
在弹性云桌面中部署企业基础办公环境时,IT人员通常会面临以下问题,本文希望通过场景实践的方式,示范如何结合使用不同阿里云产品,来解决这些问题:用户如何管理?企业已有AD用户如何上云?云上共享文件服务权限怎么管?数据安全问题有保障吗?该如何设置?云桌面能使用本地机房或IDC中的服务吗? 本文使用的应用场景: 场景1:客户A在云上新建Windows ActiveDirectory(以下简称AD);弹性云桌面,和NAS文件存储服务部署在AD所在的VPC内。场景2:客户B在阿里云上已有AD和NAS。弹性云桌面创建在与AD不同的VPC中。AD与云桌面的VPC通过CEN连接。场景3:客户C在云下IDC有自建AD和文件服务。弹性云桌面创建在阿里云上。云下机房与阿里云弹性云桌面所在VPC通过IPsec VPN连接。 方案优势: 易部署:弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。 CEN和VPN网关服务开通即用,配置实时生效,快速完成部署。 低成本:弹性云桌面无需前期传统硬件投资,帮您快速构建安全、高性能、低成本的桌面办公体系。可广泛应用于具有高数据安全管控、高性能计算等要求的金融、设计、视频、教育等领域。VPN网关基于Internet建立加密通道,比建立专线更便宜,快速实现混合云。 安全性:VPN网关使用IKE(秘钥交换协议)和IPSec对传输数据或进行加密,保证数据安全可靠。云桌面自带的安全策略保证数据不落地。 集中管控:通过Windows AD对云桌面用户和共享文件服务进行统一权限管控。可实现AD用户自动同步上云,和文件级别的权限管控。
注意:已在弹性云桌面中注册过的域名,不可再次进行注册。所以除非将目录从云桌 面中删除,否则本例中所有测试域名不可再次使用。文档版本:20201210 24 远程办公-AD管控下的弹性云桌面最佳实践 场景 1:新建云上 AD并在同一 VPC中部署云桌面 步骤3 输入服务还原模式密码。文档版本:20201210 25 远程办公-AD管控下的弹性云...
Function Compute搭建前端CICD系统
场景描述 传统动静不分离的产品架构,随着访问量在增 长,性能会成为瓶颈。在这种情况下,用户可以 通过利用OSS和CDN对网站进行架构优化, 做到网站文件的动静分离,提升用户访问体验, 实现成本可控。本方案使用函数计算监听前端代 码库提交的分支变更,上传分支文件至OSS,通 过CDN进行前端资源加速。 方案优势 1.面向serverless:无需购买服务器 2.免运维:无需部署配置Jenkins 3.提供日志查询、性能监控和报警等功能 4.一站式:事件驱动方式触发响应 5.费用极低:按需付费 产品列表 专有网络VPC 对象存储OSS 日志服务SLS 函数计算 CDN
访问方式:http://{CDN加速域名}/{代码仓库名}/{版本号}}/文件名 文档版本:20211008 16 Function Compute计算搭建前端 CICD系统 附录 4.附录 4.1.代码地址 git下载地址:https://code.aliyun.com/best-practice/073.git 4.2. my_ssh_executable.sh 将如下内容保存文件至 my_ssh_executable.sh 1.#!bin/sh 2.ID_RSA=tmp/id_...
新零售商超基于Serverless服务化改造
某零售商超行业龙头企业,主要业务涵盖购物中心、大卖场、综合超市、标准超市、精品超市、便利店、无人值守智慧商店等零售业态,涉及全渠道零售、仓储物流、餐饮、消费服务、数据服务、金融业务、跨境贸易等领域。为了持续支持业务高速且稳定地发展,其在快速上云后,将核心业务改造为全Serverless架构的中台模式,采用函数计算 + API网关 + 表格存储OTS 作为计算网络存储核心,弹性支撑日常和大促峰谷所需资源,轻松支撑618/双11/双12大促。 核心价值 l 全 Serverless 架构:FC + API 网关 + OTS Serverless 解决方案。 l 弹性高可用:毫秒级弹性扩容、充足的资源池水位、跨可用区高可用。 l 敏捷开发免运维:函数式极简编程可专注于业务创新,无采购和部署成本、提供监控报警等完备的可观测能力。
文档版本:20210519 34 新零售商超基于 Serverless服务化改造 架构环境搭建 步骤7 上线后,可访问 API网关提供的二级域名,该二级域名仅供测试使用,客户端直接调 用时会有每天 1000次访问限制。建议为分组绑定独立域名,使用独立域名访问不会 受到此限制,详见配置过程:...
基因计算工作流
场景描述 适合利用容器服务Kubernetes版上的工作流 引擎进行大规模基因测序的场景。阿里云工作流 引擎基于开源项目Argo实现,支持并发、循环、 重试等多种执行策略。典型的基因计算过程会把 数据分批进行计算,按照规定好的步骤依次完成 计算,这符合工作流的特点:多层次,有向无环 图。 解决问题 1.基因计算如何构建工作流 2.容器服务Kubernetes版结合 共享文件存储NAS提供数据 服务 3.构建单POD工作流 产品列表 容器服务Kubernetes版 文件存储NAS
总量 500Gi 访问模式 ReadWriteMany 挂载点域名 输入记录的挂载点信息中的挂载点域名。子目录/权限 755 版本 3 文档版本:20191127 29 基因计算工作流最佳实践 工作流配置 可看到已创建的存储卷(pv-nas)。步骤4 定位到存储声明页签,并单击右上角的创建。文档版本:20191127 30 基因计算工作流最佳实践 工作流配置 步骤5 ...
Exchange Server云上部署最佳实践
阿里云提供基础设施服务,能够以高可用、高容错且经济实惠的方式将Exchange Server部署在云上。通过在 阿里云上部署,可以获得Exchange Server的功能以及阿里云天然灵活性和安全性。
文档版本:20220119 15 Exchange Server云上部署最佳实践 部署域控制器和 DNS 文档版本:20220119 16 Exchange Server云上部署最佳实践 部署域控制器和 DNS 文档版本:20220119 17 Exchange Server云上部署最佳实践 部署域控制器和 DNS 文档版本:20220119 18 Exchange Server云上部署最佳实践 部署域控制器和 DNS 步骤5 ...
SLS多云日志采集、处理及分析
场景描述 从第三方云平台或线下IDC服务器上采集 日志写入到阿里云日志服务,通过日志服务 进行数据分析,帮助提升运维、运营效率, 建立DT 时代海量日志处理能力。 针对未使用其他日志采集服务的用户,推荐 在他云或线下服务器安装logtail采集并使用 Https安全传输;针对已使用其他日志采集 工具并且已有日志服务需要继续服务的情 况,可以通过Log producer SDK写入日志 服务。 解决问题 1.第三方云平台或线下IDC客户需要使用 阿里云日志服务生态的用户。 2.第三方云平台或线下IDC服务器已有完 整日志采集、处理及分析的用户。 产品列表 E-MapReduce 专有网络VPC 云服务器ECS 日志服务LOG DCDN
注:1)NAT网关配置的公网 IP数限制 NAT网关的最大并发数,绑定单个 IP最大 连接数为 55000,当通过 NAT网关访问公网上同一个目的 IP和端口的带宽大于 2Gbps时,建议您为 NAT网 关绑定 4-8个公网 IP并构建 SNAT IP池,避免单 IP的端口数量限制可能产生的丢包 2)当有多个 EIP组成 SANT IP池时,如需节约带宽成本可以建议多 ...
基于SLS实现统一告警最佳实践
告警对于企业的开发运维,安全运维,业务运维有着至关重要的作用。然而很多企业在告警运维方面存在着重复建设、监控质量差、告警风暴、触达不人性化、无法闭环等问题。 针对企业在告警管理方面存在的痛点问题,SLS告警提供了一站式云上告警管理方案,具有弹性易用、稳定可靠、功能持续升级、成本更低、噪音更少等优势。企业可以将现有的监控方案系统无缝接入到SLS告警平台,实现在SLS上一站式管理告警。
基于 SLS实现统一告警 最佳实践 业务架构 场景描述 告警监控对于一个企业有着至关重要的作 用,然而很多企业在告警运维方面存在着重 复建设、监控质量差、告警风暴、触达不人 性化、无法闭环等问题。SLS告警提供了一站式云上告警管理方案,能够有效的解决企业在使用告警中的痛点。本文以通过自定义告警、Prometheus 告 警、...
跨云迁移单写双读过渡架构
概述 在搬站场景下,涉及迁移跨度较长,在过渡阶段客户需要跨云访问,如何保障数据链路的高可用尤为关键,采用专线和公网双备的方案保障数据传输的高可用,也降低双专线的迁移成本。 适用场景 数据迁移链路的高可用 跨云迁移过渡期架构 读写分类架构设计 技术架构 本实践方案基于如下图所示的技术架构和主要流程编写操作步骤: 方案优势 在迁移时间持续较长的情况下,使用单写双读架构降低业务改造成本。 使用数据库网关做专线和公网互备。 流量逐渐灰度验证,保障迁移平滑过渡。 安全:原生的多租户系统,以项目进行隔离,所有计算任务在安全沙箱中运行。
文档版本:20201209 37 跨云迁移单写双读过渡架构 流量灰度测试 注:如果没有压测资源先进行购买。步骤2 进行施压配置,保存去压测。文档版本:20201209 38 跨云迁移单写双读过渡架构 流量灰度测试 步骤3 等待压测完成。步骤4 通过压测报告可以看到,灰度 10%流量业务访问成功率 100%。业务系统验证没问题 后,可以通过 GTM...
CDH迁移升级CDP最佳实践
当前 CDH 免费版停止下载,终止服务,针对需要企业版服务能力并且CDH 升级过程对业务影响较小的客户,通过安装新的 CDP 集群,将现有数据拷贝至新集群,然后将新集群切换为生产集群,升级过程没有数据丢失风险,停机时间较短,适合大部分互联网客户升级使用。
1.收集 3个节点的私网 IP地址和对应的主机名,如下所示(请根据您环境的实际 IP 地址进行修改):192.168.10.205 master 192.168.10.207 slave1 文档版本:20211029 9 CDH迁移升级 CDP最佳实践 基础环境搭建 192.168.10.208 slave2 192.168.10.206 slave3 2.通过 SSH远程登录 master节点所在的 ECS实例,通过 vim编辑器将...
基于日志服务构建业务可观测性系统
现在已知的各种监控数据的工具,以及对应的监控系统有非常多的选择,比如ZABBIX,Prometheus,Skywalking等。但是这些系统都存在同样的一个问题,只覆盖了可观察性的一部分,举个简单的类比,大家在日常开车的过程中,会用到很多的辅助设备,仪表盘,行车记录仪,导航,倒车影像等等,这些设备都各自承载了一部分的功能,但是都存在着如下的问题: l 数据覆盖不完整 l 存在数据孤岛(无法关联协同) l 使用门槛高,不够人性化 核心价值 l 全覆盖,统一协议,支持各类平台。 l 数据关联,统一Schema,关联Metrics/Logs。 l 云原生,SaaS服务,拥抱云原生。 l 简单易用,自动化埋点,数十项易用功能。 智能化,异常诊断,根因分析。
通过此方式创建事件中心,默认创建一个名为 k8s-log-{cluster-id}的 Project。步骤5 单击下一步,完成创建。文档版本:20210616 32 基于日志服务构建业务可观察性系统 架构环境搭建 3.6.2.配置事件采集 您需要在 Kubernetes集群中配置事件采集和 node-problem-detector后才能正常使用 K8s事件中心。阿里云 Kubernetes配置...
Spring Cloud Netflix应用迁移EDAS
场景描述 Spring Cloud Netflix微服务应用迁移到EDAS 服务(SpringCloud Alibaba云版本)的方法, 迁移后充分利用阿里云监控、调用链、限流降级 等能力,优化应用生命周期管理。 解决问题 1.帮助自建SpringCloudNetflix微服务应用 通过简单修改迁移到阿里云企业级分布式 应用服务(EDAS)平台。 2.迁移到EDAS后,简化应用的运维,提升监 控、调用链探测、限流降级等管理能力,提 高对应用的全生命周期管理。 产品列表 企业级分布式应用服务(EDAS) 负载均衡(SLB) 专有网络(VPC) 云服务器(ECS)
5个微服务,分别是:auth-service,account-service,statistics-service,notification-service和 gateway,此外还包括服务监控、服务注册等能力,总 体架构见下图:本最佳实践的目标是:将这个 Spring Cloud的著名 Demo程序迁移到阿里云 EDAS分 文档版本:20200106 7 Spring Cloud Netflix应用迁移 EDAS 搭建线下微服务...
企业办公安全访问一体化
本场景模拟企业办公环境,基于 CSAS 服务构 建企业办公安全一体化方案,将“安全 + 网络” 能力无缝融合,实现了对云下办公终端安全的统 一管理,企业无需在投资复杂且昂贵的传统硬件 安全设备,即可快速构建安全、可靠、低成本的 办公安全防护体系。 1. 企业办公环境访问互联网的安全管理 2. 企业办公环境访问内网服务的安全管理 3. 企业办公网络、安全一体化管理
方案优势 办公安全统一管控,基于SASE安全模型,将安全+网络深度整合,SaaS交付方 案,一个平台即可为企业远程办公及分支/门店上网提供统一的安全管理能力。 毫秒级延迟,无感防护,依托阿里云海量的边缘节点资源,安全能力下沉至用户 边缘部署,互联网访问防护无感接入,远程办公接入可享受网络加速,给您极致 办公...
- 产品推荐
- 这些文档可能帮助您