远程办公-AD管控下的弹性云桌面
在弹性云桌面中部署企业基础办公环境时,IT人员通常会面临以下问题,本文希望通过场景实践的方式,示范如何结合使用不同阿里云产品,来解决这些问题:用户如何管理?企业已有AD用户如何上云?云上共享文件服务权限怎么管?数据安全问题有保障吗?该如何设置?云桌面能使用本地机房或IDC中的服务吗? 本文使用的应用场景: 场景1:客户A在云上新建Windows ActiveDirectory(以下简称AD);弹性云桌面,和NAS文件存储服务部署在AD所在的VPC内。场景2:客户B在阿里云上已有AD和NAS。弹性云桌面创建在与AD不同的VPC中。AD与云桌面的VPC通过CEN连接。场景3:客户C在云下IDC有自建AD和文件服务。弹性云桌面创建在阿里云上。云下机房与阿里云弹性云桌面所在VPC通过IPsec VPN连接。 方案优势: 易部署:弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。 CEN和VPN网关服务开通即用,配置实时生效,快速完成部署。 低成本:弹性云桌面无需前期传统硬件投资,帮您快速构建安全、高性能、低成本的桌面办公体系。可广泛应用于具有高数据安全管控、高性能计算等要求的金融、设计、视频、教育等领域。VPN网关基于Internet建立加密通道,比建立专线更便宜,快速实现混合云。 安全性:VPN网关使用IKE(秘钥交换协议)和IPSec对传输数据或进行加密,保证数据安全可靠。云桌面自带的安全策略保证数据不落地。 集中管控:通过Windows AD对云桌面用户和共享文件服务进行统一权限管控。可实现AD用户自动同步上云,和文件级别的权限管控。
创建上海区域的 IPSec VPN连接 步骤1 通过 https://vpc.console.aliyun.com/vpn/cn-shanghai/vpns 登录上海区域的 VPN网 关控制台,单击创建 VPN网关按钮。客户在使用过程中,带宽规格可先行评估后根据实际情况选择,也可在不足时进行升 配。文档版本:20201210 76 远程办公-AD管控下的弹性云桌面最佳实践 场景 3:云下 IDC...
企业办公安全访问一体化
本场景模拟企业办公环境,基于 CSAS 服务构 建企业办公安全一体化方案,将“安全 + 网络” 能力无缝融合,实现了对云下办公终端安全的统 一管理,企业无需在投资复杂且昂贵的传统硬件 安全设备,即可快速构建安全、可靠、低成本的 办公安全防护体系。 1. 企业办公环境访问互联网的安全管理 2. 企业办公环境访问内网服务的安全管理 3. 企业办公网络、安全一体化管理
互联网网站(URL)访问安全防护 通过在CSAS中配置互联网访问策略,可以识别并拦截员工访问网站的行为,依托阿 里云的威胁情报数据,可为用户提供30+个大类,上千万量级的URL特征库,目前分 类包括成人、不良网站、非法网站、恶意网站、社交、金融、购物、科技咨询、娱乐 等。比如我们要防止办公终端中招,那可以在策略设置...
基于MSE云原生网关实现全链路灰度
在微服务场景中,应用间的调用是随机的。当您部署的Spring Cloud应用或Dubbo应用存在升级版本时,可能会导致无法将具有一定特征的流量路由到应用的目标版本。通过MSE提供的全链路灰度能力,您无需修改业务代码,就可以实现端到端的全链路流量控制。泳道可以将应用的相关版本隔离成一个独立的运行环境。通过设置泳道规则,可以将满足规则的请求流量路由到目标版本的应用。
一键释放资源.36 文档版本:20240429 III基于MSE云原生网关实现全链路灰度最佳实践 最佳实践概述 方案概述 MSE微服务治理为多应用发布提供全链路灰度能力,让客户不修改业务代码的情况 下实现全链路流量控制,端到端构建从网关到多个后端服务的全链路灰度。客户在多 应用同时发布新版本的情况下,支持多个应用进行灰度验证...
MSE云原生网关解析body内容进行路由转发
MSE云原生网关中通过自定义插件transformer解析body内容,并用以路由转发规则判断
方案示意图如下所示:文档版本:20240426 4 MSE云原生网关解析 body内容进行路由转发 最佳实践概述 应用场景 借助 CADT模版搭建 MSE网关以及 SAE实例,并部署测试应用(springbootdemo,测试应用的镜像仓库地址为:registry.cn-shanghai.aliyuncs.com/pdsa- pub/springboot-helloworld:1.0),在 MSE网关上安装自定义插件 ...
IPv4网关实现流量统一出入口
对公网流量出入有严格的限制,禁止ECS直接通过挂载公网IP访问互联网带来安全隐患
IPv4网关实现流量统一出入口 最佳实践 业务架构 场景描述 云服务器 ECS拥有了公网 IP(例如固定公网 IP或 者 EIP),可以直接访问公网,不受 VPC路由表控 制。为了降低 ECS直接访问公网可能带来的安全管 控风险,可以使用 IPv4网关及子网路由能力,对 VPC 中访问公网的行为进行约束,根据需求使得子网具备 访问公网的能力...
基于函数计算FC实现企业级权限精准控制Kafka跨实例消息同步
应用场景 在大数据场景,企业的Kafka实例可能存在多种情况,比如使用阿里云Kafka服务,可能是自建开源Kafka,或者是其他云上的云Kafka。不同的业务使用不同类型的Kafka实例,在这个前提下Kafka实例之间可能会需要消息同步的情况: 同帐号容灾场景:比如Kafka实例都是阿里云Kafka,但是Kafka实例会有主备之分,需要将主Kafka实例的消息实时同步到备Kafka。 跨帐号或异地容灾:这类场景比如主Kafka是阿里云Kafka,备Kafka是IDC开源自建Kafka,或者是其他云上的Kafka。 不同业务之间消息同步:因为现在的业务通常不会是信息孤岛,都需要消息互通,所以可能是A业务的Kafka实例消息需要同步到B业务的Kafka实例,并且这两个Kafka实例归属不同的RAM角色,有自己独自的权限控制。 解决问题 解决使用开源组件做消息同步的高成本问题。 解决使用开源组件做消息同步的并发性能、稳定性问题。 解决使用开源组件做消息同步的可靠性问题(重试机制,容错机制,死信队列等)。 大幅提升构建消息同步架构的效率,降低构建复杂度问题。
VPCPeering图标,单击右上角的跳过部署,状态变 更为部署资源 文档版本:20240330 5基于函数计算FC实现企业级权限精准控制Kafka跨实例消息同步 部署基础环境 图标状态变更如下,跳过步骤5,执行步骤6 步骤5 分别双击画布中带有跳过字样的CDT公网和CDT跨地域图标,分别单击右上角的跳 过部署,状态变更为部署资源。...
MSE网关使用JWT进行认证鉴权
MSE网关中调用外部的认证鉴权服务,通过JWT的方式进行全局认证鉴权。 对网关有认证鉴权安全需求的场景,对于敏感的服务路由(可通过黑白名单方式配置)在网关层进行认证鉴权。
方案示意图如下所示:应用场景 借助 CADT迅速的搭建 MSE网关以及 SAE实例,并部署测试应用(jwt-demo),在 MSE网关上配置对应的测试路由(/login、/biz),并配置 JWT的全局认证鉴权功能,通过 postman进行模拟测试。主要步骤:1.通过 CADT快速完成环境部署 2.通过工具栏生成 JWT所需的公钥、私钥 3.SAE上部署测试应用 jwt...
基于MSE云原生网关同城多活
借助云原生微服务MSE网关,MSE配置注册中心的同城容灾多活微服务应用。构建一个经典的微服务场景,实现同城容灾的步骤,体现云原生相关产品在用户上云,高可用同城容灾多活场景下的能力。
步骤2 在笔记本电脑上准备验证脚本 test.sh,替换下列脚本中红色 ip地址为 MSE云原生网 关入口地址。bin/bash for((i=1;i;i+));do curl http://x.x.x.x/helloDuohuo #ip需要替换成您网关的公网 IP sleep 0.5 echo 文档版本:20240423 35 基于MSE云原生网关同城多活最佳实践 场景验证 done 使用 vi或者其他文本编辑器创建,...
基于函数计算FC实现阿里云Kafka消息内容控制MongoDB DML操作
在大数据ETL场景,将Kafka中的消息流转到其他下游服务是很常见的场景,除了常规的消息流转外,很多场景还需要基于消息体内容做判断,然后决定下游服务做何种操作。 该方案实现了通过Kafka中消息Key的内容来判断应该对MongoDB做增、删、改的哪种DML操作。 当Kafka收到消息后,会自动触发函数计算中的函数,接收到消息,对消息内容做判断,然后再操作MongoDB。用户可以对提供的默认函数代码做修改,来满足更复杂的逻辑。 整体方案通过CADT可以一键拉起依赖的产品,并完成了大多数的配置,用户只需要到函数计算和MongoDB控制台做少量配置即可。
31 文档版本:20240304 基于函数计算 FC 实现阿里云 Kafka 消息内容控制 MongoDB DML 操作 场景验证 ARN 的地址为:acs:fc:{region}:1730431480417716:layers/Python3x-PyMongo4x/versions/1 根据自己使用的阿里云地域,将 {region}部分改为地域 ID(各地域 ID 详见:https://help.aliyun.com/zh/drp/support/region-ids )...
基于SpringCloud应用玩转MSE实践
随着业务不断创新,大型的单个应用和服务会被拆分为数个甚至数十个微服务,微服务架构已经被广泛应用。 微服务的好处在于快速迭代,如何在迭代过程中保障线上流量不受损。依赖开源产品缺少无运维工具,常常需要投入较大的运维人力和成本。 本实践提供基于云原生应用产品提供微服务注册配置中心、微服务治理和云原生网关等一系列高性能和高可用的企业级云服务能力。
基础环境访问验证 通过上一步骤,登录阿里云ACK控制台,查看ACK的pod和外网访问能力 方式1:直接通过Cloudshell 管理集群(模版中已经为APIserver绑定了公网EIP)如下图,可以通过NAT直接访问外网(模版中已经开通了VPC内的NAT网关):操作脚本可gitclone的文件“360-SampleCode.sh”gitclonehttps:/best-practice:Abcd123456@...
容器场景下的应用性能监控、调用链拓扑、内存剖析
场景描述 随着云原生及微服务技术的普及,越来越多的系统已经通过云原生和微服务技术实现企业的降本增效,同时因微服务及云原生的复杂性给系统运维带来非常大的挑战,云原生应用监控arms通过全链路应用监控,从端到端及代码级别的链路下钻能力、CPU、内存持续剖析及诊断能力,帮助客户降低系统故障定位难度,此demo,您将体验arms的链路监控、内存剖析等能力 应用场景 微服务+容器场景下链路调用拓扑,调用链可以显示出服务之间的调用顺序和层次关系,帮助开发人员理解和追踪代码的执行流程 在分布式系统中,一个请求往往需要通过多个服务来完成。当出现问题时,如请求超时、错误或异常,很难快速定位问题所在。 解决问题 调用链可以帮助运维人员解决以下问题: · 故障排查:当请求失败或出现错误时,调用链可以显示整个请求的路径和每个服务的执行情况,从而帮助运维人员快速定位问题所在。 · 性能优化:通过调用链,运维人员可以了解请求在系统中的执行时间和瓶颈所在,从而进行优化。 · 系统监测:调用链可以提供实时的系统监测和分析,帮助运维人员了解系统的健康状况和资源利用情况。
请阅读计费模式后,点击立即开通 文档版本:20240329 25容器场景下的应用性能监控、调用链拓扑、内存剖析 场景验证 点 击 应 用 列 表,切 换 到 新 版 控 制 台 当 看 到 应 用 名 称 后 出 现每秒请求等信息,表明部署成功。以下截图为新版本ARMS控制台 文档版本:20240329 26容器场景下的应用性能监控、调用链拓扑、内存...
ACK容器平台集群安全控制
场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 容器集群API Server的安全访问控 制 容器服务多租户场景下的授权管理 容器中的敏感信息数据的存储 容器服务集群安全策略配置管理 产品列表 容器服务Kubernetes版 负载均衡SLB 专有网络VPC 访问控制RAM
ACK容器平台集群安全控制 最佳实践 部署架构 场景描述 本方案实践主要是通过一些实践示例来介 绍用户对于在阿里云上使用 Kubernetes 集群服务的容器平台安全管控的实践验证 与使用建议。方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 产品列表 容器集群 API Server的安全访问控制 ...
通过云速搭创建具有IPv6地址的ECS
随着国家推进 IPv6 规模部署行动计划的贯彻落实,以及工业互联网、物联网、5G 等前沿技术的快速发展,各行业用户 IPv6 改造诉求愈发强烈。 阿里云 IPv6 在互联网、金融、政企、传媒等各行业,提供了丰富的产品选择和可靠安全的服务体验。本文针对希望部署具有IPv6地址的ECS场景,提供一键部署模版,进行部署和效果验证。 应用场景 l 针对具备IPv6地址的ECS提供可视化架构 l 支持方案的批量部署和效果验证
公网 NAT网关通过自定义 SNAT、DNAT规则可为云上服务器提供对外公网服务、及主动访问公网能力;私网 NAT网关(也即 VPC NAT网关)可使VPC内的ECS实例通过私网地址转换服务,实现 VPC与VPC之间、及VPC与线下IDC互访能力。IPv6网关:IPv6网关是控制专有网络 VPC(Virtual Private Cloud)的 IPv6网络流量 的网关。可以通过创建...
- 产品推荐
- 这些文档可能帮助您