云上日志集中审计
场景描述 云上的各类云产品和客户部署的业务系统会产生各类 日志,企业合规及安全运营等都需要在一个地方能 集中的查看和分析日志;目前各云产品日志大部分 都进了sls,但都是产品独立的project,不方便集中 审计;客户的业务系统日志各种形态都有;多云和混 合云的场景,日志也需要能集中审计。 解决问题 1.所有日志集中到SLS一个中心project下。 2.满足等保合规和内部合规需求。 3.满足运维和安全运营需求。 产品列表 日志服务SLS 专有网络VPC 弹性公网IPEIP 负载均衡SLB 云服务器ECS 云数据库RDS 云防火墙CFW
合规方面:2017年颁布的《网络安全法》中明确要求,“采取监测、记录网络运行状态、网络 安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。2019年实施的《网络安全等级保护 2.0标准》要求,“网络系统操作、重要存储操 作、计算系统操作、安全系统操作需详细记录,审计管理员的操作本身也需要记录 并审计...
传统企业业务上云基础安全防护
场景描述 越来越多的企业客户选择把自己的生产系统部 署在公共云平台上,以满足自身业务的发展及弹 性扩缩容、稳定性等方面的需求。如何在公共云 上构建基本的网络安全、主机安全、入侵检测、 运维审计等方案,是企业首选的最佳实践。 解决问题 1.服务器安全、应用安全 2.网络安全、数据安全 3.安全审计、安全管理 产品列表 云安全中心 Web应用防火墙 云防火墙 SSL证书 数据库审计 堡垒机
避免网站服务器被恶意入侵,保障业务的核心数据安 全,解决因恶意攻击导致的服务器性能异常问题。 SSL证书:在云上签发各品牌数字证书,实现网站HTTPS化,使网站可信,防 劫持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分 发到CDN、负载均衡、OSS等其它云上产品。 云防火墙:集中管理公网IP的...
基于ECI+FaaS构建游戏战斗结算服
在游戏行业的很多SLG游戏作品中,为了防止客户端作弊,在每局战斗之后,在客户端预判玩家胜利的情况下,需要服务端来进行战斗数据的结算,从而确定玩家是不是真正的胜利。战斗结算是强CPU密集型,结算系统每日需要大量的计算力,尤其是开服或者活动期间忽然涌入的大量玩家,导致需要的计算量瞬间几倍增长,同时需要结算系统保持稳定的延时来保证玩家的用户体验。 1. ECI支持500台实例30S弹出,快速解决业务模块扩容压力。FaaS毫秒级伸缩扩容,化解算力瓶颈,平滑解决暴增调用请求。 2. 降低成本:ECI每天弹性运行8小时,与6代同规格包月相比节省成本40%+,FaaS按需付费,即开即用,节省预留资源消耗。 3. 免运维:FaaS和ECI都是全托管免运维的服务,客户专注业务开发即可。 4. 模块公共化:减轻游戏逻辑服的压力,结算需求复用到类似需求的游戏。
案例中的核心游戏模块如下:网关服:负责所有网络数据包的转发,通常是网络负载较集中的点,对于网络吞吐 能力要求较高,通过网关服务器实现玩家请求调度及连接状态监测,并将请求路由 到后面的游戏服,运行于 ACK容器集群中 游戏服:游戏业务逻辑的主要承载服务,CPU主频要求较高,运行于 ACK容器集 群中,底层实例选型为高...
DBS通过IPSec VPN备份自建数据库
场景描述 客户业务系统部署在IDC或者公有云环境,对业 务数据有云上备份需求。在客户交流过程中,基 于数据高可用和灾备需求,要求将数据备份至阿 里云OSS的存储空间,同时备份数据流基于 IPSecVPN/专线进行安全传输。 解决的问题 自建数据库的云上/跨云备份需求 DBS提供了完善的备份机制和API OSS的分层存储机制降低备份集储存成本 基于IPSecVPN/专线进行安全传输。 产品列表 VPC,ECS,DBS,VPN网关,OSS
VPN网关:VPN网关是一款基于 Internet的网络连接服务,通过加密通道的方 式实现企业数据中心、企业办公网络或 Internet终端与阿里云专有网络(VPC)安全可靠的连接。VPN网关提供 IPsec-VPN连接和 SSL-VPN连接。IPSec VPN:基于路由的 IPsec-VPN,不仅可以更方便的配置和维护 VPN策 略,而且还提供了灵活的流量路由方式。您...
自建Hadoop迁移到阿里云EMR
场景描述 场景1:自建Hadoop集群数据(HDFS)迁移到 阿里云EMR集群的HDFS文件系统; 场景2:自建Hadoop集群数据(HDFS)迁移到 计算存储分离架构的阿里云EMR集群,以OSS 和JindoFS作为EMR集群的后端存储。 解决的问题 客户自建Hadoop迁移到阿里云EMR集群的 技术方案; 基于IPSecVPN隧道构建安全和低成本数据 传输链路 产品列表 E-MapReduce,VPC,ECS,OSS,VPN网关。
这种动作(网页浏览,搜索和其他用户的行动)是在现代网 络上的许多社会功能的一个关键因素,这些数据通常是由于吞吐量的要求而通过 处理日志和日志聚合来解决。对于像 Hadoop一样的日志数据和离线分析系统,但又要求实时处理的限制,这是一个可行的解决方案。Kafka 的目的是通过 Hadoop的并行加载机制来统一线上和离线的...
Spark on ECI大数据分析
场景描述 方案优势 1.计算引擎弹性扩缩容,兼顾资源弹性与计 算资源成本优化。 2.计算与存储分离架构,结合阿里云原生云 存储产品,海量数据湖优势。 3.Kubernetes原生的调度性能优势,提升在 大规模分析作业时的分析性能优势分。 4.集群资源隔离和按需分配。 解决问题 1.计算资源弹性能力不足,计算资源成本管 控能力欠缺. 2.集群资源调度能力和隔离能力不足。 3.计算与存储无法分离,大数据量分析时出 现数据存储资源瓶颈。 4.Spark submit方式提交分析作业参数支持 有限等缺点。 产品列表 容器服务Kubernetes版(ACK) 弹性容器实例(ECI) 文件存储HDFS 对象存储OSS 专有网络VPC 容器镜像服务ACR
可以看到 Spark根目录下有 kubernetes子目录,里面主要是 dockerfile以及容器启动脚本。步骤1 增加依赖和修改配置。将前面修改的 core-site.xml文件拷贝到/conf目录,文件存储 HDFS的 SDK拷贝到/jars 目录。步骤2 构建基础镜像。文档版本:20200409 13 Spark on ECI大数据分析 应用开发 1.在本地 Spark安装目录下,执行如下...
微服务应用问题定位及故障演练
场景描述 用户微服务架构应用基于阿里云 ACK 部署, 通 过 ARMS 监控发现微服务应用的容错能力是否 健壮, 容器编排配置是否合理, 以及节点故障引 发的问题等, 方案通过 AHAS 故障注入模拟生 产环境产生的故障, 通过 ARMS 及时发现问题、 定位问题, 并结合 ARMS 的告警功能快速发现 并解决问题。 发现调用下游一个服务实例出现异常。 发现业务 Pod 故障, 验证业务的稳定性。 发现调用数据库延迟故障, 验证 Pod 的水 平扩容能力。 解决问题 1. 定位并解决微服务应用的容错能力。 2. 定位并解决微服务应用编排合理性。 3. 发现故障并验证系统故障的告警时效性。 产品列表 应用高可用服务 AHAS 性能测试 PTS 应用实时监控服务 ARMS 容器服务 kubernetes 版 负载均衡 SLB 专有网络 VPC 日志服务 SLS
文档版本:20220331 68 微服务应用问题定位及故障演练 问题定位及故障模拟 小结:本节主要通过 ARMS发现应用服务响应突然升高,通过 ARMS链路调用链路 可以发现,主要是依赖的应用造成了上游服务响应变慢。为了提供应用的高可用,特 别是防止下游服务拖垮上游服务,我们建议使用 AHAS的流控功能对下级应用进行降 级或隔离。...
全球加速 GA
阿里云全球加速GA(Global Accelerator)是一款覆盖全球的互联网加速服务,实现网络服务全球范围就近接入和跨地域部署。依托阿里云优质的全球网络大幅减少网络延迟、丢包,传输效率提升10+倍。在跨境加速/游戏加速/应用加速等场景中为用户构建一个高性能、高可靠、高安全、易部署的加速网络。
私网连接帮助您在阿里云VPC中通过私有网络安全稳定的访问部署在其它VPC中的服务,大幅简化网络架构,避免公网安全风险.私网连接PrivateLink.某企业Web服务部署在美国地域的阿里云上,主要网络问题:跨国公网不稳定,经常出现延迟/抖动/丢包等问题;后端服务器不稳定,业务存在中断风险。通过使用GA网络加速能力,用户可以...
来自:
云产品
多账号下企业分账
场景描述 财务分账,是根据企业的成本中心,将云上资源的成本划分到给各个项目组/业务部门;助力企业快速梳理云上成本结构,搭建复杂组织架构下的成本关系,便捷地进行财务和云上成本的管理。 大型企业或集团公司,由于组织架构复杂,业务复杂等原因,通常拥有多个阿里云账号来管理规模庞大的云上资源。针对云上资源,如何建立有效的分账方案,是财务关注的重要问题。 解决问题 解决CIO/CTO最关心的云上IT治理,IT成本核算等问题。 弄清楚企业内各部门成本及云上IT成本结构。 让CIO/CTO准确地掌握云上资源成本情况,清楚业务与成本的关系。 让采购/运维轻松搞定每月的IT成本汇报。
大数据资源规划 资源归属 资源类别 配置项 配置明细 说明 分公司 B EMR 集群名称 emr_project1,emr_project2 分别创建 2个集群 集群类型 Hadoop-产品版本 EMR-3.32.0-付费类型 后付费-可用区 华东 1 可用区 H EMR 集群创建在交换机 vswitch-分公司 B下,可 用区无需手工填写 安全组名称 sg-emr1,sg-emr2 为两个集群分别...
EMR集群安全认证和授权管理
场景描述 阿里云EMR服务Kafka和Hadoop安全集群使 用Kerberos进行用户安全认证,通过Apache Ranger服务进行访问授权管理。本最佳实践中以 Apache Web服务器日志为例,演示基于Kafka 和Hadoop的生态组件构建日志大数据仓库,并 介绍在整个数据流程中,如何通过Kerberos和 Ranger进行认证和授权的相关配置。 解决问题 1.创建基于Kerberos的EMR Kafka和 Hadoop集群。 2.EMR服务的Kafka和Hadoop集群中 Kerberos相关配置和使用方法。 3.Ranger中添加Kafka、HDFS、Hive和 Hbase服务和访问策略。 4.Flume中和Kafka、HDFS相关的安全配 置。 产品列表:E-MapReduce、专有网络VPC、云服务器ECS、云数据库RDS版
阿里云 EMR集群的用户认证和访问授权 本最佳实践重点围绕用户认证和访问授权两方面内容,以 Step by Step的方式构建安 全的业务演示环境。更多的安全主题内容,将在后续进行补充和迭代,敬请关注。1.1.认证(Authentication)身份认证是任何计算环境的基本安全要求,简单来说,用户和服务必须先向系统证明 其身份(身份验证...
异地双活场景下的数据双向同步
概述 随着客户业务规模的扩大,对系统高可用性要求越来越高,越来越多用户采用异地双活/多活架构,多活架构往往涉及业务侧做单元化改造,本方案仅模拟用户已做单元化改造后的数据双向同步,数据库采用双主架构,本地写本地读,同时又保证双库的数据一致性,为业务增加可用性和灵活性。 适用场景 数据库双向同步 数据库全局ID不冲突 双活架构的数据库建设问题 技术架构 本实践方案基于如下图所示的技术架构和主要流程编写操作步骤: 方案优势 DTS双向同步,采用独立模块避免数据同步占用系统资源。 奇偶ID涉及,避免数据冲突。 DTS多种处理冲突的方式供业务选择。 安全:原生的多租户系统,以项目进行隔离,所有计算任务在安全沙箱中运行。
最佳实践 业务架构 场景描述 解决的问题 随着客户业务规模的扩大,对系统高可用性要求越 数据库双向同步 来越高,越来越多用户采用异地双活/多活架构,多 数据库全局 ID不冲突 活架构往往涉及业务侧做单元化改造,本方案仅模 双活架构的数据库建设问题 拟用户已做单元化改造后的数据双向同步,数据库 采用双主架构,本地写...
基于ALB的统一流量调度和监控
企业在走向容器化过渡阶段,内部同时存在ECS应用和容器应用的情况,在多域名业务场景下,为了对应用的入方向流量进行统一的调度和监控,可通过ALB快速完成内部应用统一流量的管控。 典型场景 多域名转发到混合应用类型场景。 方案优势 1、 高弹性,高并发 2、 减少SLB+EIP数量 3、 一键WAF透明接入 4、 配置简单易上手 5、 统一流量运营分析
容器服务 Kubernetes 版简化集群的搭建和扩容 等工作,整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳的 Kubernetes 容器化应用运行环境。详见:https://www.aliyun.com/product/kubernetes PTS(Performance Testing Service):是面向所有技术背景人员的云化测试工具。有别于传统工具的繁复,PTS以互联网化的交互...
企业上云数据安全
场景描述 企业是否选择上公共云,或者哪些系统或数据上 公共云,对数据安全的关心是重要因素之一。本 最佳实践重点在于介绍狭义的数据加密存储安 全范畴,即首先使用SDDP产品进行敏感数据发 现和分级分类,然后对高级别敏感数据进行按 需、不同类型的全链路加密存储。 解决问题 1.帮助客户发现敏感数据 2.对敏感数据进行分类、分级 3.对不同级别的数据如何选择加密方式 4.具体如何进行加密 产品列表 敏感数据识别SDDP 密钥管理服务KMS 云数据库RDS 对象存储OSS
本最佳实践属于狭义的数据 安全,主要定位在数据的机密性和完整性方面。从敏感数据发现入手,找到敏感的数据,然后根据场景来确 定使用什么方式进行加密,以及具体的加密操作步骤等。应用范围 本最佳实践适用于客户的研发人员和数据安全运营人员使用,也适合于云架构师做方案讲解后给客户 PoC验证使用。名词解释 VPC:...
云Clickhouse冷热数据分层存储
基于云ClickHouse可以给电商、游戏、互联网以及其他行业提供高性能、高稳定性、低维护成本、高性价比的实时数据分析、精准营销、业务运营、业务分析、业务预警、业务营销、数仓加速等场景化方案,本实践会向客户提供数据库低维护成本、数据库链路构建、冷热分层存储、快熟分析等操作实践。 解决问题 1. 维护成本低不用建设维护体系,稳定性高,数据倾斜自动均衡。 2. 完善的数据同步链路,可以平滑将业务库、大数据、日志服务的数据同步到Clickhouse,降低研发成本。 3. 平滑升级版本,业务中断小。 冷热分层后透明读取,帮客户节约整体数据存储成本。
专有网络(VPC)是完全隔离的网络环境,可以提升应用服务器和数据库 服务器的网络安全。操作须知 在创建云数据库前,您需要先创建 VPC网络,并指定网段。背景信息 在采购 ECS、云 Clickhouse的时候需要制定 VPC网络,所以需要提前创建。操作步骤 步骤1 登录阿里云 VPC控制台。步骤2 切换所选地域,单击创建专有网络。文档...
- 产品推荐
- 这些文档可能帮助您