YATAS是一款针对AWS基础设施安全的强大工具,该工具可以帮助广大研究人员分析和审查AWS基础设施中的错误配置或与插件集成相关的潜在安全问题。
关注腾讯云大学,了解行业最新技术动态 引言 企业“上云”过程中,会遇到哪些网络安全问题?云原生环境中,有怎样一款产品可以集成流量检测、威胁情报、漏洞补丁、访问控制等安全能力,为用户的云上业务和资产保驾护航? 本次课程我们邀请到腾讯安全云防火墙产品负责人 周荃,为大家介绍腾讯安全云防火墙的核心能力与用户价值,并提供基于云防火墙构建云原生安全体系的最佳实践。 讲师简介 毕业于复旦大学计算机工程专业,研究方向为网络与信息安全,加入腾讯后负责云防火墙产品设计与研发,从零到一搭建云原生环境下防火墙能力框架,为
NAT 网关(NAT Gateway 简称NAT)是一种支持 IP 地址转换服务,提供 SNAT 和 DNAT 能力,为私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务。适用于云上主动访问公网及对外提供公务服务能力等场景。
修改手机号码:https://cloud.tencent.com/document/product/378/43092
7月29日-30日,由中国信息通信研究院、中国通信标准化协会主办的“2020可信云大会”在线上召开。作为我国云计算领域信任体系唯一的权威评估,本届大会以“数字新基建,可信新生态”为主题,致力于发挥可信云平台作用,促进云原生、云网融合、云边协同等核心技术的不断创新,推动云计算产业健康发展。
本文翻译自 2020 年的一篇英文文章 DO I REALLY NEED A VPC?[1]。 由于译者水平有限,本文不免存在遗漏或错误之处。如有疑问,请查阅原文。 以下是译文。 从安全的角度来说,V
通过 eksctl 创建集群,默认情况下会创建一个专门的 VPC 以及相关的资源,看起来较为复杂,所以有必要了解一下默认的 VPC ,然后才能更好的实现更个性化的配置。
Prometheus 是一个开源的监控解决方案,部署简单易使用,难点在于如何设计符合特定需求的 Metrics 去全面高效地反映系统实时状态,以助力故障问题的发现与定位。本文即基于最佳实践的 Metrics 设计方法,结合具体的场景实例——TKE 的网络组件 IPAMD 的内部监控,以个人实践经验谈一谈如何设计和实现适合的、能够更好反映系统实时状态的监控指标(Metrics)。该篇内容适于 Prometheus 或相关监控系统的初学者(可无任何基础了解),以及近期有 Prometheus 监控方案搭建和维护需求的系统开发管理者。通过这篇文章,可以加深对 Prometheus Metrics 的理解,并能针对实际的监控场景提出更好的指标(Metrics)设计。
“腾讯云IaC最佳实践”系列文章希望通过介绍Terraform、Chef和Ansible等生态产品工具及相关案例,使用户能够更好地在腾讯云上实践IaC,为腾讯云用户提供增值服务。本文是“腾讯云IaC最佳实践”系列文章的第1篇。
在Elasticsearch的多个使用场景中都可能会涉及到跨可用区,甚至是跨地域的数据搬移。比如说,用于生产业务的数据库加速/全文检索/多维检索场景,需要做同城,或者是两地三中心的容灾,需要在跨机房,甚至是跨地域的做主备同步。又或者是大型企业的全观测性解决方案、安全SOC解决方案等,在多个地域均有IT基础设施或者企业IT资产,不仅需要将汇总数据集中在统一的运营中心进行监控与分析,并且需要将分散于各地的日志,指标,追踪,遥测,拨测等多个维度的数据集中一起,做统一的数据管理,加快故障地位和根因分析的过程,也需要跨地域的数据集成。
稳定性保障是个复杂的话题,需要有效、可迭代、可持续保障集群的稳定性,系统性的方法或许可以解决该问题。
DisruptOps Inc.成立于2014年,位于密苏里州堪萨斯城,该公司致力于通过为多云基础设施提供自动化的防护来提升云操作的安全性,实现对云基础设施的持续检测和控制。2018年10月,公司获得了由Rally Ventures领投的250万美元的种子轮融资。
随着全球互联网络技术不断革新,全球云厂商地域互联需求增加,越来越多企业急需解决云端多地域内网互联,低时延,高通信等需求,腾讯云依据大量用户需求,推出【云联网】3.0产品。以下实践主要是利用腾讯云-云联网产品,打通全球VPC环境,实现内网互通,全球互联的实践技术文档。
来源:专知本文为书籍介绍,建议阅读5分钟当您面临任何云安全问题时,您将需要一本AWS安全服务指南。 当您面临任何云安全问题时,您将需要一本AWS安全服务指南。因为它是围绕最重要的安全任务组织的,所以您可以很快找到数据保护、审计、事件响应等方面的最佳实践。在此过程中,您将探索几个不安全的应用程序,分析用于攻击它们的漏洞,并学习如何自信地做出反应。 本书共分为11章。它从核心服务中的最佳实践开始,然后转移到更一般的主题,如威胁检测和事件响应。最后,本文将使用从本书中学到的技能来演示一个示例应用程序: 第一章讨
私有网络(Virtual Private Cloud,VPC)是基于腾讯云构建的专属云上网络空间,为腾讯云上的资源提供网络服务,不同私有网络间完全逻辑隔离。作为在云上的专属网络空间,可以通过软件定义网络的方式管理私有网络 VPC,实现 IP 地址、子网、路由表、网络 ACL 、流日志等功能的配置管理。
预备知识 1. K8S 上 Service 类型 平台相关基础知识 2. TKE 上四层网络流量暴露方式 3. TKE 上七层网络流量暴露方式 4. TKE 上的 VPC-CNI 5. TKE 上 CLB 直通 Pod 6. TKE 使用已有负载均衡器 7. TKE 使用内网负载均衡器 8. TKE 部署 Nginx Ingress 实际业务场景中最佳实践 1. 对集群内暴露流量 1.1 四层协议 1.2 七层协议 2. 对集群外暴露流量 2.1 七层协议 2.2 四层协议 2.3 端口段规则 2.4 使用Istio
摘要:本文以云架构大课十八式为主题,详细介绍了现代云计算技术的核心概念、关键技术和最佳实践。通过阅读本文,读者将能够全面了解云计算的基本原理,掌握构建、部署和管理云架构的方法,为企业的数字化转型提供有力支持。
最近订阅学习了《深入浅出云计算》专栏,一口气学完之后,做了一些总结笔记形成此文,特分享与你,希望对你有所帮助!本文为上半部分,主要总结了IaaS篇的核心要点。
随着云上应用不断扩展,越来越多的客户采用云联网和VPN双线冗余方式实现混合云业务双向通信,以下详细介绍如何实现:
轻量应用服务器默认情况下内网不与云服务器 CVM、云数据库等其他处于私有网络 VPC 中的腾讯云资源内网互通,需通过关联云联网实现。该功能主要适用于以下业务场景:
作者 | 朱瑜坚 腾讯云后台开发工程师 Prometheus 是一个开源的监控解决方案,部署简单易使用,难点在于如何设计符合特定需求的 Metrics 去全面高效地反映系统实时状态,以助力故障问题的发现与定位。本文即基于最佳实践的 Metrics 设计方法,结合具体的场景实例——TKE 的网络组件 IPAMD 的内部监控,以个人实践经验谈一谈如何设计和实现适合的、能够更好反映系统实时状态的监控指标(Metrics)。该篇内容适于 Prometheus 或相关监控系统的初学者(可无任何基础了解),以及近期
负载均衡(CLB)支持通过云联网,跨地域绑定云服务器,允许客户选取多个后端云服务器的地域,跨 VPC、跨地域绑定后端云服务器,(支持IDC线下IP)。 目前该功能处于内测阶段,如果您需要体验该功能,境内跨地域绑定请通过 内测申请,境外跨地域绑定请进行 商务申请。 特别说明: 跨地域互联绑定云服务器暂不支持传统型负载均衡 该功能仅标准账户类型支持。若您无法确定账户类型,请参见 判断账户类型。 跨地域绑定2.0和混合云部署,不支持 安全组默认放通,请在后端服务器上放通 Client IP 和服务端口。 跨地域互
腾讯云提供了全球多个Region以及AZ,本文档主要介绍腾讯云各产品的跨可用迁移能力,客户如有业务跨可用区迁移的需求,可结合自身业务场景,自主查看、选择对应的产品迁移文档,快速编写出合理的迁移方案,希望能够帮助到大家。遗漏之处在所难免,有不当的地方欢迎大家留言或者联系笔者进行修改。
虚拟私有云使用限制如表1所示。以上配额说明针对单租户情况。一个网络ACL单方向拥有的规则数量最好不超过20条,否则可能引起网络ACL性能下降。二层网关连接在公测期间默认只能创建1个二层连接网关。默认情况下,一个用户可以创建100个安全组。默认情况下,一个安全组最多只允许拥有50条安全组规则。默认情况下,一个云服务器或扩展网卡建议选择安全组
jokey,腾讯云容器产品工程师,热衷于云原生领域。目前主要负责腾讯云TKE 的售中、售后的技术支持,根据客户需求输出合理技术方案与最佳实践。 适用范围:腾讯云容器服务(Tencent Kubernetes Engine ,TKE), 以下简称 TKE。 为什么需要获取客户端真实源 IP? 当需要能感知到服务请求来源去满足一些业务需求时,就需要后端服务能准确获取到请求客户端的真实源 IP, 比如以下场景: 对服务请求的来源有做审计的需求,如异地登陆告警。 针对安全攻击或安全事件溯源需求,如 APT 攻击、
一直以来,公有云安全是横亘在广大用户面前的一道鸿沟。云安全(Cloud Security)是指用于控制云计算的安全性、合规性和其他使用风险的过程、机制和服务。公有云提供商们都强调安全是其最高优先级工作,动辄就发布上百页的云上安全最佳实践白皮书,举办几百几千人安全大会,发布几十甚至上百个安全服务。但与此同时,用户们对云上安全的担心一直挥之不去。在福布斯(Forbes)2019年的一份报告中,66%的IT从业人员认为安全是他们使用公有云服务最大的担心。Gartner预测到2020年,至少50%的企业用户会在不知情或误操作地将一些IAAS存储服务、网络、应用或API直接暴露到互联网上,而到2023年,至少99%的云上安全问题都是用户的错误引起的。
在云的时代,伴随更多企业客户转向公有云,基于云原生的防火墙技术逐步取代传统防火墙,成为守护企业云端安全的关键基础设施。近日,腾讯安全战略级新品——SaaS化云防火墙宣布正式升级到V1.6.0版本,在原有互联网边界防火墙、VPC间防火墙基础上,新增NAT边界防火墙,三道墙统一防护,精细化管控企业内外部流量,并结合安全策略和防御能力升级,为企业用户带来安全性更高、运行效率更好、可拓展性更强的云端安全防护。
roc,腾讯工程师,负责腾讯云TKE的售中、售后的技术支持,根据客户需求输出合理技术方案与最佳实践,为客户业务保驾护航。 什么是 LB 直通 Pod Kubernetes 官方提供了 NodePort 类型的 Service,即给所有节点开一个相同端口用于暴露这个 Service,大多云上 LoadBalancer 类型 Service 的传统实现也都基于 NodePort,即 LB 后端绑各节点的 NodePort,LB 接收外界流量,转发到其中一个节点的 NodePort 上,再通过 Kubern
本文主要理解的一个核心点,什么是Pod?我们先不关注Pod怎么使用,怎么调度,如何实现最佳实践。这些问题后续继续讨论,在不懂为什么k8s要有Pod的情况下,去先深究最佳实践没有实际意义。
由 StreamNative 主办的 Pulsar Meetup Beijing 2023 在2023年10月14日完美落幕,本次活动大咖云集,来自腾讯、滴滴、华为、智联招聘、RisingWave 和 StreamNative 的行业专家们一起,深入探讨 Pulsar 在生产环境中的最佳应用实践,共享 Pulsar 社区的最新发展和动态。
作者陈鹏,腾讯工程师,负责腾讯云 TKE 的售中、售后的技术支持,根据客户需求输出合理技术方案与最佳实践,为客户业务保驾护航。
“产品使用攻略”、“上云技术实践” 有奖征集啦~ 图片案例名称案例简介使用流计算 Oceanus 和 ES 构建日志分析系统介绍从 mysql 数据库采集数据到流计算服务 Oceanus 进行分析,最后输出到 ElasticSearch 服务的实践。可作为日志搜索场景解决方案使用。使用 MySQL 关联 HBase 维表数据到 ClickHouse介绍结合 MySQL 数据库、流计算 Oceanus、HBase 以及云数据仓库 ClickHouse 来构建实时数仓,并通过流计算 Oceanus 读取 MyS
基于Oracle RAC架构迁移上云场景,本文主要讲解Oracle RAC在腾讯云上如何搭建集群,主要分为以下部分来阐述:
实施强大的身份验证和访问控制机制,例如使用多因素身份验证、基于角色的访问控制(RBAC)和细粒度的权限管理。确保只有授权的用户和服务可以访问和操作资源。
引言 在使用 COS 的过程中,你一定遇到过这些问题:如何限制用户访问 ip ?如何限制上传文件大小?如何只允许使用了 https 协议的请求通过?如何只允许列出指定目录下的对象? 以上这些问题,通通可以使用一把最强武器全面解决! Policy Condition ——在设置权限策略时指定生效条件,限制用户请求只有在指定条件下才能通过。COS 目前已支持11个条件键,是国内目前支持条件键数量最多、最丰富的对象存储产品。未来,我们还会继续增加对更多条件键的支持,打造国产最强权限管理。 背景知识:什么是 Pol
12 月 20 日的 Techo 大会上,腾讯云重磅发布了自研云原生数据库 TDSQL-C Serverless (原 CynosDB Serverless),这是国内首款计算和存储全 Serverless 架构的云原生 MySQL, TDSQL-C Serverless能够让企业用户像使用水、电、煤一样使用云数据库,用户不需为数据库的闲时进行付费,而是按照数据库资源响应单元实际使用量进行计费,将腾讯云云原生技术普惠用户。 作为 Serverless 生态中的重要一环,TDSQL-C Serverless
VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。使用弹性文件服务时,文件系统和云服务器归属于同一VPC下才能文件共享。VPC可以通过网络ACL进行访问控制。网络ACL是对一个或多个子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。
在使用 COS 的过程中,你一定遇到过这些问题:如何限制用户访问 ip ?如何限制上传文件大小?如何只允许使用了 https 协议的请求通过?如何只允许列出指定目录下的对象?
随着微服务的设计模式得到越来越多开发者的实践,容器和微服务已经在生产环境中开始了规模化的部署。在这一过程中,也面临着越来越多的挑战。比如说,很多的微服务之间是相互依赖的,我们需要有更多的手段和方式来进行微服务的计划,扩展和资源管理,另外微服务之间的隔离更少,它们通常会共享内核或者网络,也对安全性提出了更高的要求。
安全组是一种有状态的包过滤功能虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。
当前GTS学苑,TCS、TBDS、TSF、TDSQL以及TBASE等腾讯云自研产品的培训都需要学员自带环境,在培训过程中使用学员自己的环境进行实操演练。每个产品的培训环境对CVM的数量以及配置都有不同要求。一套产品培训的实操环境少则4台,多则接近20台,而且CVM的配置有差异。学员在环境准备的时候如果使用人工购买的方式,就需要花费较多时间进行环境的准备工作,效率低且繁琐。本文将基于GTS学苑当前环境使用情况,介绍自动化创建CVM的功能,并附录主要的培训产品相关创建机器的代码,供学员自行下载并运行。
【技思广益 · 腾讯技术人原创集】是腾讯云开发者社区为腾讯技术人与广泛开发者打造的分享交流窗口。栏目邀约腾讯技术人分享原创的技术积淀,与广泛开发者互启迪共成长。
作为一个严谨的、有着职业操守的安全从业人员,首先我要摸着良心说:技术没有好坏,评价一个技术,我们主要看它能否在某些场景下很好的解决特定问题。而基于我们多年来的运维经验及实际的客户走访,基于VLAN/VPC的内部隔离方式基本上已经不再适用于解决虚拟数据中心/私有云(包括含有私有云的混合云)环境下的东西向隔离问题。
我认为我们当前所认知的 DevOps 即将走到尽头。至少,其中的 Ops 会如此。随着云基础设施成为应用程序关注的重点,越来越多的 ops 任务由云本身完成或内置于应用程序中。剩下的就是供应和管理应用程序所需的基础设施。这关系到所有的相关附属内容,例如安全性和网络。
前言 日常开发中,开发者通常会有应用多环境部署的需求,一般会在如下场景中出现: 研发流程:企业为了保障服务的稳定性,会在研发流程上要求遵守这样的工作流:测试环境 → 预发环境 → 生产环境。应用需要部署到多个环境中,由各环境的人员进行相关的测试验证工作:研发在测试环境中开发、调试应用,测试同学在预发环境中验收待发布的版本,SRE(网站可靠性工程师) 在生产环境管理应用等等。 稳定性保障:为了保障应用服务的稳定性,架构师通常在构建高可用解决方案时,做一些冗余部署,方便故障出现时,快速切到备用的服务,
本篇文章来自《华为云云原生王者之路训练营》钻石系列课程第7课,由华为云容器基础设施团队主任工程师Jimmy主讲,深入讲解Ingress和容器网络CNI在Kubernetes实现方法。
尽管我们的企业使用了一系列的AWS工具,我们还是希望能进一步提升数据的安全措施。那么,在AWS中,有哪些可用的工具来确保数据和资源的安全性呢? AWS拥有一系列的安全服务,包括身份识别和访问管理、虚拟私有云(VPC),以及大量的加密选项和审计工具。然而,特定行业的云客户,如金融、健康事业,他们大部分希望寻求第三方工具来确保公有云资源 的安全,或提升信息安全控制。下面有一些值得考虑的选项。 Alert Logic为AWS用户提供了大量的服务,包括威胁管理产品——它提供了漏洞扫描和网络入侵检测服务。该产品通过分
容器作为实现云原生的核心技术,凭借其轻量化、便捷性、高弹性的特点成为释放了云计算效能红利的重要技术之一。但容器作为新的防护对象,也面临着诸多安全风险。要确保容器安全,不仅要保护容器构建、分发和执行过程中涉及的组件堆栈,而且要涵盖容器开发、分发、执行、入侵检测和事件响应等不同阶段。基于此,青藤云安全总结得出了适用于 DevOps 工作流程的 14 个容器安全最佳实践。
作者刘飞鸿,腾讯游戏高级工程师,热衷于开源、云计算相关技术。目前主要负责腾讯游戏后台架构设计和运维工作。 预备知识 1. K8S 上 Service 类型 ClusterIP 通过集群的内部 IP 暴露服务,选择该值,服务只能够在集群内部可以访问,这也是默认的 ServiceType。 NodePort 通过每个 Node 上的 IP 和静态端口(NodePort)暴露服务。NodePort 服务会路由到 ClusterIP 服务,这个 ClusterIP 服务会自动创建。通过请求:,可以从集群的外部访问
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
