-
前提条件 已获得需要访问互联网的桌面所在区域、项目、使用的VPC和子网信息。 管理员已具有NAT服务和EIP服务的操作权限。 自主注册的华为账号默认拥有华为云所有服务的操作权限,如果您使用的是此类账号,无需再进行确认。 华为账号下新建的
IAM 账号,需要加入“admin”内置用户组,或者拥有NAT服务和EIP服务操作权限的用户组,才可使用NAT服务和EIP服务。可进入“
统一身份认证 服务”中查看是否属于“admin”内置用户组。如果非“admin”内置用户组,请参见NAT服务授权、EIP服务授权赋予IAM账号使用NAT服务和EIP服务的权限。
-
操作场景 管理员购买
云桌面 后,云桌面默认在VPC子网内,此时云桌面无法访问互联网。管理员需要通过配置NAT网关共享弹性公网IP的方式,使云桌面能够访问互联网。可通过云桌面中的快捷入口开通互联网,也可以自行进入NAT、EIP控制台中购买对应服务。 此章节介绍如何进入NAT、EIP页面购买对应服务,使云桌面能够访问互联网。管理员也可以参考配置云桌面可访问互联网节通过云桌面提供的购买NAT和EIP快捷入口的方式开通互联网。
-
操作场景 根据实际业务的需要,用户可以通过CloudPond内部的本地网关打通小站和本地系统之间的网络,达到内部网络互访的效果。 您首先需要为本地网关路由表关联VPC,然后为其添加到本地网络的路由信息。配置完成后,通过测试边缘可用区的弹性云服务器和用户本地系统中的服务器之间的网络是否连通,来验证CloudPond和用户本地系统之间的网络连通性。 请参考概述了解CloudPond网络连接的总体数据规划,此外,您可以参考组网方案和要求全面详细了解CloudPond的网络连接要求。
-
验证CloudPond和用户本地系统之间的网络连通性 以windows弹性云服务器为例进行说明: 在CloudPond边缘可用区新建一台弹性
云服务器ECS 03(加入VPC01,选择子网网段10.0.3.0/24)。 参数“可用区”选择“边缘可用区”,其余操作和在华为云区域通用可用区的方法完全一致。 方法请参见自定义购买弹性云服务器。 将E
CS 03所在的安全组放通“入方向”的“ICMP”规则,出方向默认全部放通。详见安全组配置规则。 服务器列表页面查询到ECS03,从“IP地址”列获取并记录其私有IP地址(如10.0.3.110)。 登录本地系统服务器Server01,执行到弹性云服务器ECS03的ping命令,验证Server01和ECS03的网络连通性。 ping 10.0.3.110 检查ping命令返回结果,可以ping通表示网络可连通。如果ping不通请排查原因并联系华为云运维团队处理。
-
验证通用可用区和用户本地系统之间的网络连通性 当配置了通用可用区和用户本地系统之间的路由信息时,即在表1中的“目的地址”参数填写为虚拟私有云的大网段,或者又单独新增了对应子网网段的路由信息,您可以在本地系统通过VPC内网访问通用可用区的云服务。 以windows弹性云服务器为例进行说明: 在CloudPond通用可用区新建一台弹性云服务器ECS01(加入VPC01,选择子网网段10.0.0.0/16)。 参数“可用区”选择“通用可用区”。 方法请参见自定义购买弹性云服务器。 将ECS01所在的安全组放通“入方向”的“ICMP”规则,出方向默认全部放通。详见安全组配置规则。 在弹性云服务器列表页面查询到ECS01,从“IP地址”列获取并记录其私有IP地址(如10.0.1.110)。 登录本地系统服务器Server01,执行到弹性云服务器ECS01的ping命令,验证Server01和ECS01的网络连通性。 ping 10.0.1.110 检查ping命令返回结果,可以ping通表示网络可连通。如果ping不通请排查原因并联系华为云运维团队处理。
-
最佳实践汇总 本文汇总了内容分发网络(CDN)服务的常见应用场景,并为每个场景提供详细的方案描述和操作指南,以帮助您使用
CDN加速 网站。 表1 CDN最佳实践 分类 相关文档 网站接入CDN加速 CDN加速访问OBS桶文件 CDN加速访问基于ECS搭建的网站 CDN加速访问WAF防护资源 CDN加速云速建站CloudSite 提高缓存命中率 如何设置缓存过期时间 如何提高缓存命中率
日志分析 和转存 使用
函数工作流 服务实现CDN日志转存到OBS 通过日志分析恶意访问地址 定时刷新缓存 使用函数工作流服务实现定时刷新缓存功能 安全相关 防范恶意流量盗刷 其他 客户端访问加速
域名 经过Nginx转发时,如何定期刷新DNS解析
-
解决方案 如果想要定期刷新域名DNS解析,不用重启Nginx服务器,可以通过在Nginx上配置Resolver实现。 示例一: Nginx服务器原“nginx.conf”配置: location /prod-url-test/ {
...
proxy_pass http://$proxy_url;
} 添加resolver后的配置:*.*.*.*为设备网络使用的公共DNS或本地DNS,可根据业务情况配置两个DNS,valid为解析结果有效期。 location /prod-url-test/ {
resolver *.*.*.* *.*.*.* valid=300s;
resolver_timeout 10s;
set $proxy_url "prod-url-test.example.com";
proxy_pass http://$proxy_url;
} 示例二: Nginx服务器原“nginx.conf”配置: location = /test/example1.txt{
expires 30s;
rewrite ^/test/example2.txt break;
proxy_pass https://test.example.com;
} 添加resolver配置:*.*.*.*为设备网络使用的公共DNS或本地DNS,可根据业务情况配置两个DNS,valid为解析结果有效期。 set $var_host "test.example.com";
resolver *.*.*.* *.*.*.* valid=300s;
resolver_timeout 10s;
location = /test/example1.txt{
expires 30s;
rewrite ^/test/example2.txtbreak;
proxy_pass https://$var_host;
proxy_set_header Host test.example.com;
}
-
适用场景 如果您的加速域名遭受攻击,想要加固安全防护配置,比如配置防盗链、IP黑白名单等,您可以通过分析攻击时段对应的日志实现。 CDN日志包含了终端用户访问的信息,日志内容示例如下: [05/Feb/2018:07:54:52 +0800] x.x.x.x 1 "-" "HTTP/1.1" "GET" "www.test.com" "/test/1234.apk" 206 720 HIT "Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML,like Gecko) Mobile Safari/533.1" "bytes=-256" x.x.x.x 各字段从左到右含义如表1所示。 表1 CDN日志字段说明 序号 字段含义 字段示例 1 日志生成时间 [05/Feb/2018:07:54:52 +0800] 2 访问IP地址 x.x.x.x 3 响应时间(单位ms) 1 4 Referer信息 - 5 HTTP协议标识 HTTP/1.1 6 HTTP请求方式 GET 7 CDN加速域名 www.test.com 8 请求路径 /test/1234.apk 9 HTTP状态码 206 10 返回字节数大小 720 11 缓存命中状态 HIT 12 User-Agent信息,其作用是让服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本信息等。 Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML,like Gecko) Mobile Safari/533.1 13 Range信息,其作用是在HTTP请求头中指定返回数据的范围,即第一个字节的位置和最后一个字节的位置。 bytes参数值表示方法一般分为如下三类: bytes=x-y:表示请求第x个字节到第y个字节的数据内容。 bytes=-y:表示请求最后y个字节的数据内容。 bytes=x-:表示请求第x字节到最后一个字节的数据内容。 bytes=-256 14 服务端IP:CDN服务端响应IP。 x.x.x.x
-
代码示例 使用代码示例时请根据需要调整刷新类型(type)及需要刷新的URL(urls)。 # -*- coding:utf-8 -*-
import json
import requests
def handler (event, context):
header = {"x-auth-token":context.getToken(),'content-type':'application/json;charset=utf-8'}
data = {
"refresh_task":{
"type":"file",
"urls":["https://example.com/1.txt"]
}
}
url = 'https://cdn.myhuaweicloud.com/v1.0/cdn/content/refresh-tasks'
result = requests.post(url=url,headers=header,data=json.dumps(data))
context.getLogger().info(result.text)
return {
'statusCode': 200,
'body': result.text,
'isBase64Encoded': False,
'headers': {
'Content-Type': 'application/json'
}
}
-
方案概述 云速建站服务(Cloud Site Service)是华为云提供的一款模板建站服务。具有操作简单,任意布局,一次编辑,多设备适应等特点。提供PC、 手机、 微信公众号、小程序、 APP五站合一的模板建站产品,无需代码,自由拖拽,快速生成中小企业网站及网店、微信网店等。 您可以通过CDN加速您的站点,提高用户访问网站的响应速度与网站的可用性,解决网络带宽小和客户访问量大等问题。本文介绍如何在CDN控制台添加域名,加速站点。 目前企业版(多终端独立企业版)站点已支持通过CloudSite控制台配置CDN加速,详情请见配置站点加速。
-
解决问题 通过对攻击行为的分析,可提取相应的攻击IP/Referer/UA,CDN提供的基础访问控制功能可以实现相应的防护。 配置防盗链拒绝带有恶意Referer请求:攻击者会伪造请求头中的Referer字段,试图假冒合法引用来源。可以配置Referer黑白名单,允许合法的Referer请求,拒绝未经授权的第三方网站链接到资源。 配置IP黑名单限制可以IP访问:筛选出可以IP地址,将这些IP地址列入黑名单。 配置UA黑名单过滤可疑User-Agent:攻击者会伪造User-Agent字段发送大量请求,试图绕过安全检查,可能包含空值或随机字段。可以通过配置相关UA黑白名单,限制空UA访问。 开通边缘安全防护:开通边缘安全服务,边缘安全(Edge Security,EdgeSec)是华为云基于CDN边缘节点提供的安全防护服务,包括:边缘DDoS防护、CC防护、WAF防护、BOT行为分析等功能,可根据业务情况配置相关安全规则,实现加速域名的全方位防护。
-
后续防护 配置
CES 监控:开启CES监控上报功能,将重要指标上报并设置告警,监控指标数据超过告警阈值时,会发出告警,方便您实时了解业务情况,及时规避风险。详细配置流程请参考CES监控上报。 CES监控功能CDN侧不收费,如果您在CES侧设置了告警,发送告警通知时
消息通知 服务(
SMN )会收取相应的费用,SMN服务的价格详见这里。 配置可用额度预警:配置可用额度预警功能,当账户可用额度低于一定金额时,系统会发送短信提醒。 为了确保统计数据的完整性和账单的准确性,CDN产品账单生成时间会存在延时,详见基础服务计费方式。因此实际计费时间晚于对应的CDN资源消耗时间,无法通过账单来实时反馈资源消费情况,这是由于CDN产品自身的分布式节点特性导致,也是业界通用的处理方法。 配置IP访问限频:配置IP访问限频功能,通过限制单IP的单URL每秒访问单个节点的次数(QPS),实现CC攻击防御及恶意盗刷防护,降低高额账单风险。 配置突发带宽告警:配置突发带宽告警,当客户端请求带宽达到配置的阈值时发出告警信息,方便及时发现异常攻击,有效预防流量盗刷或恶意攻击带来的高额账单。
-
发生盗刷后及时止损 如果您的域名已经被恶意攻击或盗刷流量,您可以配置用量封顶和请求限速,防止损失进一步扩大,然后分析攻击行为,配置相关防护策略。 配置用量封顶:配置域名最大使用带宽/流量,当用量达到配置的阈值时,CDN将停用域名,有效预防流量盗刷或恶意攻击带来的高额账单。详细配置请参考用量封顶。 图1 添加用量封顶 配置请求限速:配置用户请求限速,对用户访问到CDN节点的请求进行下行速率限速,控制总请求带宽,一定程度上减少突发高带宽风险。详细配置请参考请求限速。 图2 请求限速配置
-
分析攻击行为 域名被攻击后,可以通过以下步骤分析攻击时间和攻击者的信息,以便加固安全防护配置。 确定攻击时间范围:通过查看账单分析攻击的具体时间,根据需要选择统计周期和维度,分析高额账单发生时段,账单导出方式详见费用账单。 分析离线日志:通过查看对应时段的离线访问日志,分析HTTP请求信息,识别异常IP地址、防盗链等信息,以便针对性设置防护规则。详细信息请参考通过日志分析恶意访问地址。 分析实时日志:如果在发生攻击行为之前,域名已经接入实时日志,可以通过实时日志分析更多客户端信息,如X-Forwarded-For字段、请求时间等。 可通过LTS为CDN定制的仪表盘分析日志信息,详见CDN仪表盘模板。 也可以登录LTS服务控制台,选择华北-北京四region,在“日志管理”页面单击对应的日志组或日志流名称,分析该日志组中相关日志详情。 如需使用实时日志功能,可参考实时日志将域名的实时日志上报至LTS。 开通实时日志后,CDN节点实时日志推送暂不收费(后续是否会收费请关注产品动态),基础存储与分析相关费用由
云日志 服务(LTS)收。 查看运营报表:CDN支持定制热门URL、热门Referer和热门UA报表,如果在发生攻击前被攻击的域名已经定制了运营报表,可以下载攻击时段的报表分析相关信息,详见运营报表。 实时日志和运营报表均需要提前配置,如果因攻击产生高额账单时未配置这两项功能,只能通过离线日志分析历史数据。
-
- 描述:减 示例: 1
2
3
4
5
6
7
8
9
10 SELECT inet '192.168.1.43' - 36 AS RESULT;
result
-------------
192.168.1.7
(1 row)
SELECT inet '192.168.1.43' - inet '192.168.1.19' AS RESULT;
result
--------
24
(1 row)
