更新时间:2024-04-25 GMT+08:00
分享

方案概述

应用场景

该解决方案基于华为云函数工作流 FunctionGraph无服务器架构,将云服务(如:弹性云服务器 ECS、对象存储服务 OBS、统一身份认证服务 IAM等)产生的事件发送到事件网格 EG中,事件网格对事件进行校验、过滤、路由和转化,然后推送给已经订阅事件的函数。在函数中执行业务处理逻辑,并将关键的事件信息通过消息通知服务 SMN推送给运维人员。从而对云服务的访问和操作行为进行审计,防止恶意行为,保障云服务和数据的安全。

方案架构

该解决方案基于华为云事件网格 EG、函数工作流 FunctionGraph及消息通知服务 SMN,帮助用户快速构建运维审计环境。解决方案架构图如下:

图1 方案架构图

该解决方案会部署如下资源:

  • 在事件网格 EG中创建两个事件订阅,用于将事件源(弹性云服务器 ECS、统一身份认证服务 IAM)、事件通道和事件目标绑定在一起,通过事件规则将事件源发出的事件路由到事件目标。
  • 创建一个或多个对象存储服务 OBS触发器,用于由指定的桶内对象触发函数。
  • 在函数工作流 FunctionGraph中创建两个函数,一个用于接收来自事件网格路由的特定事件,另一个用于接收来自对象存储服务产生的事件。并将消息格式化后调用消息通知服务推送给订阅终端。
  • 使用消息通知服务 SMN,用于将指定的事件发送给消息订阅终端。
  • 在统一身份认证服务 IAM创建两个委托,一个用于将SMN的操作权限委托给函数工作流,另一个用于授权EG投递事件给函数工作流。

方案优势

  • 实时监控

    实时监控华为云上云服务状态,将高危操作及时路由给运维人员,从而发现并解决问题。

  • 开源定制化

    该解决方案是开源的,用户可以根据该解决方案模板,定制专属的运维审计环境。

  • 一键部署

    采用现成的事件网格技术,可以快速构建一个运维审计环境,节省大量的开发时间和成本。

约束与限制

  • 部署该解决方案之前,您需注册华为账号并开通华为云,完成实名认证,且账号不能处于欠费或冻结状态。
  • 当前登录账号拥有使用事件网格的权限。账号权限授权与绑定,请参考创建用户并授权使用EG。如果您的账号为IAM用户,请先联系华为云账号拥有者为IAM用户授权,然后才能使用事件网格服务。
  • 部署该解决方案之前,请确保您有一个可用的消息服务 SMN主题。

相关文档