资源开启公网访问最佳实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
---|---|---|---|---|---|
css-cluster-in-vpc |
CSS集群绑定指定VPC资源 |
css |
云搜索服务CSS的集群创建在虚拟私有云(VPC)的子网内,VPC通过逻辑方式进行网络隔离,为用户的集群提供安全、隔离的网络环境。此规则确保云搜索服务(CSS)位于虚拟私有云(VPC)中。 |
CSS集群未与指定的VPC资源绑定,视为“不合规” |
可以将不合规的CSS集群与指定VPC关联。 |
drs-data-guard-job-not-public |
数据复制服务实时灾备任务不使用公网网络 |
drs |
为了解决地区故障导致的业务不可用,数据复制服务推出灾备场景,为用户业务连续性提供数据库的同步保障。当主实例所在区域发生突发生自然灾害等状况无法连接时,可将异地灾备实例切换为主实例,在应用端修改数据库链接地址后,即可快速恢复应用的业务访问。数据复制服务提供的实时灾备功能,可实现主实例和跨区域的灾备实例之间的实时同步。此规则确保DRS实时灾备任务不能公开访问。 |
数据复制服务实时灾备任务使用公网网络,视为“不合规” |
对于不合规的DRS资源,您可以切换非公网访问 |
drs-migration-job-not-public |
数据复制服务实时迁移任务不使用公网网络 |
drs |
实时迁移是指在数据复制服务能够同时连通源数据库和目标数据库的情况下,只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程,再通过多项指标和数据的对比分析,帮助确定合适的业务割接时机,实现最小化业务中断的数据库迁移。确保DRS实时迁移任务不能公开访问。 |
数据复制服务实时迁移任务使用公网网络,视为“不合规” |
对于不合规的DRS资源,您可以切换非公网访问。 |
drs-synchronization-job-not-public |
数据复制服务实时同步任务不使用公网网络 |
drs |
实时同步是指在不同的系统之间,将数据通过同步技术从一个数据源拷贝到其他数据库,并保持一致,实现关键业务的数据实时流动。确保DRS实时同步任务不能公开访问。确保DRS实时同步任务不能公开访问。 |
数据复制服务实时同步任务使用公网网络,视为“不合规” |
对于不合规的DRS资源,您可以切换非公网访问。 |
ecs-instance-in-vpc |
ECS资源属于指定虚拟私有云ID |
ecs,vpc |
虚拟私有云(VPC)为弹性云服务器构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为弹性云服务器构建一个逻辑上完全隔离的专有区域,确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” |
您可以通过网络配置,为不合规的ECS资源选择特定的虚拟私有云。 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 |
ECS资源具有公网IP,视为“不合规” |
您可以登录弹性云服务器页面,在弹性云服务器列表中,在待调整带宽的弹性云服务器操作列下,单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”,将不合规的ECS资源解除弹性公网绑定。 |
function-graph-inside-vpc |
函数工作流使用指定VPC |
fgs |
函数支持用户创建虚拟私有云(VPC)并访问自己VPC内的资源。VPC开启后,函数不再具有默认的公网访问权限,如果需要访问公网,可通过在VPC内配置公网NAT网关绑定EIP的方式实现,具体请参见配置固定公网IP。 |
函数工作流未使用指定VPC,视为“不合规” |
用户可以通过开启“允许函数访问VPC内资源”的开关,配置相应的VPC和子网。 |
function-graph-public-access-prohibited |
函数工作流的函数不允许访问公网 |
fgs |
确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 |
函数工作流的函数允许访问公网,视为“不合规” |
部署在VPC中的函数默认是和外网隔离开的,用户可以将函数绑定VPC,并且不添加公网NAT网关。 |
mrs-cluster-no-public-ip |
MRS集群未绑定公网IP |
mrs |
确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账户需要访问控制。 |
MRS集群绑定公网IP,视为“不合规” |
对于不合规的MRS资源,用户可以解除其与弹性公网IP的绑定。 |
rds-instance-no-public-ip |
RDS实例不具有公网IP |
rds |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账户需要原则和访问控制。 |
RDS资源具有公网IP,视为“不合规” |
对于不合规的RDS资源,用户可以解除其与弹性公网IP的绑定。 |