适用于计算服务的最佳实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
|---|---|---|---|---|---|
as-capacity-rebalancing |
弹性伸缩组均衡扩容 |
as |
EQUILIBRIUM_DISTRIBUTE(默认):均衡分布,虚拟机扩缩容时优先保证available_zones列表中各AZ下虚拟机数量均衡,当无法在目标AZ下完成虚拟机扩容时,按照PICK_FIRST原则选择其他可用AZ。 |
弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略,视为“不合规” |
用户可以将伸缩组扩缩容时目标AZ选择的优先级策略设置为EQUILIBRIUM_DISTRIBUTE。 |
as-group-elb-healthcheck-required |
弹性伸缩组使用弹性负载均衡健康检查 |
as |
根据ELB对云服务器的健康检查结果进行的检查,健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。 |
与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” |
如果您将多个负载均衡器添加到伸缩组,则只有在所有负载均衡器均检测到云服务器状态为正常的情况下,才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常,伸缩组会将该弹性云服务器移出伸缩组。 |
as-multiple-az |
弹性伸缩组启用多AZ部署 |
as |
一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 |
弹性伸缩组没有启用多AZ部署,视为“不合规” |
华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。 |
ecs-instance-key-pair-login |
ECS资源配置秘钥对 |
ecs |
密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解造成的账号密码泄露,从而提高Linux云服务器的安全性。 |
ECS未配置秘钥对,视为“不合规” |
您可以使用已有密钥对或新建一个密钥对,用于远程登录身份验证。 |
ecs-instance-no-public-ip |
ECS资源不能公网访问 |
ecs |
由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 |
ECS资源具有公网IP,视为“不合规” |
您可以登录弹性云服务器页面,在弹性云服务器列表中,在待调整带宽的弹性云服务器操作列下,单击“操作”列下的“更多 > 网络设置 > 解绑弹性公网IP”,将不合规的ECS资源解除弹性公网绑定。 |
ecs-multiple-public-ip-check |
检查ECS资源是否具有多个公网IP |
ecs |
此规则检查您的华为云ECS实例是否具有多个公网IP。拥有多个公网IP可能会增加网络安全的复杂性。 |
ECS资源具有多个公网IP,视为“不合规” |
当云服务器拥有多张网卡时,如果需要配置多个弹性公网IP,此时需要在云服务器内部为这些网卡配置策略路由,才可以确保多张网卡均可以和外部正常通信。 |
eip-bandwidth-limit |
EIP带宽限制 |
eip |
确保带宽满足业务高峰期需要。带宽大小过低,可能会影响业务流量造成丢包 |
弹性IP实例可用带宽小于指定参数值,视为“不合规” |
您可以根据独享带宽和共享带宽两种情况修改带宽值 |
function-graph-concurrency-check |
函数工作流的函数并发数在指定范围内 |
fgs |
FunctionGraph会根据实际的请求情况自动弹性伸缩函数实例,并发变高时,会分配更多的函数实例来处理请求,并发减少时,相应的实例也会变少。此规则可确保建立函数工作流(FunctionGraph)的并发上限和下限。 |
FunctionGraph函数并发数不在指定的范围内,视为“不合规” |
对于不合规的实例,在函数详情页可以修改函数并发数的值。 |
function-graph-public-access-prohibited |
函数工作流的函数不允许访问公网 |
fgs |
确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 |
函数工作流的函数允许访问公网,视为“不合规” |
部署在VPC中的函数默认是和外网隔离开的,用户可以将函数绑定VPC,并且不添加公网NAT网关。 |
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
ecs |
启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数,确保弹性云服务器(ECS)未闲置。 |
关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” |
包年/包月资源一次性付费,到期自动停止使用。其他计费模式下关机后仍然计费。如需停止计费,请删除实例。 |
volume-unused-check |
云硬盘闲置检测 |
evs |
云硬盘可以挂载至云服务器,用作提供系统盘和数据盘。此规则可以确保云硬盘(EVS)未闲置。 |
云硬盘未挂载给任何云服务器,视为“不合规” |
对非合规的EVS资源,用户可以在云硬盘页面或在弹性云服务器页面,将其挂载到云服务器上。 |
volumes-encrypted-check |
已挂载的云硬盘开启加密 |
ecs,evs |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
已挂载的云硬盘未进行加密,视为“不合规” |
当您需要使用云硬盘加密功能时,需要授权EVS访问KMS。如果您拥有“Security Administrator”权限,则可直接授权。如果权限不足,需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS,然后再重新操作。 |
