防火墙规则定时启用/禁用

对于云上业务系统运维人员来说,配置管理一直是一个较为头疼的问题。由于云计算给系统运维带来的敏捷性,配置变更几乎每时每刻都在发生,如何记录这些配置变更,并能够做到少出错、不遗忘,是一个较大的难题。

场景一:有时为了调试云上的业务系统,需要临时放开防火墙规则的限制,在问题调试完成后,再将临时启用的规则禁用。有时候防火墙的管理者和业务系统的调试者并不是同一个人,这就存在着防火墙临时规则管理的漏洞,往往调试已经完成,但是忘记通知防火墙的管理者,而防火墙的管理者也不记得该条规则为什么开放,该条临时规则就会变成一直开放的规则,将业务系统暴露于风险之下。

为了应对上述场景,我们推出了防火墙规则定时启用/禁用的功能,您可以在定时器中管理防火墙的规则,实现“临时启用规则,定时禁用规则”的效果。

首先,创建一个定时器,仅执行一次,时间设置为防火墙规则的禁用时间。

然后,创建定时器任务,选择防火墙,并选择要禁用的规则。

最后,点击“提交”,查看创建好的任务。

只需这么简单的几步操作,防火墙的管理者就可以放心的将临时规则启用,不用再担心自己会忘记将临时规则禁用了。

场景二:有一个业务系统需要每天凌晨3点定时上报业务数据,该上报数据服务采用固定的端口,数据上报批量大约需运行1个多小时,在非上报数据时间,该上报数据端口需要关闭以保证服务安全。您只需要设置两个定时器,无需闹钟与熬夜即可轻松完成该项工作。

每天凌晨3点,启用数据上报端口。

每天凌晨5点,再将数据上报端口禁用。

本功能还有诸多场景等待您的挖掘!

新增防火墙规则导出导入功能

QingCloud 防火墙可以加强位于基础网络中的主机或路由器的安全性,您可以为防火墙添加上行/下行规则,以实现云上资源的访问安全。QingCloud 防火墙因为简单易用、功能强大灵活,一直以来是云上使用最为广泛的产品之一。为了方便您管理防火墙规则,QingCloud 防火墙具备跨区复制、规则备份/回滚、规则模板、IP/端口集合等功能,可以适应多种场景下的防火墙规则管理。近期,防火墙又迎来了一次功能升级,新增了防火墙规则的导入导出功能,您可以将一个帐号下的防火墙规则导出,再导入到您另一个帐号里的防火墙里,实现防火墙规则的跨帐号快速复制。

具体的操作流程如下:

1、在要导出的防火墙规则页面点击“更多操作”,在下拉菜单中点击“导出规则”

2、页面会自动下载包含有防火墙规则的 csv 文件,以 防火墙名称_(防火墙ID).csv 命名。

3、在另外要导入规则的防火墙规则页面点击“导入规则”

4、在弹出的导入规则对话框中,点击“上传文件”,选择包含有防火墙规则的 csv 文件

系统会识别 csv 文件中防火墙规则的条数,并与当前防火墙的规则进行比对检查。

5、对于不符合导入规范的规则,您可以点击“查看”进行检查

点击规则前的小问号,可以查看该条规则不符合的原因。

6、确认无误后,点击“继续导入”,将防火墙规则导入。原有的IP/端口集合,会自动创建新的IP/端口集合,并添加到防火墙规则上

7、导入后,点击“应用修改”,将防火墙规则应用到资源

请注意:规则导入为非覆盖式导入,与现有规则冲突或者重复的规则将不会导入成功,超出数量或不符合 [格式要求] 的规则将被舍弃。数字越小优先级越高,优先级取值范围 [1-100]。

青云QingCloud 支持主机批量克隆

主机克隆功能自从推出以来,在不停机快速复制资源环境等场景下发挥了很重要的作用,因此我们对该功能进行了升级,现在您可以一次性的批量克隆出多台主机,解决集群架构下的快速环境复制问题。

假设现有系统的架构如下:

现要将 web01 – 03 这三台主机批量克隆到“测试子网”中。在主机列表中复选要克隆的主机,点击“更多操作”,在下拉菜单中点击“克隆主机”

在“批量设置”处,选择“指定其他网络”,点击“[选择要加入的私有网络]”,在弹窗中选择“测试子网”

如需为克隆后的主机指定 IP,点击“[指定主机内网 IP]”为要指定 IP 的主机指定克隆后的 IP 地址

点击“提交”即可发起批量克隆主机任务。克隆后的主机与源主机具有相同的名称、配置、挂载盘、数据、SSH 密钥、防火墙等。

 

青云QingCloud 云平台支持IPv4/IPv6双栈网络

2019年伊始,我们迎来了关于网络方面的重大升级——IPv6的支持。目前经过一段较长时间的运行测试,已具备向所有用户开放的条件,目前我们已经在 北京3区 / 北京3区-A / 广东2区 开通了IPv6的支持,欢迎您在控制台上进行体验。

IPv6与IPv4相比,优势主要体现在两个大的方面,一个是地址空间数量可以达到2的128次方,满足未来更多网络设备的需要,另一个则是更高的网络安全保证,IPv6可通过对地址的管理和路由机制,使得IP层的溯源与可信验证成为可能。

早前工信部关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》通知中要求,各大云服务厂商在2018年末完成50%云产品的IPv6改造。此次上线,我们已经完成了虚拟主机、专有私有网络VPC、弹性公网EIP、防火墙几个产品的IPv6升级改造。

经过此次升级之后,专有私有网络VPC将升级成为IPv4/IPv6双栈VPC,您无需申请公测资格,可直接在控制台上创建启用IPv6的VPC,或者将您旧有的VPC升级成为IPv6的VPC。

而对于私有云用户,还能享受到IPv4/IPv6双栈基础网络服务,体验全面IPv4/IPv6双栈的IaaS层基础设施服务。

简易使用指南

创建启用IPv6的专有网络VPC

您只需要在创建专有网络VPC时,在IPv6网络地址选择“系统自动分配”即可创建支持IPv4/IPv6双栈的VPC。创建后可查看IPv6管理地址范围的详细信息。专有网络VPC会默认分配掩码为 /56 的IPv6地址段。

创建启用IPv6的私有网络并连接到VPC

在专有网络VPC的详情页中,点击“+”号,直接为专有网络VPC添加私有网络。

在IPv6网络地址处选择“系统自动分配”或者“手动指定”,即可创建出启用IPv6的私有网络。创建完成后,即可查看私有网络的管理IPv6属性。私有网络的IPv6网络地址默认为掩码为 /64 的IPv6地址。

创建虚拟主机并加入到启用IPv6的私有网络

在私有网络中,点击“创建资源”按钮,选择“主机”,按照向导完成创建主机后,可查看虚拟主机的IPv6地址信息。

注意:目前平台支持IPv6网络的虚拟主机镜像为:CentOS 7.5(镜像ID:centos75x64b),Ubuntu Server 16.04(镜像ID:xenial5x64b)和Ubuntu Server 18.04(镜像ID:bionic1x64c),后续我们会制作更多支持IPv6的镜像。

 

这些镜像只有在加入启用IPv6的私有网络时才会打开IPv6的功能。

开通IPv6公网访问

获取到IPv6地址的虚拟主机,如果想要接入到公网,需要开通IPv6的公网访问。方法是在虚拟主机上右键点击,在弹出菜单中依次选择:“公网IP” — “IPv6接入公网”,在弹出的对话框中,为IPv6公网IP选择计费模式,点击“确定”即可。

接入公网以后,在公网IP页面,可查看接入公网的IPv6地址。

与IPv4公网IP一样,IPv6的公网IP支持“带宽计费”和“流量计费”两种模式。

我们秉持IPv6协议本身“地址无限”的理念,IPv6地址免费,只对使用流量和带宽收费。

为虚拟主机加载防火墙并开通IPv6协议

为了保证您的主机安全,我们会在接入公网连接的虚拟主机前加载防火墙以保证您的访问安全,因此接入公网之后,您需要在虚拟主机的防火墙上开通IPv6的相关访问协议。

在防火墙添加规则页面,开通IPv6相关的协议,即可放开IPv6的访问,添加完规则后点击“应用修改”使规则生效。

注意:除IPv6 ICMP(ping6)需额外配置以外,您防火墙里的其他策略规则会同时应用到IPv6地址,您无需额外配置。

至此,您就可以轻松的体验IPv6带来的种种好处了。

对于已有的专有网络VPC和私有网络,您可以一键升级成支持IPv6,具体操作请参阅使用指南

负载均衡器集群支持私有网络

QingCloud 负载均衡器在一系列更新之后,目前迎来最重磅的服务升级,负载均衡器集群也可以创建在私有网络中!

负载均衡器集群具备高性能、高并发、高扩展、高可用等特性,并且不论是在私有网络中的主机还是基础网络中的主机,都可以通过负载均衡器集群来做负载均衡。

以资源编排的拓扑图描述,如下图:

但是之前必须有公网IP才能创建负载均衡器集群,意味着,用户无需提供公网访问的纯内网服务,无法使用负载均衡器集群来做负载均衡。

经过这次升级后,用户可以在私有网络中创建负载均衡器集群,并为纯内网服务做负载均衡。在创建时,选择私有网络,并可指定节点数量。

负载均衡器集群具备如下几个优点:

1、通过特殊设计的网络架构,可以大幅提升负载均衡服务的网络性能;

2、采用集群架构,提升负载均衡服务的高可用保障,并且具备优异的横向纵向扩展能力;

3、集群节点数可灵活指定,当节点数大于 1 时,负载均衡器以多活方式部署,总并发能力 = 节点最大连接数 * 总节点数。

在功能层面,除了无需绑定公网IP之外,私有网络中的负载均衡器集群与公网负载均衡器集群保持一致。

目前您可以在 北京3区 / 北京3区-A / 上海1区-A / 广东2区-A / 亚太2区-A 创建私有网络负载均衡器集群,快来体验吧!  访问控制台

主机支持控制台重置登录密码和启动/关闭时间同步

QingCloud 虚拟主机一直是控制台使用最多的产品,从上线运营以来,青云主机就以性能卓著、秒级启动、弹性伸缩、运行稳定等诸多特性,带给广大用户优异的使用体验。

我们一直以来也在逐步的完善主机产品的服务,先后推出了专属宿主机物理主机深度学习平台等各具特色的计算服务。

最近,控制台上对主机的操作,又增加支持了“重置登录密码”和“启动/关闭时间同步”功能。

重置登录密码以后不再需要提交工单,用户自行在控制台上即可操作,您可以在主机列表的右键菜单中找到。

重置登录密码:

解释一下关闭时间同步的应用场景:

默认情况下,虚拟主机与青云的基础设施NTP Server保持时间同步。有些用户在特殊的场景下,想要使用特殊的时间同步服务器,这个时候就需要关闭虚拟主机的时间同步功能,自行配置NTP Server。

注意:只有在关机状态的主机才能执行时间同步的更改。

时间同步也在主机的右键操作菜单中:

 

复制防火墙时可单独指定是否复制IP/端口集合

QingCloud 防火墙可以保护网络中资源的安全性,您可以为每个防火墙配置上行/下行规则,并加载到对应资源上实现特定的访问协议、源或目标IP、源或目标端口的细粒度访问控制。

对于涉及到多个IP或端口的规则,您可以借助 “ IP/端口集合” 功能把具有相同特征的一组 IP 或者一组端口设置成为 “ IP/端口集合”,并且在防火墙规则中进行添加,实现批量管理功能。

防火墙 以及 IP/端口集合 均支持跨区复制的功能,考虑到IP/端口集合在多个防火墙之间共用的场景,在跨区复制防火墙时,增加了一个选项:

勾选此选项意味着复制防火墙的同时,也会复制防火墙使用到的IP/端口集合。

当复制多个防火墙时,如果有共用的IP/端口集合,除第一个防火墙之外,后续的防火墙在复制时可以不勾选此选项,从而实现新复制的IP/端口集合的复用。

IPsec隧道支持感兴趣流分组

IPsec 是一种加密的隧道技术,通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。查看使用指南

感兴趣流是VPN的术语,说的是需要进行保护的流量,也就是说需要进入VPN隧道的流量。在某些情况下,通过IPsec隧道加密的数据,其源和目的地址为多个不同的网段,此时在配置IPsec感兴趣流时就需要对感兴趣流进行分组。

在一个典型的IPsec隧道拓扑中,如果需要控制 192.168.1.0/24 与 192.168.3.0/24 互访,而 192.168.2.0/24 与 192.168.4.0/24 互访,此时在配置IPsec感兴趣流时就需要对感兴趣流进行分组: 192.168.1.0/24 与 192.168.3.0/24 是一组感兴趣流, 192.168.2.0/24 与 192.168.4.0/24 是一组感兴趣流。

配置方法:

在IPsec隧道详情页面,点击“添加感兴趣流”,在弹出窗口中添加感兴趣流的配置。

全部添加后页面如下所示:

通过上述配置,即可实现感兴趣流的分组。

 

除了支持感兴趣流分组之外,IPsec隧道还增加了一个功能,在选择加密方式时,可以对具体的认证算法和DH算法进行指定。

认证Hash算法支持: SHA1 和 MD5,DH算法支持具体DH Group的指定,您可以根据需要进行配置。

负载均衡器支持低延时和高吞吐集群模式及支持加密和超时等多类选项

近期,负载均衡器连续发布了若干功能升级,进一步完善了负载均衡器的功能和用户的使用体验。

负载均衡器集群增加集群模式

创建负载均衡器集群时,可指定集群模式。目前支持 低延时高吞吐 两种模式,您在创建负载均衡器集群时可以根据需要选择,并可以在后续对集群模式进行修改。

在低延时模式下,网络流量会优先转发到距离网关最近的负载均衡器节点,缩短网络传输距离,降低延时。

在高吞吐模式下,网络流量会均衡地转发到所有的负载均衡器节点上,充分利用所有节点的能力,提高吞吐率。

您可根据实际业务需要进行选择。

负载均衡器监听器增加隧道超时时间

在创建负载均衡器监听器时,展开高级选项,可对隧道超时时间(timeout tunnel)进行自定义配置。

隧道超时时间的配置,通常用于 WebSocket 或 CONNECT请求 等长连接场景下,默认为1小时,超时后链接会被关闭。您可根据业务的实际需要对该参数进行自定义配置。

HTTPS监听器增加加密选项

在创建HTTPS类型的监听器时,展开高级选项,您还可以对加密方式进行指定。

四种加密选项分别是:启用全部加密方式、启用安全的加密方式、禁用不安全的加密方式、启用兼容IE的加密方式。

每个加密选项代表着一些具体的加密方式的合集,您可以根据您客户端对TLS的支持和兼容情况来灵活选择。

8月系统映像升级汇总

为了满足用户的需求,我们时刻紧跟操作系统市场的最新动态,8月我们新增了四款操作系统映像,四款映像的详细信息如下:

您可以在创建主机时,使用最新的操作系统,体验新特性。