访问鉴权管理(IAM)功能新增:集群身份

为了完善 IAM 产品资源类的信任载体身份,以服务于更多未来的使用场景,我们新增支持集群作为身份信任载体。(参见:什么是信任载体?

支持集群资源作为身份信任载体后,和主机身份一样,使用者可以创建集群身份并赋予策略权限,然后将已创建好的 AppCenter 集群作为资源添加到该身份。于是,此资源即可通过植入 QingCloud 官方 SDK 获得身份上附加的策略所定义的操作权限(参见:如何使用身份?)。

创建集群身份:

为集群身份添加信任载体资源: AppCenter 集群详情:

未来,QingCloud AppCenter 平台将借由 IAM 的此功能特性设计出更便捷的集群应用服务于客户。

访问鉴权管理产品新增操作日志模块

作为一款以安全角度出发的产品,当客户数据发生变动时记录操作轨迹以供审查和回溯将尤为重要。为了明确告知客户的账户身份何时被创建、修改和代入使用,我们为 IAM 产品新增了操作日志模块。

点击头像下方的【访问鉴权管理】进入 IAM 控制台,即可在左侧发现【操作日志】入口:

系统将按时间倒序记录本账户在 IAM 控制台的每一个操作,例如创建身份、修改身份上的附加策略、更换策略版本等,同时针对跨账户身份还跟踪了该身份被切换使用的情况。

除此之外,使用者还可通过选择时间区间,或通过 API 指令、资源 ID 等关键词过滤定位到想要跟踪的操作历史。

平台操作日志支持查看身份执行者信息

在引入 IAM 产品后,云平台账户可以通过 IAM 身份来授权访问和管理账户内的资源。为了明确云资源的操作变动来自于谁,我们在 qingcloud 平台原有的操作日志中增加了执行者的信息。

当某个操作由 IAM 身份而非账户本身来执行时,将会看到如下信息:

使用者可点击身份 ID 进入 IAM 身份详情页以查看和获取更多与该身份有关的信息。

账户注册优化:未完成注册验证的邮箱地址支持更换

为了提升新客使用体验,增加意向客户的友好度,当因注册邮箱填错或邮件服务异常等原因收不到验证邮件时,可以换掉邮箱完成账户注册。

注册完成但还未验证邮件时,可以立即选择更换邮箱地址:

使用未验证的邮箱登陆控制台时,也可根据提示选择更换邮箱地址:

点击“更换注册邮箱”后,按提示输入新邮箱地址及手机验证码即可完成邮箱更换:

更换后,新邮箱中会收到验证链接,点击验证:

邮箱验证通过后,即可使用新邮箱地址作为账号登陆 QingCloud 控制台。

QingCloud IAM 访问鉴权管理服务 V1.0 发布

关于 QingCloud IAM

访问鉴权管理(Identity and Access Management,IAM)是一款在 QingCloud 平台上提供身份识别和访问控制的 Web 服务。通过使用 IAM 来统一管理和控制接入实体的认证和授权,能更安全地自主管控本账户下的任意资源访问权限。

日前,青云 QingCloud IAM 服务 V1.0 版(qingcloud.com/products/iam/)已发布至公有云平台供广大客户试用。

本版已发布的主要功能列表

一、身份信任载体

  1. 支持 QingCloud 账户作为身份信任载体,使得被信任的账户能访问到自己的视图来参与运维
  2. 支持 QingCloud 云主机作为身份信任载体,使得云主机上的应用开发可以不必使用账户 API 密钥就能按需访问到自己的账户资源

使用详情请参见:帮助中心 – 访问鉴权管理 – 信任载体

二、身份管理

  1. 支持设定身份凭证会话有效期
  2. 支持管理身份上附加的策略权限
  3. 支持为账户类信任载体配置控制台 UI 访问模块
  4. 支持为主机类信任载体更换同类身份

三、策略权限配置

  1. 支持为弹性云主机、虚拟专用网、弹性负载均衡和资源云监控四大服务配置策略。参见:帮助中心 – 访问鉴权管理 – 支持的服务列表
  2. 支持为弹性云主机、虚拟专用网和弹性负载均衡服务配置策略时限定到特定资源
  3. 支持策略多重预期效力叠加,支持复合策略
  4. 支持可视化和代码编辑模式无缝切换

四、策略管理

  1. 支持为任意策略引用身份或离开身份
  2. 支持修改自定义策略,并可视化管理版本

五、策略模拟器

  1. 支持为身份上的复合策略模拟测试和调整
  2. 支持针对策略列表中的任意策略单一或复合模拟测试

更多关于 IAM V1.0 的版本信息,请查看帮助文档:帮助中心 – 访问鉴权管理

QingCloud DNS 域名解析服务 V1.0 beta 版发布

关于 QingCloud DNS

域名系统(Domain Name System,缩写:DNS)是互联网的一项基础网络服务, 它的主要作用是将域名和 IP 地址相互解析映射,以辅助广大网民访问互联网。QingCloud DNS 作为一款权威域名解析服务,将以域名为入口整合 QingCloud 相关服务与资源,致力于为域名所有者打造一个更稳定、更安全、更快速、更精准、更便捷的云计算智能解析管理平台。

日前,青云 QingCloud DNS 服务 V1.0 Beta 版(qingcloud.com/products/dns/)正式开启免费公测。

本版已发布的功能列表

权威 DNS 服务核心功能

1. 支持主域名托管

我们支持的顶级域名 TLD 同步自 IANA 列表:https://www.iana.org/domains/root/db  在此基础上支持中文、韩文等非拉丁字符特殊域名,前端有做转换。

为提高域名监管措施建立黑名单机制,黑名单中的域名一经匹配则禁止添加。我们除同步工信部站点黑名单外,青云内部管理员还可通过管理后台添加和移除域名黑名单。

2. 支持拆分子域名托管

添加域名时,一些解析记录比较多的域名可以分拆为多个子域名分别让不同的人去管理。例如针对 qingcloud.com 主域,可以分别直接添加 www.qingcloud.com、console.qingcloud.com、appcenter.qingcloud.com 等子域解析。

限制最高支持 5 级子域直接管理,即:a.b.c.d.com.

更多关于子域托管的介绍及使用,可参见:https://docs.qingcloud.com/product/network/dns_rw/dns_subzone

3. 支持多级泛域名解析

泛域名限制全长最高支持 10 级,即:*.a.b.c.d.e.f.g.h.com.

4. 支持常见资源记录类型并扩展支持代理 HTTP 跳转类型

用户可在页面上配置 7 种标准 DNS 资源记录类型: A、AAAA、CNAME、MX、TXT、PTR、NS,以及 301 跳转、302 跳转和隐性跳转三种扩展 HTTP 跳转类型

下拉菜单出现显示灰色不可点击时是因为前端限制不符合填写标准。 NS 和 PTR 记录对 host 格式有严格标准,跳转服务仅支持已备案域名使用。

5. 同时支持 IPv4 和 IPv6 双栈网络

为了响应中国工信部网络管理号召,我们为权威 DNS 服务提供了 IPv6 接入解析。

当网民用户客户端切换到 IPv6 网络环境时(本地 IP 和本地 DNS 配置都使用 IPv6),该网民访问 QingCloud DNS 托管的域名将无缝使用 IPv6 服务能力解析。

6. 支持域名分平台解析及平台迁移

为了建立更稳定的解析服务,我们设计智能分平台的域名调度管理机制。在 Console 用户添加域名时,DNS 后台会根据一定规则选择将域名分配到不同的 NS 平台来提供解析服务。

不同的解析服务平台提供的 NS 地址不同,它将体现在用户域名的托管提示中:

权威 DNS 服务高级功能:智能分线解析及多种解析模式

1. 支持按地理位置及运营商配置解析

dnsserver 支持 edns-client-subnet,以根据 IP 段来划分访问来源。 目前我们可以做到国内精确到运营商,海外精确到国家及部分运营商:

当使用了分区域解析后,客户可随心所欲配置自己站点的目标访问地址。

例如下图配置表示来自中国电信的网民访问 www.ephen.me 解析到 1.1.1.1 ,其他网民全部访问到 ephen.me :

2. 支持 A 类型轮询模式解析以平衡负载

默认我们为所有的记录类型使用普通模式,即如下配置中网民每次访问 www.qingcloud.com 都将会按照记录值中的顺序返回。

这样会使得第一个解析结果(1.1.1.1)的访问压力远远大于后面的 2 个。

为了实现平衡负载,我们增加轮询模式:

切换到轮询模式后,每次解析查询时将下一个解析结果置为优先。即第一次查询结果为 1.1.1.1,2.2.2.2,3.3.3.3 ,第二次为 2.2.2.2,3.3.3.3,1.1.1.1 ,依此类推。

3. 支持 A 类型根据运营商和地理位置自动调度

此为 A 类型解析智能模式。

当客户在同一条线路上启用智能模式填写多个 A 记录值时,我们会根据网民所在位置和所属运营商,将这组记录值按其匹配优势重新排序。例如 www.qingstor.com 配置 A 记录智能解析:

尽管所选线路为“全网默认”,我们依然会让中国电信的网民访问 www.qingstor.com 时的自动解析顺序为 139.198.1.252,27.113.128.0 ,而中国联通网民则为 27.113.128.0,139.198.1.252 。

该模式主要针对较大型的站点不太方便维护较多细分线路解析的情况。

4. 支持 A 和 CNAME 灵活自定义权重以负载均衡

我们支持 A 和 CNAME 配置权重模式,让网民每次访问时根据客户设置的比例分组返回不同的解析结果,以达到完全自定义的负载均衡。例如 qingstor.com 配置 A 和 CNAME 记录权重解析:

中国电信的网民访问 qingstor.com 时,将解析到 www.qingcloud.com 或 www.qingstor.com ,经过反复多次解析后两者比例将趋近为 4:1 ; 其他地区的网民访问 qingstor.com 则解析到 139.198.1.252 或 139.198.1.252,139.198.13.59 ,经过反复多次解析后两者比例将趋近为 1:2 。

该模式将会更好的提高客户站点资源的利用效率:通过权重自定义让资源较好的主机承担更多的解析压力,而资源较差的主机也可以不用闲置,承担较少的解析压力即可。

更多关于解析模式的介绍及使用,可参见:https://docs.qingcloud.com/product/network/dns_rw/dns_mode

可视化页面用户体验功能

1. 域名状态及常见信息展示

– 实时更新显示域名解析状态和接管状态

– 自动获取域名备案信息,未备案域名可直接转到青云备案系统

– 自动获取域名注册商及到期时间

– 支持添加域名备注及手工刷新状态

2. 基于域名的线路视图配置

未配置域名可用线路时,可选择全网默认、中国电信、中国联通、中国移动和港澳台及海外。

同时可配置基于域名的可用线路,以避免每次都在大量线路中选择:

更多关于线路配置的介绍及使用,可参见:https://docs.qingcloud.com/product/network/dns_rw/dns_view

3. 解析记录的灵活编辑

– 新建、启用、暂停、删除

– 修改类型、修改线路、更换模式

– 添加 host 信息备注

4. 域名维度解析量统计展示

按日环比及同比、总解析量和最高解析量:

按月环比、总解析量和最高解析量:

开放 API 文档 V1.0

青云 QingCloud DNS 服务 V1.0 Beta 版为客户同步提供开放 API 操作,详情参见:https://docs.qingcloud.com/product/network/dns_rw/dns_api/

控制台账户安全升级:支持强制定期修改密码、登陆失败锁定账号和控制同时在线数量

为了提升云平台系统安全,我们对控制台账户安全体系做了进一步升级。

依次点击右上角头像 – > “账户安全”进入设置页面,即可看到本次升级的内容。如下图所示:

具体说明如下:

  • 周期更新密码

您可以为您的账号设定“ 1 月”、“ 3 月”和“ 6 月”的周期,例如“ 1 月”。之后当您登录系统时,若距离上次修改密码时间大于 1 个月,页面将强制跳转到密码修改页,完成密码修改您才可以在控制台进行其他管理操作。

修改密码时请注意:新密码不能与现有密码相同。

  • 登录失败锁定

若您选择启用该功能,您的账号在同一终端 6 小时内登录失败 5 次后,该账号在此终端将被锁定登录 24 小时。

若您的账号被锁定登录,24 小时后将会自动恢复,期间您也可以联系青云客服帮您清除锁定。但为了您的账户安全,我们不推荐您在未彻查锁定原因前便联系我们解锁。

请注意:登录失败判断并非连续。即使 6 小时内您曾经正确登录,我们依然会对既有失败状态累积计数。

  • 同时在线数量

您可以为您的账号设置 10 以内的最大同时在线数量,例如“5”,之后第 6 个浏览器或终端将无法使用您的账号成功登录青云控制台。若您选择“不启用”,则不会限制您的最大登录数量。

请注意:需要释放会话时,您需要手动退出登录,关闭浏览器并不会立即释放会话。

负载均衡监听器新增支持添加后端主机时按标签过滤&可多选功能

很多用户同一网络中有大量的主机,且对于同一个 LB 监听器也有添加多个相同配置主机的需求,为了提升用户负载均衡监听器后端添加的操作效率,我们新增了按标签过滤和多选添加的两项优化,其中:使用筛选标签可以将已按标签分类的对应主机过滤出来,使用多选功能可以对选出的后端主机进行一次性添加。

使用方式如下图所示:

注意:一次性同时添加多个后端时,需要保证后端主机业务端口以及将要绑定的转发策略等配置完全一致。

防火墙规则支持自定义快捷方式

为了更好的支持用户使用和管理各类防火墙规则,防火墙服务新增了自定义快捷方式,让用户可将常用的一些防火墙规则保存为快捷方式,以使得之后需要使用时可快速的将自定义规则一键添加到防火墙中。

使用方式如下: