青云QingCloud推出RDB(关系型数据库)预留资源计费模式

青云QingCloud PaaS 服务推出预留资源计费模式,该计费模式主要适用于用户长期稳定的 IT 需求,率先推出的 RDB(关系型数据库)预留资源,最高折扣达50%。自此,QingCloud 预留资源计费模式将陆续扩展至其他 PaaS 服务。

青云QingCloud 于 2016年 11月正式推出预留资源计费模式。通过预留资源计费,用户可以根据自身对于 IT 资源的长期规划,提前预留相应的资源。最初,预留资源只包含主机(实例),此次新增了RDB(关系型数据库),具体资费方案如下:

  • 6个月预留资源计费合约为按需付费的 85折;
  • 12个月预留资源计费合约为按需付费的 8折;
  • 36个月预留资源计费合约为按需付费的 5折。

青云QingCloud 支持“按需付费”与“预留资源”两种计费模式结合使用,为用户提供全面、灵活的成本管理支持。企业用户可以根据自身对于IT需求的合理规划来区分短期弹性需求和中长期稳定需求。对于短期弹性需求,建议采用按需付费的方式,按秒计费,灵活精准,避免不必要的浪费;而长期稳定的需求,建议采用预留资源方式,能够大幅降低 IT 成本。

用户签订预留资源合约的第一个月为开放期,开放期内,以 RDB(关系型数据库)创建或者绑定完成的时间作为计费的起始点。开放期结束后,无论资源是否创建或绑定,合约默认自动开始计费。用户如需调整资源配置,则向上调整需要补差价,预留周期不变,暂不支持向下调整配置。此外,在QingCloud AppCenter上线的 MySQL Plus 暂不支持预留资源计费模式。

了解预留资源计费模式:https://www.qingcloud.com/pricing/reservation

立即预留主机,享受最高 6折优惠
立即预留关系型数据库,享受最高 5折优惠

【安全公告】Samba 远程命令执行漏洞风险通告

2017 年 5 月 24 日,Samba 官方发布了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号为 CVE-2017-7494,漏洞影响了 Samba 3.5.0 之后到 4.6.4/4.5.10/4.4.14 中间的所有版本。该漏洞可能会影响开启了 Samba 服务的 Linux 主机,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

漏洞利用条件:
1. 服务器打开了文件/打印机共享端口 445,让其能够在公网上访问
2. 共享文件拥有写入权限
3. 恶意攻击者需猜解 Samba 服务端共享目录的物理路径

注意事项:
1. 请检查青云的防火墙规则,如果打开了 445 等危险端口,建议关闭。其他危险端口参见 【安全公告】Windows 勒索软件病毒风险通告
2. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙,请放心使用。

修复办法:
如果您启用了 Samba 服务,并开放了 445 端口,那么可以考虑通过以下办法修复:
1. 安装补丁或者升级到 Samba 4.6.4/4.5.10/4.4.14 任意版本。
2. 如果暂时不能升级版本或安装补丁,可以使用临时解决方案:在 smb.conf 的 [global] 节点下增加 “nt pipe support = no” 选项,然后重新启动 Samba 服务。

参考资料:
【漏洞预警】Samba远程代码执行漏洞,影响7年前版本
【高危预警】Samba远程代码执行漏洞(CVE-2017-7494)分析

【安全公告】Windows 勒索软件病毒风险通告

近期全球爆发了多起较大规模的 Windows 勒索软件病毒攻击事件众多 Windows 系统用户受到影响。

该勒索来自一款名为 “WannaCry” 的软件木马),通过 Windows 系统的 SMB 服务器漏洞进行入侵会导致磁盘文件被病毒加密对用户数据造成严重损失。请可能被漏洞影响的用户仔细阅读本文并做相应的处理。

注意事项

  1. 请检查青云的防火墙规则如果打开了 1351371381394453389 等危险端口建议关闭。
  2.  定期升级微软发布的安全补丁微软已经于 2017 3 14 日发布了 MS17-010安全补丁
  3. 如果必须打开 3389 端口建议仅在必须使用的时候打开其他时间请禁用。推荐您直接使用青云提供的 VNC 来访问此访问方式经过加密保证安全。
  4. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙请放心使用。

参考资料

Microsoft 安全公告 MS17-010 – 严重
WannaCry ransomware used in widespread attacks all over the world
如何看待 5 12 号爆发在各高校的电脑勒索比特币的病毒

【安全公告】Windows 漏洞攻击风险通告

近日曝出一大批 Windows 远程漏洞利用工具被泄漏,会给使用 Windows 主机的用户造成极大的安全隐患。根据目前的情况,Windows Server 的所有版本都可能受到影响。请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

注意事项:
– 请检查青云的防火墙规则,如果打开了 137、139、445、3389 端口,建议关闭
– 如果必须打开 3389 端口,建议在需要使用的时候打开,其他时间请禁用。更推荐的方式是直接使用青云提供的 VNC 来访问,这个是加密并且是安全的
– 青云的防火墙,默认情况下不会开启这些有风险的端口。所以如果你没有变更过防火墙,那么就是安全的

参考资料:
https://zhuanlan.zhihu.com/p/26375989
https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/
https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

Apache Struts2 远程代码执行漏洞公告

近日,Apache Struts2 爆出远程代码执行漏洞 (CVE-2017-5638),该漏洞存在于 Apache Struts2 的 Jakarta Multipart parser 插件模块,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。漏洞详情请参见:http://www.hack-cn.com/articles/40。请可能受影响的用户尽快升级处理。

影响范围:
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10

检查方法:
http://0day.websaas.com.cn/

修复建议:
升级到 Struts 2.3.32 或 Struts 2.5.10.1

QingCloud 技术团队

Hadoop/HBase/Spark 入侵事件通告

继前一段时间曝出大规模利用 MongoDB 和 ElasticSearch 配置漏洞进行入侵的事件之后,下一个遭遇黑客锁定的目标将包括 Hadoop , 目前已出现灾情。该入侵会给用户的 Hadoop/HBase/Spark 等以 HDFS 为存储的数据造成安全风险,请可能被此安全隐患影响的用户仔细阅读本文,并做相应的处理。

容易遭受入侵的环境:

用户自建的未配置安全验证的 Hadoop/HBase/Spark 服务,并在公网上开放了三个产品都用到的 HDFS 端口如 50070 和 HBase 的Rest服务端口如 8000。或者通过端口转发,将青云 QingCloud 提供的 Hadoop/HBase/Spark 服务的端口通过路由器、VPC 转发,曝露到公网。

入侵现象:
  • Hadoop/HBase/Spark 数据被清空
  • 留信息勒索比特币
修复办法:
  • 禁止公网开放 Hadoop/HBase/Spark 端口,例如可以在青云 QingCloud 防火墙上禁用 Hadoop/HBase/Spark 的端口,例如 50070 和8000
  • 如果对 Hadoop/HBase/Spark  的端口在路由器、VPC 上进行了端口转发,请删除该转发规则
温馨提示:

青云 QingCloud 提供的 Hadoop/HBase/Spark 服务是运行在私有网络中的,如果用户没有主动设置端口转发将 Hadoop/HBase/Spark  端口在公网曝露,不会受到该安全隐患的影响,请用户放心使用。另外,对于从大数据 Client 客户端主机直接访问 Hadoop/HBase/Spark 集群的用户,也强烈建议将 Client 主机的访问方式由密码改为 SSH Key访问以杜绝其它安全漏洞。

另外,有任何其他问题可以工单与我们联系。

Elasticsearch 入侵事件通告

Elasticsearch 入侵事件通告

继前一段时间曝出大规模利用 MongoDB 配置漏洞进行入侵的事件之后,又曝出大规模利用 Elasticsearch 配置漏洞进行入侵的事件。会给用户的 Elasticsearch 数据造成安全风险,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

容易遭受入侵的环境:
用户自建的未配置安全验证的 Elasticsearch 服务,并在公网上开放了 Elasticsearch 端口,例如 9200。或者通过端口转发,将青云提供的 Elasticsearch 服务的端口通过路由器、VPC转发,曝露到公网。

入侵现象:
  • Elasticsearch 数据被清空
  • 留信息勒索比特币
修复办法:
  • 禁止公网开放 Elasticsearch 端口,例如可以在青云防火墙上禁用 Elasticsearch 的端口,例如 9200
  • 如果对 Elasitcsearch 的端口在路由器、VPC 上进行了端口转发,请删除该转发规则
温馨提示:
青云提供的 Elasticsearch 服务是运行在私有网络中的,如果用户没有主动设置端口转发将 Elasticsearch 端口在公网曝露,不会受到该漏洞的影响,请用户放心使用。
另外,有任何其他问题可以工单与我们联系。

继 Spark 1.4.1 之后,青云增加了 Spark 最新版本 1.5.0 的支持

继 Spark 1.4.1 之后,青云增加了 Spark 最新版本 1.5.0 的支持。

对比1.4.1, 1.5.0 增加了 1400+ 个代码提交,主要的变化包括 DataFrame/SQL 执行后端优化,使得性能得到很大提高,详情请见 https://issues.apache.org/jira/browse/SPARK-7075。机器学习增加了更多的算法,对以前版本的算法做了改进,并且机器学习开始从library转向构建一个机器学习工作流 Pipeline 的系统。同时在 Streaming 和 Graphx 方面也有非常大的改进。详细说明见 http://spark.apache.org/releases/spark-release-1-5-0.html

青云 Spark 服务同时也支持现有用户从1.4.1版本升级到1.5.0,升级步骤见

https://docs.qingcloud.com/guide/spark.html#id7

upgrade_spark

 

关于7月22日和7月23日青云QingCloud北京2区(PEK2)网络故障说明

最近两天,青云经历了上线以来最艰难的一次考验。北京2区(PEK2)的两台汇聚层交换机的堆叠出现了 ARP TABLE 混乱,引致了局部内联机器丢包,大量PEK2用户在7月22日和23日经历了两次长时间网络中断。我们通过彻底更换新交换机修复了该故障,恢复了服务。在此,我们向所有受到事故影响的用户表达最真诚最深刻的歉意。

我们向您完整、如实地还原本次故障的全程如下:

7月22日

  • 12:47,我们收到大量北京2区(PEK2)内网网络告警,具体表现为PEK2网络内部大量物理服务器无法正常连通,出现丢包,导致大量PEK2用户网络中断。 经初步判定,问题锁定在内网汇聚层交换机,我们随即安排工程师至IDC现场处理。
  • 工程师抵达后,对全部环境及交换机进行检查,发现物理服务器及交换机的状态及配置并无异常,但表现的状态为内部网络随机不可达。根据故障状态,工程师进一步判定此问题为汇聚层交换机ARP TABLE混乱所致。
  • PEK2部署有两台H3C S5820V2交换机为 IRF2 堆叠使用。经过对两台交换机进行重启操作,至2015年7月22日15时15分,故障排除,内网恢复正常,用户业务逐渐恢复。
  • 故障排除后,我们的工程师团队一方面帮助用户解决因网络中断导致的技术问题,一方面同网络设备厂商H3C保持沟通以确定设备故障的根本原因。同时,为彻底避免故障复现,我们决定更换该设备,并连夜联系了Cisco安排新设备23日入场,并计划于24日凌晨进行设备替换。

7月23日

  • 13:15,PEK 2再次出现网络故障。我们即刻进行问题定位,初步认定是22日的故障再现。通过重启设备,网络于13:30恢复。
  • 13:50,交换机混乱再次导致PEK2内网故障,我们随即重启设备并取消堆叠,但是网络在短暂恢复后再次故障。
  • 14:30,在多次尝试仍无法保证网络稳定后,我们决定暂停PEK2的服务并决定尽快更换设备。
  • 15:57,在新设备部署的同时,我们定位到这个故障是由H3C两台堆叠设备中的一台引起的。我们将其下线,并临时由另一台设备承载业务,服务恢复。
  • 18:50,两台Cisco汇聚层交换机完成部署,新旧设备切换。在提前告知用户的情况下,网络因设备切换中断1分钟,随后PEK2网络恢复正常,本次硬件设备故障彻底排除。用户资源和数据未丢失。

本次网络中断完全因罕见的硬件故障导致,设备供应商H3C公司的工程师确认问题原因为一台S5820V2出现MMU硬件故障,导致Buffer调度出现紊乱,出口cell出现拥塞,导致报文无法转发。重启后能够暂时恢复转发,但运行一段时间后,故障会重新出现。同时,在一台设备故障后,S5820V2的IRF2分裂检测机制未触发,设备堆叠的冗余能力失效。H3C公司已提供正式报告(附后)。为避免相同问题出现,我们已决定陆续更换QingCloud系统中使用的全部该款设备,并马上对系统中所有硬件设备进行健康性排查。

我们深知,作为基础云服务商,我们的系统承载着保障用户业务连续的重大责任,也寄托着所有用户的信任。因此除了自身软件系统的稳定性与可靠性保障外,确保

数据中心基础设施、硬件设备和传输网络的可靠性和稳定性也是我们义不容辞的责任。正式上线的2年来,青云经历过各种不可预期的外部故障和事故的考验,在重重困难中,我们努力成长,汲取了教训,积累了经验,也收获了那么多用户的认可与信任。磨难让我们加倍努力也更加坚强。在未来,我们会采取包括加大资金投入在内的所有措施,不遗余力地加强各个方面的保障能力,全力守护用户业务的稳定。

对所有受到本次网络故障影响的用户,我们决定返还您一个月在PEK2的全部消费金额作为赔偿。 虽然赔偿并不能挽回对您的业务造成的影响,但我们希望通过这种方式体现我们最真诚的歉意,也希望您能够一如既往地信任我们。有您的理解与支持,青云必不辱使命。

问题分析报告 (1) 问题分析报告 (2)

问题分析报告 (3)

 

关于2015年6月6日青云QingCloud广东1区(GD1)机房电力故障的补充说明

就6月6日广东1区(GD1)因雷暴引发的电力故障技术细节,我们同IDC运营商睿江科技进行了进一步沟通,并获得对方关于事故的补充说明。

根据补充说明,本次事故是由于“雷电击中楼体引发强地网电位,浪涌保护器未生效、UPS 受强干扰故障,多个因素叠加而成。 ”针对本次事故,睿江科技将采取以下整改措施:

  1. 整个机房重新进行防雷的技术评估,推进所需的防雷改造,防雷器的检查和增补。
  2. 重做 UPS 设备内部防雷器的检查与防雷评估。
  3. 抓紧和推进 UPS 故障应急维护机制,应急响应制度和措施的制定与执行,培训维护人员的应急处理规范和行为。 管理是主要的安全保障之一。

QingCloud会积极参与和监督机房的整改工作,全力提升基础设施服务水平。保障用户业务是我们高于一切的目标,我们会尽最大可能从故障中吸取教训,提供更好的服务。

青云QingCloud

附:睿江科技补充说明

01 04