青云QingCloud 控制台推出主机、公网 IP 告警状态过滤功能,增加总览页当前告警资源栏

青云QingCloud 控制台推出主机,公网 IP 告警状态过滤功能,增加总览页当前告警资源栏。其中主机,公网 IP 告警状态支持两种状态过滤,让用户更方便管理并监控云资源的状态;而总览页增加当前告警资源栏让用户更直观的了解当前处于告警状态的资源,并提供告警资源数,以及资源链接。

主机、公网 IP 告警状态过滤

主机、公网 IP 列表页面增加了“告警状态”一栏,并支持两种状态的过滤选项,包括“正常”、“告警”,并附有响应图标显示;如图所示:

主机列表页面

公网 IP 列表页面

 

总览页当前告警资源栏

控制台总览页页面右侧,增加了当前告警资源栏,如有处于告警状态的相关资源,则会此以柱状图和列表形式展示;如图所示:

如当前用户没有绑定任何告警策略,则不会显示该栏。

青云QingCloud 推出WAF — Web应用防火墙

Web 应用发展到今天,已经是任何业务离不开的方式,即便是新型的云计算这样的高新技术,都是以 Web 的方式提供的,电子商务、支付、信息、移动互联网……等等无不是以 Web 为基本形式的交付。而黑客是已经产业化了,SQL 注入、在线欺诈、DDoS、CC  攻击等犯罪活动层出不穷。这些活动的首要目标就是企业的网站以及相关的 Web 应用程序,那么 Web 应用防火墙应用而生,且越来越重要。青云QingCloud WAF (Web 应用程序防火墙)应势而生。

Web 应用程序防火墙(WAF),即能够将 Web 应用程序的出去的和进来的 HTTP/HTTPS 流量进行过滤、监控和屏蔽。WAF 和传统意义上的防火墙是有一定的区别的: WAF 是关注特定 Web 应用的内容过滤,而传统的防火墙则是服务器之间的守门人。 WAF 通过检查 HTTP/HTTPS 流量,它可以防止来自 Web 应用程序安全漏洞的攻击,如 SQL 注入、跨站点脚本(XSS)、文件包含漏洞以及安全配置错误。

应用场景和功能

凡是适用 Web 服务的地方,都应该假设 Web 应用程序防火墙,因为 Web 天生就是被用来访问的,尤其是 RESTFull 接口风行天下之后,成为了很多非常有价值的端点入口,它是攻击的首冲目标。

主要服务于运行在 QingCloud 基础设施平台之上的 Web 用户,当前服务的主要使用场景包括,金融、电商、O2O、互联网+、游戏、政府、保险、政府等各类网站的 Web 应用安全防护上。
它主要用于解决以下问题:
1、 防数据泄密,避免因黑客的注入入侵攻击,导致网站核心数据库泄露。
2、防恶意CC,通过阻断海量的恶意请求,保障网站可用性。
3、阻止木马上传网页篡改,保障网站的公信力。
4、提供虚拟补丁,针对网站被曝光的最新漏洞(CVE等),最大可能提供快速修复的规则。

青云 QingCloud WAF 主要功能有如下内容:

功能 子功能 特性描述
业务配置 支持协议 支持对网站的 HTTP,HTTPS 流量进行 Web 安全防护
Web 应用安全防护 常见 Web 应用攻击防护 防入侵:可防 SQL 注入,XSS ,Webshell 等攻击;黑白名单:可定制基于 IP/URL 的黑白名单,实现精确防护
Web 应用安全防护 CC 恶意攻击防护 对请求的源 IP 进行自动化的客户端识别,识别出机器的异常请求,缓解服务器压力
Web 应用安全防护 自定义安全防护策略 可根据 Web 应用自身特点,自定义安全防护策略
Web 应用安全防护 虚拟补丁 在 Web 应用漏洞补丁发布和修复之前,可通过配置防护策略实现虚拟补丁修复
管理 攻击事件管理 支持攻击日志导出到自定的日志服务器
可靠性 嵌入式部署 以集群方式提供服务,跟 LB 相结合,直接部署在 Web 服务前端,防止 WAF 被绕过
可靠性 动态扩容 可根据实际流量情况,缩减或增加集群机器的数量,进行服务能力弹性扩容

青云QingCloud运行原理

如下图所示:

正如上文中所介绍的,WAF是运行在 QingCloud 的 Web 应用的第一道防线! 而且搭载QingCloud 负载均衡器,有效的利用现有的资源。

当一个请求到达 QingCloud 负载均衡器时,监听器会检查来访的 HTTP/HTTPS 请求,根据 QingCloud 的云端大数据生成的智能规则,若是带有恶意行为,如 SQL 注入、Webshell、XSS 脚本等,会默认将这些请求阻断,保证业务安全顺利进行。

青云QingCloud WAF的实际操作

关于上手指南,请移步 QingCloud WAF用户手册 ,本青云志仅列出 WAF 中最为关键功能操作—添加规则,以及特色的日志分析支持:
 创建好域名防护策略之后,WAF 就会加载系统的默认检测规则,这些规则由青云维护并更新:
用户也可以根据自己 Web 应用的特点,定制 WAF 检测规则,点击自定义规则下的 “创建” 可以弹出新建窗口:

 

规则的行为可配置为观察模式或者阻断模式,观察只记录不阻断对业务系统无影响。

* 新增规则时请配置为观察模式,待规则稳定之后再修改为阻断模式。

规则配置要填写要检测的 HTTP 协议字段内容,当前一条规则支持配置检查 5 个协议变量,提交修改之后可以看到填写的内容。
除了可以配置自定义的规则,还可以配置自定义的黑白名单以及 CC 防护功能,点击 “黑白名单” 下的 “’创建”:

 

*配置的 IP 是将被检查的请求源 IP,包含可选的子网掩码。

 

*配置的 URL 将进行路径前缀匹配,例如 /abc 可以匹配 /abc/123。

 WAF 日志导入青云QingCloud ELK 服务

WAF 的日志可以通过 syslog 的格式发送到日志服务器,可以修改配置组中的 logcenter_ip 和 logcenter_port 参数来配置。 同时,可以将日志倒入 ELK 来分析处理,需要使用 logstash-input-syslog 来接收 syslog 日志,并配置 grok 过滤参数如下:

grok {match => { “message” => “%{WORD:method} %{HOSTNAME:domain} %{URIPATHPARAM:url} %{NOTSPACE:client_ip} %{WORD:action} %{INT:impact} %{WORD:module} %{NOTSPACE:attack_type} %{NOTSPACE:rule_id} %{NOTSPACE:ua} %{GREEDYDATA:post}” }
}

可配置的 dashboard 效果如下:

青云QingCloud 控制台推出 SSL 证书服务功能

青云QingCloud 控制台现推出 SSL 证书服务功能,QingCloud SSL 证书提供了安全套接层证书的一站式服务,包括证书申请、管理及部署功能。与 亚洲诚信 合作,给您提供完整的证书解决方案。

从界面左侧菜单的安全–SSL 证书服务即可进入该功能,该功能分为:我的证书、订单列表两个模块

我的证书

我的证书界面包含购买证书、上传证书功能,以及更多操作,包含修改、批量删除的交互性功能,支持右键单独对某行进行修改、删除,支持双击对某行进行修改。

点击界面上的“购买SSL证书”按钮会进入证书购买界面,我们也提供了免费的证书供用户选择。

点击界面上的“上传证书”按钮会进入证书上传界面,您可以上传自己的证书。

表格中的证书名称和订单号也可以直接链接到对应的详情,以证书名称为例,如果您是购买的证书,那么详情页会有下载证书和私钥的按钮提供下载,免费的就没有了。如果您的证书绑定了负载均衡器,会显示出您绑定的负载均衡,并可以直接链接到该页面。

订单列表

订单列表展示了所有购买证书的订单状态,您需要根据订单状态列的状态信息,在操作列使用对应的操作。订单列表提供根据订单状态过滤的功能,您可以根据您的需求过滤出想要查看的订单状态。

如果您要查看当前订单的详细信息,可以通过订单号链接过去,也可以点击操作的详情。订单详细信息里包括证书信息,购买租赁信息,以及您填写的公司信息。

有关SSL证书服务的更多操作详情,请您访问 SSL证书服务用户手册

 

控制台新增标签自定义颜色、资源删除告警通知等功能

1. 标签支持自定义颜色

标签(Tag)功能可以给用户资源打标记,常用于资源分类管理。除了保持 12 种系统推荐颜色,控制台新增用户自定义颜色功能,方便用户直观定义更多的标签。原有已定义的标签不影响使用。

在创建标签时,颜色选择部分保留了预置可选颜色。点击对应的色块即可设置标签的颜色,也可以在颜色的输入框中输入十六进制(HEX)色值。

还可以点击右边的按钮,通过拾色器选取颜色,任意指定标签色值。

2.监控告警支持对资源销毁的监控

为了更好地保护用户的资源安全,监控告警触发条件中加入“资源删除”一项,即当监控资源(目前支持对主机的监控)被删除时触发警告。及时获取资源的销毁信息,避免错过恢复时间,造成不可挽回的损失。

3.私有网络负载均衡器(Load Balancer)基本属性中添加 IP 修改按钮

与资源其他操作相同,私有网络负载均衡器修改 IP 功能,在详情页的操作栏,如图:

为方便用户修改,本次改动将 IP 调整功能的按钮添加到基本属性的 IP 栏,方便用户更直观的使用该功能。

 

控制台支持自有映像、备份的跨区复制

用户在多地部署资源或转移使用区域时,常常需要将主机映像、硬盘备份等资源跨区复制。这个复制任务之前需要提交工单申请,由后台管理员操作完成。此次在控制台向用户开放该功能,方便用户多地共享资源,便于区域间的同步和整体备份。

1. 映像跨区复制

以上海1区-A为例,该区支持自有映像跨区复制。选择一个自有映像,点击“跨区复制映像”按钮,即可选择目标区域,提交复制任务。复制任务需要的时间取决于映象本身大小和网络情况。复制完成后可以在右上角看到进度提示,也可以到全局任务日志列表中查看。


说明: 映像(image)支持跨区复制的可用区: 北京1区,北京2区,北京3区-A,北京3区-B,广东1区,广东2区-A,亚太1区,上海1区-A。

2. 备份跨区复制

以北京二区为例,该区支持自有备份资源跨区复制:


说明:备份(snapshot)支持跨区复制的可用区:  北京2区,北京3区-A,北京3区-B,广东1区,广东2区-A,上海1区-A。

 3. 操作日志新增【全局操作日志】,方便用户查看全局任务状态

说明:全局日志记录的通常是这类跨区的任务,而普通操作日志则是当前区域下的任务。

青云QingCloud 控制台克隆硬盘功能全面升级

为方便用户复制老架构容量盘,控制台 4 月 23 日 开放了克隆硬盘功能,详见:控制台新增克隆硬盘功能。该功能今天全面升级,对各区域、各类型硬盘均支持了克隆功能。用户可以利用该功能,对硬盘数据进行复制并得到一块独立的硬盘,且硬盘类型可以在可兼容范围内重新选择。

以北京 2 区为例,该区域支持性能型、容量型、超高性能型硬盘,各种类型硬盘均可以右键进入克隆硬盘操作。

不同类型的硬盘,克隆后的硬盘类型不同。如性能型硬盘支持克隆为性能型、超高性能型;超高性能型硬盘也支持克隆为性能型、超高性能型;容量型则支持克隆为容量型。

克隆硬盘操作的注意事项在上文已提到过,这里再列一下:

1. 克隆硬盘时,会对命令开始时这个时间点的硬盘数据进行克隆。
2. 克隆硬盘过程中,对正在运行的主机和硬盘不会有影响。
3. 克隆的速度大约 100GB/小时。

控制台推出数据库缓存、大数据、容器平台、物联网 IoT 等预置应用

青云 AppCenter 提供了各类丰富、实用的应用,包括基础服务、企业软件、研发管理、运维管理等。QingCloud 和合作伙伴为 AppCenter 开发了常见分布式集群应用、基础应用、行业应用等各类应用。

控制台将最常使用的一些应用,如数据库缓存、大数据、容器平台类型应用,以及物联网 IoT 等热门行业应用添加到导航菜单,作为预置应用,以方便用户直接使用。同时,数据库缓存、大数据的原有服务依然提供支持,在导航中列在服务这一栏。

预置的 AppCenter 应用具有更高的性能、更丰富的自定义服务,并且价格上更为优惠。功能上 AppCenter 的应用能够替代现有的服务,我们推荐在相同需求下使用预置应用。

预置应用的使用方法于现有服务相似。以 MySQL Plus 为例,点击导航,页面展示该应用的功能介绍,并提供应用详情页的链接。用户可以到 AppCenter 查看应用的介绍、截图、各版本信息,以及开发者信息、使用说明文档等。在控制台界面可以直接创建集群并查看、操作该应用下已创建的集群。

除了数据库缓存、大数据的预置应用外,控制台新增了容器平台、物联网 IoT 两大类应用。包括 Kubernetes、Harbor、etcd、Rancher、noyun.io、EdgeOn 等常用的平台、行业应用加入预置应用中。其中 noyun.io、EdgeOn 是集成应用,用户需要安装应用后使用。

安装应用时,系统将提示该应用需要获取的权限,并告知应用计费、卸载方式。用户可以根据自己的需要来选择是否安装。

青云QingCloud推出RDB(关系型数据库)预留资源计费模式

青云QingCloud PaaS 服务推出预留资源计费模式,该计费模式主要适用于用户长期稳定的 IT 需求,率先推出的 RDB(关系型数据库)预留资源,最高折扣达50%。自此,QingCloud 预留资源计费模式将陆续扩展至其他 PaaS 服务。

青云QingCloud 于 2016年 11月正式推出预留资源计费模式。通过预留资源计费,用户可以根据自身对于 IT 资源的长期规划,提前预留相应的资源。最初,预留资源只包含主机(实例),此次新增了RDB(关系型数据库),具体资费方案如下:

  • 6个月预留资源计费合约为按需付费的 85折;
  • 12个月预留资源计费合约为按需付费的 8折;
  • 36个月预留资源计费合约为按需付费的 5折。

青云QingCloud 支持“按需付费”与“预留资源”两种计费模式结合使用,为用户提供全面、灵活的成本管理支持。企业用户可以根据自身对于IT需求的合理规划来区分短期弹性需求和中长期稳定需求。对于短期弹性需求,建议采用按需付费的方式,按秒计费,灵活精准,避免不必要的浪费;而长期稳定的需求,建议采用预留资源方式,能够大幅降低 IT 成本。

用户签订预留资源合约的第一个月为开放期,开放期内,以 RDB(关系型数据库)创建或者绑定完成的时间作为计费的起始点。开放期结束后,无论资源是否创建或绑定,合约默认自动开始计费。用户如需调整资源配置,则向上调整需要补差价,预留周期不变,暂不支持向下调整配置。此外,在QingCloud AppCenter上线的 MySQL Plus 暂不支持预留资源计费模式。

了解预留资源计费模式:https://www.qingcloud.com/pricing/reservation

立即预留主机,享受最高 6折优惠
立即预留关系型数据库,享受最高 5折优惠

控制台主机支持监控视图和自定义列表

用户在管理主机资源时,可以通过详情页监控图查看主机的实时监控,从而了解主机运行状态。当主机数量较多时,难以直观地批量查看资源监控数据。针对这一需求,控制台新增了主机的监控视图。

在主机的列表页面操作栏中,增加了视图切换的区域(在表格的右上角)。默认是“详细视图”,即包含主机各类附加信息(如类型、映像、网络、IP等)的原有表格。

当点击切换为“监控视图”时,表格的内容发生变化,展示 CPU 使用率、内存使用率,以及系统盘和各挂载盘的使用率。这些监控项可以点击排序,支持正序、倒序。这样,用户可以在一个视图里,按特定的监控项排序,看到所有运行中的主机运行状态。

需要注意的是,由于监控数据只能采集运行中的主机,所以切换为监控视图后,主机的数量显示的是运行中的数量。同时,有一些操作,例如加载密钥,在该视图下不能使用,需要在“详细视图”,或主机详情页中使用。表格中的监控数据,10分钟会更新一次。

另外,由于“详细视图”的附加信息越来越多,我们支持列表表头的自定义。操作栏中的眼睛形状图标,点击之后出现表头选择。用户可根据自己想要展示的内容自定义表头。表头内容和选择的视图类型,会记录在浏览器,下次登录仍然保留。

控制台上支持创建GPU主机

青云 QingCloud GPU 主机是具备 GPU 加速计算能力的实例,可同时提供 GPU 和 CPU 计算资源, 大幅提高机器学习及科学计算等大规模计算框架的运行速度,为搭建人工智能及高性能计算平台提供基础架构支持。
青云 QingCloud GPU 主机采用专为人工智能计算优化设计的 NVIDIA Tesla P100 GPU, 并采用直通方式与虚拟主机对接,省去虚拟化带来的损耗,全面面释放物理 GPU 的计算加速能力。
在北京3区开始青云 QingCloud GPU 主机的邀请内测,由用户提交申请测试工单,并填写在线需求调查问卷后(问卷地址:https://jinshuju.net/f/icIWpx),由产品团队进行需求审核,审核通过后开放配额。
用户创建GPU主机的方法与创建普通虚拟主机一样,目前只在北京3区开放超高性能型GPU主机。用户可以灵活选择操作系统以及CPU内存的配置。

后续会在更多区域开放,并支持专属宿主机以及预留合约。