IPsec隧道支持感兴趣流分组

IPsec 是一种加密的隧道技术,通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。查看使用指南

感兴趣流是VPN的术语,说的是需要进行保护的流量,也就是说需要进入VPN隧道的流量。在某些情况下,通过IPsec隧道加密的数据,其源和目的地址为多个不同的网段,此时在配置IPsec感兴趣流时就需要对感兴趣流进行分组。

在一个典型的IPsec隧道拓扑中,如果需要控制 192.168.1.0/24 与 192.168.3.0/24 互访,而 192.168.2.0/24 与 192.168.4.0/24 互访,此时在配置IPsec感兴趣流时就需要对感兴趣流进行分组: 192.168.1.0/24 与 192.168.3.0/24 是一组感兴趣流, 192.168.2.0/24 与 192.168.4.0/24 是一组感兴趣流。

配置方法:

在IPsec隧道详情页面,点击“添加感兴趣流”,在弹出窗口中添加感兴趣流的配置。

全部添加后页面如下所示:

通过上述配置,即可实现感兴趣流的分组。

 

除了支持感兴趣流分组之外,IPsec隧道还增加了一个功能,在选择加密方式时,可以对具体的认证算法和DH算法进行指定。

认证Hash算法支持: SHA1 和 MD5,DH算法支持具体DH Group的指定,您可以根据需要进行配置。

负载均衡器支持低延时和高吞吐集群模式及支持加密和超时等多类选项

近期,负载均衡器连续发布了若干功能升级,进一步完善了负载均衡器的功能和用户的使用体验。

负载均衡器集群增加集群模式

创建负载均衡器集群时,可指定集群模式。目前支持 低延时高吞吐 两种模式,您在创建负载均衡器集群时可以根据需要选择,并可以在后续对集群模式进行修改。

在低延时模式下,网络流量会优先转发到距离网关最近的负载均衡器节点,缩短网络传输距离,降低延时。

在高吞吐模式下,网络流量会均衡地转发到所有的负载均衡器节点上,充分利用所有节点的能力,提高吞吐率。

您可根据实际业务需要进行选择。

负载均衡器监听器增加隧道超时时间

在创建负载均衡器监听器时,展开高级选项,可对隧道超时时间(timeout tunnel)进行自定义配置。

隧道超时时间的配置,通常用于 WebSocket 或 CONNECT请求 等长连接场景下,默认为1小时,超时后链接会被关闭。您可根据业务的实际需要对该参数进行自定义配置。

HTTPS监听器增加加密选项

在创建HTTPS类型的监听器时,展开高级选项,您还可以对加密方式进行指定。

四种加密选项分别是:启用全部加密方式、启用安全的加密方式、禁用不安全的加密方式、启用兼容IE的加密方式。

每个加密选项代表着一些具体的加密方式的合集,您可以根据您客户端对TLS的支持和兼容情况来灵活选择。

负载均衡监听器新增支持添加后端主机时按标签过滤&可多选功能

很多用户同一网络中有大量的主机,且对于同一个 LB 监听器也有添加多个相同配置主机的需求,为了提升用户负载均衡监听器后端添加的操作效率,我们新增了按标签过滤和多选添加的两项优化,其中:使用筛选标签可以将已按标签分类的对应主机过滤出来,使用多选功能可以对选出的后端主机进行一次性添加。

使用方式如下图所示:

注意:一次性同时添加多个后端时,需要保证后端主机业务端口以及将要绑定的转发策略等配置完全一致。

8月系统映像升级汇总

为了满足用户的需求,我们时刻紧跟操作系统市场的最新动态,8月我们新增了四款操作系统映像,四款映像的详细信息如下:

您可以在创建主机时,使用最新的操作系统,体验新特性。

VPC网络新增网关过滤控制功能

VPC 网络是用户专属的大型网络,在 VPC 网络内,用户不仅可以自定义 IP 地址范围、创建子网,并在子网内创建主机/数据库/大数据等各种云资源,还可以管理 VPN /隧道/ DNS /端口转发 等高级网络功能,实现复杂的组网需求。

此次新增的网关过滤控制(ACL)功能,就是用于配置隧道/VPN/NAT 网关 的 ACL 过滤规则,满足用户在不同网络间的访问控制需求。

以GRE隧道为例,假设现有两个VPC 网络的GRE隧道配置如下:

通过对VPC 网络的网关过滤控制功能的配置,可以实现隧道两端子网之间的访问控制,例如:

通过上述配置,可实现拒绝192.168.2.2这个IP地址对192.168.5.0/24这个子网内IP,1000-10000端口范围的访问。

目前,该功能对于所有支持VPC 网络的区(北京3区、广东2区、香港2区和上海1区)都已上线,您可以在控制台上任意一个VPC 网络的详情页面,管理配置页签中,找到“网关过滤控制(ACL)”功能。

预告:

后续我们还会开放用于私有网络、边界路由器的访问控制过滤功能,敬请期待!

 

支持主机和硬盘预留合约升级的类型与平台转换

在青云多类计费方式中,预留合约模式的实行对有长期稳定IT需求的用户提供了更加优惠的策略支持。为了使用户可以在不同的业务场景下,更加灵活地使用预留合约,QingCloud对预留合约的续约、升配方式等后续的操作支持也在不断优化,特新增两类资源预留合约的类型转换功能:
1.主机预留合约
(1)支持主机镜像windows和linux之间的平台转换,如下:
(2)支持对性能型和超高性能型的类型转换,如下:
2.硬盘预留合约
(1)支持硬盘合约的各类型之间的转换,但需保证转换前的步进值符合预转换类型硬盘的要求,如下:

负载均衡器列表及监听器后端主机支持 IP 搜索功能

为了更进一步的提升负载均衡器服务的使用效率,以满足用户相应的资源管理需求,我们针对负载均衡器做了以下 3 项功能改进:

1. 在负载均衡器过多时,为了能快速找出使用了指定 IP 的负载均衡器, 我们在负载均衡器列表中增加了按公网 IP 搜索的功能,具体见下图:

2. 在负载均衡器的监听器添加后端主机时,若可选的主机过多,除了已有的通过主机名过滤以外,我们新增了按指定内网 IP 地址来选择主机的功能,具体见下图:

3. 为了帮助用户更准确的找到对应的主机, 我们在监听器的后端主机列表中,同时增加了主机对应内网 IP 地址的显示,具体见下图:

关于负载均衡器的更多功能介绍和使用指南,请参考 负载均衡器

映像升级,系统映像新增:Ubuntu 18.04 LTS 以及 Arch Linux 2018.07.01

为了满足更多用户的需求,我们时刻紧跟操作系统市场的最新动态,最近系统映像新增了两款Linux映像:Ubuntu 18.04 LTS 以及 Arch Linux 2018最新版本,您可以在创建主机时,使用最新的操作系统,体验新特性。

两款映像控制台的详细如下:

映像名称:Ubuntu Server 18.04 LTS 64bit,  映像ID:bionicx64

映像名称:Arch Linux 2013.10 64bit, 映像ID:arch20180701x64

附两款映像官网Release Info

Ubuntu 18.04 Release Note:https://wiki.ubuntu.com/BionicBeaver/ReleaseNotes?_ga=2.158977850.1063882353.1533031809-383532797.1523325098

Arch Linux 2018.07.01 Release Info:https://www.archlinux.org/download/

负载均衡器转发策略新增优先级控制功能

继负载均衡器监听器配置备份功能之后,青云QingCloud 负载均衡器开发团队又提供了一项新的实用功能:负载均衡器转发策略增加优先级控制。

很多用户使用负载均衡器自定义转发策略,来实现复杂业务场景下的转发控制。当一个监听器绑定多条转发策略时,如果这些策略的规则之间出现了重叠,监听器会随机匹配,在一些复杂的转发控制场景下,这样的随机匹配会造成跟预期不符的转发情况。

现在,有了转发策略的优先级控制功能,在转发策略的规则出现重叠的情况下,可以通过指定转发策略的优先级,来实现灵活自主的控制。下面,介绍下具体的使用方法:

创建转发策略时指定优先级

1、在负载均衡器–转发策略页面,点击创建按钮

2、为创建的转发策略指定优先级

修改转发策略优先级

1、在转发策略列表上,右键点击要修改优先级的转发策略,选择“修改优先级”

2、在弹出对话框中,修改转发策略的优先级