私有网络Vxnet支持ACL进出流量控制

网络访问控制功能包括网络 ACL 和基础网络安全策略。网络 ACL 是私有网络(Vxnet)的进出流量控制表,您可以在这里创建和配置 ACL 规则, ACL 规则中声明了哪些流量可以进/出私有网络(Vxnet),所以可以通过 ACL 控制进出流量。基础网络安全策略则定义了在青云 QingCloud 环境中,用户自身的基础网络是否对其他用户开放,默认禁用也就是默认用户的基础网络内的资源只受防火墙限制。

网络 ACL 与防火墙的功能类似,但是网络 ACL 绑定给私有网络,防火墙一般直接绑定给主机或者负载均衡器,网络 ACL 中更适合配置私有网络 Vxnet 通用的安全规则。

创建和配置网络 ACL

点击`安全`中的`网络访问控制`进入网络 ACL 列表
点击`创建`,弹出创建的页面,您可以自定义网络 ACL 的名称
 点击提交,ACL 就创建成功了,页面自动转到新创建的网络 ACL 的详情页面,可以看到网络 ACL 的所有规则。为了避免网络 ACL 影响网络的连通,所以新创建的网络 ACL 默认对所有地址开放。您可以在网络 ACL 的详情页面查看、添加、修改、删除、禁用 ACL 规则、应用修改。在左上角`基础属性`栏,可以看到网络 ACL 的名称 / ID / 绑定的资源和创建时间。

修改网络 ACL 配置

点击`添加规则`,用户可以定义要添加的规则。填写规则名称、优先级(数字越小优先级越高,最多可添加 100 条规则),选择方向(上行或者下行),行为(允许或者拒绝)、IP 版本( IPv4 / IPv6 ),源 IP (下行) / 目的 IP (上行)。
点击规则右侧的`修改`按钮可以修改现有的规则,点击`禁用/启用`按钮可以将相应的规则禁用或启用。
点击`应用修改`使配置修改生效

网络 ACL 绑定到私有网络 Vxnet

在网络 ACL 列表页,可以右键 – 网络 – 绑定 / 解绑私有网络
先选择对应的 VPC ,然后选择私有网络 Vxnet
点击提交,网络 ACL 就成功绑定到私有网络 Vxnet

VPC 和私有网络 Vxnet 相关的网络 ACL 配置和操作

为了方便用户使用,我们在 VPC 和私有网络 Vxnet 页面中也增加了网络 ACL ,您可以查看相关的网络 ACL 配置,并进行一定的操作。因为网络 ACL 可以绑定多个私有网络 Vxnet,所以在网络 ACL 绑定给多个私有网络时,请您谨慎增删或者修改规则,建议您在复制后的网络 ACL 中修改。网络 ACL 绑定多个私有网络时,网络 ACL 的应用修改会同步给所有绑定的私有网络。

在 VPC 下私有网络页面中配置和操作

 

在 VPC 的`私有网络`界面下,每个私有网络都新增了`网络 ACL `页面,您可以在资源列表中查看当前 ACL 中的全部资源。
点击`网络 ACL `,就进入私有网络的网络 ACL 页面,您可以查看、添加、修改、禁用、删除当前绑定的网络 ACL 中的规则。
您还可以点击提示中的`创建或管理 ACL `快速跳转到网络 ACL 页面。
当有规则没有应用修改时,您可以点击`应用修改`将规则的修改应用到所有关联的 Vxnet。

在私有网络页面中绑定和解绑 网络 ACL

您可以在私有网络页面看到每个私有网络 Vxnet 绑定的网络 ACL
您还可以通过私有网络右键 – 网络 ACL – 绑定 / 解绑来对私有网络的 ACL 进行操作

主机及 SD-WAN 光盒等资源列表支持目录视图

QingCloud云平台在云资源管理方面,不断为用户提供多场景的资源管理形式。从资源全局管理层面上,引入「Project」功能;从资源多维度查看管理层面上,加入「监控视图」功能。同时为了满足用户更多的资源管理需求,特新增资源列表上的「目录视图」功能,以提供更加便利地、基于资源列表的结构化分组功能。该功能适用于资源数量较多、需要对资源进行多级分类管理的业务场景。

目录视图特性

  • 目录结构树为全局功能,可跨不同区、不同资源通用。
  • 一个资源仅属于一个目录,点击某个资源所在目录的上一级目录,也会在资源列表展示该资源,但是「分组」项内会将具体的所属目录名称显示出来。

操作方式

下面以「主机」资源列表的「目录」视图为例,介绍该功能的具体使用方式。

  • 「目录视图」位于主机资源列表右上方,如下图所示:

  • 用户首次进入时,会看到列表左侧出现自定义目录结构的空白区,用户可在此区域内进行目录结构的创建。未编辑前,系统默认将所在区内所有的资源都归在根目录–「全部」内,如下图所示。

  • 基于(2)的初始状态,用户可开始编辑目录视图区的内容。如需要建立子目录可右键根目录「全部」,选择「新建子目录」,即可完成。目录结构视图区内,所有的子目录创建方式都一致,如下图所示:

注:此时可自定义目录名称,并且从根目录以下的目录开始,均支持「重命名」、「删除」功能,如下图所示:

 

  • 完成上述对目录结构视图区内的基本编辑后,可操作「将资源进行对应目录的分组」操作。在资源列表上的复选框内,选择需要归入一个子目录上的资源,点击「更多操作」内的「移动到目录」选项,选择对应的目录,点击提交即可完成,如下图所示:

如上述操作,选择了三个在「全部」内的资源,将其移动至了「业务1」目录内。用户可将资源添加到任意需要归入的目录内,不限目录结构关系。

  • 现已将部分资源移入了子目录「业务 1」内,那么此时「全部」目录下的资源列表上“所属目录”列内,会出现两类信息:“业务1” 与“位分类”。如下图所示:

注:「未分类」的定义为,仅以其下一级为参考,不关注其下一级以下的具体目录细分,如,对「全部」目录对应的资源列表上,「未分类」资源的定义为,只要不在「业务 1」内的资源都为「未分类」,而不再关注其下「业务 1」目录里的资源是否有再被「业务子系统1」或者「业务子系统2」再分类。

自定义统一监控看板 Dashboard 上线

一、功能概述

监控 Dashboard 为用户提供了可跨资源类型、跨指标类型、跨可用区的自定义集中监控服务,用户可根据业务需求,将各类维度的数据集中在同一个面板下,进行统一可视化监控。

监控 Dashboard 支持丰富的监控时间周期,在每种监控周期下对应的的监控间隔粒度都有所不同,用户可根据监控场景选择符合需求的时间周期。同时,若需要对某一个时间周期下的关键时间点进行进一步操作,可选择‘暂停’刷新的设置,面板将停止自动刷新。


二、核心功能

监控面板
监控面板是可供用户自定义编辑的监控视图区,可向监控面板内加入不同区域、不同资源、不同指标的监控图表。

监控图表
用户可自行创建某个可用区内,某类资源的多个实例、单个指标集成的数据图形。 创建完成后,可对已创建的图表进行查看、修改、数据导出、删除等操作。

面板全屏
用户可在面板图表生成之后进行集中监控, 若暂时不再操作图表以及面板的其他功能,仅需要盯屏查看监控图表以及数据,可选择“全屏”显示模式,进入全屏式面板。全屏式面板的监控可视化图表效果更佳,同时依然可以支持在监控面板上的数据查看、时间周期切换等功能。


三、创建监控面板

操作步骤

  • 登录控制台。
  • 点击左侧导航栏“运维与管理”,选择“监控 Dashboard ”即可进入。
  • 进入监控 Dashborad 后,系统默认为用户创建一个面板,用户可直接在该面板上进行监控图表的创建。如下图:

  • 用户也可以点击上图“创建面板”按钮,重新创建一个空面板。

四、修改监控面板

操作步骤

  • 进入监控Dashboard内,在左侧监控 Dashboard 面板目录管理列内,可对需要修改的面板进行操作。
    如下图,鼠标悬浮在需要修改的面板名称上,点击右侧按钮,可选择具体要执行的修改操作 – 重命名。


五、删除监控面板

操作步骤

  • 按上一步操作方式,可在修改操作功能上选择“删除”,可删除所选面板。
    注:该操作会同步删除面板内的所有图表。

六、创建监控面板

操作步骤

  • 点击面板内“创建图表”按钮。
  • 选择资源所属区域,如下图:
  • 选择需要集中监控的具体资源类型,如,选择“计算 – 主机”,如下图:

  • 选择需要集中监控的具体资源的指标,如,选择对主机的CPU利用率的监控,如下图:

  • 为了同时创建多张监控图表,在本步骤 – 指标选择上,支持同时选择多个指标(不限制同时可创建的指标数量),即可批量创建图表,如下图:

  • 选择需要集中监控的具体资源实例,如,选择了“主机”的指标监控,那么所选区域下的具体资源实例,在创建流程的最下方会自动筛选出来,用户可以自行勾选,最多可选择10个实例,如下图:

  • 资源实例勾选完成后,所选实例的监控指标预览图会在创建流程中实时展示出来,供用户参考,如下图:
  • 点击“创建”按钮,即创建完成。可前往所属面板上,查看监控结果。


七、查看监控图表

操作步骤

  • 面板上的图表根据所选时间周期,联动展示具体的监控时间间隔与监控粒度,如下图:

  • 将鼠标悬浮于某个图表上,点击某一个时间刻度,会自动展开图表上的所有监控数据,如下图,点击图表上的一个时间点,下方自动展开资源详情信息,可查看具体数据:

  • 基于上一步已展开的资源详情页,可继续对指标数据信息进行排序,点击最后一列指标列名上的排序按钮,可按监控指标的升序/降序排列出所监控的实例,如下图所示:

  • 基于第二步已展开的资源详情页,若监控实例的指标数据分布过于密集,不便于定位问题,可取消部分资源的指标数据显示。在资源详情页内点击某实例行,即可取消此条折线,如下图,取消后两个实例的监控,图表内只剩一个实例的指标数据信息,再次点击可恢复数据:


八、图表二次操作

操作步骤

  • 可对已创建的图表进行二次操作,包含修改、删除、导出。点击图表上的按钮可选择具体要执行的操作,如下图:

  • 修改支持修改的内容有:
    (1)重命名
    (2)可增加、删除监控指标
    (3)可修改监控实例点击「修改」按钮,可在编辑格式下进行修改,如下图:

  • 删除点击「删除」按钮,图表以及图表内的数据会被一并删除,此操作不可逆。
  • 点击「导出」按钮,可导出平台提供的监控数据功能。


九、查看监控大屏

操作步骤

待监控面板内的图表基本确定之后,可点击「全屏」按钮,在全屏模式下进行统一监控。上述图表的所有查看功能,包括具体时间点监控数据详情查看、图表详情页内的排序、取消等,都可支持。如下图:

内网路由的目标网络支持目录视图 & 支持为 LB 负载均衡器添加路由表

VPC内网路由策略,主要功能是为VPC中的私有网络( Vxnet )添加路由,从而实现多个VPC的Vxnet 通过内网路由器进行内网通信。详情

内网路由策略支持单个添加,目前新增多条添加、批量添加功能。

1. 点击VPC,进入VPC的管理配置页面,进入内网路由策略页面

2. 点击“添加规则”

可以只添加一个目标网络,或者添加多个目标网络。如果添加了多个目标网络,提交成功后会生成多条内网路由规则

3. 点击“批量添加”,您可以选择需要连通到此VPC下私有网络(vxnet)的目录

4.确认目标网络是否正确

5. 检查新添加未应用的规则,点击“应用修改”

新增路由表功能,目前支持为LB添加路由表。详情

假设,客户端位于192.168.10.2,希望访问位于172.16.10.0/24的公私网混合LB(172.16.10.253),VPC中已经搭建完成隧道。

1. 点击路由表,进入路由表详情页

2. 点击“添加”路由表

只需要设置路由表的“名称”即可

3.点击“添加”路由表规则

目标网络:是希望访问内网LB的客户端地址段,在本示例中为192.168.10.0/24

下一跳:是lb所在网络的网关,在本示例中为172.16.10.1

4.查看路由表规则

5.绑定和解绑路由表和LB

可以在路由表页面,右键单击路由表绑定/解绑LB

也可以在LB页面,右键单击LB绑定/解绑路由表

或者在LB详情页面,网络栏单击LB绑定/解绑路由表

克隆主机支持选择网络,主机 & LB 负载均衡器加入网络支持指定 IP 地址

为方便用户规划和管理网络的IP地址,青云QingCloud在控制台中支持主机和LB加入网络时指定IP地址,并且在克隆主机时可以选择新主机的网络。

1. 克隆主机

克隆主机时,可以克隆出来主机部署在当前的网络或者其他的网络。选择当前网络时,可以点击【指定主机内网IP】指定内网IP地址。

当选择<其他网络>时,点击【选择要加入的私有网络】进入选择网络页

您可以点击选择克隆出来的主机要部署的网络,并且点击【指定主机内网IP】指定内网IP地址。

点击提交后,您选择的网络和IP地址将展现在私有网络中,供您核对信息。如果选择网络错误,您可以点击 x 号将网信息删除,然后就可以重新选择网络。

2. 主机加入网络

在主机加入网络时,新增【指定主机内网IP】按钮,用户点击后可以指定加入网络后的IP地址。

3. 负载均衡器 LB 加入网络

在主机加入网络时,新增【指定主机内网IP】按钮,用户点击后可以指定加入网络后的IP地址。

相应的API及API文档也已经同步更新。克隆主机

定时器任务支持自动跨区备份功能

定时器作为「运维与管理」内的一项重要功能,通过自动执行用户预设的任务,可以批量完成对资源的定时操作,有效减少了运维操作成本。

目前云平台支持例如定时开关主机、创建备份、调整带宽等多种定时任务,由于用户在运维过程中,有更多资源、更多任务地自动执行场景需求,现新增自动跨区备份功能,通过自动跨区备份,异地存储备份数据,保障备份数据安全。

操作步骤:

(1)创建定时器,如下图:

注:也可在已有的定时器内创建本任务。

(2)进入该定时器详情页内,点击“创建”按钮,创建定时器任务,如下图:

(3)选择“跨区复制备份”,如下图:

(4)点击“主机”、“硬盘”按钮,如下图,在资源弹框内选择需要执行跨区备份的具体主机/硬盘资源:

(5)选择自动跨区备份的目标区,目前只支持将备份自动复制到新区。如下图:

注:此图内是将Pek3内的备份自动复制至Gd2区。

(6)点击“提交”按钮,完成创建。

用户也可在「全局操作日志」内查看定时器任务执行情况。

SSL 证书共享功能上线,赋能网站协同运维

QingCloud SSL 证书管理功能是青云为企业和个人用户提供的一站式 SSL 证书管理服务,通过简单便捷的操作方式,帮助用户完成证书申请、管理和部署上线,使用方式参考用户指南

现在,SSL 证书共享功能也已上线,更加方便了用户,提高了证书利用率,减少了日常手工共享证书带来的风险。

使用方式

分享已有证书

在证书管理页面,可将指定证书分享给当前账户的子账户或者其他账户

在 网络 -> 负载均衡器 或者 CDN 管理页面,我们可以查看以及绑定来自共享的证书

注意:

  • 某一证书被共享给用户 A,用户 A 无权共享此证书给其他账户
  • 已被共享的证书,在未撤销共享之前,无法被删除

证书共享的具体使用方法可参考线上用户手册

 

监控告警支持 VPC / 私有网络 / LB 后端状态

监控告警功能是基于资源层面的监控数据,设置告警条件和通知列表, 在资源使用达到预设的红线时,提醒用户,以及时处理可能的突发事件。查看使用指南

在常规的监控告警之外,青云 QingCloud 此次新增的 VPC / 私有网络 / LB后端的监控,主要是用户的内部网络。监控指标包括双向的网络带宽,双向网络 PPS ,路由器的 CPU 和内存的使用情况, LB 后端的状态。这些指标主要是网络情况的宏观指标,但是假如受到网络攻击,或者业务出现爆发,这些事件势必会影响网络层面的监控数据触发警报,所以新增指标可以帮助用户迅速诊断和定位问题。

使用方法:

在运维与管理-监控告警页面,点击创建告警策略

选择路由器,可以添加 VPC 整体的告警规则

选择私有网络。可以添加整个私有网络的告警规则

选择负载均衡监听器,可以添加对监听器整体的告警规则,新增支持对后端服务器可用和不可用数量的告警规则

选择 LB 后端,可以添加后端的告警规则,新增支持后端服务状态的监控

其他设置与原有监控告警一致,用户可以选择监控的周期(1分钟/5分钟),自定义规则名称,设置告警的联系人和联系方式等。

青云QingCloud 云平台支持IPv4/IPv6双栈网络

2019年伊始,我们迎来了关于网络方面的重大升级——IPv6的支持。目前经过一段较长时间的运行测试,已具备向所有用户开放的条件,目前我们已经在 北京3区 / 北京3区-A / 广东2区 开通了IPv6的支持,欢迎您在控制台上进行体验。

IPv6与IPv4相比,优势主要体现在两个大的方面,一个是地址空间数量可以达到2的128次方,满足未来更多网络设备的需要,另一个则是更高的网络安全保证,IPv6可通过对地址的管理和路由机制,使得IP层的溯源与可信验证成为可能。

早前工信部关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》通知中要求,各大云服务厂商在2018年末完成50%云产品的IPv6改造。此次上线,我们已经完成了虚拟主机、专有私有网络VPC、弹性公网EIP、防火墙几个产品的IPv6升级改造。

经过此次升级之后,专有私有网络VPC将升级成为IPv4/IPv6双栈VPC,您无需申请公测资格,可直接在控制台上创建启用IPv6的VPC,或者将您旧有的VPC升级成为IPv6的VPC。

而对于私有云用户,还能享受到IPv4/IPv6双栈基础网络服务,体验全面IPv4/IPv6双栈的IaaS层基础设施服务。

简易使用指南

创建启用IPv6的专有网络VPC

您只需要在创建专有网络VPC时,在IPv6网络地址选择“系统自动分配”即可创建支持IPv4/IPv6双栈的VPC。创建后可查看IPv6管理地址范围的详细信息。专有网络VPC会默认分配掩码为 /56 的IPv6地址段。

创建启用IPv6的私有网络并连接到VPC

在专有网络VPC的详情页中,点击“+”号,直接为专有网络VPC添加私有网络。

在IPv6网络地址处选择“系统自动分配”或者“手动指定”,即可创建出启用IPv6的私有网络。创建完成后,即可查看私有网络的管理IPv6属性。私有网络的IPv6网络地址默认为掩码为 /64 的IPv6地址。

创建虚拟主机并加入到启用IPv6的私有网络

在私有网络中,点击“创建资源”按钮,选择“主机”,按照向导完成创建主机后,可查看虚拟主机的IPv6地址信息。

注意:目前平台支持IPv6网络的虚拟主机镜像为:CentOS 7.5(镜像ID:centos75x64b),Ubuntu Server 16.04(镜像ID:xenial5x64b)和Ubuntu Server 18.04(镜像ID:bionic1x64c),后续我们会制作更多支持IPv6的镜像。

 

这些镜像只有在加入启用IPv6的私有网络时才会打开IPv6的功能。

开通IPv6公网访问

获取到IPv6地址的虚拟主机,如果想要接入到公网,需要开通IPv6的公网访问。方法是在虚拟主机上右键点击,在弹出菜单中依次选择:“公网IP” — “IPv6接入公网”,在弹出的对话框中,为IPv6公网IP选择计费模式,点击“确定”即可。

接入公网以后,在公网IP页面,可查看接入公网的IPv6地址。

与IPv4公网IP一样,IPv6的公网IP支持“带宽计费”和“流量计费”两种模式。

我们秉持IPv6协议本身“地址无限”的理念,IPv6地址免费,只对使用流量和带宽收费。

为虚拟主机加载防火墙并开通IPv6协议

为了保证您的主机安全,我们会在接入公网连接的虚拟主机前加载防火墙以保证您的访问安全,因此接入公网之后,您需要在虚拟主机的防火墙上开通IPv6的相关访问协议。

在防火墙添加规则页面,开通IPv6相关的协议,即可放开IPv6的访问,添加完规则后点击“应用修改”使规则生效。

注意:除IPv6 ICMP(ping6)需额外配置以外,您防火墙里的其他策略规则会同时应用到IPv6地址,您无需额外配置。

至此,您就可以轻松的体验IPv6带来的种种好处了。

对于已有的专有网络VPC和私有网络,您可以一键升级成支持IPv6,具体操作请参阅使用指南

控制台账户安全升级:支持强制定期修改密码、登陆失败锁定账号和控制同时在线数量

为了提升云平台系统安全,我们对控制台账户安全体系做了进一步升级。

依次点击右上角头像 – > “账户安全”进入设置页面,即可看到本次升级的内容。如下图所示:

具体说明如下:

  • 周期更新密码

您可以为您的账号设定“ 1 月”、“ 3 月”和“ 6 月”的周期,例如“ 1 月”。之后当您登录系统时,若距离上次修改密码时间大于 1 个月,页面将强制跳转到密码修改页,完成密码修改您才可以在控制台进行其他管理操作。

修改密码时请注意:新密码不能与现有密码相同。

  • 登录失败锁定

若您选择启用该功能,您的账号在同一终端 6 小时内登录失败 5 次后,该账号在此终端将被锁定登录 24 小时。

若您的账号被锁定登录,24 小时后将会自动恢复,期间您也可以联系青云客服帮您清除锁定。但为了您的账户安全,我们不推荐您在未彻查锁定原因前便联系我们解锁。

请注意:登录失败判断并非连续。即使 6 小时内您曾经正确登录,我们依然会对既有失败状态累积计数。

  • 同时在线数量

您可以为您的账号设置 10 以内的最大同时在线数量,例如“5”,之后第 6 个浏览器或终端将无法使用您的账号成功登录青云控制台。若您选择“不启用”,则不会限制您的最大登录数量。

请注意:需要释放会话时,您需要手动退出登录,关闭浏览器并不会立即释放会话。