Q&A—公有云运维的挑战与解决之道

2020年3月19日,新钛云服举办的混合云2.0系列沙龙—《公有云运维的挑战与解决之道》直播现场火爆。我们特将大家关心的互动提问梳理,由新钛云服资深专家共同回答,供大家参阅。

1、请教下,对于内部破坏的微盟事件有好的应对策略吗?

答:给出2个建议吧:

(1)做好备份策略,特别注意备份有效性的验证

(2)备份管理员和线上管理员(DBA、系统工程师等)权限分离

2、主机安全防护方面是建议使用公有云自由的安全产品例如阿里云的云安全中心还是使用像云锁或者安全狗这类的第三方产品呢?

答:建议使用第三方的主机安全产品,这样有助于在一个安全平台里面管理多家云的云主机或者自己私有云中的云主机。

3、tiops是把不同公有云的资产都放在统一的维度进行管理吗?

答:是的。

4、胥老师,请问下面对社会工程学方式的安全入侵,有哪些安全建议及防护方式?

答:社会工程学攻击比较难防,建议:

(1)对全员进行基础的安全意识培训

(2)对运维、开发、测试这些可能接触到敏感数据的技术人员,进行重点培训

(3)定期的安全宣教,例如公司安全周等

(4)定期的社会工程学入侵演练

新钛云服在这一方面有些经验,可以进一步接洽。

5、私有云怎么进行弹性伸缩呢?

答:私有云的弹性伸缩能力取决于资源池的规模,在有一定容量冗余的条件下,可以通过私有云平台本身的能力或者基础设施即代码的方式进行弹性伸缩。

6、请问云内的安全组和物理设备的防火墙配置有什么区别和联系呢?可以相互替代吗?

答:在公有云上,没有物理的防火墙,所以无法相互替代。但这两者的设计理念基本上是相同的。

7、前面你说的用 IPsec VPN的时候有没有遇到性能问题,吞独量的范围?

答:IPsec VPN一般用于管理型流量或者带宽要求不高的数据同步,在这些场景下不存在性能问题。如需要大的吞吐量,一般考虑商业的专线互联。

8、等保2.0租户东西流量的防护 在公有云怎么实现的?

答:建议使用VPC子网划分、网络ACL、安全组和系统自带的软件防火墙进行管控。

9、社区版和商业版 功能一样吗?

答:商业版功能更加稳定,一些核心特性一般不在社区版里。

10、我们当前对接的是第三方支付,怎么做安全策略比较合适?

答:建议采用纵深防御安全策略,从物理安全、网络安全、系统安全、应用安全、数据安全等多个层次进行纵深防御。

11、胥老师好,请问在云平台的运维管理网接入,运维终端管理有没有好的经验分享,谢谢。

答:一方面可以使用VPN等构建虚拟私有管理通道,避免管理流量走公网;另一方面,可以考虑选择成熟的商业堡垒机,例如新钛云服TiOPS就具备堡垒机和运维审计能力。

12、和多云对接,是否需要云的超级管理员密码,平台如何保证密码的安全?

答:对接多云,只需要云账号的Access Key,不需要超级管理员密码,密码在TiOps是加密的,不会明文保存。

13、啥叫业务树?这个设计逻辑是什么?

答:根据公司的组织架构来创建业务树,每个业务节点可以挂载资源,以业务树视角来管理资源,会更加方面和直观。

14、agent总是安装失败怎么排查?

答:可以查看日志或者卸载Agent后重新进行安装,一般安装失败是因为端口没放开原因,需要检查下防火墙或者安全组策略。

15、容器的功能不错,这个产品有试用,或者测试吗?试用环境有什么要求?

答:如果想试用,可以在我们的官网免费下载,部署环境上面均有详细描述。下载地址:https://www.tyun.cn/download.html

16、请问,容器管理除了kubernetes,还支持其它容器平台吗?

答:暂时只支持kubernetes,后期也会根据客户需求来增加其他容器平台。

17、请问 支持部署k8s的pod吗,还是说只支持管理k8s的pod

答:可以在TiOps平台部署Pod。

18、专有云业务快速切换到公有云上有什么好的方案,多云管控在这个场景下能提供什么样的能力?

答:TiOps多云管控支持主流公有云、私有云和容器平台,业务切换需要通过第三方工具来进行。

19、Tiops是主要调用云平台API去纳管,还是通过agent的方式或者那种方式呢?

答:TiOps管理公有云、私有云和容器是通过API来纳管,管理局域网主机是通过网关Proxy方式来管理。

20、支持审计命令结构化存储查找筛选吗?

答:TiOps堡垒机功能支持命令结构化筛选和查找。

21、请问目前有对主机、存储、数据库外的服务进行纳管的规划吗?

答:目前版本已经支持对主机、存储和网络进行全生命周期管理,未来会对数据库进行纳管。

22、批量的命令是否支持在容器环境执行?

答:暂时不支持。

23、是否支持 跨云迁移呀?

答:暂时不支持跨云迁移。

24、后台操作权限控制的粒度?

答:可以通过用户、用户组和自定义角色来控制权限,在自定义角色里可以对用户进行资源授权和功能授权。

25、想请问下,目前的Tiops平台支持云资源的构建、编排和完整生命周期管理吗?

答:TiOps目前支持对云主机、网络和存储核心资源的全生命周期管理。

26、是否支持Windows服务器的管理?

答:TiOPs支持Windows服务器管理。

27、是不是攻击了云管平台,就危险了?

答:TiOps本身包含堡垒机功能,我们本身也有安全策略来防止攻击。

28、统计报表有哪些解决方案呢?

答:目前平台统计报表包含云资源账单报表和主机资产报表。

课程回放:

课件下载地址:

链接:https://pan.baidu.com/s/1mo95v0L1KUaIgyeByS2PAA

提取密码:关注新钛云服公众号,回复“公有云运维”,获取提取密码