PDF《弹性云服务器》

3 存储 文档版本

23 (2019-06-03) 版权所有 ? 华为技术有限公司

5 4网络和安全 4.1 虚拟私有云 通过虚拟私有云(Virtual Private Cloud,以下简称VPC),您可以在自己的逻辑隔离区 域中定义虚拟网络,为弹性云服务器构建一个逻辑上完全隔离的专有区域.您还可以 在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网 络,进行安全、快捷的网络变更.同时,您可以自定义安全组内与组间弹性云服务器 的访问规则,加强弹性云服务器的安全保护. 虚拟私有云更多信息,请参见《虚拟私有云用户指南》. 4.2 用户加密 用户加密,是指用户通过公有云平台提供的加密特性,对弹性云服务器资源进行加 密,从而提升数据的安全性.用户加密功能包括镜像加密和云硬盘加密. 镜像加密 镜像加密支持私有镜像的加密.在创建弹性云服务器时,用户如果选择加密镜像,弹 性云服务器的系统盘会自动开启加密功能,从而实现弹性云服务器系统盘的加密,提 升数据的安全性. 创建加密镜像的方法有两种: l 通过已有的加密弹性云服务器创建加密镜像 l 通过外部镜像文件创建加密镜像 更多关于镜像加密的信息,请参见镜像加密. 云硬盘加密 云硬盘加密支持系统盘加密和数据盘加密. l 在创建弹性云服务器时,您可以对添加的数据盘进行加密. l 系统盘的加密依赖于镜像.在创建弹性云服务器时,如果选择的镜像为加密镜 像,那么系统盘默认开启加密功能,加密方式与镜像保持一致. 弹性云服务器 产品介绍

4 网络和安全 文档版本

23 (2019-06-03) 版权所有 ? 华为技术有限公司

6 更多关于云硬盘加密的信息,请参见云硬盘加密. 对弹性伸缩的影响 如果使用加密的弹性云服务器创建弹性伸缩配置,那么创建出来的伸缩配置,加密方 式与原云服务器保持一致. 关于密钥 加密所需的密钥依赖于数据加密服务(DEW,Data Encryption Workshop).DEW通过 数据加密密钥(Data Encryption Key, DEK),对具体资源进行加密,然后通过用户主 密钥(Customer Master Key, CMK)对DEK进行加密,保护DEK,如图4-1所示. 图4-1 数据加密过程 数据加密过程中涉及的几种密钥,如表4-1所示. 表4-1 密钥说明 名称 概念 功能 数据加密密钥 即DEK,是用户加密数据的加密密钥. 加密具体资源. 用户主密钥 即CMK,是用户通过DEW创建的密钥, 是一种密钥加密密钥,主要用于加密并保 护DEK. 一个用户主密钥可以加密多个DEK. 支持禁用、计划删除等 操作. 默认主密钥 属于用户主密钥,是用户第一次通过对应 云服务使用DEW加密时,系统自动生成 的,其名称后缀为 /default . 例如:evs/default l 支持通过管理控制 台KMS页面查询默 认主密钥详情. l 不支持禁用、计划 删除等操作. 说明 如果加密云硬盘使用的CMK被执行禁用或计划删除操作,操作生效后,使用该CMK加密的云硬 盘仍然可以正常使用,但是,当该云硬盘被卸载并重新挂载至弹性云服务器时,由于无法正常获 取密钥,会导致挂载失败,云硬盘不可用. 关于密钥管理的更多信息,请参见《数据加密服务用户指南》. 弹性云服务器 产品介绍

4 网络和安全 文档版本

23 (2019-06-03) 版权所有 ? 华为技术有限公司

7 4.3 Cloud-init Cloud-init是开源的云初始化程序,能够对新创建弹性云服务器中指定的自定义信息 (主机名、密钥和用户数据等)进行初始化配置. 通过Cloud-init进行弹性云服务器的初始化配置,将对您使用弹性云服务器、镜像服务 和弹性伸缩产生影响. 对镜像服务的影响 为了保证使用私有镜像新创建的弹性云服务器可以自定义配置,您需要在创建私有镜 像前先安装Cloud-init/Cloudbase-init. l 如果是Windows操作系统,需下载并安装Cloudbase-init. l 如果是Linux操作系统,需下载并安装Cloud-init. 在镜像上安装Cloud-init/Cloudbase-init后,即可在创建弹性云服务器时,按照用户的需 要自动设置弹性云服务器的初始属性. 更多关于安装的信息,请参见安装Cloud-Init工具. 对弹性云服务器的影响 l 在创建弹性云服务器时,如果选择的镜像支持Cloud-init特性,此时,您可以通过 系统提供的 用户数据注入 功能,注入初始化自定义信息(例如为弹性云服务 器设置登录密码),完成弹性云服务器的初始化配置. l 支持Cloud-init特性后,弹性云服务器的登录方式会产生影响. l 对于运行中的的弹性云服务器,支持Cloud-init特性后,用户可以通过查询、使用 元数据,对正在运行的弹性云服务器进行配置和管理. 对弹性伸缩的影响 l 创建伸缩配置时,您可以使用 用户数据注入 功能,指定弹性云服务器的初始 化自定义信息.如果伸缩组使用了该伸缩配置,则伸缩组新创建的弹性云服务器 会自动完成初始化配置. l 对于已有的伸缩配置,如果其私有镜像没有安装Cloud-init/Cloudbase-init,则使用 该伸缩配置的伸缩组创建的弹性云服务器在登录时会受到影响. 解决方法请参见《弹性伸缩用户指南》的 支持CLoud-init特性后,对使用弹性 伸缩有哪些影响? . 使用须知 l 使用Cloudinit特性时,需开启弹性云服务器所在VPC中子网的DHCP. l 使用Cloudinit特性时,安全组出方向规则需满足如下要求: C 协议:TCP C 端口范围:80 C 远端地址:169.254.0.0/16 弹性云服务器 产品介绍