本文為您介紹資源穩定性最佳實務的業務背景、應用情境,以及合規包中的預設規則。
業務背景
控風險是目前雲上客戶非常關注的主旋律之一。很多企業選擇阿里雲是因為能夠藉助阿里雲平台的高可用性來提升商務持續性。如何高效、全面地協助雲上客戶發現雲資源配置方面存在的風險,是提升企業商務持續性非常關鍵的組成部分。
這裡為您列舉一個因雲資源配置不當導致系統故障的案例,具體如下:
某企業的一個核心系統使用基礎版RDS資料庫(基礎版RDS資料庫執行個體適用於測試環境),日常由於業務波動較小,未出現問題。在企業大促期間,由於業務量上漲了2~3倍,資料即時處理量翻了10倍以上。資料庫執行個體響應慢,影響業務正常運行。最終發現是資料庫執行個體配置問題,通過升級規格,問題得到解決。
應用情境
基於技術經驗和雲端服務使用規範,配置審計對客戶核心資源進行靜態配置合理性巡檢,產生不合理配置檢測結果,您可以下載檢測報告並對不合理配置進行修正,例如:升級執行個體規格,調整配置等。
靜態配置即雲資源配置項,例如:執行個體規格、執行個體部署可用性區域等。
資源穩定性最佳實務應用情境的使用流程如下圖所示。
預設規則
規則名稱 | 規則描述 |
如果沒有開啟記錄備份,當本地日誌丟失會出現無法恢複資料的風險。如果RDS執行個體開啟記錄備份,視為"合規"。 | |
使用獨享類型的RDS執行個體規格,視為“合規”。 | |
RDS Mysql類型執行個體開啟SQL審計且日誌保留天數大於等於指定值,視為“合規”。預設值:180天。 | |
RDS執行個體為多可用性區域執行個體,視為“合規”。 | |
RDS執行個體未配置公網地址,視為“合規”。生產環境的RDS執行個體不推薦配置公網直接存取,容易被駭客攻擊。 | |
RDS執行個體的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | |
RDS執行個體開啟刪除保護,視為“合規”。付費類型為訂用帳戶的執行個體不支援該功能,視為“不適用”。 | |
RDS執行個體已開啟安全白名單,且安全白名單中不包含0.0.0.0/0,視為“合規”。 | |
Redis預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的執行個體視為“合規”。後付費資源執行個體不適用本規則,視為“不適用”。 | |
Redis執行個體自動備份的時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與Redis執行個體備份時間段有重疊,可能會對業務造成影響。 | |
Redis執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。 | |
Redis執行個體已設定禁用高風險命令,視為“合規”。 | |
Redis執行個體的架構類型為叢集版,視為“合規”。 | |
MongoDB預付費叢集到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的叢集,視為“合規”。 | |
MongoDB執行個體開啟記錄備份,視為“合規”。 | |
MongoDB執行個體規格非共用型執行個體,視為“合規”。 | |
MongoDB執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。 | |
對於預付費資源,需要提前續約,避免出現因費用問題停機。預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的執行個體,視為“合規”。後付費資源執行個體不適用本規則,視為“不適用”。 | |
使用的PolarDB產品系列為叢集版或者多主架構叢集版,視為“合規”。謹慎使用單節點版資料庫,故障恢複慢。 | |
PolarDB叢集的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。如果企業業務高峰時段與維護時間段有重疊,可能會對業務造成影響。 | |
PolarDB執行個體IP白名單未設定為0.0.0.0/0,視為“合規”。 | |
NAT Gateway的SNAT和DNAT未同時使用同一個EIP,視為“合規”。VPC NAT Gateway不適用本規則,視為“不適用”。 | |
NAT Gateway中SNAT條目綁定的多個EIP,加入共用頻寬包或者所綁定的EIP頻寬峰值設定一致,視為“合規”。VPC NAT Gateway不適用本規則,視為“不適用”。 | |
SLB負載平衡的所有運行中的監聽都開啟了健全狀態檢查,視為“合規”。 | |
ALB負載平衡的所有監聽和轉寄規則均設定了健全狀態檢查,視為“合規”。 | |
ALB負載平衡所有監聽關聯的預設轉寄規則都至少添加參數指定數量的後端伺服器,視為“合規”。預設至少要添加一台伺服器視為“合規”。 | |
對於預付費資源,需要提前續約,避免出現因費用問題停機。預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的執行個體視為“合規”。後付費資源執行個體不適用本規則,視為“不適用”。 | |
開啟刪除保護功能,可以防止誤操作導致執行個體被釋放。如果已配置則視為"合規"。 | |
SLB執行個體開啟釋放保護,視為“合規”。 | |
SLB執行個體規格在指定的規格列表中,視為“合規”。建議使用滿足效能要求的Server Load Balancer執行個體,謹慎使用效能共用型等無法保證效能指標的執行個體。 | |
雲企業網執行個體下所有跨地區串連分配的頻寬大於參數指定值,視為“合規”。參數預設值:1Mbps。 | |
雲企業網執行個體關聯的VBR都設定了健全狀態檢查,視為“合規”。 | |
同地區內所有交換器不存在重複的IP位址區段,視為“合規”。 | |
ECS執行個體狀態不是已停止狀態,視為“合規”。 | |
對於預付費資源,需要提前續約,避免出現因費用問題停機。預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。開啟自動續約的執行個體視為“合規”。後付費資源執行個體不適用本規則,視為“不適用”。 | |
自動快照策略中設定的快照建立時間點在參數指定的時間點範圍內,視為“合規”。建立快照會暫時降低Block StorageI/O效能,一般效能差異在10%以內,出現短暫瞬間變慢。建議您選擇避開業務高峰的時間點。 | |
當安全性群組入網網段設定為0.0.0.0/0時,指定協議的連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。如果檢測到的風險連接埠被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | |
為網域名稱設定了CDN緩衝和到期時間,視為合規。 | |
CDN網域名稱設定來源站點網域名稱為OSS網域名稱時,設定了來源站點類型為OSS,視為“合規”。 | |
Kafka執行個體公網IP白名單未設定為對所有IP開放,視為“合規”。 | |
Elasticsearch執行個體未開啟公網訪問,或者白名單未設定為對所有IP開放,視為“合規”。 | |
Elasticsearch執行個體未開啟Kibana公網訪問,或者白名單未設定為對所有IP開放,視為“合規”。 | |
如果沒有開啟版本控制,會導致資料被覆蓋或刪除時無法恢複。如果開啟版本控制則視為"合規"。 | |
OSS儲存空間的ACL策略禁止公用讀寫,視為“合規”。 | |
未使用參數指定的ECS規格類型系列執行個體,視為“合規”。參數預設值為已停售或者共用型的執行個體規格類型系列。 | |
未使用參數指定的Elasticsearch規格執行個體,視為“合規”。 | |
使用參數指定系列的RDS執行個體,視為“合規”。參數預設值為叢集版或高可用版。 | |
使用專業版的託管類型叢集,視為“合規”。叢集類型非託管版的叢集不適用本規則,視為“不適用”。 | |
使用執行個體類型為企業版的Redis執行個體,視為“合規”。 | |
使用多可用性區域的MongoDB執行個體,視為“合規”。 | |
使用鉑金版RocketMQ執行個體,視為“合規”。 | |
企業可以規範企業內部的OS版本,要求生產環境的主機都必須統一作業系統版本。同時對於那些官方停止維護的作業系統需要及時升級,以免出現安全性漏洞。ECS執行個體使用的作業系統英文名稱在指定的白名單範圍中,或者作業系統英文名稱不在指定的黑名單範圍中,視為“合規”。 | |
Elasticsearch執行個體所使用的版本未在參數指定的不推薦版本範圍內,視為“合規”。 | |
PolarDB當前資料庫小版本狀態為 | |
ACK叢集已升級到最新版本,視為“合規”。 | |
Redis執行個體已升級至最新小版本,視為“合規”。 | |
ECS執行個體開啟釋放保護,視為“合規”。 | |
Elastic IP Address開啟刪除保護,視為“合規”。服務帳號建立或者預付費類型的EIP不支援開啟刪除保護,視為“不適用”。 | |
PolarDB叢集開啟刪除保護,視為“合規”。 | |
ACK叢集開啟釋放保護,視為“合規”。 | |
Redis執行個體開啟釋放保護,視為“合規”。 | |
MongoDB執行個體開啟釋放保護,視為“合規”。 | |
ADB叢集的可維護時間段在參數指定的其中一個時間段範圍內,視為“合規”。 | |
ECI彈性執行個體容器組掛載了資料卷,視為“合規”。 | |
Elasticsearch執行個體開啟了自動備份,視為“合規”。 | |
ADB叢集開啟記錄備份,視為“合規”。 | |
PolarDB叢集二級備份保留周期大於等於指定天數,視為“合規”。參數預設值30天。未開啟二級備份或備份保留周期小於指定天數視為“不合規”。 | |
Redis執行個體開啟增量備份,視為“合規”。本規則只適用於類型為Tair的執行個體,非Tair類型的執行個體視為不適用。 | |
ECS磁碟設定了自動快照策略,視為“合規”。 | |
使用多可用性區域的Elasticsearch執行個體,視為“合規”。 | |
SLB執行個體為多可用性區域,並且SLB執行個體下所有監聽使用的伺服器組中添加了多個可用性區域的資源,視為“合規”。 | |
SLB執行個體為多可用性區域執行個體,視為“合規”。 | |
PolarDB叢集開啟儲存熱備叢集,資料分布在多個可用性區域,視為“合規”。 | |
Redis執行個體為多可用性區域執行個體,視為“合規”。 | |
如果沒有開啟同城冗餘儲存,會導致當出現某個機房不可用時,OSS服務無法提供一致性服務,影響資料恢複目標。OSS儲存空間開啟同城冗餘儲存,視為“合規”。 | |
使用多可用性區域的MongoDB執行個體,視為“合規”。 | |
共用頻寬執行個體的到期時間距離目前時間大於參數設定的時間範圍,視為“合規”。預設值:30天。本規則只適用於預付費資源,後付費資源執行個體視為“不適用”。 | |
對於預付費資源,需要提前續約,避免出現因費用問題停機。預付費執行個體到期時間距離檢查時間大於設定的天數,視為“合規”。預設值:30天。後付費資源執行個體不適用本規則,視為“不適用”。 | |
Bastionhost執行個體的到期時間距離目前時間大於參數設定的時間範圍,視為“合規”。預設值:30天。 | |
Elastic IP Address的到期時間距離目前時間大於參數設定的時間範圍,視為“合規”。預設值:30天。後付費資源執行個體不適用本規則,視為“不適用”。 | |
ADB數倉版執行個體的到期時間距離目前時間大於參數設定的時間範圍,視為“合規”。預設值:30天。開啟自動續約的執行個體視為“合規”。本規則只適用於預付費資源,後付費資源執行個體視為“不適用”。 | |
雲企業網頻寬包的到期時間距離目前時間大於參數設定的時間範圍,視為“合規”。預設值:30天。 | |
PolarDB-X1.0執行個體的到期時間距離目前時間大於參數設定的天數,視為“合規”。預設值:30天。本規則只適用於預付費資源,後付費資源執行個體視為“不適用”。 | |
PolarDB-X2.0執行個體的到期時間距離目前時間大於參數設定的天數,視為“合規”。預設值:30天。本規則只適用於預付費資源,後付費資源執行個體視為“不適用”。 | |
Ddos執行個體的到期時間距離目前時間大於參數設定的天數,視為“合規”。預設值:30天。 |