网络类场景
网络延迟 网络延迟场景可以指定网络延迟因素(例如网卡、本地端口、远程端口、目标IP等)和延迟时间,对应用或服务注入网络调用延迟故障。验证网络延迟情况下系统的容错能力。表 1.参数说明 参数名称 参数说明 网卡名称 具体的网卡设备,为...
搜索引擎线路
概述 搜索引擎是指搜索引擎爬虫(又被称为网页蜘蛛,网络机器人),是一种按照一定的规则、自动地抓取万维网信息的程序或者脚本。应用场景 网站被搜索引擎爬虫访问会耗费服务器的流量和带宽,可通过设置 搜索引擎线路 专门指向一个服务器...
镜像构建并且推送到镜像仓库
需要配置专有网络的访问控制,才能打通ECS到ACR企业版实例的网络。具体操作,请参见 配置专有网络的访问控制。由于流水线默认执行环境不支持固定公网以及内网IP网段,因此流水线默认执行环境无法访问ACR企业版实例,需要使用流水线专有执行...
镜像构建并且推送到镜像仓库
需要配置专有网络的访问控制,才能打通ECS到ACR企业版实例的网络。具体操作,请参见 配置专有网络的访问控制。由于流水线默认执行环境不支持固定公网以及内网IP网段,因此流水线默认执行环境无法访问ACR企业版实例,需要使用流水线专有执行...
强弱依赖治理最佳实践
在对业务分析进行依赖预判后,应通过故障注入的方式验证真实依赖关系是否与预判相符,例如注入依赖的服务间的网络延迟故障。强弱依赖的验证可以有多种指标,例如监控与日志的报警,请求的返回状态码等等。本文示例预期frontend与...
iOS端WebView业务场景“IP直连”方案说明
背景说明 在App WebView加载网络请求场景下,Android/iOS系统可基于系统API进行网络请求拦截,并实现自定义逻辑注入,如使用HTTPDNS进行基于IP的直连请求。但iOS系统在Webview场景下拦截网络请求后,需要接管基于IP的网络请求的发送、数据...
配置威胁检测规则
SQL注入攻击(联合注入)配置项 配置示例 基本信息 规则名称 sql_injection 规则描述 SQL注入攻击(联合注入)威胁等级 高危 威胁类型 异常网络流量 规则逻辑设置 日志范围 日志分类选择 HTTP活动。日志类型选择 ALB流日志、CLB7层日志、...
配置Sidecar代理
为集群中的业务容器注入Sidecar代理,可以增强服务调用之间的网络安全性、可靠性和可观测性。您可以根据实际业务需求,灵活配置Sidecar代理的资源、生命周期、流量拦截策略、可观测能力等参数。本文介绍如何配置Sidecar代理以及相关配置项...
Sidecar Acceleration using eBPF
重要 Sidecar Acceleration using eBPF组件开启后,ACK集群中注入Sidecar的业务Pod下,业务Container和Sidecar之间的网络通信在环回接口LO设备上抓不到PSH包。同节点下Sidecar和Sidecar之间的通信也抓不到PSH包。创建ASM实例。具体操作,请...
Sidecar Acceleration using eBPF
重要 Sidecar Acceleration using eBPF组件开启后,ACK集群中注入Sidecar的业务Pod下,业务Container和Sidecar之间的网络通信在环回接口LO设备上抓不到PSH包。同节点下Sidecar和Sidecar之间的通信也抓不到PSH包。创建ASM实例。具体操作,请...
DNS解析及缓存策略说明
参数 说明 Glibc中默认值 ECS DNSPolicy为ClusterFirst的Pod DNSPolicy为Default的Pod 注入了NodeLocal DNSCache的Pod DNSPolicy为Default且采用主机网络的Pod nameserver 解析域名时使用的DNS服务器 空 VPC DNS服务器 ② CoreDNS ...
什么是容器报警演练
容器演练是针对Kubernetes集群定制的故障演练,可以对Kubernetes集群中至关重要的高可用特性进行验证。目前AHAS仅支持容器演练中的报警演练。...无需在用户集群中安装探针以注入故障,所有事件投递都是通过API Server来进行网络请求。
快速入门
若您需要测试应用在特殊环境下是否能正常运行,可以通过 PelicanDT 来模拟停止应用、CPU 占用率过高、CPU 内存过高、网络中断、网络流量延时等异常环境以进行测试。本文以向服务器注入查询当前路径的命令为例,介绍 PelicanDT 的使用方法。...
使用NodeLocal DNSCache
方式一:配置DNSConfig自动注入 DNSConfig动态注入控制器可用于自动注入DNSConfig至新建的Pod中,避免您手工配置Pod YAML进行注入。本应用默认会监听包含 node-local-dns-injection=enabled 标签的命名空间中新建Pod的请求,您可以通过以下...
同城多活架构实践
应用多可用区部署的情况下,期望RPC调用可用区内封闭,以避免跨可用区网络请求带来的RT增长。建设原则:保证冗余。保持对等。保持封闭。建设难点:流量管理难度高。当发生可用区级故障、灾难时:需具备HTTP、HTTPS流量的可用区级动态调配...
基础术语
边车 Sidecar Sidecar 是一个轻量级的网络代理,它们与应用程序部署在一起,对所有流入与流出的网络请求进行拦截,实现各种网络策略,例如服务发现与负载均衡、流量拆分、故障注入(fault injection)、熔断器以及分阶段发布等功能。...
主机健康诊断
物联网边缘计算的主机管理页面为您提供了主机健康诊断功能,可以对主机的系统配置、系统运行状态、系统软件运行状态、主机网络状态、主机历史运行状态进行全方位的诊断,帮助您了解主机的健康状态,及时发现并解决常见的问题。使用限制 仅...
什么是服务网格
Sidecar 是一个轻量级的网络代理,它们与应用程序部署在一起,对所有流入与流出的网络请求进行拦截,实现各种网络策略,例如:服务发现与负载均衡、流量拆分、故障注入、熔断器以及分阶段发布等功能。功能一览 服务网格包含以下子产品和...
应用防护FAQ
网络层流量级的攻击过滤和防护。通用防护范围 针对SQL注入、跨站脚本(XSS)、远程代码执行、文件包含、Webshell等常见的Web漏洞提供防御措施。擅长防护范围 0day、复杂编码/加密流量、内存马、非HTTP协议、内网横向渗透 拒绝服务攻击...
产品架构
产品架构图 AHAS Agent AHAS Agent安装在指定的目标机器上,用来执行服务端下发的故障注入命令以及采集演练相关的必要信息,例如CPU、内存占用等。主要有以下特点:快捷高效:支持在控制台一键安装AHAS Agent,如果是公网则需要用户手动...
围绕混沌工程的平台实践
在场景真实性上AHAS Chaos也做了严格的筛选,无论是基础设施还是应用层针对的都是通用的组件,是被大多数的系统和业务所依赖的,例如CPU、磁盘、网络、MySQL等,此外AHAS Chaos还提供了阿里云组件的故障注入能力。演练经验。如果说演练场景...
AutoUpdate僵尸网络攻击分析
初始攻击 建立据点 横向移动 持久化 收尾 远程服务漏洞利用(Spring、Shiro、Weblogic、知名OA等)破坏防御-关闭安全软件 内外网漏洞扫描 执行流劫持-动态链接库注入 清除命令记录 未授权访问(Docker、Redis等)清理其他僵尸网络 ...
内置的安全审计规则
数据库审计规则按照以下攻击场景进行分类:异常操作 应用账号风险操作 运维人员风险操作 数据库探测 数据泄露 拖库攻击 数据库外联 大流量返回 漏洞攻击 缓冲区溢出 存储过程滥用 拒绝服务漏洞 隐通道攻击 SQL注入 SQL注入尝试利用 疑似SQL...
故障注入
您可以通过故障注入功能向测试应用注入故障,检测应用面对异常时的处理情况。您可以根据检测的情况调整您的应用,以减少应用在正式使用时出现的异常问题。多用于测试环境。配置故障注入规则 登录 SOFAStack 控制台。在左侧菜单栏选择 ...
故障注入
您可以通过故障注入功能向测试应用注入故障,检测应用面对异常时的处理情况。您可以根据检测的情况调整您的应用,以减少应用在正式使用时出现的异常问题。多用于测试环境。功能简介 故障注入流程如下所示:在微服务中,其实现方式为:管控...
配置Sidecar注入策略
ASM自带一个Sidecar注入器,能够自动为新建的Pod添加Sidecar代理。您可以配置注入器的策略以满足特定需求,通过标签选择哪些Pod需要加入Sidecar,从而更有效地使用资源并简化管理。根据集群的大小和负载,您也可以调整注入器的资源配置,...
检测攻击类型说明和防护建议
攻击者极有可能通过DNS协议来突破内网网络限制,从而将敏感信息带出内网,也可能通过DNS协议去探测内网系统是否存在SSRF、JNDI注入等漏洞。恶意DNS查询是由服务器向用户控制的参数发送请求所引起的。请检查参数并通过白名单进行限制。恶意...
管理全局命名空间
本文介绍如何新建命名空间、为命名空间启用自动注入、同步ASM实例与数据平面集群的自动注入标签、编辑全局命名空间的所属集群。新建命名空间 通过 服务网格 ASM控制台或者使用ASM KubeConfig定义的命名空间隶属于ASM实例本身,与该ASM管理...
使用金丝雀模式增强升级稳定性
在金丝雀升级过程中,将使用 istio.io/rev:stable 为对应命名空间中的Pod注入稳定版本网格代理,使用 istio.io/rev:canary 为对应命名空间中的Pod注入金丝雀版本的网格代理。升级完成后,即使不将 istio.io/rev:stable 替换回 istio-...
工具介绍
PelicanDT(Pelican Distributed Test),是阿里云提供的一款针对 Linux 系统的测试环境模拟工具,是主要针对分布式应用提供的集成测试解决方案,用于...例如:停止应用、CPU 占用率过高、CPU 内存过高、网络中断、网络流量延时等测试环境。
什么是应用防护
攻击者极有可能通过DNS协议来突破内网的网络限制,从而将敏感信息带出内网,也可能通过DNS协议去探测内网系统是否存在SSRF、JNDI注入等漏洞。恶意DNS查询是由服务器向用户控制的参数发送请求所引起的。请检查参数并通过白名单进行限制。...
控制OPA Sidecar代理注入的范围
开放策略代理(OPA)插件通过为应用注入OPA Sidecar代理来定义访问控制策略。当您需要对特定命名空间的应用程序进行精细化授权和访问控制时,可以启用OPA注入范围控制功能,仅添加了 opa-istio-injection=enabled 标签的命名空间下的Pod会...
控制OPA Sidecar代理注入的范围
开放策略代理(OPA)插件通过为应用注入OPA Sidecar代理来定义访问控制策略。当您需要对特定命名空间的应用程序进行精细化授权和访问控制时,可以启用OPA注入范围控制功能,仅添加了 opa-istio-injection=enabled 标签的命名空间下的Pod会...
注入配置信息
配置项可以用于容器运行环境的存储及配置,SAE 支持通过配置项将环境配置信息和容器镜像解耦,即使用挂载配置文件向容器中注入配置信息。本文介绍如何在 SAE 控制台向容器中注入配置信息。前提条件 在命名空间中创建配置项。具体信息,请...
升级Sidecar代理
本文介绍如何通过自动注入Sidecar和手动注入Sidecar这两种方式升级Sidecar代理。前提条件 已通过kubectl连接至ACK集群。具体操作,请参见 获取集群KubeConfig并通过kubectl工具连接集群。背景信息 Sidecar升级的操作是在数据面的Kubernetes...
配置注入
使用 Spring MVC 注解注入配置,降低使用配置成本。可以直接使用@Value 注入配置:@Component class SampleRunner implements ApplicationRunner {@Value("${user.id}")String userId;Value("${user.name}")String userName;Value("${user....
Robots.txt
背景信息 当一个搜索蜘蛛访问一个站点时,它会首先检查该站点的根目录下是否存在Robots.txt,如果存在,搜索蜘蛛就会按照该文件中的内容来确定访问的范围,如果该文件不存在,搜索蜘蛛能访问网站上所有没有被口令保护的页面。操作步骤 进入...
功能优势
AHAS Chaos 支持一次演练包含多个定义的故障场景,同时您可以定制这些场景的运行方式,选择依次进行故障注入或同时注入多个场景,通过不同的策略配置来达到不同的故障注入效果。丰富的故障场景 丰富的故障场景也是 AHAS Chaos 的一大特色,...
Robots.txt
背景信息 当一个搜索蜘蛛访问一个站点时,它会首先检查该站点的根目录下是否存在Robots.txt,如果存在,搜索蜘蛛就会按照该文件中的内容来确定访问的范围,如果该文件不存在,搜索蜘蛛能访问网站上所有没有被口令保护的页面。如果用户需要...
演练场景
配置项 说明 故障注入产品 选择注入故障的产品。应用 选择注入故障的应用。IP 列表 指定执行演练的 IP 地址,如果有多个,可以用逗号分隔。说明 指定 IP 后,该演练场景不能在多个环境之间进行同步。原子操作 根据实际业务需求选择原子操作...
- 产品推荐
- 这些文档可能帮助您