AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 计算巢服务 发布服务 创建服务 部署管理 高级选项 为托管版单租服务设置隔离级别

为托管版单租服务设置隔离级别

更新时间:
产品详情
我的收藏

本文介绍了托管版单租服务,如何设置隔离级别,同时介绍了各个隔离级别的含义。

背景信息

在托管版单租的部署模式中,为控制数据的适用范围,往往需要服务商进行不同级别的数据隔离。实践中,计算巢总结并为服务商提供了三种级别的隔离,即:账户隔离、Vpc隔离、云资源隔离。本文主要介绍这三种隔离级别的含义,以及具体要求。

隔离级别

计算巢同了三种隔离级别,即:账户隔离、Vpc隔离、云资源隔离

账户隔离

什么是资源目录:资源目录支持服务商快速建立一套符合企业业务关系的目录结构,并将服务商多个账号分布到这个目录结构中的相应位置,从而形成资源间的多层级关系。服务商可依赖目录结构进行账号与资源的集中管理,满足服务商在网络部署、账单结算、用户权限、安全合规和日志审计等方面的统一管控要求。更多信息,请参见什么是资源目录

服务实例按账户维度隔离,每个服务实例部署在一个独立的资源目录成员账户中。在创建服务实例时会先创建资源目录成员账户,使用资源目录成员账户之前要先进行资源目录开通,开通方式详见:开通资源目录

关于此种隔离方式服务实例的部署和后续更多操作,参见全托管服务支持资源按资源目录隔离

账号隔离

Vpc隔离

服务实例按VPC维度隔离,每个服务实例对应一个独立的VPC,需要在服务模板中设置新建VpcVSwitch。这种隔离级别,各用户间的网络是隔离的,通过内网无法相互调用。

VPC隔离

云资源隔离

云资源隔离是指在相同的Vpc网络内,服务实例通过部署到不同的云资源内来实现隔离。常见的隔离方式有安全组隔离、容器集群隔离、容器命名空间隔离。

  1. 安全组隔离:不同的服务实例部署到不同的安全组,不同安全组之间默认是内网隔离的,这样不同服务实例之间可以实现网络隔离的效果。

  2. 容器集群隔离:创建服务实例时新建容器集群,实现每个服务实例都部署在一个独立的容器集群上,不会在资源层面互相干扰。

  3. 容器命名空间隔离:不同服务实例共用一个容器集群,通过将服务实例部署到不同的命名空间中,来实现不同服务实例间的隔离。这种隔离性相对较弱,可能会出现资源争抢或网络隔离的问题,需要配合设置命令空间资源阈值和网络访问策略来进一步隔离。

设置隔离级别

在创建单租版全托管服务前,服务商需要先开通资源目录。更多信息,请参见开通资源目录

  1. 登录计算巢控制台

  2. 在左侧导航栏中,选择我的服务,并在我的服务页面中单击创建新服务。选择自定义创建服务,并选择创建全托管服务

  3. 创建服务页面,配置服务信息。

    隔离级别处,选择隔离级别,而后补充其他信息。更多信息,请参见创建全托管服务

    image

  4. 如果您选择的隔离级别是账户隔离VPC隔离,您需要在服务模板中配置新建VpcVSwitch。您可参考下面的样例编辑您的模板:

    ROSTemplateFormatVersion: '2015-09-01'
Description:
  en: New Vpc
  zh-cn:  New Vpc
Parameters:
  ZoneId:
    Type: String
    AssociationProperty: ALIYUN::ECS::Instance:ZoneId
    Label:
      en: Zone ID
      zh-cn: 可用区
    Required: true
    Default: null
  VpcCidrBlock:
    Type: String
    Label:
      en: VPC CIDR IPv4 Block
      zh-cn: 专有网络IPv4网段
    Description:
      zh-cn: VPCip地址段范围,<br>您可以使用以下的ip地址段或其子网:<br><font color='green'>[10.0.0.0/8]</font><br><font color='green'>[172.16.0.0/12]</font><br><font color='green'>[192.168.0.0/16]</font>
      en: 'The ip address range of the VPC in the CidrBlock form; <br>You can use the following ip address ranges and their subnets: <br><font color=''green''>[10.0.0.0/8]</font><br><font color=''green''>[172.16.0.0/12]</font><br><font color=''green''>[192.168.0.0/16]</font>'
    Default: 192.168.0.0/16
    Required: true
    AssociationProperty: ALIYUN::VPC::VPC::CidrBlock
  VSwitchCidrBlock:
    Type: String
    Label:
      en: VSwitch CIDR Block
      zh-cn: 交换机子网网段
    Description:
      zh-cn: 必须属于VPC的子网段。
      en: Must belong to the subnet segment of VPC.
    Default: 192.168.0.0/24
    Required: true
    AssociationProperty: ALIYUN::VPC::VSwitch::CidrBlock
    AssociationPropertyMetadata:
      VpcCidrBlock: VpcCidrBlock
Resources:
  Vpc:
    Type: ALIYUN::ECS::VPC
    Properties:
      CidrBlock: 192.168.0.0/16
  VSwitch:
    Type: ALIYUN::ECS::VSwitch
    Properties:
      ZoneId:
        Ref: ZoneId
      VpcId:
        Ref: Vpc
      CidrBlock: 192.168.0.0/24

  5. 单击创建服务,并在弹出的确认弹窗中单击确定

上一篇:高级选项下一篇:全托管服务支持按账户隔离