ECS镜像(二)ECS实例标识实践

本文涉及的产品
云服务器 ECS,每月免费额度280元 3个月
云服务器ECS,u1 2核4GB 1个月
简介: 实例标识 一、背景 随着云技术的普及,越来越多的用户大到企业客户,软件供应商,小到普通创业者逐步开始将自己的基础设施搬迁到云上,同时越来越多用户对云主机的“可信任性”提出了需求,比如以下场景: 场景一: 软件license安全问题 场景描述 比如某isv想在阿里云云市场上架其软件,区别于传...

实例标识

一、背景

随着云技术的普及,越来越多的用户大到企业客户,软件供应商,小到普通创业者逐步开始将自己的基础设施搬迁到云上,同时越来越多用户对云主机的“可信任性”提出了需求,比如以下场景:

场景一: 软件license安全问题

场景描述

比如某isv想在阿里云云市场上架其软件,区别于传统的软件license计费模式,一般云计算厂商的计费模式相对复杂,isv想通过一种与云资源比如ecs协同计费的方式进行收费,比如按照该软件在ecs上的运行时间进行计费,那么对应的计费方案可能是如果运行该软件的 虚拟机是阿里云的ecs那么该软件默认license校验通过,isv通过镜像市场镜像进行收费。

问题

  1. isv该如何验证其软件运行环境是阿里云ecs而不是其它云主机

场景二: 向虚拟机发送敏感数据

在虚拟机启动后,可能需要向虚拟机发送一些敏感数据,比如证书等,此时用户需要一种机制来验证虚拟机的身份

问题

  1. 如何让用户信任该虚拟机是阿里云ecs
  2. 如何表达每一台ecs的“身份”

以上场景需要云计算厂商为用户提供一种机制来验证虚拟机的身份 ,“实例标识” 应运而生,其通过数字签名的方式来保障数据信息的真实性,准确性,来源

二、了解实例标识

2.1 基本概念

需要理解的核心概念列表:

  1. 实例标识文档
  2. 实例标识签名
  3. 公有证书

image.png

综上,阿里云ECS实例标识通过实例身份+动态数字签名的方式来保证数据的真实性与准确性,从而为用户提供了一种验证数据来源可靠性的有效方式。

2.2 工作原理

工作原理图

image.png

上图简单表达了一个用户app通过阿里云ecs使用实例标识的流程:

  1. 用户在vm内部调用 100.100.100.200/latest/dynamic/instnace-identify/document获取实例标识文档
  2. 用户在vm内部调用 100.100.100.200/latest/dynamic/instnace-identify/pkcs7获取实例标识签名
  3. 用户从官方渠道比如官方帮助文档获取公开证书,保存为ecs.cer
  4. 用户通过实例标识文档来获取ecs相关的身份信息,可以通过身份信息进行第一步认证比如:私网ip,归属aliuid,mac等
  5. 通过openssl工具验证签名有效性
  6. smime -verify -in signature -inform PEM -content document -certfile ecs.cer -noverify > /dev/null

附上简单的验证脚本代码

#!/usr/bin/env bash
function verify_signature_without_audience(){
    curl 100.100.100.200/latest/dynamic/instance-identity/document > document
    echo "-----BEGIN CERTIFICATE-----" > signature
    curl 100.100.100.200/latest/dynamic/instance-identity/pkcs7 >> signature
    echo "" >> signature
    echo "-----END CERTIFICATE-----" >> signature

    openssl smime -verify -in signature -inform PEM -content document -certfile ecs.cer -noverify > /dev/null
}
verify_signature_without_audience

需要在脚本运行目录提前将官网证书保存为ecs.cer

三、audience参数高阶用法

如上所述“实例标识” 提供了一种简单的ecs身份签名验证机制,为了提供更高的可扩展性来满足用户更高的安全需求,我们在签名计算上提供了一个可扩展参数audience,用户可以自定义audience来增强安全性,比如使用动态生成的md5值作为audience参数传入可以降低服务伪造的风险。

推荐用法

  • 使用方式:100.100.100.200/latest/dynamic/instance-identity/pkcs7?audience=xxx
  • audience参数最好是变化值且最好是通过不可逆加密算法生成的比如md5等加密算法

以下提供一个简单的随机数作为audience参数传入的demo

#!/usr/bin/env bash
function verify_signature_with_changeable_audience(){
    audience=$RANDOM
    document=$(curl 100.100.100.200/latest/dynamic/instance-identity/document)
    audience_json=',"audience":''"'${audience}'"}'

    echo -n ${document%?}${audience_json} > document
    echo "-----BEGIN CERTIFICATE-----" > signature
    curl 100.100.100.200/latest/dynamic/instance-identity/pkcs7?audience=${audience} >> signature
    echo "" >> signature
    echo "-----END CERTIFICATE-----" >> signature

    openssl smime -verify -in signature -inform PEM -content document -certfile cert.cer -noverify > /dev/null
}

verify_signature_with_changeable_audience

四、典型场景最佳实践

4.1 镜像市场镜像通过实例标识进行license控制

背景

isv在阿里云云市场上架其软件,以镜像市场收费镜像的方式进行计费,比如按量付费模式,isv通过实例标识识别虚拟机身份进行license控制。

方案

  1. 获取实例标识文档与签名,参考如上实现
  2. 验证实例标识文档正确性,验证私网ip,mac,instanceID等信息(可选)
  3. 通过openssl或者其它方式验证签名有效性(建议增加audience参数)
  4. 获取云市场镜像相关的metadata,根据付费类型(meta-data/image/market-place/charge-type )及商品code(meta-data/image/market-place/product-code )做license控制判断
相关实践学习
一小时快速掌握 SQL 语法
本实验带您学习SQL的基础语法,快速入门SQL。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
29天前
|
存储 分布式计算 网络协议
阿里云服务器内存型r7、r8a、r8y实例区别参考
在阿里云目前的活动中,属于内存型实例规格的云服务器有内存型r7、内存型r8a、内存型r8y这几个实例规格,相比于活动内的经济型e、通用算力型u1实例来说,这些实例规格等性能更强,与计算型和通用型相比,它的内存更大,因此这些内存型实例规格主要适用于数据库、中间件和数据分析与挖掘,Hadoop、Spark集群等场景,本文为大家介绍内存型r7、r8a、r8y实例区别及最新活动价格,以供参考。
阿里云服务器内存型r7、r8a、r8y实例区别参考
|
30天前
|
存储 弹性计算 编解码
ecs实例规格工作负载模式
阿里云ECS实例有多种工作负载模式:计算密集型(适合高性能计算)、内存密集型(适用于内存数据库)、通用型(平衡资源,多场景适用)、大数据型(优化大数据分析)、共享型(低成本,轻负载)和企业级实例(高稳定性和隔离性)。用户依据业务需求选择实例规格,结合SLB和ESS服务可优化架构,应对动态负载。
22 4
|
23天前
|
缓存 编解码 弹性计算
阿里云服务器e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae实例适用场景汇总
目前阿里云活动购买云服务器时,除了轻量应用服务器之外,活动内的云服务器实例规格主要以e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae这几种为主,本文主要为大家介绍了阿里云服务器的实例规格是什么,有什么用?并汇总了阿里云轻量应用服务器和阿里云服务器e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae实例规格适用场景,以供大家了解和选择适合自己的需求的实例规格。
阿里云服务器e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae实例适用场景汇总
|
22天前
|
弹性计算
2024年阿里云服务器不同实例规格与配置实时优惠价格整理与分享
2024年阿里云服务器的优惠价格新鲜出炉,有特惠云服务器也有普通优惠价格,本文为大家整理汇总了2024年阿里云服务器的优惠价格,包含特惠云服务器和其他配置云服务器的优惠价格。以便大家了解自己想购买的云服务器选择不同实例规格和带宽情况下的价格,仅供参考。
2024年阿里云服务器不同实例规格与配置实时优惠价格整理与分享
|
30天前
|
存储 机器学习/深度学习 弹性计算
ecs实例规格存储和I/O需求
阿里云ECS提供多种实例类型满足不同需求:通用型适合中小型应用;计算型强调CPU性能,适合大数据分析;存储型针对高I/O场景,如数据库;内存型适合内存敏感应用;GPU型用于GPU加速任务;异构计算型包含FPGA、ASIC。实例搭配不同性能的云盘(如ESSD)以调整IOPS和吞吐量。选择实例时,需综合考虑应用对计算、内存和存储I/O的需求。
15 1
|
6天前
|
Linux 数据安全/隐私保护
Linux基础与服务器架构综合小实践
【4月更文挑战第9天】Linux基础与服务器架构综合小实践
1192 6
|
9天前
|
弹性计算 安全
电子好书发您分享《阿里云第八代企业级ECS实例,为企业提供更安全的云上防护》
阿里云第八代ECS实例,搭载第五代英特尔至强处理器与飞天+CIPU架构,提升企业云服务安全与算力。[阅读详情](https://developer.aliyun.com/ebook/8303/116162?spm=a2c6h.26392459.ebook-detail.5.76bf7e5al1Zn4U) ![image](https://ucc.alicdn.com/pic/developer-ecology/cok6a6su42rzm_f422f7cb775444bbbfc3e61ad86800c2.png)
33 14
|
13天前
|
弹性计算 前端开发 JavaScript
高校学生在家实践ECS弹性云服务器
简单谈谈我这几周使用ECS弹性云服务器的体验感
|
19天前
|
存储 缓存 PHP
阿里云服务器实例、CPU内存、带宽、操作系统选择参考
对于使用阿里云服务器的用户来说,云服务器的选择和使用非常重要,如果实例、内存、CPU、带宽等配置选择错误,可能会影响到自己业务在云服务器上的计算性能及后期运营状况,本文为大家介绍一下阿里云服务器实例、CPU内存、带宽、操作系统的选择注意事项,以供参考。
阿里云服务器实例、CPU内存、带宽、操作系统选择参考
|
26天前
|
缓存 编解码 前端开发
2024年阿里云服务器经济型e、通用算力型u1及计算型、通用型实例适用场景参考
目前阿里云的活动中提供了多种云服务器实例规格,包括经济型e、通用算力型u1、计算型c7/a系列和通用型g7/a系列等,适用于不同场景。实例规格定义了CPU、内存等配置,影响计算和存储能力。本文主要为大家介绍了阿里云服务器的实例规格是什么,并汇总了阿里云轻量应用服务器和阿里云服务器e/u1/c7/c7a/c8a/c8y/g7/g7a/g8a/g8ae实例规格适用场景,以供参考。
2024年阿里云服务器经济型e、通用算力型u1及计算型、通用型实例适用场景参考

相关产品

  • 云服务器 ECS