ECS镜像(二)ECS实例标识实践

本文涉及的产品
轻量应用服务器 2vCPU 4GiB,适用于搭建容器环境
轻量应用服务器 2vCPU 4GiB,适用于搭建Web应用/小程序
轻量应用服务器 4vCPU 16GiB,适用于搭建游戏自建服
简介: 实例标识 一、背景 随着云技术的普及,越来越多的用户大到企业客户,软件供应商,小到普通创业者逐步开始将自己的基础设施搬迁到云上,同时越来越多用户对云主机的“可信任性”提出了需求,比如以下场景: 场景一: 软件license安全问题 场景描述 比如某isv想在阿里云云市场上架其软件,区别于传...

实例标识

一、背景

随着云技术的普及,越来越多的用户大到企业客户,软件供应商,小到普通创业者逐步开始将自己的基础设施搬迁到云上,同时越来越多用户对云主机的“可信任性”提出了需求,比如以下场景:

场景一: 软件license安全问题

场景描述

比如某isv想在阿里云云市场上架其软件,区别于传统的软件license计费模式,一般云计算厂商的计费模式相对复杂,isv想通过一种与云资源比如ecs协同计费的方式进行收费,比如按照该软件在ecs上的运行时间进行计费,那么对应的计费方案可能是如果运行该软件的 虚拟机是阿里云的ecs那么该软件默认license校验通过,isv通过镜像市场镜像进行收费。

问题

  1. isv该如何验证其软件运行环境是阿里云ecs而不是其它云主机

场景二: 向虚拟机发送敏感数据

在虚拟机启动后,可能需要向虚拟机发送一些敏感数据,比如证书等,此时用户需要一种机制来验证虚拟机的身份

问题

  1. 如何让用户信任该虚拟机是阿里云ecs
  2. 如何表达每一台ecs的“身份”

以上场景需要云计算厂商为用户提供一种机制来验证虚拟机的身份 ,“实例标识” 应运而生,其通过数字签名的方式来保障数据信息的真实性,准确性,来源

二、了解实例标识

2.1 基本概念

需要理解的核心概念列表:

  1. 实例标识文档
  2. 实例标识签名
  3. 公有证书

image.png

综上,阿里云ECS实例标识通过实例身份+动态数字签名的方式来保证数据的真实性与准确性,从而为用户提供了一种验证数据来源可靠性的有效方式。

2.2 工作原理

工作原理图

image.png

上图简单表达了一个用户app通过阿里云ecs使用实例标识的流程:

  1. 用户在vm内部调用 100.100.100.200/latest/dynamic/instnace-identify/document获取实例标识文档
  2. 用户在vm内部调用 100.100.100.200/latest/dynamic/instnace-identify/pkcs7获取实例标识签名
  3. 用户从官方渠道比如官方帮助文档获取公开证书,保存为ecs.cer
  4. 用户通过实例标识文档来获取ecs相关的身份信息,可以通过身份信息进行第一步认证比如:私网ip,归属aliuid,mac等
  5. 通过openssl工具验证签名有效性
  6. smime -verify -in signature -inform PEM -content document -certfile ecs.cer -noverify > /dev/null

附上简单的验证脚本代码

#!/usr/bin/env bash
function verify_signature_without_audience(){
    curl 100.100.100.200/latest/dynamic/instance-identity/document > document
    echo "-----BEGIN CERTIFICATE-----" > signature
    curl 100.100.100.200/latest/dynamic/instance-identity/pkcs7 >> signature
    echo "" >> signature
    echo "-----END CERTIFICATE-----" >> signature

    openssl smime -verify -in signature -inform PEM -content document -certfile ecs.cer -noverify > /dev/null
}
verify_signature_without_audience
AI 代码解读

需要在脚本运行目录提前将官网证书保存为ecs.cer

三、audience参数高阶用法

如上所述“实例标识” 提供了一种简单的ecs身份签名验证机制,为了提供更高的可扩展性来满足用户更高的安全需求,我们在签名计算上提供了一个可扩展参数audience,用户可以自定义audience来增强安全性,比如使用动态生成的md5值作为audience参数传入可以降低服务伪造的风险。

推荐用法

  • 使用方式:100.100.100.200/latest/dynamic/instance-identity/pkcs7?audience=xxx
  • audience参数最好是变化值且最好是通过不可逆加密算法生成的比如md5等加密算法

以下提供一个简单的随机数作为audience参数传入的demo

#!/usr/bin/env bash
function verify_signature_with_changeable_audience(){
    audience=$RANDOM
    document=$(curl 100.100.100.200/latest/dynamic/instance-identity/document)
    audience_json=',"audience":''"'${audience}'"}'

    echo -n ${document%?}${audience_json} > document
    echo "-----BEGIN CERTIFICATE-----" > signature
    curl 100.100.100.200/latest/dynamic/instance-identity/pkcs7?audience=${audience} >> signature
    echo "" >> signature
    echo "-----END CERTIFICATE-----" >> signature

    openssl smime -verify -in signature -inform PEM -content document -certfile cert.cer -noverify > /dev/null
}

verify_signature_with_changeable_audience
AI 代码解读

四、典型场景最佳实践

4.1 镜像市场镜像通过实例标识进行license控制

背景

isv在阿里云云市场上架其软件,以镜像市场收费镜像的方式进行计费,比如按量付费模式,isv通过实例标识识别虚拟机身份进行license控制。

方案

  1. 获取实例标识文档与签名,参考如上实现
  2. 验证实例标识文档正确性,验证私网ip,mac,instanceID等信息(可选)
  3. 通过openssl或者其它方式验证签名有效性(建议增加audience参数)
  4. 获取云市场镜像相关的metadata,根据付费类型(meta-data/image/market-place/charge-type )及商品code(meta-data/image/market-place/product-code )做license控制判断
相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
竹涧
+关注
目录
打赏
0
0
0
0
315
分享
相关文章
阿里云服务器搭建网站教程:经济型e实例2核2G快速搭建网站图文教程参考
目前在阿里云的活动中,轻量应用服务器2核2G3M带宽只要68元1年,2核4G4M带宽只要298元1年。云服务器ECS经济型e实例2核2G 3M固定带宽,价格只要99元/1年,新老用户都可购买,企业用户购买2核4G5M带宽199元一年,为用户提供长期权益。这些都是个人和普通企业用户搭建网站使用较多的云服务器,本文为大家展示使用经济型e实例2核2G3M带宽快速搭建网站的相关教程,以供参考。
183 18
阿里云服务器实例选择:经济型、通用算力型、计算型、通用型、内存型实例选择参考
当我们通过阿里云的活动购买云服务器会发现,相同配置的云服务器往往有多个不同的实例可选,而且价格差别也比较大,例如同样是4核8G的配置的云服务器,经济型e实例活动价格1595.11元/1年起,通用算力型u1实例要955.58元/1年起,而计算型c8i实例则要2845.81元/1年起,价格差别还是比较大的,因此,阿里云经济型、通用算力型、计算型、通用型、内存型实例云服务器有何差别就是很多新手用户比较关心的问题了,下面小编来为大家简单介绍下它们之间的区别。
阿里云ECS云服务器经济型e实例和通用算力型u1实例区别对比、适用场景和问题解答FAQ
阿里云ECS云服务器的经济型e实例和通用算力型u1实例是开发者和中小企业常用的两种配置。e实例适合中小型网站、开发测试等轻量级应用,性价比高;u1实例性能更优,适用于中小型企业级应用、数据分析等场景。同等配置下,u1实例在网络带宽、云盘IOPS等方面表现更好,价格也相对较高。选择时,个人用户推荐e实例,中小企业则更适合u1实例
阿里云服务器经济型e实例解析:性能、稳定性与兼顾成本
阿里云经济型e云服务器以其高性价比、稳定可靠的性能以及灵活多样的配置选项,成为了众多企业在搭建官网时的首选。那么,阿里云经济型e云服务器究竟怎么样?它是否能够满足企业官网的搭建需求?本文将从性能表现、稳定性与可靠性、成本考虑等多个方面对阿里云经济型e云服务器进行深入剖析,以供大家参考选择。
114 37
阿里云服务器五代、六代、七代、八代实例简介及性能提升介绍参考
随着技术的不断进步,阿里云服务器实例也经历了多代升级,从五代实例到最新的八代实例,每一代都在性能、稳定性、能效比等方面取得了显著提升。有的用户由于是初次接触阿里云服务器,所以不是很清楚阿里云服务器五代、六代、七代、八代实例有哪些,它们各自在云服务器性能上有哪些提升。本文将详细介绍阿里云服务器五代、六代、七代、八代实例的特点及性能提升,以供了解及选择。
阿里云服务器五代、六代、七代、八代实例简介及性能提升介绍参考
阿里云服务器五代、六代、七代、八代实例简介及性能提升介绍
随着技术的不断进步,到2025年,阿里云服务器实例也经历了多代升级,从五代实例到最新的八代实例,每一代都在性能、稳定性、能效比等方面取得了显著提升。有的用户由于是初次接触阿里云服务器,所以不是很清楚阿里云服务器五代、六代、七代、八代实例有哪些,它们各自在云服务器性能上有哪些提升。本文将详细介绍阿里云服务器五代、六代、七代、八代实例的特点及性能提升,帮助用户更好地了解并选择适合自己的云服务器实例。
136 29
阿里云轻量应用服务器出新品通用型实例了,全球26个地域可选
近日,阿里云再度发力,推出了首款全新升级的轻量应用服务器——通用型实例。这款服务器实例不仅标配了200Mbps峰值公网带宽,更在计算、存储、网络等基础资源上进行了全面优化,旨在为中小企业和开发者提供更加轻量、易用、普惠的云计算服务,满足其对于通用计算小算力的迫切需求。目前,这款新品已在全球26个地域正式上线,为全球用户提供了更加便捷、高效的上云选择。
336 27
阿里云服务器ECS通用算力型u1和ECS经济型e实例性能特点、使用及常见问题解答FAQ
阿里云ECS云服务器的经济型e实例和通用算力型u1实例深受开发者和中小企业青睐。e实例适合中小型网站、开发测试等轻量级应用,采用共享CPU调度模式,性价比高;u1实例则适用于中小型企业级应用,提供更高的性能保障和稳定性,支持固定CPU调度模式,计算性能更稳定。同等配置下,u1实例在网络带宽、IOPS等方面表现更优,价格也相对较高。个人用户可选择e实例,中小企业建议选择u1实例以确保业务稳定性。
阿里云服务器经济型e实例4核16G和8核32G特惠云服务器测评参考
阿里云有两款特惠云服务器——4核16G10M带宽和4核32G10M带宽,系统盘都是100G ESSD Entry,价格分别仅需70元1个月和160元1个月。那么,这两款云服务器到底性能如何?适用于哪些场景?是否值得购买?本文将全方位深入测评这两款特惠云服务器,并为您提供详细的购买建议。
浅聊阿里云倚天云服务器:c8y、g8y、r8y实例性能详解与活动价格参考
选择一款高性能、高性价比的云服务器对于企业而言至关重要,阿里云推出的倚天云服务器——c8y、g8y、r8y三款实例,它们基于ARM架构,采用阿里自研的倚天710处理器,并基于新一代CIPU架构,通过芯片快速路径加速手段,实现了计算、存储、网络性能的大幅提升。2025年,计算型c8y云服务器活动价格860.65元一年起,通用型g8y云服务器活动价格1187.40元一年起,内存型r8y云服务器活动价格1454.32元一年起。本文将为大家详细解析这三款实例的性能特点、应用场景以及最新的活动价格情况,帮助大家更好地了解阿里云倚天云服务器。

热门文章

最新文章

相关产品

  • 云服务器 ECS
  • AI助理

    你好,我是AI助理

    可以解答问题、推荐解决方案等