openYuanrong 安全最佳实践保护分布式函数的敏感数据【免费下载链接】yuanrongopenYuanrong runtimeopenYuanrong 多语言运行时提供函数分布式编程支持 Python、Java、C 语言实现类单机编程高性能分布式运行。项目地址: https://gitcode.com/openeuler/yuanrong前往项目官网免费下载https://ar.openeuler.org/ar/openYuanrong 多语言运行时提供函数分布式编程支持 Python、Java、C 语言实现类单机编程高性能分布式运行。在分布式环境中敏感数据的保护至关重要本文将介绍 openYuanrong 的安全最佳实践帮助您确保分布式函数的敏感数据安全。核心安全准则构建多层防护体系在 openYuanrong 生态中主要有三类角色开发者、基础设施服务商和用户。为确保 openYuanrong 集群的安全运行所有参与者需共同遵循以下关键要求网络边界防护所有集群部署必须实施有效的网络隔离策略确保集群外部环境的安全防护措施到位。组件通信安全基础设施服务商需建立受控的隔离网络环境确保 openYuanrong 各组件的通信安全。当集群需要访问第三方服务时必须实施严格的身份验证机制和访问控制策略。代码可信管理openYuanrong 平台本身不执行代码安全审查开发者需对部署的应用程序代码进行完整的安全验证和风险评估。租户和负载隔离当存在多租户或工作负载隔离需求时基础设施服务商应根据开发者的具体要求部署独立且相互隔离的 openYuanrong 集群环境。总之所有操作均需在经过安全认证的网络环境中执行确保平台仅处理经过验证的可信代码。基础设施服务商和开发方应建立联合安全机制通过网络隔离、访问控制和代码审计等多层防护构建完整的安全防护体系。图openYuanrong 架构图展示了各组件之间的通信关系安全防护需覆盖整个架构组件通信加密TLS 与 Curve 证书配置openYuanrong 组件需要在集群内通信以完成请求转发、任务调度等功能组件间通信可使用 TLS 加密以保证安全。同时数据系统组件使用 ZeroMQ 作为 RPC 通信框架可通过 Curve 证书进行安全认证。证书文件规划以下是所需证书文件及目录规划若不部署 dashboard可跳过 dashboard 和 prometheus 证书生成过程${Your_Workspace} ├── etcd // etcd 证书目录 │ ├── ca.crt │ ├── client.crt │ ├── client.key │ ├── server.crt │ └── server.key ├── yr // openYuanrong 函数系统组件证书目录 │ ├── ca.crt │ ├── module.crt │ └── module.key ├── curve // openYuanrong 数据系统 curve 证书目录 │ ├── worker.key │ ├── worker.key_secret │ ├── client.key │ ├── client.key_secret │ └── worker_authorized_clients │ ├── client.key │ └── worker.key ├── dashboard // openYuanrong dashboard 组件单向认证证书目录 │ ├── server.crt │ └── server.key └── prometheus // prometheus 证书目录 ├── ca.crt ├── client.crt ├── client.key ├── server.crt └── server.key环境准备安装 openssl用于生成 etcd 和 openYuanrong 函数系统相关证书。yum install openssl -y openssl version安装 ZeroMQopenYuanrong 数据系统组件使用 ZeroMQ 作为 RPC 通信框架其安全功能依赖 libsodium。生成证书文件生成 etcd 证书包括 CA 证书、服务器证书、服务器私钥、客户端证书和客户端私钥。生成 openYuanrong 函数系统组件证书包括 CA 证书、私钥和证书。生成数据系统 Curve 证书使用 ZeroMQ 的zmq_curve_keypair接口生成公钥和私钥。生成 dashboard 证书用于单向认证通信的服务器证书和私钥。生成 prometheus 证书包括 CA 证书、服务器证书、服务器私钥、客户端证书和客户端私钥。详细的证书生成步骤可参考 部署文档。安全配置部署时启用加密通信创建自定义配置文件config.toml启用 TLS 和 Curve 加密通信。以下是仅部署基础组件的配置示例[values.fs.tls] enable true base_path /opt/ssl/cert/yr ca_file ca.crt cert_file module.crt key_file module.key [values.ds.curve] enable true base_path /opt/ssl/cert/curve cache_storage_auth_type ZMQ cache_storage_auth_enable true [values.etcd] auth_type TLS [values.etcd.auth] base_path /opt/ssl/cert/etcd ca_file ca.crt cert_file server.crt key_file server.key client_cert_file client.crt client_key_file client.key使用以下命令部署 master 节点yr -c ${YOUR_FILE_PATH}/config.toml start --master部署 worker 节点yr -c ${YOUR_FILE_PATH}/config.toml start --master_address http://x.x.x.x:xxxx图openYuanrong 安全部署流程图展示了配置文件的使用和部署命令漏洞管理与注意事项漏洞报告openYuanrong 在 openEuler 社区开源如果发现安全问题或疑似安全漏洞请遵循 openEuler 社区提供的漏洞管理处理机制上报给安全委员会。重要注意事项通过限制权限等措施确保访问 openYuanrong 集群的人员是受信任的。openYuanrong 使用 cloudpickle 来序列化 Python 对象。请参阅 pickle 文档了解更多安全模型信息。openYuanrong 组件在运行时已提供对证书格式、有效期、信任链及数字签名的核心校验。如果有更高安全需求建议基于现有校验框架参考行业安全实践如 OpenSSL进行拓展。当前版本包含了多租户特性的早期实现。该特性尚处于开发阶段未达到生产标准API 与架构可能在后续版本中发生重大调整正式发布计划请关注 Roadmap。监控与审计确保安全策略有效执行为确保安全策略的有效执行建议使用 openYuanrong 的监控功能通过 dashboard 和 prometheus 监控集群的安全状态。图openYuanrong Dashboard 概览可监控集群的运行状态和安全事件通过以上安全最佳实践您可以有效保护 openYuanrong 分布式函数的敏感数据确保集群的安全运行。如需更多安全配置细节请参考 安全文档。【免费下载链接】yuanrongopenYuanrong runtimeopenYuanrong 多语言运行时提供函数分布式编程支持 Python、Java、C 语言实现类单机编程高性能分布式运行。项目地址: https://gitcode.com/openeuler/yuanrong创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考