安全性和网络设置
我们的目标是为客户提供一个安全的环境,我们持续监控和改善我们的架构和流程。在本节中,我们将审查所需的安全特性和网络设置操作Gurobi即时云。
访问云管理器
云管理器的目的是简化的控制Gurobi优化器在云上。与云经理,Gurobi AWS管理EC2或Azure实例。云管理器由网站cloud.gurobi.com和一个REST api。云管理器的主要功能是对配置、控制和监视Gurobi计算服务器。没有优化模型数据与云经理沟通。
在访问网站时,用户必须与他们的Gurobi账户认证。当使用REST API,客户端验证API键和API用户帐户相关的秘密。使用HTTPS协议的通信是安全的(至少TLS 1.2)和云管理器数据库是加密的。访问cloud.gurobi.com也是通过一个Web应用程序防火墙保护。出于安全目的,Gurobi记录和监控HTTPS通信的元数据。
为了更好的可用性和可伸缩性,云管理器托管在世界的不同地区。的客户将被路由到最合适的可用服务器使用基于延迟的路由。每个地区也可能提供服务器的多个实例。客户不应该硬编码的IP地址来访问云经理,应该确保使用最新的DNS解析。
Gurobi客户机(gurobi_cl grbtune Gurobi库…)将首先连接到云管理器使用安全的REST API来检查池状态和在必要时启动计算服务器。为了使此连接,客户端必须配置防火墙打开主机的标准HTTPS端口443cloud.gurobi.com。
访问计算服务器
计算服务器开始的时候,你会得到一个新的EC2或Azure虚拟机不与任何其他Gurobi客户共享,它总是专用。访问每台机器与API密钥身份验证和安全的端到端加密。机磁盘加密。当机器终止,所有优化数据从内存和磁盘被丢弃。
一旦计算服务器已经启动,优化命令是客户机和服务器之间交换。通信是安全的使用端到端加密HTTPS (TLS 1.2的最低)。该地区路由器由一个负载平衡器和一个地区路由器。该地区路由器是一个反向代理,将通信转发给适当的计算服务器内Gurobi私人虚拟网络。负载平衡器,该地区路由器和计算服务器都使用加密的HTTPS通信。
开始机器不可以直接和该地区通过路由器执行。客户端使用一个机器密码身份验证或管理员密码管理命令。密码是由云管理经理。下图总结了建筑与AWS。
如下所示,每个地区提供了一个不同的URL地址,路由器。客户不应该硬编码的IP地址来访问该地区路由器,并且应该总是确保使用最新的DNS解析。为了使此连接,客户端必须配置防火墙打开标准HTTPS端口443以下主机取决于该地区。
| 提供者 | 地区 | 路由器 |
|---|---|---|
| AWS | us-east-1 | https://compute -我们-东- 1. - gurobi.com |
| AWS | us-west-1 | https://compute -我们-西方- 1. - gurobi.com |
| AWS | eu-central-1 | https://compute -欧盟-中央- 1. - gurobi.com |
| AWS | ap-northeast-1 | https://compute - ap -东北- 1. - gurobi.com |
| AWS | ap-southeast-2 | https://compute - ap -东南- 2. - gurobi.com |
| Azure | eastus | https://compute-eastus-azure.gurobi.com |
| Azure | westus2 | https://compute-westus2-azure.gurobi.com |
| Azure | westeurope | https://compute-westeurope-azure.gurobi.com |
管理API密钥
云管理器网站是唯一的地方API密钥可以生成和显示。可以生成多个API密钥以便键可以更换,以防其中之一的身份被识破了。每个键属于一个用户。禁用用户之前Gurobi支持或删除一个API键之前,请确保您拥有您的应用程序迁移到新的API密钥。
账单记录
而计算服务器正在运行,它报告Gurobi计费系统。计费系统由一个服务器和一个数据库,记录Gurobi云的使用。计算服务器报告时,启动和停止使用计费系统的内部REST API。计算服务器还会发送的基本元数据包括实例类型,位置,IP地址和机器ID。为了防止过量充电机的客户在失败的情况下,计算服务器发送一个周期萍计费系统;计费系统假定机器关闭如果这个萍没有检测到。只有机器元数据被发送到计费系统。任何应用程序数据和用户凭证发送计费数据库。这台机器与计费系统/ HTTPS。
代理
架构与标准兼容使用环境变量HTTP_PROXY和HTTPS_PROXY代理设置。HTTPS_PROXY优先于HTTP_PROXY https请求。的值可以是一个完整的URL或“主机(:端口)”,在这种情况下,“http”计划。
