月度归档:2016年04月

2016 年 4 月 22 日:中国节点存储服务故障说明

2016 年 4 月 22 日 13:04 开始,LeanCloud 中国节点的后端存储集群出现问题,导致该节点上所有应用都出现了存储 API 访问故障,将近半小时后得到恢复。故障的详细经过通报如下。

故障时间

  • 13:09-13:28 所有应用的数据存储服务都出现访问异常(持续 19 分钟)
  • 13:28-13:40 大部分应用已经恢复,但还有 20% 的应用依然无法正常访问(持续 12 分钟)

影响范围

中国节点上所有应用的存储服务都受到影响,同时依赖于数据存储的实时通信、云引擎服务也可能出现内部错误。
美国节点不受影响,所有服务均工作正常。

继续阅读

LeanCloud Update: 提高稳定性、改进计费方式、支持专属/私有集群

LeanCloud 近期经历了比以往更频繁的稳定性方面的事故,其中有的是因为我们容量规划上的不足导致服务收到异常流量影响,有的是对我们上游服务商的域名攻击,有的是针对 LeanCloud 的 DDoS 攻击。LeanCloud 一直将服务的稳定性视为生命线,每次事故之后,都会严肃地总结并明确改进方案。我们也会把事故报告发布到博客上,确保用户们知晓事故原因和过程,以及后续我们要执行的改进措施。

为让用户了解我们为此所做出的努力,我们想向大家通报一下在改进措施方面的进展。

已经完成的改进措施有:

  • 为应对将来可能出现的上游服务商域名被攻击的情况,实现更灵活的域名动态切换,以便在必要时及时切换至其他域名,保证云服务对外服务的可用。
  • 完善应对 DDoS 攻击的策略和措施,把受攻击后恢复服务的时间缩短到分钟级。
  • 事故公告流程增加了短信通知渠道,确保开发者及时收到信息。(我们在最近的 DDoS 攻击的几十分钟内一共给所有用户发送了三次短信及时更新进展)。

正在进行的措施有:

  • 增加新的监控措施,对前端网络入包量进行监控,防止网络转发量超过 VM 能力限制。
  • 调整前端 VM 配置,使用高包量机型,增大处理能力。
  • 改进前端服务器扩容方式,使用 docker 镜像来加快新节点部署上线的进度。
  • API 服务对外增加多路备选域名,降低针对域名的攻击造成的影响。

除了技术上的改进外,我们也对计费方式中的不合理之处进行了重新思考。过去我们的存储和实时消息服务都是按照一个月的总使用量来计费的,这样造成了一些问题。比如如果一个应用在一个月里发生了 10 亿次 API 调用,我们并不区分这些调用是平均分布在整个月,还是集中在少数几天。而这两种情况对容量规划的要求是非常不同的,如果不做区分,就容易造成资源上的分配不及时,给运维工作造成风险和压力。另外由于存储和实时消息是按月后付费,LeanEngine、LeanCache、短信是实时扣费,不同的计费周期和方式给很多用户造成了财务流程上的困扰。所以我们将把所有服务调整为一致的 实时扣费的模式 ,并且存储和实时消息服务将调整为按每天用户设定的容量上限收费,其中数据存储的计费依据将是并发请求数的上限,实时消息服务的计费依据将是当日使用服务的用户数上限。这样用户可以自己调整预留的资源,确保满足需求。由于计费周期缩短到天,也能满足只在特定日期有超高流量的应用兼顾较低的预算和充足的资源。

具体的方案和数字我们还在制定,会在第一时间与用户沟通。同时我们也会确保老用户有平滑的过渡体验。

针对由于受企业和政府政策限制对数据的物理位置或服务性能有特殊要求的用户,我们开始 提供专属集群和私有集群的方案 ,让用户可以拥有独享的 LeanCloud 服务集群。这样的服务也适用于为了优化目标用户的体验,希望把服务部署在特定机房的客户。例如有的应用为了兼顾国内外用户的体验,可能会选择香港有较好大陆线路的机房。如果您有这方面的需求,可以发邮件至 support@leancloud.cn 进行咨询。

LeanCloud 平台致力于为自身建立健康、可持续的发展模式,为客户提供稳定、可靠、中立的服务。感谢您对 LeanCloud 的长期支持。我们一直在不断努力,以不辜负用户对我们的信任。

LeanCloud 安全性提醒

thumb-security-640x360

最近向我们反馈受到数据安全性方面恶意攻击的用户有增多的趋势。虽然 LeanCloud 提供了全面可靠的安全机制,但不少用户因为只关注了开发上的方便,没有足够重视安全性,以至于没有合理使用(有时甚至是没有使用)我们提供的安全机制,以至于给了攻击者可乘之机。我们在此特别提醒所有用户对自己应用的安全性进行检查,特别是:

  • 仔细阅读 LeanCloud 的 数据和安全 文档。
  • 全面检查 Class 和 Object 级别的 ACL 设置,确保只开放了实现应用功能所需的最低权限。
  • 如果对 _User 表没有特殊查询需求,请关闭查询权限,这不会影响注册和登录等操作。虽然 LeanCloud 对密码加密存储以确保不会泄漏,但仍然应该关闭查询权限以避免用户 email、电话号码等高价值信息被非法访问。
  • 对于特别敏感的数据,可以考虑关闭所有权限,使用 LeanEngine 提供有更多自定义限制的访问接口。

我们在近期也将推出安全检查工具,帮助用户自动发现应用设定中可能存在的风险,并在开发者后台做出改进让我们的安全机制更加易用。

如果您在这方面有任何疑问,欢迎在我们的 论坛 或工单系统提出。如果您受到数据安全性方面的威胁或者攻击而需要我们协助,可以发送邮件到 support@leancloud.rocks。

2016 年 4 月 5 日:中国节点受到 DDoS 恶意攻击的故障说明

2016 年 4 月 5 日 20:19 开始,api.leancloud.cn 域名受到混合型 DDoS 攻击,致使用户无法从外网访问中国节点 API 服务,造成数据存储、统计、推送、短信等服务全部访问中断,历时约一小时。此次服务中断给大量应用造成了严重影响,在此,我们以最诚恳的态度向大家道歉,并附上具体的故障报告。

故障时间

20:19 ~ 21:25(持续约 66 分钟)

影响范围

  • 中国节点的数据存储、统计、推送、短信等服务不可访问,云引擎和实时通信(不包括调用 API 查询「对话」等操作)服务不受影响。
  • 美国节点的所有服务未受任何影响。

继续阅读