操作流程 “回源配置方案”迁移增量对象数据流程图，如图1所示。 图1 回源配置方案迁移增量对象流程图 迁移过程及操作步骤示意图如图2所示。 图2 迁移示意图 操作步骤说明如下： T1时间：启动全量迁移、华为侧业务验证。 ①全量迁移：将T1时间点之前的源端存量数据全量迁移到华为云（此时客户业务系统还会继续往源端桶新增业务数据）。 ②业务验证：验证迁移数据 + 验证华为侧数据业务（数据读取和写入）。 T2时间：启动首次增量数据迁移、评估数据增量速度。 ③增量迁移：将T1~T2时间段生成的新增数据迁移到华为云。 ④评估增量速度：对比源端和目的端，评估增量数据生成速度，用于确定后续业务验证时间。 T3时间：OBS回源配置+业务割接、启动剩余增量数据迁移。 ⑤OBS回源配置+业务割接：通过配置OBS回源，保证业务割接后，源端剩余的增量数据能够通过OBS回源访问，客户业务不中断；业务割接后，客户业务系统开始将新增数据存储到华为云，源端对象存储不会再有新增数据。 ⑥增量迁移：将T2~T3时间段生成的新增数据迁移到华为云。 ⑦一致性验证：对比源端、目的端桶的对象总数和总大小，确保源端数据全部迁移完成。 迁移过程中， 对象存储迁移 服务会调用源端云服务提供商的 对象存储服务 接口，所产生的费用都遵从源端云服务提供商的计费规则并由其向您收取。

2.设备端 域名 切换 完成平台端配置后，需要进行设备端业务开发。完整的设备开发流程可参考设备侧开发。本章节以Paho-MQTT开源MQTT客户端为例，介绍在设备迁移场景下，设备侧如何在只修改接入地址的情况下，实现设备建立MQTT连接、Topc订阅、消息发布等功能。 //接入华为云IoT的域名，在控制台的"总览"界面的"平台接入地址"中获取“设备侧”的MQ TTS 接入地址。 String server = "ssl://******.st1.iotda-device.cn-north-4.myhuaweicloud.com:8883"; // Paho MQTT客户端。 MqttClient myMqttClient = new MqttClient(server, "myClientId", persistence); // Paho MQTT连接参数。 MqttConnectOptions connOpts = new MqttConnectOptions(); connOpts.setCleanSession(true); connOpts.setKeepAliveInterval(120); connOpts.setUserName("myUserName"); connOpts.setPassword("myPassword".toCharArray()); myMqttClient.connect(connOpts); System.out.println("Broker: " + broker + " Connected"); // Paho MQTT消息订阅。 myMqttClient.subscribe("/aircondition/cmd", new MyMessageListener()); // Paho MQTT发布消息。 String topic = "/aircondition/data/up"; String content = "{\"temperature\": 26.0 }"; MqttMessage message = new MqttMessage(content.getBytes()); message.setQos(0); myMqttClient.publish(topic, message);

业务场景说明 自建MQTT Broker基于MQTT协议的上行数据和下行指令的业务定义如下： 表1 业务场景 业务场景 通信Topic 报文Payload 设备上报数据 /aircondition/data/up { "temperature": 26.0 } 服务端控制指令 /aircondition/cmd { "switch": "off" } 设备使用一机一密的认证方式。 设备通过Topic上报数据，通过消息流转功能将数据转发到后端服务。 服务端通过消息下发接口下发消息给设备。

使用分区表 分区表是把逻辑上的一张表根据某种方案分成几张物理块进行存储。这张逻辑上的表称之为分区表，物理块称之为分区。分区表是一张逻辑表，不存储数据，数据实际是存储在分区上的。分区表和普通表相比具有以下优点： 改善查询性能：对分区对象的查询可以仅搜索自己关心的分区，提高检索效率。 增强可用性：如果分区表的某个分区出现故障，表在其他分区的数据仍然可用。 方便维护：如果分区表的某个分区出现故障，需要修复数据，只修复该分区即可。 GaussDB数据库 支持的分区表为一级分区表和二级分区表，其中一级分区表包括范围分区表、间隔分区表、列表分区表、哈希分区表四种，二级分区表包括范围分区、列表分区、哈希分区两两组合的九种。 范围分区表：将数据基于范围映射到每一个分区，这个范围是由创建分区表时指定的分区键决定的。这种分区方式是最为常用的，并且分区键经常采用日期，例如将销售数据按照月份进行分区。 间隔分区表：是一种特殊的范围分区表，相比范围分区表，新增间隔值定义，当插入记录找不到匹配的分区时，可以根据间隔值自动创建分区。 列表分区表：将数据中包含的键值分别存储在不同的分区中，依次将数据映射到每一个分区，分区中包含的键值由创建分区表时指定。 哈希分区表：将数据根据内部哈希算法依次映射到每一个分区中，包含的分区个数由创建分区表时指定。 二级分区表：由范围分区、列表分区、哈希分区任意组合得到的分区表，其一级分区和二级分区均可以使用前面三种定义方式。 父主题： 表设计最佳实践

约束与限制 单个对象大小不能超过：500 MB x 10000 = 4.76837158203125 TB，否则可能会导致迁移失败。 在迁移过程中，系统将自动在目的端桶创建一个名为“oms”的临时文件夹。严禁手动操作此文件夹，包括但不限于修改、删除或添加内容。对该文件夹进行的任何手动操作都可能导致迁移流程中断或失败。 在进行NAS迁移任务时，请确保挂载后的文件绝对路径长度不超过4095字节。如果超过该长度可能导致迁移任务出现异常，无法正常完成。 NAS_SMB迁移暂不支持迁移软链接。

过滤策略说明 过滤策略参数填写通配符规则说明和约束说明参见表6。 表6 过滤策略参数说明 参数 说明 填写规则 约束说明 黑名单 命中黑名单规则，则文件不进行迁移/一致性对比。支持精确匹配和模糊匹配。 精确匹配 全路径精确匹配，填写文件绝对路径，特殊字符用反斜杠（\）转义。 注意： 配置黑、白名单注意事项： 如果文件存储服务地址是以冒号加斜杠（:/）结尾，请确保在黑、白名单中填写的路径是相对于挂载地址的绝对路径。 例如，文件存储服务地址为"192.1.1.1:/"，挂载地址为"/mnt/turbo"，则填写"/mnt/turbo"下的绝对路径。 挂载信息示例： [root@oms-cluster-ecs filter_test]# pwd /mnt/sts_turbo/mgc/filter_test [root@oms-cluster-ecs- filter_test]# ll drwxr-xr-x 2 root root 0 Aug 16 15:27 test2 -rw-r--r-- 1 root root 5 Aug 16 15:27 test2.log 如果要使黑名单精确匹配以避免迁移"test2.log"文件，则应在黑名单中填写路径：/mgc/filter_test/test2.log 如果文件存储服务地址在冒号加斜杠（:/）之后还包含其他路径，配置黑、白名单时，除了填写挂载地址下的绝对路径外，还要加上文件存储服务地址:/之后的部分。 例如，文件存储服务地址为"192.1.1.1:/mgc-test"，挂载地址为"/mnt/turbo"，则填写"mgc-test+/mnt/turbo"下的绝对路径。 挂载信息示例： [root@oms-cluster-ecs execution-service]# cd /mnt/turbo/autotest/filter_test/ [root@oms-cluster-ecs- filter_test]# ll -rw-r--r-- 1 root root 14 Aug 8 09:22 test1.log drwxr-xr-x 1 root root 4096 Aug 8 09:22 test2 -rw-r--r-- 1 root root 14 Aug 8 09:22 test2.log 如果要使黑名单精确匹配以避免迁移"test2"文件，则应在黑名单中填写路径：/mgc-test/autotest/filter_test/test2 模糊匹配 *匹配任何字符0个或者多个，但不匹配斜杠(/) 使用**匹配任何字符0个或者多个，包括斜杠(/) ?匹配除斜杠(/)之外的任何字符，只能匹配一个 {和}定义元素之间的选择：包含一个以逗号分隔的模式列表, 其中任何一种模式都可能匹配，可以包含通配符。 特殊字符可以在它们之前使用 \进行转义，\后面为通配符时，表示转义，否则表示\本身 除{ 和 } 以外，不能出现连续的规则符号，例如：***、*?、**?、?*、?**、*{*、*}*、*}?、?{*、{*}、{,}、{*,、 ,*}、,*,。 { 和 } 之间的模式，只能使用*做通配符。 { 和 } 之间的模式，不能有{}嵌套。 文件绝对路径在黑名单和白名单同时命中，则黑名单生效，即不做迁移。 需要配置多个匹配规则时，用英文分号隔开。 白名单 白名单为空时，迁移所有文件。 白名单不为空时，仅对绝对路径命中白名单规则的文件进行迁移/一致性对比。 时间段 配置时间段，根据配置，迁移最后修改时间在配置时间段内的文件或者文件夹。 开始时间和结束时间可以配置为空，为空时表示不限制，时间可以精确到分钟。 过滤策略场景规则示例以及举例见下表。 例如第一级目录为“test”，那么： NAS的路径格式为：“/test”。 OBS的路径格式为：“test”。 场景 NAS规则示例 OBS规则示例 说明 文件路径以xx结尾(特定后缀) /xx /**xx xx/**xx xx可以是包含*和?的表达式 根路径下第一层xx开始的文件 /xx* /testssss 匹配 /test/xx 不匹配 /xx* testssss 匹配 test/xx 不匹配 文件路径以xx开始 /xx** /xx/** xx** xx/** 文件名包含xx **xx* **xx* 文件路径包含xx **xx** **xx** 文件路径以xx开始，以yy结尾 /xx**yy xx**yy xx，yy可以是包含*和?的表达式 文件路径以xx，yy结尾(特定后缀) **{xx,yy} **{xx,yy} 文件名包含xx，yy **{xx,yy}* **{xx,yy}* 文件路径包含xx，yy **{xx,yy}** **{xx,yy}**

优势 专享迁移集群，减少资源竞争，提高迁移效率。 支持多种云平台对象存储、文件存储服务，支持自建网络文件服务。支持迁移的云平台和存储类型包括： 华为云 OBS 阿里云 OSS 百度云 BOS 腾讯云 COS 金山云 KS3 七牛云 KODO 优刻得 US3 亚马逊 S3 微软 Blob 青云QINGSTOR NAS_SMB NAS_NFS_V3_MOUNT NAS_NFS_V3_PROTOCOL HTTP/HTTPS数据源

操作步骤 登录迁移中心管理控制台。 在左侧导航栏选择“总览”，进入总览页面。 在新手入门选择跨可用区迁移，在单批次小数量 主机迁移 用户一站式跨可用区迁移区域，单击“开始创建”按钮。 在弹出一站式跨可用区迁移窗口，自定义应用名称，选择要迁移到的目的可用区。 单击“开始执行”，系统会自动采集当前账号下所选区域主机信息，并自动创建应用将主机加入到该应用内，开始迁移评估。 评估执行完成后，单击“关闭”按钮，进行工作流配置。 根据表1参数说明，配置工作流参数。 表1 参数说明 区域 参数 说明 工作流详情 名称 用户自定义 描述 用户自定义 应用程序 应用名称 选择步骤4中自定义的应用名称。 迁移设置 区域 选择待迁移可用区所在Region，与创建的应用配置保持一致。 目的可用区 选择要迁移到目的端可用区，与创建的应用配置保持一致。 网络设置 当前只支持“保留源端配置”。 目的虚拟机创建策略 立即创建 工作流立即开始进行源端备份，源端各自独立备份完成后，立即开始生成镜像和目的端主机。 目的端是否关机 选择“是”，生成目的端后，目的端保持关机状态。 选择“否”，生成目的端后，目的端自动开机。 增量备份前源端是否关机 选择“是”，工作流在执行增量备份前，会关闭源端主机，这样可以最大限度保证新建目的端数据与源端数据的一致性。 选择“否”，工作流在执行增量备份时，依旧保持开机状态。 创建系统盘镜像 选择“是”，将基于源端系统盘创建系统盘镜像，便于后续目的端重装系统。 选择“否”，不创建系统盘镜像。 高级设置 自动删除镜像 选择开启，业务割接后自动删除迁移过程中产生的备份、快照及镜像文件。 保持主网卡IP不变 选择开启时，将目的端的主网卡私有IP切换为源端主网卡私有IP，并绑定源端主网卡绑定的EIP，此时源端主网卡私有IP将设置为随机IP，并解绑EIP。以上操作不支持自动回退，需要您手动回退。 工作流配置完成后，单击“下一步：确认并创建”按钮，确认配置信息无误后，单击“确认创建工作流”。迁移工作流创建完成，可在工作流列表查看。 此时迁移工作流状态为“等待中”，并未开始迁移。 单击工作流名称，进入工作流详情页面，工作流步骤为迁移模板的标准步骤，您也可以在工作流步骤中自行添加阶段/步骤。 确定工作流步骤后，单击“运行”按钮，开始迁移。 在工作流步骤页签可以监控迁移进展。如果迁移步骤中包含手动操作，需要您进行手动确认后，才能进行后续步骤。 在主机页签，可以查看每台主机的迁移状态。

约束条件 源站服务器为以下Linux操作系统时，您可以通过安装DDoS高防提供的TOA模块获取高防转发后流量的真实源IP。 CentOS6.5（对应Linux内核版本2.6.X） CentOS7（对应Linux内核版本3.10.X） toa_common（通用版本toa，一般针对Linux内核3.0及其以上的系统，如Ubuntu 14/16 、Suse 11/42等） toa_linux-2.6.32-220.23.1.el6.x86_64.rs（对应指定的版本：linux-2.6.32-220.23.1.el6.x86_64.rs） DDoS高防+Web源站场景下，如果DDoS高防关闭了Web基础防护，则需要在源站安装TOA以获取真实源IP。 如果DDoS高防开启了Web基础防护或源站配置为华为云WAF的场景，不需要安装TOA获取真实源IP，可从xff，x-real等7层请求头部获取真实源IP，仅支持获取IPv4真实访问源。 如果源站服务器使用了其他操作系统（Ubuntu、SUSE等），请参考TOA插件配置定制编译安装TOA插件以获取真实源IP。

SAP系统指标 SAP系统指标分为SAP HANA指标、SAP NetWeaver ABAP与Java应用指标，详情请参考： 表1 表2 表1 SAP HANA指标 指标组 指标名 指标含义 单位 database_version sap_hanadb_database_version_info 数据库版本 service_quantity sap_hanadb_service_quantity_count 实例进程总数 count sap_hanadb_active_service_quantity_count 实例活跃进程数 count database_ha_active sap_hanadb_database_ha_active_status 数据库HA状态 status sr_active sap_hanadb_sr_active_status 数据库系统复制状态 status threads sap_hanadb_all_threads_count 线程总数 count sap_hanadb_active_threads_count active线程数 count sap_hanadb_blocked_threads_count 阻塞线程数 count sap_hanadb_sqlexecutor_threads_count SQL执行线程数 count sap_hanadb_sqlexecutor_threads_active_count SQL执行active线程数 count sap_hanadb_jobworker_threads_count job工作线程总数 count sap_hanadb_jobworker_threads_active_count job工作线程active线程数 count recent_data_backup sap_hanadb_age_of_recent_data_backup_hours 最近一次成功完全数据备份距现在的时间间隔小时数。如果没有成功备份为-1。 hours recent_savepoint sap_hanadb_age_of_recent_savepoint_minutes 最近一次SAVEPOINT距现在的时间间隔分钟数。没有为-1。 minutes sap_hanadb_recent_savepoint_duration_seconds 最近一次SAVEPOINT的持续时间秒数。没有为-1。 seconds column_tables_used_memory sap_hanadb_column_tables_used_memory_mb 数据表内存使用量 mb schema_used_memory sap_hanadb_schema_used_memory_mb 数据库schema内存使用量 mb disk_data_files sap_hanadb_disk_data_files_used_size_mb 数据文件已使用磁盘大小 mb sap_hanadb_disk_data_files_total_size_mb 数据文件磁盘总量 mb sap_hanadb_disk_data_files_available_size_mb 数据文件可用磁盘大小 mb sap_hanadb_disk_data_files_fragmentation_percent 数据文件可用磁盘空间率 percent disk_usage sap_hanadb_disk_total_device_size_mb 操作系统返回的磁盘设备总大小，同一磁盘设备在不同使用类型磁盘设备（DATA、 LOG 等）之间共享时，结果会重复 mb sap_hanadb_disk_total_size_mb 磁盘数据卷总大小，同一磁盘设备在不同使用类型卷（DATA、LOG等）之间共享时，结果会重复 mb sap_hanadb_disk_total_used_size_mb 磁盘数据卷已使用大小，同一磁盘设备在不同使用类型卷（DATA、LOG等）之间共享时，结果会重复 mb sap_hanadb_disk_used_size_mb 按使用类型（DATA、LOG等）统计的已使用磁盘大小 mb service_memory sap_hanadb_memory_service_shared_allocated_mb 服务从内存池分配的共享内存 mb sap_hanadb_memory_service_shared_used_size_mb 服务从内存池分配已使用的共享内存 mb sap_hanadb_memory_service_shared_used_percent 服务从内存池分配已使用的共享内存占服务从内存池分配的共享内存比例 percent sap_hanadb_memory_service_heap_allocated_mb 服务从内存池已分配的堆内存 mb sap_hanadb_memory_service_heap_used_size_mb 服务从内存池分配已使用的堆内存 mb sap_hanadb_memory_service_heap_used_percent 服务从内存池分配已使用的堆内存占服务从内存池已分配的堆内存比例 percent sap_hanadb_memory_service_total_used_mb 服务从内存池已申请使用的总内存 mb sap_hanadb_memory_service_physical_total_mb 服务已使用的总物理内存 mb sap_hanadb_memory_service_virtual_total_mb 服务已使用的总虚拟内存 mb sap_hanadb_memory_service_code_size_mb 服务已使用的代码段大小（包括动态链接库） mb sap_hanadb_memory_service_stack_size_mb 服务已使用的栈大小 mb sap_hanadb_memory_service_compactors_freeable_size_mb 服务内存不足时可释放的内存 mb sap_hanadb_memory_service_compactors_allocated_size_mb 服务内存不足时内存池潜在可释放的内存 mb sap_hanadb_memory_service_alloc_limit_mb 服务最大内存池大小 mb sap_hanadb_memory_service_effective_alloc_limit_mb 服务最大有效内存池大小（考虑其他进程计算出的内存池大小） mb host_memory sap_hanadb_host_memory_physical_total_mb 主机总物理内存 mb sap_hanadb_host_memory_resident_mb 主机常驻（已使用）的物理内存 mb sap_hanadb_host_memory_physical_free_mb 主机空闲物理内存 mb sap_hanadb_host_memory_swap_free_mb 主机空闲交换内存 mb sap_hanadb_host_memory_swap_used_mb 主机已使用交换内存 mb sap_hanadb_host_memory_alloc_limit_mb 主机所有进程可分配的最大内存 mb sap_hanadb_host_memory_used_total_mb SAP HANA 进程从内存池中占用的总内存当前大小 mb sap_hanadb_host_memory_used_peak_mb 实例启动后，SAP HANA 进程从内存池中占用的总内存最大值 mb sap_hanadb_host_memory_pool_size_mb SAP HANA 进程的总内存池大小 mb sap_hanadb_host_memory_code_size_mb SAP HANA 进程的总代码段大小，包括动态链接库 mb sap_hanadb_host_memory_shared_alloc_mb SAP HANA 进程的总共享内存大小 mb sql_service sap_hanadb_sql_service_executions_count 不同类型SQL的执行总次数 count sap_hanadb_sql_service_elapsed_time_ms 不同类型SQL执行的总时间消耗 ms sap_hanadb_sql_service_elap_per_exec_avg_ms 不同类型SQL执行的平均时间消耗 ms sap_hanadb_sql_service_lock_per_exec_ms 不同类型SQL执行的平均锁等待时间 ms sap_hanadb_sql_service_max_ela_time_ms 不同类型SQL执行的最大时间消耗 ms sql_top_time sap_hanadb_sql_top_time_consumers_execution_time_mu SQL语句执行耗时TOP 10 mu sap_hanadb_sql_top_time_consumers_execution_count SQL语句执行耗时TOP 10的总执行次数 count sql_top_mem sap_hanadb_sql_top_mem_consumers_total_execution_memory_size_byte SQL语句内存消耗TOP 10 byte sap_hanadb_sql_top_mem_consumers_execution_count SQL语句内存消耗TOP 10的总执行次数 count connections_total sap_hanadb_connections_total_count 不同类型的连接总数 count table_cs_top_mem sap_hanadb_table_cs_top_mem_total_mb 数据库表内存消耗TOP10 mb sap_hanadb_table_cs_top_mem_estimated_max_mb 数据库表内存消耗TOP10的预估最大内存占用 mb sap_hanadb_table_cs_top_mem_record_count 数据库表内存消耗TOP10的数据行数 count sap_hanadb_table_cs_top_mem_disk_size_mb 数据库表内存消耗TOP10的磁盘占用大小 mb alerts sap_hanadb_alerts_current_rating 数据库告警 rating 表2 SAP NetWeaver ABAP与Java应用指标 指标组 指标名 指标含义 单位 application_version sap_netweaver_application_version_info 应用的版本 instance_quantity sap_netweaver_instance_quantity_count 应用系统总的实例数 count sap_netweaver_active_instance_quantity_count 应用系统活跃的实例数 count application_ha_active sap_netweaver_application_ha_active_status 应用的HA状态 status abap_short_dumps sap_netweaver_abap_short_dumps_count ABAP Dump数量，过去1小时的ABAP dumps统计 count abap_short_dumps_5m sap_netweaver_abap_short_dumps_5m_count 过去5分钟的ABAP dumps统计 count jobs sap_netweaver_canceled_jobs_count 过去1小时已删除（撤销）的作业数 count sap_netweaver_finished_jobs_count 过去1小时已完成的作业数 count logged_in_users sap_netweaver_logged_in_users_count SAP应用已登录的用户数 count lock_entries_usage sap_netweaver_lock_entries_usage_percent 锁使用率 percent extended_memory_utilization sap_netweaver_extended_memory_utilization_percent extended memory 使用率 percent heap_memory_utilization sap_netweaver_heap_memory_utilization_percent heap memory 使用率 percent dialog_response_time sap_netweaver_dialog_response_time_ms Dialog响应耗时 ms dialog_db_request_time sap_netweaver_dialog_db_request_time_ms Dialog到数据库的请求处理耗时 ms work_processes sap_netweaver_work_processes_utilization_percent 进程使用率，进程类型包括：会话，后台，打印，更新1，更新2 percent sap_netweaver_number_of_total_work_processes_count 进程总数，进程类型包括：会话，后台，打印，更新1，更新2 count sap_netweaver_number_of_free_work_processes_count 空闲进程数，进程类型包括： 会话，后台，打印，更新1，更新2 count jobs sap_netweaver_running_jobs_count 运行中的作业数 count failed_idocs sap_netweaver_failed_idocs_count 失败的idoc文档数 count update_records sap_netweaver_update_records_count 过去1分钟更新请求（update records）数量 count sap_netweaver_failed_updates_count 过去1分钟失败的更新请求（update records）数 count rfc_ping sap_netweaver_rfc_ping_ms 各实例到PAS节点的RFC调用时延 ms j2ee_running_process sap_netweaver_j2ee_running_process_count Java运行进程数量。 count j2ee_thread sap_netweaver_j2ee_thread_count Java线程数量 count j2ee_session sap_netweaver_j2ee_session_count Java session数量 count j2ee_websession sap_netweaver_j2ee_websession_count Java web session数量 count j2ee_ejbsession sap_netweaver_j2ee_ejbsession_count Java EJB session数量 count j2ee_vm_heap_size sap_netweaver_j2eevmheap_size_mb Java进程local classes或local objects堆大小 mb sap_netweaver_j2eevmheap_commitSize_mb Java进程local classes或local objects堆提交大小 mb sap_netweaver_j2eevmheap_maxUsedSize_mb Java进程local classes或local objects堆最大使用大小 mb sap_netweaver_j2eevmheap_initialSize_mb Java进程local classes或local objects堆初始大小 mb sap_netweaver_j2eevmheap_maxSize_mb Java进程local classes或local objects堆最大大小 mb

操作步骤 进入“续费管理”页面。 勾选需要设置自动续费的资源，单击列表左上角的“设为自动续费”。 当前待续费资源列表分页默认为50，同时支持客户自定义设置为10/20/100/200。 单次批量设置自动续费操作允许选择最大资源数为100，可通过提示查看当前已选择待设置自动续费资源个数。 设置自动续费时长、自动续费次数，单击“开通”。 续费时长：单次自动续费周期时长，即实例多久进行一次自动续费。 如上图所示，选择续费时长为3个月，则每3个月进行一次自动续费，每次自动支付3个月的续费费用。 自动续费次数：默认不勾选，即不限次数；可勾选预设自动续费次数，达到预设次数后，实例将自动归置于“手动续费项”页签，后续需手动进行续费。 已设置自动续费的实例可在“自动续费项”页签查看自动续费周期和剩余自动续费次数。 续费管理页面右上角提示“操作成功”，同时资源归置于“自动续费项”页签，即资源已设置自动续费功能。 客户可参考以上步骤，分批为资源设置自动续费，无需再手动操作续费。

场景说明 安全云脑 （SecMaster）是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力。 安全云脑支持在重大保障及防护演练前，全面地进行资产脆弱性盘点；在攻防演练期间，高强度7*24的安全保障，侧重于防攻击，保障业务可用性不因安全攻击受影响，侧重于防入侵，保障不因入侵失分被问责。能够更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 本场景将介绍在护网、重保场景中安全云脑的使用，具体流程如下图所示： 图1 使用流程 父主题： 安全云脑护网/重保最佳实践

大企业IT治理架构 大企业的业务覆盖范围很广泛，分布在不同的子行业和地理区域，为支持整个公司的长期稳定运行和有效管理，通常采用集团化和等级式管理模式。随着经营范围和规模的不断扩大，需要不断建立子公司、分公司，子公司再建立孙公司，大部门也逐步拆分成多个小部门，组织结构的层级也就越来越多。大企业的IT治理架构也会受到组织结构的影响，以下是一个典型的大企业IT治理架构，由于图片空间有限，该架构图中没有列出全部的层级，如IT项目A331的功能小组、成员和运行环境没有呈现出来。本章所描述的大企业IT治理最佳实践以下图的IT治理架构为基础，将其映射到华为云上有效运转起来。 图1 大企业IT治理架构 在上述大企业IT治理架构中，各个层级的具体含义如下： 集团公司：是指以资本为主要联结纽带，以母子公司为主体，以集团章程为共同行为规范的，由母公司、子公司及其他成员共同组成的企业法人联合体。 子公司：其50%以上有投票表决权的股份或资本被另一企业（母公司）所拥有的企业，母公司对子公司的一切重大事项拥有实际上的决定权。子公司具有独立法人资格，在法律上是完全独立的公司，是独立的核算主体和纳税主体。子公司可以根据经营管理需求再成立自己的子公司或分公司。 分公司：分公司是母公司管辖的分支机构，是指母公司在其住所以外设立的以自己的名义从事活动的机构。分公司不具有企业法人资格，其民事责任由母公司承担。 独立法人：独立法人是指依法在工商部门登记的拥有企业独立法人营业执照的经济组织，具备独立的民事行为能力，能够独立承担民事责任。 部门：母公司、子公司和分公司都可以基于自己的经营管理需求设立部门，如软件企业可以按照不同的软件产品线设立不同的部门，工业制造企业可以按照业务流程设立研发部、制造部、采购部、销售部、服务部等。大部门还可以再进一步拆分成小部门。 IT项目：企业按照自己的项目管理模式设置的信息化、数字化或软件开发项目，IT项目中应用系统的开发、测试、实施和运行需要消耗一定的计算、存储、网络、安全、数据库、中间件、大数据、AI服务等资源。 功能小组：参与IT项目的成员按照职责不同可以划分为不同的功能小组，如一个ERP项目可以划分为计算组、存储组、网络组、安全组、数据组、应用组、财务组、系统管理员组等。 成员：一个成员代表一个参与IT项目的人，可加入到同一部门下不同的IT项目和功能小组，但一般不参加其他部门的IT项目。 运行环境：IT项目中的应用系统（如ERP系统）通常要部署到不同的运行环境：互联网环境、生产环境、开发环境和测试环境。多个IT项目可以共享一套运行环境，大型IT项目（如大型电商、大型ERP系统）也可以独占一套运行环境。 上述大企业IT治理架构中各个层级之间的关系如下图所示： 图2 企业IT治理架构的层级关系 父主题： 大企业IT治理最佳实践

步骤六：规划和创建VPC（操作主体：网络管理组成员） 以上面集团公司为例，需要针对每个子账号（部门A、部门A3、分公司F）提供多种运行环境：生产环境、开发环境、测试环境，各个运行环境之间需要有一定的安全隔离措施。VPC之间的网络默认不通，具备很好的隔离性，所以推荐在大企业中采用VPC来创建隔离的运行环境，通常一个VPC对应一个隔离的运行环境，推荐的VPC规划如图1所示，具体考量因素如下： 一个VPC不能跨子账号，所以不能让不同子账号下面的企业项目共享一个VPC，每个子账号都有自己独立的生产、开发和测试VPC。 在生产环境内，由于安全隔离要求较高，将各个企业项目的应用系统和数据库系统放在不同的子网，通过网络ACL或安全组对子网间通信进行安全访问控制。 在开发和测试环境内，企业项目A1开发、A1测试、A2开发、A2测试、A31开发对安全隔离要求较高，在开发、测试环境中也要求将应用系统和数据库系统部署在不同的子网；而企业项目A32测试、A331开发、A331测试对安全隔离要求较低，在开发、测试环境中将应用系统和数据库系统部署在同一个子网。 同一个企业项目在同一运行环境的应用子网和数据子网建议尽量放在同一个可用区内，应用系统和数据库系统之间进行跨可用区通信会引入1-2毫秒的网络时延。例如，企业项目“A1生产”对应的两个子网“A1应用子网”和“A1数据子网”应该设置为在同一个可用区。 需要考虑不同子账号下的应用系统之间的交互关系，如果位于不同子账号下的应用系统需要互通，这对应的VPC的网段就不要产生冲突。例如，如果部门A下面的A1生产系统需要与部门A3下面的A31生产系统进行交互，则对应的两个VPC“VPC_部门A_生产”和“VPC_部门A3_生产”的网段不能冲突。 有频繁交互关系的VPC尽量创建在同一个区域内，否则跨区域的VPC通信需要额外购买带宽包。 图1 集团公司的VPC规划 规划完VPC之后需要在华为云上将其创建出来，以集团公司的部门A为例，使用一个网络管理组的成员登录华为云，进入VPC控制台，按照图1的VPC规划为部门A创建生产、开发、测试VPC，并为每个企业项目创建相应的应用子网和数据子网。由于这几个VPC内的网络由多个企业项目共享使用，所以创建这些VPC的时候，可以选择归属到default企业项目。 涉及到的操作如下： 网络规划：在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量、IP网段划分和互连互通方式等。 创建虚拟私有云和子网：当创建新账户或账户余额不足时，主账号可以对现金账户进行充值操作。 父主题： 云上IT治理最佳实践

应用场景 当您的网站类业务部署在华为云E CS 上时，您可以为网站业务配置“DDoS原生高级防护+ELB”联动防护，即ECS源站服务器部署ELB后将ELB的公网IP添加到DDoS原生高级防护实例进行防护，进一步提升ECS防御DDoS攻击能力。 相比直接为ECS开启DDoS原生高级防护，“DDoS原生高级防护+ELB”联动防护通过ELB丢弃未监听协议和端口的流量，对不同类型的DDoS攻击（例如，SSDP、NTP、Memcached等反射型攻击、UDP Flood攻击、SYN Flood大包攻击）有更好的防御效果，可以大幅度提升ECS防御DDoS攻击能力，确保用户业务安全、可靠。