华为云用户手册

为什么选择华为云Astro轻应用 以模型驱动，快速构建业务应用 模型驱动，支持数据导入导出，对象编排。 关联一键生成页面，快速构建应用。 适配不同业务场景的页面标准。 支持标准页面自适应布局，高级页面适配多终端。 脚本引擎，在线低码开发复杂业务逻辑 支持自定义开发，定制更灵活 现代化的编辑界面，语法高亮显示，代码联想提示。 在线IDE，智能提示，自动补全，快速编译。 支持页面调测和性能查看，快速定位逻辑Bug。 服务编排，搭积木式应用构建，积木零件组合复用 拖拉拽式编排流程，图形化展示服务逻辑。 逻辑单元封装，通过图元形式集成到服务编排中，可重新组合。 运行服务编排支持断点调试，日志跟踪，页面性能查看。 集成开发，灵活实现系统间对接 连接器&API开放，可以快速对接第三方系统。 业务逻辑单元，沉淀领域业务功能，多场景复用。 定制高级页面组件，沉淀行业资产。 可配置触发器，自动执行逻辑任务。 更多选择理由，请参见产品优势和应用场景。

华为云Astro轻应用权限 默认情况下，新建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 华为云Astro轻应用部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京4）对应的项目中设置相关权限，并且该权限仅对此项目生效。如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问华为云Astro轻应用时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能，定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了华为云Astro轻应用的所有系统权限。 表1 华为云Astro轻应用系统权限 系统角色/策略名称 描述 类别 依赖关系 Astro Zero Instance ManageAccess 华为云Astro轻应用实例管理权限，拥有订购、退订、查看和升级华为云Astro轻应用实例的权限。 系统策略 无 Astro Zero Instance ViewAccess 华为云Astro轻应用实例查看权限，只拥有查看华为云Astro轻应用实例的权限，不可进行退订、升级等操作。 若IAM用户登录华为云Astro轻应用服务控制台，查看不到华为云Astro轻应用实例，处理方式有以下两种（任选其一即可）： 给IAM用户所在用户组，添加“Astro Zero Instance ViewAccess”权限。 不要将IAM用户，添加到任何用户组中。 系统策略 无 Astro Zero IAM User QueryAccess 华为云Astro轻应用IAM用户查询权限，只有华为云账号或具有“Astro Zero IAM User QueryAccess”权限的IAM用户，才能执行创建华为云Astro轻应用开发者账号的操作。 系统策略 无 表2列出了华为云Astro轻应用常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 华为云Astro轻应用常用操作与系统策略之间的关系 操作 Astro Zero Instance ManageAccess Astro Zero Instance ViewAccess Astro Zero IAM User QueryAccess 查看华为云Astro轻应用实例列表及详情 √ √ x 订购华为云Astro轻应用实例 √ x x 退订华为云Astro轻应用实例 √ x x 变更华为云Astro轻应用实例规格 √ x x 修改华为云Astro轻应用实例详情 √ x x 创建华为云Astro轻应用开发者账号 x x √ 除了具备该权限外，还需要具备华为云Astro轻应用本身的权限，即在权限配置文件Profile中，还需勾选“管理用户&用户权限”。 查询华为云Astro轻应用IAM用户 x x √ 除了IAM提供的认证和授权功能，华为云Astro轻应用本身也提供了用户管理和权限配置（Profile）功能，来管理用户（包括业务用户），控制用户、业务用户等的操作权限，具体说明可参考华为云Astro轻应用用户概述。

零代码应用构建 无需编码经验，在不需要编写代码的情况下，通过拖拽组件、设置属性、配置节点等来代替传统的代码实现环节，即可让想法变为现实，搭建出自己满意的应用。 使用零代码构建应用具备如下优势： 丰富的场景模板 提供多场景模板，即装即用，灵活改造，让业务人员迅速做出属于自己的满意应用。 轻松简单的操作界面 丰富的功能组件，搭配灵活随心，权限可控，团队协作更省心。 多设备支持 支持PC端、移动端、微信小程序/H5、 WeLink 集成、便捷实用。

行业应用构建 面向园区、城市、能源、教育和交通等行业，提供端到端全流程应用构建解决方案，加速全场景行业数字化。 使用低代码构建行业应用具备如下优势： 丰富的行业资产沉淀 全方位资产视图，积累应用资产、BO资产、组件资产100+，应用搭建灵活高效。 高效构建大型企业级应用 全流程可视化开发，自动化调测，项目级协助共享，端到端安装部署， 助力大型企业级应用高效构建。 保护现有投资 现有业务资产以Native服务方式接入复用，与现网系统快速集成，投资一次，长期受益。

华为云Astro轻应用实例 表1 华为云Astro轻应用实例规格约束与限制 限制项 约束与限制 实例版本 华为云Astro轻应用目前支持的实例版本有：免费版、标准版、专业版和专享版。 免费版：仅提供开发环境和开发零代码应用的运行环境，不提供低代码应用的运行环境。 标准版：适用于开发零代码应用，开发者不需要有任何代码开发经验。 专业版：适用于专业开发者，提供了开发环境和多租户共享的运行环境。 专享版：需要先提交工单申请开通专享版，才可以正常购买。专享版提供了开发环境和物理隔离的运行环境，即运行环境实例发放到租户虚拟私有云中。 申请华为云Astro轻应用免费试用或购买华为云Astro轻应用商用实例时，会同步创建一个华为云Astro工作流免费基础版实例。 用户数 免费版：10个（包括业务用户），不支持扩展用户。 标准版：默认为30个（包括业务用户），支持扩展用户。 专业版：默认为30个（包括业务用户），支持扩展用户。 专享版：提供了500个、2000个和5000个用户数（包括业务用户）供选择。

服务编排 表7 服务编排约束与限制 限制项 约束与限制 服务编排命名 驼峰命名，首字母小写，不要携带下划线。 动宾结构，例如，notifyOrderCompletion，错误样例OrderCompletionNotification。 尽量不用缩写，除非是专有名词，例如，invokeCRM，错误样例paymentCbk。 应简单明了，表示业务意义，而不是内部实现。例如createPayment，错误样例InsertAndUpdatePayData。 长度不能超过64个字符，名称必须以英文字母开头，只能由英文字母、数字或单下划线组成，且不能以下划线结尾。 变量命名 输入变量和输出变量：命名遵循接口设计文档的要求。 内部变量：元素命名遵循驼峰命名原则。 变量为单数时，命名包含对象名称（如Level1Catalog、Level2Catalog），变量为复数时命名包含集合名称（如Level1CatalogList或者Level2CatalogArray）。 数组型变量的下标命名要符合规范，当使用I、J、K等字母来命名时，需要明确变量含义，勿重复使用。 图元命名 采用动词和名词短语的形式，每个单词首字母大写，单词之间有空格。名称一般不要超过五个单词，短语尽可能简明，描述该图元的主要作用，例如Valid Input、Call Device Service。 连接线命名 在服务编排的图元中，除了Decision连接线外，其他图元的连接线采用系统的固定命名。 Decision连接线名称使用英文，采用单词首字母大写，一般不要超过三个单词。采用动词和名词短语的形式，尽可能简明、准确的描述该条件的判断逻辑。 图元编排 为了服务编排画布排版美观以及方便后续的服务编排检视，服务编排的图元编排遵循以下原则： 在配置服务编排前，需明确具体步骤和子流程的分解，合理编排图元。 业务逻辑采用自上而下、从左往右的页面布局方式，业务逻辑展示清晰，同一任务多个步骤，横向排列，不同任务之间竖向排列。利用横向和竖向，做到层次缩进。 Decision图元里的Default改为表示主流程，类似于If Error Else MainProcess这种结构，把异常处理优先标出。 在同一个版面中，图元之间的间隔大小相同。 尽量避免连接线相互交叉。 创建或查询较复杂的父子对象结构场景（如创建订单和相关对象），应将父对象和典型子对象的创建和查询编排到子流程中，供多个流程共享。 对于服务编排中常用到的业务功能（如获取Offer实例），可以考虑编排到子流程或用脚本实现，供多个流程共享。 编排每个服务编排时，首先都应该设置入参校验步骤，图元类型为“Decision”，分支优先考虑异常场景。服务编排流程中，其他的“Decision”图元也要首先考虑异常场景。 避免使用循环套循环。 不允许在子流程中结束，所有结束出口应在最外层服务编排中体现。子流程中，应始终返回出参。 参数定义 服务编排的入参和出参，需要根据设计文档做必填参数校验。 出入参数需要定义清楚每个字段。如果存在结构体，结构体中也应定义清楚每个字段。除了本身是预留的定制扩展的结构体之外，不允许有空结构的结构体。 服务编排中，暴露给用户由用户输入的参数，必须放到服务编排的“入参”中。服务编排中，不能存在用户能够使用但不在“入参”及“出参”的参数。 调用约束 不允许在应用项目的服务编排中，调用BO的内部服务编排。 不允许在应用项目的服务编排中，编排调用BO的脚本。 不允许跨BO调用脚本和内部服务编排。 例如，人员BO的服务编排不允许调用空间BO的内部服务编排和脚本。

应用发布与部署 表8 应用发布与部署限制 限制项 约束与限制 应用安装包 资产包：资产包一般用于测试、部署或正式运行，支持在开发环境（不能安装开发者自己开发的资产包）、沙箱环境以及运行环境中安装使用。 安装包：适用于初次和大的变更打包。 补丁包：适用于问题修复类打包变更。 源码包：主要用于同一账号内，在不同环境之间的资产迁移，以源环境的状态继续开发（类似自己代码仓库），或者用于备份账号自己的代码，以便在需要恢复时使用。

为什么登录指令执行失败？ 登录指令执行失败有以下几种情况： 容器引擎未安装正确，报如下所示错误： “docker: command not found” 解决方法：重新安装容器引擎，安装方法请参见安装容器引擎。 由于 容器镜像服务 支持Docker容器引擎1.11.2（包含）到24.0.9（包含）版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 临时登录指令已过期或登录指令中区域项目名称、AK、登录密钥错误，报如下所示错误： “unauthorized: authentication required” 解决方法：登录容器 镜像服务 控制台，在左侧菜单栏选择“我的镜像”，单击右侧“客户端上传”在弹出的页面单击”生成登录指令”。 获取临时的登录指令：默认进入“临时登录指令”页签，单击复制登录指令。 获取长期有效的登录指令：切换到“长期有效登录指令”页签进行获取，具体方法请参见获取长期有效登录指令。 登录指令中镜像仓库地址错误，报如下所示错误： “Error llgging in to v2 endpoint, trying next endpoint: Get https://{{endpoint}}/v2/: dial tcp: lookup {{endpoint}} on xxx.xxx.xxx.xxx:53 : no such host” 解决方法： 修改登录指令中的镜像仓库地址。 镜像仓库地址格式 : swr.区域项目名称.myhuaweicloud.com，如“华北-北京四”对应的镜像仓库地址为swr.cn-north-4.myhuaweicloud.com。 获取临时的登录指令：方法请参见2。 x509: certificate has expired or is not yet valid 长期有效登录指令中AK/SK被删除导致，请使用有效的AK/SK生成登录指令。 x509: certificate signed by unknown authority 问题原因： 容器引擎客户端和SWR之间使用HTTPS的方式进行通信，客户端会对服务端的证书进行校验。如果服务端证书不是权威机构颁发的，则会报如下错误：x509: certificate signed by unknown authority 解决方法： 如果用户信赖服务端，跳过证书认证，那么可以手动配置Docker的启动参数，配置方法如下： CentOS： 修改“/etc/docker/daemon.json”文件（如果没有，可以手动创建），在该文件内添加如下内容： { "insecure-registries": ["{镜像仓库地址}"] } Ubuntu： 修改“/etc/default/docker”文件，在DOCKER_OPTS配置项中增加如下内容： DOCKER_OPTS="--insecure-registry {镜像仓库地址}" EulerOS： 修改“/etc/sysconfig/docker”文件，在INSECURE_REGISTRY配置项中增加如下内容： INSECURE_REGISTRY='--insecure-registry {镜像仓库地址}' 镜像仓库地址支持 域名 和IP形式。 域名：swr.区域项目名称.myhuaweicloud.com。例如“华北-北京四”的镜像仓库地址为：swr.cn-north-4.myhuaweicloud.com。 IP：可通过ping镜像仓库地址（域名形式）获取。 配置完成后，执行systemctl restart docker重启容器引擎。 denied: Authenticate Error 用户无编程访问权限，需要使用管理员账号登录IAM服务，单击用户名称进入用户详情页面，单击访问方式参数后面的按钮，修改访问方式同时勾选编程访问和管理控制台访问。关于IAM服务如果想了解更多请参见IAM产品介绍。 denied: Not allow to login、upload or download image 用户大批量并发上传镜像或者攻击服务，系统把用户拉黑，用户无法登录和上传下载镜像。请在30分钟之后重新尝试或通过提工单的形式，由运维工程师进行处理。 父主题： 故障类

x509: certificate signed by unknown authority 问题现象：使用docker pull拉取镜像，报错“x509: certificate signed by unknown authority”。 问题原因： 容器引擎客户端和SWR之间使用HTTPS的方式进行通信，客户端会对服务端的证书进行校验。如果客户端安装的根证书不完整，会报如下错误：“x509: certificate signed by unknown authority”。 容器引擎客户端配置了Proxy导致。 解决方法： 如果您信赖服务端，跳过证书认证，那么可以手动配置容器引擎的启动参数，配置如下（其中地址配置成需要的即可，选择一个配置即可）： /etc/docker/daemon.json（如果没有可以手动创建），在该文件内添加如下配置（注意缩进，2个空格）： { "insecure-registries":["镜像仓库地址"] } /etc/sysconfig/docker： INSECURE_REGISTRY='--insecure-registry=镜像仓库地址' 添加配置后执行如下命令重启：systemctl restart docker或service restart docker。 执行docker info命令，检查Proxy配置是否正确，修改为正确的Proxy配置。

Error response from daemon 问题现象：使用docker pull拉取官方镜像，报错“Error response from daemon: Get "https://index.docker.io/v1/search?q=redis&n=25": dial tcp *.*.*.*: i/o timeout”。 问题原因：根据Docker公司政策，2020年11月01日起将逐步向Docker Hub匿名和免费用户实施速率和拉取请求次数限制。所以，您构建服务拉取Docker Hub镜像，将可能受此影响导致构建失败。详情请查看国内网络访问dockerhub异常的公告。 解决方法：建议您将需要的镜像从Docker Hub同步到SWR私有仓库使用

Error: remote trust data does not exist 问题现象：使用docker pull拉取镜像，报错“Error: remote trust data does not exist”。 问题原因：客户端开启镜像签名验证，而镜像没有镜像签名层。 解决方法：查看“/etc/profile”文件中的环境变量是否设置了DOCKER_CONTENT_TRUST=1，如果设置了，请将其改为DOCKER_CONTENT_TRUST=0，然后执行source /etc/profile生效。

长期有效的登录指令与临时登录指令的区别是什么？ 临时的登录指令代指6个小时后会过期失效，不能再被使用的登录指令。可应用在临时使用，对外单次授权等场景中，对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。 长期有效的登录指令有效期为永久。可应用在前期测试、CICD流水线及容器集群拉取镜像等场景中。 获取了长期有效的登录指令后，在有效期内的临时登录指令仍然可以使用。 长期有效的登录指令与临时登录指令均不受限制，可以多台机器多人同时登录。

name invalid: 'repository' is invalid 问题现象：使用客户端上传镜像，报如下所示错误： “name invalid: 'repository' is invalid” 问题原因：组织命名或镜像命名不规范。 解决方法：以下分别是组织名（namespace）和仓库名（repository）的命名正则表达式： namespace：^([a-z]+(?:(?:(?:_|__|[-]*)[a-z0-9]+)+)?)$，长度范围为：1-64； repository：^([a-z0-9]+(?:(?:(?:_|__|[-]*)[a-z0-9]+)+)?)$，长度范围为：1-128。 您可以按照上述命名规范，重新指定上传的组织和镜像名称。

tag does not exist: xxxxxx或An image does not exist locally with the tag: xxxxxx 问题现象：使用客户端上传镜像，报如下所示错误： “tag does not exist: xxxxxx” 或 “An image does not exist locally with the tag: xxxxxx” 问题原因：上传的镜像或镜像版本不存在。 解决方法：通过docker images查看本地镜像，确认要上传的镜像名称及版本后，重新上传镜像。

denied: Image organization does not exist, you should create it first 问题现象：使用客户端上传镜像，报如下所示错误： “denied: Image organization does not exist, you should create it first” 问题原因：docker push命令中的组织名称不存在。 解决方法：请先创建组织，再重新上传。

镜像格式不合法或鉴权失败 问题现象：通过页面上传镜像，出现“镜像格式不合法”或“鉴权失败”的报错。 问题原因： 上传时长超过15分钟，前端token过了有效期。 镜像地址不规范，导致上传失败。 镜像地址各个部分的含义如下，最后的tag（版本号）可省略，如果省略则表示latest版本，其余部分均不可省略，且不可多余。 样例：swr.regionid.*******.com/repo_namespace/repo_name:tag swr.regionid.*******.com为容器镜像服务的镜像仓库地址。 repo_namespace为组织名称，命名正则表达式为^([a-z]+(?:(?:(?:_|__|[-]*)[a-z0-9]+)+)?)$，长度范围为：1-64。 repo_name:tag为镜像名称和版本号，镜像命名正则表达式为^([a-z0-9]+(?:(?:(?:_|__|[-]*)[a-z0-9]+)+)?)$，长度范围为：1-128。 您可以将镜像解压，打开文件manifest.json文件查看RepoTags字段的值是否符合上述规范。 解决方法： 针对token过期的场景，建议使用容器引擎客户端进行上传。 针对镜像地址不规范的场景，请按照命名规范，重新给镜像打tag，然后使用docker save命令保存镜像，然后再使用页面上传。 SWR判定镜像名是否合法不是以用户在界面上传镜像时的文件名为依据，而是依据镜像包中的repositories和manifest.json文件。

响应参数 状态码：400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 请求参数错误。 状态码：401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 校验TOKEN失败。 状态码：403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 租户无权限操作。 状态码：404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 没有找到CBH资源。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 可参考"IAM获取IAM用户Token"获取 表3 请求Body参数 参数 是否必选 参数类型 描述 authorization 是 AgencyAuthorizeInfo object 设置 云堡垒机 委托授权凭据管理、密钥管理服务权限请求对象。（kms和csms必须传一个） 表4 AgencyAuthorizeInfo 参数 是否必选 参数类型 描述 csms 否 Boolean 凭据管理权限信息。 kms 否 Boolean 密钥管理权限信息。

响应参数 状态码：200 表3 响应Body参数 参数 参数类型 描述 authorization AgencyAuthorizeInfoRsp object 云 堡垒机 委托权限返回对象。 表4 AgencyAuthorizeInfoRsp 参数 参数类型 描述 csms Boolean 凭据管理权限信息。 kms Boolean 密钥管理权限信息。 状态码：400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 请求参数错误。 状态码：401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 校验TOKEN失败。 状态码：403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 租户无权限操作。 状态码：404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 没有找到CBH资源。

常见问题 问题1： 主机迁移 源端有新增数据如何处理？ 回答：启动目的端后，若源端有新增的数据，单击此服务器所在行的操作列的“同步”，开始下一次复制（增量数据），当迁移状态为“持续同步”时，单击“启动目的端”，迁移实时状态为“已完成”时，说明新增数据已同步到目的端。 问题2：主机迁移是否支持断点续传？ 回答： SMS 支持断点续传。对于不同的迁移类型，断点续传的支持情况有所不同： 如果因网络问题或其他原因导致源端与SMS控制台断开连接，无需担心数据丢失或迁移失败。只需待问题解决后，在SMS控制台单击“开始”按钮，即可继续未完成的迁移任务。问题原因和处理方法可参考迁移Agent与 主机迁移服务 自动断开连接时，如何重新建立连接？ 如果是因为重启迁移Agent或源端服务器导致源端与SMS控制台断开连接，只有Linux文件级迁移支持断点续传，重启Agent后，在SMS控制台单击“开始”按钮，即可继续未完成的迁移任务。Windows块迁移和Linux块迁移需要删除迁移任务重新创建。 问题3. 数据复制服务 迁移过程中出现网络中断如何处理？ 回答：迁移过程中如果出现网络中断，可先观察任务状态，当如下状态的迁移任务出现失败时，可在任务列表上单击“续传”，进行任务续传。全量迁移、增量迁移、全量同步、增量同步。 问题4. 如何确保业务数据库的全部业务已经停止？ 回答：业务切换时可通过如下方法确保业务数据库的全部业务已经停止： 数据库端执行如下语句，查看当前是否还存在有业务连接 ； 如果源数据库有业务连接，则通过结果中Host列的值来查找对应的业务进程并将其停止； 在源库执行如下语句，查看binlog位置并记录该值（file列取值：position列取值 ），此处将该值记为ckpt1； 等待30s以上，在源库执行如下语句，查看binlog位置并记录该值（file列取值：position列取值 ），此处将该值记为ckpt2。ckpt1=ckpt2时，表示源数据库业务已基本停写。

专业术语 表1 常见RAID磁盘阵列介绍 名称 简介 E CS 弹性云服务器（Elastic Cloud Server）是一种可随时自助获取、可弹性伸缩的云服务器。 SMS 主机迁移服务（Server Migration Service）是一种P2V/V2V迁移服务，可以把X86物理服务器，或者私有云、公有云平台上的虚拟机迁移到华为云弹性云服务器（ECS）。 EVS 云硬盘（Elastic Volume Service, EVS）可以为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求，适用于分布式文件系统、开发测试、 数据仓库 以及高性能计算等场景。云服务器包括ECS和BMS。 ELB 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。至华为云的 对象存储服务 （Object Storage Service，OBS）中。 Redis 分布式缓存服务（Distributed Cache Service，简称DCS）是华为云提供的一款兼容Redis的高速内存数据处理引擎，为您提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力，满足用户高并发及数据快速访问的业务诉求。 RDS 云数据库RDS（Relational Database Service，简称RDS）是一种基于 云计算平台 的稳定可靠、弹性伸缩、便捷管理的在线云数据库服务。

方案架构 业务架构 图1 业务架构图 通常，应用上云的生命周期是从业务方提出的，围绕业务的生命周期来看，具体分为六个部分，在每个部分，南洋的MSP团队都紧密围绕着客户的IT团队和业务团队，从业务方提出业务请求开始，南洋的MSP团队协助客户IT团队一起对需求进行分析评估和规划，包括后续的实施、交付和运维各个阶段，始终坚持以客户中心，在各个阶段充分做好配合与协调工作，然后南洋所做的每一步，都会在客户业务团队、IT团队的监督和批准后，才会开始实施。 部署架构 图2 部署架构图 南洋MSP团队直接面向客户的应用部门和IT部门； 通过CMP平台实行服务的操作和部署，并在ITSM平台记录服务的过程与结果； 技术团队按工作范围区分职责和实施边界，建立响应机制和升级制度。

方案优势 服务时效：7*24运维服务中心，400电话24小时无间断响； 流程完善：事件分类和逐级提升，完善的服务流程，从问题发生到问题处理最后进行问题归类，形成故障处理报告完成闭环； 沟通效率：直接面对客户的应用供应商展开架构评审和应用调研，代客户Infra部门实行项目管理并贯穿业务全生命周期，业务上线时间提升50%； 云成本优化：建立预算评估和成本追踪，结合客户实际的资源性能消耗和巡检分析，有效减少云资源过剩消费约30%。

应用场景 随着企业数字化转型的加速，越来越多的企业将业务迁移到云端。然而，云环境的复杂性，包括多种云服务（如基础设施即服务 IaaS、平台即服务 PaaS、软件即服务 SaaS）的管理、安全风险、成本控制等问题，使得企业需要专业的支持。Cloud MSP 解决方案应运而生，来满足企业对云服务专业管理的需求。 南洋万邦依托数十年专业的公有云技术服务，结合华为云技术与工具，进行上云的技术实施和管理运营，为客户上云、用云和管云打通技术壁垒。通过使用7阶12步的上云方法论，涉及调研与评估、上云规划、上云实施、业务切换等各个环节，实施场景涵盖IDC搬迁、SAP上云、云上容灾等，累计500+成功的公有云案例。 客户痛点： 随着公有云技术和公有云厂商的不断发展，客户上云难以抉择： 云服务种类繁多难以抉择，如何精确地评估自己的需求，选择最适合自己的云服务，成为客户面临的一大难题； 由于云服务市场的复杂性，客户往往缺乏明确的选择标准；企业需要考虑上云的成本、效益、风险等因素，以及如何解决上云过程中遇到的技术、管理和安全等问题。 通过本方案实现的业务效果： 本方案可以让客户及时了解并应用适合自身业务的云上新技术，保持技术先进性。实现系统间的高效集成，避免信息孤岛，提升整体技术效率。

迁移实施 迁移工具选型：业务上云迁移技术选型方案如上所示，包含主机迁移、数据库迁移、存储数据迁移等方案 图5 迁移工具选型 迁移步骤 环境准备： 创建VPC、subnet、安全组、虚拟机、私网NAT、安全产品 华为云与IDC专线互联 备份源端 配置源和目标端，打通迁移传输网络，配置带宽 生产环境数据迁移及业务部署： 配置ELB、私网NAT、安全组、ACL 实施主机迁移方案，应用按子系统分步迁移 实施缓存迁移方案 实施数据库迁移方案，完成全量与增量数据库迁移 业务验证： 严格根据Checklist进行业务测试 清除业务测试的脏数据 重新权限同步业务数据 生产环境割接： 停止源端业务、增量同步数据 核心前置机指向修改、DNS修改、切换业务 业务验证（少量业务可能需在割接当晚验证）

云上方案架构 云上目标架构设计思路 图3 云上方案架构 华为云网络设计 云上VPC划分为运维监控VPC、NAT VPC、生产VPC、SAP-VPC、开发测试VPC、大数据VPC； 生产VPC，按照领域划分多个子网，独立中间件子网、SAP子网、数据库子网进行细粒度管控，通过安全组及ACL进行访问控制； 运维监控VPC放置堡垒机； 开发测试 VPC，用于开发测试环境； NAT-VPC为预留扩展用； 预留了大数据VPC； 公网流量先经过公用的Anti-Ddos、WAF，进行防护； 外网流量经ER引流至CFW进行边界防护； VPC之间采用对等连接，内网流量不经过ER； 云上与IDC之间通过专线连接； 华为 云安全 设计 图4 华为云安全设计 基于客户IDC安全现状，云上架构需要考虑构建面向全局的纵深防护体系和全局安全动态感知能力； 网络层： 网络侧部署DDoS云原生防护，对DDoS攻击进行四层以下的防护； 部署WAF方案，对HTTP、HTTPs流量进行攻击防护，保证web层面安全； 部署CFW 云防火墙 ，对流量进行访问控制和IPS防护。 主机及容器： 对于在VPC生产的前端系统，部署主机安全-防篡改版进行主机和静态网页防护； 对于ECS的服务器，用主机安全进行防护； 针对容器化部署，采用 容器安全 进行防护。 数据层：针对数据库，可考虑部署数据库安全服务对恶意删库、拖库等进行审计，并对SQL注入进行实时告警； 安全管理： 对运维操作，通过网络ACL保证运维人员操作不绕过云堡垒机， 堡垒机启用双因素，所有运维操作都可审计； 云上审计，例如账号登录、ECS操作等通过 云审计 进行，底层云服务层面可通过 云日志 进行审计； 针对运维健康监控，可通过 云监控 、 AOM 进行性能监控； 通过漏扫、态势感知进行全局的缺陷管理和安全威胁的监控。 建议定期进行安全攻防演练，将经验固化到防护方案中。

迁移规划 应用迁移规划：基于客户的云化战略，未来不再新增IDC资源，并结合业务应用特点，计划关停的系统、开发测试系统等仍保留在本地机房，充分利旧，应用分批稳步迁云。 图2 应用迁移规划 分批迁移上云策略 面向外部用户的应用及速赢类应用第一批次迁移上云：面向渠道、终端客户等外部的营销类应用，发挥云的资源弹性优势，应对节日、促销等需求波动大的场景，提升外部用户体验；大数据平台当前故障频繁、算力有限，上云后能快速解决问题；一阶段涉及到团队磨合，流程固化，POC，原子方案论证，故周期较长。 面向内部办公及作业效率提升的应用第二批次迁移：OA系统面向内部办公，上云后实现员工随时随地接入体验和移动办公；电商平台上云后通过API快速对接第三方电商，客服中心利用云呼叫中心、AI语音等云能力，提升作业效率。 企业作业流程的核心业务系统：人财物系统最后迁移：人财物等支柱型应用，系统关联关系复杂，涉及范围广，迁移难度大，故最后一批迁移上云，迁移留有充足的时间进行迁移方案论证及POC。 相同领域尽量同批次迁移：相同领域系统之间交互较多，应尽量减少跨云调用，同时方便集中人力资源和项目组资源协调，利于迁移实施顺利开展。 迁移风险及应对举措：对迁移可能碰到的问题和风险进行评估。包含（但不限于）：迁移方案可行性、网络环境稳定性、迁移切换时间及人工成本等。 表1 迁移风险及应对举措 挑战 关键举措 迁移方案是否可行 现网协调测试环境进行迁移方案验证 迁移网络不稳定 建设迁移专用网络，专线可大大提高网络稳定性及迁移速率 迁移切换时间窗口很小 分析业务系统允许停机窗口，选择业务最低谷时期切割 如何保证上云过程中的安全防护 人员方面，实施技术人员将严格按照客户信息化安全防护要求执行相关安全保密规定 系统方面，迁移上云安全原则为坚决避免带病上云，对于现有系统，上云前均强烈建议做好安全体检（从硬件到软件），并出具健康检查报告，并执行安全扫描后允许上云 应用系统验证人员保障 提前协调好应用系统验证人员 迁移失败怎么办 做好数据备份及应急回退机制，当出现迁移失败时，及时回退，确保业务不受影响

需求调研 动机和驱动因素 某客户在中国使用友商云，但是友商云产品合同即将到期，且集团战略需要使用国产云来承载所有的基础设施平台，客户集团战略是将本地数据中心、友商云承载的大部分应用系统迁移到华为云上。 客户主要痛点集中在以下几个方面： 客户遍布全国乃至全球，需要有良好的用户接入体验。受特殊时间节点（月末、季末、年末）、活动（促销、涨价）等出现峰值波动。 资源不能弹性伸缩，CPU、内存、存储等资源利用不均衡。使用CDH开源版本老旧（开源社区已不维护），问题较多，不稳定，运维成本较大，难以支撑每日的报表计算。线下的大数据平台计算能力有限，只能勉强支撑当前的经营分析报表（每日批量计算时常故障），承接新增需求较为困难。 资源不能平滑扩展，资源扩容周期长。多地域分支机构接入访问体验无法保障。 核心系统对系统可靠性、安全性要求非常高。 上云总体战略：为满足客户数字化转型的业务需要，支撑应用架构和数据架构，定义集团未来数字化转型过程中上云的总体策略。上云总体策略应该遵循统一规划、分步建设、统一体系、价值导向原则。 图1 上云总体战略

资源和成本规划 以某一外企客户为例，客户有多套应用系统需要迁移到华为云上，需要在华为云上部署虚拟机来承载应用系统，并实施安全加固和备份，以保障应用系统的稳定可靠。 【参考样例1：华为云部署清单】 表1 资源和成本规划 产品类别 华为云产品 华为云规格 数量 年单价 年总价 安全 云防火墙 标准版 1 ￥28,000.00 ￥28,000.00 安全 HSS主机安全 企业版 21 ￥900.00 ￥18,900.00 安全 云证书管理服务 CCM 单域名，OV,GlobalSign 1 ￥3,094.24 ￥3,094.24 网络 EIP 2M 4 ￥460.00 ￥1,840.00 网络 EIP 5M 1 ￥1,150.00 ￥1,150.00 网络 负载均衡ELB 共享型 私网 1 ￥1,500.00 ￥1,500.00 网络 负载均衡ELB 共享型 公网4M 1 ￥2,420.00 ￥2,420.00 SD-WAN网络 Flexus云服务器X实例 4C/16G 2 ￥2,923.84 ￥5,847.68 SD-WAN网络 EIP 按10M带宽预估 2 ￥5,150.00 ￥10,300.00 备份 CBR云备份 备份数据库备份空间500GB 1 ￥2,190.00 ￥2,190.00 备份 CBR云备份 混合云备份文件备份空间1TB 1 ￥3,973.12 ￥3,973.12 备份 CBR云备份 磁盘快照备份1T 1 ￥1,019.90 ￥1,019.90 虚机 Flexus云服务器X实例性能模式 16C/32G 2 ￥7,952.32 ￥15,904.64 虚机 Flexus云服务器X实例性能模式 8C/32G 4 ￥5,878.72 ￥23,514.88 虚机 Flexus云服务器X实例 8C/16G 2 ￥3,805.12 ￥7,610.24 虚机 Flexus云服务器X实例 4C/16G 12 ￥2,923.84 ￥35,086.08 虚机 Flexus云服务器X实例 2C/4G 1 ￥1,161.28 ￥1,161.28 磁盘 SSD云盘 当前虚机挂载规格总空间7600G 1 ￥50,400.00 ￥50,400.00 云迁移 / / 1 ￥64,000.00 ￥64,000.00 总价：￥277,912.06（仅供参考）

应用场景 随着全球科技竞争的加剧和国际制裁背景下，中国企业对国产自主算力的需求迅速增长。昇腾行业大模型适配服务凭借其强大的高性能计算能力和深度学习算法优化，成为推动国内信创产业发展的关键力量。而各地国产化算力中心建设完成后，客户常因技术栈差异面临软硬件兼容性和使用困难，缺乏对华为昇腾AI平台的深入了解，遇到技术问题时响应不及时，影响项目推进和创新。 客户在使用昇腾算力开发模型时面临诸多挑战： 技术栈差异：各地国产化算力中心建设完成后，客户常因技术栈差异面临软硬件兼容性和使用困难，导致开发效率低下。 技术理解不足：部分客户缺乏对华为昇腾AI平台的深入了解，遇到技术问题时响应不及时，影响项目推进和创新。 迁移难度大：AI模型迁移面临算子层、框架层、模型层等多技术体系，迁移过程中遇到算子不适配场景难以解决，迁移后模型需要进行准确和性能调优，依赖专家经验进行模型分析与调优。 开发环境复杂：AI开发面临算子层、模型层、应用使能层等多技术体系的熟悉，学习难；AI现场开发过程中常会遇到难点问题、新特性理解不深入，问题求助响应慢；模型运行依赖多，开发环境搭建复杂；工具链种类多，学习周期长。 专业人才短缺：客户虽然有专业的AI算法工程师团队，但不了解CANN与昇腾底层，在开发过程中遇到底层问题疑难问题难以处理。算法工程师定位底层问题效率低，不了解昇腾有哪些可以利用依赖的工具链，疑难问题求助依赖社区途径。 调优经验不足：昇腾迁移调优经验少，CANN层问题不会处理，不了解昇腾的调度逻辑。缺乏大模型调优经验，针对模型性能与精度优化没有有效的方法，没有类似算子优化层面的高阶调优能力。 AI使用门槛高：AI训练/推理算力+基础大模型+适配服务+应用改造端到端成本高，特别是本地化部署推理算力场景，迫切需要高性价比方案。