华为云用户手册

  • CloudPond功能概述 您可以通过表1查阅CloudPond云服务提供的常用功能。 表1 CloudPond功能概述 功能分类 功能描述 相关操作 边缘小站 边缘小站定义为CloudPond产品中用于管理线下部署站点的逻辑概念,一个边缘小站关联一个华为云指定的区域和一个用户指定的部署位置。 部署位置定义为与边缘小站相关联的逻辑概念,用于记录小站部署的大致地区。 您可以通过CloudPond控制台注册、查看、修改和删除边缘小站。 注册边缘小站 管理边缘小站 网络连接 CloudPond和用户本地系统之间:根据实际业务需要,用户可以通过边缘小站内部的本地网关打通CloudPond和本地系统之间的网络,达到内部网络互访的效果。 CloudPond和中心云之间:CloudPond所在的边缘可用区和中心云的通用可用区通过边缘网关进行连接,共享同一 虚拟私有云VPC ,用户在CloudPond上可通过VPC内网访问中心云的其他云服务。 配置并验证CloudPond和用户本地系统之间的网络连接 验证CloudPond和中心云之间的网络连接 业务资源 CloudPond运行有必选云服务,同时您可以根据需求将一些可选的云服务和应用部署在CloudPond上,实现在您本地使用各类华为云服务,以及边云协同的场景,以满足数据本地化和低时延访问的需求。 CloudPond控制台提供了跳转至支持的云服务创建和管理资源界面的功能。此外,还提供了镜像缓存的功能。 在边缘可用区创建业务资源 在边缘可用区管理业务资源 镜像缓存 监控数据 CloudPond以边缘小站为单位,在控制台上提供计算资源(vCPU和内存)和存储资源使用率的查看功能。 CloudPond提供和华为云通用可用区监控云服务的一致体验,用户可以通过 云监控服务 CES或者其他一些方法监控CloudPond上运行的各类云服务。 查看边缘小站资源使用率 监控云服务
  • 验证CloudPond和中心云之间的网络连通性 以Windows弹性云服务器为例进行说明: 在华为云区域通用可用区新建一台弹性 云服务器ECS 01(加入VPC01,选择子网网段10.0.1.0/24)。 参数“可用区”选择“通用可用区”,方法请参见自定义购买弹性云服务器。 在弹性云服务器列表页面查询到E CS 01,从“IP地址”列获取并记录其私有IP地址(如10.0.1.110)。 在边缘可用区新建一台弹性云服务器ECS03(加入VPC01,选择子网网段10.0.3.0/24)。 参数“可用区”选择“边缘可用区”,其余操作和在华为云区域通用可用区的方法完全一致。 在弹性云服务器列表页面查询到ECS03,从“IP地址”列获取并记录其私有IP地址(如10.0.3.110)。 (可选)当ECS01和ECS03不在同一个安全组时,为二者所在安全组中分别添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通。 方法请参见不同安全组内的弹性云服务器内网互通。 登录弹性云服务器ECS01,执行到弹性云服务器ECS03的ping命令,验证ECS01和ECS03的网络连通性。 ping 10.0.3.110 检查ping命令返回结果,可以ping通表示网络可连通。如果ping不通请排查原因并联系华为云运维团队处理。
  • 操作场景 CloudPond所在的边缘可用区和中心云的通用可用区通过边缘网关进行连接,共享同一虚拟私有云VPC,用户在CloudPond上可通过VPC内网访问中心云的其他云服务。 在CloudPond部署过程中(即场地安装CloudPond硬件和软件过程中),华为云技术支持团队已为您打通CloudPond和华为云区域通用可用区之间的网络,您可以在虚拟私有云VPC控制台上创建同时包含归属于边缘可用区子网和归属于通用可用区子网的虚拟私有云VPC,然后通过测试华为云区域通用可用区的弹性云服务器和边缘可用区的弹性云服务器之间的网络是否连通,来验证CloudPond和华为云区域通用可用区之间的网络连通性。 请参考概述了解CloudPond网络连接的总体数据规划,此外,您可以参考组网方案和要求全面详细了解CloudPond的网络连接要求。
  • 监控指标 指标ID 指标名称 含义 取值范围 测量对象 监控周期(原始指标) connect_status 站点连接状态 该指标为站点云边网络连接状态。 0代表站点断连,存在故障。 1代表站点部分断连,亚健康状态。 2代表站点状态正常。 ≥ 0 CloudPond 1分钟 vcpu_util vCPU利用率 该指标为从站点层面采集的vCPU使用率。 单位:百分比 计算公式:CloudPond vCPU已用数量 / vCPU总量 ≥ 0% CloudPond 5分钟 mem_util 内存利用率 该指标为从站点层面采集的内存使用率。 单位:百分比 计算公式:CloudPond 存使用量/内存总量 ≥ 0% CloudPond 5分钟 vcpu_used vCPU已用数量 该指标为从站点层面采集的vCPU使用数量。 单位:个 ≥ 0 CloudPond 5分钟 vcpu_total vCPU总量 该指标为从站点层面采集的vCPU总量。 单位:个 ≥ 0 CloudPond 5分钟 mem_used 内存使用量 该指标为从站点层面采集的内存使用量。 单位:GiB ≥ 0GiB CloudPond 5分钟 mem_total 内存总量 该指标为从站点层面采集的内存总量。 单位:GiB ≥ 0GiB CloudPond 5分钟 capacity_used 存储资源使用量 该指标为从站点层面采集的存储使用量。 单位:GiB ≥ 0GiB CloudPond 5分钟 capacity_total 存储资源可用总量 该指标为从站点层面采集的存储总量。 单位:GiB ≥ 0GiB CloudPond 5分钟 vcpu_used_perflavor 云主机-单实例类型vCPU使用量 该指标为单实例类型vCPU使用数量。 单位:个 ≥ 0 CloudPond,云主机资源 5分钟 vcpu_total_perflavor 云主机-单实例类型vCPU总量 该指标为单实例类型vCPU总量。 单位:个 ≥ 0 CloudPond,云主机资源 5分钟 vcpu_util_perflavor 云主机-单实例类型vCPU利用率 该指标为单实例类型vCPU使用率。 单位:百分比 计算公式:云主机-单实例类型vCPU使用量 / 可用总量 ≥ 0% CloudPond,云主机资源 5分钟 mem_used_perflavor 云主机-单实例类型内存使用量 该指标为单实例类型内存使用量。 单位:GiB ≥ 0GiB CloudPond,云主机资源 5分钟 mem_total_perflavor 云主机-单实例类型内存总量 该指标为单实例类型内存总量。 单位:GiB ≥ 0GiB CloudPond,云主机资源 5分钟 mem_util_perflavor 云主机-单实例类型内存利用率 该指标为单实例类型内存使用率。 单位:百分比 计算公式:云主机-单实例类型内存使用量 / 可用总量 ≥ 0GiB CloudPond,云主机资源 5分钟 capacity_used_perblockstor 云硬盘-存储资源使用量 该指标为单存储类型的使用量。 单位:GiB ≥ 0GiB CloudPond,存储资源 5分钟 capacity_total_perblockstor 云硬盘-存储资源可用总量 该指标为单存储类型的总量。 单位:GiB ≥ 0GiB CloudPond,存储资源 5分钟 capacity_util_perblockstor 云硬盘-存储资源使用率 该指标为单存储类型的使用率。 单位:百分比 计算公式:云硬盘-存储资源使用量 / 可用总量 ≥ 0% CloudPond,存储资源 5分钟
  • 操作场景 根据实际业务的需要,用户可以通过CloudPond内部的本地网关打通小站和本地系统之间的网络,达到内部网络互访的效果。 您首先需要为本地网关路由表关联VPC,然后为其添加到本地网络的路由信息。配置完成后,通过测试边缘可用区的弹性云服务器和用户本地系统中的服务器之间的网络是否连通,来验证CloudPond和用户本地系统之间的网络连通性。 请参考概述了解CloudPond网络连接的总体数据规划,此外,您可以参考组网方案和要求全面详细了解CloudPond的网络连接要求。
  • 验证CloudPond和用户本地系统之间的网络连通性 以windows弹性云服务器为例进行说明: 在CloudPond边缘可用区新建一台弹性云服务器ECS03(加入VPC01,选择子网网段10.0.3.0/24)。 参数“可用区”选择“边缘可用区”,其余操作和在华为云区域通用可用区的方法完全一致。 方法请参见自定义购买弹性云服务器。 将ECS03所在的安全组放通“入方向”的“ICMP”规则,出方向默认全部放通。详见安全组配置规则。 服务器列表页面查询到ECS03,从“IP地址”列获取并记录其私有IP地址(如10.0.3.110)。 登录本地系统服务器Server01,执行到弹性云服务器ECS03的ping命令,验证Server01和ECS03的网络连通性。 ping 10.0.3.110 检查ping命令返回结果,可以ping通表示网络可连通。如果ping不通请排查原因并联系华为云运维团队处理。
  • 验证通用可用区和用户本地系统之间的网络连通性 当配置了通用可用区和用户本地系统之间的路由信息时,即在表1中的“目的地址”参数填写为虚拟私有云的大网段,或者又单独新增了对应子网网段的路由信息,您可以在本地系统通过VPC内网访问通用可用区的云服务。 以windows弹性云服务器为例进行说明: 在CloudPond通用可用区新建一台弹性云服务器ECS01(加入VPC01,选择子网网段10.0.0.0/16)。 参数“可用区”选择“通用可用区”。 方法请参见自定义购买弹性云服务器。 将ECS01所在的安全组放通“入方向”的“ICMP”规则,出方向默认全部放通。详见安全组配置规则。 在弹性云服务器列表页面查询到ECS01,从“IP地址”列获取并记录其私有IP地址(如10.0.1.110)。 登录本地系统服务器Server01,执行到弹性云服务器ECS01的ping命令,验证Server01和ECS01的网络连通性。 ping 10.0.1.110 检查ping命令返回结果,可以ping通表示网络可连通。如果ping不通请排查原因并联系华为云运维团队处理。
  • 付费方式 CloudPond提供线上预付费的方式,具体付费方式说明如表2所示。 表2 付费方式说明 计费项 计费方式 说明 计算资源 全预付:一次性付清三年合同期的费用。 部分预付+按月付费:在购买时支付全部费用的50%左右,剩余部分在站点验收后按36个月分期支付。 付款详情请参见线上付款,后续在边缘小站上创建购买量内的计算和存储资源时不再付费。 付款后,系统不会立即进入计费期。当完成CloudPond设备安装和调测后,华为云技术支持团队会通知您进行验收,收到您的书面确认后启动计费。 存储资源 弹性公网IP(用于CloudPond与中心云通信) 包周期或者按需支付。 以弹性公网IP服务的付费方式执行,详见EIP计费说明。
  • 计费项 CloudPond云服务由必选云服务和可选云服务组成,其中,必选云服务的计费项由计算资源、存储资源、网络资源(免费)和弹性公网IP(用于CloudPond与中心云通信)四部分组成。 具体计费项说明如表1所示。 表1 计费项说明 计费类别 计费项 说明 CloudPond必选服务 计算资源 用于提供用户业务所需的计算资源,包括vCPU和内存等。 规格详见计算资源规格。 存储资源 适用于所有CloudPond上的业务数据存储,提供不同阶梯固定容量的云硬盘。 规格详见存储资源规格。 网络资源(免费) CloudPond提供如下免费的网络资源,为帮助您更全面了解产品,这里也一并列出。 本地网关服务:用于CloudPond与用户本地系统进行内网互通的服务。 虚拟私有云服务:用于创建虚拟私有云(子网包含边缘可用区)。 弹性公网IP服务:用于用户本地CloudPond资源提供公网IP发布能力的服务。 说明: 弹性公网IP服务仅提供服务能力,不提供华为云公网IP地址,用户使用时需要将数据中心自有地址绑定给弹性公网IP服务使用。 弹性公网IP(用于CloudPond与中心云通信) 用户需要购买弹性公网IP服务中的资源,用于CloudPond与中心云通信使用。 除了上述各计费项外,CloudPond上的可选云服务以各服务开通页面上显示的计费模式和具体规格对应的价格为准,此处不再详细列举。
  • 什么是CloudPond云服务 CloudPond云服务将云基础设施和云服务部署到企业现场,适合对应用访问时延、数据本地化留存及本地系统交互等有高要求的场景,可便捷地将云端丰富应用部署到本地。 您可以通过CloudPond和华为云的关系是什么?了解更多详情。 CloudPond产品架构如图3所示。提前熟悉CloudPond的一些常用概念将帮助您更轻松的了解CloudPond产品架构。 图3 CloudPond产品架构 CloudPond将华为云一体化整机柜设备部署到用户本地,为您提供在本地使用华为云服务的机会。 边缘小站隶属于华为云区域的边缘可用区,该可用区基础设施由华为云完全托管、维护和支持,使用体验与通用可用区一致。边缘小站和其所属的边缘可用区,以及小站中运行的云资源为CloudPond用户专属,与其他公有云用户不共享,您可以通过边缘小站与区域和可用区是什么关系?了解更多详情。 根据实际业务类型的多样化,同一个数据中心的不同场地可以分别部署多个不同的边缘小站。您也可以在多个地理位置不同的数据中心创建多个不同的边缘小站。 CloudPond控制台部署在中心云上。通过CloudPond控制台,您可以方便的查看边缘小站信息和云服务资源的使用情况。 用户通过云服务控制台进行业务资源的开通和管理。CloudPond运行必选的云服务包括弹性云服务器(Elastic Cloud Server,ECS)、云硬盘(Elastic Volume Service,EVS)、虚拟私有云(Virtual Private Cloud,VPC)、弹性公网IP(Elastic IP,EIP),同时您可以根据需求将一些可选的云服务和应用部署在CloudPond上。更多云服务支持情况请参见与CloudPond有业务交互的云服务。您还可以使用 统一身份认证 服务 IAM 云监控 服务 CES 分别对部署在CloudPond上的云服务资源进行账号鉴权和监控。 网络连接方面: CloudPond和用户本地系统之间:根据实际业务需要,用户可以打通边缘小站和用户本地系统的网络通信,使得用户能够更便捷的将CloudPond整体纳入企业内网架构中。 CloudPond和中心云之间:CloudPond所在的边缘可用区和中心云的通用可用区共享同一虚拟私有云VPC,用户在CloudPond上可通过VPC内网访问中心云的其他云服务。 更多详细介绍请参见网络连接组网方案和要求。
  • 为什么选择CloudPond 考虑到自建IT系统的各种困难(如部署周期长,运维难度高,运营成本高等),很多企业用户选择了业务上云,而上什么云取决于企业的自身条件和需求。目前,业界主流的云形态有私有云、公有云、混合云等。 CloudPond呈现了一种全新的产品形态,吸取了已有的几类云形态的优势,提供低时延、低成本、数据本地化等服务能力,有效解决了用户在一些场景下单独使用一类云形态时遇到的痛点问题。 CloudPond和私有云、公有云、混合云的对比请参见表1 CloudPond和私有云、公有云、混合云的对比。 表1 CloudPond和私有云、公有云、混合云的对比 产品形态 CloudPond 私有云 公有云(中心云) 混合云 定位 归属于华为云的一款针对边缘计算场景的云服务,部署于用户数据中心的华为云边缘小站。 部署于用户本地或者指定的物理位置,专供一个用户使用,该用户拥有对基础设施和云资源的完全控制权。所有操作始终在私有网络上进行。 云资源由公有云厂商拥有和运营,通过Internet提供给用户按需/包周期使用,基础设施部署于云厂商的数据中心。 结合私有云和公有云的一种模式,用户可将敏感数据存储在私有云,同时利用托管公有云的计算资源。 安装和运维 用户直接租赁华为云提供的一体化机柜,基础设施由华为云负责安装和运维,用户仅需保证本地机房环境的可用性和稳定性即可。 用户自建:用户自行采购基础设施,并负责安装和运维。 托管建设:用户租赁或者买断第三方云厂商提供的基础设施,联合云厂商共同负责基础设施的安装和运维。 用户直接使用第三方云厂商提供的云服务,基础设施由云厂商负责安装和运维。 用户租赁或者买断第三方云厂商提供的私有云和公有云的混合基础设施,联合云厂商共同负责基础设施的安装和运维。 云资源占用 用户专属 用户专属 与其他用户共享 用户专属和与其他用户共享混合 数据本地化 所有数据存储在本地边缘小站内,满足数据合规要求。 数据存储在自建或者托管的数据中心。 数据存储在云厂商数据中心。 部分数据存储在本地,部分数据存储在云厂商数据中心,视用户需求而定。 访问时延 边缘小站部署在用户本地,应用终端访问时延较低。 业务部署在用户本地或托管中心,应用终端访问时延较低。 业务部署在云端,应用终端访问时延相对较高。 视业务部署位置情况而定。 综合成本 成本较低,主要由用户机房、能源、云服务使用、服务支持、人员开销(业务运维)等构成。 成本较高,主要由用户机房、能源、相关设备、私有云软件、服务支持、人员开销(业务运维和平台运维)等构成。 成本较低,主要由云服务使用、网络、服务支持、人员开销(业务运维)等构成。 成本中等,由私有云和公有云成本共同组成,不同用户的私有云和公有云占比不同。 更多更详细的选择理由请参见产品优势。
  • 访问方式 您可以通过控制台和API两种方式访问CloudPond。 控制台的操作请参见《CloudPond云服务快速入门》。 表2 访问方式 方式 说明 入口/指导 控制台 提供直观的Web化管理界面,简化您的操作。 请参见《CloudPond云服务快速入门》 API 提供基于HTTPS请求的API,方便您将CloudPond集成到第三方系统,用于二次开发。 请参见《CloudPond云服务API参考》。
  • 边缘计算 迈入5G和AI时代,新型业务如增强现实AR、虚拟现实VR、互动直播、自动驾驶、智能制造等应运而生。以上这些业务场景对时延和网络带宽有着强烈诉求,而在传统的集中式云计算场景中,所有数据都集中存储在大型数据中心。由于地理位置和网络传输的限制,无法满足新型业务的低时延、高带宽等要求。 网络高时延:传统云计算无法即时处理和分析新型业务产生的数据,导致应用终端获得的响应慢,体验差。 带宽高成本:新型业务的应用终端产生的数据传回云端将消耗更高的网络带宽,导致服务厂商需要支付高昂的网络成本。 数据合规性:新型业务数据存储在云端,无法满足企业对敏感数据本地化存储的要求,直接影响企业数据上云的策略。 面对传统集中式云计算的固有局限性,边缘计算成为应对新型业务和数据合规业务的较好选择。边缘计算通过在靠近终端应用的位置建立站点,最大限度的将集中式云计算的能力延伸到边缘侧,有效解决以上的时延和带宽问题。 您可以参考图1了解更多关于云计算和边缘计算的区别。 图1 云计算和边缘计算 从广义上讲,云计算包括边缘计算,边缘计算是云计算的扩展,二者为互补而非替代关系。只有云计算与边缘计算相互协同(简称边云协同),才能更好的满足各种应用场景下的不同需求。 通过图2进一步了解边缘计算的范畴。 图2 边缘计算的范畴 按照从用户/终端到中心云的距离,可以划分3个“圈”: 第一个“圈”是现场边缘,覆盖1~5ms时延范围,算力以AI推理为主,主要面向自动驾驶, 工业互联网 等实时性业务。 第二个“圈”是近场边缘,覆盖5~20ms时延范围,算力以渲染为主,同时还有一部分推理,主要面向视频场景。 第三个“圈”是传统的公有云(也称为中心云),覆盖20~100ms时延范围,用于承载未下沉到边缘的业务,例如海量的数据存储,挖掘,训练等。 面向近场边缘和现场边缘场景,华为云分别推出了智能边缘云(IEC)和CloudPond云服务两款产品。 智能边缘云IEC :提供广域覆盖的分布式边缘云,用于客户就近灵活部署业务。 CloudPond:提供部署在用户数据中心的软硬件一体的边缘解决方案。 除了上述两款产品,华为云还推出了面向客户业务现场场景的智能边缘平台(Intelligent EdgeFabric,IEF)产品。作为基于云原生技术构建的边云协同操作系统,IEF可运行在多种边缘设备上,将丰富的AI、IoT(Internet of Things)及数据分析等智能应用以轻量化的方式从云端部署到边缘,满足用户对智能应用边云协同的业务诉求。 关于CloudPond云服务、智能边缘云和智能边缘平台的详细对比,请参见CloudPond、IEC、IEF有什么区别和关联?。 面向现场边缘场景,现推出CloudPond云服务(CloudPond)产品,提供部署在用户本地的软硬件一体的边缘解决方案。
  • 必选云服务使用限制 表1展示了ECS、EVS、VPC、EIP在CloudPond上使用的一些主要限制。 表1 必选云服务使用限制 云服务名称 主要限制 弹性云服务器ECS 边缘可用区的ECS不支持VNC(Virtual Network Console)登录方式,建议采用SSH(Linux)或者mstsc(Windows)等方式登录。 用户如果选择GPU加速型Pi2服务器,需要额外按年购买GPU License。 暂不支持对ECS执行如下操作:按需转包周期,加密,创建整机镜像(即整机备份),基于共享镜像创建虚拟机等。 ECS上运行Windows、RedHat等商业操作系统时,需要用户自行提供操作系统许可。 CloudPond支持的ECS规格请参考:规格清单(CloudPond)。 ECS支持本地虚拟机UEFI安全启动特性,目前在CloudPond场景中默认可开启该特性的计算实例类型为C7n型,其他资源暂不支持。 云硬盘EVS 当前支持高IO和超高IO云硬盘。 当前高IO云硬盘介质为HDD,超高IO云硬盘介质为NVMe SSD,暂不支持用户定制介质类型和大小。 当前云硬盘EVS采用三副本机制进行分布式部署,暂不支持其他部署模式。 暂不支持对EVS执行如下操作:备份,加密等。 当前云硬盘服务的块存储快照仅支持保存在边缘云本地。 虚拟私有云VPC 两个边缘小站的不同VPC,不支持通过VPC对等连接进行互通。 同一个VPC中,归属于不同边缘小站(即分布于不同边缘可用区)的子网不互通。 弹性公网IP EIP 通用可用区的EIP不能绑定边缘可用区的ECS,反之,边缘可用区的EIP也不能绑定通用可用区的ECS。 边缘小站1使用的EIP不能绑定归属于边缘小站2的ECS。 通用可用区的共享带宽不能添加边缘可用区的EIP,反之,边缘可用区的共享带宽也不能添加通用可用区的EIP。 CloudPond加密方式 CloudPond默认使用商密方案进行加密,特定配置和特性场景下可支持国密方案(按项目评估)。
  • 可选云服务使用限制 CloudPond上支持的可选云服务的主要限制请参考各自云服务的产品文档。 额外限制:部分可选云服务在CloudPond上部署时,需要依赖CloudPond提供特定规格的计算资源和存储资源,具体情况请参考表2。 表2 可选云服务依赖计算资源种类 云服务名称 依赖CloudPond计算资源包含如下算力系列 云容器引擎 CCE Turbo C/S/M/I/D系列 弹性文件服务SFS Turbo C系列 应用与 数据集成平台 ROMA Site C/S系列 数据治理中心 DataArts Studio C系列 云桌面Workspace C/S系列 数据库安全服务DBSS C/S系列 Web应用防火墙 C/S系列 云堡垒机CBH C/S系列 MapReduce服务 MRS C系列和I/D系列 主机迁移服务 SMS C系列 企业主机安全 HSS 所有系列 云 数据仓库 GaussDB (DWS) I系列 云数据库RDS C/S系列
  • 基础限制 管理模式限制:CloudPond通过中心云控制台进行所有的管理操作,不提供本地管理界面或工具,也不支持离线环境下的管理操作。 硬件相关限制:CloudPond不支持用户设备入柜。 运维监控限制:CloudPond的运维和监控操作由华为云运维团队统一执行,用户可以通过CES对CloudPond上运行的资源状况进行监控,不能直接访问运维监控平台。 硬件种类和资源使用限制:用于在CloudPond站点中提供EVS云服务的硬件设备分为融合机型(融合节点,提供用户EVS服务和云平台运维管控组件服务)和存储机型(存储节点,提供用户EVS服务),其中,站点融合节点部署数量不超过4个。 用于在CloudPond站点中提供ECS云服务的硬件设备根据ECS Flavor种类分为虚拟化专用机型和裸机专用机型,根据机型和Flavor的不同,除去必要的管理开销外,剩余的所有资源将100%提供给业务使用。 CloudPond采用计算存储分离的设计,用户可按业务需求,按需单独扩展计算资源或存储资源。(D/I系列云服务器自带的本地盘例外)。
  • CloudPond基础设施安全 华为云致力于打造可信云平台,CloudPond整体上继承了华为 云安全 建设规范,具体安全方案细节请参见华为云安全白皮书。 CloudPond用户侧和平台侧分别实施了严格的安全隔离策略,华为云负责CloudPond平台的运维和安全运营,提供7*24小时安全监控运营服务。 CloudPond平台侧默认全部部署了主机安全服务,华为云会定期对平台侧执行 漏洞扫描 ,并按照SLA(Service-Level Agreement)的要求及时安装补丁修复漏洞。 华为云对CloudPond平台侧的账号权限进行集中管理,并定期进行账号密钥轮换,以防止未经授权的访问。
  • 企业项目 CloudPond支持通过企业项目对资源进行分组、管理和隔离,实现按照企业、部门或者项目组等不同组织对资源的管理和访问控制。 企业项目是对多个资源进行分组和管理,不同区域的资源可以划分到一个企业项目中。企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业项目内进行管理,并支持资源在企业项目之间迁移。 企业项目可以授权给一个或者多个用户组进行管理,管理企业项目的用户归属于用户组。通过给用户组授予策略,用户组中的用户就能在所属企业项目中获得策略中定义的权限。 关于如何创建企业项目,以及如何授权,请参阅企业项目。
  • 通信安全 中心云与CloudPond之间存在如下两类网络线路通信: 运维管理线路:该线路通过CloudPond内置VPN(Virtual Private Network)实现传输加密,保证网络通信安全。其相关数据为平台运维和服务管控层数据,不涉及用户业务数据通信。 业务互联线路:该线路通过网络加密技术实现传输加密,保证网路通信安全。其相关数据为CloudPond本地实例和中心云服务之间的通信数据,该传输数据和传输策略由用户VPC进行控制。
  • 监控安全风险 云监控服务,为用户提供一个针对CloudPond内资源的立体化监控平台。使用户全面了解CloudPond上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。 用户开通云监控后,CES可以查看小站内云服务器、带宽、弹性公网IP等资源的使用情况,也可以创建和设置告警规则,自定义监控目标与通知策略,及时了解小站的运行状况,从而起到预警作用。 CES的详细介绍,请参见CES功能介绍。 CloudPond支持的监控指标,请参见支持的监控指标。 查看监控指标步骤,请参见查看监控指标。 父主题: 安全
  • 步骤四:开启应用监控 在ECS或CCE上,配置Deployment应用的启动脚本:在yaml描述文件中增加如下示例中加粗配置。 执行如下命令编辑yaml文件: vi xxx.yaml 其中xxx为文件名称,是您在创建Deployment应用时自定义的应用描述文件。如下为示例,Deployment的详细说明请参见kubernetes官方文档。 kind: Deployment apiVersion: apps/v1 metadata: name: user-service namespace: default selfLink: /apis/apps/v1/namespaces/default/deployments/user-service uid: b231788d-9abd-11e8-80a5-fa163e3a2cc7 resourceVersion: '50972062' generation: 13 creationTimestamp: '2018-08-08T03:46:56Z' labels: app: user-service stack-name: auto-test annotations: deployment.kubernetes.io/revision: '5' description: '' enable: true spec: replicas: 1 selector: matchLabels: app: user-service template: metadata: creationTimestamp: null labels: app: user-service enable: true spec: #容器外主机上的挂载目录,包括数据输出路径、Java探针包路径 volumes: - name: paas-apm hostPath: path: /opt/apm-container - name: pinpoint-pkg hostPath: path: /opt/oss/servicemgr/ICAgent/pinpoint containers: - name: user-service image: '100.125.0.198:20202/zhyyy/user-service:v1' ports: - containerPort: 8080 protocol: TCP env: - name: PAAS_APP_NAME #工作负载名称(服务名称) value: user-service - name: PAAS_NAMESPACE #CCE集群namespace,如果非CCE集群则不填该环境变量 value: default - name: PAAS_PROJECT_ID #租户项目projectId value: d698369a975645bfb35f8437d11c5a12 - name: PAAS_CLUSTER_ID #CCE集群ID,可以在CCE界面通过f12查看,如果非CCE集群则不填该环境变量 value: 89b49857-5433-11e8-941c-0255ac101f3e - name: PAAS_POD_ID valueFrom: fieldRef: fieldPath: metadata.uid - name: PAAS_MONITORING_GROUP #应用名称(监控组),建议完成一个功能的多个服务填写相同应用名称 value: shoppingmall - name: JAVA_TOOL_OPTIONS value: -javaagent:/opt/oss/servicemgr/ICAgent/pinpoint/pinpoint-bootstrap.jar -Dapm_container=true resources: {} #挂载进容器内数据输出路径、Java探针包路径 volumeMounts: - name: paas-apm mountPath: /paas-apm/collectors/pinpoint - name: pinpoint-pkg mountPath: /opt/oss/servicemgr/ICAgent/pinpoint terminationMessagePath: /dev/termination-log terminationMessagePolicy: File imagePullPolicy: Always restartPolicy: Always terminationGracePeriodSeconds: 30 dnsPolicy: ClusterFirst securityContext: {} schedulerName: default-scheduler strategy: type: RollingUpdate rollingUpdate: maxUnavailable: 0 maxSurge: 1 revisionHistoryLimit: 10 progressDeadlineSeconds: 600 status: observedGeneration: 13 replicas: 1 updatedReplicas: 1 readyReplicas: 1 availableReplicas: 1 conditions: - type: Progressing status: 'True' lastUpdateTime: '2018-09-02T13:25:46Z' lastTransitionTime: '2018-08-08T03:46:56Z' reason: NewReplicaSetAvailable message: ReplicaSet "user-service-f584f46b7" has successfully progressed. - type: Available status: 'True' lastUpdateTime: '2018-12-21T11:01:33Z' lastTransitionTime: '2018-12-21T11:01:33Z' reason: MinimumReplicasAvailable message: Deployment has minimum availability. 使用修改后的Deployment重启应用,开启应用性能监控。
  • 步骤四:启动镜像 原生docker启动命令中添加java探针所需参数,其中应用名称与服务名称根据实际调整。以vmall应用、服务名称vmall-dao-service为例。 修改docker启动脚本。 示例 原始启动命令如下: docker run -p 8080:8080 demo:latest 配置后启动命令如下: docker run -e JAVA_TOOL_OPTIONS="-javaagent:/opt/oss/servicemgr/ICAgent/pinpoint/pinpoint-bootstrap.jar -Dapm_application=vmall -Dapm_tier=vmall-dao-service -Dapm_container=true" -v /opt/apm-container:/paas-apm/collectors/pinpoint -v /opt/oss/servicemgr/ICAgent/pinpoint:/opt/oss/servicemgr/ICAgent/pinpoint -p 8080:8080 demo:latest 运行docker run命令来启动镜像,可以将镜像的应用接入 APM
  • 购买套餐包 若您有长期使用APM的需求,您可以购买对应版本的套餐包。使用丰富功能的同时,还能为您节约更多的成本。 在APM“总览”界面上单击“购买套餐”。 在购买页面选择区域、产品类型、套餐包类型、套餐规格及购买时长。 产品类型:网格型适用于在Istio网格的集群上部署的应用。探针型适用于一般部署类型(虚机部署等)的应用。 套餐包类型:各套餐包支持的功能不同,请参见套餐包详情。 套餐规格:指套餐包中包含的探针实例数。一个应用进程需要安装一个探针,您可以根据自己业务的进程总数进行合理选择。套餐包到期后若您没有购买新的套餐包,将自动转为按需收费。若已欠费,探针将不再上报数据,影响您对APM的使用,详见续费说明。 单击“立即购买”并完成支付,套餐包购买完成。 APM购买完成后可参考监控Java应用等章节将您的应用接入APM,即可开启您的应用性能监控之旅。
  • 切换版本 如果您在使用APM的过程中,由于业务发生变化,当前使用的APM版本的功能不能满足您的需求,您可以切换至其他更高级的版本。同时也支持从高版本切换至低版本,每月限一次。 在APM“总览”页面单击“切换版本”。 在切换版本页面选择产品类型和产品规格。 了解各版本支持的功能明细后,单击“立即切换”即可。 若您之前已购买了套餐包,切换版本后探针个数会自动换算为新版本的探针个数。 若您之前未购买套餐包,切换版本后则会按照您实际使用的探针数按需计费。
  • DES Teleport方式 Teleport是数据快递服务(Data Express Service,DES)专为30TB~500TB范围内数据搬迁至OBS而定制的存储设备,具有防尘防水、抗震抗压以及GPS锁定、传输加密等多重安全防护机制,配合离线传输的方式,能安全、高效的完成大规模数据搬迁。 图3 DES Teleport方式搬迁数据示意图 创建OBS桶 通过OBS控制台或OBS Browser+创建桶,用于存放原始数据。 创建DES Teleport服务单 DES提供Teleport和磁盘两种数据快递方式,在当前场景下选择Teleport方式。 接收并导入数据至Teleport 成功创建DES服务单后,用户将接收到由华为数据中心邮寄的Teleport设备。接着进行简单配置操作使Teleport与用户客户端连接起来,然后执行数据拷贝并将设备回寄给华为云数据中心。 启动数据传输 在华为云数据中心收到回寄的Teleport后,用户可以在DES控制台上输入访问密钥启动数据从Teleport到OBS指定桶的传输。数据传输完成后,用户可以通过DES控制台和OBS控制台两种途径查看传输结果。 具体操作步骤请参见Teleport方式详细指导。
  • DES磁盘方式 DES磁盘方式同样采用离线的方式将用户数据磁盘(USB、eSATA接口的磁盘等)快递至华为云,实现数据高效传输。磁盘方式适用于30TB以下的数据量搬迁。 图2 DES磁盘方式搬迁数据示意图 创建OBS桶 通过OBS控制台或OBS Browser+创建桶,用于存放原始数据。 创建DES磁盘方式服务单 登录DES控制台,创建一个磁盘方式的服务单。然后将DES提供的签名文件导入本地数据磁盘并邮寄给华为云数据中心。 启动数据传输 华为云数据中心收到用户的磁盘并将磁盘挂载到物理服务器后,会短信通知用户填写访问密钥(AK和SK)来启动数据上传。数据传输完成后,用户可以通过DES控制台和OBS控制台两种途径查看传输结果。同时华为云数据中心也会将用户磁盘回寄给用户。 具体操作步骤请参见磁盘方式详细指导。
  • 云专线方式 云专线方式由用户自己购买云专线服务(Direct Connect,DC),直接将用户本地的网络与华为云网络打通,实现专线直接访问OBS等服务。云专线方式适用于需要频繁或实时地将本地数据搬迁至OBS的场景。专线提供的低时延、高带宽,可以满足用户随时上传数据至OBS的需求。 图4 云专线方式搬迁数据示意图 创建OBS桶 登录OBS控制台,创建一个或多个用于存储用户数据的桶。 开通云专线服务 登录云专线控制台,根据业务需求填写专线申请并提交订单,待管理员审核通过后,用户支付订单,联系运营商安排工程师接通两端物理线路,华为工程师配合进行连接配置。具体操作步骤请参见开通云专线。 配置 VPC终端节点 在VPC终端节点中创建DNS终端节点和OBS终端节点,在本地数据中心配置DNS转发规则、DNS路由以及OBS路由。具体操作参见配置通过内网访问OBS服务的终端节点。 “拉美-墨西哥城一”、“拉美-圣保罗一”和“拉美-圣地亚哥”区域支持服务类别选择“云服务”购买连接OBS的终端节点,详情参见购买连接OBS的终端节点。拉美-墨西哥城一选择com.myhuaweicloud.na-mexico-1.obs;拉美-圣保罗一选择com.myhuaweicloud.sa-brazil-1.obs,“拉美-圣地亚哥”选择com.myhuaweicloud.la-south-2.obs。 其他区域支持服务类别选择“按名称查找服务”购买连接OBS的终端节点,请提交工单寻求技术支持获取终端节点服务名称。 启动数据传输 专线搭建成功并完成VPC终端节点配置后,用户便可以通过控制台、工具、API、SDK等多种方式将本地数据上传至OBS。
  • 背景 传统的自建存储服务器已不能满足大量的数据存储需求,主要原因可以归类为以下三点: 数据存储量受限于搭建服务器时使用的硬件设备,如果存储量不够,需要重新购买存储硬盘,进行人工扩容。 前期安装难、设备成本高、初始投资大、自建周期长、无法匹配快速变更的企业业务。 需承担网络信息安全、技术漏洞、误操作等各方面的数据安全风险。 OBS提供海量、稳定、安全的 云存储 能力,无需事先规划存储容量,存储资源可线性无限扩展,用户永远不必担心存储容量不够用。在OBS上可以存储任何类型和大小的非结构化数据,多级可靠性架构以及服务端加密、日志管理、权限控制等功能,保障存储在OBS上的数据高度稳定和安全。在成本方面,OBS即开即用,免去了自建存储服务器带来的资金、时间及人力成本的投入,后期的设备维护也全部交由OBS处理。 华为云提供搬迁方案,帮助用户将自建存储服务器上的数据短时间、低成本、安全、高效地搬迁至OBS。用户可根据数据量、耗时、费用等需求选择适合的方案进行数据搬迁。
  • 搬迁方案 针对不同的搬迁场景及需求,华为云提供如表1所示的几种搬迁方案。 表1 搬迁方案 搬迁方式 适用数据量 要求 耗时 费用 OBS工具方式(在线) 不高于1TB的数据量 要求用户公网带宽空闲,需要人工操作客户端或脚本启动数据上传 家用100Mbps带宽,1TB耗时1天左右 数据传输不收取费用,仅OBS收取基本的存储费用 CDM 方式(在线) 单次小于8TB的数据量 需要用户单独购买CDM服务 1TB~8TB/天(取决于网络和数据读取源的读写性能) 根据购买CDM实例规格以及使用时长收费,具体参见CDM价格详情 DES磁盘方式(离线) 单次小于30TB的数据量 需要用户自己提供磁盘 请参见从创建DES服务单到数据导入华为云需要多长时间? 根据磁盘数量以及使用时长收费,具体参见DES价格详情 DES Teleport方式(离线) 单次30TB~500TB的数据量 由华为数据中心邮寄Teleport给用户使用 请参见从创建DES服务单到数据导入华为云需要多长时间? 根据数据大小以及使用时长收费,具体参见DES价格详情 云专线方式(实时) 每月大于100TB的数据量,需要实时在线上传 需要部署专线 根据专线带宽决定 根据专线距离以及带宽收费,具体参见云专线价格详情
  • 使用场景 传统的备份与恢复方案需要将备份数据写入磁带等存储设备,然后再运输至数据中心。在此过程中数据的安全及完整性依赖很多因素,比如硬件、人员等等。无论是从前期搭建数据中心还是后期的维护,都使得传统的备份与恢复方案面临着管理复杂、投入成本高的难题。 云存储定位于简单、安全、高效且低成本,使其成为磁带等传统存储设备的非常有吸引力的替代品。OBS即一种云存储服务,它提供海量、可弹性扩展的存储服务。OBS所有的业务、存储节点采用分布集群方式工作使得OBS的可扩展性更高。提供数据多份冗余、一致性检查等功能使得存储在OBS中的数据更加安全、可靠。OBS按照使用量付费,使得成本易于预测。 Commvault、爱数云备份服务(AnyBackup Cloud)等第三方备份软件,都支持对接OBS进行数据备份。通过这些备份软件,用户可以根据自身需求制定合适的备份策略,达到安全、高效的备份目的。
共100000条