华为云用户手册

  • AK/SK认证 AK/SK签名认证方式仅支持消息体大小12MB以内,12MB以上的请求请使用Token认证。 通过AK/SK获取的Token有效期最短为15分钟。 AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 客户端必须注意本地时间与时钟服务器的同步,避免请求消息头X-Sdk-Date的值出现较大误差。 API网关除了校验时间格式外,还会校验该时间值与网关收到请求的时间差,如果时间差大于15分钟,API网关将拒绝请求。
  • 专享版API概览 API网关专享版接口的分类与说明如表1所示。 表1 专享版API概览 类型 说明 API分组管理 包括API分组的创建、修改、删除、查询详情和列表等接口。 环境管理 包括环境的创建、修改、删除和查询列表等接口。 环境变量管理 包括环境变量的新建、修改、删除、查询详情和列表等接口。 流控策略管理 包括流控策略的创建、修改、删除、查看详情和列表等接口。 API管理 包括API的创建、修改、删除、发布或下线、查询、调试、切换版本、校验API定义等接口。 签名密钥管理 包括签名密钥的创建、修改、删除和查询等接口。 签名密钥绑定关系管理 包括签名密钥的绑定、解绑、查询API绑定的密钥列表、查看密钥绑定/未绑定的API列表。 API绑定流控策略 包括绑定、解绑、批量解绑API与流控策略的关系,查看流程策略绑定/未绑定的API列表,查看API绑定的流控策略列表。 设置特殊流控 包括创建、修改、删除特殊流控策略,查看特殊设置列表。 APP授权管理 包括APP授权、解除授权,查看APP已绑定/未绑定的API列表,查看API已绑定的APP列表。 概要查询 包括查询API概况、API分组概况、APP概况。 域名 管理 包括域名的绑定、修改、解绑。域名证书的绑定、删除、查看。 ACL策略管理 包括ACL策略的创建、修改、删除、批量删除,查看ACL策略详情、查询ACL策略列表。 API绑定ACL策略 包括将API与ACL策略绑定、解绑、批量解绑,查看ACL策略绑定/未绑定的API列表,查看API绑定的ACL策略列表。 自定义认证管理 包括自定义认证的创建、修改、删除,查看自定义认证详情,查询自定义认证列表。 OpenAPI接口 包括API的导出、导入。 VPC通道管理 包括: VPC通道的创建、更新、删除、查看,查询VPC通道列表。 后端实例的添加、查看、删除。 后端服务器状态的批量修改。 VPC通过健康检查的修改。 后端服务器组的添加、更新、删除、查看,查询VPC通道后端服务器组列表。 监控信息查询 包括查询最近一段时间的API统计信息,查询最近一小时内的分组统计信息。 分组自定义响应管理 包括分组自定义响应的创建、查询、修改、删除,查询分组自定义响应列表,查看、修改分组下指定错误类型的自定义响应,删除分组指定错误类型的自定义响应配置。 标签管理 包括标签列表的查询。 实例特性管理 包括实例特性的配置,查看实例特性列表。 配置管理 包括查看某实例的租户配置列表,查询租户实例配置列表。 实例管理 包括: 实例的创建、更新、查看、删除,查看实例创建进度,查询实例列表。 EIP的绑定、解绑。 实例公网出口的开启、关闭,更新实例公网出口带宽。 查看可用区信息。 实例的规格变更。 查看实例约束信息。 实例终端节点管理 包括: 查询实例终端节点连接列表。 查询实例终端节点服务的白名单列表。 接受/拒绝终端节点连接。 批量添加/删除实例终端节点白名单。 实例标签管理 包括实例标签的添加、删除和查询。 微服务中心管理 包括导入微服务。 SSL证书管理 包括: 证书的创建、删除、修改、查看,获取SSL证书列表。 域名绑定/解绑SSL证书。 SSL证书绑定/解绑域名 获取SSL证书已绑定的域名列表。 插件管理 包括: 插件的创建、修改、删除、查看,查询插件列表。 插件绑定/解绑API。 API绑定/解绑插件。 查询插件/API下绑定的API/插件。 查询可绑定当前插件的API,查询可绑定当前API的插件。 APP管理 包括: APP的创建、修改、删除、校验,重置密钥,查看APP详情、查询APP列表。 APP Code的创建、自动生成、删除,查看APP Code详情、查询APP Code列表。 查询凭据关联的凭据配额。 设置/删除APP的访问控制,查看APP的访问控制详情。 凭据配额管理 包括: 凭据配额的创建、修改、删除。 获取凭据配额详情和凭据配额列表。 凭据配额绑定/解绑凭据列表 。 查询凭据配额已绑定的凭据和未绑定的凭据。 异步任务管理 包括: API的异步导入/导出。 获取异步任务结果。 父主题: API概览
  • 使用Go应用部署模板创建并部署应用 在主机上部署Go框架的web服务,并启动该服务。 请确认目标主机已安装Go语言,若已安装请移除模板中“安装Go语言”步骤。 该模板涉及的部署步骤如下所示: 安装GO语言 下载软件包 停止GO服务 启动GO服务 健康测试 该模板需要填写的参数如下表所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 package_url 软件包下载地址,可前往制品仓库-软件发布库获取下载链接。 app_name 应用名称,用于获取进程ID并停止。 service_port 应用端口。 父主题: 使用预置模板新建并部署应用
  • 使用Docker应用部署(Linux)模板创建并部署应用 在主机上安装Docker,并登录远程仓库,下载Dockerfile等文件,并能执行build、push、run等操作。 请确认目标主机已安装Docker,若已安装请移除模板中“安装Docker”步骤。 该模板涉及的部署步骤如下所示: 安装Docker 登录Docker镜像仓 选择部署来源 构建镜像 镜像打标签 镜像上传到镜像仓 创建并启动容器 父主题: 使用预置模板新建并部署应用
  • 使用NodeJs应用部署模板创建并部署应用 在主机上部署Node.js框架的web服务,并启动该服务。 请确认目标主机已安装Node.js,若已安装请移除模板中“安装Node.js”步骤。 该模板涉及的部署步骤如下所示: 安装Node.js 下载软件包 停止nodeJs服务 启动nodeJs服务 服务启动测试 该模板需要填写的参数如表1所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 package_url 软件包下载地址,可前往制品仓库-软件发布库获取下载链接。 service_port 应用端口。 父主题: 使用预置模板新建并部署应用
  • 使用SpringBoot应用部署模板创建并部署应用 在主机上部署SpringBoot框架的Java后台应用,并启动该服务。 请确认目标主机已安装JDK,若已安装请移除模板中“安装JDK”步骤。 该模板涉及的部署步骤如下所示: 安装JDK 选择部署来源 停止SpringBoot服务 启动SpringBoot服务 URL健康测试 该模板需要填写的参数如表1所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 package_url 软件包下载地址,可前往制品仓库-软件发布库获取下载链接。 service_port SpringBoot应用端口,默认值为8080。 package_name SpringBoot应用发布包名称。 说明: 该名称不包含文件后缀。 父主题: 使用预置模板新建并部署应用
  • 部署服务CodeArts Deploy使用流程 部署(CodeArts Deploy)提供可视化、自动化部署服务。提供丰富的部署步骤,有助于您制定标准的部署流程,降低部署成本,提升发布效率。 部署服务具有以下特性: 支持主机部署(华为云E CS 、您的自有主机及第三方主机)、容器部署(华为云CCE集群、您的自建集群及第三方集群)。 功能插件化封装,使用门槛低,通用应用的部署开箱即用。 提供丰富的部署插件,满足Tomcat、SpringBoot、Django等常用技术栈的快速部署。 针对不同的部署流程,支持拖拉拽方式自由编排组装应用,支持自定义应用模板,通过模板一键创建应用。 如果您本地正在开发一个项目,想使用部署服务来进行部署操作,其使用流程如下。 所涉及到的操作或知识如下: 新建基础资源:完成部署资源环境的搭建准备。 新建应用:根据业务规划或使用模板快速搭建应用。 导入基础资源:导入部署的目标主机。 编辑应用:根据业务完成应用步骤以及参数等信息配置。 部署应用:启动部署应用。
  • 使用执行shell脚本创建并部署通用应用 基于执行shell脚本实现通用的应用部署。 该模板涉及的部署步骤如下所示: 下载软件包 执行部署脚本 健康测试 该模板需要填写的参数如表1所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 package_url 软件包下载地址,可前往制品仓库-软件发布库获取下载链接。 app_name 应用名称,用于获取进程ID并停止。 service_port 应用端口。 父主题: 使用预置模板新建并部署应用
  • 使用Vue应用部署模板创建并部署应用 在主机上部署Vue框架的web服务,并启动该服务。 请确认目标主机已安装Nginx,若已安装请移除模板中“安装Nginx”步骤。 该模板涉及的部署步骤如下所示: 安装Nginx 下载软件包 解压软件包 启动Nginx 重载Nginx配置文件 服务启动测试 该模板需要填写的参数如下表所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 nginx_install_path Nginx安装路径。 service_port 应用端口。 package_path 软件包下载路径。 package_name 软件包名称(包含文件类型扩展名)。 package_url 软件包下载地址,可前往制品仓库-软件发布库获取下载链接。 父主题: 使用预置模板新建并部署应用
  • 责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
  • Flexus L实例 、Flexus X实例与ECS的区别是什么? Flexus应用服务器L实例组合云服务器、云硬盘、弹性公网IP、云备份、主机安全等服务,以套餐形式整体售卖、管理。Flexus应用服务器L实例还提供了丰富严选的应用镜像,可快速搭建业务环境。Flexus应用服务器L实例购买、配置简单,适合刚接触云计算领域的初级用户。 Flexus云服务器X实例简化了购买ECS过程中的配置,并且功能接近ECS, 同时还具备独有特点,例如Flexus云服务器X实例具有更灵活的vCPU内存配比、支持热变配不中断业务变更规格、支持性能模式等。Flexus云服务器X实例相较于Flexus应用服务器L实例规格配置和功能使用更为灵活,限制较少。 ECS是一款支持高负载应用场景的服务器,提供多种计费模式、规格类型、镜像类型、磁盘类型,针对不同的业务场景,可自定义配置ECS。 Flexus云服务器X实例与Flexus应用服务器L实例、ECS的详细区别如表1。 表1 Flexus应用服务器L实例、Flexus云服务器X实例和ECS的区别 项目 Flexus应用服务器L实例 Flexus云服务器X实例 ECS 适用对象 适用于业务负载要求相对较低,且期望即开即用、超快部署的中小企业和开发者。 适用于中负载业务,且期望资源灵活选配的中小企业和开发者。 适用于网站应用、企业电商、图形渲染、数据分析、高性能计算等高负载、全业务应用场景。 实例特点 内置丰富的解决方案与镜像,零门槛快速搭建业务环境,轻松启动和管理业务 灵活自定义规格、性能稳定强劲、按需灵活计费。 支持灵活地选择所需的内存、CPU、带宽等配置,帮助您打造可靠、安全、灵活、高效的应用环境。 CPU架构 X86 X86 X86、ARM 计费模式 包年/包月 Flexus应用服务器L实例以套餐形式整体售卖、管理,随Flexus应用服务器L实例创建的资源不支持单独卸载、解绑、删除、退订等操作。 按需计费 包年/包月 包年/包月 按需计费 竞价计费 规格 包含Flexus服务组合和多种流量套餐类型。 仅支持升级套餐规格。 支持vCPU/内存自定义配比。 支持升级或降级实例规格。 支持多种实例规格系列。 ECS实例类型 推荐参考ECS智选推荐。 支持升级或降级实例规格。 磁盘 一个Flexus应用服务器L实例默认配置一个固定容量的系统盘,最多支持一个数据盘,不支持在控制台使用快照恢复数据。 系统盘:高IO 数据盘:通用型SSD V2 自定义配置系统盘规格,支持多个不同类型的数据盘。 系统盘:普通IO、高IO、通用型SSD、超高IO、通用型SSD V2 数据盘:普通IO、高IO、通用型SSD、超高IO、通用型SSD V2 支持自定义配置系统盘规格及容量,支持多个不同类型的数据盘。 系统盘/数据盘:支持选择全磁盘类型。 弹性云服务器支持使用的磁盘类型,请参见云硬盘。 网络 默认分配一个固定弹性公网IP。 公网带宽按流量计费,套餐包含每月固定流量包。 不支持更改VPC、私网IP、公网IP。 自定义是否绑定弹性公网IP。 线路类型可选。 带宽类型分为按带宽计费、按流量类计费、共享带宽。 自定义是否绑定弹性公网IP。 线路类型可选。 带宽类型分为按带宽计费、按流量类计费、共享带宽。 产品特点 易搭建、更实惠、易维护、更安全 易搭建、更实惠、易维护、更安全 Huawei Cloud EulerOS 2.0公共镜像支持Nginx、Redis或MySQL应用加速 稳定可靠、安全保障、软硬结合、弹性伸缩 镜像 支持5款主流系统镜像 提供丰富的应用镜像 仅支持使用系统盘私有镜像 提供丰富的公共镜像 支持私有镜像、共享镜像。 提供丰富的公共镜像 支持私有镜像、共享镜像、市场镜像。 鉴权方式 密码 密码、密钥对 密码、密钥对 集成的云产品 主机安全(基础版) 云备份 Flexus负载均衡 主机安全(基础版、企业版) 云监控 云备份 主机安全(所有版本) 云监控 云备份 父主题: 产品咨询
  • 不想使用Flexus X实例的性能模式了怎么办?如何计费呢? 如果您不想使用性能模式,可以通过“变更规格”功能,关闭性能模式。 如果您的Flexus X实例是按需计费模式:将在下个计费周期(按需计费以1小时为计费周期),根据关闭性能模式后的规格费用重新计费。 如果您的Flexus X实例是包年/包月计费模式:关闭性能模式后,立即生效,并根据剩余有效期退还相应费用。 图1 通过“变更规格”功能关闭性能模式 父主题: 性能模式
  • Flexus X实例支持哪些镜像? 公共镜像:Windows Server、Huawei Cloud EulerOS、CentOS、Ubuntu、EulerOS、Debian、OpenSUSE、AlmaLinux、Rocky Linux、CentOS Stream、CoreOS、openEuler、FreeBSD。 Windows Server操作系统是来自云商店的非自营镜像,该服务由第三方提供。为方便您选用,在公共镜像中提供入口。 Huawei Cloud EulerOS 2.0公共镜像支持对Nginx、Redis或Mysql应用加速。 共享镜像、私有镜像: 支持系统盘镜像、数据盘镜像和整机镜像。 仅支持X86架构服务器创建的Linux、Windows私有镜像。 对于Windows私有镜像,仅支持自带许可的Windows私有镜像。 父主题: 操作系统/镜像
  • Flexus X实例开启性能模式后,性能可以提升多少? Flexus云服务器X实例采用了柔性算力进行性能QoS保障,可以在绝大多数时间提供接近独享实例的性能QoS保障,但在极少时间内仍然存在性能波动的可能,这种保障无法满足对业务性能稳定性要求苛刻的场景(如渲染、HPC等)。为了满足此类业务场景需要,Flexus云服务器X实例推出了性能模式。开启性能模式后,Flexus云服务器X实例采取底层物理绑核技术,提供极致稳定的QoS保障能力,您可以获得非常稳定的性能保障。 因此,性能模式是一种性能保障能力,而不是性能提升或性能优化的能力。 父主题: 性能模式
  • 解决方法 参考如下示例进行图片显示。注意opencv加载的是BGR格式, 而matplotlib显示的是RGB格式。 Python语言: 1 2 3 4 5 6 from matplotlib import pyplot as plt import cv2 img = cv2.imread('图片路径') plt.imshow(cv2.cvtColor(img, cv2.COLOR_BGR2RGB)) plt.title('my picture') plt.show()
  • 响应示例 状态码: 200 OK { "users" : [ { "name" : "ddmtest", "status" : "RUNNING", "base_authority" : [ "SELECT" ], "password_last_changed" : 1686904661709, "description" : "账号", "created" : 1686904661709, "databases" : [ { "name" : "zhxtest", "description" : "逻辑库" } ] } ], "page_no" : 1, "page_size" : 10, "total_record" : 1, "total_page" : 1 } 状态码: 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码: 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }
  • URI GET /v1/{project_id}/instances/{instance_id}/users?offset={offset}&limit={limit} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法请参见获取项目ID。 instance_id 是 String DDM实例ID。 表2 Query参数 参数 是否必选 参数类型 描述 offset 否 Integer 索引位置,偏移量。 从第一条数据偏移offset条数据后开始查询,默认为0。 取值必须为数字,且不能为负数。 limit 否 Integer 查询个数上限值。 取值范围:1~128。 不传该参数时,默认值为10。
  • 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 users Array of GetUsersListDetailResponses objects DDM实例账号相关信息的集合。 page_no Integer 当前页码。 page_size Integer 当前页码的数据条数。 total_record Integer 总条数。 total_page Integer 总页数。 表5 GetUsersListDetailResponses 参数 参数类型 描述 name String DDM实例账号名称。 status String DDM实例账号状态。 base_authority Array of strings DDM实例账号的基础权限。 取值为:CREATE、DROP、ALTER、INDEX、INSERT、DELETE、UPDATE、SELECT extend_authority Array of strings DDM实例账号的扩展权限。 取值为:fulltableDelete、fulltableSelect、fulltableUpdate password_last_changed Long DDM实例账号的密码修改时间,UNIX时间戳格式。 description String DDM实例账号的描述。 created Long DDM实例账号的创建时间,UNIX时间戳格式。 databases Array of GetUsersListdatabase objects 关联的逻辑库的集合。 表6 GetUsersListdatabase 参数 参数类型 描述 name String DDM实例账号关联的逻辑库名称。 description String 逻辑库的描述信息。 状态码: 400 表7 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码: 500 表8 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。
  • 客户侧设备组网与基础配置假设 假定客户侧基础网络配置如下: 内网接口:GigabitEthernet1/0/0 所属zone为Trust,接口IP为10.0.0.1/30。 预进行加密传输的子网为172.16.10.0/24,172.16.20.0/24,172.16.30.0/24,所属zone为Trust。 外网接口:GigabitEthernet1/0/1 所属zone为Untrust,接口IP为22.22.22.22/24。 缺省路由:目标网段0.0.0.0/0 出接口GE1/0/1,下一跳为GE1/0/1的网关IP为22.22.22.1。 安全策略:Trust访问Untrust,源地址、目标地址及服务均为any,动作放行。 NAT策略:源地址为内网网段,目标地址为ANY,动作为EasyIP,即转换为接口IP。 基础配置命令行示意如下: interface GigabitEthernet1/0/0 ip address 10.0.0.1 255.255.255.252 # interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 # ip route-static 0.0.0.0 0.0.0.0 22.22.22.1 ip route-static 172.16.10.0 255.255.255.0 10.0.0.2 ip route-static 172.16.20.0 255.255.255.0 10.0.0.2 ip route-static 172.16.30.0 255.255.255.0 10.0.0.2 # firewall zone trust set priority 85 import interface GigabitEthernet1/0/0 # firewall zone untrust set priority 5 import interface GigabitEthernet1/0/1 # ip address-set Customer-subnet172.16.10.0/24 type object address 0 172.16.10.0 mask 24 # ip address-set Customer-subnet172.16.20.0/24 type object address 0 172.16.20.0 mask 24 # ip address-set Customer-subnet172.16.30.0/24 type object address 0 172.16.30.0 mask 24 # security-policy rule name Policy-Internet policy logging session logging source-zone trust destination-zone untrust action permit # nat-policy rule name Snat_Internet source-zone trust egress-interface GigabitEthernet1/0/1 action nat easy-ip
  • IPsec配置指引 WEB页面VPN配置过程说明: 登录设备WEB管理界面,在导航栏中选择“网络 > IPsec”,选择新建IPsec策略。 基本配置:命名策略,选择出接口为本端接口,本端地址为出接口公网IP,对端地址为华为云VPN网关IP,认证方式选择预共享密钥,密钥信息与华为云配置一致,本端ID及对端ID均选择IP地址。 待加密数据流:新建配置,源地址为客户侧子网网段,目标地址为华为云子网网段,多条子网请分开填写,填写的条目数为两端子网数量的乘积,协议选择any,动作允许。 安全提议:IKE参数与IPsec参数与华为云配置一致,注意IKE版本只勾选与华为云匹配的选项,推荐开启周期性DPD检测。 安全策略:添加客户侧私网网段与华为云私网网段互访的安全策略,服务为ANY,动作允许,推荐置顶这两条安全策略规则。 NAT策略:添加源地址为客户侧私网网段,目标为华为云私网网段动作为不做转换的nat规则,并将该规则置顶。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则,协议为UDP的500、4500和IP协议ESP与AH,确保协商流和加密流数据正常传输。 不可以将公网IP的协商流进行NAT转发,必须确保本地公网IP访问华为云的流量不被NAT。 确保访问目标子网的路由指向公网出接口下一跳。 待加密数据流的网段请填写真实IP和掩码,请勿调用地址对象。 若客户侧网络存在多出口时,请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出,推荐使用静态路由配置选择出口网络。 命令行配置说明: #增加地址对象 ip address-set HWCloud_subnet192.168.10.0/24 type object address 0 192.168.10.0 mask 24 # ip address-set HWCloud_subnet192.168.20.0/24 type object address 0 192.168.20.0 mask 24 #配置一阶段提议,ike v1与ike v2的配置方式相同,ikev1使用认证、加密,ikev2使用加密、完整性、prf ike proposal 100 authentication-algorithm sha2-256 encryption-algorithm aes-128 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 dh group14 sa duration 86400 #配置对等体,指定版本,调用一阶段提议(undo version 2时需要配置exchange-mode参数) ike peer IKE-PEER undo version 1 pre-shared-key ****** ike-proposal 100 remote-address 11.11.11.11 dpd type periodic #配置感兴趣流 acl number 3999 rule 0 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 1 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 2 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 4 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 6 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 #配置二阶段提议 IPsec proposal IPsec-PH2 transform esp encapsulation-mode tunnel esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 #配置IPsec policy,调用ike peer、二阶段提议、ACL,注意PFS配置 IPsec policy IPsec-HW 1 isakmp proposal IPsec-PH2 security acl 3999 ike-peer IKE-PEER tunnel local 22.22.22.22 pfs dh-group14 sa duration time-based 3600 #全局配置,设定TCP分片大小 firewall tcp-mss 1300 #IPsec policy 绑定接口 interface GigabitEthernet1/0/1 ip address B.B.B.Y 255.255.255.0 IPsec apply policy IPsec-HW # security-policy rule name IPsec-OUT policy logging session logging source-zone trust destination-zone untrust source-address address-set Customer-subnet172.16.10.0/24 source-address address-set Customer-subnet172.16.20.0/24 source-address address-set Customer-subnet172.16.30.0/24 destination-address address-set HWCloud_subnet192.168.10.0/24 destination-address address-set HWCloud_subnet192.168.20.0/24 action permit rule name IPsec-IN policy logging session logging source-zone untrust destination-zone trust source-address address-set HWCloud_subnet192.168.10.0/24 source-address address-set HWCloud_subnet192.168.20.0/24 destination-address address-set Customer-subnet172.16.10.0/24 destination-address address-set Customer-subnet172.16.20.0/24 destination-address address-set Customer-subnet172.16.30.0/24 action permit rule name IPsec-NEG-pass logging enable counting enable source-ip 11.11.11.11 255.255.255.255 source-ip 22.22.22.22 255.255.255.255 destination-ip 11.11.11.11 255.255.255.255 destination-ip 22.22.22.22 255.255.255.255 action permit rule name Policy-Internet …… # nat policy rule name IPsec_NONAT description IPsec_NONAT source-zone trust destination-zone untrust source-address address-set Customer-subnet172.16.10.0/24 source-address address-set Customer-subnet172.16.20.0/24 source-address address-set Customer-subnet172.16.30.0/24 destination-address address-set HWCloud_subnet192.168.10.0/24 destination-address address-set HWCloud_subnet192.168.20.0/24 action no-nat rule name Snat_Internet …… #路由配置,访问华为云子网路由由公网接口流出 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 22.22.22.1
  • 华为云配置信息说明 VPN网关IP:11.11.11.11 VPC子网:192.168.10.0/24,192.168.20.0/24 客户侧网关IP:22.22.22.22 客户侧子网:172.16.10.0/24,172.16.20.0/24,172.16.30.0/24 协商策略详情: 一阶段策略(IKE Policy) 认证算法(Authentication Algorithm): sha2-256 加密算法(Encryption Algorithm): aes-128 版本(Version): v2 DH算法(DH Algorithm ): group14 生命周期(Life Cycle): 86400 二阶段策略(IPsec Policy) 传输协议(Transfer Protocol): esp 认证算法(Authentication Algorithm): sha2-256 加密算法(Encryption Algorithm): aes-128 完美前向安全(PFS):DH-group14 生命周期(Life Cycle): 86400
  • 应用场景 VPN标签是VPN资源的标识。为VPN资源添加标签,可以方便用户识别和管理拥有的VPN。您可以在创建VPN资源的时候增加标签,或者在已经创建的VPN资源详情页添加标签,每个VPN资源最多可以添加20个标签。 标签共由两部分组成:“键”和“值”,其中,“键”和“值”的命名规则如表 VPN标签命名规则所示。 表1 VPN标签命名规则 参数 规则 样例 键 不能为空。 对于同一 虚拟专用网络 键值唯一。 长度不超过128个字符。 只能包含以下几种字符: 数字 空格 任意语种字母 特殊字符,包括“_”、“.”、“:”、“-”、“=”、“+”和“@” 首尾不能含有空格,不能以_sys_开头。 vpn_key1 值 长度不超过255个字符。 只能包含以下几种字符: 数字 空格 任意语种字母 特殊字符,包括"."、“:”、“-”、“=”、“+”、“@”、“/”和“_” vpn-01 父主题: 标签管理
  • 资源规划说明 企业路由器ER、云专线DC、虚拟专用网络VPN、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可,可用区可以任意选择,不用保持一致。 以下资源规划详情仅为示例,您可以根据需要自行修改。 表5 DC/VPN双链路互备混合云组网资源规划总体说明 资源类型 资源数量 说明 VPC 2 业务VPC,实际运行客户业务的VPC,需要接入ER中。 VPC名称:请根据实际情况填写,本示例为vpc-for-er。 IPv4网段:VPC网段与客户IDC侧网段不能重复,请根据实际情况填写,本示例为172.16.0.0/16。 子网名称:请根据实际情况填写,本示例为subnet-for-er。 子网IPv4网段:VPC子网网段与客户IDC侧子网网段不能重复,请根据实际情况填写,本示例为172.16.0.0/24。 VPN网关使用的VPC,需要从中分配一个子网提供给VPN网关使用。 VPC名称:请根据实际情况填写,本示例为vpc-for-vpn。 IPv4网段:请根据实际情况填写,本示例为10.0.0.0/16。 子网名称:您创建VPC时,必须创建一个默认子网,请根据实际情况填写,本示例为subnet-01。 子网IPv4网段:默认子网在本示例中不使用,请根据实际情况填写,本示例为10.0.0.0/24。 须知: 您在创建VPN网关时,“虚拟私有云”需要选择该VPC,“互联子网”填写该VPC下的网段,请确保选择的互联子网存在4个及以上可分配的IP地址。 ER 1 名称:请根据实际情况填写,本示例为er-test-01。 ASN:此处AS号不能和线下IDC的AS号一样,本示例中保持默认值64512。 默认路由表关联:开启 默认路由表传播:开启 自动接受共享连接:请根据实际情况选择,本示例选择“开启”。 连接,本示例需要在企业路由器中添加3个连接: VPC连接:er-attach-VPC VGW连接:er-attach-VGW VPN连接:er-attach-VPN DC 1 物理连接:请根据实际需求创建。 虚拟网关 名称:请根据实际情况填写,本示例为vgw-demo。 关联模式:请选择“企业路由器”。 企业路由器:选择您的企业路由器,本示例为er-test-01。 BGP ASN:此处AS号和企业路由器的AS号一样或者不一样均可,本示例中和ER的AS号一致,保持默认值64512。 虚拟接口 名称:请根据实际情况填写,本示例vif-demo。 虚拟网关:选择您的虚拟网关,本示例为vgw-demo。 本端网关:请根据实际情况填写,本示例为10.0.0.1/30。 远端网关:请根据实际情况填写,本示例为10.0.0.2/30。 远端子网:请根据实际情况填写,本示例为192.168.3.0/24。 路由模式:请选择“BGP”。 BGP邻居AS号:此处为线下IDC侧的AS号,不能和云上虚拟网关的AS号一样,本示例为65525。 VPN 1 VPN网关 名称:请根据实际情况填写,本示例为vpngw-demo。 关联模式:请选择“企业路由器”。 企业路由器:选择您的企业路由器,本示例为er-test-01。 BGP ASN:由于DC和VPN为双链路互备,此处AS号和DC虚拟网关的AS号必须一样,本示例为64512。 虚拟私有云:选择您的虚拟私有云,本示例为vpc-for-vpn。 互联子网:用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。请根据实际情况填写,本示例为10.0.5.0/24。 对端网关 名称:请根据实际情况填写,本示例为cgw-demo。 路由模式:请选择“动态BGP”。 BGP ASN:此处为线下IDC侧的AS号,由于DC和VPN为双链路互备,该AS号和DC虚拟接口处设置的AS号必须一样,本示例为65525。 2条VPN连接,互为主备: 名称:请根据实际情况填写,本示例中,主VPN连接为vpn-demo-01,备VPN连接为vpn-demo-02。 VPN网关:选择您的VPN网关,本示例为vpngw-demo。 公网IP:请根据实际情况选择,主VPN连接选择主EIP,备VPN连接选择备EIP。 连接模式:请选择“路由模式”。 对端网关:选择您的对端网关,本示例为cgw-demo。 接口分配方式:本示例选择“自动分配”。 路由模式:请选择“BGP”。 ECS 1 名称:根据实际情况填写,本示例为ecs-demo。 镜像:请根据实际情况选择,本示例为公共镜像(CentOS 8.2 64bit)。 网络: 虚拟私有云:选择您的虚拟私有云,本示例为vpc-for-er。 子网:选择子网,本示例为subnet-for-er。 安全组:请根据实际情况选择,本示例安全组模板选择“通用Web服务器”,名称为sg-demo。 私有IP地址:172.16.1.137 由于DC和VPN是主备链路,为了防止网络环路,DC虚拟网关和VPN网关的AS号必须保持一致,本示例为64512。 ER的AS号和DC、VPN的一样或者不一样均可,本示例为64512。 线下IDC侧的AS号,不能和云上服务的AS号一样,请根据客户的实际情况填写,本示例为65525。
  • 网络规划说明 DC/VPN双链路主备混合云组网规划如图1所示,将VPC、DC和VPN分别接入ER中,组网规划说明如表2所示。 图1 DC/VPN双链路主备混合云组网规划 DC和VPN互为主备网络链路,在DC网络链路正常的情况下,流量优选云专线DC。 在ER路由表中只显示优选路由,由于VGW连接(DC)路由的优先级高于VPN连接,因此ER路由表中不显示VPN连接的路由。 云上VPC和线下IDC通信时,默认使用DC这条网络链路,本示例的网络流量路径说明请参见表1 表1 网络流量路径说明 路径 说明 请求路径:VPC1→线下IDC 在VPC1路由表中,通过下一跳为ER的路由将流量转送到ER。 在ER路由表中,通过下一跳为VGW连接的路由将流量转送到虚拟网关。 虚拟网关连接虚拟接口,通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径:线下IDC→VPC1 通过物理专线将流量转送到虚拟接口。 虚拟接口连接虚拟网关,通过虚拟接口将流量从本端网关转送到虚拟网关。 通过虚拟网关将流量转送到ER。 在ER路由表中,通过下一跳为VPC1连接的路由将流量送达VPC1。 表2 DC/VPN双链路互备混合云组网规划说明 资源 说明 VPC 业务VPC,实际运行客户业务的VPC,本示例中为VPC1,具体说明如下: VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下: local:表示VPC本地IPV4的默认路由条目,用于VPC内子网通信,系统自动配置。 ER:表示将VPC子网流量转发至ER,此处目的地址配置为IDC的子网网段,路由信息如表3所示。 VPN网关使用的子网,建议您创建一个新的VPC,并从中分配子网。 您在创建VPN网关时,需要填写该子网网段,VPN网关使用的子网不能与VPC内已有的子网网段重叠。 DC 1个物理连接:需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个虚拟网关:将虚拟网关接入ER中,即表示将“虚拟网关(VGW)”连接添加到ER。 1个虚拟接口:连接虚拟网关和物理连接。 VPN 1个VPN网关:将VPN接入ER中,即表示将“VPN网关(VPN)”连接添加到ER。 1个对端网关:用户IDC侧的对端网关。 2条VPN连接:连接VPN网关和对端网关,两条VPN连接互为主备链路。 ER 开启“默认路由表关联”和“默认路由表传播”功能,添加完连接后,系统会自动执行以下配置: VPC: 将1个“虚拟私有云(VPC)”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云(VPC)”连接的传播,路由自动学习VPC网段,路由信息如表4所示。 DC: 将1个“虚拟网关(VGW)”连接关联至ER默认路由表。 在默认路由表中创建“虚拟网关(VGW)”连接的传播,路由自动学习DC侧的所有路由信息,路由信息如表4所示。 VPN: 将1个“VPN网关(VPN)”连接关联至ER默认路由表。 在默认路由表中创建“VPN网关(VPN)”连接的传播,路由自动学习VPN侧的所有路由信息,路由信息如表4所示。 ECS 1个ECS位于业务VPC内,本示例用该ECS来验证云上和线下IDC的网络通信情况。 如果您有多台ECS,并且这些ECS位于不同的安全组,需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 192.168.3.0/24 企业路由器 静态路由:自定义 如果您在创建连接时开启“配置连接侧路由”选项,则不用手动在VPC路由表中配置静态路由,系统会在VPC的所有路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突,则会添加失败。此时建议您不要开启“配置连接侧路由”选项,并在连接创建完成后,手动添加路由。 除了系统自动添加的3个VPC固定网段,您还需要在VPC路由表中添加目的地址为IDC侧网段,下一跳指向ER的路由。 表4 ER路由表 目的地址 下一跳 路由类型 VPC1网段:172.16.0.0/16 VPC1连接:er-attach-01 传播路由 IDC侧网段:192.168.3.0/24 VGW连接:vgw-demo 传播路由 IDC侧网段:192.168.3.0/24 VPN连接:vpngw-demo 传播路由 当两条路由功能一样时,ER路由表中只会显示优选路由。当DC和VPN网络链路均正常时,由于VGW连接和VPN连接的传播路由均指向线下IDC,因此只能在ER路由表中看到优先级较高的VGW连接的路由,暂时不支持查看ER路由中VPN连接的所有路由(包括未优选的路由)。 当DC出现故障,网络链路切换到VPN时,此时通过管理控制台,可以在ER路由表中看到VPN连接的传播路由。
  • 资源和成本规划 该解决方案主要部署如下资源,每月花费如表1所示,具体请参见华为云官网价格详情,实际收费以账单为准: 表1 资源和成本规划 产品 配置示例 成本预估/月 虚拟专用网络 按需计费:VPN网关带宽费用20.075元/小时+VPN连接费用0.36元/小时,更多计费详情请参见价格详情。 区域:中国-香港 计费模式:按需计费 计费方式:按带宽计费 带宽大小:100 Mbit/s 14713.2元 云连接 按月计费:86000元/月,更多计费详情请参见价格详情。 计费模式:包年/包月 计费方式:按带宽计费 互通类型:跨大区互通 互通大区:中国大陆 - 亚太 带宽:100 Mbit/s 86000元 合计 — 100713.2元 父主题: 通过VPN和云连接构建跨境网络连接
  • DC/VPN双链路互备混合云组网构建流程 本章节介绍通过企业路由器构建DC/VPN双链路主备混合云组网总体流程,流程说明如表1所示。 表1 构建DC/VPN双链路主备混合云组网流程说明 步骤 说明 步骤一:创建云服务资源 创建1个企业路由器,构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网,本示例中创建1个VPC和子网。 在业务VPC子网内,创建ECS,本示例中创建1个ECS。 步骤二:在企业路由器中添加并配置VGW连接 创建物理连接,物理连接是线下IDC侧和华为云的专属通道,需要运营商进行施工,搭建物理专线链路连接线下和云上。 创建虚拟网关:创建1个关联企业路由器的虚拟网关,企业路由器中会自动添加“虚拟网关(VGW)”连接。 创建虚拟接口:创建关联虚拟网关的虚拟接口,连接虚拟网关和物理连接。 配置IDC侧路由:在线下IDC侧路由设备配置网络参数。 步骤三:在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云(VPC)”连接:将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由:在VPC路由表中配置到企业路由器的路由信息,目的地址为IDC侧网段。 步骤四:验证DC链路的通信情况 登录ECS,执行ping命令,验证DC链路的网络互通情况。 步骤五:在企业路由器中添加并配置VPN连接 创建VPN网关:创建1个关联企业路由器的VPN网关,企业路由器中会自动添加“VPN网关(VPN)”连接。 创建对端网关:创建1个用户IDC侧的对端网关。 创建2条VPN连接:VPN连接用来连通VPN网关和对端网关,两条VPN连接互为主备链路。 配置IDC侧路由:在线下IDC侧路由设备配置网络参数。 步骤六:验证VPN链路的通信情况 登录ECS,执行ping命令,验证VPN链路的网络互通情况。 由于VPN链路为备选,如果您需要验证VPN链路通信情况,需要先构造DC主链路故障,然后验证备VPN链路的通信情况。 父主题: 通过企业路由器构建DC/VPN双链路主备混合云组网
  • 应用场景 云专线(Direct Connect,DC)用于搭建线下IDC和云上虚拟私有云(Virtual Private Cloud,VPC)之间高速、低时延、稳定安全的专属连接通道,您可以通过企业路由器和云专线构建满足企业通信的大规模混合云组网。 虚拟专用网络(Virtual Private Network,VPN)用于在线下IDC和华为云VPC之间建立一条安全加密的公网通信隧道。相比通过DC构建混合云,使用VPN更加快速,成本更低。 为了助力企业客户实现混合云组网的高可靠性,并且控制成本费用,我们推荐您在企业路由器中同时接入DC和VPN两条网络链路,构建主备双链路的混合云组网。当主链路故障后,可自动切换至备链路,降低了单链路故障导致的业务中断风险。 关于企业路由器更详细的介绍,请参见企业路由器产品介绍。
  • 方案架构 为了提升混合云组网的可靠性,XX企业同时部署了DC和VPN两条网络链路,均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备,主链路为DC,备链路为VPN,当DC链路故障时,可自动切换到VPN链路,降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中,VPC1和VPC2网络互通,并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中,当主链路DC故障时,VPC1和VPC2可以通过备链路VPN和线下IDC通信。 图1 DC/VPN双链路主备混合云组网
  • 数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信,请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 已创建/剩余连接数 0/10 EIP地址 EIP地址在购买EIP时由系统自动生成。 本示例假设EIP地址生成如下:11.xx.xx.11 服务端 本端网段 192.168.0.0/24 服务端证书 cert-server(使用 云证书管理服务 托管的服务端证书名称) 客户端 SSL参数 协议:TCP 端口:443 加密算法:AES-128-GCM 认证算法:SHA256 是否压缩:否 客户端网段 172.16.0.0/16 客户端认证类型 选择“证书认证”,单击上传CA证书。 名称:ca-cert-client 内容: -----BEGIN CERTIFICATE----- od2VC7zXq7vmsVS5ZuyzeZA9CG+kzHsznZnmMjK+L9ddtRrLolRKIlE7VgWSVvn NCnGre6nQErWV688fsKJFIJ7xEBpt+S10zNuuk42OA36RsSauJWtLtebvhTav5df -----END CERTIFICATE-----
  • 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用创建的用户进行日常管理工作。 用户 由账号在 IAM 中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域 指云资源所在的物理位置,同一区域内可用区间内网互通,不同区域间内网不互通。通过在不同地区创建云资源,可以将应用程序设计的更接近特定客户的要求,或满足不同地区的法律或其他要求。 可用区 一个可用区是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。 图1 项目隔离模型 父主题: 使用前必读
共100000条