华为云用户手册

RES08-01 减少强依赖项 系统内组件之间强依赖时，一个组件故障会对其他组件造成直接影响，影响系统可用性。 风险等级 中 关键策略 可以通过以下技术将强依赖项转换为非强依赖项： 提高关键依赖项的冗余级别，降低该关键组件不可用的可能性。 与依赖项的通信采用异步消息并支持超时重试，或发布/订阅消息功能将请求与响应分离，以便依赖项从短时故障中恢复。 依赖项长时间无法访问时，应用程序应能继续执行其核心功能，以便将局部故障对整体系统功能的影响减到最小。如所依赖的数据丢失时，应用程序仍能运行，但可以提供稍微陈旧的数据、替代数据，甚至没有数据，应用仍处于可预测和可恢复的状态。 避免启动依赖及循环依赖。若应用系统由于某些原因导致重启时，若依赖于其他依赖项启动或加载关键配置数据，可能会导致应用系统长时间停在启动状态而无法响应外部消息。针对这种情况，应用系统应该先使用缺省配置启动，再检查依赖项的状态或加载最新配置数据，以恢复正常运行。 父主题： RES08 依赖减少与降级

性能测试 性能测试是一种软件测试形式，通过性能测试工具模拟正常、峰值及异常负载等状态下对系统的各项性能指标进行测试的活动，它关注运行系统在特定负载下的性能，可帮助你评估系统负载在各种方案中的功能，涉及系统在负载下的响应时间、吞吐量、资源利用率和稳定性，以帮助确保系统性能满足基线要求，有助于提早发现性能问题，防止随着系统运行可能出现的性能裂化小于基线的情况。以下内容将带领大家了解性能测试。 PERF04-01 定义验收标准 PERF04-02 选择合适的测试方式 PERF04-03 性能测试步骤 父主题： PERF04 性能分析

基础概念 名称 名词解释 确定性运维 确定性运维旨在构建可防、可控、可治的运维管理体系。首先是通过高质量的产品开发，严谨的运维流程和制度来降低故障的概率，要挑战零故障，同时也要有技术手段对可能发生的故障，将间隔、影响范围及故障恢复时间做到可防、可控、可治，要把数字化带来的“不确定性”通过运维变成“确定性”。 IaC 基础设施即代码 基础设施即代码（IaC）是指使用代码而不是手动流程和设置来配置和支持基础设施的能力。任何应用程序环境都需要许多基础设施组件，例如操作系统、数据库连接和存储。 开发人员必须定期设置、更新和维护基础设施，以开发、测试和部署应用程序。 手动管理基础设施既耗时又容易出错，尤其是在大规模管理应用程序时。 CI/CD 持续集成/持续交付 持续集成是一种编码理念和一套实践，它促使开发团队频繁地实施小的代码更改并将其签入版本控制存储库。大多数现代应用程序都需要使用各种平台和工具来开发代码，因此团队需要一种一致的机制来集成和验证更改。持续集成建立了一种自动化的方式来构建、打包和测试他们的应用程序。拥有一致的集成流程可以鼓励开发人员更频繁地提交代码更改，从而实现更好的协作和代码质量。 持续交付从持续集成结束的地方开始，并自动将应用程序交付到选定的环境，包括生产、开发和测试环境。持续交付是一种将代码更改推送到这些环境的自动化方式。 Telemetering 遥测 遥测是对被测量对象的参数进行远距离测量的一种技术。是将对象参数的近距离测量值传输至远距离的测量站来实现远距离测量的技术，并把测得结果传送到接收地点进行记录、显示和处理的活动。 CMDB 配置管理数据库（configuration management database）简称CMDB，是信息技术基础架构库（ITIL）用语，是组织用来储存软体硬体资产（常称为形态项目，CI）资讯的数据库。用CMDB来追踪资产（例如产品、系统、软体、设备、人员）的状态，例如这些资产在特定的时间点是否存在，以及各资产之间的关系，并通过公开的接口支持IT管理各种业务数据消费。 MTTR MTTR（Mean Time to Repair）平均恢复时长，平均修复时间指从故障发生到验证确认故障恢复的耗时。MTTR 分为三个维度：MTTI（Mean Time To Identify）平均发现时长、MTTK（Mean Time to Know）平均诊断时长、MTTF（Mean Time to Fix）平均修复时长 变更风险控制 在变更作业过程中，建立事前检查、事中拦截和事后验证的能力，防止异常行为。 安全生产 安全生产目的是为了持续保障现网“安全、稳定、高质量”，从人员、工具、产品能力、流程规范等方面在安全预防、过程监控、结果稽查等维度进行端到端管理，减少或防止现网故障的发生，其中如何防止异常行为导致的事件是安全生产的重要目标。 故障快速恢复 故障快恢是以故障模式库为基础，建立应急预案，提升故障恢复效率、降低故障恢复时长，结合混沌工程演练把不确定的恢复时长做到确定的。 资源生命周期管理 指的资源的申请、创建、交付、运维以及最终的销毁释放过程。 故障演练 故障演练指通过沉淀通用的故障场景和可控成本在线上故障重放，以持续性的演练和回归方式的运营来暴露问题，不断验证和推动系统、工具、流程、人员能力的提升，从而提前发现并修复可避免的重大问题，或通过验证故障发现手段、故障修复能力来达到缩短故障修复时长的作用。 运维托管 运维托管服务是一种针对企业或组织的IT基础设施进行全面管理和维护的专业服务，旨在提高IT系统的可用性、可靠性和安全性。该服务涵盖了多个方面，包括系统监控、故障排除、系统优化、安全防护等。 父主题： 卓越运营支柱

SEC10-01 建立安全响应团队 建立安全事件响应团队，明确各角色与职责。 风险等级 高 关键策略 安全事件响应团队一般包含如下角色及职责： 安全响应专家：主导网络安全事件调查，负责对事件进行定级、通报、攻击溯源以及确定影响范围，制定应急处置措施，推动服务控制风险。 攻击溯源专家：根据攻击的IOC信息进行溯源，追溯攻击者信息，攻击范围（无遗漏），攻击溯源图（攻击路径）和攻击溯源报告，确认攻击事件性质。 高级分析专家：漏洞分析及复现，恶意样本逆向分析，输出病毒查杀脚本。 服务安全响应专家：协助安全响应人员对事件进行调查分析，配合执行各类日志取证，提供业务架构、网络架构、业务日志等协助分析攻击源头，影响范围。实施应急处置措施，并覆盖安全产品。 父主题： SEC10 安全事件响应

跨Region容灾 RDS支持使用 数据复制服务 （Data Replication Service，简称DRS）创建灾备任务，当主实例所在区域发生突发性自然灾害等状况，主节点（Master）和备节点（Slave）均无法连接时，可将异地灾备实例切换为主实例，在应用端修改数据库链接地址后，即可快速恢复应用的业务访问。数据复制服务提供的实时灾备功能，可实现主实例和跨区域的灾备实例之间的单主灾备（详见“MySQL到MySQL单主灾备”）或双主灾备（详见“MySQL到MySQL双主灾备”）。

RES01-01 应用组件高可用部署 应用系统内的所有组件均需要高可用部署，避免单点故障。 风险等级 高 关键策略 应用系统内各组件需要根据其具体能力，采用不同的高可用部署方案： 使用原生高可用实例：当云服务既支持单节点资源，又支持主备或集群资源时，应用的关键节点应使用主备或集群资源，如CCE高可用集群、RDS主备实例、DDS集群、D CS 主备或集群实例等。对于运行在CCE集群上的工作负载，也需要配置多个，以避免单个节点故障就导致业务中断。 单节点实例通过多实例实现高可用：当云服务只支持单节点发放，则需要应用层来实现多个节点之间的主备或负载均衡，如ECS实例，用户可以通过构建ELB+多ECS实例，来实现无状态业务在多实例之间的负载均衡和自动切换，或从应用层实现两个ECS实例的主备等。 硬件依赖实例从应用层实现高可用：当ECS使用本地硬盘、直通FPGA、直通IB网卡等物理服务器强相关的硬件资源时，当硬件故障时会导致ECS故障，且无法通过虚拟机HA功能自动恢复；针对此类问题，需要应用系统在设计时就必须要预料到偶发故障，尽可能避免使用，若必须用时需要从应用层来实现高可用，以便在所依赖的硬件故障时业务能快速恢复。 虚拟机HA：当ECS不依赖于特殊资源时，可以支持虚拟机故障自动恢复功能，在其所在物理服务器故障的情况下，可以自动在其他物理服务器上重启；对于部署在这种ECS中的工作负载，需要支持虚拟机重启后业务自动恢复的功能，并能容忍虚拟机HA期间业务处理性能短暂下降或中断。 对已部署的应用系统，改造为支持高可用能力的实施步骤： 确定应用系统的关键组件；所谓关键组件是指一旦故障，会导致整个应用系统或其中的关键功能受损。 针对关键组件，检查其高可用能力，即在其故障的情况下，是否能自动故障转移，进行业务恢复。 针对未支持高可用的关键组件，进行如下优化处理： 若云服务实例为单节点实例，如ECS，则通过申请多个实例承载相同业务，并利用ELB实现负载均衡和自动故障切换，或由应用层实现多实例的自动故障切换能力，来实现高可用。 对于不依赖于特殊资源的ECS，支持故障自动恢复功能，在ECS所在物理服务器故障的情况下可以自动在其他物理服务器上重启；对于部署在这种ECS中的工作负载，需要检查ECS重启后业务是否能自动恢复。 对于依赖特殊资源的ECS，如本地盘、直通FPGA卡、直通IB卡等，不支持故障自动恢复，针对此类ECS需要检查是否可以替换为不依赖于这些特殊资源的ECS，以提高ECS的可用性。 对于ECS、BMS、 MRS 等实例，在使用本地盘时，由于磁盘存在使用寿命上的限制，长时间使用后出现故障的概率会比较高，需要避免使用，而尽可能使用具有高可用能力的EVS磁盘；若必须使用时，则建议使用RAID提升本地盘的可用性，并从应用层实现高可用，以便在一个实例故障时，应用可以自动故障切换和恢复业务。 相关云服务和工具 弹性云服务器 ECS 裸金属服务器 BMS 弹性负载均衡 ELB 云容器引擎 CCE 文档数据库服务 DDS 分布式缓存服务 DCS MapReduce服务 MRS 父主题： RES01 冗余

云监控 中心( CES ) 云监控服务 为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 云监控服务主要具有以下功能： 自动监控：云监控服务不需要开通，在创建弹性云服务器等资源后监控服务会自动启动，您可以直接到云监控服务查看该资源运行状态并设置告警规则。 主机监控：通过在弹性云服务或裸金属服务器中安装云监控服务Agent插件，用户可以实时采集ECS或BMS 1分钟级粒度的监控数据。已上线CPU、内存和磁盘等40余种监控指标。有关主机监控的更多信息，请参阅主机监控简介。 灵活配置告警规则：对监控指标设置告警规则时，支持对多个云服务资源同时添加告警规则。告警规则创建完成后，可随时修改告警规则，支持对告警规则进行启用、停止、删除等灵活操作。 实时通知：通过在告警规则中开启 消息通知 服务，当云服务的状态变化触发告警规则设置的阈值时，系统通过短信、邮件通知或发送消息至服务器地址等多种方式实时通知用户，让用户能够实时掌握云资源运行状态变化。 监控面板：为用户提供在一个监控面板跨服务、跨维度查看监控数据，将用户关注的重点服务监控指标集中呈现，既能满足您总览云服务的运行概况，又能满足排查故障时查看监控详情的需求。 OBS转储：云监控服务各监控指标的原始数据的保留周期为两天，超过保留周期后原始数据将不再保存。您可以在 对象存储服务 （Object Storage Service，以下简称OBS）创建存储桶，然后将原始数据同步保存至OBS，以保存更长时间。 资源分组：资源分组支持用户从业务角度集中管理其业务涉及到的弹性云服务器、云硬盘、弹性IP、带宽、数据库等资源。从而按业务来管理不同类型的资源、告警规则、告警记录，可以迅速提升运维效率。 站点监控：站点监控用于模拟真实用户对远端服务器的访问，从而探测远端服务器的可用性、连通性等问题。 日志监控：日志监控提供了针对日志内容的实时监控能力。通过云监控服务和 云日志 服务的结合，用户可以针对日志内容进行监控统计、设置告警规则等操作，降低用户监控日志的运维成本，简化用户使用监控日志的流程。 事件监控：事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。 父主题： 卓越运营云服务介绍

RTO与RPO 灾难场景通常采用RTO和RPO目标定义： 恢复时间目标RTO：指灾难发生后应用不可用的最长时间。RTO决定了应用容灾整体架构，是采用数据备份，还是冷备、温备、热备。 恢复点目标RPO：指灾难发生后应用数据丢失的最大时间。RPO决定了数据备份频率或复制方式，是在线备份还是离线备份，是同步复制还是异步复制。 国家标准《信息系统灾难恢复规范》（GB/T 20988-2007）中灾难恢复等级与RTO/RPO的关系如下： 灾难恢复能力等级 能力要求 RTO RPO 1 基本支持：基本支持备份介质并场外存放 2天以上 1天至7天 2 备用场地支持：有备份场地，能调配所有资源 24小时以上 1天至7天 3 电子传输和设备支持：关键数据定时传送，备用网络部分就绪 12小时以上 数小时至1天 4 电子传输及完整设备支持：少量数据丢失，备用数据系统就绪，数据定时传送，备用网络就绪 数小时至2天 数小时至1天 5 实时数据传输及完整设备支持：数据丢失趋于0，备用数据系统就绪，远程数据复制，备用网络就绪 数分钟至2天 0至30分钟 6 数据零丢失和远程集群支持：数据零丢失，自动系统故障切换，远程磁盘镜像，备用网络active 数分钟 0 父主题： 可用性目标定义

Flink性能优化 概述 Flink是一个批处理和流处理结合的统一计算框架，其核心是一个提供了数据分发以及并行化计算的流数据处理引擎。它的最大亮点是流处理，是业界最顶级的开源流处理引擎。Flink最适合的应用场景是低时延的数据处理（Data Processing）场景：高并发pipeline处理数据，时延毫秒级，且兼具可靠性。 集群服务部署架构 服务规模与业务容量参数配置 Flink作为流数据处理引擎，依赖内存和CPU。用户在规划规格时，应根据当前的业务容量和增长速度，规划合理的内存和CPU资源，特别需要关注以下几点： 根据自己的业务目标，规划CPU资源和内存资源。规划时，需要结合当前的数据分布情况，业务复杂度，设置JobManager的内存，TaskManager的数量，TaskManager的内存，每个TaskManager的slot数量，规划适当的CPU核数和内存大小。 在规划内存时，要预留一定量的内存空间作为操作系统的buffer cache，一般预留20%。 从HDFS中读入数据时，要考虑block解压缩后的数据膨胀。 规划一定的磁盘作为缓存空间，包括缓存数据与日志。 调优目标 Flink调优的目标是在不影响其他业务正常运行的前提下，高效的完成业务目标，通常为了达成该目标，一般需要最大限度利用集群的物理资源，如CPU、内存、磁盘IO，使其某一项达到瓶颈。 调优原则 提高CPU使用率同时减少额外性能开销。 提高内存使用率。 优化业务逻辑，减少计算量和IO操作。 性能调优常用方法-DataStream调优 配置内存：调整老年代和新生代的比值；开发Flink应用程序时，优化datastream的数据分区活分组操作。 设置并行度：用户可以根据实际的内存，CPU，数据以及应用程序逻辑的情况调整并行度参数。任务的并行度可以按优先级从高到低排列，由算子层次、执行环境层次、客户端层次、系统层次这四种层次指定。 配置进程参数：配置JobManager内存、TaskManager个数、TaskManager Slot数、TaskManager内存。 设计分区方法：可设置随机分区、rebalancing（round-robin partitioning，基于round-rebin对元素进行分区，使得每个分区负责均衡）、rescaling（以round-robin的形式将元素分区到下游操作的子集中）、广播分区（广播每个元素到所有分区）、自定义分区。 配置netty网络通信：可在客户端的“conf/flink-conf.yaml”配置文件中进行修改适配。 指标观测方法 性能衡量指标包含吞吐量、资源利用率、伸缩性。 吞吐量：在相同资源环境下，执行相同计算任务，查看任务的完成速度。 资源利用率：执行计算任务，查看在不同负载情况下，CPU、内存、网络的使用率。 伸缩性： − 横向扩容带来的性能提升曲线：增加资源，执行相同计算任务，查看性能提升比率。 − 增加系统负担带来的性能下降曲线：在相同资源环境下，增加计算负载，查看性能下降比率。 父主题： 大数据性能优化

OPS07-03 支持事件管理 风险等级 高 关键策略 事件(incidents)是需要干预的事情。当发生事故(incidents)时，通过流程来处理。如何与团队沟通活动的状态？谁负责响应处置？使用哪些工具来缓解该事件？这些都是流程中需要回答的问题，并需要获得可靠的响应过程。流程必须中心化，并且可供参与工作负载的任何人使用。如果没有wiki 或文档存储，可以使用源代码版本控制机制。 优先通过自动化响应事件，避免占用业务交付和创新的时间。首先构建一个可重复的流程来缓解问题，然后关注自动缓解或解决根本问题以提升效率。 华为云相关云服务和工具 云监控服务 CES 云运维中心 COC 父主题： OPS07 进行故障分析和管理

RES15-04 灰度部署和升级 原地升级和回滚时，升级和回滚过程中业务将会中断，中断时长受限于升级和回滚的时长，对业务影响比较大；而采用灰度部署和升级，可减少升级和回滚过程中的业务中断，提升系统可用性。 风险等级 高 关键策略 通过金丝雀部署、蓝绿部署等方式实现灰度升级或部署，逐步引入新版本部署范围或切换用户流量，配合自动回退以降低部署差错导致业务中断的风险。 金丝雀部署（灰度发布）是将少量客户引导到新版本的做法，通常在单个服务实例（Canary）上运行；当检查到任何行为更改或错误时，可以将Canary中的流量删除，并将用户发回到以前的版本。如果部署成功，则可以继续以期望的速度进行部署，同时监控更改以便发现错误，直到所有部署完成。 蓝绿部署与金丝雀部署类似，只是会并行部署一整套应用程序，形成两套生产环境：蓝环境和绿环境，蓝色是当前版本并拥有实时流量，绿色是包含更新代码的环境。当应用程序已经准备就绪，用户可以将所有流量都将路由到绿环境中，当出现问题时，可以快速将流量重新路由回蓝环境，进行故障恢复。 相关云服务和工具 部署 CodeArts Deploy：提供可视化、自动化部署能力，提供丰富的部署步骤，有助于用户制定标准的部署流程，降低部署成本，提升发布效率。 微服务引擎 CSE：支持灰度发布。 应用服务网格 ASM：支持灰度发布。 父主题： RES15 升级不中断业务

PERF03-02 选择合适规格的虚拟机和容器节点 风险等级 中 关键策略 服务器资源就类似一块块资源拼成的木桶，其最多能承载的业务需求取决于哪一块资源最先达到瓶颈。 不同应用对资源需求不同，例如： 功耗密集型业务（如高性能计算、人工智能、深度学习等场景）主要就是消耗计算维度的容量。 内存密集型业务（如大数据处理、图像/视频处理、游戏开发、数据库等场景）主要消耗内存和存储维度的容量。 存储密集型业务（如大型数据库、大数据分析、大规模文件存储、编译构建等场景）可能会比较消耗存储的带宽。 根据业务的特征选择合适的虚拟机类型和规格。具体的虚拟机类型规格请参考官方文档。 相关云服务和工具 弹性云服务器 ECS 裸金属服务器 BMS 父主题： 选择合适的计算资源

基本概念 名称 名词解释 FinOps FinOps 是 Finance 和 DevOps 的合成词，强调 IT、财务和业务团队必须协作，将财务责任引入云，并在速度、成本和性能之间做权衡时做出数据驱动的明智决策。 CFM 华为云 云财务管理 （Cloud Financial Management），参考FinOps流程实践，E2E构建云财务管理能力，旨在帮助客户提高云支出的透明度和可预测性，以更加准确、高效的方式分配、控制和优化云成本。

RES01-03 云服务器反亲和 应用内相同业务的ECS需要分散到多台物理服务器，避免运行到同一台物理服务器上，当发生这种情况时，可能会由于一台物理服务器故障而导致业务中断。 风险等级 高 关键策略 针对多个承载相同业务的ESC，需要配置主机组反亲和，从而可以将相同业务的ECS调度到不同物理服务器上，以避免由于单台物理服务器故障而导致所有业务不可用的场景。 若ECS通过AS进行弹性伸缩时，则需要AS配置云服务器组反亲和，以避免AS自动创建的ECS运行在同一个物理服务器上。 若CCE集群节点或节点池采用弹性 云服务器ECS 时，建议配置云服务器组反亲和，以避免CCE集群中的ECS节点运行在同一个物理服务器上。 相关云服务和工具 弹性云服务器 ECS：云服务器组 弹性伸缩服务 AS 云容器引擎 CCE 父主题： RES01 冗余

RES10-04 健康检查与自动隔离 对应用组件进行健康检查，当发现故障后进行主动隔离，避免故障扩散。 风险等级 高 关键策略 对系统内组件需要定期进行健康检查，以判断其状态是否正常。 对于异常组件，需要能支持自动隔离，避免对整体业务造成影响。 相关云服务和工具 弹性负载均衡器 ELB：支持健康检查，会定期向后端服务器发送请求以测试其运行状态，并根据健康检查来判断后端服务器是否可用，当判断为异常后就不会将流量分发给该异常后端服务器。 云容器引擎 CCE：支持容器健康检查，容器运行过程中，可根据用户需要，定时检查容器健康状况。若不配置健康检查，如果容器内应用程序异常，Pod将无法感知，也不会自动重启去恢复。最终导致虽然Pod状态显示正常，但Pod中的应用程序异常的情况。 父主题： RES10 故障隔离

SEC05-03 减少资源的攻击面 通过加固操作系统、减少未使用的组件和外部服务，以及使用工具加强 云安全 ，减少资源的攻击面。 风险等级 高 关键策略 强化操作系统和减少组件：通过减少未使用的组件、库和外部服务，可以缩小系统在意外访问下的危险。这包括操作系统程序包、应用程序以及代码中的外部软件模块。 创建安全的虚拟机镜像或者容器镜像。 使用第三方工具进行安全性分析：使用第三方静态代码分析工具和依赖关系检查工具来识别常见的安全问题和漏洞，确保代码的安全性和合规性。 应用其他测试方法：除了工具的使用，还需要在应用程序级别进行测试，如使用模糊测试来查找和修复潜在的漏洞和错误。 相关云服务和工具 企业主机安全 HSS 父主题： SEC05 运行环境安全

SEC02-03 安全管理及使用凭证 在进行身份验证时，首要选择使用临时凭证而非长期或永久性凭证，以减少或消除因凭证意外泄露、共享或被盗而带来的风险。 风险等级 高 关键策略 长期凭证如用户的登录密码、永久AK/SK，短期凭证如临时AK/SK、通过委托获取的权限等。禁止将长期凭证硬编码到代码中，以免泄露。优先使用临时凭证调用华为云的SDK或API。 如果某些情况下不能选择临时凭证，才使用长期凭证。在此情况下，建议将长期凭证放置到代码之外的文件或由第三方托管，将长期凭证作为变量传入使用。要定期审计和实施凭证轮换，以帮助降低长期凭证相关风险。 对您的身份提供者和 IAM 中配置的身份进行审计，这有助于验证只有经过授权的身份才能访问您的工作负载。 使用 数据加密 服务DEW托管凭据。实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。 使用数据加密服务DEW中的凭据管理服务（C SMS ）定期轮换凭证。 使用IAM委托。委托操作权限给云服务或者其它账号。 相关云服务和工具 数据加密服务 DEW 统一身份认证 服务 IAM 父主题： SEC02 身份认证

SEC09-04 安全 态势感知 跟踪并监控对网络资源和关键数据的所有访问：通过系统的活动记录机制和用户活动跟踪功能可有效降低恶意活动对于数据的威胁程度。当系统出现错误或安全事件时，通过执行彻底地跟踪、告警和分析，可以较快地确定导致威胁的原因。 风险等级 中 关键策略 采集各类安全服务的告警事件，并进行大数据关联、检索、排序，全面评估安全运营态势。 生成定期的安全状态报告，总结安全态势，包括发现的问题、采取的行动和改进措施。 确保所有安全措施都符合相关的法规和行业标准，如网络安全等级保护、GDPR、HIPAA、PCI DSS等。 定期对员工进行安全培训，提高他们对云安全的意识和理解。 相关云服务和工具 安全云脑 SecMaster 云监控 CES：使用CES获取安全事件的告警通知。CES提供对监控指标的告警功能，当云服务的状态变化触发告警规则设置的阈值时，系统提供邮件和短信通知，用户可以在第一时间知悉业务运行状况，还可以通过HTTP、HTTPS将告警信息发送至告警服务器，便于用户构建智能化的程序处理告警。 父主题： SEC09 安全感知及分析

SEC02-02 安全的登录机制 将安全的登录机制用于账号、IAM用户以及对接第三方身份提供商。 风险等级 高 关键策略 除了账号，确保IAM管理员（有管理员权限的IAM用户）也开启MFA机制登录，避免登录凭证泄露带来的风险。 配置IAM的登录验证策略，如会话超时策略、账号锁定策略、账号停用策略、最近登录提示等。 配置IAM的网络访问控制策略。限制用户只能从特定 IP 地址区间、网段及 VPC Endpoint 访问华为云。 多个账号或多个IAM用户间使用不同的密码。 禁止将用户的密码共享给其他人，而是为每个管理或使用华为云资源的人创建一个单独的用户。 修改新用户的默认密码。使用IAM创建新用户时，可通过邮件发送一次性登陆链接给新用户，新用户使用链接进行登陆时需要设置密码，另外在管理员自定义新用户的密码时可选择强制用户在激活后修改默认密码。 集中的身份管控： 使用单点登录：考虑使用单点登录解决方案，集中管理用户的身份认证信息，简化用户登录流程，提高安全性和用户体验。 多账号场景，对账号的集中管控。 相关云服务和工具 IAM身份提供商 华为账号使用的安全最佳实践 应用身份管理 服务 OneAccess ：使用OneAccess与您组织的HR系统关联实现单点登录。 父主题： SEC02 身份认证

基础概念 指标 概念解读 性能 性能是指软件系统或软件对应其及时性要求的符合程度。及时性用响应时间或吞吐量来衡量。 响应性 响应性是系统实现其响应时间或吞吐量目标的能力。 响应时间（RT） 用户感受系统为其服务所耗费的时间。不同业务系统的响应时间期望值不同，如互联网业务多为500ms以下、金融业务1s以下等。 可伸缩性 可伸缩性是系统自对齐软件功能的要求增加的情况下，继续实现其响应时间或吞吐量目标的能力。 吞吐量（TPS） 吞吐量反映处理能力，指系统在每单位时间内能处理多少个事务/客户请求/单位数据等。 网络带宽 带宽是指在一定时间内，传输数据的能力或速率。 网络流量 网络流量是指在网络中传输的数据量，它可以是指定时间内通过网络传输的数据总量，也可以是指网络中某个特定节点或连接上的数据传输速率。 网络延迟 网络延迟指的是从发送数据到接收数据所需的时间间隔。 父主题： 性能效率支柱

问题和检查项 问题 检查项/最佳实践 SEC01 如何整体考虑云安全治理策略？ 建立安全管理队 建立安全基线 梳理资产清单 分隔工作负载 实施威胁建模分析 识别并验证安全措施 SEC02 如何管理人机接口和机机接口的身份认证？ 对账号进行保护 安全的登录机制 安全管理及使用凭证 一体化身份管理 SEC03 如何管理人员和机器的权限？ 定义权限访问要求 按需分配合适的权限 定期审视权限 安全共享资源 SEC04 如何进行网络安全设计？ 对网络划分区域 控制网络流量的访问 网络访问权限最小化 SEC05 如何进行运行环境的安全设计？ 云服务安全配置 实施漏洞管理 减少资源的攻击面 密钥安全管理 证书安全管理 使用托管云服务 SEC06 如何进行应用程序安全设计？ 安全合规使用开源软件 建立安全编码规范 实行代码白盒检视 应用安全配置 执行渗透测试 SEC07 如何进行数据安全设计？ 识别工作负载内的数据 数据保护控制 对数据操作实施监控 静态数据的加密 传输数据的加密 SEC08 如何进行数据隐私保护设计？ 明确隐私保护策略和原则 主动通知数据主体 数据主体的选择和同意 数据收集合规性 数据使用、留存和处置合规性 向第三方披露个人数据合规性 数据主体有权访问其个人隐私数据 SEC09 如何进行安全感知及 威胁检测 ？ 实施标准化管理日志 安全事件记录及分析 实施安全审计 安全态势感知 SEC10 如何进行安全事件的响应？ 建立安全响应团队 制定事件响应计划 自动化响应安全事件 安全事件演练 建立复盘机制 父主题： 安全性支柱

RES02-01 识别和备份应用中所有需要备份的关键数据 不同数据的重要性不一样，针对应用系统内的所有数据，需要明确其重要性及对应的RPO/RTO指标要求。比如对于重要数据，通常允许数据丢失的时间会比较少，从而需要更频繁的备份；对于一般的数据，允许数据丢失的时间比较长，可以使用较低的备份频率；对于一些不重要的数据，其数据丢失对业务没有影响，则不需要进行备份。 风险等级 高 关键策略 识别应用系统中的所有数据。数据可以存储在多种资源中，如ECS/BMS中的卷、RDS/DDS等数据库、SFS文件系统、OBS对象存储等。 根据重要性对数据进行分类。应用系统内的不同数据具有不同的重要程度，对备份的要求也不同；如对一些重要数据，RPO要求接近0，需要实时备份；而对另外一些数据，重要性不高，可以容忍数据丢失，可以不做备份；此外还存在一些比较重要的数据，数据丢失的容忍程度各有不同，需要设计不同的备份策略。 针对需要备份的数据设计备份方案以满足其RPO/RTO指标要求。 父主题： RES02 备份

云日志服务(LTS) 云日志服务（Log Tank Service，简称LTS）是高性能、低成本、功能丰富、高可靠的日志平台，提供全栈日志采集、百亿日志秒搜、PB级存储、日志加工、可视化图表、告警和转储等功能，满足应用运维、等保合规和运营分析等应用场景需求。 云日志服务提供多种接入方式实现海量日志接入LTS，支持日志搜索引擎、SQL分析引擎、日志加工引擎，详细请参考下图。 端云全场景日志接入：40+云服务、主机/容器、移动端、跨云、多语言SDK、多账号汇聚，满足全场景客户丰富的日志接入需求。 海量日志存储搜索：百亿日志秒级搜索，千亿日志迭代搜索，PB级智能冷存储。 SQL统计和可视化图表：100+SQL函数、多种可视化图表、10多种开箱即用仪表盘。 实时日志告警：自定义告警内容，短信/邮件/微信/钉钉/HTTP多渠道通知。 一站式日志加工：200＋函数、一站式日志规整、富化、脱敏、过滤、分裂加工平台。 日志数据服务间集成：日志转储OBS/DWS/DIS/ DLI /DMS，助力用户快速构建水平解决方案。 父主题： 卓越运营云服务介绍

PERF01-01 全生命周期性能管理 风险等级 高 关键策略 指定性能目标 从性能角度来看，最好为性能场景定义具体的、量化的、可测量的性能目标。若要设置这些目标，需要充分了解业务要求以及预期将提供的服务质量。 需要与业务利益干系人共同关键功能的体验要求，而不是只关注技术指标。通过明确地说明性能需求来控制性能，说明要足够明确，以便可以定量地确定软件系统是否满足该目标。具体要求： 定义明确的性能需求目标 避免使用定性的、模糊的性能目标 为每个性能场景定义一个或多个目标 性能指标项的粒度要合适 功能够用 在业务初期的设计阶段，要考虑简化组件/模块/方法/类的功能设计，避免设计面面俱到的多功能组件/模块/方法/类；调用功能时，避免功能过剩、并对性能影响较大的调用；选择云服务的时候，选择合适的云服务，结合业务的特征选择合适的云服务类型和规格，利用好云弹性的特性的优势。设计功能过于复杂的组件，有时候是为了通用，有时候则是一种不好的软件设计习惯。够用原则适用于自己设计或者调用已有的功能，使用时注意避免过度设计。 性能可观测 在业务系统开发维护阶段，采取措施（例如在关键点插入代码，探测器）使测试和分析负载场景、资源需求、性能目标达成一致。使用监控工具来分析历史趋势，并识别支配性占比的数据流和代码实现路径。本原则强调采取措施使性能指标可测试，可以利用商用工具测试质量指标，也可以在设计时考虑相关性能指标的可测试性措施。需要测试的数据包括响应时间，处理容量，也包括功能/模块被执行频度等指标。 通过优化提高效率 在初始阶段设置的目标考虑到各种约束和业务目标，随着业务的增长应不断进行调整。为了进一步优化性能效率，需要清楚地了解系统的使用方式、演变过程，以及平台或技术是如何随时间变化的。需要预留足够的时间来进行持续的性能优化，可以构建性能驱动的优化文化，让团队成员主动监视性能数据；通过指标数据驱动改进，使用新的设计模式和新的技术来优化体系结构。 性能优化成熟度模型 父主题： 全生命周期性能管理

RES10 故障隔离 当系统某个单元发生故障时，如果不采取措施，故障可能会大规模扩散，从而造成整个系统失效。故障隔离技术的核心思想是将一个工作负载内的故障影响限制于有限数量的组件内，降低故障影响范围，防止产生级联故障。 通过划分故障隔离域，限制工作负载的影响，可有效进行故障隔离。 RES10-01 应用控制平面与数据平面隔离 RES10-02 应用系统多位置部署 RES10-03 采用Grid架构 RES10-04 健康检查与自动隔离 父主题： 故障快速恢复

PERF05-02 通用算法优化 风险等级 中 关键策略 算法优化是提高程序性能的关键，可以通过改进算法的设计和实现方式来提高其效率和性能。以下是一些最佳实践： 使用正确的数据结构：选择合适的数据结构可以大辐提高算法的效率。例如，使用哈希表可以快速查找元素，使用数组可以快速访问元素。 减少内存分配：内存分配是一个耗时的操作。可以通过预先分配内存或者重复使用已分配的内存来减少内存分配。 减少循环次数：循环是一个常见的算法结构，但是循环次数过多会导致程序性能下降。可以通过使用更高效的算法来减少循环次数。 使用并行计算：对于一些计算密集型的算法，可以使用并行计算来提高程序性能。可以使用多线程或者分布式计算来实现并行计算。 父主题： 算法优化

DMS分布式消息服务 DMS分布式消息服务支持以下各种消息类型： Kafka版：基于开源社区版Kafka提供的消息队列服务，向用户提供计算、存储和带宽资源独占式的Kafka专享实例。 RabbitMq版：完全兼容开源RabbitMQ，提供即开即用、消息特性丰富、灵活路由、高可用、监控和告警等特性，广泛应用于秒杀、流控、系统解耦等场景。 RocketMQ版：低延迟、弹性高可靠、高吞吐、动态扩展、便捷多样的消息中间件服务。 可靠性功能 常见故障模式 父主题： 云服务可靠性介绍

节省和优化，使用不同的计费模式，资源优化和架构优化 云支出的主要影响因素是费率和用量，结合云化业务模型和成本数据分析，可以使用不同的优化措施。从费率上，云服务存在按需、包年包月、资源包、竞价实例等多种计费模式，不同的计费模式有着不同的适用场景。企业可以根据自己的需要，合理选择各种计费模式来适配不同的业务形态和降低费率，实现成本节省。从用量上，企业可以通过资源优化，释放闲置资源，降配等降低资源用量，或者通过离在线混部，弹性缩扩容等架构方案实现资源复用和闲时释放，也达到了资源用量的节省。费用优化、资源优化和业务架构优化代价逐步增高，对业务的影响也依次增大。企业可以根据业务目标、对业务影响、优化代价和收益的评估，确定优化目标和优化措施优先级。确定优化措施。

组织，流程和成本管理相匹配 在成本优化过程中，一个很重要的原则是需要将组织结构，流程和成本管理相匹配。需要建立“责权分明”的体系，否则即使用再好的成本优化工具，也无法将成本优化落到实处。 流程上，需要把成本管理作为各个上云流程中必备的一环； 组织上，需要投入适当的时间，资源和人力用于建立云财务管理的能力。 例如，在云账号申请和云资源申请的时候，就需要建立完善的流程，以便于将组织，项目和其所使用的云账号，云资源进行关联，并确保每个部门或团队都对其使用的资源负责。而在最终的企业财务层面，引入云财务管理的能力，也有助于理解企业的每个子部门的产出和成本的关系，甚至于清晰地了解企业每挣一块钱，最终的云成本是多少，这样企业不至于为了完成本优化，而牺牲自身真正的产出。 在最终实际的优化实施阶段，由于成本优化往往需要运营，运维，研发等多个部门的参与，也涉及到平台部门和业务部门的合作，故而需要确定一个各个组织成员都参与的完善流程，如释放空闲资源的流程。 企业也可以定期生成报告，并同步给干系人；同时联席例会，如组织多角色参与的例会(如月度例会)，审视预算执行情况、讨论风险应对策略、总结优化经验和计划下一步重点工作等；

事前规划，做好成本模型，预算规划和成本预测 理解每个组织，项目的成本并非易事，尤其是很多云资源是事实上的跨组织和项目的公共资源，故而，在一开始的时候，就需要建立一个基础的，得到管理团队认可的成本模型，用于在以后的成本优化执行过程中确保整体的成本可追溯性。 在确定成本模型之后，则需要设立一个预算规划，同时在各种基于云的项目一开始的时候，就引入该预算规划和成本管理，同时设定不同层次的预算开销的阈值，用于成本的预警 。 最后，对于使用了一段时间华为云的账号，华为云也提供了成本预测工具，基于用户的实际上云成本，提供了未来的预测，善用这些工具，云用户可以根据预算情况，设立基于预测的告警。