华为云用户手册

  • 自定义策略 与静态策略和证书策略相比,自定义策略为您提供更灵活的策略机制。自定义策略实例指示函数关联的设备接入实例,一个函数可关联多个设备接入实例。 设备匹配自定义策略实例的机制为: 设备的发放策略指定为“函数策略”时,需同时指定其关联的函数,设备与自定义策略实例关联同一个函数时,即被认为该设备匹配上该条策略实例; 一个设备可匹配多条自定义策略实例。 创建自定义策略函数 添加自定义策略实例 父主题: 策略
  • 操作步骤 使用OpenSSL工具为设备证书生成密钥对,即”设备证书(客户端证书)私钥”。 openssl genrsa -out deviceCert.key 2048 使用密钥对生成证书签名请求文件: openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1所示。 表1 证书签名请求文件列表 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构(或公司名) Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称(CN) Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码,如您不设置密码,可以直接回车 / An optional company name []: 可选公司名称,如您不设置,可以直接回车 / 使用CA证书、CA证书私钥和上一步骤中生成的 CS R文件创建设备证书(deviceCert.crt)。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件,为“制作CA证书”中所生成的两个文件,且需要完成”验证CA证书”流程。 “-days”后的参数值指定了该证书的有效天数,此处示例为36500天,您可根据实际业务场景和需要进行调整
  • 创建授权关系 被授权方进入“授权”界面,单击在“被授权列表”下的“发起授权请求”。 图1 发起授权请求 被授权方填写授权方的账号名称或者账号ID(即 IAM 的Domain Name或Domain ID),单击“获取短信验证码”。 图2 发起授权请求详情 系统将向授权方绑定的手机号发送短信验证码,被授权方从授权方获取到短信验证码,填入验证码输入框,填写“描述”信息。 被授权方单击“确定”,授权请求完成,授权关系建立。 被授权方将在“被授权列表”中查看到与其他租户建立的授权关系,授权方将在“授权列表”中查看到与其他租户建立的授权关系。被授权方可删除某一条授权关系,授权方可禁用或删除某一条授权关系。
  • 操作步骤 进入“策略”界面,单击展开“静态策略”,单击“添加实例”。 图1 创建静态策略详情 按照下方参数说明填写关键参数信息后,单击“确定”。 表1 静态策略参数列表 参数名称 说明 示例 关键字 即关键字来源中的关键字。设备发放时,如果关键字来源字符串中包含设置的关键字,则可按该实例进行发放。 将设备名称携带Beijing的设备发放至华北-北京四的 物联网平台 。 设备名称:WaterMeter-Beijing0001、WaterMeter-Beijing0002 关键字来源:设备名称 关键字:Beijing 发放区域:华北-北京四 发放应用:beijing-app1 将上报信息中携带Beijing的设备发放至华北-北京四的物联网平台。 关键字来源:数据上报 topic“$oc/devices/${device_id}/sys/bootstrap/up”上报信息:{ "baseStrategyKeyword": "WaterMeter-Beijing0003"} 关键字:Beijing 发放区域:华北-北京四 发放应用:beijing-app1 关键字来源 关键字来源指的是用于匹配关键字的字符串信息的数据来源。目前支持设备名称与数据上报两种形式。 如果为设备名称,则匹配关键字的字符串取设备创建后的设备名称。 如果为数据上报,则匹配关键字的字符串取设备发放过程中,发起发放请求Topic“$oc/devices/${device_id}/sys/bootstrap/up” 的上报信息json中的baseStrategyKeyword属性。 优先级别 发放策略的优先级,取值范围1 - 5级,1级为最低优先级。当一个设备符合多个发放策略时,按照优先级最高的策略实例发放。 发放区域 发放到指定区域后,设备将接入对应区域的 设备接入服务 。 所选区域未开通设备接入服务时,如果确定添加实例,系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同,收费详情请参考价格说明。 发放应用 选择对应设备接入服务区域已创建的应用。在物联网平台中,设备由应用统一管理。 如果对应设备接入服务区域未创建应用,需要前往对应服务创建应用。
  • 添加自定义策略实例 进入“策略”界面,单击展开“自定义策略”,单击“添加函数”。 图1 添加自定义策略 按照下方参数说明填写关键参数信息后,单击“确定”。 参数名称 说明 示例 函数 即在函数服务中实现的自定义策略。如果下拉框没有你想要的函数,可以单击创建新函数来实现你的自定义策略需求。 将需要通过函数“function”发放的设备发放至华北-北京四的物联网平台。 需通过函数“function”发放的设备:WaterMeter-Beijing0001、WaterMeter-Beijing0002 函数:function 发放区域:华北-北京四 发放区域 发放到指定区域后,设备将接入对应区域的设备接入服务。 所选区域未开通设备接入服务时,如果确定添加实例,系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同,收费详情请参考价格说明。 父主题: 自定义策略
  • 概述 静态策略,即设备关键字模糊匹配的发放策略。每条静态策略实例指:匹配上该策略实例的设备,将会被发放到该条策略实例关联的设备接入实例的对应资源空间(即应用)下。 设备匹配静态策略实例的机制为: 设备的发放策略为“静态策略”,设备的关键字来源字符串包含某一静态策略实例的关键字,即被认为该设备匹配上该条策略实例。关键字来源有以下两种来源类型: 设备名称:如果设备名称包含设置的关键字,即可按照该行策略指定的发放应用进行实例发放。 数据上报:如果设备在连接后,进行发放publish时,上报Topic “$oc/devices/${deviceId}/sys/bootstrap/up” 中,json上报的属性 “baseStrategyKeyword” 包含设置的关键字,即可按该实例进行发放。 一个设备最多匹配一条静态策略实例; 当一个设备匹配上多条静态策略实例时,则以优先级最高的策略实例为优先。
  • 制作CA证书 在浏览器中访问这里,下载并进行安装OpenSSL工具,安装完成后配置环境变量。 在 D:\certificates 文件夹下,以管理员身份运行cmd命令行窗口。 生成密钥对(rootCA.key): 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1 所示。 表1 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构(或公司名) Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称(CN) Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码,如您不设置密码,可以直接回车 / An optional company name []: 可选公司名称,如您不设置,可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书(rootCA.crt): openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数,此处示例为50000天,您可根据实际业务场景和需要进行调整。
  • 从这里开始 表1 设备发放操作步骤列表 使用阶段 步骤 设备开发 1. 开通设备接入服务,参考开发指南,完成设备开发。 LiteOS设备(LwM2M),设备需要具有设备发放功能。 原生MQTT协议设备,需要完成设备引导接口开发,使设备具有设备发放功能。 注:若设备需要使用物联网卡,可在 全球SIM联接 服务购买物联网卡和套餐。 2. 设备完成设备发放平台接入地址和设备鉴权信息的烧录。设备发放平台接入地址请在控制台中获取。 LiteOS设备(LwM2M):需要烧录设备发放平台接入地址、设备标识码、引导服务端PSK。 原生MQTT协议设备,需要烧录设备发放平台接入地址、设备ID、设备密钥。 设备发放 3. 证书:用于证书策略发放的设备需要上传证书,防止通信数据在传输过程被篡改造成安全风险。 4. 策略:策略用于控制设备按照指定策略或规则发放至不同的物联网平台。 5. 设备:将设备基本信息导入设备发放平台中,用于后续发放至不同的物联网平台。 设备接入物联网平台 6. 设备初次上电时,先接入到设备发放平台,随后通过Bootstrap流程引导设备获得目标物联网平台地址。
  • 操作步骤 进入“策略”界面,单击展开“证书策略”,单击“添加实例”。 图1 添加证书策略 按照下方参数说明填写关键参数信息后,单击“确定”。 表1 证书策略参数列表 参数名称 说明 示例 证书名称 即所要根据证书属性将设备发放到指定的目标区域,选择对应的证书。 将需要通过证书“certificates”发放的设备发放至华北-北京四的物联网平台。 需通过证书“certificates”发放的设备:WaterMeter-Beijing0001、WaterMeter-Beijing0002 证书名称:certificates 发放区域:华北-北京四 发放应用:beijing-app1 发放区域 发放到指定区域后,设备将接入对应区域的设备接入服务。 所选区域未开通设备接入服务时,如果确定添加实例,系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同,收费详情请参考价格说明。 发放应用 选择对应设备接入服务区域已创建的应用。在物联网平台中,设备由应用统一管理。 如果对应设备接入服务区域未创建应用,需要前往对应服务创建应用。
  • 概述 证书策略,即通过平台认证设备的设备CA证书匹配的发放策略。每条证书策略实例指:匹配上该策略实例的设备,将会被发放到该策略实例关联的设备接入实例的对应资源空间(即应用)下。 设备匹配证书策略实例的机制为: 设备的发放策略指定为“证书策略”时,其认证方式也必须为X.509证书认证且同时指定了认证设备的设备CA证书,当设备关联的设备CA证书与证书策略实例关联的证书为同一个证书时,即被认为该设备匹配上该条策略实例; 一个设备最多匹配一条证书策略实例;一个CA证书最多被一条证书策略关联。
  • 操作步骤 登录设备发放控制台。 在设备发放控制台,左侧导航窗格中,选择“证书”,单击“证书列表”条目的操作栏中的“验证证书”。 图1 上传CA证书完成页 在上传验证证书页面,单击“生成验证码”,单击“复制图标”复制此CA证书的随机验证码。 图2 复制验证码 CA证书验证码有效期为一天,请及时使用验证码生成验证证书并完成验证。 验证码的生成为替换机制,即对于一个CA证书,即使此前的验证码未过期,也将被新生成的验证码替换。 使用OpenSSL工具为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写此验证码。 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建验证证书(verificationCert.crt)。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 36500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件,为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数,此处示例为36500天,您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。 图3 上传验证证书
  • 注册组 MQTT证书接入的设备,可以在设备发放创建一个注册组,绑定对应的CA证书和自定义策略,可以实现批量设备的自注册,实现设备一键上电即可上云的动作,可在注册组详情中查看该注册组下所有的设备。 进入“设备-注册组列表”界面,单击左上角“新增注册组”。 图1 新增注册组 按照下方参数说明填写关键参数信息后,完成创建。 表1 注册组关键参数列表 参数名称 说明 注册组名称 注册组的唯一标识。 选择证书 用于和注册组绑定,同一个证书只能同时绑定一个注册组,不能同时绑定多个注册组。 发放策略 当前只支持“自定义策略”,同时需要选择所要运行的函数。 父主题: 设备
  • 了解函数接口定义 函数服务对函数有明确的接口定义。 以java语言为例,接口定义为:作用域 返回参数 函数名(函数参数,Context参数)。 作用域:提供给FunctionGraph调用的用户函数必须定义为public。 返回参数:用户定义,FunctionGraph负责转换为字符串,作为HTTP Response返回。对于返回参数对象类型,HTTP Response该类型的JSON字符串。 函数名:用户定义函数名称。 用户定义参数:当前函数只支持一个用户参数。对于复杂参数,建议定义为对象类型,以JSON字符串提供数据。FunctionGraph调用函数时,解析JSON为对象。 Context参数:runtime提供函数执行上下文,其接口定义在SDK接口说明。 创建Java函数时,函数入口参数需要提供函数完整的名字空间,参数格式为:包名.类名.函数名。 设备发放在此基础上,要求函数代码满足如下条件: 返回参数:需满足设备发放对返回参数的约束; 函数参数:需满足设备发放对函数参数的约束; 函数接口实现:从函数参数中的备选接入点中选择一个接入点,调用发放设备接口,根据接口响应拼接参数返回。
  • 设备发放对返回参数的约束 表1 TdpFuncResult 名称 说明 类型 statusCode String 函数执行状态码,用于标识函数执行过程是否出现异常,遵循HTTP状态码含义。 body String 字符串,但格式为JSON,结构为TdpFuncBody。 表2 TdpFuncBody 名称 说明 类型 status String 设备发放业务功能标识,allow表示发放成功,deny表示发放失败,设备发放使用此标识判断函数内业务功能执行成功与否。 context TdpFuncBodyContext 扩展字段,用于承载函数执行结果。 表3 TdpFuncBodyContext 名称 说明 类型 allocationResult String 发放结果,存放发放接口返回的响应结构体。 errorCode String 错误码,如发放失败,则此值需不为空。 errorMsg String 错误描述,如发放失败,则此值需不为空。 发放设备成功的返回参数样例 { "statusCode": 200, "body": "{\"status\":\"allow\",\"context\":{\"allocationResult\":\"dps返回的下发结果\"}}"} 发放设备失败的返回参数样例 { "statusCode": 200, "body": "{\"status\":\"deny\",\"context\":{\"errorCode\":\"错误码\",\"errorMsg\":\"错误描述\"}}"}
  • 操作步骤 配置华为云中国站全球加速实例 在华为云中国站购买加速实例,加速地域选择“中国大陆以外”(亚非拉中东地区,不包含欧洲),后端终端节点组所属区域选择华东-上海一。 详细配置流程请参见创建全球加速实例。 配置华为云欧洲站全球加速实例 在控制台首页的区域列表中选择云联盟区域“欧洲-都柏林”。 通过云联盟区域访问华为云欧洲站控制台,在欧洲站购买加速实例,其中加速区域选择“欧洲”,后端终端节点组所属区域选择“华东-上海一”。 图3 购买全球加速实例 图4 配置监听器、终端节点组和终端节点信息 配置DNS智能解析 通过DNS智能解析,线路类型选择“地域解析”,为不同地区的访问用户配置相应的 域名 解析: 欧洲地区的访问用户解析到华为云欧洲站GA Anycast IP,即步骤2中购买的全球加速实例对应的Anycast IP。 其他海外地区(亚太、拉美、非洲)的访问用户解析到华为云中国站GA Anycast IP,即步骤1中购买的全球加速实例对应的Anycast IP。 中国大陆的用户访问解析到华东-上海一的公网IP地址。 图5 配置DNS智能解析
  • 应用场景 华为云中国站的全球加速实例无法直接使用华为云欧洲站的接入点,如果中国站用户业务需要加速欧洲地区访问,需要通过云联盟区域进入华为云欧洲站,然后在欧洲站创建GA实例,后端可以选择中国站区域资源。反过来也是如此,欧洲站用户业务部署在爱尔兰,如果想要加速中国大陆、亚太等地区用户访问,也可以通过云联盟区域跳转到中国站创建全球加速实例。 本文以华为云中国站使用欧洲接入点为例,用户业务部署在华东-上海一区域,需要加速拉美、欧洲、非洲、亚太等地区的多个国家用户访问,则需要创建两个全球加速实例。 图1 场景示例
  • 操作场景 GA可以针对客户访问的业务为访问者提供个性化的管理策略,制定策略之前需要获取来访者的真实IP。TOA内核模块主要用来获取来访者的真实IP,该插件安装在GA真实终端节点的服务器内。 本文档仅适用于四层(TCP协议)服务,用户IP地址类型为IPv4,当用户需要在操作系统中编译TOA内核模块时,可参考本文档进行配置。 Linux内核版本为2.6.32和Linux内核版本为3.0以上的操作系统,在配置TOA内核模块的操作步骤上有所区别,具体操作请参照相应的操作步骤进行配置。
  • 华为云已经有了实名认证程序,为什么申请跨境资质还需要额外的实名认证? 华为云的实名认证,信息由华为云收集并保存,用于包括计费,开票等。 全球加速服务在中国大陆到海外的跨境互通场景中,还需要额外的实名认证程序,是因为全球加速服务的跨境业务能力由中国联通直接提供,这一部分实名认证信息由用户在华为云页面录入后,将直接提供给中国联通进行实名资质审查并进行审批,相关信息也会由中国联通收集并保存,用于后续的稽核备案等。
  • 全球加速服务在哪些场景下需要用户申请跨境资质认证? 根据中华人民共和国工业和信息化部(简称工信部)相关法律、行政法规规定,中国大陆只有三大运营商具备跨境业务运营资质。所以涉及跨中国大陆访问的业务场景,都需要通过跨境资质审核。 在全球加速服务中,需要跨中国大陆通信时,必须提交您的相关资料并申请跨境资质,保障跨境业务的合规性。 跨中国大陆通信一般包括以下两种场景: 加速区域属于中国大陆,终端节点所在区域在中国大陆之外。 加速区域在中国大陆之外,终端节点所在区域属于中国大陆。 申请跨境资质,需要用户提供相应的资质申请文件用印,并在线提交后,由华为云的跨境业务合作伙伴中国联通进行在线申请,在一个工作日内在线反馈审批结果。
  • 全球加速实例支持的后端服务类型都有哪些? 目前终端节点支持的后端服务类型包含弹性公网IP(EIP)、弹性云服务器(ECS)、弹性负载均衡(ELB)、自定义IP、自定义域名、自定义EIP。 云内资源加速支持选择EIP、ECS、ELB、自定义EIP。 云外资源加速支持选择自定义IP、自定义域名。 不同类型的终端节点已支持的区域详细请参见下表。 表1 全球加速支持终端节点类型 终端节点类型 说明 上线区域 EIP 本账号中的弹性公网IP。 不含欧洲-都柏林区域 自定义EIP 本区域中的弹性公网IP,包括其他账号中的弹性公网IP。 所有区域 ECS 本账号中私网ECS、私网ELB实例,可以不绑定弹性公网IP。 华东-上海一、华北-北京四、华南-广州、中国-香港、亚太-新加坡、土耳其-伊斯坦布尔 ELB 自定义IP 云外第三方业务。 自定义域名 当终端节点组内有多个终端节点时,您可以根据业务需要设置终端节点权重,权重确定了全球加速实例定向分配访问请求到终端节点的流量比例。全球加速实例会计算终端节点组中所有终端节点的权重之和,然后根据每个终端节点的权重与总权重之比将流量定向分配到相应的终端节点。
  • 全球加速如何根据时延实现流量调度? 流量调度是指配置到不同终端节点组的流量比例。如果监听器中有多个终端节点组,分配流量时优先选择时延最低的终端节点组,并按照该终端节点组的流量调度值分配流量,然后再向其他终端节点组分配其余流量。 示例: 如图1所示,某跨国企业在深圳和香港分别开设了分公司,深圳分公司的内部应用系统平台部署在广州区域两台服务器上,香港分公司的内部应用系统平台部署在香港区域的两台服务器上,两个分公司的各个服务器作为负载分担关系各自承担一部分访问流量。 将广州区域对应的终端节点组1和香港区域对应的终端节点组2的流量调度比例同时配置为80%,在时延优先的原则下,深圳用户和香港用户的访问流量将按照如下情形分配: 深圳用户的访问流量将有80%被分配到终端节点组1,剩余20%被分配到终端节点组2。 香港用户的访问流量将有80%被分配到终端节点组2,剩余20%被分配到终端节点组1。 图1 跨国访问流量调度 在该示例中,对于深圳用户来说,访问广州服务器的时延要小于访问香港服务器的时延,所以深圳用户的访问流量优先调度到广州,而对于香港用户来说情况正好相反。
  • GA的负载均衡和DNS负载均衡之间有什么区别? 对比维度 全球加速GA DNS(GTM,GSLB) 定义 相当于Global ELB,在全球所有加速点都下发配置负载均衡规则,每个加速点GA都会把访问流量按策略分发到不同后端资源 通过对DNS解析流量按照权重,智能线路等策略把域名解析到不同IP实现全局负载均衡 后端类型 非华为云IP,华为云EIP,私网ECS/ELB 必须是公网IP(不感知IP归属Region,云厂商) 调度策略 权重,时延最优,源IP算法 权重,地理位置/运营商智能线路,时延最优 优劣势 访问源是真实用户,相比DNS是对应用真实访问流量做负载(所有业务访问流量都经过GA,对真实访问流量做负载分发)。 后端资源故障切换(Anycast IP不变)支持秒级生效,不受DNS缓存影响。 成本略高。 访问源是运营商递归DNS,针对DNS解析流量负载分发,不代表后端应用IP真实访问流量(例如两个IP权重比例1:1,上海地区解析返回IP1,新疆地区解析返回IP2,实际上海地区访问流量可能是新疆地区访问几十倍,会导致虽然DNS解析比例是1:1,但是IP1负载大于IP2)。 IP故障切换生效时间受运营商DNS客户端缓存影响。 成本低。
  • 计费样例 客户的1个应用部署在广州区域,终端用户从香港和菲律宾接入,客户需要配置1个加速实例。1小时内,客户实际产生的流量: 香港-广州 ,从用户到应用方向流量1G,从应用到用户方向流量20G,则主方向为应用到用户方向,流量为20G; 菲律宾-广州,同理算出主方向流量为5G。 则1小时内产生的总费用:加速实例费+数据传输费 = 2.26元/小时*1小时+6.98元/GB*20GB+6.98元/GB*5GB = 176.76元
  • 终端节点的状态和健康检查结果是什么意思? 终端节点的状态说明详细请参见表1。 表1 终端节点状态 终端节点状态 说明 待定 终端节点正在配置生成 运行中 终端节点正常工作 异常 终端节点不可用 正在删除中 正在删除终端节点 健康检查结果说明详细请参见表2。 表2 健康检查结果 健康检查结果 说明 初始 终端节点正在配置,还未启动健康检查 正常 终端节点正常工作 异常 终端节点健康检查失败,不可用 未监控 健康检查未开启
  • 计费项 表1 全球加速计费项 计费项 基础计费 价格 加速实例费 按照每个全球加速实例的创建时长收费。 按小时计费,创建时长不满1小时按1小时收费。 实例费=实例单价*创建时长 2.26 元/小时 数据传输费 通过全球加速服务转发的流量费用,按GB收费。 从一个全球加速接入点到一个应用部署区域之间的流量,定义流量大的方向为主方向,按照每条流量的主方向收费。 数据传输费=流量单价*使用量 请参见全球加速价格详情。 说明: 全球加速实例的终端节点为EIP类型时,EIP不会重复收取流经GA的流量费用。 接入点和Region部分正在部署中,实际支持的加速区域请参见支持的加速区域。 实际支持的终端节点组所在区域以管理控制台可选配置为准。
  • 全球加速、GEIP、CDN全站加速什么区别? 对比维度 全球加速GA CDN全站加速 GEIP 定义 依赖华为云遍布全球骨干网,通过Anycast IP技术使用户访问加速 IP可以就近接入华为云骨干网快速传输到后端应用资源,极大提高网络访问时延,稳定性。 华为云全球部署2800+节点,不同节点之间互相探测时延勾勒出全网时延拓扑图,基于用户位置,运营商,网络质量,节点负载等因素动态计算出最优访问路径。 同GA一样依赖华为云骨干网,可以购买其中一个加速区域的IP,通过骨干网加速到其他后端资源,类似单加速点的GA。 后端类型 非华为云IP,华为云EIP,私网ECS/ELB 公网IP。 私网ECS/ELB,线下私网IP(需要配合云专线、NAT等一起使用) 优劣势 动态请求走骨干网传输,时延更低更稳定。 加速点故障切换(Anycast IP不变)秒级切换临近加速点不受DNS缓存影响。 成本略高,适合时延敏感性应用,如游戏,跨国办公/会议,跨国 视频直播 等; 本质上还是互联网访问,计算出相对更快路径,针对跨境,跨大洲传输优化有限。 CDN边缘节点故障调度生效时间受运营商DNS客户端缓存影响。 成本低,适用于对时延不太敏感应用。 支持三层加速,操作简单便捷。 请求走骨干网传输,时延更低更稳定。 相比GA:不支持跨Region容灾(GA加速后端资源可以部署多个Region);客户业务部署多个国家,需要买多个实例配置复杂,业务切换受DNS缓存影响。 举例 例如开车从北京到广州,CDN全站加速像在全国各省各市甚至县级都有CDN边缘探测点探测当地时延情况,然后通过导航软件快速计算出从北京到广州最快线路。 全球加速GA则是华为云自己在国内搭建高速骨干线路,用户从就近接入点驶入华为云骨干线路直达广州,避免了不同地域不同运营商拥堵故障等其他因素干扰。
  • 检查后端服务器所在安全组 TCP协议监听器:后端服务器所在的安全组入方向规则需要放通TCP对应的探测端口,并在TCP协议中放通健康检查的端口。 健康检查端口与后端服务器业务端口相同:需要放通后端服务器的业务端口,例如80。 健康检查端口与后端服务器业务端口不同:需要放通后端服务器的业务端口和健康检查端口,例如80和443。 健康检查的协议和端口在配置的健康检查配置项提示框中获取。 UDP协议监听器:不仅需要保证安全组入方向规则放通UDP协议健康探测的端口,还需要放通后端服务器所在安全组入方向的ICMP协议。
  • 检查后台服务器监听设置 如果后端服务器的操作系统为Windows,请通过浏览器直接访问https://后端服务器的IP : 健康检查配置的端口。如果返回码为2xx或3xx,则表示后端服务器正常。 您可以在后端服务器上通过以下命令查看后端服务器的健康检查端口是否被健康检查协议正常监听。 netstat -anlp | grep port 回显中包含健康检查端口信息并且显示LISTEN,则表示后端服务器的健康检查端口在监听状态,如图1中表示880端口被TCP进程所监控。 如果您没有配置健康检查端口信息,默认和后端服务器业务端口一致。 图1 后端服务器正常被监听的回显示例 图2 后端服务器没有被监听的回显示例 如果健康检查端口没有在监听状态(后端服务器没有被监听),您需要先启动后端服务器上的业务,启动业务后再查看健康检查端口是否被正常监听。
  • 制作CA证书 在浏览器中访问这里,下载并进行安装OpenSSL工具,安装完成后配置环境变量。 在 D:\certificates 文件夹下,以管理员身份运行cmd命令行窗口。 生成密钥对(rootCA.key): 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1 所示。 表1 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构(或公司名) Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称(CN) Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码,如您不设置密码,可以直接回车 / An optional company name []: 可选公司名称,如您不设置,可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书(rootCA.crt): openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数,此处示例为50000天,您可根据实际业务场景和需要进行调整。
  • 生成设备证书 使用OpenSSL工具为设备证书生成密钥对(设备私钥): openssl genrsa -out deviceCert.key 2048 使用设备密钥对,生成证书签名请求文件: openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构(或公司名) Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称(CN) Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码,如您不设置密码,可以直接回车 / An optional company name []: 可选公司名称,如您不设置,可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书(deviceCert.crt)。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件,为“制作CA证书”中所生成的两个文件,且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数,此处示例为36500天,您可根据实际业务场景和需要进行调整。
共99315条