华为云用户手册

  • 修订记录 发布日期 更新说明 2024-03-30 第八次正式发布 新增 HCE OS的REPO源配置与软件安装 修改 迁移操作,补充备份相关描述。 2023-12-30 第七次正式发布 修改 XGPU算力调度示例,补充权重弱调度(policy=6)内容。 动态加速,补充动态应用加速工具字符交互界面指令内容。 2023-11-10 第六次正式发布 新增 内核异常事件分析指南 动态加速 修改 约束限制,兼容性支持ko格式。 评估软件兼容性,支持扫描嵌套目录。 工具概述,新增支持EulerOS 2.9/2.10和HCE OS 2.0 ARM操作系统的兼容性评估。 冲突包列表,更新冲突包列表。 约束限制,增加约束限制。 概述,增加动态加速介绍,以及静态加速和动态加速的优缺点。 配置文件,增加动态加速配置文件及参数说明。 安装并使用XGPU、XGPU算力调度示例,增加混部调度相关描述。 制作Docker镜像并启动容器,修改约束限制以及完善操作步骤内容。 评估软件兼容性,补充ARM架构软件兼容性扫描示例内容。 迁移操作,迁移工具安装包版本号更新以及修改系统迁移说明内容。 约束限制,修改约束限制。 约束限制,修改约束限制。 安装并使用XGPU,修改约束限制。 2023-08-03 第五次正式发布 修改 准备工作,增加motd_setup参数。 OSMT命令帮助信息,增加--nocheck参数。 HCE OS获取openEuler扩展软件包,更新操作步骤。 概述、静态加速,支持hce-wae-auto命令优化应用程序,增加相关内容。 XGPU共享技术概述,算力支持力度由5%优化至1%,修改对应描述;增加“XGPU功能仅在Nvidia Tesla T4、V100、A100、A30、A40、A800上支持”的约束限制。 安装并使用XGPU,增加GPU_POLICY、GPU_CONTAINER_PRIORITY、max_inst、priority参数及相关内容;算力隔离的策略由0~1优化至0~4;增加“通过xgpu-smi工具监控容器”内容。 增加 制作Docker镜像并启动容器 配置文件 XGPU算力调度示例 2023-03-30 第四次正式发布。 增加 Pod带宽管理工具 内核功能与接口 内核memory的OOM进程控制策略 内核memory的多级内存回收策略 内核cpu cgroup的多级混部调度 XGPU共享技术 XGPU共享技术概述 安装并使用XGPU 修改 冲突包列表,补充CentOS 8.4/8.5的冲突包列表。 约束限制,补充约束限制。 准备工作、/etc/osmt/osmt.conf配置文件说明,增加preinstalled_only、recover_service参数,更新osmt.conf配置文件内容。 OSMT命令帮助信息,增加-V, --verbose、-o, --preinstalled-only、-t, --retry、-c, --cancel参数。 静态加速,更新操作步骤。 删除 应用加速工具中的“常见问题”章节 perf工具 2023-01-17 第三次正式发布。 增加 约束限制 升级后续操作 工具类 修改 冲突包列表,增加CentOS 8.3冲突包列表。 使用dnf或yum命令升级,更新dnf list updates命令,补充操作步骤3。 约束限制,补充约束限制。 版本升级和回退,优化操作步骤。 准备工作,更新osmt.conf配置,补充参数项及描述。 osmt update命令更新,优化操作步骤。 osmt-agent服务自动更新,优化操作步骤。 回退RPM包,补充回退说明。 2022-10-20 第二次正式发布。 增加 x2hce-ca应用兼容性评估章节。 将操作系统迁移至HCE OS 1.1章节。 升级概述章节。 使用OSMT工具升级章节 附录章节。 对HCE OS进行安全更新章节。 修改 迁移操作,适配HCE OS 2.0能力,修改迁移操作。 冲突包列表,增加HCE OS、EulerOS冲突包列表。 使用dnf或yum命令升级,对内容适配,支持HCE OS 1.1版本的RPM升级。 2022-07-15 第一次正式发布。
  • 缓存刷新和缓存预热提示用户权限不足 如果您在进行缓存刷新和缓存预热操作时提示权限不足,可参照以下方法排查: 如果您使用的是 IAM 子账号登录,请先确认您的IAM子账号是否具有刷新预热的操作权限:CDN RefreshAndPreheatAccess。子账号的操作权限可向主账号管理员申请开通。 如果您的账号具有刷新预热的操作权限但仍提示用户权限不足,请查看您的 域名 是否已停用,账户欠费会导致您的域名停用,请检查账户余额。 父主题: 刷新预热
  • CDN受到恶意攻击会计费吗? 遭受攻击消耗的流量或带宽会按CDN的计费规则计费。 当域名遭受攻击影响到CDN其他用户或者CDN自身安全时,CDN封禁加速域名,最终域名状态调整为“停用”,停止 CDN加速 服务。域名停用后将无法正常访问,但域名配置信息仍会保留,待攻击停止后可联系客服申请解除封禁。 应对办法 应对办法 说明 配置访问控制 给域名配置访问控制功能(包括Referer防盗链、IP黑白名单、URL鉴权等),以避免产生不必要的流量带宽消耗。详细设置请参见访问控制。 配置CDN联动 CES 配置CDN联动CES功能,通过对接CES( 云监控服务 )实现实时查看账号下加速域名的基础数据(流量、带宽、状态码等)、设置告警等功能,当监控指标触发您设置的告警条件时,会以邮箱、短信等方式发送告警,方便您及时发现潜在的风险。 配置用量封顶 配置用量封顶功能,当用户的访问带宽达到设置的值后,CDN会停用您的加速域名,以免产生过高的账单。 配置请求限速 配置请求限速功能,当单个请求达到限速条件后终端用户的访问速度会被限制,一定程度上减少突发高带宽风险。 配置费用预警 开通费用预警功能,当账户可用额度低于一定金额时,系统会发送短信提醒。 为了确保统计数据的完整性和账单的准确性,CDN产品账单生成时间会存在延时,因此实际计费时间晚于对应的CDN资源消耗时间,无法通过账单来实时反馈资源消费情况,这是由于CDN产品自身的分布式节点特性导致,也是业界通用的处理方法。 父主题: 购买计费
  • 什么是配额? 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。CDN对用户添加的加速域名数量、URL刷新条数、目录刷新条数、URL预热条数做了如表1所示的限制。 表1 配额一览表 类别 描述 总配额 域名数 每个账号最多支持添加的加速域名数量。 100 URL刷新条数/天 每个账号每天最多支持的URL缓存刷新条数。 2000 目录刷新条数/天 每个账号每天最多支持的目录缓存刷新条数。 100 URL预热条数/天 每个账号每天最多支持的URL缓存预热条数。 1000 如果当前资源配额限制无法满足使用需要,您可以提交工单申请扩大配额。 父主题: 配额相关
  • 使用OBS私有桶做源站,创建授权委托失败 创建委托授权失败有可能是以下两种原因: IAM的授权委托配额已用完:您可以在配额管理页面确认是否还有IAM的授权委托配额,如果已使用完,请在IAM控制台将不需要的授权委托删除或者提交工单调整配额。 IAM子账户权限不足:请查看IAM子账号是否有Security Administrator权限,如果无此权限则无法创建授权委托,开通Security Administrator权限请参考给IAM用户授权。 父主题: 故障相关
  • 如何开通CDN服务? 如果您需要购买并使用CDN,请参考以下流程: 您需要 注册华为账号 ,完成实名认证(国际站用户加速范围为中国大陆境外的无需实名认证)。 开通CDN需要您账户有一定余额(余额超过999元),您可以去费用中心完成充值。 进入费用中心,单击“充值”,根据界面提示对账户信息进行充值。 如果您准备选流量计费方式,也可以根据界面提示购买CDN流量套餐包进行抵扣。 充值或者购买流量包后开通CDN服务,完成各项配置,即可使用CDN加速。 父主题: 使用咨询
  • 因欠费导致CDN服务不可用的情况排查 以下原因可能会导致您的账号因欠费而无法使用CDN服务: CDN按需计费,账户余额耗尽而欠费。 您使用了华为云其它服务,导致账户余额耗尽而欠费,此时如果您有需要扣除账户余额的CDN业务(按需计费无流量包、全站加速请求数计费等),也将因欠费而无法使用CDN。 欠费影响 当您的账户欠费后,华为云将根据您的客户等级来定义云服务资源保留期时长,更多欠费停服处理规则请参见保留期。 宽限期内CDN业务不会停止,但是不能新增加速域名。 应对措施 建议您设置余额预警,当账户余额小于一定额度时,CDN会通知您,详见如何设置余额预警阈值。 如果您购买了流量包,建议您开通流量包剩余使用量预警,当您的流量包余额到达预警阈值时,系统会发送短信、邮件提醒。 核销欠款 您可以在费用中心查看账户的欠费信息,并通过充值来核销欠款。 父主题: 购买计费
  • 应对办法 您可以参考表1中的建议合理设置相关防护和提醒功能,以减少突发高带宽带来的风险。 表1 应对办法 应对办法 说明 配置访问控制 给域名配置访问控制功能(包括Referer防盗链、IP黑白名单、URL鉴权等),以避免产生不必要的流量带宽消耗。详细设置请参见访问控制。 配置CDN联动CES 配置CDN联动CES功能,通过对接CES( 云监控 服务)实现实时查看账号下加速域名的基础数据(流量、带宽、状态码等)、设置告警等功能,当监控指标触发您设置的告警条件时,会以邮箱、短信等方式发送告警,方便您及时发现潜在的风险。 配置用量封顶 配置用量封顶功能,当用户的访问带宽达到设置的值后,CDN会停用您的加速域名,以免产生过高的账单。 配置请求限速 配置请求限速功能,当单个请求达到限速条件后终端用户的访问速度会被限制,一定程度上减少突发高带宽风险。 配置费用预警 开通费用预警功能,当账户可用额度低于一定金额时,系统会发送短信提醒。 为了确保统计数据的完整性和账单的准确性,CDN产品账单生成时间会存在延时,详见基础服务计费。因此实际计费时间晚于对应的CDN资源消耗时间,无法通过账单来实时反馈资源消费情况,这是由于CDN产品自身的分布式节点特性导致,也是业界通用的处理方法。
  • 开通CDN 在使用CDN加速前,您需要开通CDN服务,开通流程及需要注意的事项如下: 开通服务的条件 注册华为账号并完成实名认证。 购买流量包或充值开通: 购买流量包:您可以购买流量包开通CDN服务,也可单击这里获取免费流量包。 充值:您也可以通过账户充值(超过999元)开通CDN服务。 源站、域名接入CDN前提 源站:需要确保您的业务在上云前正常运行。 加速域名:CDN不支持接入违反相关法律法规的域名,如有违规,您将自行承担相关风险。如果发现有违规行为将封禁加速域名,因违规而封禁的加速域名将永久不能解禁,详见域名准入要求。 域名备案说明 加速域名是否需要备案与您选择的加速范围有关: 如果您选择全球,则需要到工信部备案。 如果您仅选择中国大陆,则需要到工信部备案。 如果您仅选择中国大陆境外,则无需到工信部备案。 说明: 不要求在华为云备案。 父主题: 使用CDN前
  • CDN 定价 当您开通CDN时,可以选择基础计费方式:流量计费或者带宽计费,具体计费标准请参见价格计算器。 流量计费 您可以选择通过按量计费,即按照每小时实际使用的流量进行计费。 您也可以购买价格更优惠的CDN流量包进行抵扣,购买流量包成功后,系统会一次性按照购买价格对账户余额进行扣费。 带宽计费 峰值带宽计费采用按量计费方式,即按照每日峰值带宽进行计费,带宽计费包含峰值带宽计费、月结95带宽峰值计费、日峰值月平均计费。 月结95带宽峰值、日峰值月平均计费方式仅支持CDN月消费金额大于10万或预期超过10万的用户,并且需要提交工单或拨打客服电话进行申请。 有关CDN计费的详细描述,请参考计费项。
  • CDN使用 快速了解CDN产品,帮您更好的使用CDN产品提供的功能。 参考文档 CDN使用 CDN基本概念 快速了解CDN的常用概念,帮助理解和使用CDN CDN成长地图 快速了解和使用CDN CDN API 快速了解通过调用API来实现对应的控制台操作 入门概述 快速了解如何接入CDN加速 域名管理 快速了解CDN的域名管理功能 域名配置 快速了解CDN的相关配置 缓存刷新和缓存预热 快速了解CDN的刷新预热功能
  • 修订记录 发布日期 修订记录 2024-01-24 第二十次正式发布。 本次更新说明如下: 更新节点地图。 2023-10-10 第十九次正式发布。 本次更新说明如下: 更新带宽输出能力为180Tbps。 2023-06-20 第十八次正式发布。 本次更新说明如下: 更新“使用限制”章节,新增部分限制说明。 2023-06-01 第十七次正式发布。 本次更新说明如下: 更新“节点分布”章节,新增克罗地亚、塞尔维亚、芬兰节点。 2022-12-02 第十六次正式发布。 本次更新说明如下: 更新“产品优势”章节。 2022-11-11 第十六次正式发布。 本次更新说明如下: 新增“安全”章节。 2022-10-26 第十五次正式发布。 本次更新说明如下: 修改“节点分布”章节,更新节点分布图。 2022-07-28 第十四次正式发布。 本次更新说明如下: 修改“节点分布”章节,新增部分节点。 2021-11-24 第十三次正式发布。 本次更新说明如下: 下线“计费说明”章节。 上线“性能指标”章节。 2021-07-14 第十二次正式发布。 本次更新说明如下: 移除“CDN加速OBS计费规则”、“计费常见问题”章节 2021-02-07 第十一次正式发布。 本次更新说明如下: 节点分布章节增加中国大陆境外分布表 2020-10-09 第十次正式发布。 本次更新说明如下: 优化“计费相关常见问题”章节。 优化“计费说明”章节。 修改“CDN权限管理”章节中的“系统策略”表格内容。 2020-04-10 第九次正式发布。 本次更新说明如下: 新增“计费说明”章节。 优化相关描述。 2019-09-26 第八次正式发布。 本次更新说明如下: 新增“使用限制”章节。 在“应用场景”中新增直播加速内容。 2019-05-08 第七次正式发布。 本次更新说明如下: 修改“产品概述”为“什么是CDN”。 优化“产品优势”章节细节描述。 “产品优势”中新增节点分布图 2019-03-14 第六次正式发布。 本次更新说明如下: 合并“如何访问CDN”和“用户权限”章节。 删除“定价”章节。 2019-02-28 第五次正式发布。 本次更新说明如下: 优化CDN加速原理图。 优化产品“产品概述”章节细节内容。 优化章节结构,新增“产品优势”章节。 优化“与其他云服务的关系”章节内容。 2018-11-30 第四次正式发布。 本次更新说明如下: “约束与限制”章节移至CDN用户指南。 2018-08-30 第三次正式发布。 本次更新说明如下: 更新第3章“与其他云服务的关系”内容。 2018-07-05 第二次正式发布。 本次更新说明如下: 更新第2章“产品概述”内容。 更新6.3章节“约束与限制”内容。 2018-03-30 第一次正式发布。
  • 与其他云服务的关系 表1 与其他云服务的关系 交互功能 相关服务 位置 将OBS桶作为CDN加速域名的源站。 对象存储服务 (Object Storage Service,OBS) CDN加速OBS桶文件方案概述 通过IAM服务实现以下功能: 用户管理及权限设置: 管理IAM用户和用户组 管理细粒度策略 管理委托 在IAM控制台进行委托授权,授权成功后CDN将有权限访问您账号下的OBS私有桶。 统一身份认证 服务(Identity and Access Management,IAM) 用户权限 OBS委托授权 通过 CTS 服务收集CDN资源操作记录,便于日后的查询、审计和回溯。 云审计 服务(Cloud Trace Service,CTS) 审计 可在企业管理服务创建相关CDN的企业项目来集中管理CDN域名资源。 企业管理服务(Enterprise Management) 企业项目
  • 配置步骤 登录防火墙设备的命令行配置界面。 查看防火墙版本信息。 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30) 创建ACL并绑定到对应的vpn-instance。 acl number 3065 vpn-instance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q 创建ike proposal。 ike proposal 64 dh group5 authentication-algorithm sha1 integrity-algorithm hmac-sha2-256 sa duration 3600 q 创建ike peer,并引用之前创建的ike proposal,其中对端IP地址是1.1.1.1。 ike peer vpnikepeer_64 pre-shared-key ******** (********为您输入的预共享密码) ike-proposal 64 undo version 2 remote-address vpn-instance vpn64 1.1.1.1 sa binding vpn-instance vpn64 q 创建IPsec协议。 IPsec proposal IPsecpro64 encapsulation-mode tunnel esp authentication-algorithm sha1 q 创建IPsec策略,并引用ike policy和IPsec proposal。 IPsec policy vpnIPsec64 1 isakmp security acl 3065 pfs dh-group5 ike-peer vpnikepeer_64 proposal IPsecpro64 local-address xx.xx.xx.xx q 将IPsec策略应用到相应的子接口上去。 interface GigabitEthernet0/0/2.64 IPsec policy vpnIPsec64 q 测试连通性。 在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示:
  • 操作流程 通过VPN实现数据中心和VPC互通的操作流程如图2所示。 图2 操作流程 表2 操作流程说明 序号 在哪里操作 步骤 说明 1 管理控制台 创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP,则此处可以直接绑定使用。 2 创建对端网关 添加AR路由器作为对端网关。 3 创建第一条VPN连接 VPN网关的主EIP和对端网关组建第一条VPN连接。 4 创建第二条VPN连接 VPN网关的主EIP2和对端网关组建第二条VPN连接。 第二条VPN连接的连接模式、预共享密钥、IKE/IPsec策略建议和第一条VPN连接配置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令,验证网络互通情况。
  • 数据规划 表1 规划数据 部件 参数项 AR路由器规划示例 云侧规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1(AR路由器上行公网网口GE0/0/8的接口IP) 主EIP:1.1.1.2 主EIP2:2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 IKE策略 版本:v2 认证算法:SHA2-256 加密算法:AES-128 DH算法:Group14 生命周期(秒):86400 本端标识:IP Address 对端标识:IP Address IPsec策略 认证算法:SHA2-256 加密算法:AES-128 PFS:DH group14 传输协议:ESP 生命周期(秒):3600
  • 拓扑连接 本场景拓扑连接及策略协商配置信息如图1所示。 云上VPC的VPN网关IP:11.11.11.11,本地子网:192.168.200.0/24。 客户主机NAT映射IP:22.22.22.22,本地子网:192.168.222.0/24。 云端E CS 与客户主机的本地IP地址分别为192.168.200.200和192.168.222.222。 VPN连接的协商参数使用华为云缺省配置。 图1 拓扑连接及策略协商配置信息
  • 拓扑连接 本场景拓扑连接及策略协商配置信息如图1所示, 云上VPC的VPN网关IP:11.11.11.11,本地子网:192.168.200.0/24。 客户主机NAT映射IP:22.22.22.22,本地子网:192.168.222.0/24。 云端ECS与客户主机的本地IP地址分别为192.168.200.200和192.168.222.222。 VPN连接的协商参数使用华为云缺省配置。 图1 拓扑连接及策略协商配置信息
  • 配置步骤 根据strongswan版本不同,相关配置可能存在差异。本实例以strongswan 5.7.2版本为例,详细介绍strongswan在Linux环境下的VPN配置。 安装IPsec VPN客户端。 yum install strongswan 安装交互过程选择“Y”,出现“Complete!”提示即完成安装,strongswan的配置文件集中放置在/etc/strongswan目录中,配置过程只需编辑IPsec.conf和IPsec.secrets文件即可。 开启IPv4转发。 vim /etc/sysctl.conf 在配置文件中增加如下内容: net.ipv4.ip_forward = 1 执行/sbin/sysctl -p命令,使转发配置参数生效。 iptables配置。 确认关闭firewall或允许数据流转发,查询命令:iptables -L iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 预共享密钥配置。 vim /etc/strongswan/IPsec.secrets # 编辑IPsec.secrets文件 22.22.22.22 11.11.11.11 : PSK "IPsec-key" 格式与openswan相同,冒号的两边都有空格,PSK只能为大写,密钥用英文双引号。 IPsec连接配置。 vim /etc/strongswan/IPsec.conf 在配置文件中增加如下内容: config setup conn strong_IPsec # 定义连接名称为strong_IPsec auto=route # 可选择add、route和start type=tunnel # 开启隧道模式 compress=no # 关闭压缩 leftauth=psk # 定义本地认证方式为PSK rightauth=psk # 定义远端认证方式为PSK ikelifetime=86400s # ike阶段生命周期 lifetime=3600s # 二阶段生命周期 keyexchange=ikev1 # ike密钥交换方式为版本1 ike=aes128-sha1-modp1536! # 按照对端配置定义ike阶段算法和group,modp1536=DH group 5 esp=aes128-sha1-modp1536! # 按照对端配置定义IPsec阶段算法和group,modp1536=DH group 5 leftid=22.22.22.22 # 本端标识ID left=192.168.222.222 # 本地IP,nat场景选择真实的主机地址 leftsubnet=192.168.222.0/24 # 本地子网 rightid=11.11.11.11 # 远端标识ID right=11.11.11.11 # 远端VPN网关IP rightsubnet=192.168.200.0/24 # 远端子网 华为云VPN使用的DH-group对应的比特位详细请参见华为云VPN使用的DH-group对应的比特位是多少?。 启动服务。 service strongswan stop # 关闭服务 service strongswan start # 启动服务 service strongswan restart # 重启服务 strongswan stop # 关闭连接 strongswan start # 开启连接 每次修改配置都需要重启服务,并重新开启连接。
  • 配置验证 通过strongswan statusall查询,可见连接启动时间。 Status of IKE charon daemon (strongSwan 5.7.2, Linux 3.10.0-957.5.1.el7.x86_64, x86_64): uptime: 5 minutes, since Apr 24 19:25:29 2019 malloc: sbrk 1720320, mmap 0, used 593088, free 1127232 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1 loaded plugins: charon pkcs11 tpm aesni aes des rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constra ints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp curve25519 chapoly x cbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity ea p-sim eap-aka eap-aka-3gpp eap-aka-3gpp2 eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap -peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp led duplicheck unity counters Listening IP addresses:192.168.222.222 Connections: strong_IPsec: 192.168.222.222...11.11.11.11 IKEv1 strong_IPsec: local: [22.22.22.22] uses pre-shared key authentication strong_IPsec: remote: [11.11.11.11] uses pre-shared key authentication strong_IPsec: child: 192.168.222.0/24 === 192.168.200.0/24 TUNNEL Routed Connections: strong_IPsec{1}: ROUTED, TUNNEL, reqid 1 strong_IPsec{1}: 192.168.222.0/24 === 192.168.200.0/24 Security Associations (0 up, 1 connecting): strong_IPsec[1]: CONNECTING, 192.168.222.222[%any]...11.11.11.11[%any] strong_IPsec[1]: IKEv1 SPIs: c3090f6512ec6b7d_i* 0000000000000000_r strong_IPsec[1]: Tasks queued: QUICK_MODE QUICK_MODE strong_IPsec[1]: Tasks active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CERT_POST ISAKMP_NATD 通过VPC1 ping安装有IPsec客户端的VPC2的主机: ping 192.168.222.222 PING 192.168.222.222 (192.168.222.222) 56(84) bytes of data. 64 bytes from 192.168.222.222: icmp_seq=1 ttl=62 time=3.07 ms 64 bytes from 192.168.222.222: icmp_seq=2 ttl=62 time=3.06 ms 64 bytes from 192.168.222.222: icmp_seq=3 ttl=62 time=3.98 ms 64 bytes from 192.168.222.222: icmp_seq=4 ttl=62 time=3.04 ms 64 bytes from 192.168.222.222: icmp_seq=5 ttl=62 time=3.11 ms 64 bytes from 192.168.222.222: icmp_seq=6 ttl=62 time=3.71 ms
  • 命令行配置 物理接口配置 config system interface edit "port1" set vdom "root" set ip 11.11.11.11 255.255.255.0 set type physical next edit "IPsec" //隧道接口配置信息 set vdom "root" set type tunnel set interface "port1" //隧道绑定的物理接口 next end 接口划分区域配置 config system zone edit "trust" set intrazone allow set interface "A1" next edit "untrust" set intrazone allow set interface "port1 " next end 地址对象配置 config firewall address edit "hw-172.16.0.0/24" set uuid f612b4bc-5487-51e9-e755-08456712a7a0 set subnet 172.16.0.0 255.255.255.0 //云端地址网段 next edit "local-10.10.0.0/16" set uuid 9f268868-5489-45e9-d409-5abc9a946c0c set subnet 10.10.0.0 255.255.0.0 //本地地址网段 next IPsec配置 config vpn IPsec phase1-interface //一阶段配置 edit "IPsec" set interface "port1" set nattraversal disable set proposal aes128-sha1 set comments "IPsec" set dhgrp 5 set remote-gw 22.22.22.22 set psksecret ENC dmFyLzF4tRrIjV3T+lSzhQeU2nGEoYKC31NaYRWFJl8krlwNmZX5SfwUi5W5RLJqFu82VYKYsXp5+HZJ13VYY8O2Sn/vruzdLxqu84zbHEIQkTlf5n/63KEru1rRoNiHDTWfh3A3ep3fKJmxf43pQ7OD64t151ol06FMjUBLHgJ1ep9d32Q0F3f3oUxfDQs21Bi9RA== next end config vpn IPsec phase2-interface //二阶段配置 edit "IP-TEST" set phase1name "IPsec " set proposal aes128-sha1 set dhgrp 5 set keylifeseconds 3600 set src-subnet 10.10.0.0 255.255.0.0 set dst-subnet 172.16.0.0 255.255.255.0 next end 访问策略配置 config firewall policy edit 15 //策略编号15,流入至内网策略,未启用NAT set uuid 4f452870-ddb2-51e5-35c9-38a987ebdb6c set srcintf "IPsec" set dstintf "trust" set srcaddr "hw-172.16.0.0/24" set dstaddr "local-10.10.0.0/16" set action accept set schedule "always" set service "ALL" set logtraffic all next edit 29 //策略编号29,流出至云端策略,未启用NAT set uuid c2d0ec77-5254-51e9-80dc-2813ccf51463 set srcintf "trust" set dstintf "IPsec" set srcaddr "local-10.10.0.0/16" set dstaddr "hw-172.16.0.0/24" set action accept set schedule "always" set service "ALL" set logtraffic all next 路由配置 config router static edit 24 //路由编号24,访问云端静态路由 set dst 172.16.0.0 255.255.255.0 set gateway 11.11.11.1 set distance 10 set device "port1" config router policy edit 2 //策略路由编号2,云下访问云端策略路由 set input-device "A1" set src "10.10.00/255.255.0.0" set dst "172.16.0.0/255.255.255.0" set gateway 11.11.11.1 set output-device "port1"
  • 拓扑连接 如图1所示,用户数据中心存在多个互联网出口,当前指定11.11.11.11的物理接口和华为云的VPC建立VPN连接,本地子网网段为10.10.0.0/16,华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为22.22.22.22,现通过创建VPN连接方式来连通本地网络到VPC子网。 图1 多出口客户网络通过VPN接入VPC连接拓扑 华为云端的VPN连接资源策略配置按照缺省信息配置,详见图2。 图2 策略配置
  • 操作步骤 登录防火墙设备的命令行配置界面。 不同防火墙型号及版本命令可能存在差异,配置时请以对应版本的产品文档为准。 配置基本信息。 配置防火墙接口的IP地址。 interface GigabitEthernet1/0/1 //配置防火墙的公网IP地址。 ip address 1.1.1.1 255.255.255.0 interface GigabitEthernet1/0/2 //配置防火墙的私网IP地址。 ip address 172.16.0.233 255.255.255.0 将接口划入对应zone。 firewall zone untrust add interface GigabitEthernet1/0/1 firewall zone trust add interface GigabitEthernet1/0/2 配置TCP MSS大小。 firewall tcp-mss 1300 配置协商策略。 ike proposal /100/ //配置防火墙公网IP地址和VPN网关主EIP的IKE策略相关配置 authentication-algorithm SHA2-256 //请和表3配置的IKE策略认证算法保持一致 encryption-algorithm AES-128 //请和表3配置的IKE策略加密算法保持一致 authentication-method pre-share integrity-algorithm HMAC-SHA2-256 prf HMAC-SHA2-256 dh group15 //请和表3配置的IKE策略DH算法保持一致 sa duration 86400 //请和表3配置的IKE策略生命周期保持一致 ike peer /hwcloud_peer33/ undo version 2 //请和表3配置的IKE策略IKE版本保持一致 pre-shared-key XXXXXXX //请和表3配置的预共享密钥保持一致 ike-proposal /100/ remote-address 1.1.1.2 //请和VPN网关的主EIP保持一致 IPsec proposal /IPsec-hwcloud100/ //配置防火墙公网IP地址和VPN网关主EIP的IPsec策略相关配置 transform esp encapsulation-mode tunnel esp authentication-algorithm SHA2-256 //请和表3配置的IPsec策略认证算法保持一致 esp encryption-algorithm aes-128 //请和表3配置的IPsec策略加密算法保持一致 ike proposal /200/ //配置防火墙公网IP地址和VPN网关备EIP的相关配置,配置规则同上 authentication-algorithm SHA2-256 encryption-algorithm AES-128 authentication-method pre-share integrity-algorithm HMAC-SHA2-256 prf HMAC-SHA2-256 dh group15 sa duration 86400 ike peer /hwcloud_peer44/ undo version 2 pre-shared-key XXXXXXX ike-proposal /200/ remote-address 2.2.2.2 //请和VPN网关的备EIP保持一致 IPsec proposal /IPsec-hwcloud200/ transform esp encapsulation-mode tunnel esp authentication-algorithm SHA2-256 esp encryption-algorithm aes-128 配置隧道连接。 IPsec profile /HW-IPsec100/ //配置防火墙公网IP地址对应的路由策略 ike-peer hwcloud_peer33/ proposal /IPsec-hwcloud100/ //配置防火墙公网IP地址的路由模式隧道接口 pfs dh-group15 //请和表3配置的IPsec策略PFS保持一致 sa duration time-based 3600 //请和表3配置的IPsec策略生命周期保持一致 interface /Tunnel100/ ip address 169.254.70.1 255.255.255.252 //配置为防火墙的隧道接口1 IP地址 tunnel-protocol IPsec source 1.1.1.1 //配置为防火墙的公网IP地址 destination 1.1.1.2 //配置为VPN网关的主EIP service-manage ping permit IPsec profile /HW-IPsec100/ firewall zone untrust add interface /Tunnel100/ interface /Tunnel200/ ip address 169.254.71.1 255.255.255.252 //配置为防火墙的隧道接口2 IP地址 tunnel-protocol IPsec source 1.1.1.1 //配置为防火墙的公网IP地址 destination 2.2.2.2 //配置为VPN网关的备EIP service-manage ping permit IPsec profile /HW-IPsec200/ firewall zone untrust add interface /Tunnel200/ 配置路由信息。 配置华为云公网IP的静态路由。 ip route-static 1.1.1.2 255.255.255.255 1.1.1.1 //VPN网关主EIP+空格+255.255.255.255+空格+防火墙公网IP地址 ip route-static 2.2.2.2 255.255.255.255 1.1.1.1 //VPN网关备EIP+空格+255.255.255.255+空格+防火墙公网IP地址 配置私网静态路由。 ip route-static 192.168.0.0 255.255.255.0 /Tunnel100/ 1.1.1.2 ip route-static 192.168.0.0 255.255.255.0 /Tunnel200/ 2.2.2.2 格式为ip route-static VPC子网1+空格+子网掩码+空格+/Tunnel100/+VPN主EIP。 其中,Tunnel100需要和配置隧道连接配置的编号保持一致,且对应隧道编号中destination的值需要和配置的EIP保持一致。 如果存在多个VPC子网,则每个EIP均需要配置多条路由。 配置安全策略。 ip address-set /localsubnet192/ type object //定义地址对象 address 0 172.16.0.0 mask 24 //配置用户数据中心的子网信息 ip address-set /HWCsubnet172/ type object address 0 192.168.0.0 mask 24 //配置华为云VPC的子网信息 security-policy rule name /IPsec_permit1/ source-zone untrust source-zone internet source-zone local destination-zone untrust destination-zone internet destination-zone local service ah esp service protocol udp destination-port 500 4500 action permit rule name /IPsec_permit2/ source-zone untrust source-zone internet source-zone trust destination-zone untrust destination-zone internet destination-zone trust source-address address-set /localsubnet192/ source-address address-set /HWCsubnet172/ destination-address address-set /localsubnet192/ destination-address address-set /HWCsubnet172/ action permit nat-policy rule name IPsec_subnet_bypass source-zone trust destination-zone untrust destination-zone internet source-address address-set /localsubnet192/ destination-address address-set /HWCsubnet172/ action no-nat
  • 步骤2:新建数据源 本示例以DWS数据源接入为例。其他数据源连接方式请参考用户指南“新建数据源”章节。 进入新建的项目,按下图指引完成数据源的链接,单击“新建数据源”。 图2 新建数据源 源库类型:选择数据源作为数据分析的数据输入。 DataArts Insight支持连接ClickHouse、 GaussDB (DWS),同时也支持API数据源接入。 本例选择GaussDB(DWS)数据源,使用VPC方式接入。 表2 参数说明 参数名称 是否必填 说明 源库类型 是 接入的数据源类型,本示例为GaussDB(DWS)。 接入网络类型 是 GaussDB(DWS)方式接入。 所属地域 是 GaussDB(DWS)服务主机所在的局点。 开启跨账号授权 否 跨账户授权需填写授权信息,获取账号下实例资源,再填写下面的配置项。 授权租户ID 否 授权账号的ID。 授权项目ID 否 授权账号中项目ID。 授权委托名 否 创建的委托名称。 获取实例 - 填写授权租户ID、授权项目ID、授权委托名等参数后,单击获取实例。 名称 是 数据源配置列表的显示名称,用户自定义。 说明: 名称长度不能超过32个字符,不少于2个字符,只能由字母、数字和下划线(_)组成,且只能以字母开头。 描述 否 对连接数据源的描述。 实例 是 GaussDB(DWS)服务对应的角色实例。 服务器列表 是 GaussDB(DWS)服务器列表。 说明: 如果集群绑定elb,服务器列表默认填充elb地址,如果未绑定elb,默认填充第一个节点ip:port。 数据库 是 登录的数据库名称。 用户名 是 登录云数据库的用户名。 密码 是 登录数据库的密码。 SASL_SSL 是 实现数据源和DataArts Insight之间的可信身份认证与安全数据传输。 完成配置项填写单击“连接测试”。 测试连接成功后,单击“确定”完成数据连接。
  • 步骤1:新建项目空间 登录DataArts Insight管理控制台。 新建项目空间。 单击页面右侧的“新建项目”创建项目空间。 在新增项目页面输入项目名称、选择可见成员类型、成员、填写描述信息。 单击“确认”完成项目创建。 项目名称只能由中英文字、数字、以及下划线(_)、斜线(/)、反斜线(\)、竖线(|)、小括号(())、中括号([])组成。 项目名称字符长度不超过50个字符。 描述信息的长度不超过512个字符。 创建项目时,除创建者外选择的成员才对该项目可见。 创建项目成功后也可在我的项目-成员信息中增加可见成员。
  • 步骤4:新建仪表板 在步骤3:新建数据集保存完数据集后,页面给出了创建仪表板的按钮。单击“新建仪表板”。 新建可视化图表,本示例以折线图为例。其他可视化图表的创建请参考用户指南可视化控件。 在字段编辑区域,选择数据的“维度”和“度量” 例如查看不同商品类别购买的用户数。您可以按需调整图表类型和数据度量以绘制不同类型的图表。 图3 制作折线图 单击“更新”之后就可以得到需要的图表内容。 图4 不同商品类别购买的用户数 您可以按需调整图表类型和数据度量以绘制不同类型的图表。例如查看不同商品购买的用户数和消费用户的平均年龄段。 图5 不同商品购买的用户数和消费用户的平均年龄段 单击右侧的“保存”保存智能报表。 输入仪表板的名称,单击“确定”保存成功。 也可通过单击“保存并发布”,保存并发布仪表板。发布后支持查看仪表板。
  • 数据说明 为保护用户的隐私和数据安全,所有数据均已进行了采样和脱敏。 表1 商品销售数据示例 字段名称 字段类型 字段说明 取值范围 user_id int 用户ID 脱敏 age int 年龄段 -1表示未知 gender int 性别 0表示男 1表示女 2表示保密 rank Int 用户等级 有顺序的级别枚举,越高级别数字越大 register_time string 用户注册日期 单位:天 product_id int 商品编号 脱敏 a1 int 属性1 枚举,-1表示未知 a2 int 属性2 枚举,-1表示未知 a3 int 属性3 枚举,-1表示未知 category int 品类ID 脱敏 brand int 品牌ID 脱敏 time string 行为时间 - model_id string 模块编号 脱敏 type string 浏览(指浏览商品详情页) 加入购物车 购物车删除 下单 关注 点击 -
  • 数据说明 为保护用户的隐私和数据安全,所有数据均已进行了采样和脱敏。 本例使用某类商品销售数据为例,通过自助式分析商品销售情况,搭建仪表板。 本例共计三个数据表: 用户数据表:Idata_user_info 订单表:Idata_order_info 商品信息表:Idata_product_info 表1 商品销售数据示例 表名称 字段名称 字段类型 字段说明 Idata_user_info user_id int 用户ID age int 年龄段 gender int 性别 region string 区域 education_status string 教育程度 Idata_order_info sale_price int 销售价格 profit int 利润 pay_time int 支付时间 create_time int 订单创建时间 user_id int 用户ID product_id int 商品ID Idata_product_info product_id int 商品ID product_name string 商品名称 product_type string 商品类型 product_color string 商品颜色 product_price string 商品价格
  • 获取redis-cli和redis-benchmark 创建弹性云服务器(ECS),根据不同的操作系统直接安装Redis-server,下面以ubuntu和CentOS系统为例: 直接编译安装Redis或者使用yum,apt安装Redis-server,安装Redis-Server的同时,会同步安装benchmark。 ubuntu系统 sudo apt update sudo apt install redis-server CentOS系统 sudo yum install epel-release sudo yum update sudo yum -y install redis 也可以直接下载安装包,进行解压和编译,以下载redis-6.0.9版本为例: 下载redis-6.0.9客户端。 wget http://download.redis.io/releases/redis-6.0.9.tar.gz 解压客户端压缩包。 tar xzf redis-6.0.9.tar.gz 进入redis-6.0.9的src目录下。 cd redis-6.0.9/src 编译源码。 make 编译完成后,工具一般在redis-x.x.x的src目录下。
  • redis-cli常用命令举例 连接实例: ./redis-cli -h {IP} -p 6379 指定连接某个DB: ./redis-cli -h {IP} -p 6379 -n 10 连接cluster集群实例: ./redis-cli -h {IP} -p 6379 -c 测试时延(原理是发ping命令): ./redis-cli -h {IP} -p 6379 --latency 执行scan扫描匹配指定模式的key: ./redis-cli -h {IP} -p 6379 --scan --pattern '*:12345*'
共100000条