华为云用户手册

  • 资源和成本规划 该解决方案主要部署如下资源,不同产品的花费仅供参考,具体请参考华为云官网价格,实际以收费账单为准: 表1 资源和成本规划(包年包月) 华为云服务 配置示例 每月预估花费 弹性云服务器 E CS 区域:华北-北京四 计费模式:包年包月 规格:X86计算 | ECS | c6.4xlarge.2 | 16vCPUs | 32GiB 镜像:CentOS 7.9 64bit 系统盘:通用SSD | 40GB 数据盘:通用SSD | 100GB 购买量:1 1621.6元 弹性云服务器 ECS 区域:华北-北京四 计费模式:包年包月 规格:X86计算 | ECS | c6.xlarge.2 | 4vCPUs | 8GiB 镜像:CentOS 7.9 64bit 系统盘:超高I/O | 100GB 购买量:1 517.2元 弹性公网IP EIP 区域:华北-北京四 计费模式:包年包月 线路:动态BGP 计费方式:按带宽计费 带宽大小:5Mbit/s 购买时长:1个月 购买量:1 115元 合计 2253.8元 表2 license订阅费用 华为云服务 配置示例 预估花费 zCloud混合数据库云管平台License 购买方式:按月 规格:高级版 30,300.00元/月 购买方式:按年 规格:高级版 308,800.00元/年
  • 快速部署 本章节主要帮助用户快速部署该解决方案。 表1 参数填写说明 参数名称 类型 是否必填 参数解释 默认值 vpc_name String 必填 虚拟私有云名称,该模板新建VPC,不支持重名。取值范围:1-54个字符,支持字母、数字、中文、下划线(_)、中划线(-)、英文句号(.)。 high-availability-docker-swarm-cluster-demo secgroup_name String 必填 安全组名称。取值范围:1-64个字符,支持字母、数字、中文、下划线(_)、中划线(-)、英文句号(.)。 high-availability-docker-swarm-cluster-demo ecs_name String 必填 弹性云服务器名称,不允许重名。命名方式为{ecs_name}-manager[01-03]、{ecs_name}-worker[01-02]。取值范围:1~54个字符,支持小写字母、数字、中划线(-)。 high-availability-docker-swarm-cluster-demo ecs_flavor String 必填 弹性云服务器规格名称,具体请参考官网弹性云服务器规格清单。 c6.large.2 ecs_password String 必填 云服务器密码,长度为8-26位,密码至少必须包含大写字母、小写字母、数字和特殊字符(!@$%^-_=+[{}]:,./?)中的三种,仅支持小写字母、数字、中划线(-)、英文句号(.)。 空 system_disk_size String 必填 系统盘大小,以GB为单位,取值范围为40~1,024,不支持缩盘。 40 data_disk_size String 必填 数据盘大小,以GB为单位,取值范围从 10 到 32,768。 100 charging_mode String 必填 计费模式,默认自动扣费,取值为prePaid(包年包月)或postPaid(按需计费)。 postPaid charging_unit String 选填 有效值为“year”或“month”。当charging_mode(计费模式)为prePaid时,此选项为必填项。 month charging_period number 选填 包年包月时长,当charging_unit取值为“year”,取值范围为1~3;当charging_unit取值为“month”,取值范围为1~9。当charging_mode(计费模式)为prePaid时,此选项为选填项。 1 eip_bandwidth_size number 必填 弹性公网IP带宽大小,该模板采用按带宽计费。取值范围为1-2,000Mbit/s。 5 登录华为云解决方案实践,选择“快速部署高可用Docker Swarm集群”解决方案,数据中心下拉菜单可以选择需要部署的区域,单击“一键部署”,跳转至解决方案创建资源栈界面。 图1 解决方案实施库 在选择模板界面中,单击“下一步”。 图2 选择模板 在配置参数界面中,根据表1配置参数信息,单击“下一步”。 图3 配置参数 在资源设置界面中,“权限委托”下拉框中选择“rf_admin_trust”委托,单击“下一步”。 图4 资源栈设置 在配置确认页面中,单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中,自定义填写执行计划名称,单击“确认”。 图6 创建执行计划 单击“部署”,并且在弹出的执行计划确认框中单击“执行” 图7 执行计划 图8 执行计划确认 (可选)如果计费模式选择“包年包月”,在余额不充足的情况下(所需总费用请参考表1)请及时登录费用中心,手动完成待支付订单的费用支付。 等待解决方案自动部署。部署成功后,回显结果如下: 图9 资源创建成功 单击“输出”,查看虚拟IP及相关信息。 图10 输出信息 父主题: 实施步骤
  • docker集群验证 登录ECS弹性云服务器控制平台,选择{ecs_name}-manager01主管理节点的弹性云服务器,单击远程登录,或者使用其他的远程登录工具进入Linux弹性云服务器。 图1 登录 ECS云服务器 控制平台 图2 登录Linux弹性云服务器 在Linux弹性云服务中输入账号和密码后回车。 图3 登录ECS弹性云服务器 查询集群节点状态信息。 输入:docker node ls 图4 查看集群节点状态信息 部署Nginx进行应用测试。 创建Nginx服务 搜索镜像 :docker search nginx 图5 搜索镜像 下载镜像 :docker pull nginx 图6 下载镜像 查看镜像:docker images 图7 查看镜像 使用service命令启动Nginx:docker service create -p 8888:80 --name xybdiy-nginx nginx 图8 启动Nginx 动态扩缩容,实现高可用。 扩容两个服务 docker service update --replicas 2 xybdiy-nginx 或者docker service scale xybdiy-nginx=2 docker service ls 图9 查看启动容器 查看容器信息 docker service ps xybdiy-nginx 图10 查看启动容器信息 获取这两台节点机器的公网ip 图11 获取公网ip 通过公网ip访问Nginx服务:http://公网ip:8888 图12 访问Nginx
  • 创建rf_admin_trust委托 进入华为云官网,打开控制台管理界面,鼠标移动至个人账号处,打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单,搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在,则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中右上角的“创建委托”按钮,在委托名称中输入“rf_admin_trust”,选择“普通账号”,委托的账号,输入“op_svc_IAC”,单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限,并勾选搜索结果。 图5 选择策略 选择“所有资源”,并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表
  • 快速部署 本章节主要帮助用户快速部署“防勒索病毒解决方案”。 登录华为云解决方案实践,选择“防勒索病毒解决方案”模板,单击“一键部署”,跳转至解决方案一键部署界面。 图1 解决方案实施 在推荐套餐一栏中,选择放勒索方案,下滑进行参数配置。 图2 选择套餐 在套餐商品配置一栏中, 企业主机安全 HSS、 Web应用防火墙 需要审视是否需要额外配置 域名 拓展包以及宽带拓展包。配置完成后,单击下一步。 图3 参数配置 在详情界面中,勾选协议,单击“去支付”并确认订单后,即可完成资源创建。 图4 高级配置 父主题: 实施步骤
  • 应用场景 勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密,用户将无法读取资产中的文件,仅能通过向黑客缴纳高昂的赎金,换取对应的解密私钥才能将被加密的文件无损的还原,会对企业业务造成直接的经济损失。该解决方案能帮您为华为云上部署的服务器提供事前安全加固、事中主动防御、事后备份恢复的防勒索病毒方案,抵御勒索软件入侵,营造主机资产安全运行环境。
  • 方案架构 该解决方案支持一键式部署web应用防火墙、主机安全服务,帮助客户快速构建主机资产安全运行环境,抵御勒索软件入侵。解决方案架构如下: 图1 方案架构图 该解决方案会部署如下资源: 在应用系统所在的服务器ECS部署主机安全防护Agent。 部署Web应用防火墙,用于Web流量进行多维度检测和安全防护。 部署企业主机安全,用来提升主机整体安全性,提供资产管理、漏洞管理、入侵检测、基线检查等功能,帮助企业降低主机安全风险。 此外,您可以通过使用 云监控服务 来监测弹性云服务器运行状态,使用 消息通知 服务( SMN )发送监控告警;通过购买云备份服务,对弹性云服务器进行数据备份,以便出现云服务器勒索行为对业务数据进行恢复。
  • 创建rf_admin_trust委托 进入华为云官网,打开控制台管理界面,鼠标移动至个人账号处,打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单,搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在,则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中右上角的“创建委托”按钮,在委托名称中输入“rf_admin_trust”,选择“普通账号”,委托的账号,输入“op_svc_IAC”,单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限,并勾选搜索结果。 图5 选择策略 选择“所有资源”,并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表
  • 安全校验 紫鸟纯净浏览器的安全校验功能,包括IP安全校验、设备校验、环境一致性校验。 IP校验:用户首先完成在紫鸟纯净浏览器登录账号,此时将自动帮助用户进行安全校验;在安全校验第一步:IP安全校验,会先检测设备的IP是否曾经被其他人使用过,如果是,将会提醒用户。用户如果想要避免因IP被其他人使用过所带来的店铺关联风险,可以对此云服务器进行更改IP。 图38 IP校验 设备校验:紫鸟纯净浏览器在安全校验第二步,将会校验账号本次登录的设备是否发生变化。如果发生变化,会提醒用户根据实际店铺的运营情况,还原恢复设备环境 图39 设备校验 环境一致性校验:安全校验第三步,校验环境的一致性,如果发现本次登录的设备的IP与上次不同,会提醒用户: 图40 环境校验 三个步骤下未检测出风险时如下图所示: 图41 风险校验
  • 成员管理 以下介绍添加单个成员、导入批量成员、部门管理、编辑成员、修改成员授权店铺、修改成员密码、调整部门、交接成员店铺、禁用/启用成员、删除成员、更新成员数据。 新建成员:进入云服务器,在紫鸟纯净浏览器中登录Boss账号或经理账号;进入管理系统-成员管理;在成员管理页面中,单击【添加成员】-【单个添加】,弹出添加成员窗口; 图18 添加单个成员 在添加成员窗口中,对成员信息编辑完成必填项; 图19 成员信息 可以进一步在添加成员窗口中,对该成员授权已有本机设备; 图20 授权店铺 完成以上编辑后,单击【确定添加】,完成新建成员和该成员授权店铺。 编辑成员信息:在成员管理页面中,找到需要编辑的成员,单击【编辑】,弹出编辑成员窗口; 图21 编辑成员 在编辑成员窗口中,对需要修改的信息完成修改。 图22 修改成员信息 完成修改后,单击【确定修改】,成员信息修改成功。 管理部门:在成员管理页面中,单击【部门管理】,弹出部门管理窗口; 图23 部门管理 添加部门:单击【添加部门】,弹出添加部门窗口,在此窗口中,编辑部门名称,和选择此部门的上级部门,单击【确认】,完成添加新部门; 图24 添加部门 修改部门:在部门管理窗口,找到需要修改的部门,单击【编辑】,弹出编辑部门窗口,在此窗口中,对需要修改的信息完成修改后,单击【确认】,完成部门信息的修改; 图25 修改部门 图26 编辑部门 调整部门顺序:在部门管理窗口,找到需要修改顺序的部门,单击【上移】【下移】,完成部门顺序的移动; 图27 调整部门顺序 转移部门成员:在部门管理窗口,找到需要转移成员的部门,单击【转移成员】,弹出转移成员窗口,在转移成员窗口中,选择成员需要转移的目标部门,单击【确认】,完成该部门下所有成员转移至目标部门; 图28 转移部门成员 图29 转移成员 删除单个部门:在部门管理窗口,找到需要删除的部门,单击【删除】,在删除部门确认窗口中,单击【确定删除】,完成该部门的删除操作( 注:删除部门前需要将该部门下的所有成员转移才可以进行删除操作); 图30 删除部门 批量删除部门:在部门管理窗口,勾选出需要删除的部门,单击【删除】,在删除部门确认窗口中,单击【确定删除】,完成勾选部门的删除操作。 图31 批量删除部门 对成员进行交接店铺:在成员管理页面中,找到需要交接出店铺的成员,单击【更多】-【交接店铺】,弹出交接店铺窗口; 图32 交接店铺 在交接店铺窗口中,单击【添加成员】,弹出选择人员窗口,在选择人员窗口中选择需要将店铺交接的目标成员; 图33 添加成员 图34 选择人员 在交接店铺窗口中,勾选需要交接出的店铺,单击【确定交接】,完成交接店铺操作。 图35 交接店铺 修改成员授权店铺:在成员管理页面中,找到需要修改授权的成员,单击【授权】,弹出授权店铺窗口; 图36 授权店铺 在授权店铺窗口中,勾选要授权给该成员的店铺,单击【确定授权】完成授权店铺修改。 图37 勾选授权店铺
  • 安全组规则修改(可选) 该解决方案默认只创建ping安全组规则,用户需在登录弹性云服务器前添加入方向规则。比如登录Windows弹性云服务器,指定登录端口为3389,并添加白名单IP。 安全组实际是网络流量访问策略,包括网络流量入方向规则和出方向规则,通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求,比如需要添加、修改、删除某个TCP端口,请参考以下内容进行修改。 添加安全组规则:根据业务使用需求需要开放某个TCP端口,请参考添加安全组规则添加入方向规则,打开指定的TCP端口。 修改安全组规则:安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则,来修改安全组中不合理的规则,保证云服务器等实例的网络安全。 删除安全组规则:当安全组规则入方向、出方向源地址/目的地址有变化时,或者不需要开放某个端口时,您可以参考删除安全组规则进行安全组规则删除。
  • 资源和成本规划 该解决方案主要部署如下资源,每月花费如下所示,具体请参考华为云官网价格详情,实际收费以账单为准: 表1 资源和成本规划(包年包月) 华为云服务 配置示例 每月花费 威胁检测服务 MTD 区域:华北-北京四 计费模式:包年包月 规格:基础包 购买量:1 5300.00 元 云防火墙 CFW 区域:华北-北京四 计费模式:包年包月 规格:标准版 购买量:1 2800.00 元 Web应用防火墙WAF 区域:华北-北京四 计费模式:包年包月 规格:标准版 购买量:1 3880.00 元 企业主机安全HSS 区域:华北-北京四 计费模式:包年包月 规格:旗舰版 购买量:1 200.00 元 数据库安全审计DBSS 区域:华北-北京四 计费模式:包年包月 规格:基础版 购买量:1 3000.00 元 态势感知 SA 区域:华北-北京四 计费模式:包年包月 规格:专业版 购买量:1 150.00 元 云堡垒机 CBH 区域:华北-北京四 计费模式:包年包月 规格:50资产等保专享 购买量:1 1900.00 元 SSL证书SCM 区域:华北-北京四 计费模式:包年 规格:GeoTrust OV 单域名证书 购买量:1 192.15 元 漏洞扫描服务 VSS 区域:华北-北京四 计费模式:包年包月 规格:专业版 购买量:1 300.00 元 合计 - 17722.15元
  • 快速部署 本章节主要帮助用户快速部署等保三级解决方案。 登录华为云解决方案实践,选择“等保三级解决方案”模板,单击“一键部署”,跳转至解决方案一键部署界面。 图1 解决方案实施 在推荐套餐一栏中,选择等保三级方案基础版,下滑进行参数配置。 图2 选择套餐 在套餐商品配置一栏中,企业主机安全 HSS、态势感知 SA,会根据账号使用情况进行计算配置数量,其它服务需要审视需要防护的资源规格,例如云防火墙需要配置防护公网IP数量。配置完成后,单击下一步: 图3 参数配置 在详情界面中,勾选协议,单击“去支付”并确认订单后,即可完成资源创建。 图4 高级配置 父主题: 实施步骤
  • 资源和成本规划 该解决方案主要部署如下资源,不同产品的花费仅供参考,具体请参考华为云官网价格,实际以收费账单为准: 表1 资源和成本规划(按需计费) 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 按需计费:0.41元/小时 区域:华北-北京四 计费模式:按需计费 规格:X86计算 | ECS | s6.large.2 | 2vCPUs | 4GiB 镜像:CentOS 7.6 64bit 系统盘:高IO | 100GB 购买量:2 0.41 * 24 * 30 * 2 = 590.4元 弹性公网IP EIP 按需计费:0.34元/MBit/s/小时 区域:华北-北京四 计费模式:按需计费 线路:动态BGP 公网带宽:按带宽计费 带宽大小:5Mbit/s 购买量:3(配置完成后可手动释放2个,将不再计费) 0.34 * 24 * 30 *3 = 734.4元 合计 - 1324.8元 表2 资源和成本规划(包年包月) 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 区域:华北-北京四 计费模式:包年包月 规格:X86计算 | ECS | s6.large.2 | 2vCPUs | 4GiB 镜像:CentOS 7.6 64bit 系统盘:高IO | 100GB 购买量:2 187.2 * 2 = 374.4元 弹性公网IP EIP 区域:华北-北京四 计费模式:包年包月 线路:动态BGP 公网带宽:按带宽计费 带宽大小:5Mbit/s 购买量:3(配置完成后可手动释放2个,将返还部分费用) 115 *3 = 345元 合计 - 719.4元
  • 快速部署 本章节主要帮助用户快速部署该解决方案。 表1 参数填写说明 参数名称 类型 是否必填 参数解释 默认值 subnet_id String 必填 子网ID,该模板使用已有子网,请选择后端业务服务器所在 虚拟私有云VPC 内子网,查询并获取子网ID请参考3.1准备工作步骤1。 空 security_group_id String 必填 安全组ID,该模板使用已有安全组,建议选择后端业务服务器相同安全组,查询并获取安区组ID请参考3.1准备工作步骤2。 空 ecs_name String 必填 负载均衡主、备云服务器前缀,服务器命名方式为{ecs_name}-matser,{ecs_name}-backup,不支持重名。取值范围:1-54个字符组成,包括字母、数字、下划线 (_)、连字符 (-) 和句点 (.)。 highly-available-seven-layer-load-balancer-demo ecs_flavor String 必填 负载均衡主、备云服务器规格,具体请参考官网弹性云服务器规格清单。 s6.large.2(s6|2vCPUs|4GiB) ecs_password String 必填 负载均衡主、备云服务器初始化密码,创建完成后请参考3.3开始使用步骤1重置密码。取值范围:长度为8-26位,密码至少包含大写字母、小写字母、数字和特殊字符($!@%-_=+[]:./^,{}?)中的三种,密码不能包含用户名或用户名的逆序。管理员账户为root。 空 bandwidth_size Number 必填 带宽大小,该模板计费方式为按带宽计费。取值范围:1-2,000Mbit/s。 5Mbit/s ip_port_list String 必填 用户后端业务服务器的私有IP地址及Web服务访问端口,格式为:IP1:端口1,IP2:端口2,所有符号均为英文半角符号。例如:192.168.0.1:8080,192.168.0.2:8081,192.168.0.3:8083(在浏览器中访问该环境时,请选择后端端口对应的HTTP协议或者HTTPS协议访问)。 空 ssl_certificate String 必填 用户已有SSL证书(公钥)文件名称,包含后缀名。该模板部署完成后,请使用远程连接工具登录两台负载均衡服务器,在指定目录下(/etc/nginx/ssl/)分别上传该证书文件,具体请参考3.3开始使用步骤2。 空 ssl_certificate_key String 必填 用户已有SSL证书(私钥)文件名称,包含后缀名。该模板部署完成后,请使用远程连接工具登录两台负载均衡服务器,在指定目录下(/etc/nginx/ssl/)分别上传该证书文件,具体请参考3.3开始使用步骤2。 空 charge_mode String 必填 计费模式,默认自动扣费,可选值为:prePaid(包年包月)或postPaid(按需计费)。 postPaid charge_period_unit String 必填 订购周期类型,仅当charge_mode为prePaid(包年/包月)生效。取值范围:month(月),year(年)。 month charge_period Number 必填 订购周期,仅当charge_mode为prePaid(包年/包月)生效。取值范围:charge_period_unit=month(周期类型为月)时,取值为1-9;charge_period_unit=year(周期类型为年)时,取值为1-3。 1 登录华为云解决方案实践,选择“快速部署高可用七层负载均衡”并单击,跳转至该解决方案一键部署界面,数据中心下拉菜单可以选择需要部署的区域。 图1 解决方案实施库 单击“一键部署”,跳转至该解决方案创建资源栈部署界面。 图2 创建资源栈 单击“下一步”,参考表1完成自定义参数填写。 图3 参数配置 在资源设置界面中,“权限委托”下拉框中选择“rf_admin_trust”委托。 图4 资源栈设置 单击“下一步”,查看配置信息。 图5 确认配置 单击“创建执行计划”,根据提示输入执行计划名称等,单击“确定”。 图6 创建执行计划 单击“部署”,在弹窗中再次单击“执行”确认执行。 图7 执行计划确认 图8 执行计划确认 (可选)如果计费模式选择“包年包月”,在余额不充足的情况下(所需总费用请参考表2)请及时登录费用中心,手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”,表示该解决方案已经部署完成。 图9 资源创建成功 单击“输出”,查看虚拟IP挂载的弹性公网IP等信息。 图10 VIP挂载EIP 父主题: 实施步骤
  • 创建rf_admin_trust委托 进入华为云官网,打开控制台管理界面,鼠标移动至个人账号处,打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单,搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在,则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中右上角的“创建委托”按钮,在委托名称中输入“rf_admin_trust”,选择“普通账号”,委托的账号,输入“op_svc_IAC”,单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限,并勾选搜索结果。 图5 选择策略 选择“所有资源”,并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表
  • 约束与限制 部署该解决方案之前,您需 注册华为账号 并开通华为云,完成实名认证,且账号不能处于欠费或冻结状态。如果计费模式选择“包年包月”,请确保账户余额充足以便一键部署资源的时候可以自动支付;或者在一键部署的过程进入费用中心,找到“待支付订单”并手动完成支付。 已有虚拟私有云VPC、子网、安全组以及业务虚拟机。 使用中国大陆节点服务器部署的Web网站,您需要注册域名,并在开通网站前按照工信部要求办理网站备案,以确保您的网站可以通过域名正常访问。华为云支持一站式完成域名注册、实名认证、网站备案和网站解析等操作,详细操作请参考流程指引。 该解决方案安装Nginx默认监听80和443端口,如未开通请参考添加安全组规则添加入方向规则,打开指定的TCP端口。
  • 名词解释 基本概念、云服务简介、专有名词解释 弹性 云服务器ECS :是一种可随时自助获取、可弹性伸缩的云服务器,可帮助您打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。 弹性公网EIP:提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟VIP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 虚拟VIP:虚拟IP(Virtual IP Address,简称VIP)是一个未分配给真实弹性云服务器网卡的IP地址。弹性云服务器除了拥有私有IP地址外,还可以拥有虚拟IP地址,用户可以通过其中任意一个IP(私有IP/虚拟IP)访问此弹性云服务器。同时,虚拟IP地址拥有私有IP地址同样的网络接入能力,包括VPC内二三层通信、VPC之间对等连接访问,以及弹性公网IP、VPN、云专线等网络接入。 LVS :是 Linux Virtual Server 的简称,是一款开源 Linux 虚拟服务器软件。Linux 虚拟服务器是一个高度可扩展和高度可用的服务器,构建在真实服务器集群上,负载平衡器在 Linux 操作系统上运行。服务器集群的架构对最终用户是完全透明的,用户之间的交互就像一个高性能的虚拟服务器一样。Linux 虚拟服务器作为一种高级负载平衡解决方案,可用于构建高度可扩展且高度可用的网络服务,例如可扩展的 Web、缓存、邮件、FTP、媒体和 VoIP 服务。 Keepalived:是一个检测服务器的状态的开源软件,如果有一台web服务器宕机,或工作出现故障,Keepalived将检测到,并将有故障的服务器从系统中剔除,同时使用其他服务器代替该服务器的工作,当服务器工作正常后Keepalived自动将服务器加入到服务器群中,这些工作全部自动完成,不需要人工干涉,需要人工做的只是修复故障的服务器。
  • 资源和成本规划 该解决方案主要部署如下资源,不同产品的花费仅供参考,实际以收费账单为准,具体请参考华为云官网价格: 表1 资源和成本规划(按需计费) 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 按需计费:0.41元/小时 区域:华北-北京四 计费模式:按需计费 规格:X86计算 | ECS | s6.large.2 | 2vCPUs | 4GiB 镜像:CentOS 7.6 64bit 系统盘:高IO | 100GB 购买量:2 0.41 * 24 * 30 * 2 = 590.4元 弹性公网IP EIP 按需计费:0.34元/MBit/s/小时 区域:华北-北京四 计费模式:按需计费 线路:动态BGP 公网带宽:按带宽计费 带宽大小:5Mbit/s 购买量:1 0.34 * 24 * 30 = 244.8元 合计 - 835.2元 表2 资源和成本规划(包年包月) 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 区域:华北-北京四 计费模式:包年包月 规格:X86计算 | ECS | s6.large.2 | 2vCPUs | 4GiB 镜像:CentOS 7.6 64bit 系统盘:高IO | 100GB 购买量:2 187.2 * 2 = 374.4元 弹性公网IP EIP 区域:华北-北京四 计费模式:包年包月 线路:动态BGP 公网带宽:按带宽计费 带宽大小:5Mbit/s 购买量:1 115 元 合计 - 489.4元 “一键部署(边缘小站)”模板,仅适用于已经购买了边缘小站服务的用户。 在边缘小站部署该解决方案时所部署的全部资源均不涉及收费。
  • 快速部署 本章节主要帮助用户快速部署该解决方案。华为云上部署请参考表1,边缘小站部署请参考表2。 表1 公有云一键部署参数填写说明 参数名称 类型 是否必填 参数解释 默认值 subnet_id String 必填 子网ID,该模板使用已有子网,请选择后端业务服务器所在虚拟私有云VPC内子网,查询并获取子网ID请参考3.1准备工作步骤1。 空 security_group_id String 必填 安全组ID,该模板使用已有安全组,建议选择后端业务服务器相同安全组,查询并获取安区组ID请参考3.1准备工作步骤2。 空 ecs_name String 必填 负载均衡主、备云服务器名称前缀,服务器命名方式为{ecs_name}-matser,{ecs_name}-backup,不支持重名。取值范围:1-57个字符组成,包括字母、数字、下划线 (_)、连字符 (-)和句点(.) 。 high-availability-four-layer-load-balancing-demo ecs_flavor String 必填 负载均衡主、备云服务器规格,具体请参考官网弹性云服务器规格清单。 s6.large.2(s6|2vCPUs|4GiB) ecs_password String 必填 负载均衡主、备云服务器初始化密码,创建完成后请参考3.3开始使用步骤1重置密码。取值范围:长度为8-26位,密码至少包含大写字母、小写字母、数字和特殊字符($!@%-_=+[]:./^,{}?)中的三种,密码不能包含用户名或用户名的逆序。管理员账户为root。 空 bandwidth_size Number 必填 带宽大小,该模板计费方式为按带宽计费。取值范围:1-2,000Mbit/s。 5 ip_list String 必填 用户后端业务服务器的私有IP地址,多个IP之间以英文半角逗号(,)隔开。 空 charge_mode String 必填 计费模式,默认自动扣费,可选值为:prePaid(包年包月)或postPaid(按需计费)。 postPaid charge_period_unit String 必填 订购周期类型,仅当charge_mode为prePaid(包年/包月)生效。取值范围:month(月),year(年)。 month charge_period Number 必填 订购周期,仅当charge_mode为prePaid(包年/包月)生效。取值范围:charge_period_unit=month(周期类型为月)时,取值为1-9;charge_period_unit=year(周期类型为年)时,取值为1-3。 1 表2 边缘小站一键部署参数填写说明 参数名称 类型 是否必填 参数解释 默认值 subnet_id String 必填 边缘子网ID,该模板使用已有子网,请选择后端业务服务器同一虚拟私有云VPC内子网,查询并获取子网ID请参考3.1准备工作步骤1。 空 security_group_id String 必填 安全组ID,该模板使用已有安全组,建议选择后端业务服务器相同安全组,查询并获取安区组ID请参考3.1准备工作步骤2。 空 ecs_name String 必填 负载均衡主、备云服务器名称前缀,服务器命名方式为{ecs_name}-matser,{ecs_name}-backup,不支持重名。取值范围:1-57个字符组成,包括字母、数字、下划线 (_)、连字符 (-)和句点(.) 。 空 ecs_flavor String 必填 负载均衡主、备云服务器规格,具体请参考官网弹性云服务器规格清单。 c6s.large.2 (c6s|2vCPUs|4GiB) ecs_password String 必填 负载均衡主、备云服务器初始化密码,创建完成后请参考3.3开始使用步骤1重置密码。取值范围:长度为8-26位,密码至少包含大写字母、小写字母、数字和特殊字符($!@%-_=+[]:./^,{}?)中的三种,密码不能包含用户名或用户名的逆序。管理员账户为root。 空 availability_zone String 必填 边缘可用区,查询并获取请参考3.1准备工作步骤3。 空 ip_list String 必填 用户后端业务服务器的私有IP地址,多个IP之间以英文半角逗号(,)隔开。 空 登录华为云解决方案实践,选择“快速构建高可用四层负载均衡”,跳转至解决方案一键部署界面,数据中心下拉菜单可以选择需要部署的区域。 图1 解决方案实施库 在一键部署页面,单击“一键部署”或“一键部署(边缘小站)”,跳转至该解决方案创建资源栈部署界面。 图2 创建资源栈 单击“下一步”,分别参考对应模板的表1 公有云一键部署参数填写说明或表2 边缘小站一键部署参数填写说明完成自定义参数填写。 图3 参数配置 在资源设置界面中,“权限委托”下拉框中选择“rf_admin_trust”委托,单击“下一步”。 图4 资源栈设置 在配置确认界面中,单击“创建执行计划”。 图5 确认配置 单击“创建执行计划”,根据提示输入执行计划名称等,单击“确定”。 图6 创建执行计划 单击右侧“部署”按钮,在弹窗上再次单击“执行”,进行方案部署。 图7 创建资源 图8 资源下发 (可选)如果计费模式选择“包年包月”,在余额不充足的情况下(所需总费用请参考表2)请及时登录费用中心,手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”,表示该解决方案已经部署完成。 图9 执行计划完成 单击“输出”,查看负载均衡服务器绑定的虚拟IP地址或其绑定的弹性公网IP地址。 图10 输出 父主题: 实施步骤
  • 创建rf_admin_trust委托 进入华为云官网,打开控制台管理界面,鼠标移动至个人账号处,打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单,搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在,则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中右上角的“创建委托”按钮,在委托名称中输入“rf_admin_trust”,选择“普通账号”,委托的账号,输入“op_svc_IAC”,单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限,并勾选搜索结果。 图5 选择策略 选择“所有资源”,并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表
  • 创建rf_admin_trust委托(可选) 进入华为云官网,打开控制台管理界面,鼠标移动至个人账号处,打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单,搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在,则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮,在委托名称中输入“rf_admin_trust”,委托类型选择“云服务”,输入“ RFS ”,单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限,并勾选搜索结果,单击“下一步”。 图5 选择策略 选择“所有资源”,并单击“下一步“完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表
  • 名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器 ECS:是一种可随时自助获取、可弹性伸缩的云服务器,可帮助您打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。 云数据 GeminiDB:采用云原生分布式架构,完全兼容Redis协议,支持丰富数据类型。 提供数据实时持久化、多副本强一致保障,以及实时监控、弹性伸缩、自动备份等一站式服务。 文档数据库服务 DDS:一种兼容MongoDB 3.4/4.0版本的文档数据库服务。目前支持分片集群(Sharding)、副本集(ReplicaSet)和单节点(Single)三种部署架构。 云数据库 RDS for MySQL:是一种基于 云计算平台 的即开即用、稳定可靠、弹性伸缩、便捷管理的在线云数据库服务。 安全组:安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。
  • 资源和成本规划 该解决方案主要部署如下资源,不同产品的花费仅供参考,实际以收费账单为准,具体请参考华为云官网价格: 表1 资源和成本规划(按需计费) 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 按需计费:2.553元/小时 区域:华北-北京四 计费模式:按需计费 规格:X86计算 | ECS | c7.2xlarge.2 | 8vCPUs | 16GiB 镜像:CentOS 7.6 64bit 系统盘:超高IO | 100GB 数据盘:超高IO | 500GB 购买量:1 2.553*24*30=1838.16元 云数据库 GeminiDB 按需计费:5.39元/小时 区域:华北-北京四 计费模式:按需计费 节点规格:geminidb.redis.large.4 | 2 vCPUs 节点数:3 存储容量:40GB 5.39 * 24 * 30 = 3880.8元 文档数据库服务 DDS 按需计费:3.6元/小时 区域:华北-北京四 实例类型:副本集 节点数:三节点 存储类型:超高IO 节点规格:通用型 性能规格:dds.mongodb.s6.xlarge.2.repset | 4 vCPUs | 8GB 存储空间:300GB 3.6* 24 * 30 = 2592 元 云数据库 RDS for MySQL 按需计费:2.82元/小时 区域:华北-北京四 计费模式:按需计费 数据库引擎:MySQL 数据库版本:8.0 实例类型:主备 存储类型:SSD云盘 性能规格:独享型 4 vCPUs | 8 GB 存储空间:300GB 购买数量:1 2.82* 24 * 30 = 2030.4元 合计 - 10341.36元
  • 安全组规则修改(可选) 该解决方案使用22端口用来远程登录弹性云服务器 ECS,默认对该方案创建的VPC子网网段放开,请参考修改安全组规则,配置IP地址白名单,以便能正常访问服务。 该解决方案使用3306端口用来访问云数据库 RDS for MySQL ,默认对该方案创建的VPC子网网段放开,请参考修改安全组规则,配置IP地址白名单,以便能正常访问服务。 安全组实际是网络流量访问策略,包括网络流量入方向规则和出方向规则,通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求,比如需要添加、修改、删除某个TCP端口,请参考以下内容进行修改。 添加安全组规则:根据业务使用需求需要开放某个TCP端口,请参考添加安全组规则添加入方向规则,打开指定的TCP端口。 修改安全组规则:安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则,来修改安全组中不合理的规则,保证云服务器等实例的网络安全。 删除安全组规则:当安全组规则入方向、出方向源地址/目的地址有变化时,或者不需要开放某个端口时,您可以参考删除安全组规则进行安全组规则删除。
  • 优化查询性能概述 性能调优是数据库应用开发和迁移过程中的关键步骤,在整个项目实施过程中占据很大的份量。通过性能调优可以提高数据库的资源利用率,降低业务成本,还可以大大降低应用系统的运行风险,提高系统稳定性,给客户带来更大的价值。 SQL调优的唯一目的是“资源利用最大化”,即CPU、内存、磁盘IO、网络IO四种资源利用最大化。所有调优手段都是围绕资源使用开展的。所谓资源利用最大化是指SQL语句尽量高效,节省资源开销,以最小的代价实现最大的效益。比如做典型点查询的时候,可以用seqscan+filter(即读取每一条元组和点查询条件进行匹配)实现,也可以通过indexscan实现,显然indexscan可以以更小的代价实现相同的效果。 本章通过介绍性能调优最基本的数据库命令ANALYZE和EXPLAIN,来详细解读EXPLAIN展示的数据库执行计划,介绍如何通过执行计划了解数据库的执行过程、识别性能瓶颈,针对性调优。另外,通过介绍性能参数、典型应用场景、SQL诊断、SQL性能调优和SQL改写案例等性能调优的实际操作,为数据库性能调优提供全方位的参考指导。
  • 操作步骤 进入企业路由器列表页面。 通过名称过滤,快速找到待创建路由的企业路由器。 您可以通过以下两种操作入口,进入企业路由器的“路由表”页签。 在企业路由器右上角区域,单击“管理路由表”。 单击企业路由器名称,并选择“路由表”页签。 在路由表列表中选择目标路由表,并在“路由”页签下,单击左侧区域的“创建路由”。 弹出“创建路由”对话框。 根据界面提示,配置路由的基本信息,如表1所示。 表1 配置路由-参数说明 参数名称 参数说明 取值样例 目的地址 必选参数。 目的地址一般为网络实例的地址,以“虚拟私有云(VPC)”连接为例,可以是虚拟私有云网段、子网网段。 192.168.2.0/24 黑洞路由 可选参数。 开启黑洞路由,则无需配置路由的“连接类型”和“下一跳”。如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。 - 连接类型 如果不开启黑洞路由,则该项是必选参数。 如果开启黑洞路由,则该项无需填写。 选择连接类型,支持静态路由的连接类型如下: 虚拟私有云(VPC):表示接入的网络实例是虚拟私有云。 对等连接(Peering):表示接入的网络实例是企业路由器的对等体,即跨区域的另外一个企业路由器。 云防火墙(CFW)连接:表示接入的网络实例是云防火墙。 关于连接更多信息,请参见连接概述。 虚拟私有云(VPC) 下一跳 如果不开启黑洞路由,则该项是必选参数。 如果开启黑洞路由,则该项无需填写。 在下拉列表中,选择目标连接。 er-attach-01 基本信息设置完成后,单击“确定”。 返回路由列表页面,等待2~3 s,单击刷新路由列表,可以看到创建的静态路由。
  • 修订记录 发布日期 修订记录 2024-04-25 第三次正式发布。 本次变更说明如下: 根据控制台风格变化修改全文截图。 2024-01-30 第二次正式发布。 本次变更说明如下: 新增资源信息修改以及导出操作。 修改路由策略信息 导出路由策略中的策略节点 修改IP地址前缀列表名称 导出IP地址前缀列表中的IP地址前缀规则 修改AS_Path列表名称 导出AS_Path列表中的AS_Path规则 2023-03-09 第一次正式发布。
  • 排查思路 您可以按照以下原因进行排查,如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 本地网络配置异常 需要确保本地网络配置无异常,如:防火墙、网卡等配置。解决方法请参考本地网络配置异常。 弹性公网IP连接异常 弹性公网IP问题排查,请参见EIP连接出现问题时,如何排查?。 安全组存在限制 安全组限制了云服务器出方向的流量,导致无法访问外网,解决方法请参考安全组存在限制。 网络ACL存在限制 网络ACL限制了云服务器所在子网出方向的流量,导致无法访问外网,解决方法请参考网络ACL存在限制。
  • 为什么无法删除安全组? 系统创建的默认安全组不支持删除,默认安全组名称为default。 图1 默认安全组 当安全组已关联至其他服务实例时,比如云服务器、云容器、云数据库等,此安全组无法删除。请您将实例从安全组中移出后,重新尝试删除安全组。 查看安全组关联的实例,具体操作请参见如何查看安全组关联了哪些实例?。 当安全组作为“源地址”或者“目的地址”,被添加在其他安全组的规则中时,此安全组无法删除。 需要删除该条规则或者修改规则,然后重新尝试删除安全组。 比如,安全组sg-B中有一条安全组规则的“源地址”设置为安全组sg-A,则需要删除或者更改sg-B中的该条规则,才可以删除sg-A。 父主题: 安全类
共100000条