华为云用户手册

方案架构 该解决方案基于华为云 AI开发平台 ModelArts构建，一键部署汽车价值评估系统。 图1 方案架构图 该解决方案会部署如下资源： 创建两个 对象存储服务 OBS桶，一个用于存储训练数据集及ModelArts算法、推理脚本、配置文件、模型数据；另一个用于存储数据集及数据集预测结果。 使用AI开发平台ModelArts，用于机器学习模型训练，预测汽车价值评估结果。 使用 函数工作流 FunctionGraph创建一个函数，进行数据处理并调用ModelArts在线服务获取预测结果，并存储至OBS桶。 在 统一身份认证 服务 IAM 上创建一个委托，用于授权FunctionGraph访问ModelArts在线服务和OBS桶。

给rf_admin_trust委托添加IAM Agency Management FullAccess权限（可选） 打开“统一身份认证”菜单。 图12 统一身份认证菜单 进入“委托”菜单，选择rf_admin_trust委托。 图13 委托列表 进入“授权记录”菜单，单击“授权”按钮。 图14 授权记录 在搜索框输入IAM Agency Management FullAccess，勾选过滤出来的记录，单击下一步，并确认完成权限的配置。 图15 配置IAM Agency Management FullAccess策略 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限。 图16 授权记录列表

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步”完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

开始使用 登录OBS控制台：登录华为云对象存储服务 OBS控制台，查看OBS桶是否正常创建。 图1 查看OBS桶 下载上传示例数据文件：单击此文件下载地址，下载示例数据文件压缩包，选择桶 evaluating-car-value-with-modelarts-demo-obs（实际桶名称以部署指定参数为准），上传预测数据文件压缩包（会自动解压上传到当前OBS同级目录下）或者预测数据文件（直接上传预测文件时，需保证训练作业数据在OBS桶中）。 示例数据文件压缩包说明 prediction_data ：预测数据 training_jobs_data.csv ：训练作业数据，用于和预测数据特征匹配。 暂不支持OBS上传KMS加密的预测数据文件。 文件解压 压缩包的类型只支持zip和tar，压缩包文件名及其路径不能含中文。 单个压缩包解压后文件最大不超过200MB。 预测文件 预测数据文件仅支持 CS V文件。 CSV文件格式需为此步骤下载的预测数据文件格式，可根据实际需求参考源码注释进行修改。 图2 上传预测数据文件 图3 文件解压上传至当前OBS同级目录下 查询预测结果文件：预测结果文件会以“原文件名_result.csv”的格式保存在当前目录下。（根据数据大小，执行时间偏差较大，可参考步骤4内容查看日志了解执行进度。） 图4 预测结果文件 （可选）进入函数工作流控制台选择3.2快速部署步骤3创建的函数，单击函数名称进入。按下图所示，查看数据预测相关日志信息。 图5 进入函数管理界面 图6 查看数据预测相关日志信息 父主题： 实施步骤

手动卸载 删除在线服务：访问ModelArts 在线服务控制台，按下图所示，依次单击“更多”“删除”，在弹出的确认窗口中单击“确定”。 图1 删除在线服务 图2 确认删除在线服务 删除AI应用：访问ModelArts AI应用控制台，如下图所示，单击“删除”，在弹出的确认窗口中单击“确定”。 图3 删除AI应用 图4 确认删除AI应用 删除训练作业：访问华为云ModelArts训练作业控制台，按下图所示，单击“删除”，在弹出的确认窗口中单击“确定” 图5 删除训练作业 图6 确认删除训练作业 （可选）删除手动创建的OBS桶：登录对象存储服务 OBS控制台，查找在3.1准备工作步骤1创建的OBS桶，按下图所示，单击“删除”，在弹出的确认窗口中单击“确定”。 图7 删除OBS桶 图8 确认删除OBS桶

到期后影响 图2描述了包年/包月CFW资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图2 包年/包月CFW资源生命周期 到期预警 包年/包月CFW资源在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月CFW资源到期未续费，首先会进入宽限期，宽限期内您可以正常访问 云防火墙 。 如果您在宽限期内仍未续费包年/包月CFW资源，那么就会进入保留期，资源状态变为“冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月CFW资源仍未续费，那么云防火墙实例和防护配置将被删除，资源状态变为“删除”，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

计费示例 假设您在2023/06/30 15:50:04购买了一套包年/包月云防火墙（版本：专业版，扩展包：扩展防护公网IP数1个、扩展防护流量峰值5Mbit/s、扩展VPC数1个），计费资源包括专业版和增值包（扩展防护公网IP数、扩展防护流量峰值、扩展VPC数）。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/06/30 15:50:04 ~ 2023/07/30 23:59:59 第二个计费周期为：2023/07/30 23:59:59 ~ 2023/08/30 23:59:59 您需要为每个计费周期预先付费，各项CFW资源单独计费，计费公式如表2所示。 表2 计费公式 产品信息 计费公式 服务版本 按购买的服务版本价格* 购买时长 扩展防护公网IP数 防护公网IP数扩展包单价 * 个数 * 购买时长 扩展防护流量峰值 防护流量峰值扩展包单价 * 流量值 * 购买时长 扩展VPC数 VPC数扩展包单价 * 个数 * 购买时长 图1给出了上述示例配置的费用计算过程。 图中价格仅供参考，实际计算请以云防火墙价格详情中的价格为准。 图1 包年/包月CFW费用计算示例

变更配置后对计费的影响 当前包年/包月CFW资源的规格不满足您的业务需要时，您可以在云防火墙控制台发起变更规格操作，变更时系统将按照如下规则为您计算变更费用： 资源升配：新配置价格高于老配置价格，此时您需要支付新老配置的差价。 这里以资源升配且无任何优惠的场景为例，假设您在2023/06/08购买了一套标准版包年/包月云防火墙（扩展防护公网IP数1个、扩展防护流量峰值5Mbit/s），购买时长为1个月，计划在2023/06/18变更版本为专业版包年/包月云防火墙（扩展防护公网IP数1个、扩展防护流量峰值5Mbit/s、扩展VPC数1个）。旧配置价格为3100.00元/月，新配置价格为11,900.00 元/月。计算公式如下： 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。本示例中，剩余周期=12（6月份剩余天数）/ 30（6月份最大天数）+ 8（7月份剩余天数）/ 31（7月份最大天数）=0.6581，代入公式可得升配费用=11900.00*0.6581-3100.00*0.6581=5791.28（元） 更多信息请参见变更资源规格费用说明。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

成本分配 成本管理的基础是树立成本责任制，让各部门、各业务团队、各责任人参与进来，为各自消耗云服务产生的成本负责。企业可以通过成本分配的方式，将云上成本分组，归集到特定的团队或项目业务中，让各责任组织及时了解各自的成本情况。 华为云成本中心支持通过多种不同的方式对成本进行归集和重新分配，您可以根据需要选择合适的分配工具。 通过关联账号进行成本分配 企业主客户可以使用关联账号对子客户的成本进行归集，从而对子账号进行财务管理。详细介绍请参见通过关联账号维度查看成本分配。 通过企业项目进行成本分配 在进行成本分配之前，建议开通企业项目并做好企业项目的规划，可以根据企业的组织架构或者业务项目来划分。在购买云资源时选择指定企业项目，新购云资源将按此企业项目进行成本分配。详细介绍请参见通过企业项目维度查看成本分配。 图1 选择企业项目 通过成本标签进行成本分配 标签是华为云为了标识云资源，按各种维度（例如用途、所有者或环境）对云资源进行分类的标记。推荐企业使用预定义标签进行成本归集，具体流程如下： 创建预定义标签。 客户在“标签管理服务”控制台中创建预定义标签，详细操作请参见创建预定义标签。 激活成本标签。 激活标签的具体操作请参见激活成本标签。激活成本标签后，才能在“成本分析”、“预算管理”等页面展现。 成本标签不会应用于激活标签之前产生的成本。激活前已产生的成本数据，如果仍需要基于标签分析，可以导出账单明细，基于账单明细中的资源标签字段进行处理分析。 为CFW资源添加标签。 在购买CFW实例页面，可以选择已经创建的预定义标签。 图2 添加标签 通过成本标签查看成本数据。 通过成本标签查看成本数据时，建议基于摊销成本进行数据汇总，详细操作请参见通过成本标签查看成本数据。 详细介绍请参见创建预定义标签。 使用成本单元进行成本分配 企业可以使用成本中心的“成本单元”来拆分公共成本。公共成本是指多个部门共享的计算、网络、存储或资源包产生的云成本，或无法直接通过企业项目、成本标签分配的云成本。这些成本不能直接归属于单一所有者，因此不能直接归属到某一类别。使用拆分规则，可以在各团队或业务部门之间公平地分配这些成本。详细介绍请参见使用成本单元查看成本分配。

成本优化 成本控制 企业可以在成本中心的“预算管理”页面创建精细粒度的预算来管理成本和使用量，在实际或预测超过预算阈值时，自动发送通知给指定消息接收人。企业还可以创建预算报告，定期将指定预算进展通知给指定消息接收人。 例如企业需要创建一套云防火墙的成本预算，每月预算金额为12000元，当预测金额高于预算金额的80%时发送预算告警。那么，创建的预算如下： 图3 预算基本信息 图4 设置成本范围 图5 设置提醒 详细介绍请参见使用预测和预算来跟踪成本和使用量。 资源优化 成本中心可以通过监控云防火墙的历史消费情况，为客户提供云防火墙资源的空闲识别和优化建议，寻找节约成本的机会。您还可以根据成本分析阶段的分析结果识别成本偏高的资源，通过 云监控服务 监控资源的使用情况，确定成本偏高的原因，然后采取针对性的优化措施。

修订记录 发布日期 修订记录 2024-04-30 第十一次正式发布。 新增 异步复制。 2020-04-29 第十次正式发布。 修改 删除保护实例，修改约束限制，支持共享云硬盘。 2019-11-30 第九次正式发布。 修改 创建复制对补充参数样例。 2019-05-30 第七次正式发布。 新增 权限管理 修改 挂载复制对，补充挂载须知。 2019-03-30 第六次正式发布。 修改 变更保护实例规格，支持生产站点、容灾站点服务器的规格不一致。 删除 “切回”章节 “故障切回”章节 2019-01-30 第五次正式发布。 新增 配额 修改 全文，删除“源端”、“目的端”、“优先端”等概念，新增“生产站点”、“容灾站点”概念。 2018-11-30 第四次正式发布。 新增常见问题： 源端云服务器为SUSE操作系统的保护组执行切换操作后EIP无法ping通怎么办？ 2018-10-24 第三次正式发布。 本次变更如下： 新增常见问题“为什么通过保护实例创建的云服务器上的云硬盘卸载后无法挂载给XEN类型云服务器？” 2018-08-03 第二次正式发布。 本次变更如下： 修改存储容灾的“部署类型”。 修改存储容灾的使用约束和条件。 优化创建保护实例参数内容。 优化创建复制对参数内容。 2018-05-30 第一次正式发布。

使用步骤 完整的云容器引擎使用流程包含以下步骤： 图1 CCE使用流程 注册账号，并授予IAM用户相应的权限。 账号无需授权即可拥有所有权限，由账号创建的IAM子用户需要授予相应的权限才能使用CCE，具体请参见权限管理。 创建集群。 如果您需要创建普通Kubernetes集群，请参见快速创建Kubernetes集群。 部署工作负载（应用）。 部署无状态工作负载（Nginx） 部署有依赖关系的WordPress和MySQL 通过Helm模板部署WordPress 查看部署后工作负载的状态和日志信息，对工作负载进行相应的升级、伸缩和监控等。 具体请参见管理工作负载和任务。

导入数据表并加入表组 在表管理页面，选择库表清单页签。 单击“导入数据表”按钮，弹出导入数据表窗口。 选择元数据连接和要加入的表组。 单击“模板下载”，将导入模板下载到本地。打开导入模板，将需要导入的数据表对应参数填写到模板内。 每个模板最多支持导入10,000张表。 同一表组内的表必须属于同一个元数据来源。 模板中单元格不允许存在公式且必须是文本格式，否则会导致解析失败。 模板参数填写完成并保存后，单击导入窗口的“添加文件”按钮，将填写后的模板文件上传。 上传成功后，单击“确认”按钮，系统开始导入。在库表清单列表中可以查看导入的数据表。

安装步骤 使用在源端内网环境准备好的Linux主机，登录迁移中心管理控制台。 在左侧导航栏单击“迁移工具”，进入迁移工具页面。 在Linux区域，单击“下载安装包”或“复制下载命令”，将Edge安装程序下载到Linux主机。 执行如下命令，解压Edge安装包。 tar zxvf Edge.tar.gz 执行如下命令，进入Edge安装目录中的scripts目录。 cd Edge/scripts/ 执行如下命令，启动Edge安装脚本。 ./install.sh 输入Linux本机网卡的IP地址作为后续访问Edge页面的地址。如果输入的地址不在本机拥有的IP列表中，会提示是否开放本机所拥有的任何公网IP作为访问地址。 当出现如下图所示提示时，表示Linux版的Edge已安装完成。其中提示的端口号请以实际情况为准。 执行如下命令，更新环境变量。 source /etc/profile 安装完成后，在浏览器中访问地址“https://步骤7.输入的IP:步骤8.提示的端口号”，进入Edge用户注册页面。 例如：步骤7输入的IP为192.168.x.x，步骤8提示的端口号为27080，则Edge的访问地址为：https://192.168.x.x:27080。

准备工作 建议在源端内网环境中准备一台用于安装Edge的Linux主机，并确保该Linux主机满足以下要求： 可以连接外网，并且检查是否能够访问Edge所包含的公网 域名 。 安全组的出方向规则中，需要包含8883端口。 操作系统为：CentOS 8.x 推荐规格不小于4U8G。如果使用大数据相关功能，推荐规格不小于8U32G。 在安装Edge的Linux主机安装rng-tools工具。 如果Linux主机是基于RPM的发行版，如CentOS或Fedora，请使用如下命令来安装rng-tools工具。 yum -y install rng-tools 如果Linux主机是基于Debian的发行版，如Ubuntu或Debian，请使用如下命令来安装rng-tools工具。 apt update apt install rng-tools -y 如果Linux主机是基于其他类型的Linux发行版，或者以上两种命令都不适用，需要您自行查找rng-tools工具的安装方法。 关闭安装Edge的Linux主机上的杀毒、防护类软件，该类软件会拦截Edge的执行，导致迁移工作流执行失败。 在安装Edge的主机安全组入网规则中，需要添加一条允许通过TCP协议访问27080端口的规则。 已 注册华为账号 并开通华为云，并获取账号的AK/SK。 已在MgC控制台创建迁移项目。

实施步骤 创建VPC并设置VPC网段 创建流程请详细参考创建虚拟私有云和子网。 VPC网段请勿冲突。 华东-上海一区域的VPC网段（VPC-Test01）：172.18.0.0/24 华北-北京四区域的VPC网段（VPC-Test02）：172.16.0.0/24 中国-香港区域的VPC网段（VPC-Test03）：172.17.0.0/24 配置VPN 在华北-北京四区域创建VPN网关VPN-GW-Test01和VPN连接VPN-Test01。 在华东-上海一区域创建VPN网关VPN-GW-Test02和VPN连接VPN-Test02。 经典版VPN创建流程请详细参考创建VPN网关和创建VPN连接。 企业版VPN创建流程请详细参考创建VPN网关和创建VPN连接。 华北-北京四网关和子网配置： 本端网段：172.16.0.0/24，172.17.0.0/24，8.8.8.0/24 远端网关：223.223.223.223 远端子网：172.18.0.0/24 华东-上海一网关和子网配置： 本端网段：172.18.0.0/24 远端网关：49.49.49.49 远端子网：172.16.0.0/24，172.17.0.0/24，8.8.8.0/24 华北-北京四、华东-上海一配置VPN连接时，华北-北京四的本端网段和华东-上海一的远端子网设置必须包含外网网段8.8.8.0/24，以便可以ping通外网。 配置云连接 创建云连接（CC-Test）。 创建流程请详细参考创建云连接。 加载网络实例。 加载网络实例详细参考加载网络实例。 添加自定网段。 添加自定义网段详细参考添加自定义网段。 华北-北京四自定义网段：172.18.0.0/24，172.16.0.0/24。 中国-香港自定义网段：172.17.0.0/24，8.8.8.0/24。 为实现所有节点都可以端到端传输，需要添加全部的本端云连接网段。 购买带宽包 云连接默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 购买带宽包详细参考购买带宽包。 配置域间带宽 配置域间带宽详细参考配置域间带宽。 购买弹性云服务器 分别购买华东-上海一、华北-北京四、中国-香港区域的ECS。 购买流程请详细参考购买弹性云服务器。 华东-上海一ECS私网地址（ECS-Test01）：172.18.0.3。 华北-北京四ECS私网地址（ECS-Test02）：172.16.0.3。 中国-香港ECS私有地址（ECS-Test03）： 172.17.0.3。 购买EIP并配置NAT网关 在中国-香港区域购买EIP（EIP-Test），并配置NAT网关（NAT-Test），添加SNAT规则，将以下网段添加到规则中。 购买配置流程请详细参考申请和绑定弹性公网IP和添加SNAT规则。 添加虚拟私有云网段：172.17.0.0/24 添加云专线/云连接网段：172.18.0.0/24；172.16.0.0/24 添加SNAT配置用于连通外网，ping通远端外网网段8.8.8.0/24。

资源和成本规划 表1 资源和成本规划 资源 资源名称 资源说明 数量 虚拟私有云（VPC） VPC-Test01 该VPC所在的区域为华东-上海一，VPC网段为：172.18.0.0/24。 本方案使用华为云的“华东-上海一”来替代用户线下数据中心（IDC）。 1 VPC-Test02 该VPC所在的区域为华北-北京四，VPC网段为：172.16.0.0/24。 1 VPC-Test03 该VPC所在的区域为中国-香港，VPC网段为：172.17.0.0/24。 1 弹性公网IP（EIP） EIP-Test 在中国-香港区域购买EIP。 1 NAT网关 NAT-Test 在VPC-Test03中购买公网NAT网关，并绑定EIP-Test。 1 VPN网关 VPN-GW-Test01 在华北-北京四区域创建VPN网关。 VPN本端网关为：49.49.49.49。 1 VPN-GW-Test02 在华东-上海一区域创建VPN网关。 VPN本端网关为：223.223.223.223。 1 VPN连接 VPN-Test01 为VPN网关VPN-GW-Test01创建VPN连接。 1 VPN-Test02 为VPN网关VPN-GW-Test02创建VPN连接。 1 云连接 CC-Test 使用云连接实现华北-北京四和中国-香港跨区域之间访问，并加速网络访问。 1 弹性云服务器（ECS） ECS-Test01 在华东-上海一区域的VPC中创建ECS，该ECS的私网地址为：172.18.0.3。 1 ECS-Test02 在华北-北京四区域的VPC中创建ECS，该ECS的私网地址为：172.16.0.3。 1 ECS-Test03 在中国-香港区域的VPC中创建ECS，该ECS的私网地址为：172.17.0.3。 1

方案架构 通过 虚拟专用网络 （VPN）将客户本地侧和华北-北京四区域的VPC连通。 通过云连接将华北-北京四区域的VPC和中国-香港区域的VPC连通，并实现网络加速。 通过在中国-香港区域购买NAT网关，添加SNAT规则并绑定EIP，来实现访问境外公网。 应用场景如图1所示。 图1 场景示意 在本方案中，用户云下数据中心（IDC）使用华为云的“华东-上海一”替代。 境外网络网段：8.8.8.0/24；境外唯一测试网络：8.8.8.8。

资源和成本规划 表1 资源和成本规划 资源 名称 规划网段/IP 子网名称 说明 VPC（华北-北京四） vpc-部门A 192.168.0.0/24 subnet-A 部门A迁移到云上的VPC。 vpc-部门B 192.168.0.0/24 subnet-B 部门B迁移到云上的VPC。 vpc-中转1 10.1.0.0/24 ext_sub_T1 部门A的 私网NAT网关 所需的中转VPC。 vpc-中转2 10.2.0.0/24 ext_sub_T2 部门B的私网NAT网关所需的中转VPC。 中转IP（vpc-中转） 中转IP-部门A 10.1.0.11 - 部门A对外提供服务的IP地址，部门B通过此IP地址可以访问部门A的主机。 中转IP-部门B 10.2.0.22 - 部门B对外提供服务的IP地址，部门A通过此IP地址可以访问部门B的主机。 弹性云服务器（华北-北京四） ecs-部门A 192.168.0.3 - 部门A的主机，可以和部门B互相访问。 ecs-部门B 192.168.0.3 - 部门B的主机，可以和部门A互相访问。 私网NAT网关 private-nat-A - - 为部门A配置的私网NAT网关，所属VPC为vpc-部门A。 private-nat-B - - 为部门B配置的私网NAT网关，所属VPC为vpc-部门B。

方案架构 IDC的两个子公司的部门A和部门B均使用192.168.0.0/24网段。网段免修改，直接在云上创建相同网段的VPC。 分别为两个子公司的VPC创建私网NAT网关，为部门A的主机（192.168.0.3）和部门B的主机（192.168.0.3）分别映射10.1.0.11和10.2.0.22两个中转IP地址，通过中转IP实现两个主机相互访问。 图1 最佳实践逻辑拓扑 请注意手动配置如下几条路由信息，避免漏配置导致流量不通。 VPC（部门A）到私网NATA 中转VPC1到VPC-Peering 中转VPC2到VPC-Peering VPC（部门B）到私网NATB

方案架构 华为云私网NAT网关（Private NAT Gateway）能够为虚拟私有云（Virtual Private Cloud）内的云主机提供 网络地址转换 服务，实现重叠子网VPC内的主机互访以及主机私网地址映射。弥补了VPC对等连接服务中有重叠子网网段的VPC，不能使用VPC对等连接的约束限制。 如图2： 将部门A和部门B的192.168.0.0/24网段直接迁移到云上的VPC内，然后使用私网NAT网关实现两个部门的主机相互访问。 同时可以通过配置SNAT规则，将部门A的主机私网地址映射为指定的IP地址10.1.0.55访问外部主机。 图2 华为云私网NAT服务

应用场景 在不改变现有IDC网络组织架构的前提下，需要将网络组织架构迁移上云，并实现IDC中的两个重叠网段内的主机相互访问。 在不改变现有IDC网络组织架构的前提下，需要将网络组织架构迁移上云，并实现以IDC中指定IP地址访问外部资源。 例如： 某大型公司拥有多个分公司，分公司之间网段独立规划、存在重叠子网。如图1，部门A和部门B分配了相同的192.168.0.0/24网段，并且两个网段内的主机可以相互访问；另外，根据行业规范要求，部门A需要定期以指定的IP地址访问行业监管部门的主机归档数据。 IDC内业务复杂且庞大，重新规划并整改网段会影响已有业务的正常运行。客户希望能够保持现有网络规划不变，网段免修改上云，上云后重叠子网的主机仍能相互访问，且部门A的主机仍然可以以指定IP地址访问行业监管部门的主机。 图1 子公司间的网络存在子网重叠

约束与限制 使用私网NAT网关时，您需要注意以下几点： 用户需要在VPC下手动添加私网路由，即通过创建对等连接或开通云专线/VPN连接远端私网。 VPC内的每个子网只能添加一条SNAT规则。 SNAT规则和DNAT规则不能共用同一个中转IP。 DNAT的全端口模式不能和具体端口模式共用同一个中转IP。 私网NAT网关支持添加的DNAT规则和SNAT规则的数量如下： 小型：DNAT规则和SNAT规则的总数不超过20个。 中型：DNAT规则和SNAT规则的总数不超过50个。 大型：DNAT规则和SNAT规则的总数不超过200个。 超大型：DNAT规则和SNAT规则的总数不超过500个。

资源和成本规划 表1 资源和成本规划 资源 名称 规划网段/IP 子网名称 说明 VPC（华北-北京四） vpc-部门A 192.168.0.0/24 subnet-A 部门A迁移到云上的VPC。 vpc-中转1 10.1.0.0/24 ext_sub_T1 私网NAT网关所需的中转VPC。 vpc-监管 10.10.0.0/24 subnet-W 模拟监管部门的VPC。 弹性云服务器（华北-北京四） ecs-部门A 192.168.0.3 -- 部门A的主机，可以访问行业监管部门的主机。 ecs-监管 10.10.0.5 -- 模拟监管部门的主机。 中转IP（vpc-中转1） 部门A中转IP 10.1.0.55 -- 部门A主机通过监管部门分配的IP地址访问监管部门的主机。

基本概念 账号 用户注册云平台时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 云平台的区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 同样在我的凭证下，您可以查看项目ID。 图1 项目隔离模型 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 父主题： 使用前必读

准备数据 首先，企业A和大数据厂商B需要商议确定要提供的数据范围及对应的元数据信息，双方初始决定使用最近三个月的已有用户转化数据作为联邦训练的训练集和评估集，之后使用每周产生的新数据作为联邦预测的预测集。 表1 企业A的数据 字段名称 字段类型 描述 id string hash过后的手机号字符串 col0-col4 label float int 企业A数据特征 企业A对用户的标签属性 industry_all.csv id,col0,col1,col2,col3,col4,label 5feceb66ffc86f38d952786c6d696c79c2dbc239dd4e91b46729d73a27fb57e9,-1.4092505981594734,-0.5893679205612337,-4.467396692737264,1.370376187747878,-1.236832500268279,1 6b86b273ff34fce19d6b804eff5a3f5747ada4eaa22f1d49c01e52ddb7875b4b,-1.5143756509526236,-1.9007475942180778,-5.617412558508785,2.2624690030531363,0.2886799132470795,0 d4735e3a265e16eee03f59718b9b5d03019c07d8b6c51f90da3a666eec13ab35,-1.768367116508903,1.2721845837988317,1.1497337351126178,-1.3322677230347135,0.9716103319957519,1 4b227777d4dd1fc61c6f884f48641d02b4d121d3fd328cb08b5531fcacdabf8a,0.37260755643902965,-0.2919401803207504,0.08086265459068624,0.3915016044811785,-0.01227642831882032,1 ef2d127de37b942baad06145e54b0c619a1f22327b2ebbcfbec78f5564afe39d,-2.963183239713765,0.15113195842028704,-3.8749664899828824,1.0598464836794779,-4.400883309764479,1 e7f6c011776e8db7cd330b54174fd76f7d0216b612387a5ffcfb81e6f0919683,-0.35120767987472346,1.8018318746365054,1.4431627055321963,0.33307198119824927,0.8626132267902704,0 7902699be42c8a8e46fbbb4501726517e86b22c56a189f7625a6da49081b2451,-2.6642415757243825,0.8836647864509011,-1.2340786744195096,-1.4945873871135977,-2.6999504889710626,1 2c624232cdd221771294dfbb310aca000a0df6ac8b66b696d90ef06fdefb64a3,3.0418810956792526,-0.6516843409674193,3.6616499550343105,0.035548733627266224,3.477873903864847,0 19581e27de7ced00ff1ce50b2047e7a567c76b1cbaebabe5ef03f7c3017bb5b7,-0.8239137547429756,0.7877120377027675,0.4296355963569869,-1.315646485980162,-1.652321610851379,1 4a44dc15364204a80fe80e9039455cc1608281820fe2b24f1e5233ade6af1dd5,0.24150521920304757,-0.21911471888817458,1.5143874504690156,-0.6652345113435701,0.17857570592695637,0 6b51d431df5d7f141cbececcf79edf3dd861c3b4069f0b11661a3eefacbba918,0.9669487046029339,-1.5427187535294289,2.490658334326762,0.4233920429380765,2.972622142213776,0 3fdba35f04dc8c462986c992bcf875546257113072a909c162f7e470e581e278,-1.847252571492643,0.4969814473631169,1.6544165211185982,-1.9450069019776826,0.39415199332185435,1 8527a891e224136950ff32ca212b45bc93f69fbb801c3b1ebedac52775f99e61,0.1622108420432964,0.1771676208189943,4.55368226430978,-1.1032207991089722,2.375621631048501,0 e629fa6598d732768f7c726b4b621285f9c3b85303900aa912017db7617d8bdb,4.0527809556953,1.2053939486734313,3.260708709473611,1.1400990661834884,5.025657734758696,0 b17ef6d19c7a5b1ee83b907c595526dcb1eb06db8227d650d5dda0a9f4ce8cd9,-0.21563539406333465,0.5231489445682316,-2.639937297036372,2.3738020768486425,0.34341393069722226,1 4523540f1504cd17100c4835e85b7eefd49911580f8efff0599a8f283be6b9e3,-0.5935568930535046,-0.35175055806960276,0.9645122559090376,-0.017390131639078914,0.09256256476781644,1 4ec9599fc203d176a301536c2e091a19bc852759b255bd6818810a42c5fed14a,1.0066513658973761,-0.9724037855292317,1.314115256428494,0.363296291355055,5.171128738363806,0 9400f1b21cb527d7fa3d3eabba93557a18ebe7a2ca4e471cfe5e4c5b4ca7f767,0.1406977237605178,-1.455646778048175,-0.7223212422509906,1.265951206785454,-0.5504387433588089,1 表2 大数据厂商B的数据 字段名称 字段类型 描述 id string hash过后的手机号字符串 f0-f4 float 大数据厂商数据特征 bigdata_all.csv id,f0,f1,f2,f3,f4 5feceb66ffc86f38d952786c6d696c79c2dbc239dd4e91b46729d73a27fb57e9,-0.246852445,-1.761531756,-2.840375975,-0.562750693,-2.23499737 6b86b273ff34fce19d6b804eff5a3f5747ada4eaa22f1d49c01e52ddb7875b4b,-1.216062821,-1.093614452,-1.632396806,0.887601314,-4.40930101 4e07408562bedb8b60ce05c1decfe3ad16b72230967de01f640b7e4729b49fce,-0.150047899,-1.323266508,3.01679156,1.728583156,0.656158732 4b227777d4dd1fc61c6f884f48641d02b4d121d3fd328cb08b5531fcacdabf8a,-0.333871414,-1.21968931,-0.082894791,0.020390259,-0.076884947 ef2d127de37b942baad06145e54b0c619a1f22327b2ebbcfbec78f5564afe39d,-2.438861166,0.111880807,-3.51428545,1.123004835,0.228893969 e7f6c011776e8db7cd330b54174fd76f7d0216b612387a5ffcfb81e6f0919683,-2.759963795,0.405262468,1.264947591,1.027350049,1.293868423 7902699be42c8a8e46fbbb4501726517e86b22c56a189f7625a6da49081b2451,0.189352371,-0.607297495,-0.808339321,2.048455567,1.303872778 2c624232cdd221771294dfbb310aca000a0df6ac8b66b696d90ef06fdefb64a3,0.390064223,0.664175034,3.20228741,0.380574513,0.017733811 19581e27de7ced00ff1ce50b2047e7a567c76b1cbaebabe5ef03f7c3017bb5b7,0.379250902,1.962293246,0.066277661,3.083228267,1.952626328 4a44dc15364204a80fe80e9039455cc1608281820fe2b24f1e5233ade6af1dd5,-0.070919538,-2.219653517,1.461645551,1.66185096,0.778770954 4fc82b26aecb47d2868c4efbe3581732a3e7cbcc6c2efb32062c08170a05eeb8,-0.771151327,-1.184821181,-0.674077615,-0.379858223,0.158957184 6b51d431df5d7f141cbececcf79edf3dd861c3b4069f0b11661a3eefacbba918,-0.738091802,-1.474822882,2.93475295,-3.763763721,-1.817301398 3fdba35f04dc8c462986c992bcf875546257113072a909c162f7e470e581e278,-0.483250226,0.616586578,3.001851708,2.407914633,0.856369412 8527a891e224136950ff32ca212b45bc93f69fbb801c3b1ebedac52775f99e61,-0.789268594,1.071733834,3.763254446,-3.760298263,0.49776472 e629fa6598d732768f7c726b4b621285f9c3b85303900aa912017db7617d8bdb,-0.372531118,1.559382514,2.403559204,-0.041093457,0.169341125 b17ef6d19c7a5b1ee83b907c595526dcb1eb06db8227d650d5dda0a9f4ce8cd9,-2.773477116,-1.137653133,-1.50133841,0.82842642,-1.25476711 4523540f1504cd17100c4835e85b7eefd49911580f8efff0599a8f283be6b9e3,-1.542814756,1.019110477,1.395515599,0.539956076,0.100325065 4ec9599fc203d176a301536c2e091a19bc852759b255bd6818810a42c5fed14a,0.024227451,-1.087235302,3.67470964,-2.420729037,-3.132456573 其中为了保证数据安全，企业A和大数据厂商B通过讨论决定使用hash过后的手机号作为已有数据的唯一标识id字段，并将唯一标识作为数据对齐的依据。 父主题： 使用 TICS 可信联邦学习进行联邦建模

IEF服务委托授权 使用主账号访问IEF服务首页，单击“同意授权”，IEF将在统一身份认证服务为您创建名为ief_admin_trust的委托。 图1 IEF服务授权 ief_admin_trust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对IEF所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。

CCE服务委托授权 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。 CCE的服务授权为全局配置，只要您所使用的账号在当前Region曾经进行过服务授权，则无需重新配置，可以跳过本节操作。 图1 服务授权 当您同意授权后，CCE将在IAM中创建名为“cce_admin_trust”委托，统一使用系统账户“op_svc_cce”对您的其他云服务资源进行操作，cce_admin_trust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。关于资源委托详情，您可参考委托进行了解。

发起联邦预测 企业A单击“发起预测”按钮，选择己方和大数据厂商B的预测数据集，单击确定即可发起预测。 TICS服务会对两方的数据先进行样本对齐，并对双方共有的数据进行联邦预测，预测的结果会保存在企业A（作业发起方）的计算节点上。企业A可以通过obs服务或者登录到计算节点后台获取到对应路径的文件。 当只有一方提供特征时，预测的结果如下，第一列是用户的id，第二列是用户是否是高价值用户的标签，第三列、第四列是对应的概率： id,label,proba_0,proba_1 4e07408562bedb8b60ce05c1decfe3ad16b72230967de01f640b7e4729b49fce, 1,0.268941,0.731059 2c624232cdd221771294dfbb310aca000a0df6ac8b66b696d90ef06fdefb64a3, 0,0.731059,0.268941 8527a891e224136950ff32ca212b45bc93f69fbb801c3b1ebedac52775f99e61, 0,0.731059,0.268941 可以看出企业A提供的预测数据集中有部分用户被模型预测成了高价值的客户，后续企业A可以对这一部分用户进行定向精准营销，缩小营销广告的投放范围，减少了营销的成本。 当两方都提供特征时，预测结果分为对齐id文件（只有一列id）和预测结果文件（包括预测结果标签、0的概率、1的概率），两个文件的行数相等且每一行相互对应。 至此，企业A完成了整个TICS联邦建模的流程，并将模型应用到了营销业务当中。这个预测作业可以作为后续持续预测的依据，企业A可以定期地使用模型预测自己的新业务数据。同时企业A也可以根据新积累的数据训练出新的模型，进一步优化模型预测的精确率，再创建新的联邦预测作业，产出更精准的预测结果供业务使用。 父主题： 使用TICS联邦预测进行新数据离线预测