华为云用户手册

下载新版本软件包通知 根据PCP协议约定的交互流程，查询完版本号后， 物联网平台 下发指令让设备下载新版本的软件包。 物联网平台发送消息 根据PCP消息结构的定义可以得出，物联网平台向设备下发下载新版本软件包通知时，各消息字段的填写如下。 起始标识固定为：FFFE。 版本号固定为：01。 消息码：此处为新版本通知，查询消息码表可以知道新版本通知为20，转换为十六进制为14。 校验码：CRC16计算前先用0000替代。 数据区长度：根据数据区的消息字段可以得出，数据区长度为22个字节，转换为十六进制为：0016。 数据区：根据数据区的定义可知。 目标版本号：由16个字节组成，假设升级的目标版本号为v1.0版本，转换为十六进制并在后面14个字节补充0后得到：56312E30000000000000000000000000。 升级包分片大小：由2个字节组成，升级包分片大小由制作软件升级版本包中的“deviceShard”字段定义，假设为500byte，转换为十六进制后为：01F4。 升级包分片总数：由2个字节组成，由软件包大小除以每个分片的大小并向上取整获得。假设软件包大小为500byte，则分片数量为1，转换为十六进制后为：0001。 检验码：由2个字节组成，由制作软件升级版本包中的“versionCheckCode”字段定义，假设为1234。 字段 数据类型 描述及要求 目的版本号 BYTE[16] 目的版本号，由ASCII字符组成，位数不足时，后补“0X00”。 升级包分片大小 WORD 每个分片的大小 升级包分片总数 WORD 升级包分片总数 升级包校验码 WORD 升级包校验码。用户上传升级包时，需要在升级包描述文件里填写校验码 将下载新版本软件包通知的消息流组合起来得到：FFFE 01 14 0000 0016 56312E30000000000000000000000000 01F4 0001 0000。前面说了，还要将消息流进行CRC16算法计算得到校验码为02F7。因此，物联网平台向设备通知下载新版本软件包的信息，物联网平台向设备发送的消息流为FFFE011402F7001656312E3000000000000000000000000001F400011234。 设备返回的应答消息 设备收到下载新版本软件包通知后，设备向物联网平台返回应答消息，是否允许设备进行升级，各消息字段的填写如下。 起始标识固定为：FFFE。 版本号固定为：01。 消息码：与请求的消息码一致，为14。 校验码：CRC16计算前先用0000替代。 数据区长度：根据数据区的字段的数据类型得出数据区长度为1个字节，转换为十六进制为：0001。 数据区：设备根据自身的情况对平台下发的新版本通知进行响应，本示例以设备应答“允许升级”为例进行介绍，得出数据区为：00。其它应答消息请根据应答消息字段进行适配。 字段 数据类型 描述及要求 结果码 BYTE “0X00”允许升级 “0X01”设备使用中 “0X02”信号质量差 “0X03”已经是最新版本 “0X04”电量不足 “0X05”剩余空间不足 “0X09”内存不足 “0X7F”内部异常 将设备给物联网平台的应答消息流组合起来得到：FFFE 01 14 0000 0001 00。前面说了，还要将消息流进行CRC16算法计算得到校验码为D768。因此，设备向平台返回的应答消息流为FFFE0114D768000100。

接入边缘节点 边缘节点是您部署在设备侧的边缘计算设备，用于运行IoT边缘应用，处理您的数据，并安全、便捷地和云端园区物联网平台进行协同。您可以通过部署应用来构建您自己的边缘计算能力。要使用IoT边缘服务，首先需要接入边缘节点。接入边缘节点之后，您可以在云端进行远程管理边缘节点。 登录园区物联网平台控制台。 选择左侧导航栏的“IoT边缘服务”，单击页面右上角的“添加边缘节点”。 在打开的界面中，配置边缘节点的基本信息并单击“立即添加”。 单击页面右下角的“创建”，下载配置文件和边缘节点安装工具。 根据页面提示，单击“下载 边缘节点名称.tar.gz 配置文件”下载配置文件。 单击“完成”。您可以看到边缘节点的状态为“未纳管”，这是因为还未部署IoT边缘应用。 父主题： 具体操作

迁移设备 迁移设备是指将对接了开发中心（测试环境）的设备迁移到园区物联网平台服务（商用环境）中去。迁移对接的过程中，开发中心数据不割接，由应用服务器负责保存设备在开发中心的历史数据。 针对设备直接接入园区物联网平台的操作。 您需要将设备根据通信协议修改对接的平台地址为“园区物联网平台服务”的设备对接地址。 您需要在“设备管理服务”中注册设备，可以使用应用服务器调用平台注册设备接口，也可以在界面上注册设备。 平台为每一个注册到平台上的设备生成了一个deviceId，这是设备在平台上的唯一ID，您需要将设备和ID映射关系刷新为新的ID。 针对设备通过网关间接接入园区物联网平台的操作，此情况下，设备先接入到边缘节点，通过边缘节点与园区物联网平台的配合，完成设备的管理操作。详细操作请参考设备接入边缘节点指导。

迁移应用 迁移应用是指将对接了开发中心（测试环境）的应用服务器迁移到园区物联网平台服务（商用环境）中去，您需要完成以下步骤： 为了使应用服务器能对接这个业务使用空间，您需要将对接的平台地址修改为“园区物联网平台服务”的应用对接地址。 在“园区物联网平台服务”中，应用对应的是开发中心的项目。为了使应用服务器能调用平台的接口，您需要将应用服务器中设定的应用ID和应用密钥修改为新的值。 如果应用服务器调用“鉴权”接口成功，表明应用服务器已对接到商用环境。

开发流程 使用园区物联网平台构建一个完整的物联网解决方案主要包括4部分开发和配置：园区物联网平台、设备、业务应用及边缘侧配置。 园区物联网平台作为连接业务应用和设备的中间层，屏蔽了各种复杂的设备接口，实现设备的快速接入；同时提供强大的开放能力，支撑用户快速构建各种园区物联网业务应用。s 设备可以通过固网、2/3/4G、NB-IoT、Wifi等多种网络接入物联网平台，并使用LWM2M/CoAP或MQTT协议将业务数据上报到平台，平台也可以将控制命令下发给设备。 业务应用通过调用物联网平台提供的API，实现设备管理、数据上报、命令下发等业务场景。 IoT边缘服务通过在靠近终端设备的地方建立边缘节点，将云端园区物联网平台的管理能力延伸到靠近终端设备的边缘节点，提供轻量化的设备管理（设备接入、设备鉴权、云边数据同步等），在节点与云端断链情况下也能提供设备的本地管理（设备数据缓存、设备命令、规则引擎等），为用户提供低成本、本地自闭环、边缘智能、云边协同的软硬一体化方案。 因此，基于园区物联网平台去实现一个园区物联网解决方案时，主要的开发流程如下： 开发操作 操作说明 开通园区物联网平台服务 登录Console，园区物联网平台服务开通后，将同时获得设备接入，管理和IoT边缘的能力。 购买边缘节点硬件 园区边缘节点软硬件需要有特殊要求，具体参见边缘节点规格。请提前购买符合要求的软硬件。 接入边缘节点 在园区物联网平台控制台上接入边缘节点，同时获取边缘节点相配套的配置文件和安装工具。 部署边缘节点 在边缘节点上部署IoT边缘应用，这样以便云边结合，共同完成设备管理目的。部署完成后，边缘节点会自动连接到园区物联网平台服务。 园区平台侧开发 在园区物联网平台集成解决方案中，平台作为承上启下的中间部分，向应用服务器开放API接口，向各种协议的设备提供API对接。为了提供更加丰富的设备管理能力，园区物联网平台需要理解接入设备具备的能力以及设备上报数据的格式，因此，您需要在开发中心完成产品模型Profile和编解码插件开发，并上传到园区物联网平台。具体操作详见平台侧开发指导。 园区设备侧开发 园区设备需要根据自身特征，进行针对性的设备集成开发，以便获得接入园区物联网平台的能力，具体操作详见设备侧开发指导。 园区应用侧开发 园区物联网平台通过Restful API的形式对外开放物联网平台丰富的设备管理能力。应用开发人员可以基于API接口开发所需的应用，如智慧社区、智慧园区、智慧楼宇等应用，满足不同业务的需求。具体操作详见应用侧开发指导。 自助测试 自助测试提供了端到端的测试用例，帮助开发者自助完成产品的基础能力测试，如数据上报、命令下发等。旨在通过物联网检测技术帮助开发者发现自身产品中存在的缺陷或问题，缩短产品上市时间。测试完成后，开发中心将生成测试报告，用于进行产品发布认证。当开发者已完成产品profile定义和编解码插件开发，并且部署了编解码插件后，可以进行自助测试。具体操作详见自助测试指导 产品发布 完成自助测试后，可以将产品模型和编解码插件等打包发布到产品中心，以便在园区物联网平台上注册设备时使用。具体操作详见产品发布指导 商用对接 由于开发中心所在的平台环境为测试环境，园区物联网平台环境为商用环境，两个环境的数据不能互通，已对接测试环境的设备/应用服务器要迁移商用环境。本阶段需要分别修改应用及设备的数据，以便将设备及应用接入园区物联网平台。具体操作详见商用对接操作指导 平台运营管理 真实设备接入后，基于园区物联网控制台及边缘节点，进行日常的设备管理工作。请参见《使用指南》。 园区物联网平台主要在三个地方进行操作，如下图所示： 园区物联网平台Console：直接访问https://console.huaweicloud.com/smartcampus，即可登录。在Console上您可以查看园区物联网平台注册的设备总体信息、默认产生的应用信息、平台与设备及应用对接地址以及接入边缘节点操作等，具体操作详见《使用指南》。 园区物联网平台Portal：提供园区设备的接入和日常管理操作，具体操作详见《使用指南》。您可在园区物联网平台Console总览页面，点击右上角“进入物联网平台”访问Portal（如上图所示）。 开发中心：您直接访问https://iot-dev.huaweicloud.com:8843/，即可登录，或者在园区物联网平台Console，点击开发中心快捷入口进入（如上图所示）。开发中心提供设备集成及应用集成的支撑环境，您可在开发中心完成产品模型Profile和编解码插件等开发。

产品优势 传统园区由于不同系统之间数据格式不同存在信息不能共享，智慧化应用水平低等原因，产生了技术与人难互动、信息化与园区难以有机整体协调，公共数据难以互联互通，用户感知度较差等问题。同时由于缺乏统一、高效、便捷的集中式管理，应用可扩展性差、预警事故难以实现。另外随着园区的不断发展，人数增长、设备增多、能耗增加等，管理园区的难度越来越大，特别是传统园区的管理方式无法从全面整合、互联互通的全局视角去管理园区。 园区物联网平台是华为智慧园区解决方案物联网设备接入及管理底座，相比传统平台，园区物联网平台的优势在于： 主要优势 传统平台 园区IoT平台 设备全连接 硬件开发平台、接入协议、接入网络碎片化严重，多厂家多终端类型，上层应用伙伴集成兼容难度高。 自定义IoT主流协议适配组件，支持园区内所有设备接入，如楼宇、安防、能耗、基础设施设备等。提供灵活多样的接入方式如网关或基于原生协议接入。 数据全融合 存在多个应用子系统，每个系统保存的数据格式不统一，无法做到数据共享。 数据从传统独立子系统汇聚到统一平台，以统一标准格式保存，从而打破信息孤岛，实现跨业务数据共享，使能园区各类智慧应用，支撑园区高效运营。 场景全联动 周界、消防、视频等系统无法联动，突发事件响应速度慢。 自定义规则，在满足触发条件时，物联网平台会触发预设操作，实现周界、消防、视频等系统联动协同，实现自动化调度，提升效率，促进园区业务创新。 调度全智能 网络异常时或者对于实时性能要求较高的视频监控，无法快速做出响应。 云端推理，边缘决策，终端执行，基于云边协同，将云端智能分析能力延展到边缘、终端。

设备管理 对象 描述 限制 开发中心设备数量 使用开发中心在调测阶段单个应用允许接入的最大设备数量 20 产品模型 产品模型文件包大小限制 4 MB 设备配置更新配置文件 设备配置更新配置文件大小限制（仅支持Json格式） 200 KB 批量设备配置更新 单次批量设备配置更新最多的设备数量 10000 批量命令下发 单次批量命令下发最多的设备数量 10000 软固件升级 – 无限制 软固件升级数 单次批量软固件升级的设备数量 30000 固件升级包 固件升级包大小限制 200 MB 软件升级包 软件升级包大小限制 200 MB 群组 单个应用最多可创建的群组数量 10 单个群组最大层级数量 10 单个设备最多可被添加至群组的数量 1 标签 单个应用最多可添加的设备标签数量 2000 设备历史数据 设备历史数据最长存储时长 如果您有更长时间额数据存储需要，可以使用 对象存储服务 OBS。 7 天 报表统计 报表统计数据最长存储时长 180 天 应用侧API 单账号每秒应用服务器订阅最大消息数 不建议高于10 TPS，高于10 TPS的订阅，建议使用数据转发规则。 设备访问授权 单个应用授权最多可以授权给多少个应用 20 单个应用最多可以被多少个应用授权 200 设备影子 - 无限制

设备接入 对象 描述 限制 设备数量 单个账号最多可添加的设备数量 1000万 连接和请求 单个MQTT设备支持的连接数 1 单个连接每秒最大的MQTT请求数量 300 单个MQTT连接每秒的吞吐量，即带宽，包含直连设备和网关 3KB/S MQTT单个发布消息最大长度 1MB MQTT协议规范 MQTT v3.1.1标准协议 与标准MQTT协议的区别 不支持will、retain msg 不支持QoS2 不支持Topic自定义 MQTT协议支持的安全等级 采用TCP通道基础 + TLS协议（TLSV1、 TLSV1.1和TLSV1.2 版本） MQTT连接心跳时间建议值 推荐设置为120秒 MQTT协议消息发布与订阅 设备只能对自己的Topic进行消息发布与订阅 MQTT协议每个订阅请求的最大订阅数 无限制 支持的LWM2M协议版本 1.0.2版本 LWM2M/CoAP单个发布消息最大长度 1MB，超过此大小的发布请求将被直接拒绝。 应用 单个账号最多可创建的应用数量 1 注：开通设备管理服务后，可创建应用数量变为10 单个应用最多可添加的设备数量 1000万 产品模型 单个应用最多可创建的产品模型数量 20 批量设备注册 单次批量注册最多的设备数量 30000 规则引擎 单个应用最多可创建的规则数量，包含数据转发规则和设备联动规则 50 设备日志收集 – 仅支持基于华为NB-IoT芯片和LWM2M协议的设备 审计日志 管理门户日志最长存储时长 90 天 北向API 单个应用调用API的每秒最大次数 100 命令缓存下发 单个应用允许缓存下发的最大命令条数 20

使用场景 园区物联网平台主要运用构建智慧社区、智慧楼宇、智慧园区等场景，主要解决用户以下问题。 统一设备接入和管理场景： 在云端园区物联网平台中，自定义IoT主流协议适配组件，支持行业协议(如CoAP /MQTT /Modbus/ BACnet等)快速集成，接入方式灵活多样，支持设备采用网关，原生协议接入。 同时在平台预置20+园区典型设备标准模型（包括设备描述文件及Profile实例），如BA-空调、BA-冷水机、BA-送排风、BA-照明、BA-给排水、消防主机、门禁、车闸等，帮助客户及设备厂商快速完成园区设备统一定义，提升设备与IoT平台集成效率。 多数据融合场景： 园区存在多个子系统，不同系统保存的数据格式不一样，这样导致各个系统的数据难以共享，互联互通。园区将各个子系统汇聚接入后，各个子系统上报的数据以统一格式保存，并对外共享，这样打破了信息孤岛，实现了数据共享。 跨系统联动场景： 借助规则引擎功能，用户可基于时间、设定条件，触发设备执行相关动作，实现各类设备及业务系统协同联动，实现园区设备运维业务自动化调度，提升运营效率。

平台简介 园区物联网平台是智慧园区方案的底座，负责园区各种终端的接入，提供设备全生命周期管理及联接管理，并且通过开放API接口将能力提供给应用系统调用，最终实现端到端物联应用业务的对接。另外提供规则引擎功能，可以将数据转发至华为云服务或者根据预置条件触发多系统联动操作，平台的功能架构如图所示： 园区物联网平台提供了在线管理门户，帮助您顺利完成园区设备的接入和管理等操作，具体功能如下： 功能 子功能 简介 设备接入 多网络接入 支持有线和无线的接入方式，如固定宽带、2G/3G/4G/5G、NB-IoT等。详细请参见园区设备侧开发。 原生协议接入 支持MQTT原生协议接入。详细请参见园区设备侧开发。 系列化Agent接入 支持Agent Lite和Agent Tiny，其中Agent Lite覆盖的语言包括C、Java、Android。Agent与海思、高通主流芯片、模组预集成，缩短TTM。详细请参见园区设备侧开发。 设备双向通信 物联网平台提供设备数据采集功能，例如设备业务数据、设备告警，同时支持应用对设备数据的订阅。详细请参见订阅推送数据。 支持通过应用服务器或控制台以下发命令的方式，将命令下发到设备，达到平台对设备远程控制的效果。详细请参见命令下发。 应用对接 物联网平台开放了海量的API接口和SDK，帮助开发者快速孵化行业应用。详见园区应用侧开发。 数据转发规则 数据转发规则用于将物联网平台接收的设备数据，转发到华为公有云的其它服务进行数据分析、存储等。详见管理规则。 设备实时状态监控 物联网平台实时监控设备的状态，包括在线、离线、未激活，实时获取状态变更通知。详见查看设备状态。 审计日志 园区物联网平台控制台对所有平台的使用人员的操作日志、安全日志（登录、登出、密码修改等）进行记录，便于 日志分析 和故障定位。详见查看审计日志。 设备管理 产品模型定义 用于定义一款接入设备所具备的属性（如颜色、大小、采集的数据、可识别的指令或者设备上报的事件等信息），然后通过厂家、设备类型和设备型号，唯一标识一款设备，便于平台识别。产品模型可通过开发中心进行无码化开发。详见管理产品模型。 设备影子 设备影子是一个JSON文档，用于存储设备的状态、设备最近一次上报的设备属性、应用服务器期望下发的配置。每个设备有且只有一个设备影子，设备可以获取和设置设备影子以此来同步状态，这个同步可以是影子同步给设备，也可以是设备同步给影子。详见设备影子。 报表统计 在控制台上提供了丰富的报表功能，方便用户查看应用和设备的使用情况。详见查看设备报表 设备联动规则 设备联动规则通过设置一个规则的触发条件（如温度阈值、时间等），在满足触发条件时，物联网平台会触发一个指令来使设备执行一个操作（如上报信息、打开设备开关、上报告警等）。 详见管理规则 告警管理 支持管理通过规则引擎里定义触发的设备告警，包括查看告警详情和恢复告警。 详见告警管理 设备分组及标签 支持对设备进行群组和标签管理，通过有效分组和批量管理，减轻设备管理成本。详见管理群组和标签。 设备批操作 支持对设备的批量操作，包括：批量设备注册，批量配置更新、批量命令下发、批量软固件升级。详见软件升级，固件升级。 设备配置更新 支持通过应用服务器或控制台以下发命令的方式，对设备的属性进行更新。详见设备监控。 针对园区存在多种类型的终端如闸机、传感器、采集器、标签等，同时需要连接多个子系统如停车系统、门禁系统，会议室系统、消防系统、BA系统等需求，边缘节点通过内置20+园区典型设备模型，支持主流协议接入，同时提供容器化部署环境，厂商可部署自定义的设备协议适配插件，因此具有强大的泛协议接入能力。 另外园区物联网平台部署在云端，离终端设备（如摄像头、传感器等）较远，对于实时性要求高的计算需求，把计算放在云上会引起网络延时变长、网络拥塞、服务质量下降等问题，同时终端设备通常计算能力不足，无法与云端相比。对于实时性要求较高的场景，云端因网络延时、网络拥塞等原因导致问题处理不及时。另外物联网设备数据量大，如果全部上报云端，数据传输成本也高。在此情况下，通过在靠近终端设备的地方建立边缘节点，将云端计算能力延伸到靠近终端设备的边缘节点，提供轻量化的设备管理能力（包括设备接入、设备鉴权、云边数据同步等），在边缘节点与云端断链情况下也能提供设备的本地自治（包括设备数据缓存、设备命令、规则引擎等），从而可以很好解决这些问题。 功能 子功能 简介 IoT边缘服务 就近接入 支持设备通过MQ TTS 、Modbus、BACnet、OPC等协议接入IoT边缘节点。 数据管理 支持对设备数据的编解码、Profile校验、数据缓存和边云同步。 边缘Console IoT边缘节点的本地Portal，支持节点管理、设备数据查看、设备控制等。 本地自治 当网络异常时提供本地自治能力，云端已下发的规则和AI模型正常运行，确保业务连续性，当网络恢复时，数据同步到云端。 业务恢复 支持在边缘软件或硬件故障场景下，通过云端备份快速恢复边缘业务。 设备联动 支持在云端通过可视化的方式定义设备之间联动规则，并自动推送边缘执行，在边缘节点离线时规则联动正常运行。 设备控制 支持在云端以下发命令的方式，将命令下发到边缘节点，边缘节点下发到设备，达到设备远程控制的效果。 系列化硬件 支持IoT边缘软件部署与硬件解耦，只要符合要求的硬件（详见使用限制），即可部署边缘服务。

名词解释 名词 描述 开发中心 物联网一站式开发工具，帮助开发者快速进行Profile（产品模型）和编解码插件的开发，同时提供在线自助测试、产品发布等多种能力，端到端指引物联网开发，帮助开发者提升集成开发效率、缩短物联网解决方案建设周期。 产品中心 产品中心为客户展示通过华为IoT生态认证的解决方案、终端产品、模组等商用产品，并与全球IoT商用平台联网，实现产品一点接入，全球可达，帮助客户缩短商业变现周期，降低商业风险。 项目 指物联网平台的资源空间。开发者在基于开发者中心进行物联网开发时，需要根据行业属性创建独立的项目，并在该项目空间内建设物联网产品和应用。 产品 某一类具有相同能力或特征的设备的集合称为一款产品。除了设备实体，产品还包含该类设备在物联网能力建设中产生的产品信息、产品模型（Profile）、插件、测试报告等资源。 产品模型 产品模型（也称Profile）用于描述设备具备的能力和特性。开发者通过定义Profile，在物联网平台构建一款设备的抽象模型，使平台理解该款设备支持的服务、属性、命令等信息。 服务 产品模型的一部分，描述设备具备的业务能力。将设备业务能力拆分成若干个服务后，再定义每个服务具备的属性、命令以及命令的参数。 属性 产品模型的一部分，一般用于描述设备运行时的状态，如环境监测设备所读取的当前环境温度等。 编解码插件 物联网平台和应用服务器使用JSON格式进行通信，所以当设备使用二进制格式上报数据时，开发者需要在物联网平台上开发编解码插件，帮助物联网平台完成二进制格式和JSON格式的转换。 应用 物联网平台中，应用包括用户在物联网平台上创建的应用和用户自行开发的应用服务器。 应用是用户在物联网平台中为用户的业务划分一个项目空间，每个项目空间会分配一个应用ID和应用密钥，用于将开发完的应用服务器与真实设备接入到这个项目空间中，实现设备的数据采集和设备管理。 应用服务器是用户基于物联网平台开放的API接口或者SDK进行自行开发的物联网应用，可接入物联网平台进行设备的管理。 设备 归属于某个产品下的设备实体，每个设备具有一个唯一的标识码。设备可以是直连物联网平台的设备，也可以是代理子设备连接物联网平台的网关。 网关 具有子设备管理功能，并代理子设备连接物联网平台的设备实体。 子设备 不与IoT平台直连，通过网关连接物联网平台的设备实体。 边缘节点 是物联网的边缘“小脑”，在靠近物或数据源头的边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供计算和智能服务，满足行业在实时业务、应用智能、安全与隐私保护等方面的基本需求。 模组 又称通信模组，由若干个显示模块、驱动电路、控制电路、芯片以及相应的结构件构成的一个独立的显示单元，设备通过通信模组具备与物联网平台的通信能力。当前模组厂商主要提供Wifi、NB-IoT、2/3/4/5G等通信模组。 固件 固件（Firmware）一般是指设备硬件的底层“驱动程序”，承担着一个系统最基础最底层工作的软件，比如计算机主板上的基本输入/输出系统BIOS（Basic Input/output System)。 固件升级又称为FOTA（Firmware Over The Air），是指用户可以通过OTA的方式对支持LWM2M协议的设备进行固件升级，升级协议为LWM2M协议。 软件 软件（Software）一般分为系统软件和应用软件，系统软件实现设备最基本的功能，比如编译工具、系统文件管理等；应用软件可以根据设备的特点，提供不同的功能，比如采集数据、数据分析处理等。 软件升级又称为SOTA（SoftWare Over The Air），是指用户可以通过OTA的方式支持对LWM2M协议的设备进行软件升级，升级协议为PCP协议。 PCP协议 平台升级协议（PCP协议）规定了设备和平台之间升级的通信内容与格式，用于实现设备的升级。 nodeId 设备唯一物理标识，如IMEI、MAC地址等，用于设备在接入物联网平台时携带该标识信息完成注册鉴权。 deviceId 设备ID，用于唯一标识一个设备，在注册设备时由物联网平台分配获得，是设备在IoT平台上的内部标识，用于设备注册鉴权，及后续在网络中通过deviceId进行消息传递。 预置密钥 当NB-IoT设备、集成Agent Lite SDK的设备接入时，预置密钥用于设备和物联网平台之间的传输通道安全加密。 密钥 用于设备采用原生MQTT协议接入物联网平台时的鉴权认证。 数字证书 由国际知名的证书机构VeriSign、Symantec和GlobalSign等CA（Certification Authority）机构进行签发，用于HTTPS建链时服务端和客户端之间的身份合法性验证。 token 鉴权参数，访问物联网平台API接口的凭证。应用服务器首次访问物联网平台的开放API时，需调用鉴权接口完成认证鉴权，获取accessToken。 群组 群组是一系列设备的集合，用户可以对应用下所有设备，根据区域、类型等不同规则进行分类建立群组，以便处理对海量设备的批量管理和操作。 标签 物联网平台支持定义不同的标签，并对设备打标签，通过标签，可以快速筛选设备。 订阅推送 订阅：是指应用服务器通过调用物联网平台的API接口，向平台获取发生变更的设备业务信息（如设备注册、设备数据上报、设备状态等）和管理信息（软固件升级状态和升级结果）。 推送：是指订阅成功后，物联网平台根据应用服务器订阅的数据类型，将对应的变更信息推送给指定的URL地址。 Topic Topic是UTF-8字符串，是发布/订阅（Pub/Sub）消息的传输中介。可以向Topic发布或者订阅消息。 设备影子 设备影子是一个JSON文件，用于存储设备的在线状态、设备最近一次上报的设备属性、应用服务器期望下发的配置（期望值）。每个设备有且只有一个设备影子，设备可以获取和设置设备影子以此来同步状态，这个同步可以是影子同步给设备，也可以是设备同步给影子。 规则引擎 物联网平台根据用户设置的规则和设备上报的数据，当设备满足设置的条件时，即触发对应动作，给设备下发命令或将数据转发给公有云其他服务进行进一步整合利用。包含设备联动和数据转发两种类型。 NB-IoT 窄带物联网（Narrow Band Internet of Things, NB-IoT）是IoT领域的一个重要技术。NB-IoT构建于蜂窝网络，只消耗大约180kHz的带宽，可直接部署于GSM网络、UMTS网络或LTE网络，以降低部署成本、实现平滑升级。其具有覆盖广、连接多、速率低、成本低、功耗低、架构优等特点，可以广泛应用于多种垂直行业，如远程抄表、智慧农业等。 MQTT MQTT（Message Queue Telemetry Transport）是一个物联网传输协议，被设计用于轻量级的发布/订阅式消息传输，旨在为低带宽和不稳定的网络环境中的物联网设备提供可靠的网络服务。 MQTTS指MQTT+SSL/TLS，在MQTTS中使用SSL/TLS协议进行加密传输。 CoAP 受约束的应用协议CoAP（Constrained Application Protocol）是一种软件协议，旨在使非常简单的电子设备能够在互联网上进行交互式通信。 CoAPS指CoAP over DTLS，在CoAPS中使用DTLS协议进行加密传输。 LWM2M LWM2M（lightweight Machine to Machine）是由OMA（Open Mobile Alliance)定义的物联网协议，主要使用在资源受限(包括存储、功耗等)的NB-IoT终端。

运维架构 全栈专属服务 的运维包括硬件和软件两部分，运维架构如图1所示。 硬件：全栈专属服务部署在华为云数据中心，硬件更换及网络维护等工作需要由华为云统一运维。 软件：软件运维需要客户和华为运维团队共同承担。 客户侧：客户侧运维标配能力由 云监控 （Cloud Eye）提供，主要针对用户数据库、用户操作系统以及云服务资源等。云监控为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控不需要开通，监控服务会根据您创建的资源自动启动，您可直接到云监控查看资源的运行状态并设置告警规则。 客户侧运维可选能力由 应用运维管理 （Application Operations Management， AOM ）提供，主要针对用户云化业务APP以及业务中间件等。AOM作为云上应用的一站式立体化运维管理平台，可以实现对云主机、存储、网络、WEB容器、docker、kubernetes等应用运行环境的深入监控并进行集中统一的可视化管理，能够有效预防问题的产生及快速帮助应用运维人员定位故障，降低运维成本。 华为侧：提供云平台的远程运维服务，相关服务内容包括：监控告警、部署变更、故障处理、网络管理、运维数据分析等，提供7 × 24小时全时监控，保障客户业务稳定运行。同时，助力客户从基础设施运维中解决出来，聚焦核心业务，成就客户价值。 图1 全栈专属服务运维架构

运维优势 随着云计算和虚拟化技术的发展，IT基础架构的管理向自服务管理、IT服务自动化、横向扩展的服务器、存储及网络架构管理、以及对不同技术领域的统一管理的方向转变。新一代的数据中心管理需求主要有： 有效的控制物理服务器成本 降低数据中心运营成本 降低管理成本 降低数据中心能耗 解决数据中心业务上线周期长的现状 兼顾不同厂商物理、虚拟资源统一管理 提高数据中心基础架构设备利用率 解决关键应用故障恢复和灾难保护 简化运维 为适应新一代数据中心管理需求，全栈专属服务在运维管理方面有如下优势： 端到端的自助服务管理 统一的业务运营和运维管理 自动化的流程编排及资源分配、应用部署 多数据中心的统一管理 支持多种硬件设备、软件的集成服务 服务器、网络、存储、数据库、中间件等的运维管理

系统架构 全栈专属服务架构具体说明如下： 基础设施：指的是硬件设备及虚拟化平台，包括计算、存储、网络和防火墙等设备。基础设施虚拟化层将物理资源转化为虚拟资源池，从而可以轻松、动态的调度各类资源。 云服务系统：指的是IaaS服务、PaaS服务和SaaS服务。我们为您提供Console、API或者SDK等多种使用云服务的方法，同时提供在线帮助中心。使用云服务过程中涉及的计算资源、网络资源和存储资源，都需要从基础设施虚拟资源池中申请。 运维平台：主要服务对象为云服务的运维管理工程师，主要提供云服务的安装和升级、虚拟化系统及物理基础设施的日常监控与告警管理、日志管理、工单管理、安全管理，成本管理等。 图1 全栈专属服务系统架构 父主题： 产品架构

安全架构 全栈专属服务架构是根据业界最佳实践，并结合华为自身多年来的项目积累，提取经验中的精华进行设计的。安全架构的设计目标是全面满足用户业务的安全、可靠以及数据完整等安全需求，向客户提供全栈立体安全防御。 可靠性：全栈专属服务整体架构中的安全设备、安全系统的核心部件均采用高可靠性的设计方案，即采用双机热备的方式进行部署，以满足数据中心业务长期运作的安全保障需求。 模块化：全栈专属服务架构从物理层安全、网络安全、主机安全、应用安全、虚拟化安全、用户安全六大块内容进行设计。安全架构可以根据客户实际的需求，快速组合，形成满足用户实际需求的安全体系，更具针对性。 易扩展：全栈专属服务架构是为满足用户的安全需求而提出的一个指导性框架。用户可以根据该指导性框架，结合其不同时期的安全需求进行相应的安全建设，在满足用户安全需求的同时保护了用户的投资。 图1 全栈专属服务安全架构 全栈专属服务的主要安全测评及认证包括： CS A STAR 金牌认证、CSA C-STAR、ISO/IEC 27001、ISO/IEC 27017、CC EAL3+ 、PCI DSS、公安部等保三级、中国DC联盟可信云服务认证。 父主题： 产品架构

互联网出口区 互联网出口区主要功能是数据中心网络对接Internet线路和接入专线网络。 图2 互联网出口区 互联网出口区使用路由器与MPLS承载网络(多协议标签交换，Multi-Protocol Label Switching)与Internet网络、DCN网络(数据通信网络，Data Communication Network)等进行互联。使用BGP协议(边界网关协议，Border Gateway Protocol )或者静态路由与外部网络进行互通，企业接入采用静态路由方式。可靠性方面通过主备链路方式实现，即采用双线双链路接入，每线连接一个运营商，以此保证数据中心外联线路的可靠性。 数据中心互联网出口区防火墙为可选组件，串联部署。串联防火墙工作采用路由模式，分为Untrust、Trust、DMZ和Management四个区域，各安全域通过域间策略控制安全访问。防火墙与出口路由器之间使用OSPF路由协议，动态学习内网发布的路由条目。

产品全景 全栈专属服务将华为云丰富的云服务持续提供给客户，满足客户不同场景的需求，并且服务能力同步华为云持续迭代升级。 基础服务 提供基础计算、存储、网络以及管理服务。包括：弹性云服务器、裸金属服务器、弹性伸缩服务、云硬盘、云硬盘备份、对象存储服务、文件存储服务、云服务器备份、虚拟私有云、弹性负载均衡、VPN服务、NAT网关、 域名 解析服务、 统一身份认证 、 云审计 服务、 云监控服务 等。 数据库服务 提供多种数据库引擎。具体包括：云数据库Mysql、云数据库PostgreSQL、文档数据库服务、 分布式数据库 中间件等。 大数据服务 针对不同场景提供多种大数据服务。包括： MapReduce服务 、 数据仓库 服务、图引擎服务、 数据湖 工厂、 云搜索服务 、 云数据迁移 等。 中间件和应用服务 提供应用中间件、帮助客户应用实现容器化、微服务架构升级改造。包括：应用管理与运维平台、 容器镜像服务 、云容器引擎、应用运维管理、应 应用性能管理 、分布式消息服务、 应用编排服务 、分布式缓存服务等。 安全服务 提供多种安全服务，保障客户应用与数据的安全。包括：安全中心、流量清洗、 数据加密 服务、数据库安全服务等。

网络服务区 网络服务区包括远程接入VPN设备、业务流量负载均衡器和安全防护设备防火墙。 图3 网络服务区 防火墙隔离各个安全域，对安全域之间的互访进行权限限制。防火墙提供虚拟防火墙功能，为需要高安全需求的租户提供网络防护能力。VPN防火墙提供VPN功能，提供用户远程加密接入，维护和管理用户自己数据中心的资源。 负载均衡功能为租户的应用服务提供负载均衡能力。负载均衡设备提供虚拟负载均衡，各个虚拟负载均衡资源之间实现逻辑隔离。每个租户可以使用至少一个及以上的虚拟负载均衡资源，租户之间的数据配置互不影响。

混合云容灾支持哪些类型的操作系统？ 支持主流的Windows和Linux操作系统。如表1所示。 表1 混合云容灾支持的操作系统 操作系统 版本 Windows Server 2008R2、2012R2、2016 Redhat Enterprise Linux 推荐：6.8、7.2、7.3 支持：6.X系列、7.X系列 CentOS 使用英方容灾软件时，推荐6.8、7.2、7.3 支持：6.X系列、7.X系列 SUSE Linux 使用英方容灾软件时，支持11.X系列、12.X系列

方案亮点 自主可控：云平台部署在华为云数据中心，华为完全自主知识产权，国产软硬件一体化交付，自主可控。 安全合规：内网区与互联网区完全隔离，提供从基础设施层到外联接入，运维管理，租户云服务层的全栈端到端立体安全防御，满足等保安全合规的要求。 全栈云服务能力：完全继承华为公有云丰富的云服务能力，提供智慧城市各类应用所需的云服务平台，包括IaaS、PaaS及EI人工智能等，并跟随华为云迭代演进。 云服务按需选取，平滑扩展：云服务之间独立解耦，可按业务实际需求选装云服务，轻量化起步，并且后期支持平滑扩展。

华为云有没有云容灾的成功案例？ 华为云的云容灾方案已有成功的案例，如表1所示。 表1 云容灾方案成功案例举例 场景 项目 效果 跨云容灾 蓝光BRC：混合云主备容灾 使用本地IDC+华为云的混合云容灾方案，大幅降低容灾成本，缩短项目建设周期，并且实现跨地域容灾，能够随时进行容灾演练。 云上容灾 VMALL：同城双活+异地容灾的高可靠电商平台 通过多AZ部署、同城双活和异地容灾保障以及可视化容灾界面，大幅提高业务可用性及可运维性，轻松应对业务浪涌、黑客攻击、运维成本高等难题。

在华为云上部署容灾系统，如何保证数据安全？ 华为云非常重视安全： 政策上恪守“不碰数据”底线。华为云作为中立的云服务提供商，坚持“不碰应用，不碰数据，不做股权投资”。客户拥有其云上数据的所有权和控制权， 没有客户授权，绝不碰客户数据。 技术上帮助客户削减数据安全风险。客户拥有其云上数据主权的同时须对安全负责，华为提供丰富服务，供客户自主选择，帮助客户提升安全防护水平，削减数据安全风险。 同时，华为云围绕安全防护、合规运营、隐私保防护开展持续有效的安全治理工作，确保不触碰数据的同时，帮助客户保障数据安全。 提供专属资源，租户独享自己的专属资源池（通过DCC、BMS、DSS云服务实现），以满足性能与安全合规要求。 众多企业客户选择华为云承载其核心业务与核心数据，体现了对华为云的充分信任。 关于安全的更多信息，请参见华为 云安全 。

关闭SELinux 修改工作机，同步机和灾备机节点的SELinux权限，英方i2nas要求需要关闭SELinux，否则无法进行同步。 以root权限登录，修改“/etc/selinux/config”文件，修改为SELINUX=disabled 示例如下： # This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - SELinux is fully disabled.SELINUX=disabled# SELINUXTYPE= type of policy in use. Possible values are:# targeted - Only targeted network daemons are protected.# strict - Full SELinux protection.SELINUXTYPE=targeted 重启主机检查SELinux状态 [root@localhost ~]# getenforceDisabled

MySQL Replication的基本原理 MySQL的复制（Replication）是一个异步的复制，从一个MySQL instance（称之为Master）复制到另一个MySQL instance（称之为Slave）。 实现整个复制操作主要由三个进程完成的，其中两个进程在Slave（Sql进程和IO进程），另外一个进程在Master（IO进程）上。要实施复制，首先必须打开Master端的binary log功能，因为整个复制过程实际上就是Slave从Master端获取该日志，然后再在自身完全顺序地执行日志中所记录的各种操作，从而与Master保持一致的过程。 复制的基本过程如下： Master将用户对数据库更新的操作以二进制格式保存到binary log类型的日志文件中。 Slave上面的IO进程连接上Master，并请求从指定日志文件的指定位置（或者从最开始的日志）之后的日志内容。 Master接收到来自Slave的IO进程的请求后，通过负责复制的IO进程，根据请求信息读取制定日志指定位置之后的日志信息，返回给Slave的IO进程。 返回信息中除了日志所包含的信息之外，还包括本次返回的信息对应的文件名及在文件中的位置。 Slave的IO进程接收到信息后，将接收到的日志内容依次添加到Slave端的relay log文件的最末端，并将读取到的Master端的binary log的文件名和位置记录到master-info文件中，以便在下一次读取的时候能够清楚的告诉Master“我需要从某个binary log的哪个位置开始往后的日志内容，请发给我”。 Slave的Sql进程检测到relay log中新增加了内容后，会马上解析relay log的内容成为在Master端真实执行时候的那些可执行的内容，并在自身执行。

准备云上资源 登录华为云管理控制台，创建VPC与子网。 请根据方案介绍中网络数据规划的要求，创建VPC与子网。详细操作指导请参见创建虚拟私有云基本信息及默认子网。 创建安全组。 根据方案介绍中端口的要求，为云上的服务器创建安全组及配置规则。 本方案在验证时是基于公有云上的默认安全组进行验证，在实际配置时应基于业务的具体要求，并结合端口的要求，配置安全组。 详细操作指导请参见创建安全组和添加安全组规则。 开通云专线。 请参见开通云专线完成开通。 购买弹性云服务器。 根据方案介绍中云服务器的要求和网络的要求，购买弹性云服务器。其中，登录方式选择“密码”方式，自行设置登录密码，“备份策略”参数请根据需要进行配置。 创建ELB，并将应用服务器加入到ELB的后端服务器组中。 创建ELB、添加监听器，并将应用服务器增加到后端服务器组中。

操作场景 业务端提供业务过程中发生故障，比如整体掉电、虚拟机故障、存储故障或网络异常等不能及时恢复时，主SQL Server数据库实例变为不可用。此时，备SQL Server数据库实例状态为只读，不能写入数据，即已建立容灾关系的两个SQL Server数据库不能自动切换来提供业务，需要手动切换，由容灾端提供业务。 需要指出的是，由于业务端和容灾端两个建立容灾关系的SQL Server数据库是通过日志传送方式进行异步复制，数据可能会有丢失，丢失的情况由配置业务端和容灾端容灾关系配置的策略决定。

操作步骤 确认容灾端的SQL Server上的数据库实例状态。 以数据库实例“test1”为例，如图1所示，其状态为“test1（Standby/Read-Only）”。 右键单击“test1 (Standby / Read-Only)”，选择“Refresh”，状态仍然为“(Standby / Read-Only)”。 图1 备SQL Server数据库实例状态（Read-Only） 运行脚本，升级容灾端上SQL Server的数据库实例为主数据库实例。 右键单击数据库实例“test1 (Standby / Read-Only)”，选择“New Query”，在弹出的输入框中输入脚本，然后选择“master”模式，单击“Execute”执行，如图2所示。 图2 执行升级脚本 脚本示例如下： USE [master]GOALTER DATABASE [test1] SET SINGLE_USER WITH ROLLBACK IMMEDIATEGOrestore database test1 with recoveryGOALTER DATABASE [test1] SET MULTI_USER 确认升级为主SQL Server成功。 右键单击“test1 (Standby / Read-Only)”，在菜单中选择“Refresh”，“test1（Standby/Read-Only）”变成“test1”，表示升级为主SQL Server成功。

配置业务端和容灾端容灾关系 在主数据库上，右键单击需要进行备份的数据库实例（以“testa”为例），选择“Properties”，弹出“Database Properties”界面。 在“Database Properties”中单击“Transaction Log Shipping”，勾选“Enable this as a primary database in a log shipping configuration”，再单击“Backup Settings”，如图1所示。 图1 进入数据库配置界面 在事务日志备份设置窗口，配置下述参数，如图2所示，设置完成后，单击“OK”。 主服务器中设置的共享文件夹路径。 主服务器上运行的SQL Server代理作业执行事务日志备份，备份文件夹的网络路径即是共享文件夹路径。 本地路径，例如“c:\Logback3”。 由于备份文件夹位于主服务器上，需要键入该文件夹的本地路径。 需要指出的是，必须将此文件夹的读写权限授予此服务器实例的SQL Server服务账号，而且还必须将读权限授予该复制作业的代理帐户，通常是辅助服务器实例上的SQL Server代理服务账号。 配置“Delete files older than”和“Alert if no backup occurs within”参数。 单击“Schedule”并根据需要调整SQL Server代理计划。 这里主要是用来设定在主服务器端多长时间向主服务器共享文件夹中刷新一次日志，默认是15分钟。 对于多久向文件夹中刷日志是对在灾备场景中RPO性能的一个很重要因素，即刷新时间越短，恢复时损失的数据可能会越少，比如设置15分钟，则当主数据库发生故障以后，通过辅助数据库恢复数据时，则在故障前15分钟以内对主数据库做的更改将丢失，不过这个也跟后面将日志多久刷新到辅助数据库中时间设置有关。需要考虑到与多久删除文件时间相协调，避免因为磁盘中累计文件过多。 选择是否对日志文件进行压缩处理，用户根据需求进行设置。 设置备份压缩有3种方式，包括使用默认服务器设置，压缩备份和不压缩备份。可以自由选择。一般选择压缩备份，实现数据的快速传送备份恢复。 图2 配置事务日志 在“Database Properties”中单击“Add”，连接辅助数据库，如图3所示。 图3 数据库属性窗口 在弹出的“Secondary Database Settings”中，单击“Connect”，弹出“Connect to Server”窗口，然后选择一个数据库，例如：“192.168.250.54\SQLSERVERTEST”，单击“Connect”，连接辅助数据库，如图4所示。 图4 配置辅助服务器 在“Secondary Database Settings”中，确认数据库实例的名称无误后，勾选“Yes, generate a full backup of the primary database and restore it into the secondary database (and create the secondary database if it dosen't exist) ”，“Restore Options”可以保持默认，如图5所示。 如果在连接辅助数据库时，选择了默认的辅助数据库，则会直接在辅助数据库上创建一个跟主数据库同名的实例；或者选择辅助数据库上的已经创建的一个未做任何操作的实例均可。 图5 初始化辅助数据库 单击“Copy Files”，在界面填写辅助服务器上的共享文件夹路径，例如“\\192.168.250.54\LogData”，并根据需求配置“Delete copied files after”，以及在“Schedule中”设置向辅助服务器共享文件夹复制日志的时间间隔，需要和主数据库保持一致，如图6所示。 共享文件夹路径，主要用来存储主数据库传过来的日志文件，以及还原作业从这个文件夹读取日志文件从而在辅助数据库上还原主数据库的状态。 图6 复制文件窗口 单击“Restore Transaction Log”，配置恢复模式后，如图7所示，单击“OK”。 无恢复模式（No recovery mode）：既不前滚也不回滚未提交的事务，数据不可读。选择此模式，则在辅助服务器上的灾备数据库会一直呈现“restoring”状态，直到主数据库出现灾难需要手动去恢复。 备用模式（Standby mode）：在恢复日志期间回滚所有未提交的事务，并且将所有未提交的事务保存为一个单独的TUF（Transaction Undo File）文件， 恢复过程通过该文件来维护事务的完整性。备用模式中的复选框勾选则当日志恢复的时候，断开所有用户的连接，如果有一个用户没有断开，则还原无法进行。选择此模式，则在辅助数据库上会呈现 “standby/read-only”状态，并且会在还原作业发生后恢复和主数据库一样的状态。 一般情况下选择“Standby mode”，以及设置“Delay restoring backups at least”（默认为零），或者当恢复计划未执行时的报警时间“Alert if no restore occurs within”以及在“Schedule”中设置多久执行恢复计划时间（即通过辅助服务器共享文件夹中日志来进行还原任务）。 图7 还原事务日志窗口 如图8所示，连接建立。主数据库会定时将日志复制到本地共享文件夹，同时辅助数据库也会将日志文件拷贝到自己本地的共享文件夹中，辅助数据库会呈现 “Standby / Read-Only”状态。最后，在辅助数据库上进行还原作业。 图8 保存事务日志配置窗口 父主题： 配置SQL Server容灾

验证业务端和容灾端的数据同步 在业务端打开本地路径“c:\Logback3”，查询到主数据库的日志备份，如图1所示。 图1 查询业务端的日志备份 容灾端打开本地路径“c:\LogData”，查询到辅助数据库的日志备份，且主数据库与辅助数据库的日志备份在大小和时间上一一对应，容灾端SQL Server数据库刷新后，出现辅助数据库，例如“testa (Standby / Read-Only)”，查询到主数据库的所有数据，数据能够成功同步。 业务端可以创建一个或者一个以上的数据库实例，与容灾端的数据库实例分别建立容灾关系，数据都能够同步成功，且主数据库和对应辅助数据库的日志备份在大小和时间上一一对应。 父主题： 配置SQL Server容灾

网络数据规划 在本方案中，华为云侧的服务器均部署在同一个VPC中，并划分为两个子网。 外部访问云服务器时，通过公共网络（即Public subnet）访问。应用系统与数据库互通时，则通过业务子网（即Private Subnet）进行互通。 华为云网络信息如表1所示。 表1 华为云网络信息 网络 说明 网段示例 VPC网段 VPC网段不能与生产数据中心上的网段重复。 192.168.0.0/16 公共网络 用于外部对云服务器上的应用系统进行访问。 192.168.2.0/24 业务子网 用于应用系统与数据库之间的连接，以及进行容灾时的网络连通。 192.168.1.0/24 生产数据中心的网络规划如表2所示。 表2 生产数据中心网络信息 网络 说明 网段示例 业务网络 用于与云上的服务器进行容灾时的网络互通。 10.1.1.0/24 公共网络 用于对应用系统的业务访问。 10.1.2.0/24 端口要求如表3所示。请根据该端口要求配置安全组规则，或放通防火墙端口。 下述端口，为基于英方容灾要求及数据库容灾机制要求使用的默认端口。如在安装英方软件、MySQL时修改了端口，应根据实际调整。 本方案在验证时是基于公有云上的默认安全组进行验证，在实际配置时应基于业务的具体要求，并结合端口的要求，配置安全组。 表3 端口要求 软件/服务 主机角色 端口类型 协议 端口 方向 英方i2node 应用服务器 RPC服务端口 TCP 26821 出方向、入方向 镜像端口 TCP 26832 复制端口 TCP 26833 恢复端口 TCP 26831 HA服务端口 TCP 26868 HA心跳端口 TCP 26850 控制服务器 HTTP端口 TCP 58080 HTTPS端口 TCP 55443 MySQL Replication 数据库服务器 业务端口 TCP 3306