华为云用户手册

使用NodeJs应用部署模板创建并部署应用 在主机上部署Node.js框架的web服务，并启动该服务。 请确认目标主机已安装Node.js，若已安装请移除模板中“安装Node.js”步骤。 该模板涉及的部署步骤如下所示： 安装Node.js 下载软件包 停止nodeJs服务 启动nodeJs服务 服务启动测试 该模板需要填写的参数如表1所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 package_url 软件包下载地址，可前往制品仓库-软件发布库获取下载链接。 service_port 应用端口。 父主题： 使用预置模板新建并部署应用

使用SpringBoot应用部署模板创建并部署应用 在主机上部署SpringBoot框架的Java后台应用，并启动该服务。 请确认目标主机已安装JDK，若已安装请移除模板中“安装JDK”步骤。 该模板涉及的部署步骤如下所示： 安装JDK 选择部署来源 停止SpringBoot服务 启动SpringBoot服务 URL健康测试 该模板需要填写的参数如表1所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 package_url 软件包下载地址，可前往制品仓库-软件发布库获取下载链接。 service_port SpringBoot应用端口，默认值为8080。 package_name SpringBoot应用发布包名称。 说明： 该名称不包含文件后缀。 父主题： 使用预置模板新建并部署应用

部署服务CodeArts Deploy使用流程 部署（CodeArts Deploy）提供可视化、自动化部署服务。提供丰富的部署步骤，有助于您制定标准的部署流程，降低部署成本，提升发布效率。 部署服务具有以下特性： 支持主机部署（华为云E CS 、您的自有主机及第三方主机）、容器部署（华为云CCE集群、您的自建集群及第三方集群）。 功能插件化封装，使用门槛低，通用应用的部署开箱即用。 提供丰富的部署插件，满足Tomcat、SpringBoot、Django等常用技术栈的快速部署。 针对不同的部署流程，支持拖拉拽方式自由编排组装应用，支持自定义应用模板，通过模板一键创建应用。 如果您本地正在开发一个项目，想使用部署服务来进行部署操作，其使用流程如下。 所涉及到的操作或知识如下： 新建基础资源：完成部署资源环境的搭建准备。 新建应用：根据业务规划或使用模板快速搭建应用。 导入基础资源：导入部署的目标主机。 编辑应用：根据业务完成应用步骤以及参数等信息配置。 部署应用：启动部署应用。

使用执行shell脚本创建并部署通用应用 基于执行shell脚本实现通用的应用部署。 该模板涉及的部署步骤如下所示： 下载软件包 执行部署脚本 健康测试 该模板需要填写的参数如表1所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 package_url 软件包下载地址，可前往制品仓库-软件发布库获取下载链接。 app_name 应用名称，用于获取进程ID并停止。 service_port 应用端口。 父主题： 使用预置模板新建并部署应用

使用Vue应用部署模板创建并部署应用 在主机上部署Vue框架的web服务，并启动该服务。 请确认目标主机已安装Nginx，若已安装请移除模板中“安装Nginx”步骤。 该模板涉及的部署步骤如下所示： 安装Nginx 下载软件包 解压软件包 启动Nginx 重载Nginx配置文件 服务启动测试 该模板需要填写的参数如下表所示。 表1 模板参数说明 参数 说明 host_group 该应用部署的目标环境。 nginx_install_path Nginx安装路径。 service_port 应用端口。 package_path 软件包下载路径。 package_name 软件包名称（包含文件类型扩展名）。 package_url 软件包下载地址，可前往制品仓库-软件发布库获取下载链接。 父主题： 使用预置模板新建并部署应用

FunctionGraph权限 默认情况下，新建的 IAM 用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了FunctionGraph的所有系统权限。 表1 系统权限说明 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph Administrator 函数工作流 （FunctionGraph）管理员，具有管理函数、工作流、触发器以及调用函数的权限（该权限后期会下线，建议您不使用） 系统角色 Tenant Guest FunctionGraph Invoker 函数工作流（FunctionGraph）调用者，具有查询函数、工作流、触发器以及调用函数的权限 系统角色 无 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 当添加了FunctionGraph FullAccess权限的子账号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： CTS 、APIG、DIS当前不支持细粒度鉴权，需要添加对应admin权限。 SMN 目前部分局点已支持细粒度鉴权，如您遇到无法细粒度鉴权情况，则需要添加对应admin权限。 IoTDA是新增加的触发器，FullAccess中缺少对应权限。您在创建该触发器时会提示需要创建委托并添加相应权限，创建委托需要您先添加iam: agencies:list，iam:agencies:createAgency 权限； TMS、DNS、BSS、 CES 、EG、DMS是新增加功能，FullAccess中缺少对应权限，需单独添加； 更多触发器及相关功能需要的权限，请参见表2所示。 表2 触发器及相关功能的权限 触发器/服务功能 权限 APIG apig:groups:get apig:groups:list apig:apis:create apig:apis:delete apig:apis:update apig:apis:publish apig:apis:list apig:apis:get apig:apis:offline apig:apps:list apig:envs:list APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate CTS cts:notification:create cts:notification:delete cts:notification:update cts:operation:list cts:tracker:list cts:trace:list DDS dds:instance:get dds:instance:list DIS dis:streams:list IoTDA iotda:routingrules:create iotda:routingrules:delete iotda:routingrules:queryList iotda:routingrules:query iotda:routingactions:create iotda:routingactions:delete iotda:routingactions:query iotda:routingactions:queryList iotda:subscriptions:queryList iotda:rules:modifyStatus iotda:apps:queryList LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get OBS obs:bucket:GetBucketLocation obs:bucket:GetBucketNotification obs:bucket:PutBucketNotification obs:bucket:ListBucket SMN smn:topic:list smn:topic:update TMS tms:predefineTags:list tms:tagValues:list DNS dns:recordset:create, dns:recordset:list, dns:recordset:update, dns:zone:create, dns:zone:delete, dns:zone:get, dns:zone:list BSS bss:bill:view bss:renewal:view CES ces:alarms:get ces:alarms:list ces:alarms:create DMS dms:instance:get EG eg:subscriptions:get eg:subscriptions:list eg:sources:list eg:sources:get eg:agency:create eg:subscriptions:create eg:subscriptions:delete eg:subscriptions:operate 表3列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 常用操作与系统权限之间的关系 操作 FunctionGraph Invoker FunctionGraph Administrator FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × √ × × √ 查询函数 √ √ √ √ √ 修改函数 × √ × × √ 删除函数 × √ × × √ 调用函数 √ √ × √ √ 查看函数日志 √ √ √ √ √ 查看函数指标数据 √ √ √ √ √

企业项目授权后仍报权限不足的说明 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM和企业管理的区别。 FunctionGraph当前仅函数资源接口支持企业项目方式授权，除函数资源外的部分接口仅支持IAM项目方式授权，因此针对仅支持IAM项目方式授权时需注意： 授权时选择“IAM项目视图”。 图1 IAM项目视图 选择授权范围时，建议根据最小化授权原则，选择“指定区域项目资源”，具体请根据实际业务情况选择授权范围。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

实例规格说明 本章节主要介绍GeminiDB Redis实例支持的实例规格信息。数据库实例规格与所选的CPU机型相关，请以实际环境为准。 GeminiDB Redis实现了数据冷热交换，支持远超内存的容量。热数据在内存中，全量数据存放在高性能存储池中。实例总容量指的是存储总容量，决定数据存储上限。节点内存请参考表4节点规格信息。 表1 GeminiDB Redis集群版(快速选择)实例规格 实例类型 实例存储容量（GB） 节点数量 节点规格码 vCPU（个） QPS 最大连接数 实例DB数 ACL子账号数量 集群版 4 2 geminidb.redis.medium.2 1 20,000 20,000 256 200 8 2 geminidb.redis.medium.4 1 20,000 20,000 256 200 16 2 geminidb.redis.large.4 2 40,000 20,000 256 200 24 3 geminidb.redis.large.4 2 60,000 30,000 256 200 32 4 geminidb.redis.large.4 2 80,000 40,000 256 200 48 3 geminidb.redis.xlarge.4 4 120,000 30,000 1,000 200 64 4 geminidb.redis.xlarge.4 4 160,000 40,000 1,000 200 96 3 geminidb.redis.2xlarge.4 8 240,000 30,000 1,000 200 128 4 geminidb.redis.2xlarge.4 8 320,000 40,000 1,000 200 192 6 geminidb.redis.2xlarge.4 8 480,000 60,000 1,000 200 256 8 geminidb.redis.2xlarge.4 8 640,000 80,000 1,000 200 384 10 geminidb.redis.2xlarge.4 8 800,000 100,000 1,000 200 512 6 geminidb.redis.4xlarge.4 16 960,000 60,000 1,000 200 768 9 geminidb.redis.4xlarge.4 16 1,440,000 90,000 1,000 200 1024 12 geminidb.redis.4xlarge.4 16 1,920,000 120,000 1,000 200 2048 22 geminidb.redis.4xlarge.4 16 3,520,000 220,000 1,000 200 4096 24 geminidb.redis.8xlarge.4 32 7,680,000 240,000 1,000 200 8192 36 geminidb.redis.8xlarge.4 32 11,520,000 360,000 1,000 200 表2 GeminiDB Redis主备版(快速选择)实例规格 实例类型 实例存储容量（GB） 分片数 节点规格码 QPS 最大连接数 实例DB数 ACL子账号数量 主备版 4 1 geminidb.redis.medium.2 8,000 10,000 1,000 200 8 1 geminidb.redis.medium.2 8,000 10,000 1,000 200 16 1 geminidb.redis.medium.4 10,000 10,000 1,000 200 24 1 geminidb.redis.large.4 20,000 10,000 1,000 200 32 1 geminidb.redis.large.4 20,000 1,0000 1,000 200 48 1 geminidb.redis.xlarge.4 40,000 2,0000 1,000 200 64 1 geminidb.redis.xlarge.4 40,000 2,0000 1,000 200 96 1 geminidb.redis.2xlarge.4 80,000 2,0000 1,000 200 128 1 geminidb.redis.4xlarge.4 160,000 2,0000 1,000 200 表3 GeminiDB Redis节点规格 节点规格码 vCPU（个） 内存（GB） 单节点的最大持久化数据存储空间（GB） 单节点的最大连接数 实例DB数 geminidb.redis.medium.2 1 2 4 10,000 256 geminidb.redis.large.2 2 4 8 10,000 256 geminidb.redis.xlarge.2 4 8 16 10,000 1,000 geminidb.redis.2xlarge.2 8 16 32 10,000 1,000 geminidb.redis.4xlarge.2 16 32 64 10,000 1,000 geminidb.redis.8xlarge.2 32 64 128 10,000 1,000 geminidb.redis.medium.4 1 4 8 10,000 256 geminidb.redis.large.4 2 8 16 10,000 256 geminidb.redis.xlarge.4 4 16 32 10,000 1,000 geminidb.redis.2xlarge.4 8 32 64 10,000 1,000 geminidb.redis.4xlarge.4 16 64 128 10,000 1,000 geminidb.redis.8xlarge.4 32 128 256 10,000 1,000 geminidb.redis.medium.8 1 8 16 10,000 256 geminidb.redis.large.8 2 16 32 10,000 256 geminidb.redis.xlarge.8 4 32 64 10,000 1,000 geminidb.redis.2xlarge.8 8 64 128 10,000 1,000 geminidb.redis.4xlarge.8 16 128 256 10,000 1,000 geminidb.redis.8xlarge.8 32 256 512 10,000 1,000 父主题： 产品介绍

Flexus X实例开启性能模式后，性能可以提升多少？ Flexus云服务器X实例采用了柔性算力进行性能QoS保障，可以在绝大多数时间提供接近独享实例的性能QoS保障，但在极少时间内仍然存在性能波动的可能，这种保障无法满足对业务性能稳定性要求苛刻的场景（如渲染、HPC等）。为了满足此类业务场景需要，Flexus云服务器X实例推出了性能模式。开启性能模式后，Flexus云服务器X实例采取底层物理绑核技术，提供极致稳定的QoS保障能力，您可以获得非常稳定的性能保障。 因此，性能模式是一种性能保障能力，而不是性能提升或性能优化的能力。 父主题： 性能模式

Flexus L实例 、Flexus X实例与ECS的区别是什么？ Flexus应用服务器L实例组合云服务器、云硬盘、弹性公网IP、云备份、主机安全等服务，以套餐形式整体售卖、管理。Flexus应用服务器L实例还提供了丰富严选的应用镜像，可快速搭建业务环境。Flexus应用服务器L实例购买、配置简单，适合刚接触云计算领域的初级用户。 Flexus云服务器X实例简化了购买ECS过程中的配置，并且功能接近ECS， 同时还具备独有特点，例如Flexus云服务器X实例具有更灵活的vCPU内存配比、支持热变配不中断业务变更规格、支持性能模式等。Flexus云服务器X实例相较于Flexus应用服务器L实例规格配置和功能使用更为灵活，限制较少。 ECS是一款支持高负载应用场景的服务器，提供多种计费模式、规格类型、镜像类型、磁盘类型，针对不同的业务场景，可自定义配置ECS。 Flexus云服务器X实例与Flexus应用服务器L实例、ECS的详细区别如表1。 表1 Flexus应用服务器L实例、Flexus云服务器X实例和ECS的区别 项目 Flexus应用服务器L实例 Flexus云服务器X实例 ECS 适用对象 适用于业务负载要求相对较低，且期望即开即用、超快部署的中小企业和开发者。 适用于中负载业务，且期望资源灵活选配的中小企业和开发者。 适用于网站应用、企业电商、图形渲染、数据分析、高性能计算等高负载、全业务应用场景。 实例特点 内置丰富的解决方案与镜像，零门槛快速搭建业务环境，轻松启动和管理业务 灵活自定义规格、性能稳定强劲、按需灵活计费。 支持灵活地选择所需的内存、CPU、带宽等配置，帮助您打造可靠、安全、灵活、高效的应用环境。 CPU架构 X86 X86 X86、ARM 计费模式 包年/包月 Flexus应用服务器L实例以套餐形式整体售卖、管理，随Flexus应用服务器L实例创建的资源不支持单独卸载、解绑、删除、退订等操作。 按需计费 包年/包月 包年/包月 按需计费 竞价计费 规格 包含Flexus服务组合和多种流量套餐类型。 仅支持升级套餐规格。 支持vCPU/内存自定义配比。 支持升级或降级实例规格。 支持多种实例规格系列。 ECS实例类型 推荐参考ECS智选推荐。 支持升级或降级实例规格。 磁盘 一个Flexus应用服务器L实例默认配置一个固定容量的系统盘，最多支持一个数据盘，不支持在控制台使用快照恢复数据。 系统盘：高IO 数据盘：通用型SSD V2 自定义配置系统盘规格，支持多个不同类型的数据盘。 系统盘：普通IO、高IO、通用型SSD、超高IO、通用型SSD V2 数据盘：普通IO、高IO、通用型SSD、超高IO、通用型SSD V2 支持自定义配置系统盘规格及容量，支持多个不同类型的数据盘。 系统盘/数据盘：支持选择全磁盘类型。 弹性云服务器支持使用的磁盘类型，请参见云硬盘。 网络 默认分配一个固定弹性公网IP。 公网带宽按流量计费，套餐包含每月固定流量包。 不支持更改VPC、私网IP、公网IP。 自定义是否绑定弹性公网IP。 线路类型可选。 带宽类型分为按带宽计费、按流量类计费、共享带宽。 自定义是否绑定弹性公网IP。 线路类型可选。 带宽类型分为按带宽计费、按流量类计费、共享带宽。 产品特点 易搭建、更实惠、易维护、更安全 易搭建、更实惠、易维护、更安全 Huawei Cloud EulerOS 2.0公共镜像支持Nginx、Redis或MySQL应用加速 稳定可靠、安全保障、软硬结合、弹性伸缩 镜像 支持5款主流系统镜像 提供丰富的应用镜像 仅支持使用系统盘私有镜像 提供丰富的公共镜像 支持私有镜像、共享镜像。 提供丰富的公共镜像 支持私有镜像、共享镜像、市场镜像。 鉴权方式 密码 密码、密钥对 密码、密钥对 集成的云产品 主机安全（基础版） 云备份 Flexus负载均衡 主机安全（基础版、企业版） 云监控 云备份 主机安全（所有版本） 云监控 云备份 父主题： 产品咨询

不想使用Flexus X实例的性能模式了怎么办？如何计费呢？ 如果您不想使用性能模式，可以通过“变更规格”功能，关闭性能模式。 如果您的Flexus X实例是按需计费模式：将在下个计费周期（按需计费以1小时为计费周期），根据关闭性能模式后的规格费用重新计费。 如果您的Flexus X实例是包年/包月计费模式：关闭性能模式后，立即生效，并根据剩余有效期退还相应费用。 图1 通过“变更规格”功能关闭性能模式 父主题： 性能模式

Flexus X实例支持哪些镜像？ 公共镜像：Windows Server、Huawei Cloud EulerOS、CentOS、Ubuntu、EulerOS、Debian、OpenSUSE、AlmaLinux、Rocky Linux、CentOS Stream、CoreOS、openEuler、FreeBSD。 Windows Server操作系统是来自云商店的非自营镜像，该服务由第三方提供。为方便您选用，在公共镜像中提供入口。 Huawei Cloud EulerOS 2.0公共镜像支持对Nginx、Redis或Mysql应用加速。 共享镜像、私有镜像： 支持系统盘镜像、数据盘镜像和整机镜像。 仅支持X86架构服务器创建的Linux、Windows私有镜像。 对于Windows私有镜像，仅支持自带许可的Windows私有镜像。 父主题： 操作系统/镜像

Flexus X实例开启性能模式后，性能可以提升多少？ Flexus云服务器X实例采用了柔性算力进行性能QoS保障，可以在绝大多数时间提供接近独享实例的性能QoS保障，但在极少时间内仍然存在性能波动的可能，这种保障无法满足对业务性能稳定性要求苛刻的场景（如渲染、HPC等）。为了满足此类业务场景需要，Flexus云服务器X实例推出了性能模式。开启性能模式后，Flexus云服务器X实例采取底层物理绑核技术，提供极致稳定的QoS保障能力，您可以获得非常稳定的性能保障。 因此，性能模式是一种性能保障能力，而不是性能提升或性能优化的能力。 父主题： 性能模式

处理方法 如果是限流问题，日志中还会有如下错误，OBS相关的错误码解释请参见OBS官方文档，这种情况建议提工单。 图2 错误日志 如果是client数太多，尤其对于5G以上文件，OBS接口不支持直接调用，需要分多个线程分段拷贝，目前OBS侧服务端超时时间是30S，可以通过如下设置减少进程数。 # 设置进程数 os.environ['MOX_FILE_LARGE_FILE_TASK_NUM']=1 import moxing as mox # 拷贝文件 mox.file.copy_parallel(src_url=your_src_dir, dst_url=your_target_dir, threads=0, is_processing=False) 创建训练作业时，可通过环境变量“MOX_FILE_PARTIAL_MAXIMUM_SIZE”设置用户需要分段下载的大文件阈值（单位为Bytes），超过该阈值的文件将使用并发下载模式进行分段下载。

处理方法 查看虚拟机所使用的存储空间，再查看回收站文件占用内存，根据实际删除回收站里不需要的大文件。 在Notebook实例详情页，查看实例的存储容量。 执行如下命令，排查虚拟机所使用的存储空间，一般接近存储容量，请排查回收站占用内存。 cd /home/ma-user/work du -h --max-depth 0 执行如下命令，排查回收站占用内存（回收站文件默认在/home/ma-user/work/.Trash-1000/files下）。 cd /home/ma-user/work/.Trash-1000/ du -ah 根据实际删除回收站不需要的大文件。（注：请谨慎操作，文件删除后不可恢复） rm {文件路径} 如果删除的文件夹或者文件中带有空格，需要给文件夹或文件加上单引号。如图示例： 执行如下命令，再次检查虚拟机所使用的存储空间。 cd /home/ma-user/work du -h --max-depth 0 如果Notebook实例的存储配置采用的是云硬盘EVS，可在Notebook详情页申请扩容磁盘。

原因分析 出现该问题的可能原因如下： 程序运行过程中，产生了core文件，core文件占满了"/"根目录空间。 本地数据、文件保存将“/cache”目录3.5T空间用完了。 云上训练磁盘空间一般指如下两个目录的磁盘空间： “/”根目录，是docker中配置项“base size”，默认是10G，云上统一改为50G。 “/cache”目录满了，一般是3.5T存储空间满了，具体规格的空间大小可参见训练环境中不同规格资源“/cache”目录的大小。

解决方法 参考如下示例进行图片显示。注意opencv加载的是BGR格式， 而matplotlib显示的是RGB格式。 Python语言： 1 2 3 4 5 6 from matplotlib import pyplot as plt import cv2 img = cv2.imread('图片路径') plt.imshow(cv2.cvtColor(img, cv2.COLOR_BGR2RGB)) plt.title('my picture') plt.show()

处理方法 按照issues中的说明，应该是环境中的库冲突了，因此在启动脚本最开始之前，添加如下代码。 import os os.system("rm /home/work/anaconda3/lib/libmkldnn.so") os.system("rm /home/work/anaconda3/lib/libmkldnn.so.0") 必现的问题，使用本地Pycharm远程连接Notebook调试。

处理方法 如果是OBS相关错误。 OBS文件不存在。The specified key does not exist。 参考日志提示“errorMessage:The specified key does not exist”章节处理。 用户OBS权限不足。 参考 5.5.1 日志提示“reason:Forbidden”。 OBS限流。 参考5.1.1 OBS拷贝过程中提示“BrokenPipeError: Broken pipe”。 OBS其他问题。 请参考OBS服务端错误码或者采集request id后向OBS客服进行咨询。 如果是空间不足。 参考 常见的磁盘空间不足的问题和解决办法章节处理。

处理方法1 在ModelArts管理控制台，选择“全局配置”。 在用户名对应的“授权内容”列，单击“查看权限”，确认用户的委托权限是否已包含Tenant Administrator。 图1 查看委托权限详情 是，重新“启动”边缘服务，若还是“异常”则联系技术支持处理。 否，执行下一步，给用户添加委托权限。 添加委托权限。 如果是IAM子账号，没有修改委托权限，请联系管理员添加Tenant Adiministrator委托权限。 登录 统一身份认证 服务IAM管理控制台。 单击导航栏的“委托”，进入委托页面。 搜索ModelArts使用的委托，例如“modelarts_agency”，单击委托名称进入“基本信息”页面。 单击“授权”，添加Tenant Adiministrator权限，按操作指引完成授权。 授权完成后，重新“启动”边缘服务，观察状态是否正常。

响应示例 状态码： 200 OK { "users" : [ { "name" : "ddmtest", "status" : "RUNNING", "base_authority" : [ "SELECT" ], "password_last_changed" : 1686904661709, "description" : "账号", "created" : 1686904661709, "databases" : [ { "name" : "zhxtest", "description" : "逻辑库" } ] } ], "page_no" : 1, "page_size" : 10, "total_record" : 1, "total_page" : 1 } 状态码： 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码： 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }

URI GET /v1/{project_id}/instances/{instance_id}/users?offset={offset}&limit={limit} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法请参见获取项目ID。 instance_id 是 String DDM实例ID。 表2 Query参数 参数 是否必选 参数类型 描述 offset 否 Integer 索引位置，偏移量。 从第一条数据偏移offset条数据后开始查询，默认为0。 取值必须为数字，且不能为负数。 limit 否 Integer 查询个数上限值。 取值范围：1~128。 不传该参数时，默认值为10。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 users Array of GetUsersListDetailResponses objects DDM实例账号相关信息的集合。 page_no Integer 当前页码。 page_size Integer 当前页码的数据条数。 total_record Integer 总条数。 total_page Integer 总页数。 表5 GetUsersListDetailResponses 参数 参数类型 描述 name String DDM实例账号名称。 status String DDM实例账号状态。 base_authority Array of strings DDM实例账号的基础权限。 取值为：CREATE、DROP、ALTER、INDEX、INSERT、DELETE、UPDATE、SELECT extend_authority Array of strings DDM实例账号的扩展权限。 取值为：fulltableDelete、fulltableSelect、fulltableUpdate password_last_changed Long DDM实例账号的密码修改时间，UNIX时间戳格式。 description String DDM实例账号的描述。 created Long DDM实例账号的创建时间，UNIX时间戳格式。 databases Array of GetUsersListdatabase objects 关联的逻辑库的集合。 表6 GetUsersListdatabase 参数 参数类型 描述 name String DDM实例账号关联的逻辑库名称。 description String 逻辑库的描述信息。 状态码： 400 表7 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码： 500 表8 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。

操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。 Windows 32位操作系统，可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统，可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。 解压缩“EasyRSA-3.1.7-win64.zip”至指定目录，如“D:\EasyRSA-3.1.7”。 进入“D:\EasyRSA-3.1.7”目录。 在地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行“./easyrsa init-pki”命令，初始化PKI环境。 系统显示如下类似信息： Notice ------ 'init-pki' complete; you may now create a CA or requests. Your newly created PKI dir is: * D:/EasyRSA-3.1.7/pki Using Easy-RSA configuration: * undefined EasyRSA Shell # 执行命令后，在“D:\EasyRSA-3.1.7”的目录下自动生成了“pki”的文件夹。 配置变量参数。 将“D:\EasyRSA-3.1.7”目录下的“vars.example”文件复制到“D:\EasyRSA-3.1.7\pki”目录下。 将“D:\EasyRSA-3.1.7\pki”目录下的“vars.example”重命名为“vars”。 默认按“vars.example”中描述的参数值进行配置。如需自定义参数值，按需设置“vars”文件的参数值。 生成服务端CA证书认证及其私钥。 复制解压缩后的“EasyRSA-3.1.7”文件夹至“D:\”目录下，并重命名，如“EasyRSA-3.1.7 - server”。 进入“D:\EasyRSA-3.1.7 - server”目录。 在“D:\EasyRSA-3.1.7 - server”的文件夹中，地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行“./easyrsa build-ca nopass”命令，生成CA证书。 此命令生成中，[Easy-RSA CA]需要设置服务端CA证书名称，例如：p2cvpn_server.com。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - server/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) ..+.....+...+..........+..+.......+..+..........+...+...+..+......+.......+...+++++++++++++++++++++++++++++++++++++++*.+++++++++++++++++++++++++++++++++++++++*..........+...........+...+......++++++ .......+.......+...+......+...+.....+...+...+++++++++++++++++++++++++++++++++++++++*......+.....+....+..+....+......+...+......+...+......+.....+.+++++++++++++++++++++++++++++++++++++++*.......+......+.......+..............+.+...+.....+....+........+.........+....+..+............+.+.....+....+...+...+...........+.+..+.+.........+.....+...+..................+.......+..+.......+.....+..........+......+..+.+.....+.+.....+....+.....+.......+...+.........+..+......+...+.......+...+.........+......+......+...........+....+......+...+..+...+......+...+.+.....+.......+..+.......+...+...+..+.............+........+.........+.+.........+........+....+.........+.....+.........+................+.....+.+........+.......+.....+.+........+....+..+...+..........+..+......+...+.........+................+......+.....+....+......+......+............+..+......+...+.......+.................+.+......+......+..+.+...........+.........+.........+.+......++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn_server.com //设置服务端CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7 - server/pki/ca.crt EasyRSA Shell # 查看服务端CA证书及其私钥。 生成的CA证书默认存放在“D:\EasyRSA-3.1.7 - server\pki”目录下。 本示例中生成的证书为“ca.crt”。 生成的CA私钥默认存放在“D:\EasyRSA-3.1.7 - server\pki\private”目录下。 本示例中生成的私钥为“ca.key”。 执行 “./easyrsa build-server-full p2cserver.com nopass”命令，生成服务端证书及其私钥。 此命令中，“p2cserver.com”为服务端证书的CN，必须是 域名 格式，否则无法正常托管到 云证书管理服务 。请根据实际填写。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - server/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+.+......+...+.....+......+...+.......+.....+.+...+..+...+....+.....+......+++++++++++++++++++++++++++++++++++++++*....+..+....+++++++++++++++++++++++++++++++++++++++*................+.......+..+.+..+...+......+.............+...+...+.........+........+.........+...+......+.+...+...+........+....+.....+.+............+.....+...+....+...........+....+..+......+.............+.........+........+...+.+......+.....+.......+......+.....+.+.....+....+.........+...+..+............+.+........+.........+.+..+.........+......+...+....+......+.....+....+......+.....+......+.............+...+........+.+.....+.+....................+.......+.....+.+..+.......+...++++++ ......+.....+...+.+.........+..+.+..+...+++++++++++++++++++++++++++++++++++++++*.......+...+........+....+...+..+...+++++++++++++++++++++++++++++++++++++++*..+.........+...+.......+......+.................+...+...+............+...+....+........+.........+..........+......+...+...........+.+..+............+.+........+....+...........+....+...........+......+.............+......+.....++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7 - server/pki/reqs/p2cserver.com.req * key: D:/EasyRSA-3.1.7 - server/pki/private/p2cserver.com.key You are about to sign the following certificate: Request subject, to be signed as a server certificate for '825' days: subject= commonName = p2cserver.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7 - server/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cserver.com' Certificate is to be certified until Oct 6 03:28:14 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7 - server/pki/issued/p2cserver.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7 - server/pki/inline/p2cserver.com.inline EasyRSA Shell # 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7 - server\pki\issued”目录下的“issued”文件夹中。 本示例中生成的证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3.1.7 - server\pki\private”目录下的“private”文件夹中。 本示例中生成的私钥为“p2cserver.com.key”。 生成客户端CA证书认证及其私钥。 复制解压缩后的“EasyRSA-3.1.7”文件夹至“D:\”目录下，并重命名，如“EasyRSA-3.1.7 - client” 进入“EasyRSA-3.1.7 - client”目录。 在“EasyRSA-3.1.7 - client”的文件夹中，地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行“ ./easyrsa build-ca nopass”命令，生成CA证书。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - client/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+++++++++++++++++++++++++++++++++++++++*.....+.+..+...+....+.....................+..+...+....+.........+.....+......+.+.....+....+++++++++++++++++++++++++++++++++++++++*....+...+...+...+............+.........++++++ .+.........+.........+.+......+...........+....+.....+.........+....+..+...+.+.........+......+......+...+.....+......+......+..........+++++++++++++++++++++++++++++++++++++++*.+.........+......+.+++++++++++++++++++++++++++++++++++++++*...........+................+..............+.........+.+...+.....................+..+....+.....+..........+...+...+..+.++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn_client.com //设置客户端CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7 - client/pki/ca.crt EasyRSA Shell # 查看客户端CA证书及其私钥。 生成的CA证书默认存放在“D:\EasyRSA-3.1.7 - client\pki”目录下。 本示例中生成的证书为“ca.crt”。 生成的CA私钥默认存放在“D:\EasyRSA-3.1.7 - client\pki\private”目录下。 本示例中生成的私钥为“ca.key”。 执行“./easyrsa build-client-full p2cclient.com nopass”命令，生成客户端证书及其私钥。 此命令中，客户端证书的命名（如“p2cclient.com”）应与服务端证书的命名（如“p2cserver.com”）不一致。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - client/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+++++++++++++++++++++++++++++++++++++++*.........+.....+...+.+........+.+.....+.........+.+......+.....+++++++++++++++++++++++++++++++++++++++*..........+...+...+..+.......+...+..+.+.........+.....+.+..+.+....................+......+...............+.............+......+..+....+...+......+..+....+.....+.........+................+...+...+.....+....+.........++++++ .+..+..........+.........+++++++++++++++++++++++++++++++++++++++*...+..+++++++++++++++++++++++++++++++++++++++*.......+...............+......+.........+..............+....+.....+...+..................+....+...+........+....+.....+.+.....+...............++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7 - client/pki/reqs/p2cclient.com.req * key: D:/EasyRSA-3.1.7 - client/pki/private/p2cclient.com.key You are about to sign the following certificate: Request subject, to be signed as a client certificate for '825' days: subject= commonName = p2cclient.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes Using configuration from D:/EasyRSA-3.1.7 - client/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cclient.com' Certificate is to be certified until Oct 7 11:19:52 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7 - client/pki/issued/p2cclient.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7 - client/pki/inline/p2cclient.com.inline EasyRSA Shell # 查看客户端证书和私钥。 生成的客户端证书默认存放在“D:\EasyRSA-3.1.7 - client\pki\issued”目录下。 本示例中生成的证书为“p2cclient.com.crt”。 生成的客户端私钥默认存放在“D:\EasyRSA-3.1.7 - client\pki\private”目录下。 本示例中生成的私钥为“p2cclient.com.key”。

配置步骤 IPsec基础配置 登录防火墙管理页面，选择“网络 ＞ IPsec”，新建IPsec连接，详情如图4所示。 图3 新建IPsec连接1 图4 新建IPsec连接2 表1 新建IPsec参数设置 参数名称 说明 虚拟系统 选择默认即可。 策略名称 客户自行指定。 本端接口 配置对接本端公网IP的接口。 本端地址 本端公网IP。 对端地址 对端公网IP。 认证方式 预共享密钥。 本端ID与对端ID IP地址，并填入对应的公网IP。 待加密数据流 源地址为云下子网，目标地址为云上子网，请勿使用地址组名称配置。 安全提议 按照华为云策略配置，要求两端配置信息一致。 DPD 勾选DPD，选择按需发送，配置信息默认即可。 路由配置 选择“网络 ＞ 路由 ＞ 静态路由”，新建一条目的为华为云子网的静态路由，下一跳指向本地出接口网关IP。 图5 新建静态路由 表2 新建静态路由参数设置 参数名称 说明 协议类型 IPv4。 源虚拟路由器 选择默认的“public”。 目的地址/掩码 云端子网地址。 目的虚拟路由器 选择默认的“public”。 出接口 本端公网IP配置的接口。 下一跳 本端公网地址下一跳。 其余配置默认即可，存在多出口时，需额外添加访问云端公网IP从此出接口流出的路由。 NAT配置 选择“策略 ＞ NAT策略 ＞ 源NAT”，新建一条本地子网访问华为云不做NAT转换的策略。 图6 新建源NAT策略 表3 新建源NAT策略参数设置 参数名称 说明 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any 转换方式 不做NAT转换 为确保该策略优先匹配，请将该策略置顶。 请注意接口地址出外网不做NAT转换。 例如已配置缺省策略：源区域为any，访问目标区域any，出口转换为接口地址。请额外添加一条NAT策略：源区域为local，目标区域为any，转换方式为不做NAT转换，并将该策略置于缺省策略之上。 安全策略配置 选择“策略 ＞ 安全策略 ＞ 安全策略”，新建一条本地子网访问华为云的放行策略。 图7 安全策略 表4 新建策略参数设置 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any。 动作 允许 为确保该策略优先匹配，请将该策略置顶。

配置验证 通过strongswan statusall查询，可见连接启动时间。 Status of IKE charon daemon (strongSwan 5.7.2, Linux 3.10.0-957.5.1.el7.x86_64, x86_64): uptime: 5 minutes, since Apr 24 19:25:29 2019 malloc: sbrk 1720320, mmap 0, used 593088, free 1127232 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1 loaded plugins: charon pkcs11 tpm aesni aes des rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constra ints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp curve25519 chapoly x cbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity ea p-sim eap-aka eap-aka-3gpp eap-aka-3gpp2 eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap -peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp led duplicheck unity counters Listening IP addresses:192.168.222.222 Connections: strong_IPsec: 192.168.222.222...11.11.11.11 IKEv1 strong_IPsec: local: [22.22.22.22] uses pre-shared key authentication strong_IPsec: remote: [11.11.11.11] uses pre-shared key authentication strong_IPsec: child: 192.168.222.0/24 === 192.168.200.0/24 TUNNEL Routed Connections: strong_IPsec{1}: ROUTED, TUNNEL, reqid 1 strong_IPsec{1}: 192.168.222.0/24 === 192.168.200.0/24 Security Associations (0 up, 1 connecting): strong_IPsec[1]: CONNECTING, 192.168.222.222[%any]...11.11.11.11[%any] strong_IPsec[1]: IKEv1 SPIs: c3090f6512ec6b7d_i* 0000000000000000_r strong_IPsec[1]: Tasks queued: QUICK_MODE QUICK_MODE strong_IPsec[1]: Tasks active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CERT_POST ISAKMP_NATD 通过VPC1 ping安装有IPsec客户端的VPC2的主机： ping 192.168.222.222 PING 192.168.222.222 (192.168.222.222) 56(84) bytes of data. 64 bytes from 192.168.222.222: icmp_seq=1 ttl=62 time=3.07 ms 64 bytes from 192.168.222.222: icmp_seq=2 ttl=62 time=3.06 ms 64 bytes from 192.168.222.222: icmp_seq=3 ttl=62 time=3.98 ms 64 bytes from 192.168.222.222: icmp_seq=4 ttl=62 time=3.04 ms 64 bytes from 192.168.222.222: icmp_seq=5 ttl=62 time=3.11 ms 64 bytes from 192.168.222.222: icmp_seq=6 ttl=62 time=3.71 ms

拓扑连接 本场景拓扑连接及策略协商配置信息如图1所示， 云上VPC的VPN网关IP：11.11.11.11，本地子网：192.168.200.0/24。 客户主机NAT映射IP：22.22.22.22，本地子网：192.168.222.0/24。 云端ECS与客户主机的本地IP地址分别为192.168.200.200和192.168.222.222。 VPN连接的协商参数使用华为云缺省配置。 图1 拓扑连接及策略协商配置信息

配置步骤 根据strongswan版本不同，相关配置可能存在差异。本实例以strongswan 5.7.2版本为例，详细介绍strongswan在Linux环境下的VPN配置。 安装IPsec VPN客户端。 yum install strongswan 安装交互过程选择“Y”，出现“Complete!”提示即完成安装，strongswan的配置文件集中放置在/etc/strongswan目录中，配置过程只需编辑IPsec.conf和IPsec.secrets文件即可。 开启IPv4转发。 vim /etc/sysctl.conf 在配置文件中增加如下内容： net.ipv4.ip_forward = 1 执行/sbin/sysctl -p命令，使转发配置参数生效。 iptables配置。 确认关闭firewall或允许数据流转发，查询命令：iptables -L iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 预共享密钥配置。 vim /etc/strongswan/IPsec.secrets # 编辑IPsec.secrets文件 22.22.22.22 11.11.11.11 : PSK "IPsec-key" 格式与openswan相同，冒号的两边都有空格，PSK只能为大写，密钥用英文双引号。 IPsec连接配置。 vim /etc/strongswan/IPsec.conf 在配置文件中增加如下内容： config setup conn strong_IPsec # 定义连接名称为strong_IPsec auto=route # 可选择add、route和start type=tunnel # 开启隧道模式 compress=no # 关闭压缩 leftauth=psk # 定义本地认证方式为PSK rightauth=psk # 定义远端认证方式为PSK ikelifetime=86400s # ike阶段生命周期 lifetime=3600s # 二阶段生命周期 keyexchange=ikev1 # ike密钥交换方式为版本1 ike=aes128-sha1-modp1536! # 按照对端配置定义ike阶段算法和group，modp1536=DH group 5 esp=aes128-sha1-modp1536! # 按照对端配置定义IPsec阶段算法和group，modp1536=DH group 5 leftid=22.22.22.22 # 本端标识ID left=192.168.222.222 # 本地IP，nat场景选择真实的主机地址 leftsubnet=192.168.222.0/24 # 本地子网 rightid=11.11.11.11 # 远端标识ID right=11.11.11.11 # 远端VPN网关IP rightsubnet=192.168.200.0/24 # 远端子网 华为云VPN使用的DH-group对应的比特位详细请参见华为云VPN使用的DH-group对应的比特位是多少？。 启动服务。 service strongswan stop # 关闭服务 service strongswan start # 启动服务 service strongswan restart # 重启服务 strongswan stop # 关闭连接 strongswan start # 开启连接 每次修改配置都需要重启服务，并重新开启连接。

拓扑连接 拓扑连接方式： 使用防火墙设备直接和云端建立VPN连接。 使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接。 VPN接入方式的配置指导，相关信息说明如下： 用户数据中心VPN设备私网IP：10.10.10.10/24 用户数据中心用户子网：10.0.0.0/16 防火墙出口IP：11.11.11.2/24，公网网关：11.11.11.1，VPN设备的NAT IP：11.11.11.11 云端VPN网关IP：22.22.22.22，云端子网：172.16.0.0/16 现通过创建VPN连接方式来连通本地网络到VPC子网。 图1 深信服NAT场景 华为云端的VPN连接资源策略配置按照图2所示信息配置，使用DMZ区域专用的VPN设备进行NAT穿越连接时，协商模式修改为野蛮模式；使用防火墙进行连接协商模式选择缺省。 图2 华为云VPN策略配置