2024發(fā)電企業(yè)私云平臺(tái)技術(shù)方案

企業(yè)私云平臺(tái)技術(shù)方案2024TOC\o"1-6"\h\u40771彈性云服務(wù)器 ），每張網(wǎng)卡可以在不同的子網(wǎng)內(nèi)，私網(wǎng)IP可以通過(guò)DHCP分配或指定IP地址；公網(wǎng)IP可以對(duì)外連接企業(yè)內(nèi)大網(wǎng)或互聯(lián)網(wǎng)，可以根據(jù)需要申請(qǐng)綁定“EIP”為ECS實(shí)例申請(qǐng)公網(wǎng)IP。4、提供公共鏡像能力和私有鏡像服務(wù)，免安裝快速部署操作系統(tǒng)與軟件。公共鏡像：公共鏡像由系統(tǒng)管理員制作并注冊(cè)到系統(tǒng)中，一般提供常見(jiàn)的標(biāo)準(zhǔn)操作系統(tǒng)鏡像，所有用戶可見(jiàn)。包含操作系統(tǒng)以及預(yù)裝的公共應(yīng)用。私有鏡像：私有鏡像服務(wù)用于滿足用戶個(gè)性化需求。選擇私有鏡像創(chuàng)建云主機(jī)，可以節(jié)省重復(fù)配置云主機(jī)的時(shí)間。私有鏡像僅用戶自己可見(jiàn)。包含操作系統(tǒng)、預(yù)裝的公共應(yīng)用以及用戶的私有應(yīng)用。用戶可基于ECS實(shí)例或者已有的鏡像文件創(chuàng)建的私有鏡像。提供VNC控制臺(tái)、遠(yuǎn)程終端和API等多種管理方式，滿足用戶多種登錄需求，簡(jiǎn)化運(yùn)維人員的工作難度，提升運(yùn)維效率。用戶可以完全控制自己創(chuàng)建的ECS實(shí)例。通過(guò)VNC控制臺(tái)連接終端，解決系統(tǒng)問(wèn)題，進(jìn)行各項(xiàng)操作；也可以通過(guò)ECS服務(wù)控制臺(tái)、API、命令行等類(lèi)似工具對(duì)服務(wù)器進(jìn)行啟動(dòng)、重啟、關(guān)機(jī)等操作。5、安全。支持用戶申請(qǐng)時(shí)指定實(shí)例登錄方式，ECS實(shí)例支持多種登錄方式（密碼、密鑰對(duì)），密碼防暴力破解，滿足用戶的登錄安全需求。對(duì)于Windows的ECS實(shí)例，用戶只能使用密碼登陸。支持云硬盤(pán)備份，在磁盤(pán)故障或數(shù)據(jù)錯(cuò)誤時(shí)可快速恢復(fù)，使數(shù)據(jù)更加安全可靠。實(shí)例反親和性：支持在ECS控制臺(tái)上創(chuàng)建一個(gè)或多個(gè)反親和性組。在一個(gè)反親和性組中的ECS實(shí)例將分配到不同的物理主機(jī)上來(lái)保證高可用。用戶可以把同一應(yīng)用模塊的ECS實(shí)例加入反親和性組，增強(qiáng)應(yīng)用的可靠性。2彈性伸縮服務(wù)彈性伸縮（AutoScaling）服務(wù)，是根據(jù)用戶的業(yè)務(wù)需求和策略，自動(dòng)調(diào)整其彈性計(jì)算資源的管理服務(wù)。用戶根據(jù)自己的業(yè)務(wù)需求，設(shè)置相應(yīng)的策略，系統(tǒng)則據(jù)此自動(dòng)調(diào)整其彈性計(jì)算資源，在滿足業(yè)務(wù)需求高峰增長(zhǎng)時(shí)，自動(dòng)增加彈性云主機(jī)（ECS）實(shí)例，并在業(yè)務(wù)需求下降時(shí)，自動(dòng)減少ECS實(shí)例以節(jié)約成本。彈性伸縮根據(jù)用戶的業(yè)務(wù)需求和策略，自動(dòng)調(diào)整彈性云主機(jī)的數(shù)量。如在業(yè)務(wù)量增長(zhǎng)超過(guò)一定閾值時(shí)，系統(tǒng)可自動(dòng)擴(kuò)展（ScaleOut）彈性云主機(jī)實(shí)例數(shù)量；然后在業(yè)務(wù)量下降到一定的閾值時(shí)，系統(tǒng)自動(dòng)收縮（ScaleIn）彈性云主機(jī)實(shí)例數(shù)量。同時(shí)，可以指定需要運(yùn)行的實(shí)例的最小數(shù)目（MinimumNumber）和最大數(shù)目（MaximumNumber），根據(jù)規(guī)則集自動(dòng)添加或刪除VM。設(shè)置最小數(shù)目，可確保應(yīng)用程序在沒(méi)有負(fù)載的情況下也會(huì)運(yùn)行。設(shè)置最大數(shù)目是為了限制每小時(shí)可能會(huì)引發(fā)的總成本?？梢允褂脛?chuàng)建的規(guī)則在這兩種極限之間自動(dòng)縮放。當(dāng)滿足規(guī)則條件時(shí)，將觸發(fā)一個(gè)或多個(gè)自動(dòng)縮放操作。可以自動(dòng)添加和刪除云主機(jī)，或執(zhí)行其他操作。彈性伸縮的工作流程如下：在用戶完成啟動(dòng)配置、伸縮組、伸縮策略創(chuàng)建并啟用后，系統(tǒng)會(huì)自動(dòng)化執(zhí)行以下流程（以增加ECS實(shí)例為例）：1、系統(tǒng)自動(dòng)通過(guò)接口觸發(fā)伸縮活動(dòng)，并在該接口中指定需要執(zhí)行的伸縮規(guī)則的資源唯一標(biāo)識(shí)符。監(jiān)控策略會(huì)實(shí)時(shí)監(jiān)控伸縮組內(nèi)ECS實(shí)例的性能（參考圖中步驟1），并根據(jù)用戶配置的告警規(guī)則（如伸縮組內(nèi)所有ECS實(shí)例的CPU使用率平均值大于80%），觸發(fā)執(zhí)行伸縮動(dòng)作。。定時(shí)策略會(huì)根據(jù)用戶配置的時(shí)間來(lái)觸發(fā)執(zhí)行伸縮規(guī)則請(qǐng)求。周期策略會(huì)根據(jù)用戶配置的周期定期來(lái)觸發(fā)執(zhí)行伸縮規(guī)則請(qǐng)求。健康檢查任務(wù)會(huì)按照用戶設(shè)定的間隔定期檢查伸縮組內(nèi)ECS實(shí)例的健康情況，如發(fā)現(xiàn)有不健康的ECS實(shí)例（如，關(guān)機(jī)狀態(tài)）會(huì)按照用戶設(shè)定的伸縮組默認(rèn)移除方式移除不健康實(shí)例。2、根據(jù)步驟2傳入的伸縮規(guī)則獲取伸縮策略、伸縮組、啟動(dòng)配置的相關(guān)信息，并創(chuàng)建伸縮活動(dòng)。3、執(zhí)行伸縮活動(dòng)。通過(guò)伸縮規(guī)則查詢伸縮策略以及相應(yīng)的伸縮組信息，計(jì)算出需要增加的ECS實(shí)例數(shù)量，并獲得需要配置的SLB信息。（SLB為可選項(xiàng)）通過(guò)伸縮組查詢到相應(yīng)的伸縮配置信息，獲得需要?jiǎng)?chuàng)建的ECS實(shí)例的配置信息（CPU、內(nèi)存、帶寬等）。根據(jù)需要增加的ECS實(shí)例數(shù)量、ECS實(shí)例配置信息、需要配置的SLB實(shí)例創(chuàng)建伸縮活動(dòng)。4、在伸縮活動(dòng)中，自動(dòng)創(chuàng)建ECS實(shí)例并配置SLB（SLB為可選項(xiàng)）。按照實(shí)例配置信息創(chuàng)建指定數(shù)量的ECS實(shí)例。將創(chuàng)建好的ECS實(shí)例添加到指定的SLB實(shí)例當(dāng)中。5、伸縮活動(dòng)完成后，啟動(dòng)伸縮組的沉默功能。待沉默時(shí)間完成后，該伸縮組才能接收新的執(zhí)行伸縮規(guī)則請(qǐng)求。伸縮效果示例伸縮組創(chuàng)建后，彈性伸縮組是缺省停用的，用戶需要?jiǎng)?chuàng)建使用策略才能實(shí)際使用彈性伸縮功能。以下以監(jiān)控項(xiàng)為伸縮組內(nèi)ECS實(shí)例的內(nèi)存使用率平均值，觸發(fā)彈性擴(kuò)張的閾值為70%，觸發(fā)彈性收縮的閾值為20%，擴(kuò)容/縮容動(dòng)作為增加/減少1臺(tái)云主機(jī)為例進(jìn)行說(shuō)明。當(dāng)用戶的業(yè)務(wù)需求上升時(shí)，彈性伸縮自動(dòng)完成底層資源升級(jí)，避免訪問(wèn)延時(shí)和資源超負(fù)荷運(yùn)行。例如，當(dāng)后臺(tái)監(jiān)控檢測(cè)到伸縮組內(nèi)的ECS實(shí)例內(nèi)存使用率平均值超過(guò)70%時(shí)，彈性伸縮根據(jù)用戶配置的伸縮規(guī)則彈性擴(kuò)張ECS資源，自動(dòng)創(chuàng)建1臺(tái)ECS實(shí)例加入伸縮組。當(dāng)用戶業(yè)務(wù)需求下降時(shí)，彈性伸縮自動(dòng)完成底層資源釋放，避免資源浪費(fèi)。例如，后臺(tái)監(jiān)控檢測(cè)到伸縮組內(nèi)的ECS實(shí)例內(nèi)存使用率平均值低于20%時(shí)，彈性伸縮根據(jù)用戶配置的伸縮規(guī)則彈性收縮ECS資源，自動(dòng)移除1臺(tái)ECS實(shí)例。彈性伸縮提供健康檢查功能，自動(dòng)監(jiān)控伸縮組內(nèi)的ECS實(shí)例的健康狀態(tài)，避免伸縮組內(nèi)健康ECS實(shí)例低于用戶設(shè)置的最小值。當(dāng)檢測(cè)到某臺(tái)ECS實(shí)例處于不健康狀態(tài)（如關(guān)機(jī)狀態(tài)）時(shí)，伸縮組將自動(dòng)移除不健康ECS實(shí)例并創(chuàng)建新的ECS實(shí)例。3資源編排服務(wù)服務(wù)構(gòu)建器提供圖形化資源模板編排以及通過(guò)導(dǎo)入RTS模板編排、一鍵式應(yīng)用部署、彈性伸縮的應(yīng)用自動(dòng)化部署服務(wù)。管理員和租戶通過(guò)可視化編排界面任意拖拽圖元或通過(guò)導(dǎo)入的RTS模板，快速完成計(jì)算，存儲(chǔ)，網(wǎng)絡(luò)，應(yīng)用等資源的組合編排和自動(dòng)化部署，并作為一個(gè)整體為用戶服務(wù)，支撐業(yè)務(wù)快速上線。并且可以自定義自動(dòng)伸縮策略以達(dá)到自動(dòng)擴(kuò)容和減容的彈性云服務(wù)器，以實(shí)現(xiàn)負(fù)載均衡，資源充分利用。服務(wù)構(gòu)建器的主要功能如下：服務(wù)模板是將計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、伸縮組、腳本等多種資源，按照特定關(guān)系的有機(jī)結(jié)合，基于服務(wù)模板可以快速構(gòu)建服務(wù)并上線到服務(wù)目錄。用戶可以新建模板，也可以導(dǎo)入已有的模板，并支持Heat模板的導(dǎo)入。為了方便用戶使用，縮短用戶的學(xué)習(xí)過(guò)程，系統(tǒng)預(yù)置了大量常用的模板，包括：典型Web三層架構(gòu)網(wǎng)站模板、安裝MySQL服務(wù)模板、安裝MongoDB集群模板、安裝Kafka集群模板、安裝Nginx服務(wù)模板、安裝Apache服務(wù)模板、安裝Tomcat服務(wù)模板等；服務(wù)構(gòu)建器提供圖形化模板編排功能。資源管理員可以在可視化界面通過(guò)拖拽圖元的方式完成服務(wù)模板的設(shè)計(jì)、制作。可編排的元素包括彈性云服務(wù)器、網(wǎng)絡(luò)、彈性負(fù)載均衡、腳本等元素，可設(shè)置各元素的信息和各元素之間的關(guān)聯(lián)關(guān)系，編排完成后保存為模板?；谀０?，可以構(gòu)建服務(wù)并上架到服務(wù)目錄。構(gòu)建服務(wù)過(guò)程中，可以分類(lèi)組合參數(shù)，鎖定參數(shù)取值或開(kāi)放出來(lái)由用戶申請(qǐng)時(shí)指定。服務(wù)上架之后，用戶可以一鍵式申請(qǐng)服務(wù)并部署應(yīng)用實(shí)例，系統(tǒng)根據(jù)模板定義創(chuàng)建服務(wù)實(shí)例、設(shè)置服務(wù)實(shí)例之間的關(guān)聯(lián)并根據(jù)腳本自動(dòng)部署應(yīng)用軟件，實(shí)現(xiàn)一鍵式應(yīng)用部署。申請(qǐng)過(guò)程中，用戶還可以指定服務(wù)實(shí)例歸屬哪個(gè)應(yīng)用，也可以不指定應(yīng)用，服務(wù)構(gòu)建完成后自動(dòng)生成一個(gè)應(yīng)用，完成服務(wù)資源和應(yīng)用的關(guān)聯(lián)，便于后續(xù)基于應(yīng)用管理資源。編排服務(wù)模板時(shí)，可以指定在彈性云服務(wù)器上運(yùn)行的腳本，通過(guò)腳本完成應(yīng)用軟件的安裝部署。服務(wù)構(gòu)建器支持三種應(yīng)用軟件部署模式：鏡像、Cloud-init、腳本，腳本的部署方式最靈活，功能也最強(qiáng)大。系統(tǒng)支持腳本管理功能，用戶可以將本地的腳本文件上傳到系統(tǒng)，系統(tǒng)會(huì)將腳本信息保存到數(shù)據(jù)庫(kù)中，后續(xù)使用模板發(fā)放實(shí)例時(shí)，可以選擇已有的腳本。4對(duì)象存儲(chǔ)對(duì)象存儲(chǔ)（Object-basedStorage)是一種新的網(wǎng)絡(luò)存儲(chǔ)架構(gòu)，基于對(duì)象存儲(chǔ)技術(shù)的設(shè)備就是對(duì)象存儲(chǔ)設(shè)備（Object-basedStorageDevice）簡(jiǎn)稱(chēng)OSD。1999年成立的全球網(wǎng)絡(luò)存儲(chǔ)工業(yè)協(xié)會(huì)（SNIA）的對(duì)象存儲(chǔ)設(shè)備工作組發(fā)布了ANSI的X3T10標(biāo)準(zhǔn)。總體上來(lái)講，對(duì)象存儲(chǔ)綜合了NAS和SAN的優(yōu)點(diǎn)，同時(shí)具有SAN的高速直接訪問(wèn)和NAS的分布式數(shù)據(jù)共享等優(yōu)勢(shì)，提供了具有高性能、高可靠性、跨平臺(tái)以及安全的數(shù)據(jù)共享的存儲(chǔ)體系結(jié)構(gòu)。SAN存儲(chǔ)架構(gòu)，采用SCSI快I/O命令集，通過(guò)磁盤(pán)或FC（iberChannel）級(jí)的數(shù)據(jù)訪問(wèn)提供高性能的隨機(jī)I/O個(gè)數(shù)據(jù)吞吐率，它具有高寬帶、低時(shí)延的優(yōu)勢(shì)，在高性能計(jì)算中占有一席之地，如SGI的CXFS文件系統(tǒng)就是基于SAN實(shí)現(xiàn)高性能文件存儲(chǔ)的，但是由于SAN系統(tǒng)的價(jià)格較高，且擴(kuò)展性較差，已不能滿足成千上萬(wàn)個(gè)CPU規(guī)模的系統(tǒng)。NAS存儲(chǔ)架構(gòu)，它采用NFS或CIFS命令集訪問(wèn)數(shù)據(jù)，以文件為傳輸協(xié)議，通過(guò)TCP/IP實(shí)現(xiàn)網(wǎng)絡(luò)化存儲(chǔ)，可擴(kuò)展行好、價(jià)格便宜、用戶易管理，如目前在集群計(jì)算中應(yīng)用較多的NFS文件系統(tǒng)，但由于NAS的西醫(yī)開(kāi)銷(xiāo)高、帶寬低、延遲大，不利于在高性能集群中使用。對(duì)象存儲(chǔ)架構(gòu)，核心是將數(shù)據(jù)通路（數(shù)據(jù)讀或?qū)懀┖涂刂仆罚ㄔ獢?shù)據(jù)）分離，并且基于對(duì)象存儲(chǔ)設(shè)備構(gòu)建存儲(chǔ)系統(tǒng)，每個(gè)對(duì)象存儲(chǔ)設(shè)備具有一定的只能，能夠自動(dòng)管理其上的數(shù)據(jù)分布。對(duì)象存儲(chǔ)結(jié)構(gòu)由對(duì)象、對(duì)象存儲(chǔ)設(shè)備、元數(shù)據(jù)服務(wù)器、對(duì)象存儲(chǔ)系統(tǒng)的客戶端四部分組成。5塊存儲(chǔ)塊存儲(chǔ)資源池由資源池管理系統(tǒng)和基礎(chǔ)設(shè)施組成。在資源池管理系統(tǒng)中每個(gè)Tier可以由多個(gè)來(lái)自不同廠家不同存儲(chǔ)設(shè)備的存儲(chǔ)池構(gòu)成，塊存儲(chǔ)Tier指定了可以創(chuàng)建哪種類(lèi)型的卷，管理員可以創(chuàng)建、刪除、修改塊存儲(chǔ)服務(wù)等級(jí)。資源池管理系統(tǒng)能夠?qū)崿F(xiàn)邏輯層面的塊存儲(chǔ)資源虛擬化。塊存儲(chǔ)資源虛擬化是通過(guò)將不同廠商、不同型號(hào)的存儲(chǔ)設(shè)備接入到系統(tǒng)中，對(duì)存儲(chǔ)設(shè)備上的存儲(chǔ)池按照一定規(guī)則（性能/保護(hù)能力等）進(jìn)行分組，組成不同的塊存儲(chǔ)資源池。進(jìn)行資源分配時(shí)，只需要在這些塊存儲(chǔ)資源池中申請(qǐng)塊存儲(chǔ)服務(wù)，不用再關(guān)注不同存儲(chǔ)設(shè)備的操作差異。在上圖中，可用分區(qū)（AvailabilityZone，簡(jiǎn)稱(chēng)AZ）定義了一個(gè)可用域，在這個(gè)域里面包含了主機(jī)，存儲(chǔ)設(shè)備等對(duì)象，AZ本身可以由存儲(chǔ)管理員設(shè)定，AZ內(nèi)包含的對(duì)象也由存儲(chǔ)管理員定義，但是所有對(duì)象需遵循一個(gè)原則，即域內(nèi)的所有存儲(chǔ)設(shè)備與所有物理主機(jī)都是物理可達(dá)的，使用的物理網(wǎng)絡(luò)就是域內(nèi)定義的光纖網(wǎng)絡(luò)（Fabric）。因此，AZ域?qū)嶋H上定義了一個(gè)全連通域，域內(nèi)的主機(jī)與存儲(chǔ)是可任意兩兩互聯(lián)的，不會(huì)出現(xiàn)由于物理連接的限制導(dǎo)致分配的存儲(chǔ)空間無(wú)法訪問(wèn)的問(wèn)題。實(shí)際配置過(guò)程中，存儲(chǔ)管理員可以合理的規(guī)劃AZ的范圍。由于物理連通性的要求，實(shí)際分配過(guò)程中AZ的范圍應(yīng)該是以FC網(wǎng)絡(luò)為基準(zhǔn)的。當(dāng)申請(qǐng)存儲(chǔ)卷創(chuàng)建服務(wù)的時(shí)候，系統(tǒng)會(huì)在指定的AZ范圍內(nèi)調(diào)度存儲(chǔ)空間的分配，使存儲(chǔ)只分配給同一AZ內(nèi)的主機(jī)使用。6負(fù)載均衡ELB（ElasticLoadBalance），即彈性負(fù)載均衡，是將訪問(wèn)流量根據(jù)轉(zhuǎn)發(fā)策略分發(fā)到后端多臺(tái)彈性云服務(wù)器的流量分發(fā)控制服務(wù)。彈性負(fù)載均衡可以通過(guò)流量分發(fā)擴(kuò)展應(yīng)用系統(tǒng)對(duì)外的服務(wù)能力，實(shí)現(xiàn)更高水平的應(yīng)用程序容錯(cuò)性能。彈性負(fù)載均衡可以消除單點(diǎn)故障，提高整個(gè)系統(tǒng)的可用性。場(chǎng)景1南北向ELB用戶通過(guò)internet訪問(wèn)ELB服務(wù)。公網(wǎng)負(fù)載均衡通過(guò)創(chuàng)建時(shí)分配或選擇的彈性IP對(duì)外提供服務(wù)。場(chǎng)景2東西向ELB內(nèi)網(wǎng)租戶在云網(wǎng)絡(luò)內(nèi)部訪問(wèn)ELB服務(wù)。私網(wǎng)負(fù)載均衡通過(guò)創(chuàng)建時(shí)分配或指定的私網(wǎng)IP地址對(duì)同一VPC下其他服務(wù)器提供服務(wù)。ELB服務(wù)具有以下功能：支持多監(jiān)聽(tīng)器能力，提供不同業(yè)務(wù)申請(qǐng)不同的監(jiān)聽(tīng)器提供服務(wù)訪問(wèn)；支持TCP、UDP、HTTP、HTTPS的負(fù)載均衡。支持HTTPSSSL證書(shū)卸載。支持證書(shū)管理。支持RR、源IP、最小連接的負(fù)載均衡算法。支持源IP、HTTP_Cookie、APP_Cookie的會(huì)話保持。支持TCP、HTTP的健康檢查。支持訪問(wèn)白名單控制。支持按域名、URL轉(zhuǎn)發(fā)。支持高級(jí)轉(zhuǎn)發(fā)策略。高級(jí)轉(zhuǎn)發(fā)策略開(kāi)啟后，ELB實(shí)例會(huì)根據(jù)用戶配置的高級(jí)轉(zhuǎn)發(fā)策略將不同的請(qǐng)求按照不同的方式處理支持的轉(zhuǎn)發(fā)規(guī)則有：域名、URL、多URL或者多域名的組合。支持的動(dòng)作類(lèi)型有：轉(zhuǎn)發(fā)至后端服務(wù)器組、重定向至監(jiān)聽(tīng)器、重定向至URL。支持IPv4和IPv6。支持實(shí)例限速：新建連接數(shù)，并發(fā)連接數(shù)，帶寬支持國(guó)密算法和證書(shū)：支持《GM/T0024-2014:SSLVPN技術(shù)規(guī)范》定義的ECDHE-SM4-SM3、ECC-SM4-SM3算法套件。支持國(guó)密證書(shū)（簽名證書(shū)、加密證書(shū)）支持混合負(fù)載均衡?；旌县?fù)載均衡的后端服務(wù)器組不僅支持添加云上VPC內(nèi)的服務(wù)器實(shí)例，還支持以TargetIP地址形式添加。可以是本VPCIP、其他VPCIP、其他RegionIP、云下數(shù)據(jù)中心的服務(wù)器IP。幫助用戶根據(jù)業(yè)務(wù)訴求靈活配置，將流量請(qǐng)求轉(zhuǎn)發(fā)到云上、云間或云下的服務(wù)器上。7虛擬網(wǎng)絡(luò)服務(wù)VPC即虛擬私有云，是通過(guò)邏輯方式進(jìn)行網(wǎng)絡(luò)隔離，提供安全、隔離的網(wǎng)絡(luò)環(huán)境，提供與傳統(tǒng)網(wǎng)絡(luò)無(wú)差別的虛擬網(wǎng)絡(luò)。場(chǎng)景1多個(gè)子網(wǎng)的VPC首先按照網(wǎng)絡(luò)規(guī)劃創(chuàng)建VPC和subnet，并在虛擬私有云中創(chuàng)建云主機(jī)使用；VPC間隔離。場(chǎng)景2VPC互通首先規(guī)劃創(chuàng)建兩個(gè)VPC，互通VPC的子網(wǎng)地址不能重疊。場(chǎng)景3VPC通過(guò)SNAT訪問(wèn)公網(wǎng)多個(gè)子網(wǎng)的虛擬機(jī)通過(guò)SNAT共享EIP訪問(wèn)Internet網(wǎng)絡(luò)。如下圖，VPC1內(nèi)subnet1、subnet2子網(wǎng)內(nèi)的所有VM都共享EIP1訪問(wèn)外網(wǎng)。網(wǎng)絡(luò)服務(wù)整體架構(gòu)VPC網(wǎng)絡(luò)服務(wù)分為VPC云服務(wù)層、網(wǎng)絡(luò)控制層、基礎(chǔ)設(shè)施層。1、云服務(wù)層云服務(wù)層提供統(tǒng)一的云服務(wù)申請(qǐng)和自助操作服務(wù)控制臺(tái)。VPC服務(wù)提供VPC服務(wù)實(shí)例申請(qǐng)和自助操作維護(hù)控制臺(tái)。VPC服務(wù)分為VPCUI和VPCService兩部分，VPCUI提供面向用戶的控制臺(tái)VPCService提供服務(wù)管理功能。2、網(wǎng)絡(luò)控制&轉(zhuǎn)發(fā)層管理與控制能力由Openstack、PecadoSDN控制器、計(jì)算節(jié)點(diǎn)agent來(lái)提供；VPC網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)承載在OVS、VPCGW之上。3、基礎(chǔ)設(shè)施層服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等物理基礎(chǔ)設(shè)施，構(gòu)成數(shù)據(jù)中心資源池的基礎(chǔ)架構(gòu)。服務(wù)能力VPC服務(wù)通過(guò)web管理控制臺(tái)，讓用戶自主的完成服務(wù)的開(kāi)通與關(guān)閉，讓用戶靈活使用VPC服務(wù)，達(dá)到即開(kāi)即用，用完歸還的目標(biāo)。VPC服務(wù)具有以下功能：1、支持子網(wǎng)管理可以創(chuàng)建多個(gè)子網(wǎng)，指定子網(wǎng)申請(qǐng)?zhí)摂MIP，以及修改私有IP地址。支持IPv4，IPv6雙棧場(chǎng)景。2、項(xiàng)目級(jí)子網(wǎng)項(xiàng)目級(jí)子網(wǎng)是通過(guò)子網(wǎng)提供與其他網(wǎng)絡(luò)隔離的、可以獨(dú)享的網(wǎng)絡(luò)資源，僅加入到該子網(wǎng)的虛擬機(jī)才能訪問(wèn)該網(wǎng)絡(luò)上的資源。項(xiàng)目級(jí)子網(wǎng)僅有二層能力，無(wú)外部網(wǎng)絡(luò)出口。3、共享VPC通常同一個(gè)項(xiàng)目中計(jì)算ECS、網(wǎng)絡(luò)VPC、存儲(chǔ)EVS等由VDC業(yè)務(wù)員發(fā)放。為了實(shí)現(xiàn)網(wǎng)絡(luò)資源的統(tǒng)一管理，在一個(gè)項(xiàng)目中由網(wǎng)絡(luò)管理員統(tǒng)一發(fā)放VPC網(wǎng)絡(luò)資源，在其它項(xiàng)目使用這個(gè)VPC資源。4、路由管理配置VPC的默認(rèn)路由，把指定目的網(wǎng)段的報(bào)文發(fā)給指定下一跳。支持IPv4，IPv6雙棧場(chǎng)景。5、VPCPeering支持租戶使用私有業(yè)務(wù)IP地址在安全隔離的VPC之間實(shí)現(xiàn)三層路由互通。支持IPv4，IPv6雙棧場(chǎng)景。6、虛擬IP服務(wù)虛擬IP（即VIP）是一個(gè)未分配給真實(shí)彈性云服務(wù)器網(wǎng)卡的IP地址，可以同時(shí)綁定多個(gè)虛擬機(jī)網(wǎng)卡。主要用在彈性云服務(wù)器的主備切換，達(dá)到高可用性HA（HighAvailability）的目的。需要注意的是用戶綁定的多個(gè)彈性云服務(wù)器自身要能提供類(lèi)似keepalive的動(dòng)態(tài)配置虛擬ip的能力。7、VPC流日志可以記錄虛擬私有云中的流量信息，幫助用戶檢查和優(yōu)化安全組和網(wǎng)絡(luò)ACL控制規(guī)則、監(jiān)控網(wǎng)絡(luò)流量、進(jìn)行網(wǎng)絡(luò)攻擊分析等。支持VPC、子網(wǎng)、端口三種粒度的流日志設(shè)置。8、虛擬網(wǎng)卡限速可以基于虛擬網(wǎng)卡進(jìn)行出方向流量的帶寬上限限速，防止單個(gè)虛擬網(wǎng)卡流量對(duì)同主機(jī)其它虛擬網(wǎng)卡流量造成沖擊。9、支持路由表路由表由一系列路由規(guī)則組成，用于控制虛擬私有云內(nèi)子網(wǎng)的出流量走向。VPC中的每個(gè)子網(wǎng)都必須關(guān)聯(lián)一個(gè)路由表，一個(gè)子網(wǎng)一次只能關(guān)聯(lián)一個(gè)路由表，但一個(gè)路由表可以關(guān)聯(lián)多個(gè)子網(wǎng)。路由表分兩類(lèi)：默認(rèn)路由表和自定義路由表用戶創(chuàng)建虛擬私有云時(shí)，系統(tǒng)會(huì)自動(dòng)為其生成一個(gè)默認(rèn)路由表，創(chuàng)建子網(wǎng)后，子網(wǎng)會(huì)自動(dòng)關(guān)聯(lián)默認(rèn)路由表。用戶可以在默認(rèn)路由表中添加、刪除和修改路由規(guī)則，但不能刪除默認(rèn)路由表。創(chuàng)建VPN、云專(zhuān)線、云連接服務(wù)時(shí)，默認(rèn)路由表會(huì)自動(dòng)下發(fā)路由，云連接路由不能刪除和修改，用戶可以將子網(wǎng)關(guān)聯(lián)到自定義路由表或者復(fù)制該條路由到自定義路由表中，在自定義路由表中添加、修改和刪除路由。路由表管理支持的操作包括（1）創(chuàng)建、刪除、查詢自定義路由表（2）子網(wǎng)關(guān)聯(lián)路由表、更新關(guān)聯(lián)路由表（3）添加、修改、查詢路由。自定義路由表僅支持IPv4路由。路由的下一跳支持：服務(wù)器實(shí)例、擴(kuò)展網(wǎng)卡、虛擬IP、VPN網(wǎng)關(guān)、云專(zhuān)線網(wǎng)關(guān)、NAT網(wǎng)關(guān)、云連接、對(duì)等連接8云平臺(tái)運(yùn)營(yíng)管理運(yùn)營(yíng)服務(wù)中心是云管平臺(tái)的資源、服務(wù)管理中心，支持多租戶模式，租戶自助申請(qǐng)服務(wù)、管理資源，支持服務(wù)流程合規(guī)檢查，提升運(yùn)營(yíng)效率，包括：多云管理：支持對(duì)多個(gè)Region的云服務(wù)進(jìn)行統(tǒng)一運(yùn)營(yíng)管理，滿足大型企業(yè)或組織跨地域運(yùn)營(yíng)混合云的需求，支持多云管理，包括華為云、AWS、AZure、華為虛擬化、VMware等。政企組織結(jié)構(gòu)管理：匹配政企多級(jí)組織管理模型，滿足各級(jí)組織靈活使用云服務(wù)資源的需求，同時(shí)支持政企IT項(xiàng)目管理，把項(xiàng)目預(yù)算轉(zhuǎn)換成資源配額，管控各業(yè)務(wù)部門(mén)的云資源池使用量，使得各業(yè)務(wù)部門(mén)在預(yù)算范圍內(nèi)合理使用云資源。權(quán)限管理：提供不同的運(yùn)營(yíng)權(quán)限，包括預(yù)置權(quán)限和自定義策略，滿足政企不同用戶角色的權(quán)限控制需求。服務(wù)管理：提供開(kāi)箱即用的服務(wù)目錄，支持服務(wù)按租戶、按部門(mén)上架、下架，同時(shí)支持按需構(gòu)建服務(wù)，支持跨region、跨云的組合服務(wù)編排，支持重新編排云服務(wù)的申請(qǐng)頁(yè)面，服務(wù)申請(qǐng)客戶化，助力政企數(shù)字化轉(zhuǎn)型；資源管理：支持全局統(tǒng)一的資源中心，運(yùn)營(yíng)管理員、租戶可以在一張資源視圖內(nèi)管理所有region的云服務(wù)資源，支持對(duì)資源進(jìn)行監(jiān)控、執(zhí)行常用操作。應(yīng)用管理：提供應(yīng)用管理，政企的業(yè)務(wù)系統(tǒng)可以定義為應(yīng)用，支持應(yīng)用部署，以應(yīng)用為中心管理云資源，提升運(yùn)營(yíng)管理效率；服務(wù)流程管理：提供圖形化、按需定義的服務(wù)流程編排能力，可自定義服務(wù)流程（包括并行、串行處理）、流程節(jié)點(diǎn)、節(jié)點(diǎn)的表單定義，指定各節(jié)點(diǎn)的審批人，靈活適配各企業(yè)不同的業(yè)務(wù)審批訴求。運(yùn)營(yíng)管理：提供訂單管理、配額管理、計(jì)量計(jì)價(jià)、購(gòu)物車(chē)、回收站等運(yùn)營(yíng)能力，滿足租戶自助申請(qǐng)服務(wù)的訴求，提升運(yùn)營(yíng)效率。運(yùn)營(yíng)服務(wù)中心在匹配政企組織管理模型的基礎(chǔ)上，圍繞服務(wù)、資源、應(yīng)用的生命周期，結(jié)合統(tǒng)一服務(wù)流程進(jìn)行合規(guī)管理。運(yùn)營(yíng)服務(wù)邏輯架構(gòu)1、門(mén)戶層：統(tǒng)一門(mén)戶：提供政企統(tǒng)一訪問(wèn)門(mén)戶，門(mén)戶支持預(yù)集成服務(wù)、動(dòng)態(tài)構(gòu)建注冊(cè)的服務(wù)、ISV開(kāi)發(fā)的服務(wù)。2、運(yùn)營(yíng)能力層：組織管理：匹配政企組織結(jié)構(gòu)，提供企業(yè)、部門(mén)、項(xiàng)目不同層級(jí)的管理，通過(guò)部門(mén)配額控制各部門(mén)可使用的資源池資源數(shù)量，同時(shí)也可以通過(guò)項(xiàng)目預(yù)算為部門(mén)錄入資源配額，管控各部門(mén)可以使用的云資源數(shù)量。服務(wù)管理：支持服務(wù)按部門(mén)上架、下架，支持預(yù)集成服務(wù)、動(dòng)態(tài)構(gòu)建服務(wù)、ISV開(kāi)發(fā)的服務(wù)，支持多云服務(wù)的統(tǒng)一管理。資源管理：提供全局統(tǒng)一的資源管理中心，支持資源常用操作、資源監(jiān)控，提供一站式的資源中心。服務(wù)構(gòu)建：支持按需構(gòu)建服務(wù)，支持編排各原子服務(wù)API、服務(wù)申請(qǐng)頁(yè)面、申請(qǐng)流程，支持跨云服務(wù)編排，組合成用戶需要的云服務(wù)，發(fā)布到服務(wù)目錄，供租戶自助申請(qǐng)使用。應(yīng)用管理：提供以應(yīng)用為中心的資源管理，支持以應(yīng)用為粒度管理、監(jiān)控資源，支持在云主機(jī)上部署應(yīng)用軟件、應(yīng)用模塊進(jìn)程監(jiān)控，提供一站式的應(yīng)用管理。運(yùn)營(yíng)管理；提供多云統(tǒng)一訂單、配額管理、計(jì)量統(tǒng)計(jì)。多云管理：支持接入多種云資源池，包括華為云、華為虛擬化、VMware、AWS、AZure等云類(lèi)型的管理。3、統(tǒng)一服務(wù)流程：服務(wù)流程：提供服務(wù)申請(qǐng)、審批的統(tǒng)一流程，支持圖形化可靈活定義的流程編排，支持定義流程表單。4、統(tǒng)一服務(wù)接入框架：提供統(tǒng)一的服務(wù)接入框架，包括控制臺(tái)、鑒權(quán)認(rèn)證、計(jì)量、訂單、配額等。9云平臺(tái)運(yùn)維管理隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速，企業(yè)業(yè)務(wù)上云的訴求越來(lái)越強(qiáng)烈，而云化數(shù)據(jù)中心相對(duì)于傳統(tǒng)的數(shù)據(jù)中心，運(yùn)維的復(fù)雜度成指數(shù)級(jí)增加，最典型的問(wèn)題如：運(yùn)維效率低，運(yùn)維難度大，系統(tǒng)穩(wěn)定性差等。從業(yè)界運(yùn)維的發(fā)展歷程看，一般是經(jīng)過(guò)大概幾個(gè)階段：第一階段：傳統(tǒng)的IT運(yùn)維，以ITIL為最佳實(shí)踐的流程化的運(yùn)維管理，核心在于流程管控第二階段：以提升效率為核心的自動(dòng)化運(yùn)維，以DevOps為最佳實(shí)踐，實(shí)現(xiàn)軟件發(fā)布、升級(jí)、變更、監(jiān)控、故障處理全流程自動(dòng)化的運(yùn)維管理；第三階段：無(wú)人值守的智能化運(yùn)維，以AIOps為核心，大量引入AI/ML技術(shù)，實(shí)現(xiàn)機(jī)器的故障預(yù)測(cè)和自主決策。實(shí)現(xiàn)監(jiān)控、故障、執(zhí)行自閉環(huán)的運(yùn)維管理，最終實(shí)現(xiàn)無(wú)人值守的運(yùn)維；云管平臺(tái)提供統(tǒng)一的運(yùn)維能力，解決云數(shù)據(jù)中心運(yùn)維的幾個(gè)核心問(wèn)題：效率、成本和質(zhì)量。主要面向?qū)I(yè)的運(yùn)維管理員，如一線駐場(chǎng)工程、云平臺(tái)運(yùn)維工程師，運(yùn)維安全工程師、網(wǎng)絡(luò)運(yùn)維工程師以及設(shè)備運(yùn)維工程師等。提供標(biāo)準(zhǔn)化、自動(dòng)化、智能化的運(yùn)維能力，方便運(yùn)維人員及時(shí)掌握系統(tǒng)運(yùn)行狀況，并提供故障診斷以及閉環(huán)的能力。實(shí)現(xiàn)了多云、多數(shù)據(jù)中心、多資源池、多種云服務(wù)的統(tǒng)一管理，提供包含資源管理、集中監(jiān)控、可視化、運(yùn)維分析、安裝部署等功能模塊，支撐日常運(yùn)維、系統(tǒng)變更、運(yùn)營(yíng)分析等運(yùn)維業(yè)務(wù)場(chǎng)景。運(yùn)維對(duì)象覆蓋基礎(chǔ)設(shè)施、云服務(wù)和應(yīng)用整個(gè)云環(huán)境的一體化的運(yùn)維能力。云運(yùn)維具備以下特點(diǎn)：架構(gòu)解耦：云運(yùn)維架構(gòu)采用微服務(wù)架構(gòu)，具備良好的敏捷交付和可擴(kuò)展性。能力開(kāi)放：對(duì)外開(kāi)放北向接口可對(duì)接第三方運(yùn)維平臺(tái)，第三方可自開(kāi)發(fā)驅(qū)動(dòng)通過(guò)南向接口接入集中運(yùn)維管理平臺(tái)。分布式架構(gòu)：每個(gè)數(shù)據(jù)中心部署本地云資源管理系統(tǒng)和物理設(shè)備運(yùn)維系統(tǒng)，負(fù)責(zé)本地的運(yùn)維操作、配置和監(jiān)控?cái)?shù)據(jù)采集。統(tǒng)一管理：華為云Stack提供了統(tǒng)一的運(yùn)維門(mén)戶，和靈活的南向?qū)幽芰?，基于從南向?qū)酉到y(tǒng)中抽取的資源對(duì)象的告警、性能、資源等信息，對(duì)資源進(jìn)行監(jiān)控、統(tǒng)計(jì)、分析與預(yù)測(cè)，從而實(shí)現(xiàn)云數(shù)據(jù)中心資源的統(tǒng)一運(yùn)維管理。智能分析：利用AI/ML技術(shù)，基于客戶實(shí)際應(yīng)用場(chǎng)景，構(gòu)建場(chǎng)景化智能運(yùn)維能力。10態(tài)勢(shì)感知態(tài)勢(shì)感知（SituationAwareness，SA）是華為云安全管理與態(tài)勢(shì)分析平臺(tái)。能夠檢測(cè)出8大類(lèi)的云上安全風(fēng)險(xiǎn)，包括DDoS攻擊、暴力破解、Web攻擊、后門(mén)木馬、僵尸主機(jī)、異常行為、漏洞攻擊、命令與控制等。利用