【hcie-cloud】【11】华为云Stack资源与服务扩建【云服务扩容、自动化变更平台&公共服务组件、华为云Stack典型高阶服务扩容简介、缩略词】【下】

文章目录

• 扩容工程简介、扩容管理规模、计算资源扩容与减容
• 云服务扩容
• • 云服务扩容简介
  • • 华为云Stack云服务扩容背景
    • 华为云Stack可选基础云服务
    • 华为云Stack可选网络服务
    • 华为云Stack可选高阶服务
    • 华为云Stack云服务扩容流程
  • 自动化变更平台&公共服务组件
  • • 背景介绍
    • 自动化变更平台&公共服务组件介绍
    • 公共网络平面介绍
    • LB组件等价路由与VIP设计原理
    • 等价路由与VIP网络平面规划示例
    • 高阶服务公共主机规划
    • 高阶云服务依赖关系 (1)
    • 高阶云服务依赖关系 (2)
  • 华为云Stack典型高阶服务扩容简介
  • • 华为云Stack云容器引擎服务简介
    • 云容器引擎服务依赖
    • 云容器引擎服务网络互通说明(1/2)
    • 云容器引擎服务网络互通说明(2/2)
    • 云容器引擎服务资源池设计
    • 云容器引擎服务依赖关系 (1)
    • 云容器引擎服务依赖关系 (2)
    • 云容器引擎服务安装过程
    • [创建工程 - 基本信息填写](#创建工程 - 基本信息填写)
    • [创建工程 - 基本参数选择](#创建工程 - 基本参数选择)
    • [创建工程 - 云服务选择](#创建工程 - 云服务选择)
    • [创建工程 - 高级选项](#创建工程 - 高级选项)
    • 配置工程参数
    • 工程参数简介
    • 工程重点参数介绍 (1)
    • 工程重点参数介绍 (2)
    • 华为云Stack安全服务简介
    • WAF服务网络平面
    • WAF服务网络互通
    • WAF服务依赖关系
    • HSS服务网络平面
    • HSS服务网络互通
    • HSS服务依赖关系
    • CBH服务网络平面
    • CBH服务网络互通
    • CBH服务依赖关系
    • SOC服务网络互通
    • SOC服务依赖关系
    • CSP服务网络平面与网络互通
    • ISAP服务网络互通
    • ISAP服务依赖关系(1/2)
    • ISAP服务依赖关系(2/2)
• 缩略语

扩容工程简介、扩容管理规模、计算资源扩容与减容

看这篇文章
【hcie-cloud】【10】华为云Stack资源与服务扩建【扩容工程简介、扩容管理规模、计算资源扩容与减容】【上】

云服务扩容

云服务扩容简介

华为云Stack云服务扩容背景

• 云平台已运行一段时间后，当用户的需求变化需要使用更多云服务功能时，可通过扩容方式快速完成可选云服务的部署
• 云服务扩容包括：
  • 基本云服务扩容
  • 高级网络云服务扩容
  • 高阶云服务扩容

华为云Stack可选基础云服务

• 云管理
• 计算服务
• 存储服务
• 网络服务
• 管理服务
• 灾备服务
• 安全服务平台安全
• 远程服务代理
• 技术支持中心

华为云Stack可选网络服务

• ELB
• NAT网关
• VPC网关
• Endpoint
• 边界网关
• VPN
• VPN Qos
• EIP Qos
• 云专线
• 二层网桥

华为云Stack可选高阶服务

• 智能数据服务
• 容器服务
• 数据库服务
• 安全服务
• 应用服务
• 物联服务

华为云Stack云服务扩容流程

自动化变更平台&公共服务组件

背景介绍

• 自动化变更平台&公共组件安装扩容时机
  • 底座初始安装时一起设计集成
  • 业务发展变更需要
  • 存量环境升级
• 自动化变更平台和公共组件扩容主要是针对存量的HCS进行的
• 当环境安装技术中台和AI数据中台服务时，需要进行IAM独立改造，如果IAM已独立，则不需要进行改造
• IAM独立改造适用于以下场景：
  • 主Region需要安装技术中台和AI数据中台服务，并且IAM未独立时，则进行IAM独立改造。
  • 备Region为管理面两地三中心或管理面跨Region容灾场景，需要安装技术中台和AI数据中台服务，并且IAM未独立时，则进行IAM独立改造。

自动化变更平台&公共服务组件介绍

• 自动化变更平台&公共服务组件介绍

  • RegionLB
  • PodLB
  • ReverseLB
  • RegionLB_CS
  • COP
  • CloudLB

• 自动化变更平台&公共服务 是高阶服务的前提

• RegionLB: 华为云管理面内网云服务互相调用的负载均衡器

• ReverseLB: 华为云APIGW，运维工具等web或API服务的Internet到内网的访问代理

• PODLB: 华为云管理面和租户面内网云服务互相调用的负载均衡器

• ReverseLB、RegionLB和PODLB是支撑技术中台和AI数据中台的高级云服务业务网络的负载均衡组件。在安装部署阶段需要根据ReverseLB、RegionLB和PODLB的规划，在交换机上配置等价路由，保证网络配置和软件实现相匹配。

• CloudOpsPortal（简称COP） 是一套各运维服务console公用的页面框架，可以显示当前提供的运维服务列表，用于集成和管理各运维服务。同时也提供统一的操作日志管理能力。

• CloudLB_CC和CloudLB_CS是CloudScope-Lite产品使用的负载均衡，CloudLB_CC是CloudScope-Lite做console转发访问的负载均衡，CloudLB_CS是CloudScope-Lite做服务间相互转发访问的负载均衡

公共网络平面介绍

• 管理区平面

  • External_OM
  • DMZ_Service
  • DMZ Service Advance

• 公共LB服务平面

  • OM_ECMP
  • DMZ_ECMP1
  • DMZ_ECMP2
  • OM_ECMP_VIP
  • DMZ_ECMP1_VIP
  • DMZ_ECMP2_VIP

• 高阶服务场景，自动化变更平台、公共LB为必选组件，所以自动化变更平台、公共LB使用的网络平面为高阶服务场景必规划的平面

• External_OM，高阶服务管理虚拟机的管理平面。与IaaS共用该平面，通过管理专线与计算区下沉Service VPC互通

• DMZ_Service，部署在DMZ区的高阶服务管理虚拟机的管理平面。与IaaS共用该平面。使用OBS 3.0提供对象存储能力时，需要该平面与OBS_Business_Tenant互通。

• DMZ Service Advance，订阅的HSS、CBH、WAF服务涉及。要求配置DMZ_Service_Advance和External_Relay_Network网络互通

• OM_ECMP，部署在External_OM平面的管理组件（RegionLB、CloudLB）采用主主部署时，使用该平面作为等价路由下一跳

• DMZ_ECMP1，部署在DMZ_Service平面的管理组件（POD_LB、反向代理、CloudLB的LVS）采用主主部署时，使用该平面作为等价路由下一跳

• DMZ_ECMP2，部署在DMZ_Service_Advance平面的管理组件（POD_LB、CloudLB的LVS）采用主主部署时，使用该平面作为等价路由下一跳

• OM_ECMP_VIP，部署在External_OM平面的管理组件（RegionLB、CloudLB）采用主主部署时，使用该平面提供访问的VIP地址。

• DMZ_ECMP1_VIP，部署在DMZ_Service平面的管理组件（POD_LB、反向代理、CloudLB的LVS）采用主主部署时，使用该平面提供访问的VIP地址。

• DMZ_ECMP2_VIP，部署在DMZ_Service_Advance平面的管理组件（POD_LB、CloudLB的LVS）采用主主部署时，使用该平面提供访问的VIP地址。

LB组件等价路由与VIP设计原理

• 示例
  
• 二层网络内，服务VIP 对于 LVS 来说，并不是接口 IP，本身是不会发送 ARP 也不会响应 ARP。避免 IP 地址冲突的问题，当然，也意味着二层内部是无法访问到VIP
• 所有访问 LVS对应VIP 的流量，都需要三层转发，而上层路由设备，需要通过等价路由 ECMP 给多台 LVS 分流
• ECMP与ECMP_VIP属于不同平面，因此IP必定属于不同网段
• ECMP_VIP为三层IP，配置在LVS上，不产生实际二层流量，因此无需设置VLAN

等价路由与VIP网络平面规划示例

网络平面名称	VLAN ID(示例)	网段/掩码(示例)	网关(示例)	网关位置	VRF
OM_ECMP_VIP	N/A	192.168.4.0/27	N/A	N/A	N/A
OM_ECMP	272	192.168.66.0/26	192.168.66.1	核心交换机	Public
DMZ_ECMP1_VIP	N/A	192.168.5.0/27	N/A	N/A	N/A
DMZ_ECMP1	273	192.168.67.0/26	192.168.67.1	核心交换机	DMZ
DMZ_ECMP2_VIP	N/A	192.168.6.0/27	N/A	N/A	N/A
DMZ_ECMP2	274	192.168.68.0/26	192.168.68.1	核心交换机	DMZ

• ECMP与ECMP_VIP属于不同平面，因此IP必定属于不同网段
• ECMP_VIP为三层IP，配置在LVS上，不产生实际二层流量，因此无需设置VLAN

高阶服务公共主机规划

主机组名称	用途说明	CPU复用比	存储类型	磁盘类型
公共基础服务	网络主机组，用于部署网络服务网元虚拟机	3	华为分布式块存储	SAS、SATA、SSD，三选一
OBS 3.0服务	高阶服务通用计算主机组，用于部署高阶服务业务虚拟机，同时用于部署下沉的管理虚拟机，多个高阶服务，可共用该主机组	1	华为分布式块存储	SAS、SATA、SSD，三选一

• 资源池规划原则
  • 如果高阶服务资源池的服务器CPU架构一致，建议规划在一个AZ内
  • 高阶服务通用计算主机组（KVM_AdvService_Group）的CPU复用比必须配置为1:1，高阶服务下沉管理组件也部署在该主机组。主机组数量4台起配，多个高阶服务共用此主机组的场景，主机数量需参考各个高阶单独的起配数量
  • 对计算节点硬件没有特殊要求（例如对直通盘、GPU等特殊要求）的服务都可以将业务虚拟机发放在高阶服务通用计算主机组
  • 高阶服务的存储资源池的磁盘类型名称仅支持SAS、SATA、SSD，不支持自定义
  • 高阶服务（除GaussDB(for MySQL)服务）仅支持对接华为分布式块存储，GaussDB(for MySQL)服务需要对接单独的DFV存储池

高阶云服务依赖关系 (1)

• ECS、VPC、IMS、EIP等IaaS层基础服务已跟随华为云Stack底座默认必装，此处不再展示
• 技术中台和AI数据中台服务对周边服务依赖情况如下图所示，图中纵向所列的服务依赖于横向所列的服务，绿色表示强依赖关系（若被依赖的服务/组件未安装，则会影响本服务的安装或者基本功能），黄色表示弱依赖关系（若被依赖的服务/组件未安装，不会影响本服务的安装，只会影响本服务的部分可选功能使用

高阶云服务依赖关系 (2)

• ECS、VPC、IMS、EIP等IaaS层基础服务已跟随华为云Stack底座默认必装，此处不再展示
• 技术中台和AI数据中台服务对周边服务依赖情况如下图所示，图中纵向所列的服务依赖于横向所列的服务，绿色表示强依赖关系（若被依赖的服务/组件未安装，则会影响本服务的安装或者基本功能），黄色表示弱依赖关系（若被依赖的服务/组件未安装，不会影响本服务的安装，只会影响本服务的部分可选功能使用

华为云Stack典型高阶服务扩容简介

华为云Stack云容器引擎服务简介

• 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器。借助云容器引擎，可以在华为云上轻松部署、管理和扩展容器化应用程序
• CCE服务通过HUAWEI CLOUD Stack Deploy的方式进行安装，Console与后端服务支持分离部署

云容器引擎服务依赖

• CCE对IaaS层服务的依赖情况
  • 可选：OBS 3.0、SMN、Endpoint、NAT网关、CSBS
  • 必选： EIP、EIP QoS、ELB
• CCE对其他技术中台和AI数据中台服务的依赖情况
  • ConsoleFramework、ReverseLB、RegionLB、PODLB、自动化变更平台、ALB、PaaS-common、SWR、AOM
• CCE对IaaS层服务的依赖情况中，必选是因为CCE其自身组件安装就需要依赖对应IaaS组件，可选是因为CCE在承载业务时，其业务内容可能会对相应IaaS层服务有所依赖使用

云容器引擎服务网络互通说明(1/2)

本端	本端所属区域	本端平面	对端	对端所属区域	对端平面	互通说明
Console Framework	Region	DMZ_Service	RegionLB	Region	OM_ECMP_VIP	Region内通信：CCE Console访问RegionLB的RegionLB-LVS-Float-IP
RegionLB	Region	External_OM	CCE	Region	DMZ_Service	Region内通信：RegionLB访问CCE管理面服务
CCE	Region	DMZ_Service_Advance	CCE	Region	External_Relay_Network	Region内通信：CCE管理面与业务集群互通
CCE	Region	DMZ_service	CCE\VPC\NTP\DNS\APIG	Region	External_OM	Region内通信：CCE后端访问数据库、RegionLB、VPC组合API、NTP、DNS、APIG等
CCE	Region	DMZ_service	ManageOne	Global	Extern_OM	Global与Region通信：CCE管理面访问IAM、上报告警、MOAgent上报

• CCE对IaaS层服务的依赖情况中，必选是因为CCE其自身组件安装就需要依赖对应IaaS组件，可选是因为CCE在承载业务时，其业务内容可能会对相应IaaS层服务有所依赖使用

云容器引擎服务网络互通说明(2/2)

本端	本端所属区域	本端平面	对端	对端所属区域	对端平面	互通说明
CCE	Region	External_Relay_Network	PODLB	Region	DMZ_ECMP_VIP	Region内通信：数据面通过Pod LB的PODLB-LVS-Float-IP与管理面交互
CCE	Region	External_Relay_Network	ReverseLB	Region	DMZ_ECM_VIP	Region内通信：数据面通过Reverse LB的ReverseLB-LVS-Float-IP下载镜像
ReverseLB	Region	DMZ_service	SWR	Region	External_OM	Region内通信：ReverseLB访问SWR
PODLB	Region	DMZ_service	SWR	Region	External_OM	Region内通信：PodLB访问SWR

• CCE对IaaS层服务的依赖情况中，必选是因为CCE其自身组件安装就需要依赖对应IaaS组件，可选是因为CCE在承载业务时，其业务内容可能会对相应IaaS层服务有所依赖使用

云容器引擎服务资源池设计

主机组名称	用途说明	CPU复用比	存储类型	磁盘类型
KVM_CCE_Group	CCE、MCP、ASM、IEF业务主机组，部署CCE master节点、CCE node节点（node节点用于发放客户业务）	3(支持客户自定义)	华为分布式块存储	SAS、SATA、SSD，三选一

• 资源池规划原则
  • 如果部署CCE服务，需要为CCE服务单独规划主机组，用于部署CCE master节点和CCE node节点，该主机组的CPU复用比可以根据客户实际需求自定义，主机组3台起步。另外也可以与ECS共用主机组。
  • 如果同时也部署了MCP、ASM服务，MCP、ASM的业务节点与CCE共用主机组，无需单独规划主机组。
  • 业务虚拟机的系统盘和数据盘使用的后端存储仅支持华为分布式块存储，存储池磁盘类型名称仅支持SAS、SATA、SSD，不支持自定义。
• 磁盘类型默认选择的是SAS磁盘类型

云容器引擎服务依赖关系 (1)

被依赖服务	依赖类型	依赖场景	依赖说明
Console	FrameWork	强依赖	管理面
ALB\ReverseLB\RegionLB\PODLB	强依赖	管理面	管理面对外提供服务
自动化变平台	强依赖	管理面	高阶服务安装依赖
OBS3.0	可选依赖	管理面、数据面	管理面文件存储、数据面容器存储对接
EIP、EIP-Qos	强依赖	数据面	数据面应用对云外提供服务
ELB	强依赖	数据面	数据面应用对云内提供服务
SWR	强依赖	管理面	容器镜像服务

云容器引擎服务依赖关系 (2)

被依赖服务	依赖类型	依赖场景	依赖说明
AOM	强依赖	管理面	容器运维服务
CSBS	可选依赖	数据面	数据面整机备份
NAT网关	可选依赖	数据面	对外访问的一种方式
VPC	Endpoint	可选依赖	数据面
BMS	可选依赖	数据面	用户需要裸金属容器时依赖
GuestOS消息通知服务	可选依赖	数据面	使用BMS，并采用华为分布式块存储时依赖，做挂盘通知作用

云容器引擎服务安装过程

创建工程 - 基本信息填写

• 待扩容Region的区域ID: 对应Region区的区域ID。选择当前服务会在哪个Region区域下进行扩容安装
• Vdc_admin 密码，该密码为对接统一密码平台时，获取token的密码。默认密码来源：
• 与ManageOne版本配套的《华为云Stack * 安全管理指南》的附件《华为云Stack * 帐户一览表》中查找，B类（ManageOne）-(帐户名称)vdc_admin的授权认证密码。
  • 如果为升级场景，请查询与ManageOne初始版本配套的《华为云Stack * 安全管理指南》的附件《华为云Stack * 帐户一览表》中查找，B类（ManageOne）-(帐户名称)vdc_admin的授权认证密码。
  • 若已修改，请咨询环境管理员。

创建工程 - 基本参数选择

• 工程名称：本次待创建工程名称，支持中英文。
• RAID卡是否支持JBOD功能：当环境中任意节点使用的RAID卡不支持JBOD功能，请关闭该选项，并按步骤执行以下操作：
  • 1.安装前，请将所有节点使用两块盘做RAID 1用作系统盘。
  • 2.如果节点类型为管理节点，且管理存储使用华为分布式块存储融合部署，则需要把每个存储盘做单盘RAID 0。注：必须先完成步骤1的系统盘RAID 1设置，才执行单盘RAID 0设置。
  • 3.对于其它类型的节点（仅需要系统盘，不需要存储盘。如网络节点、计算节点、eBackup），请把除系统盘以外的硬盘拔掉，否则可能导致操作系统安装到单盘上。环境安装完毕后再插回。
  • 华为服务器配置的常见型号，均支持JBOD模式，如3108、3408、3416、3516，更多信息请参见华为云兼容性网站查询RAID卡的JBOD支持详情：http://support-it.huawei.com/solution-cqs-gw/
  • 注意：取消勾选该选项后，管理区华为分布式块存储安装过程中会出现手动操作任务，请按任务提示完成操作后，点击"确认"并继续执行安装部署

创建工程 - 云服务选择

• 说明
  • 1、灰色为基础组件，或该工程条件不支持的组件（如CSDR）
  • 2、某些组件存在互斥性，不支持同时安装(如ManageOne、ManageOneB2B)
  • 3、eSight仅支持部署工程进行自动安装，尚不支持扩容自动安装。务必在部署阶段选择安装该组件
  • 4、除eSight外其它服务都支持扩容云服务方式自动安装
• 云服务选择完成后，若点击"上一步"，则已选中服务将被重置为默认值。
• 若在从Region部署主Region未部署的服务，则需要在主Region部署该服务的前端Console。

创建工程 - 高级选项

• 使用SwiftAdapter提供对象存储能力
  • 当前region未部署OBS或OBS 3.0，同时未规划OBS或OBS 3.0提供对象存储服务时，请开启本选项，否则请关闭本选项。
  • 当前Region启用管理面跨AZ高可用时，必须打开本选项
• 使用OBS提供对象存储能力
  • 当前region已安装OBS且当前工程待安装的服务需要对接OBS时，请开启本选项，否则请关闭本选项
• 使用OBS 3.0提供对象存储能力
  • 当前region已安装OBS 3.0且当前工程待安装的服务需要对接OBS 3.0时，请开启本选项，否则请关闭本选项。
  • 如OBS 3.0还未安装但计划安装，且当前工程待安装的服务需要使用OBS 3.0作为数据库备份介质，可开启本选项并提前规划OBS 3.0对接参数（global_obsv3_address、obsv3_address）。
  • 如当前工程待安装的服务中包含"OBS 3.0 Console"，则必须开启本选项

配置工程参数

• 建议从参数模板导入参数，不建议直接在线修改，可能导致最终部署参数与参数表不一致，不便后续维护
  • 点击"模板下载"按钮，下载模板文件，并根据LLD规划填写模板参数，具体参数将在下一小节详细介绍
  • 填写完模板文件，点击"参数上传"按钮，部署工具在上传模板的同时会对模板里的参数格式进行校验，如有问题会进行弹窗报错
  • 模板文件上传完毕，点击"参数汇总导出"按钮，可下载信息导出表，更直观的查看局点详细，建议该工程执行完毕后再进行导出
    
• 部署过程发现参数错误，暂停任务后重新上传参数，继续跑任务。
• 如果该参数已经被某任务使用，并下发到云平台，则修改后不生效。建议重建工程，或手动到环境修改下发的配置。

工程参数简介

• 导出的模板中的工程参数分为两类：
  • 从原工程中继承的
  • 需要新规划的参数

工程重点参数介绍 (1)

• CCE

  • 云容器引擎(CCE)服务专用主机组名称：cce_hostgroup_name （必填）
    • 用于创建CCE集群master节点用，不支持飞腾海光主机组
    • 主机组用途为CCE专用主机组的主机组名称
  • 云容器引擎(CCE)服务专用主机组的CPU超分比：cce_hostgroup_cpu_overatio （必填）
    • 云容器引擎(CCE)服务在计算区的业务虚拟机所在主机组的CPU超分比
  • 高阶服务PodLB DMZ_ECMP2_VIP网络平面IP CIDR：dmz_ecmp2_vip_cidr （必填）
    • 高阶服务公共LB网络-DMZ_ECMP2_VIP
  • 是否对接SFS：register_sfs （必填）
    • CCE是否对接SFS服务，根据实际情况填写

• 设置参数的前提是，需要在参数提交之前，需将对应的主机组在ServiceOM上创建并配置好，参数提交并不能自动完成主机组创建工作。

工程重点参数介绍 (2)

• CCE
  • 扩容AZ名称：expansion_az
    • 扩容AZ名称
    • 异构AZ场景下扩容的AZ名称，若该az已部署至该环境，则填写；否则，不填写；多个AZ，用","分隔
  • 扩容云容器引擎(CCE)服务专用主机组名称：Expansion_General_HostGroup_Name
    • 扩容云容器引擎(CCE)服务专用主机组名称
    • 异构AZ场景下扩容云容器引擎(CCE)服务专用主机组名称，若该主机组已部署至该环境，则填写；否则，不填写；多个主机组，用","分隔
  • 扩容云容器引擎(CCE)服务专用主机组的CPU超分比：cce_expansion_hostgroup_cpu_overatio
    • 扩容云容器引擎(CCE)服务专用主机组的CPU超分比

华为云Stack安全服务简介

• Web 应用防火墙服务（WAF）
• 主机安全服务（HSS）
• 云堡垒机服务（CBH）
• 安全运营中心（SOC）
• 计算安全平台（CSP）
• 安全智能分析平台（ISAP）

WAF服务网络平面

• External_OM

  • WAF管理面组件、数据库、Zookeeper等节点部署在该平面，需要和DMZ_Service平面互通

• DMZ Service Advance

  • WAF服务通过该网络管理引擎实例。要求配置DMZ_Service_Advance和External_Relay_Network网络互通，以便WAF服务管理面可以通过该网络管理引擎实例

• DMZ_Service

  • 用于WAF管理节点间互通，需要和External_OM平面互通

• WAF服务管理面是虚拟机部署在管理节点上，无特殊硬件组网要求

• WAF服务引擎实例是虚拟机部署在计算节点上，无特殊硬件组网要求

• 用于WAF管理节点间互通，需要和External_OM平面互通

WAF服务网络互通

本端	本端所属区域	本端平面	对端	对端所属区域	对端平面	互通说明
Console Framework	Region	DMZ_Service	RegionLB	Region	OM_ECMP_VIP	Region内通信，WAF Console访问RegionLB的RegionLB-LVS-Float-IP
ECS	Region	External_Relay_Network	PODLB	Region	DMZ_ECM_VIP	Region内通信，WAF实例访问PODLB组件
PODLB	Region	DMZ_Service	WAF	Region	External_OM	Region内通信：PodLB访问WAF管理组件
WAF	Region	DMZ_Service_Advance	WAF	Region	External_Relay_Network	Region内通信，运维场景下，运维人员访问租户网络时使用

WAF服务依赖关系

被依赖服务	依赖类型	依赖场景	依赖说明
Console Framework	强依赖	管理面	用于WAF管理面Console框架
ReverseLB\RegionLB\PODLB	强依赖	管理面	服务管理面后台通过RegionLB对外提供服务
自动化变更平台	强依赖	管理面	安装部署和升级变更使用
EIP	可选依赖	数据面	通过EIP引流
ELB	可选依赖	数据面	通过ELB对WAF实例做负载均衡，保证WAF实例高可用
OBS3.0	可选依赖	管理面	通过OBS3.0存储/注册WAF镜像；如无OBS3.0，则必须有Swift服务替代

• WAF实例部署在普通计算节点上，需规划一个业务主机组（KVM_AdvService_Group），至少需要4台主机，该主机组可与其他高阶服务共用，主机组的CPU复用比必须为1:1
• 设计原则
  • WAF服务仅支持Type I组网。
  • WAF服务管理面支持两种部署档位：100和500引擎实例，请根据实际管理实例规模选择部署档位。
  • 每个AZ只有一种CPU架构的计算资源，可以是基于X86的服务器，也可以是基于鲲鹏架构的服务器。
  • 支持多Region部署，WAF组件部署在各Region。
  • 支持跨AZ管理面容灾

HSS服务网络平面

• External_OM
  • HSS管理面组件、数据库、Kafka、Zookeeper等节点部署在该平面
• DMZ Service Advance
  • HSS服务的HSS-LB管理节点部署在该网络平面，需要和External_OM平面互通
• DMZ_Service
  • HSS服务的HSS-LB管理节点部署在该网络平面，用于POD区Agent接入，与内大网External_Relay_Network平面三层互通
• HSS服务采用虚拟机部署，仅需要增加云平台管理节点资源，无特殊硬件、组网要求

HSS服务网络互通

本端	本端所属区域	本端平面	对端	对端所属区域	对端平面	互通说明
Console Framework	Region	DMZ_Service	RegionLB	Region	OM_ECMP_VIP	Region内通信，HSS Console访问RegionLB的RegionLB-LVS-Float-IP
ECS	Region	External_Relay_Network	PODLB	Region	DMZ_ECM_VIP	HSS Agent和PodLB需要通信
PODLB	Region	DMZ_Service	HSS	Region	External_OM	PodLB和HSS管理组件通信

HSS服务依赖关系

被依赖服务	依赖类型	依赖场景	依赖说明
Console	Framework	强依赖	管理面
ReverseLB\RegionLB\PODLB	强依赖	管理面	服务管理面后台通过RegionLB对外提供服务
自动化变更平台	强依赖	管理面	安装部署和升级变更使用
CCE	弱依赖	业务面	主机安全服务容器版扫描检测时使用
SWR	弱依赖	业务面	主机安全服务容器版扫描检测时使用

• HSS服务不使用业务面资源，无需资源池设计
• 设计原则
  • HSS服务仅支持Type I组网。
  • HSS服务支持3种部署档位：2000、5000、20000；请根据实际规模选择部署档位。
  • 每个AZ只有一种CPU架构的计算资源，可以是基于X86的服务器，也可以是基于鲲鹏架构的服务器。
  • 支持多Region部署，HSS组件部署在各Region。
  • 支持跨AZ管理面容灾。
  • 如果需要防护容器特性，需要勾选主机安全服务容器版本

CBH服务网络平面

• External_OM
  • CBH管理面组件、数据库等节点部署在该平面
• DMZ Service Advance
  • CBH服务的OM节点部署在该网络平面，与内大网External_Relay_Network平面三层互通，以便CBH服务管理面可以通过该网络管理CBH实例
• DMZ_Service
  • CBH服务的OM节点部署在该网络平面，需要和External_OM平面互通
• POD_Service_Cluster.bType & POD_Service_Cluster.cType
  • CBH服务发放实例时使用的网段：ctype是资源租户VPC CIDR，btype是资源租户VPC备用CIDR
• CBH服务管理面采用虚拟机部署，需要增加云平台管理节点资源，无特殊硬件、组网要求。业务面部署在Pod区，需要占用计算节点资源

CBH服务网络互通

本端	本端所属区域	本端平面	对端	对端所属区域	对端平面	互通说明
Console Framework	Region	DMZ_Service	RegionLB	Region	OM_ECMP_VIP	Region内通信，CBH Console访问RegionLB的RegionLB-LVS-Float-IP
CBH实例	Region	External_Relay_Network	PODLB	Region	DMZ_ECM_VIP	CBH实例和PodLB需要通信
PODLB	Region	DMZ_Service	CBH	Region	External_OM	PodLB和CBH管理组件通信
CBH	Region	DMZ_Service_Advance	CBH	Region	External_Relay_Network	Region内通信，运维使用，用于管理节点和堡垒机实例通信

CBH服务依赖关系

被依赖服务	依赖类型	依赖场景	依赖说明
Console Framework	强依赖	管理面	用于CBH管理面Console框架
ReverseLB\RegionLB\PODLB	强依赖	管理面	服务管理面后台通过RegionLB对外提供服务
自动化变更平台	强依赖	管理面	安装部署和升级变更使用
EIP	可选依赖	业务面	通过EIP访问堡垒机实例页面
OBS3.0	可选依赖	业务面	通过OBS3.0存储/注册CBH镜像；如无OBS3.0，则必须有Swift服务替代

• CBH实例部署在普通计算节点上，需规划一个业务主机组（KVM_AdvService_Group），至少需要4台主机，该主机组可与其他高阶服务共用，主机组的CPU复用比必须为1:1
• 设计原则
  • CBH服务仅支持Type I组网。
  • 每个AZ只有一种CPU架构的计算资源，可以是基于X86的服务器，也可以是基于鲲鹏架构的服务器。
  • 支持多Region部署，CBH组件部署在各Region。
  • 支持跨AZ管理面容灾。

SOC服务网络互通

本	本端所属区域	本端平面	对端	对端所属区域	对端平面	互通说明
SOC	Global	External_OM	WAF/HSS	Region	External_OM	Global与Region通信，Global soar-engine-service -> Region的安全服务WAF/HSS
ReverseLB	Region	DMZ_Service	SOC-Console	Global	DMZ_Service	Global与Region通信，外部通过ReverseLB的ReverseLB-LVS-Float-IP访问SOC-Console
SOC-Console	Global	DMZ_Service	RegionLB	Region	OM_ECMP_VIP	Global与Region通信，SOC Console 访问主Region后端RegionLB的RegionLB-LVS-Float-IP
RegionLB	Region	External_OM	SOC	Global	External_OM	Global与Region通信，RegionLB访问SOC后台
SOC	Global	External_OM	ISAP	Region	External_POD_DMZ_SS	Global与Region通信，soar-orchest-service 获取ISAP主站半可信POD区告警/事件的的流量

• SOC服务采用虚拟机部署，统一部署在主Region上，需保证主Region能访问从Region的WAF/HSS/EdgeFW等管理面服务等

SOC服务依赖关系

被依赖服务	依赖类型	依赖场景	依赖说明
ReverseLB\RegionLB\PODLB	强依赖	管理面	SOC Console 访问主Region后端RegionLB
自动化变更平台	强依赖	管理面	安装部署和升级变更使用
ISAP	可选依赖	业务面	实时订阅/获取ISAP主站半可信POD区告警/事件
EdgeFW	可选依赖	管理面	依赖于边界防火墙管理面接口，进行告警/事件的响应闭环
WAF	可选依赖	管理面	依赖WAF管理面接口, 进行告警/事件的响应闭环
HSS	可选依赖	管理面	依赖HSS管理面接口, 进行告警/事件的响应闭环

CSP服务网络平面与网络互通

• External_OM
  CSP管理面组件、数据库、Kafka、Zookeeper等节点部署在该平面
• DMZ_Service
  CSP服务的CSP-LB管理节点部署在该网络平面，需要和External_OM平面互通

本端	本端所属区域	本端平面	对端	对端所属区域	对端平面	互通说明
CSP	Region	External_OM	CSP	Region	External_OM	Region内通信，Master内部组件间通信及Master与Agent的配置/数据通信
CSP-Console	Region	DMZ_Service	CSP	Region	External_OM	Region内通信，CSP Console访问CSP Master
CSP	Region	External_OM	ManageOne	Global	External_OM	Global与Region通信，CSP Master访问ManageOne认证鉴权接口

• CSP Master服务采用虚拟机部署，仅需要增加云平台管理节点资源，无特殊硬件、组网要求
• CSP服务管理面接入External_OM、DMZ_Service 2个平面，无需单独规划独立的网络平面
• CSP服务不使用业务面资源
• 设计原则：
  • CSP服务仅支持Type I组网。
  • 只防护管理面节点，不涉及租户侧节点；
  • CSP服务支持1种部署档位：5000。
  • CSP Agent支持运行在平台物理机和管理面虚拟机上

ISAP服务网络互通

本端	本端所属区域	本端平面	对端	对端所属区域	对端平面	互通说明
ISAP	Region	External_OM	ISAP	Region	External_OM	跨Region通信，本端ISAP从站region->对端ISAP主站Region
ISAP-Console	Global	DMZ_Service	RegionLB	Region	OM_ECMP_VIP	Global与Region通信 ，ISAP主站Console访问后端RegionLB的RegionLB-LVS-Float-IP
RegionLB	Region	External_OM	ISAP	Region	POD_Service_DMZ_SS	Region内通信 ，Console通过RegionLB访问半可信POD区ISAP实例服务的流量
ISAP	Region	External_OM	ManageOne	Global	External_OM	Global与Region通信， 本端ISAP主站region->HCS Global 访问Manageone获取CMDB数据
ISAP	Region	POD_Service_DMZ_Service	ManageOne	Global	External_OM	Global与Region通信，soar-orchest-service 获取ISAP主站半可信POD区告警/事件的的流量

• ISAP服务使用融合方式，ISAP数仓虚拟机部署在管理节点上，ISAP分析实例虚拟机部署在普通计算节点上，使用下层POD方式部署，部署在普通计算节点上。组网要求同普通计算节点

ISAP服务依赖关系(1/2)

被依赖服务	依赖类型	依赖场景	依赖说明
ManageOne-OC	强依赖	管理面	认证
IAM	强依赖	租户面	租户用户、项目信息
EdgeFW	弱依赖	管理面	边界防火墙
HSS	弱依赖	租户面	租户主机安全
CGS	弱依赖	管理面	平台主机安全
WAF	弱依赖	租户/平台	应用防火墙
RegionLB	强依赖	管理面	平台OM负载均衡
ManageOne-CTS	强依赖	管理面	操作审计

• SOC不使用业务面资源
• 设计原则
  • SOC服务仅支持Type I组网
  • SOC支持多Region合并管理，如Global区域在主Region，需确保主Region(External_OM)到所有从Region(External_OM)的安全服务WAF/HSS/EdgeFW通畅。如Global区域单独分离出来，需同时确保Global区域(External_OM)到所有从Region(External_OM)的安全服务HSS/WAF/EdgeFW通畅
  • SOC服务同时支持Global/Region分离解耦部署场景；

ISAP服务依赖关系(2/2)

被依赖服务	依赖类型	依赖场景	依赖说明
CloudScopeLite	强依赖	管理面	运维对接
SMN	强依赖	租户面	短信邮件告警通知
ECS	强依赖	租户面	虚拟机
VPC	强依赖	租户面	VPC网络
VPC-Peering	强依赖	租户面	对等连接
ELB	强依赖	租户面	租户负载均衡
EIP	强依赖	租户面	弹性公网IP
VPC Endpoint	强依赖	租户面	VPC终端节点

• SOC不使用业务面资源
• ISAP数仓服务虚拟机部署在普通计算节点上，需规划一个业务主机组（KVM_AdvService_Group），至少需要3台主机，该主机组可与其他高阶服务共用，主机组的CPU复用比必须为1:1。
• 设计原则
  • ISAP服务只支持Type1 组网；
  • ISAP服务暂不支持Global/Region分离解耦部署场景；
  • 不支持跨AZ高可用，支持单AZ高可用。
  • ISAP依赖半可信区。

缩略语

缩略语	英文全称	解释
AZ	Availability Zone	可用区，华为云Stack中物理概念
BMS	bare metal server	裸金属服务器
KVM	Kernel-based Virtual Machine	基于内核的虚拟机，是一种内建于Linux中的开源虚拟化技术
CMDB	configuration management database	配置管理数据库
SAN	storage area network	存储区域网络
LLD	low level design	详细设计
HCSD	Huawei Cloud Stack Deploy	用于HCS部署的工具
ELB	elastic load balancer	弹性负载均衡器
HSS	host security service	主机安全服务
IAM	Identity and Access Management	统一身份认证服务
L2BR	Layer 2 Bridge	二层桥接
NAT-GW	network address translation - GateWay	网络地址转换网关
OBS	Object Storage Service	对象存储服务
CBH	Cloud Bastion Host	云堡垒机
CCE	Cloud Container Engine 云	容器引擎
EIP	elastic IP address	弹性公网IP
SWR	Software Repository for Container	容器镜像服务
VIP	Virtual IP	虚拟ip
VPC	Virtual Private Cloud	虚拟私有云
VPC-peering	VPC Peering	对等连接
VPN	virtual private network	虚拟专用网
WAF	web application firewall	Web应用防火墙