云计算知识
云计算基础
云计算定义及特点
定义
云计算是一种按使用量付费的模式,提供可用、便捷、按需的网络访问,进入可配置的计算资源共享池(包括网络、服务器、存储、应用软件、服务),这些资源能快速提供,只需少量管理工作或与服务供应商的交互。
特点
-
按需自助服务
-
广泛的网络访问
-
资源池化
-
快速伸缩性
-
按使用付费
云计算关键技术
-
虚拟化技术:服务器虚拟化是云计算底层架构的重要基石,实现硬件抽象、资源分配、调度和管理。
-
数据存储技术:需具备分布式、高吞吐率和高传输率特点,满足大量用户并行访问需求。
-
海量数据管理技术:解决海量数据存储、读取后的分析问题,提升数据更新速率和随机读速率。
云计算的 8 个通用点
-
大规模
-
同质化
-
虚拟化
-
弹性计算
-
低成本软件
-
地理分布
-
面向服务
-
先进安全技术
云计算的部署模式
| 部署模式 | 定义 |
|---|---|
| 私有云 | 云计算基础设施由单一组织拥有,仅为该组织运营。 |
| 公有云 | 云服务运营商拥有云基础设施,为公众或企业用户提供云服务。 |
| 混合云 | 由两种或多种云组成,对外表现为一个整体。 |
公有云介绍
什么是公有云
概念
公有云是第三方提供商通过公共 Internet 为用户提供的云服务,用户可通过 Internet 访问并享受计算、存储、网络等各类服务,服务模式可为免费或按量付费。
特点和价值
核心属性是共享资源服务,第三方提供商将共享资源按需提供给用户。
-
运营角度:按需提供资源,计量收费,降低 TCO,节省成本。
-
运维角度:无需自建数据中心,减少基础设施、系统、中间件等维护工作量和支出。
-
服务角度:提供种类繁多的服务,便捷满足用户需求。
-
安全角度:主流公有云服务提供商的安全等级往往是大部分企业无法达到的。
公有云架构
公有云架构包含 IaaS(Infrastructure as a Service,基础设施即服务)、PaaS(Platform as a Service,平台即服务)、SaaS(Software as a Service,软件即服务)、运维、运营、安全六大部分,具体涵盖服务器、存储设备、网络设备、防火墙等硬件,计算 / 存储 / 网络虚拟化技术,各类云服务及管理控制台。
公有云的三种服务模式
| 服务模式 | 服务对象 | 提供内容 | 示例 |
|---|---|---|---|
| IaaS(基础设施即服务) | 企业(或少数个人用户) | 电脑、存储、网络等基础设备服务 | AWS、Google Cloud、Azure、OpenStack |
| PaaS(平台即服务) | 开发人员 | 数据库类中间件、MySQL、Mangodb、Java 等 | CloudFoundry、OpenShift |
| SaaS(软件即服务) | 企业用户 / 个人用户 | 企业应用服务、Email、IM、微博等 | 各类在线办公软件、社交平台 |
公有云与传统 IT 系统相比的优势
| 对比项 | 传统 IT | 公有云 |
|---|---|---|
| 资源利用率 | 低,服务器资源占用率不均衡,多在 10%-40% | 高,按需选择云服务规格,充分利用资源 |
| 成本 | 高昂,网络、计算、存储资源准备费用高,业务递增成本上升 | 节省,弹性计算能力支持资源随时增减,可选择包年包月或按需计费 |
| 可扩展性 | 差,架构升级或降级需大量时间和资源 | 好,可随时调整计算能力和存储容量,便于成本和资源控制 |
| 业务上线时长 | 长,部署新业务需数月到数年 | 快,界面操作快速完成资源购买、启动、更新,借助应用和模板快速部署 |
| 维护周期 | 长,故障恢复慢,人力成本高 | 短,一键式快速升级,多渠道售后保障业务高效运行 |
公有云的优势
-
安全:提供可靠、安全的数据存储中心,避免数据丢失、病毒入侵等问题。
-
方便:对用户端设备要求低,使用便捷。
-
数据共享:轻松实现不同设备间的数据与应用共享。
-
无限可能:为网络使用提供丰富的拓展空间。
华为云介绍
华为云核心定位:一切皆服务
华为云基础概念
帐号
-
帐号:在华为云注册或创建的帐号,拥有最高权限,可访问所有资源并付费,包括华为帐号、华为云帐号。
-
IAM 用户:由帐号在统一身份认证服务(IAM)中创建,权限由帐号分配,费用由帐号支付。
-
登录方式:客户可通过华为帐号、华为云帐号、华为网站帐号、华为企业合作伙伴帐号登录;IAM 用户、企业联邦用户可通过对应入口登录。
帐号与 IAM 用户的关系
帐号与 IAM 用户类比为父子关系,帐号是资源归属和计费主体,拥有所有权限;IAM 用户由帐号创建,仅拥有授予的权限,帐号可修改或撤销其权限,资源费用计入帐号。
用户组
-
用户组是用户的集合,IAM 通过用户组实现授权,用户加入特定用户组后获得对应权限。
-
用户加入多个用户组时,拥有多个用户组权限的全集。
-
"admin" 为系统用户组,具有所有云服务资源的操作权限。
权限
-
角色:粗略授权能力,部分云服务不支持,无法满足精细化授权需求。
-
策略:细致授权能力,可精确到操作、资源、条件等,包括系统策略(预置授权项,不可修改)和自定义策略(扩展补充,支持可视化视图、JSON 视图配置)。
IAM 的优势
-
精细访问控制:为员工或应用程序创建 IAM 用户,授予最小必要权限,避免分享帐号密码。
-
跨帐号授权:通过委托功能,让其他帐号管理自身部分资源。
-
联合认证:通过身份提供商功能,建立企业与华为云信任关系,员工使用企业已有帐号直接登录华为云,实现单点登录。
计算云服务
计算云服务概述
计算资源是可测量数量的计算能力,可针对计算活动请求、分配并用于计算活动,常见的有 CPU、内存。计算云服务是云端提供计算资源的服务或产品,华为云主要的计算云服务包括:
- 弹性云服务器(ECS)
- 裸金属服务器(BMS)
- 专属主机(DeH)
- 弹性伸缩(AS)
- 云手机(CPH)
- 云容器引擎(CCE)
- 镜像服务(IMS)
弹性云服务器(ECS)
定义
弹性云服务器(Elastic Cloud Server,ECS)是由 CPU、内存、操作系统、云硬盘组成的基础计算组件。创建成功后,可像使用本地 PC 或物理服务器一样在云上使用。
优势
-
弹性伸缩:自动调整计算资源,灵活调整配置和计费模式。
-
稳定可靠:磁盘种类丰富,数据可靠性高,支持备份及恢复。
-
软硬结合:搭载专业硬件设备,随时获取虚拟化资源。
-
安全保障:提供多种安全服务,多维度防护,含安全评估、智能化进程管理、漏洞扫描。
关键配置说明
区域与可用区
-
区域(Region):地理区域划分,不同区域内网互不相通,就近选择可减少网络时延。
-
可用区(AZ):一个或多个物理数据中心的集合,有独立风火水电,AZ 内资源划分成多个集群。
| 名称 | 目标 | 说明 |
|---|---|---|
| Region | 方便用户就近选择低时延云数据中心,规避长距离传输高时延 | 到最近 Region 网络时延≤100ms;Region 间 > 10ms,Region 内 1~10ms |
| AZ | 物理隔离的资源区域,不同 AZ 有独立风火水电 | AZ 内网络时延 < 1ms;存储可共享;AZ 间距离 30~200Km |
| DC | 物理位置概念的数据中心,单 DC 可承载一个或多个站点及二层网络 | 租户不可见,当前一个 AZ 对应一个 DC,支持一个 AZ 多 DC |
规格
云服务器规格指配置,包括 CPU、内存、带宽、磁盘、操作系统等。规格命名规则为 AB.C.D,其中:
-
AB:代系名称
-
A:系列(s - 通用型、c - 计算型、m - 内存型,鲲鹏系列前加 k)
-
B:系列号(如 s1 中的 1 代表通用型 I 代)
-
C:规格大小(如 medium、large)
-
D:内存 / CPU 比(具体数字表示)
网络配置
ECS 网络使用 VPC 提供的网络,包括子网、安全组等。安全组类似防火墙,需放通 22 端口(Linux SSH 登录)、3389 端口(Windows 远程登录)和 ICMP 协议(Ping)。
常用操作
-
重装 / 切换操作系统:重装仅支持原镜像,切换会更换系统盘并删除原有系统盘。
-
变更规格:可随时升级 vCPU、内存,包年 / 包月需补齐差价,按需计费无需补齐。
-
重置密码:适用于密码丢失、过期场景,需提前安装一键式重置密码插件,公共镜像默认已安装。
镜像服务(IMS)
定义
镜像服务(Image Management Service,IMS)提供镜像的生命周期管理能力。用户可使用公共镜像、私有镜像或共享镜像申请 ECS 和 BMS,也可通过已有云服务器或外部镜像文件创建私有镜像,实现业务上云或云上迁移。
优势
-
安全:镜像文件使用对象存储服务多份冗余存储,数据持久性高。
-
统一:实现应用系统统一部署与升级,提高运维效率,保证环境一致性。
-
便捷:可通过 ECS 和外部镜像文件创建私有镜像,支持批量创建云服务器。
-
灵活:支持控制台或 API 方式自定义管理镜像。
产品类型
-
公共镜像:所有用户可见,含操作系统及预装公共应用。
-
私有镜像:含操作系统、业务数据、预装公共应用及用户私有应用,仅用户个人可见。
-
共享镜像:由其他用户共享的私有镜像。
-
市场镜像:提供预装操作系统、应用环境和各类软件的第三方镜像。
弹性伸缩服务(AS)
定义
弹性伸缩根据用户业务需求和策略,自动调整资源。可配置定时、周期或告警策略,使资源随业务负载增长而增加、降低而减少,节省资费并保障业务平稳运行。
优势
-
自动调整资源:实现应用系统自动按需调整计算资源。
-
提高容错能力:检测实例运行状况,启用新实例替换运行不佳的实例。
-
加强成本管理:按需使用实例和带宽,自动调整系统资源。
-
提高可用性:确保应用系统始终有合适容量满足当前流量需求。
创建流程
-
创建伸缩组:伸缩组是相同应用场景实例的集合,需配置最大实例数、最小实例数、期望实例数、负载均衡器等参数。
-
创建伸缩配置:作为伸缩组内实例的模板,定义实例规格数据(云服务器类型、vCPU、内存、镜像、磁盘、登录方式等),可选择使用新模板或已有云服务器规格为模板。
-
创建伸缩策略:规定伸缩活动触发条件及操作,包括策略类型(定时、周期、告警)和冷却时间,触发后增加或减少实例数量。
裸金属服务器(BMS)
定义
裸金属服务器(Bare Metal Server,BMS)是华为云为租户提供的专属服务器,计算性能与传统物理机无差别,具有安全隔离、高可靠特点。可像云服务器一样编辑、快速获取,也可与 IMS、EVS、VPC 等其他云产品灵活结合,综合了传统托管主机的稳定性与云上资源的高弹性。
优势
-
安全可靠:用户专属,支持 VPC、安全组隔离,集成主机安全组件,支持硬盘备份恢复,对接专属存储。
-
敏捷的部署效率:支持云磁盘作为系统盘快速发放,支持自助式资源生命周期管理和运维。
-
性能卓越:无虚拟化开销和性能损失,支持云存储、云网络访问性能,满足关键业务部署密度和性能诉求。
-
云服务和解决方案快速集成:支持公有云云服务快速机型,集成业务云化解决方案,加速业务云化上线。
与 ECS、物理服务器对比
| 对比维度 | BMS | ECS | 物理机 |
|---|---|---|---|
| 物理资源 | 用户独享 | 用户共享 | 用户独享 |
| 使用场景 | 关键类应用或性能要求较高的业务 | 通用型、特定业务 | 传统业务 |
| 使用方式 | 灵活 | 灵活 | 固化 |
| 高级能力 | 自动发放、自动运维、VPC 互联、支撑对接共享存储等 | 自动发放、自动运维、VPC 互联、支撑对接共享存储等 | 传统能力 |
云容器引擎服务(CCE)
容器基础
容器是轻量级虚拟化技术,将应用程序及其依赖项打包成独立运行环境,基于 Linux 内核的命名空间和控制组功能实现隔离和安全运行。与虚拟机对比:
定义
云容器引擎(Cloud Container Engine,CCE)提供高度可扩展、高性能的企业级 Kubernetes 集群,支持运行 Docker 容器。用户可在华为云上轻松部署、管理和扩展容器化应用程序。
优势
-
简单易用:Web 界面一键创建、升级 Kubernetes 集群,实现集群节点和工作负载的扩容缩容,自动化部署和运维容器应用,开箱即用。
-
高性能:采用裸金属 NUMA 架构和高速 IB 网卡,提供业界领先的高性能。
-
开放兼容:完全兼容 Kubernetes API 和 Kubectl,提高大规模容器集群管理便捷性。
-
安全可靠:集群控制面支持 3 Master HA 高可用,私有集群完全由用户掌控。
相关概念
-
集群(Cluster):容器运行所需云资源的集合,关联云服务器、负载均衡器等。
-
实例(Pod):Kubernetes 部署应用或服务的最小基本单位,封装多个应用容器(或单个)、存储资源、独立网络 IP 及运行策略。
-
节点(Node):对应一台服务器(虚拟机或物理服务器),容器应用运行其上。
-
服务(Service):由多个相同配置的 Pod 和访问规则组成的微服务。
-
容器(Container):通过 Docker 镜像创建的运行实例,一个节点可运行多个。
-
镜像(Image):容器应用打包的标准格式,用于部署容器服务。
其他计算服务
云手机服务(CPH)
云手机服务器(Cloud Phone Host)是基于华为云裸金属服务器虚拟出的带有原生安卓操作系统、具备虚拟手机功能的云服务器。用户可远程实时控制,实现安卓 APP 云端运行,也可基于其基础算力高效搭建应用。
专属主机(DeH)
专属主机(Dedicated Host,DeH)是用户可独享的专属物理主机资源。用户可将云服务器创建在专属主机上,满足隔离性、安全性、性能的更高要求,迁移业务时可继续使用原有服务器端软件许可(BYOL),节省开支并提高云服务器自治性。
云耀云服务器(HECS)
云耀云服务器(Hyper Elastic Cloud Server,HECS)是快速搭建简单应用的新一代云服务器,具备独立、完整的操作系统和网络功能。提供快速应用部署和简易管理能力,适用于网站搭建、开发测试环境、企业应用等低负载场景,具有易搭建、更实惠、易维护、更安全的特点。
网络服务知识
虚拟私有云(VPC)
定义
为云服务器、云容器、云数据库等云上资源构建的隔离、私密虚拟网络环境,通过隧道网络技术实现资源隔离。
核心优势
-
安全可靠:100% 逻辑隔离,搭配多重安全防护机制
-
灵活配置:支持自定义虚拟网络,跨可用区部署弹性云服务器
-
高速访问:全动态 BGP 协议接入多运营商,故障自动切换
-
互联互通:多种方式连接公网,支持 VPC 间对等连接通信
关键概念
-
子网:VPC 内的 IP 地址块,所有云资源需部署其中,网段创建后不可修改
-
路由表:控制子网出流量走向,一个子网关联一个路由表,一个路由表可关联多个子网
-
安全组:逻辑分组,为信任实例提供访问策略,支持自定义入 / 出方向规则
-
对等连接:同一区域内 VPC 间的网络连接,支持私有 IP 通信
-
网络 ACL:子网级安全层,通过入 / 出方向规则控制数据包流转
-
虚拟 IP(VIP):未分配给网卡的 IP,可与私有 IP 共同访问弹性云服务器
-
弹性网卡(ENI):虚拟网卡,分主网卡、扩展网卡、辅助网卡,支持灵活配置
-
IP 地址组:IP 集合,关联安全组 / 网络 ACL,简化 IP 配置管理
弹性公网 IP(EIP)
定义
提供独立的公网 IP 资源(含公网 IP 地址与出口带宽服务),可灵活绑定 / 解绑弹性云服务器、裸金属服务器、虚拟 IP、负载均衡、NAT 网关等资源。
线路类型
| 对比维度 | 静态 BGP | 全动态 BGP |
|---|---|---|
| 定义 | 手动配置路由,拓扑变化需手动修改 | 多运营商接入,自动优化网络 |
| 保障性 | 时延略大,需技术切换 | 故障快速切换,访问稳定 |
| 服务可用性 | 99% | 99.95% |
弹性负载均衡(ELB)
定义
将访问流量按分配策略分发到后端多台服务器的服务,扩展服务能力,消除单点故障,提升应用可用性。
核心优势
-
性能强悍:集群支持 1 亿并发连接
-
简单易用:快速部署,多种调度算法可选
-
灵活转发:支持多种分配策略与转发规则
-
高可用:集群化部署,多可用区双活容灾
-
灵活扩展:与弹性伸缩无缝集成
-
负载无界:独享型支持跨 VPC 后端负载均衡
关键概念
-
监听器:监听负载均衡器请求,支持 TCP/UDP(四层)、HTTP/HTTPS(七层)协议
-
后端服务器组:归集同类后端服务器,流量分配策略按组生效
-
健康检查:检测服务器状态,自动隔离异常节点,恢复后自动重新纳入
-
分配策略:
- 加权轮询算法:按权重分配请求
- 加权最少连接:优先分配给连接数少的服务器
工作原理
-
客户端发送请求至应用程序
-
监听器接收匹配协议 / 端口的请求
-
按配置转发至对应后端服务器组(支持转发策略匹配)
-
健康检查正常的服务器接收并处理请求,返回结果
虚拟专用网络(VPN)
定义
通过公网建立安全加密隧道,实现远端用户与 VPC 之间的通信,支持远端访问 VPC 业务资源。
核心优势
-
安全加密:基于 IKE 和 IPsec 协议加密传输数据
-
高可用:支持双连接、双活网关
-
灵活部署:利用公网构建加密通道,支持多种连接模式
-
即开即用:关联企业路由器,支持专线互备、分支互访
组网构成
-
VPN 网关:VPC 公网出口,对应本地数据中心远端网关
-
VPN 连接:通过公网加密技术关联 VPN 网关与远端网关,构建混合云
NAT 网关
定义
提供网络地址转换服务,分为公网 NAT 网关和私网 NAT 网关,节省 EIP 资源,实现 VPC 内云主机与公网 / 远端私网的访问。
核心优势
-
高性能:支持百万级会话连接,最高 20Gbit/s 转发能力
-
安全性:多云主机共享 EIP,避免主机 IP 暴露
-
灵活部署:支持跨子网、跨 AZ 部署
-
简易管理:保持网段 / IP 不变,实现与线下 IDC 三层互通
-
成本优化:共享 EIP,降低资源开销
关键概念
-
SNAT(源网络地址转换):转换报文源地址,适用于私网访问公网
-
DNAT(目的网络地址转换):转换报文目的地址和端口,适用于公网访问私网服务
其他网络服务
域名解析服务(DNS)
-
定义:将域名或应用资源转换为 IP 地址,实现用户路由到目标资源
-
核心功能:提供高可用、高扩展的权威 DNS 和 DNS 管理服务
-
解析类型:公网域名解析、内网域名解析、反向解析、智能线路解析
云连接(Cloud Connect, CC)
-
定义:快速构建跨区域 VPC、云上 VPC 与云下数据中心之间的高速稳定网络
-
核心价值:打造企业级全球云上网络,保障跨地域通信质量
云专线(Direct Connect, DC)
-
定义:搭建本地数据中心与华为云 VPC 的专属连接通道,低时延、高稳定
-
核心价值:结合云上服务与本地 IT 设施,实现混合云计算环境
企业路由器(Enterprise Router, ER)
-
定义:连接 VPC 或本地网络的集中路由器,支持 BGP 协议
-
核心功能:路由学习、动态选路、链路切换,提升网络扩展性与运维效率
云存储服务知识
存储云服务基础
存储的定义
存储是将数据或信息保存在电子设备中的过程,分为临时存储和长期存储,不仅用于数据保存,还可实现容灾等核心功能。
云存储服务
云存储是通过互联网将数据存储在远程服务器的服务,由云服务商提供,用户可通过订阅方式使用,核心优势包括数据备份与恢复、数据共享、安全可靠等。
云硬盘服务(EVS)
定义
云硬盘(Elastic Volume Service,EVS)为云服务器、裸金属服务器提供高可靠、高性能、可弹性扩展的块存储服务,适用于分布式文件系统、开发测试、数据仓库、高性能计算等场景。
核心特点与优势
-
规格丰富:提供多种性能规格,适配不同业务场景需求
-
弹性扩展:支持按需平滑扩容,最小步长 1 GiB,无需暂停业务
-
安全可靠:数据持久性高,支持加密、备份、快照等多重保护机制,三副本存储确保数据安全
-
实时监控:配合云监控服务,实时掌握云硬盘性能及健康状态
-
灵活挂载:可作为系统盘或数据盘挂载,支持 VBD 和 SCSI 两种磁盘模式
关键概念
- 磁盘模式:
-
VBD(虚拟块设备):支持简单 SCSI 读写命令,默认模式
-
SCSI(小型计算机系统接口):支持 SCSI 指令透传,支持高级 SCSI 命令
-
共享云硬盘:支持多台云服务器并发读写,适用于集群、HA 等高可用场景
-
云硬盘加密:采用 XTS-AES-256 加密算法,基于密钥加密云硬盘数据
-
云硬盘备份:在线备份,支持任意时间点恢复,数据存储于 OBS,与原硬盘独立
-
云硬盘快照:创建时的数据镜像,用于数据容灾,与原硬盘同存储,原盘删除则快照失效
-
三副本机制:数据分为 1 MB 数据块,每个块复制 3 份,分布在不同服务器的物理磁盘,确保硬件故障不影响业务
备份与快照对比
| 指标 | 备份 | 快照 |
|---|---|---|
| 存储方案 | 独立存储于 OBS | 与云硬盘同存储 |
| 数据同步 | 支持自动备份,原盘删除不影响备份 | 原盘删除则快照失效 |
| 容灾范围 | 同一 AZ 内,支持跨区域复制 | 同一 AZ 内 |
| 业务恢复 | 恢复至云硬盘或创建新硬盘,持久性高 | 回滚至原盘或创建新硬盘 |
挂载规则
-
非共享云硬盘:仅可挂载至 1 台云服务器
-
共享云硬盘:可挂载至同一区域同一可用区的多台云服务器
-
挂载后需初始化方可使用
对象存储服务(OBS)
定义
对象存储服务(Object Storage Service,OBS)是基于对象的海量存储服务,提供易扩展、高安全、高可靠、低成本的数据存储能力,通过 HTTP/HTTPS 协议提供 Web 服务接口,支持随时随地访问。
核心构成
-
桶(Bucket):存储对象的容器,采用扁平化结构,无多层级目录
-
对象(Object):数据存储的基本单位,包含 Key(对象名)、Metadata(元数据)、Data(数据)三部分
核心优势
-
数据分层存储:支持标准、低频访问、归档、深度归档 4 类存储,按需选择降低成本
-
弹性扩展:在线升级扩容,支持千亿对象存储、千万级并发访问
-
简单易用:支持多种访问方式,提供 REST API、多版本 SDK 和数据迁移工具
-
多重安全防护:支持多版本控制、服务端加密、防盗链、VPC 隔离、访问日志审计等
-
高可靠性:五级可靠性架构(区域级、数据中心级、机柜级、服务器级、介质级)保障数据稳定
访问方式
| 工具名称 | 描述 | 使用方式 |
|---|---|---|
| 管理控制台 | 网页版管理界面 | 账号密码或 IAM 账号登录 |
| OBS Browser+ | Windows 系统图形化工具 | 访问密钥(AK/SK)鉴权 |
| API | REST 风格接口 | 配置终端节点,添加 AK/SK 签名 |
| SDK | API 封装工具 | 调用接口函数,设置 AK/SK |
| obsutil | 命令行工具 | 配置服务器地址,AK/SK 鉴权 |
| obsfs | Linux 系统挂载工具 | AK/SK 鉴权,挂载为本地文件系统 |
存储类别与适用场景
| 存储类别 | 访问频率 | 适用场景 | 特点 |
|---|---|---|---|
| 标准存储 | 频繁访问(热数据) | 大数据、移动应用、热点视频、社交图片 | 低时延、高吞吐量 |
| 低频访问存储 | 平均一年少于 12 次(温数据) | 文件同步 / 共享、企业备份 | 访问速度快,成本低于标准存储 |
| 归档存储 | 平均一年访问一次(冷数据) | 数据归档、长期备份 | 成本低,恢复时间为数分钟到数小时 |
| 深度归档存储 | 平均几年访问一次(极冷数据) | 长期归档数据 | 成本最低,恢复时间更长(数小时) |
核心功能
-
多版本控制:保留对象多个版本,支持意外操作后数据恢复
-
跨域复制:自动异步复制源桶数据至不同区域目标桶,实现跨区域容灾
-
服务端加密:支持 SSE-KMS、SSE-C、SSE-OBS 三种方式,采用 AES256 加密算法
-
防盗链:通过 Referer 白名单 / 黑名单控制资源访问,防止被其他网站盗用
-
权限管理:支持 IAM 权限和桶策略控制,预置典型场景策略模板,支持自定义权限
弹性文件服务(SFS)
定义
弹性文件服务(Scalable File Service,SFS)提供按需扩展的高性能网络文件存储(NAS),支持云上多个弹性云服务器、容器、裸金属服务器共享访问,通过 HTTPS API 或管理控制台操作。
核心协议
-
NFS(Network File System):网络文件系统,支持 Linux 等类 Unix 系统
-
CIFS(Common Internet File System):通用 Internet 文件系统,支持 Windows 系统
-
POSIX(Portable Operating System Interface):可移植操作系统接口,确保兼容性
核心优势
-
弹性扩展:容量可动态扩容 / 缩容,过程对用户透明,不中断业务
-
高性能高可靠:性能随容量线性增长,数据高持久度,满足业务增长需求
-
无缝集成:支持标准 NFS/CIFS 协议,适配主流应用程序
-
操作简单:界面易用,快速创建和管理文件系统,低成本运维
-
跨 AZ 共享:同一区域跨可用区的云服务器可访问同一文件系统
产品规格
| 规格 | 描述 | 应用场景 | 说明 |
|---|---|---|---|
| SFS 3.0 容量型 | 弹性伸缩至 PB 级,高可用高持久 | HPC、媒体处理、文件共享、Web 服务 | 不支持海量小文件和时延敏感业务,仅限内网访问 |
| SFS Turbo | 弹性伸缩至 PB 级,支持海量小文件、低延迟 | HPC、AI 训练、自动驾驶、影视渲染 | 分通用型、HPC 型、HPC 缓存型,支持云下访问 |
安全特性
-
文件系统加密:支持对新创建文件系统加密,SFS 容量型需授权访问 KMS
-
文件系统备份:SFS Turbo 支持 CBR 备份,容量型可复制至 OBS 或本地备份
-
访问控制:通过授权地址限制访问,保障数据安全
SFS vs OBS vs EVS 对比
| 对比维度 | 弹性文件服务(SFS) | 对象存储服务(OBS) | 云硬盘(EVS) |
|---|---|---|---|
| 概念 | 共享文件存储(类似远程目录) | 海量对象存储 | 块存储(类似本地硬盘) |
| 数据逻辑 | 文件 + 文件夹层次结构 | 对象(含数据 + 元数据) | 二进制数据,需格式化后存文件 |
| 访问方式 | NFS/CIFS 协议,挂载为本地目录 | HTTP/HTTPS 协议,访问桶 + 对象 | 仅挂载至 ECS/BMS,需操作系统管理 |
| 容量 | PB 级别 | EB 级别 | TB 级别 |
| 时延 | 3~10 ms | 10 ms | 亚毫秒级 |
| 带宽 | GB/s 级别 | TB/s 级别 | MB/s 级别 |
| 核心场景 | 文件共享、HPC、媒体处理 | 备份归档、大数据、静态资源 | 数据库、核心业务、开发测试 |
云备份服务(CBR)
定义
云备份(Cloud Backup and Recovery,CBR)为云内(ECS、BMS、EVS、SFS 等)和云下资源(虚拟化环境、本地文件目录)提供备份服务,支持数据故障时恢复至任意备份点,保障数据安全性和业务连续性。
核心构成
-
备份:单次备份任务产生的备份数据,包含恢复所需全部信息
-
存储库:存放备份数据的容器,创建备份前需绑定服务器或磁盘
-
策略:分为备份策略(周期性备份)和复制策略(跨区域复制)
备份方式
-
一次性备份:手动触发的单次备份任务
-
周期性备份:通过备份策略自动执行的定期备份
核心优势
-
可靠:支持多盘一致性备份、应用一致性备份,数据安全有保障
-
高效:永久增量备份,缩短备份时长;即时恢复,RPO 最小 1 小时,RTO 分钟级
-
简单:3 步完成备份配置,无需专业备份技能
-
安全:加密盘备份数据自动加密,支持跨区域复制,实现异地灾备
运维服务知识
运维基础知识
运维的定义
运维是对服务器、网络等设备及服务全生命周期的运营与维护,核心目标是在成本、稳定性、效率之间达成平衡,确保系统稳定、可靠、安全运行,保障业务连续性与高效性。
运维人员核心职责
-
网络监控:实时监控设备与服务运行状态
-
事件预警:及时发现潜在故障并发出告警
-
业务调度:优化资源配置,适配业务波动
-
排障升级:快速定位并解决运行故障,必要时启动升级流程
运维模式的演进
| 对比维度 | 传统运维 | 自动化运维 | 云上运维 |
|---|---|---|---|
| 操作方式 | 人工手动操作 | 脚本或自动化工具执行 | 云服务商与用户协同管理 |
| 响应效率 | 依赖人工,响应较慢 | 自动检测,快速响应 | 自动化工具 + 专业团队支撑,高效响应 |
| 错误率 | 易出现人为错误 | 操作一致性强,错误率低 | 标准化流程 + 自动化,错误率极低 |
| 人力成本 | 人力投入大 | 减少人力成本,需技术投入 | 用户聚焦核心业务,基础运维由云服务商承担 |
云时代运维的变迁
-
传统运维:用户需全程管理从基础设施到应用的全层级资源
-
云上运维:基于 IaaS/PaaS/SaaS 分层,云服务商负责底层基础设施运维,用户聚焦应用与数据层面管理,责任边界清晰。
华为云上安全性责任
-
华为云责任:负责云服务自身的安全,包括物理基础设施、虚拟网络、平台服务等
-
租户责任:负责云服务内部的安全,包括数据加密、访问控制、应用安全等
统一身份认证服务(IAM)
定义
统一身份认证服务(Identity and Access Management,IAM)是华为云权限管理的基础服务,用于安全控制云上服务与资源的访问权限,支持多用户协同操作而无需共享账号密码。
核心能力
-
身份凭证:为用户颁发安全访问凭证
-
安全管理:管控用户身份与访问安全
-
权限管理:精细分配资源访问权限
-
资源委托:授权其他账号或云服务代运维资源
-
身份提供商:支持企业已有账号联合认证登录
权限管理核心概念
-
角色:粗粒度授权,部分云服务不支持,无法满足最小权限管控需求
-
策略:细粒度授权,可精确到操作、资源、条件,分为系统策略(预置不可修改)和自定义策略(支持可视化 / JSON 配置)
委托功能
-
委托其他帐号:将资源操作权限委托给专业代运维账号,可随时修改或撤销
-
委托其他云服务:允许云服务间协同工作,以用户身份执行资源运维操作
项目与企业项目
-
项目:默认按区域隔离资源,支持创建子项目实现更精细的权限控制
-
企业项目:项目升级版,支持跨区域资源分组管理,资源可灵活迁入迁出
典型应用场景
-
多团队权限隔离:为计算域、网络域、数据库域等运维团队分配专属权限
-
跨帐号代运维:委托专业公司运维特定资源,无需共享核心账号
-
企业单点登录:通过身份提供商,实现企业内部账号直接登录华为云
消息通知服务(SMN)
定义
消息通知服务(Simple Message Notification,SMN)是可靠、可扩展的海量消息处理服务,支持主动推送通知,用户可通过短信、电子邮件、HTTP (S) 等方式接收消息。
核心优势
-
简便易用:三步完成消息推送(创建主题→订阅→发送消息),使用门槛低
-
稳定可靠:多数据中心冗余存储,消息推送失败可持久化,故障自动迁移
-
多协议支持:一次发布,多终端同步接收
-
安全隔离:基于主题进行权限隔离,未授权用户无法访问
关键概念
-
主题:消息发布与订阅的信道,是发布者与订阅者的通信桥梁
-
订阅:将终端注册到主题的操作,只有订阅后才能接收对应主题消息
-
消息模板:固定消息格式,发布时可直接复用,提升效率
云监控服务(CES)
定义
云监控服务(Cloud Eye Service,CES)是立体化监控平台,覆盖弹性云服务器、带宽等各类云上资源,帮助用户实时掌握资源使用情况与业务运行状态,及时接收异常告警并快速响应。
核心优势
-
实时可靠:实时采集监控数据,保障数据准确性与时效性
-
监控可视化:支持自定义监控面板,集中呈现核心指标
-
多种通知方式:联动 SMN,通过短信、邮箱等多渠道推送告警
-
批量配置:支持批量创建告警规则,适配大规模资源监控
-
自动开通:云服务开通后自动关联监控指标,无需手动配置
核心功能模块
-
监控面板:自定义核心指标展示,支持多时间段数据查看
-
主机监控:涵盖基础监控、操作系统监控、进程监控,采集细颗粒度指标
-
事件监控:记录云资源关键操作(如删除虚拟机、重启实例),支持事件告警
-
云服务监控:内置各云服务专属监控指标,自动关联开通的云服务
-
站点监控:模拟真实用户访问,探测域名 / IP 的可用性、响应时间、丢包率
-
告警功能:支持设置自定义告警规则,指标触发阈值后及时通知用户
云日志服务(LTS)
定义
云日志服务(Log Tank Service,LTS)用于集中收集主机与云服务的日志数据,提供实时分析、检索、存储能力,助力用户实现实时决策分析、设备运维管理、业务趋势分析等。
关键概念
-
日志组:日志管理的基本单位,可创建日志流并设置存储时间
-
日志流:日志读写的基本单位,用于对日志进一步分类
-
ICAgent:运行在主机中的日志采集工具,负责按规则上报日志
核心功能
-
多源日志接入:支持云服务、自建软件、API/SDK、跨账号等多种接入方式
-
日志查询:支持关键词精确搜索、模糊搜索、组合搜索,支持上下文关联查询
-
结构化分析:通过正则、JSON、分隔符等方式提取字段,支持 SQL 语法查询分析
-
日志可视化:通过图表展示日志分析结果,直观呈现业务趋势
-
告警中心:基于日志内容设置告警规则,联动 SMN 推送通知
-
日志转储:超出存储时间的日志可转储至 OBS 等服务长期保存
云审计服务(CTS)
审计的定义
审计是对资料进行证据搜集与分析,评估企业运营状况,保障财务收支真实、合法、有效。在 ICT 领域,审计聚焦信息系统全生命周期,保障系统健康运转。
云审计服务的定义
云审计服务(Cloud Trace Service,CTS)记录云账户下资源的所有操作记录,支持安全分析、资源变更追溯、合规审计、问题定位等,操作记录可同步至 OBS 长期保存。
核心优势(对比传统审计)
| 对比维度 | 传统审计 | 云审计(CTS) |
|---|---|---|
| 记录方式 | 手工统计,无法标准化 | 实时自动记录,涵盖管理控制台、API 等所有操作 |
| 存储方式 | 人工保存,无多副本,存在安全隐患 | 周期性生成事件文件,支持 OBS 长期保存,成本低 |
| 追溯能力 | 追溯困难,依赖人工记录完整性 | 操作全程可追溯,支持按多种条件查询 |
关键概念
-
追踪器:开通 CTS 后自动创建,关联当前租户所有云服务,记录操作日志
-
事件:CTS 追踪保存的资源操作日志,分为管理事件(云服务上报)和数据事件(OBS 读写操作)
-
事件列表:记录资源新建、修改、删除等操作的详细信息,支持多维度筛选
核心应用场景
-
安全分析:记录操作用户、时间、IP,检测异常行为,配置关键操作通知,强化安全管控
-
资源变更:追溯资源变更历史与结果,统计资源使用情况,便于管控
-
故障定位:记录失败操作原因,快速排查操作性故障(如配置扩容失败)
-
合规审计:提供完整操作记录与查询能力,满足金融云、可信云等合规认证要求
补充:
1.云计算定义是什么?
云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池,这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。
2.云计算特点是什么?
按需自助服务、广泛的网络访问、资源池化、快速伸缩性、按使用付费
3.云计算的8个通用点是?
大规模、同质化、虚拟化、弹性计算、低成本软件、先进安全技术、地理分布、面向服务
4.云计算的部署模式有哪些?
私有云、公有云、混合云
5.云计算的服务模式有哪些?
laaS(基础设施即服务)、PaaS(平台即服务)、SaaS(应用即服务)
6.华为云中IAM用户是什么意思?
统一身份认证管理服务,是提供给用户的一种用户资源管控服务。当用户想要共享资源给其他人,但又不想共享自己的账号和密码时,可以通过创建IAM用户来实现
7.华为云账号中用户组的作用是?
IAM可以通过用户组功能实现用户的授权
8.下面列出的华为计算类云服务英文简称是?
弹性云服务器 ecs
裸金属服务器 bms
弹性伸缩 as
镜像服务 ims
云容器引擎 cce
云手机 cph
专属主机 deh
9.购买ECS时区域选项的含义是,如何选择区域?
区域(Region)是一个地理区域的概念,根据地理区域不同将全国/全球划分为不同的区域,每个区域设置独立的数据中心提供服务
选择区域根据就近原则,减少访问服务的网络时延,提高访问速度
10.购买ECS时可用区的含义是,如何选择AZ?
可用区(AZ,Availability Zone)一个AZ是一个或多个物理数据中心的集合,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群
应用需要较高的容灾能力是,建议讲资源部署在同一区域的不同可用区;要求实例之间的网络延时较低,建议将资源创建在同一可用区
11.购买ECS时云服务器组中反亲和性策略什么意思?
让同一云服务器组内的 ECS 实例,尽量分散部署在不同的物理服务器(或不同硬件资源节点)上
12.弹性伸缩服务中伸缩配置、伸缩组、伸缩策略各自作用?
伸缩组:伸缩组是具有相同应用场景的实例的集合
伸缩配置:伸缩配置是伸缩组内实例(弹性云服务器)的模板,定义了伸缩组内待添加的实例的规格数据
伸缩策略:伸缩策略可以触发伸缩活动,是对伸缩组中实例数量进行调整的一种方式。伸缩策略规定了伸缩活动触发需要满足的条件及需要执行的操作,当满足伸缩条件时,系统会自动触发一次伸缩活动
13.弹性伸缩伸缩策略有哪些?
告警策略、定时策略、周期策略
14.裸金属服务器和弹性云服务器的区别是?
BMS:用户独享,用在关键类应用或性能要求较高的业务
ECS:用户共享,用在通用型、特定业务
1.描述下虚拟私有云?
用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以基于VPC申请弹性带宽或弹性IP给业务系统使用
2.vpc由哪些部分组成?
由一个私网网段、路由表和至少一个子网组成
3.同一个虚拟机私有云下,子网网段能否重复?创建完成后,网段能否修改?
不能
不能
4.描述下安全组?默认规则?
一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。
放行实例出入流量的规则,默认拒绝所有外部请求,允许访问所有外部资源
5.不通VPC网络连接使用什么技术?
对等连接
6.网络ACL作用是?
对一个子网或多个子网的访问控制策略系统,是子网级别的安全层,通过与子网关联的出方向/入方向规则判断数据包是否被允许流入/流出关联子网
7.ECS上网需要绑定什网络服务?
弹性公网IP
8.ELB作用是?
通过流量分发扩展应用系统对外的服务能力,同时提高应用程序的容错能力,通过消除单点故障提升应用系统的可用性
9.弹性负载均衡由哪三部分组成?
负载均衡器、监听器、后端服务器组
10.ELB分配策略加权轮询算法、加权最少连接算法区别是?
根据后端服务器的权重,按顺序依次将请求分发给不同的服务器。它用相应的权重表示服务器的处理性能,按照权重的高低以及轮询方式将请求分配给各服务器,权重大的后端服务器被分配的概率高。相同权重的服务器处理相同数目的连接数。常用于短连接服务,例如HTTP等服务
最少连接是通过当前活跃的连接数来估计服务器负载情况的一种动态调度算法。加权最少连接就是在最少连接数的基础上,根据服务器的不同处理能力,给每个服务器分配不同的权重,使其能够接受相应权值数的服务请求。常用于长连接服务,例如数据库连接等服务
11.ELB监听器中前端端口和后端端口区别是?
负载均衡器提供服务时接受请求的端口
后端云服务器自身提供网络服务协议的端口
12.实现不同区域间通信的技术是?
虚拟专用网络 VPN
13.普通云硬盘和共享云硬盘区别是?
支持多个云服务器并发读写访问、必须搭建共享文件或集群管理系统
14.云硬盘备份和云硬盘快照区别是?
快照:增量存变化数据,依赖原硬盘,恢复快、成本低,适合短期备份(如升级前)。
备份:完整存储,不依赖原硬盘,安全稳定,适合长期归档、灾备。
15.云硬盘是几副本的?
三副本
16.对象存储服务的英文缩写是?
OBS
17.能够单独使用的存储服务是?
对象存储服务 obs 和弹性文件服务 sfs
18.对象存储服务多版本控制的作用是?
用户可以在一个桶中保留多个版本的对象,使用户更方便地检索和还原各个版本,在意外操作或应用程序故障时快速恢复数据
19.弹性文件服务挂给windows、linux使用的协议分别是?
CIFS;NFS
20.运维人员的职责是?
确保系统的稳定性、可靠性和安全性,提高系统的性能和可用性,保证业务的连续性和高效性
21.IAAS、PAAS、SAAS区别是?
IAAS:需要自行运营操作系统、应用和数据
PAAS:只需自行运营应用和数据
SAAS:直接使用即可
22.下列服务英文简写是?
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
云日志服务 LTS
云审计服务 CTS