本手册基于华为云官方实验文档,系统梳理网络、存储、运维三大领域核心服务,涵盖VPC、安全组、ACL、对等连接、VPN、ELB、EIP、EVS、OBS、SFS、CBR、CTS、CES、LTS等20+云服务实操,助你从零构建企业级云上架构。
第一篇:网络服务篇 · 构建云上互联基石
1.1 虚拟私有云(VPC)与子网
核心概念
- VPC :逻辑隔离的虚拟网络,支持自定义IP地址段(如
192.168.0.0/16、10.0.0.0/8、172.16.0.0/12)。 - 子网:VPC内的IP地址分区,同一VPC下不同子网默认互通(通过内部路由)。
实操要点
- 创建VPC时指定区域(如华东-上海一),不同区域间内网不互通。
- 子网创建后无法修改CIDR,规划时需预留足够IP。
- 同一VPC内通信验证:同一子网内ECS互ping通;不同子网间也互通(VPC内部路由自动生效)。
bash
# 同一VPC同一子网测试
ping 192.168.1.160 # 通
# 同一VPC不同子网测试
ping 192.168.2.177 # 通1.2 安全组(Security Group)
核心功能
- 实例级别防火墙,控制进出流量。
- 默认规则:入方向禁止所有,出方向放通所有。
- 安全组内实例默认互通(即使没有显式入方向规则)。
实验验证
- 创建安全组
sg-test,初始无入方向规则。 - 将两台ECS加入该安全组 → 无法通过SSH(22端口)访问。
- 添加规则:放通TCP 22(源IP
0.0.0.0/0)→ SSH成功。 - 测试同一安全组内ping:默认ICMP放行?实际需要手动放通ICMP才可ping通。
- 将一台ECS移到默认安全组 → 跨安全组ping不通(除非互相放通)。
📌 经验:安全组遵循"最小开放"原则,仅放行业务必需端口。
1.3 网络ACL(Network ACL)
与安全组区别
| 特性 | 安全组 | 网络ACL |
|---|---|---|
| 层级 | 实例级别 | 子网级别 |
| 规则 | 仅允许(白名单) | 允许+拒绝(有序列表) |
| 状态 | 有状态(返回自动放行) | 无状态(需配置双向规则) |
实验:控制子网间访问
- 目标:让
subnet-1中的 ECS-1 可以 ping 通subnet-2中的 ECS-2,但反向不通。 - 配置:在关联
subnet-2的ACL中,入方向添加入方向规则(源subnet-1网段,ICMP允许),出方向不额外配置。 - 结果:ECS-1 → ECS-2 通;ECS-2 → ECS-1 不通(需要ACL出方向也放行返回流量)。
1.4 对等连接(Peering)
适用场景
- 同一区域不同VPC之间通过私有IP互通。
- 支持跨账户(需对方账号授权)。
配置步骤(以VPC-SH01与VPC-SH02为例)
- 创建对等连接:选择本端VPC和对端VPC。
- 添加路由:
- VPC-SH01路由表:目的地址
10.0.0.0/16(对端CIDR),下一跳peering-xxx - VPC-SH02路由表:目的地址
192.168.0.0/16,下一跳peering-xxx
- VPC-SH01路由表:目的地址
- 验证:从
ecs-sh-01pingecs-sh-03(原不通,配置后通)。
bash
[root@ecs-sh-01 ~]# ping 10.0.0.38 # 成功收到回复⚠️ 注意:对等连接仅支持同区域,且VPC网段不能重叠。
1.5 虚拟专用网络(VPN)
作用
- 连接不同区域的VPC(如北京四 ↔ 上海一),或连接本地数据中心。
配置要点(企业版VPN)
- 创建VPN网关:每个区域一个,指定VPC、子网、购买EIP(主备)。
- 创建对端网关:填写对方VPN网关的公网IP。
- 创建VPN连接:设置预共享密钥(两端一致)、本端子网、对端子网。
- 添加路由:VPC路由表指向VPN网关。
- 验证:北京四的ECS ping 上海一的ECS私网IP。
bash
# 北京四 ecs-bj-01 ping 上海一 ecs-sh-01 (192.168.0.169)
64 bytes from 192.168.0.169: icmp_seq=3 ttl=63 time=29.2 ms结果:跨区域VPC通信成功,延迟约30ms。
1.6 弹性公网IP(EIP)
绑定与解绑
- 创建EIP后可以绑定到ECS、NAT网关、ELB等。
- 未绑定的EIP会收取少量保有费。
实验:ECS绑定EIP后访问公网
- 初始:ECS无EIP,
ping baidu.com失败。 - 购买EIP并绑定 → ping成功,同时可从本地SSH连接(需安全组放行22)。
bash
[root@ecs-sh-02 ~]# ping baidu.com # 绑定后通
64 bytes from 39.156.66.10: icmp_seq=1 ttl=45 time=30.2 ms1.7 弹性负载均衡(ELB)
架构组件
- 负载均衡器:接收流量入口(支持公网/私网)。
- 监听器:指定协议/端口(如HTTP 8881)。
- 后端服务器组:关联ECS实例,配置健康检查。
实验流程(基于HTTP服务)
-
在两台ECS(ecs-sh-01, ecs-sh-02)上启动简单HTTP服务(端口8889):
bashnohup python -m SimpleHTTPServer 8889 > /dev/null 2>&1 & touch SERVER1 # 在01上创建标识文件 touch SERVER2 # 在02上创建 -
创建共享型ELB(公网,VPC-SH01)。
-
添加监听器(前端端口8881,后端端口8889,加权轮询)。
-
添加后端服务器(两台ECS,权重均为1)。
-
健康检查配置 :需要安全组放通ELB健康检查源IP(
100.125.0.0/16)和端口8889。 -
验证:浏览器访问
http://<ELB-EIP>:8881,刷新可见返回内容在SERVER1和SERVER2之间轮换。
📌 健康检查常见异常原因:安全组未放通、后端服务未启动、端口错误。
第二篇:存储服务篇 · 持久化与共享数据
2.1 云硬盘(EVS)
生命周期操作
- 购买:指定可用区(必须与ECS相同)、容量、类型(SSD/通用)。
- 挂载:支持挂载到同一可用区的任意ECS。
- 初始化 :
- Windows:磁盘管理 → 初始化(MBR/GPT)→ 新建卷 → 格式化。
- Linux:
fdisk分区 →mkfs.ext4→mount。
实验:跨ECS迁移数据盘
- 在
ecs-win1挂载20GB数据盘,创建文件test.txt。 - 卸载数据盘(先脱机,再控制台卸载)。
- 挂载到另一台
ecs-win2→ 文件内容完整保留。
快照功能(数据恢复)
- 为数据盘创建快照。
- 删除盘中文件(模拟误删)。
- 基于快照创建新磁盘 → 挂载后恢复被删文件。
bash
# Linux 示例
rm evs # 删除文件
# 基于快照新建磁盘并挂载
mount /dev/vdc1 /snapshot-data
cat /snapshot-data/evs # 文件内容仍在开机自动挂载(Linux)
编辑 /etc/fstab,添加:
/dev/vdb1 /data ext4 defaults 0 0验证:umount /dev/vdb1 → mount -a → df -h 挂载成功。
2.2 对象存储服务(OBS)
核心概念
- 桶(Bucket):存储对象的容器,名称全局唯一。
- 对象:文件、文件夹等,支持多版本控制。
实操:Web管理
- 创建桶(多AZ、标准存储、私有)。
- 上传文件(拖拽或选择)。
- 分享文件:生成临时URL(1分钟~18小时有效),可发给他人下载。
- 多版本控制:启用后,同名文件保留历史版本,可随时回退。
OBS Browser+ 工具
- 下载客户端,使用AK/SK登录(在"我的凭证"中创建访问密钥)。
- 支持批量上传/下载、跨区域复制等高级功能。
2.3 弹性文件服务(SFS)
适用场景
- 多个ECS共享同一文件系统(如Web服务器的公共附件目录)。
实验:Linux + Windows 同时挂载NFS
- 创建SFS Turbo(协议NFS,容量500GB)。
- Linux端 :
- 安装
nfs-utils:yum install -y nfs-utils - 创建挂载点
/mnt/sfs_turbo - 执行挂载命令(从SFS控制台复制)
- 写入测试文件
touch huawei_cloud - 配置
/etc/fstab实现开机自动挂载
- 安装
- Windows端 :
- 安装NFS客户端(添加角色和功能 → NFS客户端)
- 修改客户端属性:传输协议TCP,使用硬装载
- 执行
mount -o nolock -o casesensitive=yes <IP>:/ E: - 访问E盘,可看到Linux端创建的文件。
📌 注意:SFS的IP地址为域名形式,需确保DNS解析正常。
2.4 云备份(CBR)
核心价值
- 整机备份(系统盘+数据盘)或磁盘备份。
- 支持即时恢复和创建新云服务器。
实验:误删虚拟机后恢复
- 创建ECS(Linux),写入文件
qingqingcaoyuan.txt。 - 创建云备份 → 选择该ECS → 执行备份(全量/增量)。
- 删除该ECS(彻底删除)。
- 在CBR控制台选择备份 → "创建镜像"或"创建云服务器"。
- 新创建的ECS还原了原文件。
💡 最佳实践:为关键业务配置自动备份策略(每日/每周),保留30天。
第三篇:运维服务篇 · 可观测性与自动化
3.1 云审计服务(CTS)
功能
- 记录租户所有API操作(创建、删除、修改等),默认保存7天。
- 可配置关键操作通知,触发时发送短信/邮件。
实验配置
- 开通CTS(自动创建追踪器)。
- 创建消息通知主题(SMN)并订阅(手机短信)。
- 创建关键操作通知:选择操作如
ECS: DeleteServer,RebootServer。 - 在ECS控制台重启一台云服务器。
- 手机收到短信:【华为云】您的资源ecs-xxx在ECS服务发生操作。
- 在CTS事件列表中可查看详细记录(时间、用户、请求参数)。
3.2 云监控服务(CES)
核心能力
- 主机监控:CPU、内存、磁盘、网络等指标。
- 告警规则:阈值触发(如CPU > 90%持续2次)。
- 告警通知(可结合SMN)。
实验:CPU飙升告警
-
进入CES → 主机监控 → 查看ECS指标。
-
创建告警规则:
- 指标:CPU使用率(原始值)
- 条件:连续2次 ≥ 70%
- 通知:关闭(仅控制台测试)
-
登录ECS执行压力命令:
bashecho "scale=800000;4*a(1)" | bc -l -q -
观察CPU飙升至100%,告警规则状态变为"告警中"。
-
使用
top定位高CPU进程(bc命令),kill后恢复。
📌 生产环境建议为关键指标(CPU、内存、磁盘)配置告警。
3.3 云日志服务(LTS)
流程
- 创建日志组和日志流 (如
lts-group/lts-stream)。 - 安装ICAgent:在ECS上执行安装脚本(需提供AK/SK)。
- 配置日志采集 :选择主机组,指定日志路径(如
/var/log/messages)。 - 查看日志:在LTS控制台实时或搜索日志,支持关键词过滤。
验证
bash
# 在ECS上生成一条日志
echo "test log from LTS" >> /var/log/messages在LTS控制台实时日志中可看到该条记录。
第四篇:自主学习作业与排错思路
作业1(网络)
在同一VPC下部署3台弹性云服务器,其中一台作为客户端,另外两台作为负载均衡器的后端服务器组中的成员,测试通过内网进行负载均衡访问。
- 提示:创建私网ELB,后端服务器使用内网IP,客户端使用内网访问ELB的私网地址。
尝试直接删除负载均衡,若无法直接删除,可能原因?
- 答案:ELB存在关联的监听器、后端服务器组或健康检查任务,需先删除依赖资源。
对等连接验证:向本端VPC添加子网,使该子网与目标网段一致,观察结果。
- 现象:若新子网网段与对等连接目的网段重叠,可能导致路由冲突,通信异常。
作业2(存储)
申请Windows ECS + 云硬盘,创建测试文件,使用快照回滚数据。
- 要点:先卸载磁盘再回滚,或者基于快照创建新磁盘挂载。
Linux ECS挂载SFS并配置fstab后,创建私有镜像,通过镜像创建新ECS,验证自动挂载和文件共享。
- 预期:新ECS启动后会自动挂载SFS,且能看到原ECS写入的文件(因为SFS是共享存储)。
作业3(运维)
创建ECS,配置云审计,变更ECS规格,通过云审计查看相关事件。
- 步骤 :开启CTS追踪器 → 执行"变更规格"操作 → 在CTS事件列表搜索
resizeServer即可。
第五篇:资源清理总则(避免扣费)
| 服务 | 删除顺序 |
|---|---|
| ELB | 先删除监听器 → 删除后端服务器组 → 删除负载均衡器 |
| AS | 先删除伸缩策略 → 伸缩组(勾选释放ECS)→ 伸缩配置 |
| ECS | 勾选"释放EIP"和"删除云硬盘" |
| EVS | 先卸载 → 再删除磁盘(快照需一并删除) |
| OBS | 清空桶内所有对象 → 删除桶 |
| SFS | 卸载所有挂载点 → 删除文件系统 |
| CBR | 删除备份 → 删除存储库 |
| VPC | 先删子网 → 删对等连接 → 删VPC |
| IAM | 删用户 → 删用户组 |
⚠️ 按需计费资源即使关机会继续收取存储费,实验完毕务必删除。