华为云全栈：网络/存储/运维高能实战

本手册基于华为云官方实验文档，系统梳理网络、存储、运维三大领域核心服务，涵盖VPC、安全组、ACL、对等连接、VPN、ELB、EIP、EVS、OBS、SFS、CBR、CTS、CES、LTS等20+云服务实操，助你从零构建企业级云上架构。

第一篇：网络服务篇 · 构建云上互联基石

1.1 虚拟私有云（VPC）与子网

核心概念

• VPC：逻辑隔离的虚拟网络，支持自定义IP地址段（如192.168.0.0/16、10.0.0.0/8、172.16.0.0/12）。
• 子网：VPC内的IP地址分区，同一VPC下不同子网默认互通（通过内部路由）。

实操要点

• 创建VPC时指定区域（如华东-上海一），不同区域间内网不互通。
• 子网创建后无法修改CIDR，规划时需预留足够IP。
• 同一VPC内通信验证：同一子网内ECS互ping通；不同子网间也互通（VPC内部路由自动生效）。

# 同一VPC同一子网测试ping192.168.1.160# 通# 同一VPC不同子网测试ping192.168.2.177# 通

1.2 安全组（Security Group）

核心功能

• 实例级别防火墙，控制进出流量。
• 默认规则：入方向禁止所有，出方向放通所有。
• 安全组内实例默认互通（即使没有显式入方向规则）。

实验验证

1. 创建安全组sg-test，初始无入方向规则。
2. 将两台ECS加入该安全组 → 无法通过SSH（22端口）访问。
3. 添加规则：放通TCP 22（源IP0.0.0.0/0）→ SSH成功。
4. 测试同一安全组内ping：默认ICMP放行？实际需要手动放通ICMP才可ping通。
5. 将一台ECS移到默认安全组 → 跨安全组ping不通（除非互相放通）。

📌 经验：安全组遵循“最小开放”原则，仅放行业务必需端口。

1.3 网络ACL（Network ACL）

与安全组区别

实验：控制子网间访问

• 目标：让subnet-1中的 ECS-1 可以 ping 通subnet-2中的 ECS-2，但反向不通。
• 配置：在关联subnet-2的ACL中，入方向添加入方向规则（源subnet-1网段，ICMP允许），出方向不额外配置。
• 结果：ECS-1 → ECS-2 通；ECS-2 → ECS-1 不通（需要ACL出方向也放行返回流量）。

1.4 对等连接（Peering）

适用场景

• 同一区域不同VPC之间通过私有IP互通。
• 支持跨账户（需对方账号授权）。

配置步骤（以VPC-SH01与VPC-SH02为例）

1. 创建对等连接：选择本端VPC和对端VPC。
2. 添加路由：
   • VPC-SH01路由表：目的地址10.0.0.0/16（对端CIDR），下一跳peering-xxx
   • VPC-SH02路由表：目的地址192.168.0.0/16，下一跳peering-xxx
3. 验证：从ecs-sh-01pingecs-sh-03（原不通，配置后通）。

[root@ecs-sh-01 ~]# ping 10.0.0.38 # 成功收到回复

⚠️ 注意：对等连接仅支持同区域，且VPC网段不能重叠。

1.5 虚拟专用网络（VPN）

作用

• 连接不同区域的VPC（如北京四 ↔ 上海一），或连接本地数据中心。

配置要点（企业版VPN）

1. 创建VPN网关：每个区域一个，指定VPC、子网、购买EIP（主备）。
2. 创建对端网关：填写对方VPN网关的公网IP。
3. 创建VPN连接：设置预共享密钥（两端一致）、本端子网、对端子网。
4. 添加路由：VPC路由表指向VPN网关。
5. 验证：北京四的ECS ping 上海一的ECS私网IP。

# 北京四 ecs-bj-01 ping 上海一 ecs-sh-01 (192.168.0.169)64bytes from192.168.0.169:icmp_seq=3ttl=63time=29.2ms

结果：跨区域VPC通信成功，延迟约30ms。

1.6 弹性公网IP（EIP）

绑定与解绑

• 创建EIP后可以绑定到ECS、NAT网关、ELB等。
• 未绑定的EIP会收取少量保有费。

实验：ECS绑定EIP后访问公网

• 初始：ECS无EIP，ping baidu.com失败。
• 购买EIP并绑定 → ping成功，同时可从本地SSH连接（需安全组放行22）。

[root@ecs-sh-02 ~]# ping baidu.com # 绑定后通64bytes from39.156.66.10:icmp_seq=1ttl=45time=30.2ms

1.7 弹性负载均衡（ELB）

架构组件

• 负载均衡器：接收流量入口（支持公网/私网）。
• 监听器：指定协议/端口（如HTTP 8881）。
• 后端服务器组：关联ECS实例，配置健康检查。

实验流程（基于HTTP服务）

1. 在两台ECS（ecs-sh-01, ecs-sh-02）上启动简单HTTP服务（端口8889）：

   nohuppython-mSimpleHTTPServer8889>/dev/null2>&1&touchSERVER1# 在01上创建标识文件touchSERVER2# 在02上创建

2. 创建共享型ELB（公网，VPC-SH01）。

3. 添加监听器（前端端口8881，后端端口8889，加权轮询）。

4. 添加后端服务器（两台ECS，权重均为1）。

5. 健康检查配置：需要安全组放通ELB健康检查源IP（100.125.0.0/16）和端口8889。

6. 验证：浏览器访问http://<ELB-EIP>:8881，刷新可见返回内容在SERVER1和SERVER2之间轮换。

📌 健康检查常见异常原因：安全组未放通、后端服务未启动、端口错误。

第二篇：存储服务篇 · 持久化与共享数据

2.1 云硬盘（EVS）

生命周期操作

• 购买：指定可用区（必须与ECS相同）、容量、类型（SSD/通用）。
• 挂载：支持挂载到同一可用区的任意ECS。
• 初始化：
  • Windows：磁盘管理 → 初始化（MBR/GPT）→ 新建卷 → 格式化。
  • Linux：fdisk分区 →mkfs.ext4→mount。

实验：跨ECS迁移数据盘

1. 在ecs-win1挂载20GB数据盘，创建文件test.txt。
2. 卸载数据盘（先脱机，再控制台卸载）。
3. 挂载到另一台ecs-win2→ 文件内容完整保留。

快照功能（数据恢复）

• 为数据盘创建快照。
• 删除盘中文件（模拟误删）。
• 基于快照创建新磁盘 → 挂载后恢复被删文件。

# Linux 示例rmevs# 删除文件# 基于快照新建磁盘并挂载mount/dev/vdc1 /snapshot-datacat/snapshot-data/evs# 文件内容仍在

开机自动挂载（Linux）

编辑/etc/fstab，添加：

/dev/vdb1 /data ext4 defaults 0 0

验证：umount /dev/vdb1→mount -a→df -h挂载成功。

2.2 对象存储服务（OBS）

核心概念

• 桶（Bucket）：存储对象的容器，名称全局唯一。
• 对象：文件、文件夹等，支持多版本控制。

实操：Web管理

1. 创建桶（多AZ、标准存储、私有）。
2. 上传文件（拖拽或选择）。
3. 分享文件：生成临时URL（1分钟~18小时有效），可发给他人下载。
4. 多版本控制：启用后，同名文件保留历史版本，可随时回退。

OBS Browser+ 工具

• 下载客户端，使用AK/SK登录（在“我的凭证”中创建访问密钥）。
• 支持批量上传/下载、跨区域复制等高级功能。

2.3 弹性文件服务（SFS）

适用场景

• 多个ECS共享同一文件系统（如Web服务器的公共附件目录）。

实验：Linux + Windows 同时挂载NFS

1. 创建SFS Turbo（协议NFS，容量500GB）。
2. Linux端：
   • 安装nfs-utils：yum install -y nfs-utils
   • 创建挂载点/mnt/sfs_turbo
   • 执行挂载命令（从SFS控制台复制）
   • 写入测试文件touch huawei_cloud
   • 配置/etc/fstab实现开机自动挂载
3. Windows端：
   • 安装NFS客户端（添加角色和功能 → NFS客户端）
   • 修改客户端属性：传输协议TCP，使用硬装载
   • 执行mount -o nolock -o casesensitive=yes <IP>:/ E:
   • 访问E盘，可看到Linux端创建的文件。

📌 注意：SFS的IP地址为域名形式，需确保DNS解析正常。

2.4 云备份（CBR）

核心价值

• 整机备份（系统盘+数据盘）或磁盘备份。
• 支持即时恢复和创建新云服务器。

实验：误删虚拟机后恢复

1. 创建ECS（Linux），写入文件qingqingcaoyuan.txt。
2. 创建云备份 → 选择该ECS → 执行备份（全量/增量）。
3. 删除该ECS（彻底删除）。
4. 在CBR控制台选择备份 → “创建镜像”或“创建云服务器”。
5. 新创建的ECS还原了原文件。

💡 最佳实践：为关键业务配置自动备份策略（每日/每周），保留30天。

第三篇：运维服务篇 · 可观测性与自动化

3.1 云审计服务（CTS）

功能

• 记录租户所有API操作（创建、删除、修改等），默认保存7天。
• 可配置关键操作通知，触发时发送短信/邮件。

实验配置

1. 开通CTS（自动创建追踪器）。
2. 创建消息通知主题（SMN）并订阅（手机短信）。
3. 创建关键操作通知：选择操作如ECS: DeleteServer,RebootServer。
4. 在ECS控制台重启一台云服务器。
5. 手机收到短信：【华为云】您的资源ecs-xxx在ECS服务发生操作。
6. 在CTS事件列表中可查看详细记录（时间、用户、请求参数）。

3.2 云监控服务（CES）

核心能力

• 主机监控：CPU、内存、磁盘、网络等指标。
• 告警规则：阈值触发（如CPU > 90%持续2次）。
• 告警通知（可结合SMN）。

实验：CPU飙升告警

1. 进入CES → 主机监控 → 查看ECS指标。

2. 创建告警规则：

   • 指标：CPU使用率（原始值）
   • 条件：连续2次 ≥ 70%
   • 通知：关闭（仅控制台测试）

3. 登录ECS执行压力命令：

   echo"scale=800000;4*a(1)"|bc-l-q

4. 观察CPU飙升至100%，告警规则状态变为“告警中”。

5. 使用top定位高CPU进程（bc命令），kill后恢复。

📌 生产环境建议为关键指标（CPU、内存、磁盘）配置告警。

3.3 云日志服务（LTS）

流程

1. 创建日志组和日志流（如lts-group/lts-stream）。
2. 安装ICAgent：在ECS上执行安装脚本（需提供AK/SK）。
3. 配置日志采集：选择主机组，指定日志路径（如/var/log/messages）。
4. 查看日志：在LTS控制台实时或搜索日志，支持关键词过滤。

验证

# 在ECS上生成一条日志echo"test log from LTS">>/var/log/messages

在LTS控制台实时日志中可看到该条记录。

第四篇：自主学习作业与排错思路

作业1（网络）

在同一VPC下部署3台弹性云服务器，其中一台作为客户端，另外两台作为负载均衡器的后端服务器组中的成员，测试通过内网进行负载均衡访问。

• 提示：创建私网ELB，后端服务器使用内网IP，客户端使用内网访问ELB的私网地址。

尝试直接删除负载均衡，若无法直接删除，可能原因？

• 答案：ELB存在关联的监听器、后端服务器组或健康检查任务，需先删除依赖资源。

对等连接验证：向本端VPC添加子网，使该子网与目标网段一致，观察结果。

• 现象：若新子网网段与对等连接目的网段重叠，可能导致路由冲突，通信异常。

作业2（存储）

申请Windows ECS + 云硬盘，创建测试文件，使用快照回滚数据。

• 要点：先卸载磁盘再回滚，或者基于快照创建新磁盘挂载。

Linux ECS挂载SFS并配置fstab后，创建私有镜像，通过镜像创建新ECS，验证自动挂载和文件共享。

• 预期：新ECS启动后会自动挂载SFS，且能看到原ECS写入的文件（因为SFS是共享存储）。

作业3（运维）

创建ECS，配置云审计，变更ECS规格，通过云审计查看相关事件。

• 步骤：开启CTS追踪器 → 执行“变更规格”操作 → 在CTS事件列表搜索resizeServer即可。

第五篇：资源清理总则（避免扣费）

⚠️ 按需计费资源即使关机会继续收取存储费，实验完毕务必删除。