-
哪些用户有权限使用磁盘加密 安全管理员(拥有“Security Administrator”权限)可以直接授权EVS访问KMS,使用加密功能。 普通用户(没有“Security Administrator”权限)使用加密功能时,根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户,作如下区分: 是,即该普通用户是当前区域或者项目内第一个使用加密功能的,需先联系安全管理员进行授权,然后再使用加密功能。 否,即区域或者项目内的其他用户已经使用过加密功能,该普通用户可以直接使用加密功能。 对于一个租户而言,同一个区域内只要安全管理员成功授权EVS访问KMS,则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目,则每个项目下都需要安全管理员执行授权操作。
-
存储池容量说明 表1 存储池容量说明 容量种类 容量说明 申请容量 申请存储池时输入的容量大小。 裸容量 申请存储池的裸容量。 申请容量不低于裸容量的85%。 总可用容量 存储池可实际使用的容量。 已分配容量 存储池已分配容量。 含虚拟机/裸机/容器等使用的卷的分配容量、专属弹性文件服务(SFS Turbo)/RDS等高阶服务占用的存储分配容量、备份创建的快照的分配容量。 已使用容量 存储池已使用的物理容量。 含虚拟机/裸机/容器等使用的卷的使用容量、专属弹性文件服务(SFS Turbo)/RDS等高阶服务占用的存储使用容量、备份创建的快照的使用容量。 表2 存储池容量计算示例 容量种类 容量 申请容量 27.2 T 裸容量 32 T 总可用容量 27.2*1024 G=27852 G 已分配容量 7330 G 已使用容量 432 G
-
应用场景 高IO:高IO存储池中只能创建高IO的磁盘,其最大IOPS为1500 IOPS/TB,单队列4KiB数据块大小情况下,最低读写时延为1~3 ms,适用于主流的高性能、高可靠应用场景,例如企业应用、大型开发测试以及Web服务器日志等。 超高IO:超高IO存储池中只能创建超高IO的磁盘,其最大IOPS为8000 IOPS/TB,单队列4KiB数据块大小情况下,最低读写时延为1 ms,适用于读写密集型应用场景,例如高性能计算应用场景,用来部署分布式文件系统,或者I/O密集型应用场景,用来部署各类NoSQL/关系型数据库。
-
存储池性能 存储池性能的主要指标有IO读写延时、IOPS和吞吐量。 IOPS:每秒进行读写的操作次数。 吞吐量:每秒成功传送的数据量,即读取和写入的数据量。 IO读写延时:连续两次进行读写操作所需的最小时间间隔。 表1 存储池性能数据表 参数 高IO 超高IO IOPS 1500 IOPS/TB 8000 IOPS/TB IO读写时延(单队列,4KiB数据块大小) 1 ms ~ 3 ms 1 ms 典型应用场景 普通开发测试 转码类业务。 I/O密集型场景。 NoSQL Oracle SQL Server PostgreSQL 时延敏感型场景。 Redis Memcache
-
共享磁盘的应用场景和使用注意事项 共享磁盘主要应用于需要支持集群、HA能力的关键企业应用场景,需要多个云服务器可同时访问一个磁盘。如果您将共享磁盘挂载到多个云服务器,首先请根据应用场景选择不同的磁盘模式,包括VBD和S
CS I。 由于多数常见集群需要使用SCSI锁,例如Windows MSCS集群、Veritas VCS集群和CFS集群,因此建议您结合SCSI模式使用共享磁盘。若SCSI磁盘挂载给虚拟化类型为XEN的ECS,则需要安装驱动,具体请参见磁盘模式及使用方法。 您可以创建VBD类型的共享磁盘和SCSI类型的共享磁盘。 VBD类型的共享磁盘:创建的共享磁盘默认为VBD类型,该类型磁盘可提供虚拟块存储设备,不支持SCSI锁。当您部署的应用需要使用SCSI锁时,则需要创建SCSI类型的共享磁盘。 SCSI类型的共享磁盘:SCSI类型的共享磁盘支持SCSI锁。 为了提升数据的安全性,建议您结合云服务器组的反亲和性一同使用SCSI锁,即将SCSI类型的共享磁盘挂载给同一个反亲和性云服务器组内的ECS。 如果ECS不属于任何一个反亲和性云服务器组,则不建议您为该ECS挂载SCSI类型的共享磁盘,否则SCSI锁无法正常使用并且则会导致您的数据存在风险。 反亲和性和SCSI锁的相关概念: 云服务器组的反亲和性:ECS在创建时,将会分散地创建在不同的物理主机上,从而提高业务的可靠性。 关于云服务器组,更多详情请参见管理云服务器组。 SCSI锁的实现机制:通过SCSI Reservation命令来进行SCSI锁的操作。如果一台ECS给磁盘传输了一条SCSI Reservation命令,则这个磁盘对于其他ECS就处于锁定状态,避免了多台ECS同时对磁盘执行读写操作而导致的数据损坏。 云服务器组和SCSI锁的关系:同一个磁盘的SCSI锁无法区分单个物理主机上的多台ECS,因此只有当ECS位于不同物理主机上时才可以支持SCSI锁,因此建议您结合云服务器组的反亲和性一起使用SCSI锁命令。
-
共享磁盘的规格性能 磁盘性能的主要指标有IO读写时延、IOPS和吞吐量。 IOPS:磁盘每秒进行读写的操作次数。 吞吐量:磁盘每秒成功传送的数据量,即读取和写入的数据量。 IO读写时延:磁盘连续两次进行读写操作所需要的最小时间间隔。 不同类型磁盘的单队列访问时延(4KiB数据块大小情况下)如下: 普通IO:5 ms ~ 10 ms 高IO:1 ms ~ 3 ms 超高IO:1 ms 表1 磁盘性能数据表 参数 普通IO 高IO 超高IO 磁盘最大容量 系统盘:1024 GB 数据盘:32768 GB 系统盘:1024 GB 数据盘:32768 GB 系统盘:1024 GB 数据盘:32768 GB 最大IOPS 2200 5000 33000 最大吞吐量 90 MB/s 150 MB/s 350 MB/s IOPS突发上限 2200 5000 16000 磁盘IOPS性能计算公式 说明: 以单块超高IO磁盘为例,基线为1500 IOPS,每GB增加50 IOPS,最高为33000 IOPS。 IOPS = min (2200, 500 +2 × 容量) IOPS = min (5000, 1200 + 6 × 容量) IOPS = min (33000, 1500 + 50 × 容量) API名称 说明: 此处API名称为磁盘API接口中“volume_type”参数的取值,不代表底层存储设备的硬件类型。 SATA SAS SSD 数据持久性 99.9999999% 挂载云服务器数量 最大可同时挂载至16台云服务器
-
共享磁盘的主要优势 多挂载点:单个共享磁盘最多可同时挂载给16个云服务器。 高性能:多台云服务器并发访问超高IO共享磁盘时,随机读写IOPS可高达160000。 高可靠:共享磁盘支持自动和手动备份功能,提供高可靠的数据存储。 应用场景广泛:可应用于只需要VBD类型共享磁盘的Linux RHCS集群系统,同时也可应用于需要支持SCSI指令的共享磁盘的场景,如Windows MSCS集群和Veritas VCS集群应用。
-
共享磁盘的数据共享原理和常见的使用误区 共享磁盘本质是将同一块磁盘挂载给多个云服务器使用,类似于将一块物理硬盘挂载给多台物理服务器,每一台服务器均可以对该硬盘任意区域的数据进行读取和写入。如果这些服务器之间没有相互约定读写数据的规则,比如读写次序和读写意义,将会导致这些服务器读写数据时相互干扰或者出现其他不可预知的错误。 共享磁盘为云服务器提供共享访问的块存储设备,但其本身并不具备集群管理能力,因此需要您自行部署集群系统来管理共享磁盘,如企业应用中常见的Windows MSCS集群、Linux RHCS集群、Veritas VCS集群和CFS集群应用等。 如果在使用共享磁盘过程中未通过集群系统进行管理,可能会导致以下问题: 读写冲突导致数据不一致 当一个共享磁盘同时挂载给两台云服务器时,云服务器 A和云服务器 B相互之间无法感知另一个云服务器已使用的存储空间,云服务器 A可能会对该磁盘上已被云服务器 B使用的空间进行重复分配,从而发生空间分配冲突导致数据出错的情况。 比如,将一块共享磁盘格式化为ext3文件系统后挂载给云服务器 A和云服务器 B,云服务器 A在某一时刻向磁盘上的区域 R和区域 G写了文件系统的元数据,下一时刻云服务器 B又向区域 E和区域 G写了自己的元数据,则云服务器 A写入的数据将会被替换,随后读取区域 G的元数据时即会出现错误。 数据缓存导致数据不一致 当一个共享磁盘同时挂载给两台云服务器时,若云服务器 A上的应用读取区域 R和区域 G的数据后将数据记录在缓存中,此时云服务器 A上的其他进程或线程访问该部分数据时,直接访问缓存中的数据即可。如果此时云服务器 B上的应用修改区域 R和区域 G中的数据,则云服务器 A上的应用无法感知该部分数据已被修改,依旧从缓存中读取数据,用户通过云服务器 A无法看到已修改的新数据。 比如,将一块共享磁盘格式化为ext3文件系统后挂载给云服务器 A和云服务器 B,两台云服务器均将文件系统的元数据进行了缓存,此后用户在云服务器 A中创建了一个新的文件 F,但云服务器 B并无法感知该修改,依旧从缓存中读取数据,导致用户在云服务器 B中无法看到文件F。 如果您将共享磁盘挂载到多个云服务器,首先请根据不同的应用选择不同的磁盘模式,包括VBD和SCSI。SCSI类型的共享磁盘支持SCSI锁,但是需要在云服务器系统中安装驱动并保证镜像在兼容性列表中。
-
什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式,分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型:磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型:SCSI类型的磁盘支持SCSI指令透传,允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令,SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置,购买完成后无法修改。
-
ECS支持的磁盘模式 ECS支持的磁盘模式由规格类型决定,同时,还与ECS所属的操作场景相关。 表1 ECS支持的磁盘模式 操作场景 磁盘模式(系统盘) 磁盘模式(数据盘) 购买ECS时 通用计算增强型C7:SCSI。 内存优化型M7:SCSI。 含“physical” 附加标识的裸金属类型:SCSI。 其余规格类型:VBD。 通用计算增强型C7:SCSI。 内存优化型M7:SCSI。 含“physical” 附加标识的裸金属类型:SCSI。 其余规格类型:VBD或SCSI。 为已购买ECS挂载磁盘时 不涉及 通用计算增强型C7:VBD或SCSI。 内存优化型M7:VBD或SCSI。 含“physical” 附加标识的裸金属类型:SCSI。 其余规格类型:VBD或SCSI。
-
SCSI磁盘的常见使用场景和建议 SCSI磁盘:BMS仅支持使用SCSI磁盘,用作系统盘和数据盘。 SCSI共享盘:当您使用共享盘时,需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁,例如Windows MSCS集群、Veritas VCS集群和CFS集群,因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时,需要结合云服务器组的反亲和性一同使用,SCSI锁才会生效。
-
专属分布式存储服务与云硬盘的区别 表1 DSS与EVS的区别 服务名称 总体介绍 存储类别 典型应用场景 性能规格 专属分布式存储服务 专属分布式存储服务为用户提供独享的物理存储资源,存储池资源物理隔离,数据持久性高达99.9999999%,可同时对接多种不同类型的计算服务,如ECS、BMS、DCC等,功能丰富、安全可靠。 存储池物理隔离,资源独享,专属存储。 对接专属云中的ECS、BMS等计算服务 对接非专属云中的ECS、BMS等计算服务 混合负载,专属分布式存储可同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署 高性能计算 OLAP应用 高IO: 起步规格13.6TB,扩容步长13.6TB,最大可扩容至435.2TB,最大IOPS为1500 IOPS/TB。 超高IO: 起步规格7.225TB,扩容步长7.225TB,最大可扩容至289TB,最大IOPS为8000 IOPS/TB。 云硬盘 云硬盘可以为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务。 共享存储池资源 企业日常办公应用 开发测试 企业应用,例如SAP、Microsoft Exchange和Microsoft SharePoint等 分布式文件系统 各类数据库,例如:MongoDB、Oracle、SQL Server、MySQL和PostgreSQL等 云硬盘支持按需扩容,最小扩容步长为1GB,单个磁盘可由10GB扩展至32TB。 图2 DSS与EVS的区别
-
功能特点 规格丰富 高IO:高性能、高扩展、高可靠,适用于性能相对较高,读写速率要求高,有实时数据存储需求的应用场景。 超高IO:低时延、高性能,适用于低时延,高读写速率要求,数据密集型应用场景。 弹性扩展 按需扩容:可根据业务需求扩容存储池。 性能线性增长:支持在线扩容DSS下的磁盘,并且性能线性增长,满足业务需求。 安全可靠 三副本冗余:数据持久性高达99.9999999%。
数据加密 :系统盘和数据盘均支持数据加密,保护数据安全。 备份恢复 云备份服务:可为专属分布式存储下的磁盘创建备份,利用备份数据回滚磁盘,最大限度保障您数据的安全性和正确性,确保业务安全。
-
修订记录 发布日期 修订记录 2019-03-30 第五次发布。 新增权限管理章节。 2018-12-30 第四次发布。 增加专属分布式存储服务功能特点介绍。 增加专属分布式存储服务与其他服务的关系示意图。 2018-05-30 第三次发布。 该服务名称变更为“专属分布式存储服务”。 2018-02-03 第二次发布。 更新存储池类型及性能介绍中的存储池性能数据。 2017-11-30 第一次发布。
-
DSS权限 默认情况下,管理员创建的
IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 DSS部署时通过物理区域划分,为项目级服务,需要在各区域(如华北-北京四)对应的项目(cn-north-4)中设置策略,并且该策略仅对此项目生效,如果需要所有区域都生效,则需要在所有项目都设置策略。访问DSS时,需要先切换至授权区域。 权限根据授权精程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,DSS支持的API授权项请参见策略及授权项说明。 如表1所示,包括了DSS的所有系统权限。 表1 DSS系统权限 策略名称 描述 策略类别 依赖关系 DSS FullAccess 专属分布式存储的所有权限,具有专属分布式存储资源的创建、扩容、查询等操作权限。 系统策略 无 DSS ReadOnlyAccess 专属分布式存储的只读权限,只有专属分布式存储资源的查询权限。 系统策略 无 表2列出了专属分布式存储服务(DSS)常用操作与系统策略的授权关系,您可以参照该表选择合适的系统策略。 表2 常用操作与系统策略的关系 操作 DSS FullAccess DSS ReadOnlyAccess 创建存储池 √ × 查询存储池 √ √ 扩容存储池 √ × 扩容磁盘 √ × 创建磁盘 √ × 查询磁盘 √ √ 卸载磁盘 √ × 删除磁盘 √ ×
