华为云用户手册

操作流程 通过VPN实现数据中心和VPC互通的操作流程如图2所示。 图2 操作流程 表2 操作流程说明 序号 在哪里操作 步骤 说明 1 管理控制台 创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 创建对端网关 添加AR路由器作为对端网关。 3 创建VPN连接 VPN网关的主EIP、主EIP2和连接1对端网关、连接2对端网关创建一组VPN连接。 预共享密钥、IKE/IPsec策略需要和AR路由器连接配置保持一致。 4 AR命令配置界面 AR路由器侧操作步骤 AR路由器配置的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器配置的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 5 - 结果验证 执行ping命令，验证网络互通情况。

数据规划 表1 数据规划 部件 参数项 AR路由器规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（AR路由器上行公网网口GE0/0/8的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 “连接1配置”中的Tunnel接口地址 本端隧道接口地址：169.254.70.2/30 对端隧道接口地址：169.254.70.1/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.2/30 对端隧道接口地址：169.254.71.1/30 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 14 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH group 14 传输协议：ESP 生命周期（秒）：3600

数据规划 表1 数据规划 部件 参数项 阿里云规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group14 版本：v2 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group14

数据规划 表1 数据规划 部件 参数项 阿里云规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 BGP ASN 65515 64512 VPN连接 “连接1配置”中的Tunnel接口地址 本端隧道接口地址：169.254.70.2/30 对端隧道接口地址：169.254.70.1/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.2/30 对端隧道接口地址：169.254.71.1/30 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group14 版本：v2 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group14

数据规划 表1 数据规划 部件 参数项 阿里云规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 “连接1配置”中的Tunnel接口地址 本端隧道接口地址：169.254.70.2/30 对端隧道接口地址：169.254.70.1/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.2/30 对端隧道接口地址：169.254.71.1/30 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group14 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group14

操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。 Windows 32位操作系统，可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统，可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。 解压缩“EasyRSA-3.1.7-win64.zip”至指定目录，如“D:\EasyRSA-3.1.7”。 进入“D:\EasyRSA-3.1.7”目录。 在地址栏中输入cmd并按回车键，打开命令行窗口。 执行以下命令，运行Easy-RSA。 .\EasyRSA-Start.bat 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行以下命令，初始化PKI环境。 ./easyrsa init-pki 系统显示如下类似信息： Notice ------ 'init-pki' complete; you may now create a CA or requests. Your newly created PKI dir is: * D:/EasyRSA-3.1.7/pki Using Easy-RSA configuration: * undefined EasyRSA Shell # 执行命令后，在“D:\EasyRSA-3.1.7”的目录下自动生成了“pki”的文件夹。 配置变量参数。 将“D:\EasyRSA-3.1.7”目录下的“vars.example”文件复制到“D:\EasyRSA-3.1.7\pki”目录下。 将“D:\EasyRSA-3.1.7\pki”目录下的“vars.example”重命名为“vars”。 默认按“vars.example”中描述的参数值进行配置。如需自定义参数值，按需设置“vars”文件的参数值。 生成服务端CA证书认证及其私钥。 复制解压缩后的“EasyRSA-3.1.7”文件夹至“D:\”目录下，并重命名，如“EasyRSA-3.1.7 - server”。 进入“D:\EasyRSA-3.1.7 - server”目录。 在“D:\EasyRSA-3.1.7 - server”的文件夹中，地址栏中输入cmd并按回车键，打开命令行窗口。 执行以下命令，运行Easy-RSA。 .\EasyRSA-Start.bat 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行以下命令，生成服务端CA证书。 ./easyrsa build-ca nopass 在此命令生成中，[Easy-RSA CA]需要设置服务端CA证书名称，例如：p2cvpn_server.com。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - server/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) ..+.....+...+..........+..+.......+..+..........+...+...+..+......+.......+...+++++++++++++++++++++++++++++++++++++++*.+++++++++++++++++++++++++++++++++++++++*..........+...........+...+......++++++ .......+.......+...+......+...+.....+...+...+++++++++++++++++++++++++++++++++++++++*......+.....+....+..+....+......+...+......+...+......+.....+.+++++++++++++++++++++++++++++++++++++++*.......+......+.......+..............+.+...+.....+....+........+.........+....+..+............+.+.....+....+...+...+...........+.+..+.+.........+.....+...+..................+.......+..+.......+.....+..........+......+..+.+.....+.+.....+....+.....+.......+...+.........+..+......+...+.......+...+.........+......+......+...........+....+......+...+..+...+......+...+.+.....+.......+..+.......+...+...+..+.............+........+.........+.+.........+........+....+.........+.....+.........+................+.....+.+........+.......+.....+.+........+....+..+...+..........+..+......+...+.........+................+......+.....+....+......+......+............+..+......+...+.......+.................+.+......+......+..+.+...........+.........+.........+.+......++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn_server.com # 设置服务端CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7 - server/pki/ca.crt EasyRSA Shell # 查看服务端CA证书及其私钥。 生成的服务端CA证书默认存放在“D:\EasyRSA-3.1.7 - server\pki”目录下。 本示例中生成的服务端证书为“ca.crt”。 生成的服务端CA私钥默认存放在“D:\EasyRSA-3.1.7 - server\pki\private”目录下。 本示例中生成的服务端私钥为“ca.key”。 执行以下命令，生成服务端证书及其私钥。 ./easyrsa build-server-full p2cserver.com nopass 此命令中，“p2cserver.com”为服务端证书的CN，必须是 域名 格式，否则无法正常托管到 云证书管理服务 。请根据实际填写。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - server/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+.+......+...+.....+......+...+.......+.....+.+...+..+...+....+.....+......+++++++++++++++++++++++++++++++++++++++*....+..+....+++++++++++++++++++++++++++++++++++++++*................+.......+..+.+..+...+......+.............+...+...+.........+........+.........+...+......+.+...+...+........+....+.....+.+............+.....+...+....+...........+....+..+......+.............+.........+........+...+.+......+.....+.......+......+.....+.+.....+....+.........+...+..+............+.+........+.........+.+..+.........+......+...+....+......+.....+....+......+.....+......+.............+...+........+.+.....+.+....................+.......+.....+.+..+.......+...++++++ ......+.....+...+.+.........+..+.+..+...+++++++++++++++++++++++++++++++++++++++*.......+...+........+....+...+..+...+++++++++++++++++++++++++++++++++++++++*..+.........+...+.......+......+.................+...+...+............+...+....+........+.........+..........+......+...+...........+.+..+............+.+........+....+...........+....+...........+......+.............+......+.....++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7 - server/pki/reqs/p2cserver.com.req * key: D:/EasyRSA-3.1.7 - server/pki/private/p2cserver.com.key You are about to sign the following certificate: Request subject, to be signed as a server certificate for '825' days: subject= commonName = p2cserver.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes # 输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7 - server/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cserver.com' Certificate is to be certified until Oct 6 03:28:14 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7 - server/pki/issued/p2cserver.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7 - server/pki/inline/p2cserver.com.inline EasyRSA Shell # 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7 - server\pki\issued”目录下的“issued”文件夹中。 本示例中生成的服务端证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3.1.7 - server\pki\private”目录下的“private”文件夹中。 本示例中生成的服务端私钥为“p2cserver.com.key”。 生成客户端CA证书认证及其私钥。 复制解压缩后的“EasyRSA-3.1.7”文件夹至“D:\”目录下，并重命名，如“EasyRSA-3.1.7 - client” 进入“EasyRSA-3.1.7 - client”目录。 在“EasyRSA-3.1.7 - client”的文件夹中，地址栏中输入cmd并按回车键，打开命令行窗口。 执行以下命令，运行Easy-RSA。 .\EasyRSA-Start.bat 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行以下命令，生成客户端CA证书。 ./easyrsa build-ca nopass 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - client/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+++++++++++++++++++++++++++++++++++++++*.....+.+..+...+....+.....................+..+...+....+.........+.....+......+.+.....+....+++++++++++++++++++++++++++++++++++++++*....+...+...+...+............+.........++++++ .+.........+.........+.+......+...........+....+.....+.........+....+..+...+.+.........+......+......+...+.....+......+......+..........+++++++++++++++++++++++++++++++++++++++*.+.........+......+.+++++++++++++++++++++++++++++++++++++++*...........+................+..............+.........+.+...+.....................+..+....+.....+..........+...+...+..+.++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn_client.com # 设置客户端CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7 - client/pki/ca.crt EasyRSA Shell # 查看客户端CA证书及其私钥。 生成的客户端CA证书默认存放在“D:\EasyRSA-3.1.7 - client\pki”目录下。 本示例中生成的客户端证书为“ca.crt”。 生成的客户端CA私钥默认存放在“D:\EasyRSA-3.1.7 - client\pki\private”目录下。 本示例中生成的客户端私钥为“ca.key”。 执行以下命令，生成客户端证书及其私钥。 ./easyrsa build-client-full p2cclient.com nopass 此命令中，客户端证书的命名（如“p2cclient.com”）应与服务端证书的命名（如“p2cserver.com”）不一致。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - client/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+++++++++++++++++++++++++++++++++++++++*.........+.....+...+.+........+.+.....+.........+.+......+.....+++++++++++++++++++++++++++++++++++++++*..........+...+...+..+.......+...+..+.+.........+.....+.+..+.+....................+......+...............+.............+......+..+....+...+......+..+....+.....+.........+................+...+...+.....+....+.........++++++ .+..+..........+.........+++++++++++++++++++++++++++++++++++++++*...+..+++++++++++++++++++++++++++++++++++++++*.......+...............+......+.........+..............+....+.....+...+..................+....+...+........+....+.....+.+.....+...............++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7 - client/pki/reqs/p2cclient.com.req * key: D:/EasyRSA-3.1.7 - client/pki/private/p2cclient.com.key You are about to sign the following certificate: Request subject, to be signed as a client certificate for '825' days: subject= commonName = p2cclient.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes Using configuration from D:/EasyRSA-3.1.7 - client/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cclient.com' Certificate is to be certified until Oct 7 11:19:52 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7 - client/pki/issued/p2cclient.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7 - client/pki/inline/p2cclient.com.inline EasyRSA Shell # 查看客户端证书和私钥。 生成的客户端证书默认存放在“D:\EasyRSA-3.1.7 - client\pki\issued”目录下。 本示例中生成的客户端证书为“p2cclient.com.crt”。 生成的客户端私钥默认存放在“D:\EasyRSA-3.1.7 - client\pki\private”目录下。 本示例中生成的客户端私钥为“p2cclient.com.key”。

操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。 Windows 32位操作系统，可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统，可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。 解压缩“EasyRSA-3.1.7-win64.zip”至指定目录，如“D:\EasyRSA-3.1.7”。 进入“D:\EasyRSA-3.1.7”目录。 在地址栏中输入cmd并按回车键，打开命令行窗口。 执行以下命令，运行Easy-RSA。 .\EasyRSA-Start.bat 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行以下命令，初始化PKI环境。 ./easyrsa init-pki 系统显示如下类似信息： Notice ------ 'init-pki' complete; you may now create a CA or requests. Your newly created PKI dir is: * D:/EasyRSA-3.1.7/pki Using Easy-RSA configuration: * undefined EasyRSA Shell # 执行命令后，在“D:\EasyRSA-3.1.7”的目录下自动生成了“pki”的文件夹。 配置变量参数。 将“D:\EasyRSA-3.1.7”目录下的“vars.example”文件复制到“D:\EasyRSA-3.1.7\pki”目录下。 将“D:\EasyRSA-3.1.7\pki”目录下的“vars.example”重命名为“vars”。 默认按“vars.example”中描述的参数值进行配置。如需自定义参数值，按需设置“vars”文件的参数值。 执行以下命令，生成CA证书。 ./easyrsa build-ca nopass 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .....+..+.............+......+........+...+...+....+++++++++++++++++++++++++++++++++++++++*.+.+.....+..........+............+...+++++++++++++++++++++++++++++++++++++++*............+.....+......+...+....+..+..........+.....+....+...............+..+.........+.............+......+..+...+....+..+.+.........+.....+.........+....+............+...+...+.....+........................+...+.+.....+....+...+.........+...+...+...+.....+......+........................++++++ .+++++++++++++++++++++++++++++++++++++++*.........+..........+++++++++++++++++++++++++++++++++++++++*.+......++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn.com # 设置CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7/pki/ca.crt EasyRSA Shell # 查看CA证书及其私钥。 生成的CA证书默认存放在“D:\EasyRSA-3.1.7\pki”目录下。 本示例中生成的证书为“ca.crt”。 生成的CA私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“ca.key”。 执行以下命令，生成服务端证书及其私钥。 ./easyrsa build-server-full p2cserver.com nopass 此命令中，“p2cserver.com”为服务端证书的CN，必须是域名格式，如“p2c-server.com”。否则无法正常托管到 云证书管理 服务,请根据实际填写。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+............+........+............+............+.+...............+.....+....+....................+............+.+..+......+............+....+.........+..+.........+.+.........+..............+.........+++++++++++++++++++++++++++++++++++++++*...+......+.....+......+...+++++++++++++++++++++++++++++++++++++++*..+...+..........+......+...........+....+......+.....+....+.....+....+........+...+.......+...+..+.......+..+......+.............+..+....+......+...+.....+................+......+..+.............+..+................+.....+......+....+...........+....+.....+.........+.+..+.............+...........+..........+......+........+............+...+....+..+......+......................+.....+......+.+...+..+...+.+......+........+...+....+.....+......+....+...+..+................+..+...+.......+..+......+..........+.........+...+..+.........+......+......++++++ ........+.+......+...+......+.....+...+.+.....+.+........+......+++++++++++++++++++++++++++++++++++++++*...+.....+...+.+.........+......+........+++++++++++++++++++++++++++++++++++++++*......+........+.+...+.....+.+..............+.+.....+.+...+...+.....+.......+.................+.+............+..+......+...+....+...+..+.+.....+.....................+.+..+.+...................................+....+........+.............+.....+....+.....+...+..........+........+.+.....+...+.............+........+....+......+.....+.......+..+............+.........+.+......+...+...............+......+...........+............+.......+...........+.......+...............+......+.................+...+.+...+..+...+.+..........................+.+.........+......+............+..+....+..+....+........+.......+........+...+...+.+...+...+..+...............+...+..........+..+.......+.........+.....+.........+................+......+...+......+.....+.......+...+..............+.+.....+.+...+...........+.+...+...+...+............+..+.......+...........+.......+...+...+...........+.....................+...+....+...........+............+...+......+..........+........+.+.....+....+.....+.+..+..........+..............+...+......+.+...+...........+.+......+...++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7/pki/reqs/p2cserver.com.req * key: D:/EasyRSA-3.1.7/pki/private/p2cserver.com.key You are about to sign the following certificate: Request subject, to be signed as a server certificate for '825' days: subject= commonName = p2cserver.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes # 输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cserver.com' Certificate is to be certified until Sep 22 09:56:54 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7/pki/issued/p2cserver.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7/pki/inline/p2cserver.com.inline EasyRSA Shell # 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的服务端证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的服务端私钥为“p2cserver.com.key”。 执行以下命令，生成客户端证书及其私钥。 ./easyrsa build-client-full p2cclient.com nopass 此命令中，客户端证书的命名（如“p2cclient.com”）应与服务端证书的命名（如“p2cserver.com”）不一致。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .......+++++++++++++++++++++++++++++++++++++++*...+...+...+.....+...+....+......+......+........+.+.....+............+++++++++++++++++++++++++++++++++++++++*.+.....+.+.....+.........+.......+..+...+.......+...+..+......+.+......+........+....+...+...+..+.......+......+.....+..........+...........+....+......+.....+.........+......+.+..+...+..........+........+......+....+......+...........+.......+.....+.............+..+.+...........+..........+...+..+.........+......+.+........+.........+.+...............+..+..........+...+............+...+.....+.+...........+....+.....+.........+....+.......................+....+...+..+....+..+.......+...+............+.....+............+.+........+.......+.....+....+.........+..+............+..........+..+.............+...+...+..++++++ ..+.....+.......+.....+.........+....+++++++++++++++++++++++++++++++++++++++*.....+......+..+++++++++++++++++++++++++++++++++++++++*.......+.+.....+....+.........+...+.....+.........+...+...............+...+....+.....+.+...+......+......+...+.........+..+...+...+....+.........+..+...+...................+......+.....+.+...+...+.........+.....+..................+...+...+......+.+..+......+.+......+.....+...+..........+..+............+.......+.........+.....+......+.+..+............+................+..+...+....+......+.....+...+....+..+......+.........+.........++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7/pki/reqs/p2cclient.com.req * key: D:/EasyRSA-3.1.7/pki/private/p2cclient.com.key You are about to sign the following certificate: Request subject, to be signed as a client certificate for '825' days: subject= commonName = p2cclient.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes # 输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cclient.com' Certificate is to be certified until Sep 22 09:58:26 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7/pki/issued/p2cclient.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7/pki/inline/p2cclient.com.inline EasyRSA Shell # 查看客户端证书及其私钥。 生成的客户端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的客户端证书为“p2cclient.com.crt”。 生成的客户端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的客户端私钥为“p2cclient.com.key”。

SDK列表 表1 KMS-SDK列表、表2 KPS-SDK列表、表3 CS MS-SDK列表提供了 数据加密 服务支持的SDK列表，您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 如果无法正常打开GitHub仓库，请检查您所使用的网络是否可以正常访问公网。由于GitHub的服务器部署在国外，国内用户访问时容易遇到无法打开的情况，请切换网络后再尝试打开。 表1 KMS-SDK列表 编程语言 Github地址 参考文档 安装方式 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Java SDK安装指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Python SDK安装指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导 Go SDK安装指导 .NET huaweicloud-sdk-net-v3 .Net SDK使用指导 .NET SDK安装指导 NodeJs huaweicloud-sdk-nodejs-v3 NodeJs SDK使用指导 NodeJs SDK安装指导 PHP huaweicloud-sdk-php-v3 PHP SDK使用指导 PHP SDK安装指导 C++ huaweicloud-sdk-cpp-v3 C++ SDK使用指导 C++ SDK安装指导 表2 KPS-SDK列表 编程语言 Github地址 参考文档 安装方式 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Java SDK安装指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Python SDK安装指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导 Go SDK安装指导 .NET huaweicloud-sdk-net-v3 .Net SDK使用指导 .NET SDK安装指导 NodeJs huaweicloud-sdk-nodejs-v3 NodeJs SDK使用指导 NodeJs SDK安装指导 PHP huaweicloud-sdk-php-v3 PHP SDK使用指导 PHP SDK安装指导 表3 C SMS -SDK列表 编程语言 Github地址 参考文档 安装方式 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Java SDK安装指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Python SDK安装指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导 Go SDK安装指导 .NET huaweicloud-sdk-net-v3 .Net SDK使用指导 .NET SDK安装指导 NodeJs huaweicloud-sdk-nodejs-v3 NodeJs SDK使用指导 NodeJs SDK安装指导 PHP huaweicloud-sdk-php-v3 PHP SDK使用指导 PHP SDK安装指导 C++ huaweicloud-sdk-cpp-v3 C++ SDK使用指导 C++ SDK安装指导

常见配置问题及解决方案 PSK不一致：单独更新预共享密钥会在下一次IKE协商时生效，最长等待一个IKE的生命周期，须确认两端更新密钥一致。 协商策略不一致：请仔细排查IKE中的认证算法、加密算法、版本、DH组、协商模式和IPsec中的认证算法、加密算法、封装格式、PFS算法，特别注意PFS和云下配置一致，部分设备默认关闭了PFS配置。 感兴趣流：两端ACL配置不互为镜像，特别注意云下的ACL配置不能采用地址组名称，要使用真实的IP地址+掩码。 NAT配置：云下子网访问云上子网配置为NONAT，云下公网IP不能被二次NAT为设备的接口IP。 安全策略：放行云下子网访问云上子网的所有协议，放行两个公网IP间的ESP、AH及UDP的500和4500端口。 路由配置：添加访问云上子网的出接口路由为隧道接口或IPsec协商出口，注意出接口的下一跳ARP解析要可达。 更多故障排除案例请详细查看连接故障或无法PING通。 父主题： 站点入云VPN经典版

检查防火墙路由表 确认存在目标地址为华为云VPC子网的路由信息： 确认配置去往华为云目标网络的路由信息，路由表或VPN路由表中存在路由信息。 确认路由转发表状态正常。 路由易错配置： 目的网段与华为云VPC网段不一致，导致前往华为云的流量无法路由到配置IPsec策略的公网口。 配置静态路由时指定出接口，而非指定下一跳。 在ethernet类型的网络中，出接口会因为无法学习到对端的ARP信息而导致路由转发失败。 将路由的下一跳地址指定为华为云端的VPN网关地址。 部分友商设备会因为路由信息无法自动迭代而不可行；由于VPN流量是要从公网口发出的，因此下一跳地址必须是运营商提供的网关地址。

故障现象 连接时报错，无法正常连接，客户端日志中记录如下错误： OPTIONS ERROR:failed to negotiate cipher with server.Add the server's cipher('AES-XXX-GCM') to --data-ciphers(currently 'AES-XXX-GCM ') if you want to connect to this server. # AES-XXX-GCM为配置的加密算法，请根据实际配置判断

处理步骤 检查OpenVpn网络适配器。 按Win+R键，输入devmgmt.msc，按回车，打开“设备管理器”。 选择“网络适配器”，找到“TAP-Windows Adapter V9 for OpenVPN Connect”和“OpenVPN Data Channel Offload”。如图 设备管理器所示。 图1 设备管理器 右键单击“属性”，查看设备状态是否运转正常。如图 查看设备状态所示。 图2 查看设备状态 如果运转不正常，需要卸载OpenVPN Connect，重新安装。 检查"agent_ovpnconnect"服务是否正常运行。 在开始菜单栏中输入“任务管理器”，单击打开。 单击“服务”，找到“agent_ovpnconnect”服务。 如果该服务状态为“已停止”，右键单击“开始”。如图 任务管理器所示。 图3 任务管理器 使用客户端重新连接。 按Win+R，输入cmd，打开命令窗口。 [/topic/body/section/ol/li/styler {""}) 执行以下命令，验证连通性。 (styler] [/topic/body/section/ol/li/p/ph/styler {""}) ping XX.XX.XX.XX (styler] XX.XX.XX.XX为想要连接的ECS私网IP，请根据实际替换。 回显如下信息，表示网络已通。 64 bytes from XX.XX.XX.XX: icmp_seq=1 ttl=63 time=1.27 ms 64 bytes from XX.XX.XX.XX: icmp_seq=2 ttl=63 time=1.36 ms 64 bytes from XX.XX.XX.XX: icmp_seq=3 ttl=63 time=1.40 ms 64 bytes from XX.XX.XX.XX: icmp_seq=4 ttl=63 time=1.29 ms 64 bytes from XX.XX.XX.XX: icmp_seq=5 ttl=63 time=1.35 ms 64 bytes from XX.XX.XX.XX: icmp_seq=6 ttl=63 time=1.52 ms

处理步骤 确认客户端设备和ECS的访问控制策略是否禁止ping探测。 如果禁止，请修改策略放通ping探测。Windows操作系统还需要修改防火墙的入站规则，允许ICMPv4-In。 确认ECS安全组的出方向和入方向规则都放通ICMP。 确认本端网段包含需要访问的ECS的私网IP地址。 在VPN网关的“服务端”页签中修改本端网段。 断开客户端连接，重新接入。 查看客户端设备是否可以接收到VPN网关推送的路由。 Windows：使用route print命令。 Linux：使用ip route show all命令。 确认用户管理中已经配置用户所属用户组和访问策略。 访问策略的目的网段中需要包含被访问的ECS的私网IP地址。 服务端配置的本端网段和客户端地址池需要符合以下规则。 本端网段为192.168.1.XX。 客户端地址池为172.16.0.0。 在客户端系统上查看本端网段对应的路由是否生成。 如果生成对应的路由，客户端分配到的IP为172.16.0.5。 回显信息如下： IPv4 路由表 =========================================================================== 活动路由: 网络目标 网络掩码 网关 接口 跃点数 192.168.1.XX 255.255.255.0 172.16.0.0 172.16.0.5 281 192.168.2.XX 255.255.255.0 172.16.0.0 172.16.0.5 281 192.168.3.XX 255.255.255.0 172.16.0.0 172.16.0.5 281 =========================================================================== 如果未生成对应的路由，请断开客户端连接，重新接入。 如果上述操作仍然无法解决客户端登录问题，请提交工单联系华为工程师。

处理步骤 在Windows系统，以记事本或Notepad++打开“client_config.conf”文件。 注释“disable-dco”。 按Ctrl+F定位“disable-dco”参数的所在位置。 在参数所在行前输入#注释该行信息。 ..... ..... # disable-dco ..... ..... 保存conf配置文件。 将conf配置文件用Xftp文件传输工具上传到Linux系统。本示例中上传至“/opt/”目录下。 在Linux系统，执行以下命令，进入客户端配置文件所在目录。 cd /opt/ 执行以下命令，启动OpenVPN客户端并连接VPN网关。 openvpn --config /opt/openvpn_config_user-01.conf 回显如下粗体信息，表示OpenVPN连接建立成功。 2025-02-27 19:22:41 Note: Kernel support for ovpn-dco missing, disabling data channel offload. 2025-02-27 19:22:41 OpenVPN 2.6.12 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO] 2025-02-27 19:22:41 library versions: OpenSSL 3.3.1 4 Jun 2024, LZO 2.10 ...... ...... ...... 2025-02-27 19:22:42 Initialization Sequence Completed ...... ...... [/topic/body/section/ol/li/styler {""}) 执行以下命令，验证连通性。 (styler] [/topic/body/section/ol/li/p/ph/styler {""}) ping XX.XX.XX.XX (styler] XX.XX.XX.XX为想要连接的ECS私网IP，请根据实际替换。 回显如下信息，表示网络已通。 64 bytes from XX.XX.XX.XX: icmp_seq=1 ttl=63 time=1.27 ms 64 bytes from XX.XX.XX.XX: icmp_seq=2 ttl=63 time=1.36 ms 64 bytes from XX.XX.XX.XX: icmp_seq=3 ttl=63 time=1.40 ms 64 bytes from XX.XX.XX.XX: icmp_seq=4 ttl=63 time=1.29 ms 64 bytes from XX.XX.XX.XX: icmp_seq=5 ttl=63 time=1.35 ms 64 bytes from XX.XX.XX.XX: icmp_seq=6 ttl=63 time=1.52 ms

场景描述 由于业务发展，企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接，实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，推荐VPN网关使用双活模式，组网如图 双活模式所示。 双活模式下，如果连接1链路故障，流量自动切换至连接2进行传输，企业业务不受影响。 图1 双活模式 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，推荐VPN网关使用主备模式，组网如图 主备模式所示。 主备模式下，连接1和连接2互为主备，主链路为连接1，备链路为连接2。默认情况下流量仅通过主链路进行传输，如果主链路故障，流量自动切换至备链路进行传输，企业业务不受影响；主链路恢复正常后，VPN回切至主链路进行数据交互。 图2 主备模式

操作流程 通过VPN实现数据中心和VPC互通的操作流程如图3所示。 图3 操作流程 表2 操作流程说明 序号 步骤 说明 1 步骤一：创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 步骤二：创建对端网关 添加数据中心的VPN设备为对端网关。 3 步骤三：创建VPN连接 VPN网关的主EIP、主EIP2和对端网关组建两条VPN连接。 连接2的连接模式、预共享密钥、IKE/IPsec策略需要和连接1的配置保持一致。 4 步骤四：配置对端网关设备 对端网关配置的本端隧道接口地址/对端隧道接口地址需要和华为云VPN连接配置互为镜像配置。 对端网关配置的连接模式、预共享密钥、IKE/IPsec策略需要和华为云VPN连接配置保持一致。 5 步骤五：验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：11.xx.xx.11 主EIP2：11.xx.xx.12 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 数据中心 待互通子网 172.16.0.0/16 对端网关 网关IP地址 网关IP地址由运营商统一分配。本示例假设网关IP地址如下： 22.xx.xx.22

配置对端设备 配置对端设备详细请参见《 虚拟专用网络 管理员指南》，该指南可以帮助您配置本地的VPN设备，实现您本地网络与华为云VPC子网的互联互通。 详细配置示例可参见： 示例：HUAWEI USG6600配置 示例：Fortinet飞塔防火墙VPN配置 示例：深信服防火墙配置 示例：使用TheGreenBow IPsec VPN Client配置云上云下互通 示例：使用Openswan配置云上云下互通 示例：使用strongSwan配置云上云下互通 父主题： 通过站点入云VPN经典版实现数据中心和VPC互通

简单的IPsec VPN内网对连拓扑说明 如图1所示，假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 支持点到点VPN（Site-to-Site VPN），可实现VPC子网和用户数据中心局域网互访。在建立IPsec VPN前，请确认拟开通VPN的用户数据中心满足以下3个条件： 用户数据中心有支持标准IPsec协议的设备。 上述设备可以分配独立的公网IP（NAT IP也支持）。 VPC子网和用户数据中心子网不冲突，用户数据中心子网到上述设备可达。 满足以上条件后，配置IPsec VPN时，需要保证两端IKE策略以及IPsec策略配置一致，两端子网互为镜像。 配置完成后，需要通过私网数据流触发VPN协商。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 最大连接数 10 EIP地址 EIP地址在购买EIP时由系统自动生成。 本示例假设EIP地址生成如下：11.xx.xx.11 服务端 本端网段 192.168.1.0/24 服务端证书 cert-server（使用云证书管理服务托管的服务端证书名称） SSL参数 协议：TCP 端口：443 加密算法：AES-128-GCM 认证算法：SHA256 是否压缩：否 客户端 客户端网段 172.16.0.0/16 客户端认证类型 默认选择“口令认证（本地）”。 用户组 名称：Testgroup_01 用户 名称：Test_01 密码：请根据实际配置 所属用户组：Testgroup_01 访问策略 名称：Policy_01 目的网段：192.168.1.0/24 用户组：Testgroup_01

操作流程 通过VPN实现客户端远程接入VPC的操作流程如图 操作流程所示。 图1 操作流程 表2 操作流程说明 序号 步骤 说明 1 步骤一：创建VPN网关 VPN网关需要绑定EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 步骤二：配置服务端 指定客户端需要访问的网段（本端网段）和客户端访问时使用的网段（客户端网段）。 选择服务端证书和客户端认证类型，用于建立VPN连接时的身份认证。 客户端认证类型支持“证书认证”和“口令认证（本地）”两种方式。 配置VPN连接的SSL参数（协议、端口、认证算法、加密算法等）。 3 步骤三：配置客户端 从管理控制台下载客户端配置，对配置文件进行修改后导入对应的VPN客户端软件。 4 步骤四：验证连通性 打开客户端设备的命令行窗口，执行ping命令，验证连通性。

ModelArts Studio（MaaS）调优数据集异常日志说明 调优任务创建后，状态显示为“运行失败”，报错“ModelArts.6001:Unknown error, please contact the operation and maintenance personnel or check the log to locate the specific problem.”，您可以参照下表对日志进行定位。 表1 数据集格式异常 控制台选择格式（预期格式） 实际格式 关键日志 MOSS Alpaca KeyError: 'chat' ShareGPT KeyError: 'chat' Alpaca MOSS KeyError: 'instruction' Alpaca增量预训练 KeyError: 'instruction' ShareGPT KeyError: 'instruction' ShareGPT MOSS KeyError: 'conversations' Alpaca KeyError: 'conversations' Alpaca增量预训练格式 普通的Alpaca KeyError: 'text' MOSS KeyError: 'text' ShareGPT KeyError: 'text' 表2 csv/xlsx数据集格式异常 训练类型 实际格式 关键日志 调优 增量预训练（csv/xlsx） ValueError: The columns must be arranged like [conversation_id,human,assistant]. ValueError: The columns of lora must be arranged like ["conversation_id", "human", "assistant"]. ValueError: The columns of sft must be arranged like ["conversation_id", "human", "assistant"]. 增量预训练 调优（csv/xlsx） ValueError: The columns of pretrain must be arranged like ["conversation_id", "text"]. 对于csv、xlsx文件，平台会根据训练类型的不同，将其转为Alpaca格式或MOSS格式，选择预期的数据类型无效。 父主题： ModelArts Studio（MaaS）

Atlas 800训练服务器的网卡配置问题 机头网卡配置是什么？ 有以下两类网卡： 四个2*100GE网卡，为RoCE网卡，插在NPU板。 一个4*25GE/10GE，为Hi1822网卡，插在主板上的。 ifconfig能看到的网卡信息吗 能看到主板上的网卡信息，即VPC分配的私有IP。如果要看RoCE网卡的命令需要执行“hccn_tools”命令查看，参考Atlas 800 训练服务器 1.0.11 HCCN Tool接口参考中的指导。 NPU上的网卡在哪里可以看到， 会健康检查吗？ 8*NPU的网卡为机头上配置的四个2*100GE网卡。华为云有网卡健康状态监控机制。

Linux操作系统 获取登录密码 鉴权方式为SSH密钥对：使用创建时选择的密钥。如果您的私钥文件丢失了，建议您开启数据加密服务，重新设置密钥对。参考链接：重置密钥对 鉴权方式为密码：使用创建时设置的密码。如果您忘记了密码，可以进行密码重置。参考链接：重置裸金属服务器密码 确保裸金属服务器绑定弹性公网IP（远程登录方式不需要） SSH密钥方式、用户名和密码方式登录裸金属服务器时，需要绑定弹性公网IP。 参考链接：绑定弹性公网IP至服务器

密钥所有者和接受者权限说明 密钥所有者可以对密钥执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 密钥接受者支持的操作列表所示。 表1 密钥接受者支持的操作列表 角色 支持的操作 操作说明 接受者 kms:cmk:get 通过控制台或API进行访问 kms:cmk:createDataKey 仅能通过API访问 kms:cmk:createDataKeyWithoutPlaintext 仅能通过API访问 kms:cmk:encryptDataKey 仅能通过API访问 kms:cmk:decryptDataKey 仅能通过API访问 kms:cmk:encryptData 通过控制台或API进行访问 kms:cmk:decryptData 通过控制台或API进行访问 kms:cmk:sign 仅能通过API访问 kms:cmk:verify 仅能通过API访问 kms:cmk:generateMac 仅能通过API访问 kms:cmk:verifyMac 仅能通过API访问 kms:cmk:getPublicKey 通过控制台或API进行访问 kms:cmk:getRotation 通过控制台或API进行访问 kms:cmk:getTags 通过控制台或API进行访问

名词解释 Flexus云服务器X实例：Flexus云服务器X实例是新一代面向中小企业和开发者打造的柔性算力云服务器。Flexus云服务器X实例功能接近ECS， 同时还具备独有特点，例如Flexus云服务器X实例具有更灵活的vCPU内存配比、支持热变配不中断业务变更规格、支持性能模式等。 弹性云服务器 ECS：是一种云上可随时自助获取、可弹性伸缩的计算服务，可帮助您打造安全、可靠、灵活、高效的应用环境。 虚拟私有云 VPC：是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以基于VPC构建独立的云上网络空间，配合弹性公网IP、云连接、云专线等服务实现与Internet、云内私网、跨云私网互通，帮您打造可靠、稳定、高效的专属云上网络。 弹性公网IP EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑，提供访问公网和被公网访问能力。

使用步骤 登录Flexus云服务器X实例控制台，选择部署本方案创建的服务器，单击远程登录。 图1 选择远程登录 选择使用CloudShell登录，在连接配置页面输入云服务器的密码，单击“连接”（部分区域不支持CloudShell，请使用VNC登录）。 图2 选择CloudShell登录 图3 配置连接信息 在部署成功的登录Flexus云服务器X实例上执行以下命令查询有哪些模型文件可供分发。 curl http://127.0.0.1/api/fetch/models | jq 图4 查询可用模型文件 执行命令创建模型文件同步任务。 curl -XPOST http://127.0.0.1/api/task?modelName=${模型名称} 图5 创建任务 查看任务状态。 curl http://127.0.0.1/api/task | jq 图6 任务状态 待任务状态为“FINISHED”即代表模型权重文件同步成功。 图7 任务完成 登录OBS控制台，查看该解决方案创建的OBS桶，可以看到模型权重文件已同步成功。 图8 同步成功

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

操作步骤 登录华为云解决方案实践，选择“OBS极速同步模型权重文件”，支持区域下拉选择部署的区域（以北京四为例），单击“一键部署”，跳转至解决方案创建资源栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考“表1 参数填写说明”完成自定义参数填写，部分参数会自动默认填充参数值。如需修改请在参数配置页面删除文本框内的默认值后填写新的参数值，所有参数填写完成后方可单击“下一步”。 图3 配置参数 表1 参数填写说明 参数名称 类型 是否可选 参数解释 默认值 vpc_name string 必填 虚拟私有云名称，该模板使用新建VPC，不允许重名。取值范围：1-54个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 replicating-model-files-across-obs-buckets-demo security_group_name string 必填 安全组名称，该模板新建安全组，请参考安全组规则修改进行配置。取值范围：1-64个字符，支持字母、数字、中文、下划线（_）、中划线（-）、英文句号（.）。 replicating-model-files-across-obs-buckets-demo bucket_name string 必填 OBS桶名称，全局唯一，用于存储大模型权重文件。取值范围：3-63个字符，支持小写字母、数字、中划线（-）、英文句号（.），禁止以中划线（-）或英文句号（.）开头及结尾。 空（全局唯一，需要自定义） access_key_id string 必填 访问密钥ID（AK）,识别访问用户的身份，取值范围：20，仅支持大写字母和数字，用于OBS obsutil工具环境初始化。详见 如何获取访问密钥AK/SK。 空 secret_access_key string 必填 秘密访问密钥（SK）,对请求数据进行签名验证，取值范围：40，仅支持大小写字母和数字，用于OBS obsutil工具环境初始化。详见如何获取访问密钥AK/SK。 空 ecs_name string 必填 云服务器名称，不支持重名。取值范围：1-64个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 replicating-model-files-across-obs-buckets-demo ecs_flavor string 必填 华为云Flexus 云服务器X实例规格。华为云Flexus 云服务器X实例规格。可选值：x1e.2u.2g（传输速率250MB/s）、x1e.4u.4g（传输速率350MB/s）、x1e.8u.8g（传输速率750MB/s）、x1e.12u.12g（传输速率950MB/s）、x1e.16u.16g（传输速率1.45GB/s）。Flexus 云服务器X实例规格ID命名规则为x1e.?u.?g，例如2vCPUs4GiB规格ID为x1.4u.4g，具体华为云Flexus 云服务器X实例规格请参考控制台。 x1e.4u.4g ecs_password string 必填 云服务器密码，长度为8-26位，密码至少必须包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{}]:,./?）中的三种。管理员账户默认root。 空 charging_mode string 必填 云服务器计费模式，默认自动扣费，可选值为：postPaid（按需计费）、prePaid（包年包月）。 postPaid charging_unit string 必填 云服务器订购周期类型，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：month（月），year（年）。 month charging_period number 必填 云服务器订购周期，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：charging_unit=month（周期类型为月）时，取值为1-9；charging_unit=year（周期类型为年）时，取值为1-3。 1 （可选，如果使用华为主账号或admin用户组下的 IAM 子账户可不选委托）在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考资源和成本规划）请及时登录费用中心，手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”，堆栈部署成功，表示顺利完成资源的下发和部署。堆栈部署成功后，耐心等待5分钟左右（受网络波动影响）。 图9 部署完成

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步”完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表