华为云用户手册

hashtag用法示例 当如下操作时： EVAL "redis.call('set',KEYS[1],ARGV[1]) redis.call('set',KEYS[2],ARGV[2])" 2 key1 key2 value1 value2 出现以下报错： ERR 'key1' and 'key2' not in the same slot 可通过hashtag进行解决： EVAL "redis.call('set',KEYS[1],ARGV[1]) redis.call('set',KEYS[2],ARGV[2])" 2 {user}key1 {user}key2 value1 value2

Redis主备节点的数据如何同步？ 一般情况下，Redis主节点数据更新后会自动复制到关联的备节点。但由于Redis异步复制的技术，特殊情况下，备节点更新可能会落后于主节点。例如，当主节点的I/O写入速度超过了备节点的同步速度，或者因异常原因导致主节点和备节点数据同步网络延迟，使得备节点与主节点存在滞后或者部分数据不一致，若此时进行主备切换，未及时完成同步的少量数据可能会丢失。 父主题： 主备倒换

步骤二：登录OrgID 成员访问OrgID。 输入管理式华为账号的账号名和密码。管理式华为账号登录仅支持输入账号名（xxxx@ 域名 ），首次登录需修改密码。 单击“登录”。成功登录后，根据账号的权限不同，界面的呈现和可执行的操作不同，具体如下： 组织管理员：登录后显示用户中心，可切换至组织的管理中心，除不能进行创建组织和解散组织的操作外，其余权限与组织创建者一致。 部门管理员：登录后显示用户中心，可切换至组织的管理中心，拥有查看组织信息、管理成员部门、管理应用的操作权限。 普通用户：登录后只能访问组织的用户中心，具体请参见用户中心介绍。

账号概念 OrgID使用账号分为个人华为账号、管理式华为账号和第三方认证源账号。 个人华为账号：是由个人在华为集团账号系统申请获得，包括使用终端设备、华为云渠道、消费者应用等获取。该类账号归属于个人，可以通过邀请方式加入组织，也可以自己开通OrgID并创建组织。 管理式华为账号：是由组织的管理员创建生成，该类账号只归属于本组织所有，不可以加入其他组织。 第三方认证源账号：是指登录认证由第三方认证源提供，鉴权认证通过后，将登录OrgID进行后续业务操作，具体支持的认证源及认证操作请参见认证源管理。 管理式华为账号归属于组织，个人华为账号归属于个人，这两种账号在使用中是有区分的。管理员可以为管理式账号重置密码，但无法为个人账号重置密码。

操作步骤 访问OrgID。 输入个人华为账号和密码，可以输入账号名、手机号码或者邮箱地址。 单击“登录”，成功登录后显示OrgID首页。 图1 OrgID首页 首次登录后显示OrgID管理控制台，后续登录默认进入最近访问的OrgID组织用户中心。如果进入用户中心，管理员可以在右上角账号名的下拉列表中切换组织，进入管理控制台。 在OrgID管理控制台界面，您可以进行以下操作。 单击组织名称，进入该组织的用户中心首页，在账号的下拉菜单中选择管理中心。在管理中心您可以管理该组织，具体请参见管理中心介绍。 单击“创建组织”，您可以创建新的组织，具体操作请参见创建组织。

开启/关闭认证源 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“登录配置”，进入“登录配置”页签。 在“认证方式”模块，开启/关闭指定认证源操作列的开关即可。最多可以开启3个认证源，例如可以同时开启钉钉和2个OAuth认证源。根据开启的认证源类型不同，界面操作不同，具体如下： 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，最多可关联3个，单击“保存”，界面提示“保存成功”即成功开启。 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用。

用户中心首页介绍 在用户中心首页，您可以查看组织已有权限的全部应用及最近使用应用、查看我的申请和我的审批、查看登录登出日志或退出登录等操作。 图2 用户中心首页 用户中心首页主要包含以下部分： 最近使用：展示您近期使用的应用，可单击应用直接免登录访问应用。 全部应用：展示组织的所有应用，可单击应用直接免登录访问应用。 我的申请：展示我的申请记录，可查看详情，也可在详情页撤回未审批的申请。 我的审批：展示需要审批的权限申请记录，可通过或驳回对应申请。 申请权限：可单击“申请权限”，进入权限管理页面申请其他权限。 登录登出日志：展示您的登录登出日志详情，包括时间、操作者、操作类型和IP地址。 账号的下拉菜单：可查看我的权限、账号信息，也支持退出登录。

更多操作 用户组新建成功后，您还可以进行以下操作。 表1 用户组管理 操作名称 操作步骤 编辑用户组 单击待编辑用户组所在行“操作”列下的“编辑”。 仅限普通类型用户组可编辑，联邦认证的安全类型用户组不可编辑。 修改用户组信息，单击“确认”。 添加成员 单击待添加成员用户组所在行“操作”列下的“添加成员”。 勾选需要添加的成员，单击“确认”。 删除用户组 单击待删除用户组所在行“操作”列下的“删除”。 仅限普通类型用户组可删除，联邦认证的安全类型用户组不可删除。 单击“确认”。

登录用户中心 访问OrgID。 输入账号名和密码，单击“登录”。 通过管理员手动添加组织成员的方式创建的账号，首次登录需要设置新密码，如图1所示。设置密码后，下次才可使用账号名密码登录。如忘记密码，请单击登录页面的“忘记密码”，并根据界面提示找回密码。 设置的密码需要满足以下规则： 至少8个字符。 至少包含字母和数字，不能包含空格。 图1 设置密码 阅读并同意“管理式华为账号服务协议”。 登录后进入组织的用户中心首页。

创建组织 登录OrgID管理控制台。 单击“创建组织”。 在“创建组织”页面，输入组织名称。 名称由1~60个中文、英文、数字及合法字符组成。 设置组织的域名。 域名是指网址 (如www.example.com) 中“www”之后的内容，以及电子邮件地址 （如《用户名》@example.com）中“@”符号之后的内容。 没有域名，可以输入组织简称，使用2~30位字母、数字和.-或它们的组合，如abc，后缀名为固定的.orgid.top，如图1所示。 图1 设置组织域名 已有域名，单击“使用自有域名”，输入自有域名，例如example.com，如图2所示。 图2 使用自有域名 域名设置后管理员为组织创建成员时，成员的管理式华为账号默认带有域名后缀，如设置的组织域名为abc.orgid.top，创建的成员账号为xxx@abc.orgid.top，设置的组织域名为example.com，创建的成员账号为xxx@example.com。 阅读并勾选相关服务协议，然后单击“创建”。 组织创建成功，您可以在控制台继续进行后续的组织管理操作。也可以在华为云OrgID控制台为组织开通联邦认证，开通联邦认证后，授权的用户可以通过联邦认证访问组织的华为云资源。

开通与使用流程 租户需要先在华为云开通OrgID服务，才能进一步登录并使用OrgID服务。OrgID的开通与使用流程如图1所示。 图1 开通与使用流程 开通OrgID： 登录华为云OrgID控制台：租户使用个人华为账号登录华为云OrgID控制台，如果没有个人华为账号请先 注册华为账号 并完成实名认证。 创建组织：单击“创建组织”，系统会判断是否是首次创建组织。 首次创建组织：需要申请加入OrgID白名单，加入白名单后阅读并同意服务声明，然后可以开始创建组织。 非首次创建组织：进入OrgID业务面开始创建组织。 使用OrgID： 在华为云OrgID控制台开通OrgID后，才能开始使用OrgID。 个人华为账号直接访问OrgID管理控制台，可以创建组织，并进入组织的管理中心进行组织管理等操作，相关操作请参见管理中心介绍。 登录华为云后可以免登录访问OrgID管理控制台进行组织管理等操作，相关操作请参见管理中心介绍。

使用账号 OrgID使用账号分为个人华为账号、管理式华为账号和第三方认证源账号。 个人华为账号：是由个人在华为集团账号系统申请获得，包括使用终端设备、华为云渠道、消费者应用等获取。该类账号归属于个人，可以通过邀请方式加入组织，也可以自己开通OrgID并创建组织。 管理式华为账号：是由组织的管理员创建生成，该类账号只归属于本组织所有，不可以加入其他组织。 第三方认证源账号：是指登录认证由第三方认证源提供，鉴权认证通过后，将登录OrgID进行后续业务操作，具体支持的认证源及认证操作请参见认证源管理。 管理式华为账号归属于组织，个人华为账号归属于个人。这两种账号在使用中是有区分的，管理员可以为管理式账号重置密码，但无法为个人账号重置密码。

使用对象 OrgID使用对象分为超级管理员、组织管理员、部门管理员和普通用户四种，不同对象的操作权限请参见常见操作与系统角色的关系。 超级管理员：是开通OrgID后拥有创建组织权限的用户。创建组织后，自动成为组织创建者，是组织内的超级管理员。 组织管理员：是超级管理员创建组织后在组织管理中心的“权限管理”页面添加为组织管理员的用户。 部门管理员：是超级管理员或组织管理员在组织管理中心的“权限管理”页面添加为部门管理员的用户。 普通用户：指具体使用OrgID的用户，由管理员在管理中心添加或邀请的用户。添加的用户会自动开通管理式华为账号，可登录并访问OrgID用户中心，邀请的用户账号也可以登录并访问OrgID用户中心。

配置访问控制策略 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“访问控制”，进入“访问控制”页签。 开启/关闭访问控制开关：在“基础设置”中开启/关闭访问控制开关即可。 开启后需配置默认策略，请参见步骤6。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 根据所需，修改、新增或删除策略。 修改策略：单击指定策略操作列的“编辑”，修改策略参数，参数说明如表1所示。 新增策略：单击“添加策略”，配置策略参数，参数说明如表1所示。 表1 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项，应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后，需先添加区域范围，包括设置区域名称、区域网段和描述信息。然后选择已添加的区域范围即可。 - 勾选访问策略。 允许访问：符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝：符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证：符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证，验证通过后即可访问该应用。 删除策略：单击指定策略操作列的“删除”，单击“确认”。 删除后，该策略的数据将被删除且不可恢复，请谨慎操作。

登录场景介绍 用户可以使用个人华为账号或管理式华为账号登录OrgID，用户可根据账号类型，选择不同的登录方式。另外，也支持个人华为账号、管理式华为账号或第三方认证源账号通过OrgID访问某个注册在OrgID的应用；或者登录OrgID后，在用户中心免登录访问应用列表中的应用或华为云服务。 表1 OrgID登录场景 登录场景 使用账号 操作步骤 操作说明 登录OrgID 个人华为账号 访问OrgID。 输入账号名和密码，账号名处也可以输入手机号码或者邮箱地址，单击“登录”。 首次登录后显示OrgID管理控制台，后续登录默认进入最近访问的OrgID组织用户中心。 登录后可以创建组织，具体请参见创建组织。创建完成后，该华为账号会自动成为该组织的超级管理员，拥有该组织的所有管理权限。可以访问该组织的用户中心，可切换至该组织的管理中心，并进行组织管理。 管理式华为账号 访问OrgID。 输入账号名和密码，仅支持输入账号名，单击“登录”。 成功登录后，根据账号的权限不同，界面的呈现和可执行的操作不同，具体如下： 组织管理员：登录后显示用户中心，可切换至组织的管理中心，除不能进行创建组织和解散组织的操作外，其余权限与组织创建者一致。 部门管理员：登录后显示用户中心，可切换至组织的管理中心，拥有查看组织信息、管理成员部门、管理应用的操作权限。 普通用户：登录后只能访问组织的用户中心，支持的操作可参见用户中心介绍。 通过OrgID访问某个注册在OrgID的应用 个人华为账号 管理式华为账号 通过管理员获取某个注册在OrgID的应用URL或者该应用的登录地址。 访问该地址，页面显示OrgID登录页。 输入账号名及密码，单击“登录”。 登录成功后，系统自动回调到应用首页，应用能够获取到用户授权的个人信息。 OrgID会给应用发放授权码，通过授权码，应用获取相关TOKEN，并根据TOKEN调用获取用户信息接口，获取的用户信息。 第三方认证源账号 使用第三方认证源账号登录OrgID前，需组织创建者或组织管理员在OrgID中配置第三方认证源，具体请参见认证源管理。 通过管理员获取某个注册在OrgID的应用URL或者该应用的登录地址。 访问该地址，页面显示OrgID登录页。 切换认证源，展示第三方认证源的登录页面。 输入第三方认证源账号名和密码，单击“登录”。 成功登录后显示应用首页。 免登录访问用户中心界面的应用或华为云服务 个人华为账号 管理式华为账号 第三方认证源账号 访问OrgID。 输入账号名及密码，单击“登录”。 成功登录后，进入用户中心首页。 单击最近使用或者全部应用中的应用/华为云服务，免登录进入该应用/华为云服务系统。 该应用/华为云服务会获取到用户授权的个人信息。 -

配置认证集成方式 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“认证集成”，进入“认证集成”页签。 根据选择的认证集成方式不同，需要配置不同的参数，参数说明如表1所示。配置完成后，单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址，例：https://xx.xx。 支持设置多个首页的URL地址，可单击“新建URL”，添加新的URL地址。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 授权码模式 可选项，是否开启授权码模式。 TOKEN签名算法 支持选择：RS256、RS384、RS512。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址(A CS URL) SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段，支持选择：邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项，SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项，允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 可选项，服务提供商提供会话注销功能，用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项，使用在IdP发起的认证中，作为默认的一个值。 支持ForceAuth 可选项，如果SP要求重新认证，则强制用户再次认证。 Response签名 可选项，是否对SAML Response使用IdP的证书签名。 断言签名 可选项，断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项，SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。 数字摘要算法 可选项，SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160，可在下拉框选择。 验证请求签名 可选项，是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 （可选）如果需要关联OrgID和自建应用的用户属性，可选择“映射配置”页签，单击“添加映射”，选择关联属性和映射属性，单击“确认”保存映射，单击“测试”，测试映射关系是否成立。 需要修改映射时，可单击操作列的“编辑”进行修改。

入门指引 当生产站点因为不可抗力因素（比如火灾、地震）或者设备故障（软、硬件破坏）导致应用在短时间内无法恢复时，异步复制功能可提供服务器级容灾保护。通过简单的配置，即可在容灾站点迅速恢复业务。 异步复制功能当前处于受限使用状态，请提交工单联系技术支持人员进行配置。 异步复制的配置流程如图1所示。 图1 流程图 搭建云上容灾专有网络 根据规划的容灾方案，在云上创建用于容灾的VPC和子网。 创建站点复制对，建立生产站点和容灾站点的复制关系 部署云容灾网关 云容灾网关将生产站点所有被容灾的服务器上的数据进行汇聚和压缩加密，并同步到容灾站点。 下载并安装代理客户端 代理客户端将所在服务器上的数据传输到云容灾网关。 创建保护实例 保护实例是一对拥有复制关系的服务器。系统会自动识别已安装代理客户端的生产站点服务器，选择需要进行容灾的生产站点服务器为其创建保护实例。保护实例创建成功后会自动开启保护，进行数据同步。 父主题： 异步复制（受限使用）

更多操作 部门添加成功后，您还可以进行以下操作。 表1 部门管理 操作名称 操作步骤 编辑部门 单击待修改部门所在行“操作”列下的“编辑部门”。 组织创建成功后，会默认生成一个一级部门，该一级部门不支持编辑。 修改部门信息，单击“更新”。 添加子部门 单击待添加子部门的部门所在行“操作”列下的“添加子部门”。 输入部门名称、设置部门CODE（可选），单击“确认”。 删除部门 单击待删除部门所在行“操作”列下的“删除”。 一级部门不支持删除。删除部门后，数据无法恢复，请谨慎操作。 单击“确认”。

配置同步集成信息 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“同步集成”，进入“同步集成”页签。 配置相关参数，参数说明如表1所示。 表1 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法，如：SHA256或SHA1。 SHA1安全强度不高，不建议使用。

配置流程 当生产站点因为不可抗力因素（比如火灾、地震）或者设备故障（软、硬件破坏）导致应用在短时间内无法恢复时，存储容灾服务可提供跨可用区RPO=0的服务器级容灾保护。采用存储层同步复制技术提供可用区间的容灾保护，满足数据崩溃一致性，当生产站点故障时，通过简单的配置，即可在容灾站点迅速恢复业务。 跨可用区的容灾配置流程如图1所示。 创建保护实例时默认已为生产站点和容灾站点服务器上的云硬盘创建复制对。 图1 流程图 父主题： 同步复制（只适用于存量经营）

操作场景 您可以为需要容灾的云服务器在指定的保护组下创建保护实例。在当前的生产站点遇到不可抗力导致大规模服务器故障时，您可以调用保护组的操作接口进行故障切换，从而确保保护实例上运行的业务正常连续。 为每一个需要复制的服务器挑选一个保护组，并创建一个保护实例。创建保护实例过程中，会在保护组的容灾站点创建对应的服务器和磁盘，服务器规格可根据需要进行选择，支持选择与生产站点服务器规格不同的容灾站点服务器创建保护实例，容灾站点磁盘规格与生产站点磁盘规格相同，且自动组成复制对。 保护实例创建后，容灾站点服务器处于关机状态。这些自动创建的资源（包含服务器、磁盘等）在切换或者故障切换前无法使用。 图1 创建保护实例

创建须知 如果生产站点服务器已经被添加到云服务器组中，则不支持指定专属主机创建容灾站点服务器。 保护实例创建完成后，系统默认容灾站点服务器名称与生产站点服务器名称相同，但ID不同。 如果需要修改服务器名称，请在保护实例详情页面单击服务器名称，进入服务器详情页面进行修改。 创建保护实例完成并对生产站点的服务器做容灾保护后，生产站点服务器中的“主机名”、“名称”、“委托”、“云服务器组”、“自动恢复”、“安全组”和“标签”配置项修改不会再自动同步到容灾站点的云服务器上。您可以登录控制台，手动将这些配置项的修改添加到容灾站点的云服务器上。 由弹性伸缩组伸缩时所创建的云服务器，在对该云服务器做容灾保护后，当弹性伸缩组缩容时，不支持对该云服务器执行删除操作。 创建保护实例时，如果生产站点服务器为Windows云服务器且设置为密钥方式登录，请确保生产站点服务器使用的密钥对存在，否则可能导致云平台无法创建容灾站点服务器，从而导致创建保护实例失败。 如果生产站点服务器对应的密钥对已被删除，请重新创建相同名称的密钥对。 创建保护实例时，如果生产站点服务器为Linux云服务器且设置为密钥方式登录，创建容灾站点服务器后，容灾站点服务器详情不显示密钥对信息，但可以使用生产站点服务器的密钥对登录容灾站点服务器。 创建保护实例时，选择的生产站点服务器如果加入了企业项目，保护实例创建成功后，容灾站点服务器不会自动加入企业项目，如有需要请手动将容灾站点服务器加入到企业项目。 SDRS不支持竞价实例作为生产站点。

操作步骤 在“创建保护实例”页面，根据界面提示配置保护实例的信息。参数说明表如表1所示 单击“下一步”。 进入容灾配置信息确认界面。 确认配置信息，单击“提交”。完成容灾配置，进入“异步复制”页面。 图1 创建保护实例 若完成代理客户端安装后，创建保护实例页面未显示待保护的生产站点服务器，可参见为什么创建保护实例时没有显示待保护的生产站点服务器？ 若未创建保护组，可以单击“创建保护组”创建新的保护组。 表1 参数说明 参数 说明 取值样例 生产站点服务器 选择需要保护的生产站点服务器，如果选择不到服务器，可能是由于agent没有部署成功。 为生产站点服务器的每块硬盘，对应选择容灾站点云硬盘的类型。 设置保护实例的名称。名称只能由中文字符、英文字母、数字、“_”、“-”和“.”组成，且不能有空格，长度不能大于64个字符。 - 保护组 为保护实例选择一个保护组。 首次创建保护实例或者当前的保护组不满足要求时，可以单击“创建保护组”创建新的保护组。 建议将某类业务相关的服务器放到一个保护组进行保护，可以对整个保护组进行开启保护、切换等操作。 protected-group-01

操作场景 虚拟私有云可以为您的容灾站点服务器提供隔离的、用户自主配置和管理的云上虚拟网络环境。 异步复制其实就是将本地主数据中心中需要容灾的服务器的数据，实时复制到云上用户的专有网络中。当本地数据中心发生重大故障时，可以将业务切换到云上VPC中运行容灾站点服务器上，从而保持业务的连续性。 创建云上专有网络时需要考虑的因素： 容灾区域 需要根据业务对容灾系统的实际要求进行选择，如生产站点和容灾站点间的物理距离、网络性能以及网络成本等因素来选择容灾区域，如业务要求生产站点和容灾站点间的物理距离不低于100KM，网络时延小于100ms，同时成本限制不能使用专线等。 本地数据中心和华为云VPC间的连接网络 公网：适用于数据变化量不大，且本地生产数据中心的系统无需频繁访问云上资源的场景。 VPN：适用于数据变化量不大，本地生产数据中心需要随时连接华为云VPC内业务的场景。如用户有部分业务部署在华为云，本地数据中心的业务当前就是通过VPN与云上的业务进行交互，进行异步复制时就可以使用该VPN连接。 云专线：针对数据量较大且应用较复杂的场景，通常需要根据业务的具体数据变化量进行规划。 VPC的网段 用于运行切换或者容灾演练时创建的ECS，如果需要保持切换或者容灾演练创建的ECS的IP地址和本地数据中心的生产站点服务器一致，可以将VPC的网段和本地生产数据中心的网段设置成相同的。业务切换或者容灾演练时，就可以保持服务器的IP地址不变，无需修改相关的配置。

虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性IP搭建业务系统。 分布式缓存服务运行于虚拟私有云，由虚拟私有云协助管理IP和带宽。虚拟私有云还具备安全组访问控制功能，通过绑定安全组并设置访问规则，可以增强访问分布式缓存服务的安全性。

操作步骤 创建弹性云服务器用于部署云容灾网关。 云容灾网关需单独部署，不能与代理客户端部署在相同服务器。 云容灾网关所在服务器的区域、可用区和vpc配置需要和生产站点服务器保持一致。 云容灾网关支持的最小规格为2U4G，建议选择8U16G及以上 安装和配置云容灾网关。 具体操作请参见安装云容灾网关及配置云容灾网关章节。 关联云容灾网关。 选择已经部署的云容灾网关，将站点复制对与云容灾网关关联起来。 若关联站点复制对与云容灾网关时找不到该网关，可参见为什么关联站点复制对与云容灾网关时找不到该网关? 单击“完成部署”。 完成云容灾网关的部署并进入“下载并安装代理客户端”界面。

数据复制 DCS的主备和集群实例支持部署高可用实例。租户可选择在单可用区或多可用区中部署实例。当租户选择跨AZ实例时，DCS实例会主动建立和维护Redis同步复制。在实例主节点故障的情况下，缓存实例会自动将备实例升为主节点，从而达到高可用的目的。如果租户使用缓存实例时，业务中读取数据比例大，可以选择4.0以上版本的读写分离实例或者集群多副本实例，缓存实例会自动维护主节点和多个备节点之间的数据同步复制，租户可以根据业务需要连接不同的地址进行读写分离。

网络隔离 VPC允许租户通过配置VPC入站IP范围，来控制连接缓存实例的IP地址段。DCS实例运行在租户独立的VPC内。租户可以创建一个跨可用区的子网组，之后可以根据业务需要，将部署DCS的高可用实例选择此子网完成，DCS在创建完实例后会为租户分配此子网的IP地址，用于缓存实例。DCS实例部署在租户VPC后，租户可通过VPN使其它VPC能够访问实例所在VPC，也可以在VPC内部创建ECS，通过私有IP连接缓存实例。租户可以综合运用子网、安全组、白名单等配置，来完成DCS实例的隔离，提升DCS实例的安全性。

访问控制 租户创建DCS实例时，可以选择配置安全组（仅Redis 3.0/Redis 6.0企业版/Memcached实例支持）或者白名单（仅Redis 4.0、Redis 5.0和Redis 6.0基础版支持）。 租户可以通过VPC，对DCS实例所在的安全组或白名单入站、出站规则进行限制，从而控制可以连接实例的网络范围。 配置安全组/白名单不需要重启实例。 租户创建DCS实例时，建议将访问方式设置为密码访问，并为实例设置访问密码，防止未经认证的客户端误操作实例，以达到对客户端进行认证访问的目的，提高实例使用的安全性。

传输和存储加密 Redis的传输协议RESP在Redis 6.0之前的版本仅支持明文传输。Redis 6.0基础版实例支持RESP3传输协议，支持SSL传输加密。 当前DCS实例在开启公网访问Redis 3.0时，支持基于Stunnel的客户端与服务端TLS加密传输。在开启公网访问时，指定的CA会为每个实例生成唯一的服务证书。客户端可以使用从服务控制台上下载的CA根证书，并在连接实例时提供该证书，对实例服务端进行认证并达到加密传输的目的。 由于需要兼容开源RESP协议，在未开启公网访问时，如果客户有传输加密诉求，建议在数据存储前使用加密算法进行加密后传输（例如AES 256等），并且控制在信任域内进行访问，加密后的数据在落盘保存时同样也会加密保存。