华为云用户手册

解决方案 针对需求一：华为云提供的企业管理服务能够实现团队之间的资源隔离。企业管理通过创建企业项目，隔离企业不同项目之间的资源，企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权。例如：将一台特定的E CS 添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。 针对需求二：华为云提供的 统一身份认证 服务能够对用户进行分组授权。配合使用企业管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建 IAM 用户并加入用户组，再将用户组添加至企业项目，并为各企业项目中的用户组授予相应的资源使用权限。 图1 人员&资源配置模型 本文中，产品团队使用软件开发生产线（CodeArts）进行版本迭代开发，版本包的部署使用弹性云服务器（ECS）。 财务组负责购买并分配资源，需要ECS、CodeArts控制台的管理员权限。 资源维护组负责环境资源ECS的日常维护，包括开关机、安装/切换操作系统等，需要ECS的普通用户权限。 研发管理组负责管理软件开发生产线中的人员配置，包括指定哪些成员可以在软件开发生产线中创建开发项目、管理项目角色，需要需求管理服务（CodeArts Req）的项目设置权限。 开发测试组需要将版本包部署到ECS上，赋予只读权限即可。由于IAM用户默认可以访问CodeArts产品页，且在IAM服务中暂无CodeArts访问相关配置，因此无需对开发测试组做CodeArts访问权限的配置。 表1 用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责购买开通项目开发所使用的云资源。 ECS FullAccess 弹性云服务器（ECS）的管理员权限。 DevCloud Console FullAccess 软件开发生产线（CodeArts）控制台管理员权限。 资源维护组 负责维护项目开发所需的环境资源。 ECS CommonOperations 弹性云服务器（ECS）的普通用户权限。 研发管理组 负责管理项目研发团队。 ProjectMan ConfigOperations 软件开发生产线项目设置的操作权限。 开发测试组 负责项目的开发测试。 ECS ReadOnlyAccess 弹性云服务器（ECS）的只读权限。 本文中使用到的环境资源为弹性云服务器。如需了解华为云所有云服务的系统权限，请参见：系统权限。 针对需求三：软件开发生产线中内置了多种项目角色，并提供自定义角色功能。在软件开发生产线中，可以为每个IAM用户设置角色，并对角色设置各项任务的操作权限。 本文中，在软件开发生产线中的操作主要涉及以下服务。在每个服务中，可以根据实际需要，为各角色设置权限。 表2 项目角色与操作 服务 说明 各角色在服务中的操作（表中未提到的角色默认为不在此服务中进行任何操作） 需求管理（CodeArts Req） 管理需求规划、工作项、迭代、报表、仪表盘、文档。 项目创建者/项目经理：新建项目、添加项目成员。新建/编辑/删除项目规划、迭代、工作项、报表、仪表盘、文档。 开发人员：查看项目规划、迭代、仪表盘，新建工作项、文档，编辑/删除自己名下的工作项、文档。 测试人员：查看项目规划、迭代、仪表盘，新建工作项、文档，编辑/删除自己名下的工作项、文档。 运维经理：查看项目规划、迭代、工作项、报表、仪表盘，新建/编辑/删除文档。 代码托管（CodeArts Repo） 源代码管理与开发。 项目创建者/项目经理：新建仓库、添加仓库成员。 开发人员：修改/提交代码。 测试人员：查看代码。 编译构建（CodeArts Build） 将代码编译打包成版本包。 开发人员：新建/编辑/执行/删除任务。 测试人员：执行/查看任务。 制品仓库（CodeArts Artifact） 版本包的存储与管理。 开发人员：上传/编辑/下载/删除版本包。 测试人员：查看/下载版本包。 运维经理：查看/下载版本包。 部署（CodeArts Deploy） 将版本包部署到ECS中。 开发人员：新建/编辑/执行/删除应用。 测试人员：编辑/执行应用。 运维经理：编辑/执行应用。 流水线（CodeArts Pipeline） 集成构建、部署等任务，实现项目的持续交付。 开发人员：新建/编辑/执行/删除自己名下的流水线。 测试人员：编辑/执行流水线。 运维经理：编辑/执行流水线。

企业需求场景 需求一：X公司有两个产品团队，分别负责项目A和项目B的开发。两个团队中的资源相互隔离，各自维护。公司有专门的财务部门，资源的购买与分配由财务部门统一管理。 需求二：每个产品团队包括多个小组，分别负责不同的资源管理。例如：资源维护组负责管理项目开发所需的环境资源，包括主机、集群等；研发管理组负责软件开发生产线中的人员配置；开发测试组负责使用软件开发生产线进行版本的迭代开发等。每个成员只能访问其所在团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求三：项目开发过程中，每种角色（例如开发人员、测试人员）能够有不同的操作权限，例如：开发人员可以修改代码、测试人员只能查看代码等。

修订记录 发布日期 修订记录 2023-06-12 第十次正式发布。 部署服务修改环境配置，增加主机器群管理。 2023-02-25 第九次正式发布。 代码托管更新UI。 部署增加环境配置。 2023-02-16 第八次正式发布。 CloudIDE服务更名为CodeArts IDE Online。 代码检查、流水线上线新版UI。 2022-12-07 第七次正式发布。 软件开发平台更名为软件开发生产线。 项目管理服务更名为需求管理。 2022-08-11 第六次正式发布。 根据产品新UI布局更新截图。 2022-06-30 第五次正式发布。 在“部署应用（云容器引擎）”章节中，根据CCE服务新UI更新“购买并配置CCE环境”说明。 在“释放资源”章节中，根据CCE服务新UI更新“删除集群”说明。 2022-06-10 第四次正式发布。 在“实践准备工作”章节中，增加“开通软件开发生产线”说明。 2021-10-10 第三次正式发布。 在“构建应用”章节中增加“配置基础依赖镜像”说明。 在“部署应用（云容器引擎）”章节中增加“调整yaml文件配置”说明。 2021-03-09 第二次正式发布。 在附录中增加“构建加速”说明。 2020-10-21 第一次正式发布。 父主题： 华为端到端（HE2E）DevOps实践

注册华为帐号并实名认证 如果您已有一个华为帐号，请跳到下一个任务。如果您还没有华为帐号，请参考以下步骤创建。 打开https://www.huaweicloud.com/，单击“注册”。 根据提示信息完成注册，详细操作请参见“如何注册华为云管理控制台的用户？”。 注册成功后，系统会自动跳转至您的个人信息界面。 参考“实名认证”完成企业帐号实名认证。 因为Organizations云服务为免费服务，因此无需为帐号充值。

示例场景 假设A公司有两个部门，分别是研发部，财务部，研发部又分为开发团队和运维团队，公司A的组织结构如图1所示。 图1 A公司组织架构 A公司及下属的财务部、开发团队、运维团队各自拥有一个帐号，如表1所示。 表1 A公司帐号 用户 帐号名 A公司 Company A 财务部 Account x 开发团队 Account y 运维团队 Account z A公司希望使用Company A作为管理帐号，对下属部门的帐号进行管理。管理诉求有： 对标公司组织架构，对下属帐号进行分组，进行结构化管理。 实现帐号的权限管理，比如只有研发部下的成员帐号可以使用“资源管理服务 RMS ”制定和删除资源合规规则。

邀请帐号加入组织 您已拥有一个组织，并搭建好了组织结构，现在您可以开始向其中填充帐号。 邀请其他成员帐号加入组织，要求成员帐号需要完成企业实名认证。 以管理帐号Company A的身份登录华为云，进入Organization控制台。 单击“添加”旁的，单击“添加帐号”。 图7 添加帐号 在弹窗中输入帐号ID，此处为开发团队帐号Account y的帐号ID。如何获取帐号ID请参见：获取帐号ID。单击“确定”，向帐号发出邀请。 图8 邀请帐号 登录Account y，进入Organizations控制台，单击接收邀请，开发团队帐号Account y成功加入组织。 登录Company A，进入Organizations控制台，在左侧导航栏选择组织管理，在组织结构中找到新加入的帐号，单击选中新加入的帐号。 单击管理，选择移动帐号。 图9 移动帐号 在弹窗中单击选择要加入的OU，此处选择“开发团队”。单击“确定”，完成帐号移动。 按照步骤2、3、4、5方法邀请财务部帐号Account x和运维团队Account z。

绑定服务控制策略（SCP） 现在您已搭建好了组织结构，并已邀请帐号加入，在本节将介绍如何使用服务控制策略（Service control policies，以下简称SCP）管理组织中帐号的权限。例如只有研发部下属的帐号可以修改和删除资源合规规则，其余帐号如财务部帐号不能。目前支持SCP策略的服务请参见支持SCP的华为云服务。 确定所需策略。 查看SCP系统策略列表，查找到需要设置的权限（若无匹配策略，可选择自定义策略）。此处使用自定义策略进行权限管控，策略语法请参考策略语法。 策略内容如下： { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:policyAssignments:update", "rms:policyAssignments:delete" ], "Resource": [ "*" ] } ]} 以管理帐号Company A的身份登录华为云，进入Organizations控制台。 在组织管理列表中，选中要绑定策略的OU，当前场景为禁止财务部修改和删除合规规则，所以SCP策略的绑定对象为“财务部”。 在“财务部”的组织单元信息页，选择“策略”页签。 单击服务控制策略前端的，单击“绑定”按钮。 图10 绑定策略 在弹框中选择步骤1中确定的策略，单击“绑定”，完成策略绑定。此时您能在“财务部”OU的服务控制策略列表中查看到已绑定的策略。

创建组织单元 用户可以按各种维度（例如业务范围、帐号所有者或帐号使用环境）对帐号进行分组，相同分组的帐号可以使用组织单元（Organizational Units，以下简称OU）进行归类和结构化管理。 例如按照公司A 4个帐号的业务范围进行分类，Account y是开发团队的帐号，归属于开发团队OU，Account z是运维团队的帐号，归属于运维团队OU。开发团队和运维团队同属于公司研发部，因此可建立研发部OU，包含开发团队OU和运维团队OU。以此类推，Account x是财务部帐号归属于财务部OU，Company A帐号是整个公司的管理帐号位于根组织单元中。最终组织结构如图3所示。 图3 组织单元结构 依照图3，可按照如下步骤创建组织单元： 以管理帐号Company A的身份登录华为云，进入Organization控制台。 在组织管理页签下，选中要创建OU的父节点，此处选择根OU。单击“添加”旁的，单击“添加组织单元”。 图4 创建组织单元 在弹窗中填写OU名称，此处填写“研发部”，单击“确定”完成OU创建。以同样的方法，创建“财务部OU”。 图5 添加组织单元 选中研发部组织单元，按照2和3的方法，创建“开发团队”和“运维团队”组织单元。最终组织结构图6所示。 图6 组织结构

操作步骤 将4个VPC分别接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 在企业路由器中创建2个路由表。 创建路由表，具体方法请参见创建路由表。 在两个路由表中分别创建“虚拟私有云（VPC）”连接的关联和传播。 创建关联，具体方法请参见创建关联。 创建传播，具体方法请参见创建传播。 路由表1资源规划详情，请参见表7。 路由表2资源规划详情，请参见表8。 在VPC路由表中配置ER的路由信息。 配置路由信息，具体方法请参见在VPC路由表中配置路由。

操作步骤 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云服务器的远程登录窗口，执行以下命令，验证网络情况。 执行以下命令，验证VPC网络隔离情况。 ping 弹性云服务器IP地址 以登录ecs-isolation-01，验证vpc-isolation-01与vpc-isolation-02、vpc-isolation-03的网络隔离情况为例： ping 10.2.0.215 ping 10.3.0.14 回显如下信息，没有流量信息，表示网络隔离配置成功。 执行以下命令，验证VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ecs-isolation-01，验证vpc-isolation-01与vpc-share的网络互通情况为例： ping 192.168.0.130 回显如下信息，表示网络互通。 重复执行1~2，验证其他VPC之间的网络隔离和互通情况。

规划资源 企业路由器ER、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 企业路由器ER：1个，资源规划详情如表6所示。 表6 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 路由表 连接 er-test-01 64512 关闭 关闭 2个路由表： er-rtb-isolation er-rtb-share er-attach-isolation-01 er-attach-isolation-02 er-attach-isolation-03 er-attach-share 表7 ER路由表1资源规划详情 路由表名称 关联连接 传播 er-rtb-isolation er-attach-isolation-01 er-attach-share er-attach-isolation-02 er-attach-isolation-03 表8 ER路由表2资源规划详情 路由表名称 关联连接 传播 er-rtb-share er-attach-share er-attach-isolation-01 er-attach-isolation-02 er-attach-isolation-03 虚拟私有云VPC：4个，VPC的网段不能重复，资源规划详情如表9所示。 表9 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-isolation-01 10.1.0.0/16 subnet-isolation-01 10.1.0.0/24 默认路由表 vpc-isolation-02 10.2.0.0/16 subnet-isolation-02 10.2.0.0/24 默认路由表 vpc-isolation-03 10.3.0.0/16 subnet-isolation-03 10.3.0.0/24 默认路由表 vpc-share 192.168.0.0/16 subnet-share 192.168.0.0/24 默认路由表 弹性云服务器ECS：4个，分别接入4个不同的VPC，资源规划详情如表10所示。 表10 ECS资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-isolation-01 公共镜像： CentOS 7.5 64bit vpc-isolation-01 subnet-isolation-01 sg-demo： 通用Web服务器 10.1.0.134 ecs-isolation-02 vpc-isolation-02 subnet-isolation-02 10.2.0.215 ecs-isolation-03 vpc-isolation-03 subnet-isolation-03 10.3.0.14 ecs-share vpc-share subnet-share 192.168.0.130

规划组网 同区域VPC隔离组网规划如图1所示，将4个VPC接入ER中，组网规划说明如表2所示。 图1 同区域VPC隔离组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC1→VPC4 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 VPC1关联的是ER路由表1，在ER路由表1中，通过下一跳为VPC4连接的路由将流量送达VPC4。 响应路径：VPC4→VPC1 在VPC4路由表中，通过下一跳为ER的路由将流量转送到ER。 VPC4关联的是ER路由表2，在ER路由表2中，通过下一跳为VPC1连接的路由将流量送达VPC1。 表2 同区域VPC隔离组网规划说明 资源 说明 VPC VPC1、VPC2、VPC3隔离，这3个VPC和VPC4互通。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，路由信息如表3所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加4个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接、VPC2连接、VPC3连接，并在路由表1中创建VPC4连接的传播，路由自动学习VPC网段，路由信息如表4所示。 路由表2：关联VPC4连接，并在路由表2中创建VPC1连接、VPC2连接、VPC3连接的传播，路由自动学习VPC网段，路由信息如表5所示。 ECS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 表3 VPC路由表 目的地址 下一跳 路由类型 10.0.0.0/8 企业路由器 静态路由：自定义 172.16.0.0/12 企业路由器 静态路由：自定义 192.168.0.0/16 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 表4 ER路由表1 目的地址 下一跳 路由类型 VPC4网段：192.168.0.0/16 VPC4连接：er-attach-share 传播路由 表5 ER路由表2 目的地址 下一跳 路由类型 VPC1网段：10.1.0.0/16 VPC1连接：er-attach-isolation-01 传播路由 VPC2网段：10.2.0.0/16 VPC2连接：er-attach-isolation-02 传播路由 VPC3网段：10.3.0.0/16 VPC3连接：er-attach-isolation-03 传播路由

操作流程 本文档介绍如何通过企业路由器构建跨区域VPC互通组网，流程如图2所示。 图2 构建跨区域VPC组网流程图 表1 构建跨区域VPC组网流程说明 序号 步骤 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 创建企业路由器：在不同区域内，分别创建1个企业路由器。 创建VPC和ECS：在不同区域内，分别创建2个虚拟私有云VPC和2个弹性云服务器ECS。 创建云连接：创建1个云连接实例。 3 配置网络 在企业路由器中配置VPC连接，两个区域内分别执行以下操作： 在企业路由器中添加“虚拟私有云（VPC）”连接：将2个VPC分别接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 在云连接CC中配置企业路由器： 在云连接CC中加载ER实例：在云连接中加载不同区域的企业路由器，企业路由器中会自动添加对应的“对等连接（Peering）”连接。* 购买全域互联带宽：购买1个全域互联带宽，本示例带宽类型选择“大区带宽”。 配置域间带宽：为互通区域分配带宽大小。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

操作步骤 创建虚拟网关，即在企业路由器中添加“虚拟网关（VGW）”连接。 在云专线管理控制台，创建虚拟网关。 具体方法请参见步骤2：创建虚拟网关。 在企业路由器控制台，查看“虚拟网关（VGW）”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关（VGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟网关（VGW）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行2创建虚拟接口后，才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC，具体方法请参见步骤3：创建虚拟接口。 本示例中的虚拟接口的资源规划详情请参见表6。 配置IDC侧路由到华为云的路由。 以华为网络设备为例，配置BGP路由： bgp 64510 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple 12345678 network 10.1.123.0 255.255.255.0 表1 BGP路由 命令 命令说明 bgp 64510 启动BGP，其中： 64510：IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP)，其中： 10.0.0.1：华为云侧网关。 64512：华为云侧AS号，固定为64512。 peer 10.0.0.1 password simple 12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证，其中： 12345678：BGP MD5认证密码。 network 10.1.123.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中，其中： 10.1.123.0：IDC侧子网。 255.255.255.0：IDC侧子网掩码。

操作步骤 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下步骤，关闭系统对数据包源地址的校验。 执行以下命令，打开“/etc/sysctl.conf”文件。 vim /etc/sysctl.conf 按i进入编辑模式。 在文件末尾添加以下配置。 net.ipv4.conf.default.rp_filter = 0net.ipv4.conf.all.rp_filter = 0 按ESC退出，并输入:wq!保存配置。 执行以下命令，刷新使配置立即生效。 sysctl -p 执行以下命令，查看是否关闭系统对数据包源地址的校验。 sysctl -a | grep rp_filter 回显类似如下信息，“net.ipv4.conf.all.rp_filter”和“net.ipv4.conf.default.rp_filter”取值为0，表示关闭成功。 执行以下步骤，打开系统的转发功能。 执行以下命令，打开“/etc/sysctl.conf”文件。 vim /etc/sysctl.conf 按i进入编辑模式。 在文件末尾添加以下配置。 net.ipv4.ip_forward = 1 按ESC退出，并输入:wq!保存配置。 执行以下命令，刷新使配置立即生效。 sysctl -p 执行以下命令，查看是否打开系统的转发功能。 sysctl -a | grep ip_forward 回显类似如下信息，“net.ipv4.ip_forward”取值为1，表示打开成功。 执行以下步骤，配置路由。 该路由表示去往VPC1和VPC2的流量清洗后，会通过eth1发出去。 本文档为您提供CentOS 8.0和CentOS 7.4路由配置方法供您参考，具体如下： CentOS 8.0： 执行以下命令，打开网卡配置文件。 vi /etc/sysconfig/network-scripts/route-eth1 按i进入编辑模式。 在文件末尾添加以下配置。 10.1.0.0/16 via 192.168.1.110.2.0.0/16 via 192.168.1.1 其中，10.1.0.0/16为VPC1的网段，10.2.0.0/16为VPC2的网段，192.168.1.1为eth1的网关地址。 按ESC退出，并输入:wq!保存配置。 重启ECS3，使路由生效。 重启完成后，执行以下命令，检查路由是否添加成功。 route -n 回显类似如下信息，可以在路由表中看到添加的两条路由。 CentOS 7.4： 执行以下命令，打开网卡配置文件。 vi /etc/sysconfig/static-routes 按i进入编辑模式。 在文件末尾添加以下配置。 any net 10.1.0.0/16 gw 192.168.1.1any net 10.2.0.0/16 gw 192.168.1.1 其中，10.1.0.0/16为VPC1的网段，10.2.0.0/16为VPC2的网段，192.168.1.1为eth1的网关地址。 按ESC退出，并输入:wq!保存配置。 执行以下命令，重启网络服务使配置生效。 service network restart 重启完成后，执行以下命令，检查路由是否添加成功。 route -n 回显类似如下信息，可以在路由表中看到添加的两条路由。

操作步骤 将3个VPC分别接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 在企业路由器中创建2个路由表。 创建路由表，具体方法请参见创建路由表。 在ER路由表1中创建“虚拟私有云（VPC）”连接的关联和静态路由。 路由表1资源规划详情，请参见表8。 将VPC1连接和VPC2连接关联至路由表1。 创建关联，具体方法请参见创建关联。 在路由表1中创建下一跳为VPC3连接的静态路由，网段为0.0.0.0/0。 创建静态路由，具体方法请参见创建静态路由。 在ER路由表2中创建“虚拟私有云（VPC）”连接的关联和传播。 路由表2资源规划详情，请参见表8。 将VPC3连接关联至路由表2。 创建关联，具体方法请参见创建关联。 在路由表2中，创建VPC1连接和VPC2连接的传播。 创建传播，具体方法请参见创建传播。 在VPC路由表中配置路由信息。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 配置VPC到ER路由。 路由规划详情，请参见表3。 在VPC3默认路由表中，配置VPC到ECS路由。 路由规划详情，请参见表4。

操作步骤 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云服务器的远程登录窗口，执行以下步骤，验证网络情况。 登录ecs-demo-01，验证vpc-demo-01与vpc-demo-02的网络互通情况为例： ping 弹性云服务器IP地址 命令示例： ping 10.2.0.175 回显类似如下信息，表示网络互通配置成功。 不要中断2.a，登录ecs-inspection，验证vpc-demo-01到vpc-demo-02的流量是否通过ecs-inspection。 检查eth0网卡的接收流量，至少连续执行两次命令，检查RX packets是否增加。 ifconfig eth0 检查eth1网卡的发送流量，至少连续执行两次命令，检查TX packets是否增加。 ifconfig eth1 回显类似如下信息，表示流量通过ecs-inspection。 重复执行1~2，登录ecs-demo-02，验证反向路径。

通过企业路由器和中转VPC构建组网流程 本章节介绍通过企业路由器和中转VPC构建组网总体流程，流程说明如表1所示。 表1 通过企业路由器和中转VPC构建组网流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建VPC和子网，本示例中创建2个业务VPC和1个中转VPC。 在VPC内，创建ECS，本示例中创建2个ECS。 步骤二：创建对等连接并配置路由 创建业务VPC-A和中转VPC-Transit之间的对等连接，并添加路由。 创建业务VPC-B和中转VPC-Transit之间的对等连接，并添加路由。 验证业务VPC-A和业务VPC-B之间的通信情况。 步骤三：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：将1个中转VPC接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中添加指向企业路由器的路由信息，目的地址为IDC侧网段。 在ER路由表中配置路由：在ER路由表中添加指向VPC连接的路由信息，目的地址分别为业务VPC网段。 步骤四：在企业路由器中添加并配置VGW连接 创建物理连接，物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建虚拟网关：创建1个关联企业路由器的虚拟网关，企业路由器中会自动添加“虚拟网关（VGW）”连接。 在ER路由表中创建传播：在ER路由表中创建“虚拟网关（VGW）”连接的传播，会自动学习IDC侧的路由信息，不用再手动添加路由。 创建虚拟接口：创建关联虚拟网关的虚拟接口，连接虚拟网关和物理连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤五：验证VPC和IDC的通信情况 登录ECS，执行ping命令，验证网络互通情况。 父主题： 通过企业路由器和中转VPC构建组网

操作步骤 将4个VPC分别接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟私有云（VPC）”连接后，以下均为系统自动配置： 在默认路由表中创建关联 在默认路由表中创建传播，并自动学习VPC网段路由信息。 在ER路由表中创建下一跳为VPC4连接的静态路由，网段为0.0.0.0/0，表示将访问公网的流量路由至VPC4。 创建静态路由，具体方法请参见创建静态路由。 创建VPC4的静态路由后，可以删除VPC4的传播路由，具体方法请参见删除传播。 在VPC路由表中配置ER的路由信息。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 VPC1/VPC2/VPC3的路由配置相同，具体请参见表3。 VPC4的路由配置，具体请参见表4。

规划资源 企业路由器ER、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 企业路由器ER：1个，资源规划详情如表7所示。 表7 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 路由表 连接 er-test-01 64512 关闭 关闭 2个路由表： er-rtb-01 er-rtb-02 er-attach-01 er-attach-02 er-attach-inspection 表8 ER路由表1资源规划详情 路由表名称 关联连接 静态路由 er-rtb-01 er-attach-01 er-attach-inspection er-attach-02 表9 ER路由表2资源规划详情 路由表名称 关联连接 传播 er-rtb-02 er-attach-inspection er-attach-01 er-attach-02 虚拟私有云VPC：3个，VPC的网段不能重复，资源规划详情如表10所示。 表10 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-demo-01 10.1.0.0/16 subnet-demo-01 10.1.0.0/24 默认路由表 vpc-demo-02 10.2.0.0/16 subnet-demo-02 10.2.0.0/24 默认路由表 vpc-inspection 192.168.0.0/16 subnet-inspection-01 192.168.0.0/24 默认路由表 subnet-inspection-02 192.168.1.0/24 自定义路由表 弹性云服务器ECS：3个，分别接入3个不同的VPC，资源规划详情如表11和表12所示。 表11 ECS1和ECS2资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-demo-01 公共镜像： CentOS 8.0 64bit vpc-demo-01 subnet-demo-01 sg-demo： 通用Web服务器 10.1.0.113 ecs-demo-02 vpc-demo-02 subnet-demo-02 10.2.0.175 表12 ECS3资源规划详情 ECS名称 镜像 网卡 VPC名称 子网名称 安全组 私有IP地址 ecs-inspection 公共镜像： CentOS 8.0 64bit eth0 vpc-inspection subnet-inspection-01 sg-demo： 通用Web服务器 192.168.0.21 eth1 subnet-inspection-02 192.168.1.22

规划组网 同区域VPC流量清洗组网规划如图1所示，将3个VPC接入ER中，组网规划说明如表2所示。 图1 同区域VPC流量清洗组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC1→VPC2 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 VPC1关联的是ER路由表1，在ER路由表1中，通过下一跳为VPC3连接的静态路由将流量转送到VPC3。 VPC3有两个子网，分别关联了ECS3的两个网卡： 子网1的eth0网卡接收流量。在VPC3默认路由表中，通过下一跳为ECS3的路由，以及ECS内核配置，将流量从eth0网卡转送到eth1网卡。 子网2的eth1网卡通过防火墙清洗并送出流量。在VPC3自定义路由表中，通过下一跳为ER的路由，将清洗后的流量转送到ER。 VPC3关联的是ER路由表2，在ER路由表2中，通过下一跳为VPC2连接的传播路由将流量送达VPC2。 响应路径：VPC2→VPC1 在VPC2路由表中，通过下一跳为ER的路由将流量转送到ER。 VPC2关联的是ER路由表1，在ER路由表1中，通过下一跳为VPC3连接的静态路由将流量转送到VPC3。 VPC3有两个子网，分别关联了ECS3的两个网卡： 子网1的eth0网卡接收流量。在VPC3默认路由表中，通过下一跳为ECS3的路由，以及ECS内核配置，将流量从eth0网卡转送到eth1网卡。 子网2的eth1网卡通过防火墙清洗并送出流量。在VPC3自定义路由表中，通过下一跳为ER的路由，将清洗后的流量转送到ER。 VPC3关联的是ER路由表2，在ER路由表2中，通过下一跳为VPC1连接的传播路由将流量送达VPC1。 表2 同区域VPC流量清洗组网规划说明 资源 说明 VPC VPC1和VPC2的互访流量需要通过VPC3部署的防火墙清洗。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC1和VPC2各有一个默认路由表。 VPC3有两个子网，子网1关联默认路由表，子网2关联自定义路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，自定义路由，建议网段为0.0.0.0/0，路由信息如表3所示。 ECS3：表示将VPC子网流量路由至ECS3，自定义路由，路由表信息如表4所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加3个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接和VPC2连接，并在路由表1中创建VPC3连接的静态路由，路由信息如表5所示。 路由表2：关联VPC3连接，并在路由表2中创建VPC1连接和VPC2连接的传播，路由自动学习VPC网段，路由信息如表6所示。 ECS 3个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 ECS3部署了第三方防火墙，共有两个网卡，分别关联VPC3的不同子网。 表3 VPC1和VPC2路由表、VPC3自定义路由表 目的地址 下一跳 路由类型 10.0.0.0/8 企业路由器 静态路由：自定义 172.16.0.0/12 企业路由器 静态路由：自定义 192.168.0.0/16 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 对于VPC3的连接，不建议你开启“配置连接侧路由”选项，VPC3默认路由表中不能添加指向ER的路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 表4 VPC3默认路由表 目的地址 下一跳 路由类型 10.1.0.0/16 服务器实例 静态路由：自定义 10.2.0.0/16 服务器实例 静态路由：自定义 表5 ER路由表1 目的地址 下一跳 路由类型 0.0.0.0/0 VPC3连接：er-attach-inspection 静态路由 表6 ER路由表2 目的地址 下一跳 路由类型 VPC1网段：10.1.0.0/16 VPC1连接：er-attach-01 传播路由 VPC2网段：10.2.0.0/16 VPC2连接：er-attach-02 传播路由

创建桶 对象存储服务 （Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。对象（Object）是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息（元数据）的集合体。桶（Bucket）是OBS中存储对象的容器。 用户使用数据快递服务传输的数据，最终都以对象的形式保存在OBS的桶中。因此使用DES将数据存储到OBS，需先创建供数据存放的桶。创建桶具体操作请参见OBS创建桶。 父主题： Teleport方式详细指导

操作步骤 登录DES管理控制台。 在操作列单击“下载签名文件”，将签名文件下载到本地。 将下载到本地的签名文件导入“teleportshare”根目录。 签名文件是服务单与Teleport设备一一对应的唯一标识，一个服务单生成一个签名文件。管理员收到Teleport设备后，将Teleport设备挂载到服务器上，系统根据签名文件自动匹配服务单，避免人为干预带来的误操作。签名文件信息如表1。 表1 签名文件 参数 说明 version 服务版本号。 OrderURN 包括服务名称、服务区域、标识码和服务单号。

设备上电 连线完成后，Teleport设备需要上电检查运行状态。上电时只需按一下电源按钮。当控制框电源指示灯绿色闪烁，表示Teleport设备开始正常上电。系统正常上电后指示灯状态如图1和表1。 存储系统上电前，请确保所有线缆已经全部正确连接。上电后再调整线缆连接方式可能导致存储系统异常。 对于配置两个控制器的存储系统，初次上电或清除系统配置后重新上电存储系统前，请确保控制器A连线正常并位于控制框中，否则会导致存储系统上电失败。 上电过程中，请不要插拔光纤、网线、保险箱盘或接口模块，以免丢失系统数据。 请勿长按电源按钮，长按超过5秒钟将导致存储系统下电。 存储系统上电需要15~30分钟。 图1 Teleport设备指示灯（前视图） 表1 指示灯状态说明 编号 说明 1 硬盘模块运行指示灯（绿色常亮） 2 硬盘模块定位/告警指示灯（熄灭） 3 控制框定位指示灯（蓝色闪烁） 4 控制框告警指示灯（熄灭） 5 控制框电源指示灯/电源按钮（绿色常亮） 父主题： 接收设备并连线配置

Teleport是什么？ Teleport设备是一种用于海量数据传输的定制高性能存储设备，是Teleport方式数据快递服务的迁移介质。由华为数据中心寄送Teleport设备给用户，用户将数据拷贝至Teleport存储系统中邮寄给华为，实现数据迁移至对象存储服务（Object Storage Service，OBS）。通过Teleport设备，可实现4天内完成60TB数据上传到华为云，Teleport设备具有强大性能特征： 支持防尘防水、抗震抗压、安全锁； 支持NFS/CIFS/FTP数据源导入OBS； 支持小文件自动合并，提升读写效率； 军工级机箱，适应全天候物流场景，保障安全传输； 支持60TB/120TB可用容量； 支持2*10GE高速接口。 表1 Teleport设备规格参数 设备尺寸 重量 电源功耗 机架空间 95.5cm（H）55.9cm（W）24.4cm（D） 40kg 220V/366W 无需 父主题： 服务概念类

数据通过Teleport传输，如何保证安全性？ Teleport设备防尘防水、抗震抗压、安全锁，确保数据在寄送途中的万无一失。 华为数据中心管理员在接收到Teleport并挂载后，通过用户自己输入的访问密钥（AK/SK）触发数据自动上传，华为人员全程不接触用户数据，确保数据的安全。 通过DES传输的数据最终存放在对象存储服务OBS中，OBS服务支持SSL加密、ACL权限控制、桶策略等安全保障机制，且数据分片随机存储在不同硬盘上，保障数据的存储、访问安全。 父主题： 服务安全类

如何使用Teleport？ 您在收到华为数据中心邮寄Teleport设备箱后，请务必先验证设备箱完好无损，且标识清晰。Teleport使用主要包括以下五步： 表1 使用Teleport 主要操作 操作说明 设备开箱 打开签收后的Teleport设备箱。 连线配置 配置业务网络连线和管理网络连线，连接本地服务器与Teleoport设备。 设备上电 上电运行Teleport设备，准备拷贝数据至Teleport根目录。 拷贝数据 Teleport存储系统使用共享文件方式来拷贝数据，通过挂载共享路径，将数据拷贝至共享路径，即数据拷贝至Teleport存储系统中。CIFS共享文件系统使用的客户端是Windows操作系统，NFS共享文件系统使用的客户端是Linux或Unix操作系统。 设备下电和封装 确保待传输数据和签名文件全部上传到Teleport后，下电封装Teleport设备到设备箱，回邮Teleport设备箱。 父主题： 服务操作类

从创建DES服务单到数据导入华为云需要多长时间？ 整个过程受数据量、文件类型、拷贝介质速度、网络带宽、物流地点及时长等诸多因素的影响，暂无标准的周期限制。 下面以某天津客户使用DES将数据导入至华北-北京四区域为例，提供整个过程各阶段时长作为参考。 受过程中的诸多因素影响，以下数据仅供参考，不代表华为云的最终承诺。 表1 数据导入周期参考值 导入方式 邮寄Teleport到客户数据中心（天） 拷贝数据到Teleport/磁盘（天） 邮寄Teleport/磁盘到华为数据中心（天） 上传数据到华为云(天) 回寄磁盘(天) 总预计耗时(天) Teleport方式 （60TB） 5 6 5 6 N/A 22 Teleport方式 （120TB） 5 12 5 12 N/A 34 磁盘方式 （1TB） N/A 3 4 3 4 14 父主题： 服务概念类

“源数据”参数与“teleportshare”的区别？ “源数据”参数是可选参数，解决用户有不同数据目录源，导入到不同的目的桶或不同的目录的需求问题。为待传输数据设置指定目录。“源数据”参数未关联到Teleport设备，仅用于指导华为数据中心后台将用户对数据的不同预设需求，导入到创建目的桶中。 “teleportshare”是共享文件系统的路径名称，在Teleport出厂时由华为数据中心创建，用户无需自己创建，可直接拷贝待传输数据到共享文件系统。可理解为用户拷贝待传输数据到“teleportshare”路径下，而待传输数据的文件或文件夹的名称为“源数据”。 父主题： 服务概念类

修订记录 发布日期 修订记录 2021-08-12 第十一次正式发布。 本次更新说明如下： 新增“DES数据导入需要多长时间”问题及答案。 2020-01-10 第十次正式发布。 本次更新说明如下： 新增“Teleport邮寄需要多长时间”问题及答案。 2019-06-19 第九次正式发布。 本次更新说明如下： 新增“哪些状态下能修改已创建的服务单？”问题及答案。 2019-05-17 第八次正式发布。 本次更新说明如下： 新增“用户寄送设备到华为数据中心”服务单状态释义； 优化和精简问答对，删除冗余问题。 2019-02-28 第七次正式发布。 本次更新说明如下： 新增“DES能提供导出数据服务吗？”问题及答案； 新增“DES邮寄的设备损坏了怎么办？”问题及答案； 新增“使用DES磁盘方式如何邮寄磁盘？”问题及答案； 优化“Teleport存储容量有多大？”答案； 优化“DES传输的数据最终存放在哪里？”答案。 2019-01-18 第六次正式发布。 本次更新说明如下： 新增““源数据”参数与“teleportshare”的区别”问题及答案； 新增“使用DES把数据上传到OBS后，数据目录结构会变化吗？”问题及答案。 2018-11-30 第五次正式发布。 本次更新说明如下： 新增“一个服务单支持多块磁盘”的答案。 更新“磁盘方式支持文件系统类型”的答案。 2018-09-08 第四次正式发布。 本次更新说明如下： 优化Teleport方式服务问题和答案； 优化磁盘方式服务问题和答案。 2018-06-15 第三次正式发布。 本次更新说明如下： 新增服务单状态问题和答案； 新增费用管理问题及答案。 2018-03-30 第二次正式发布。 本次更新说明如下： DES新增Teleport数据迁移方式。 2016-09-30 第一次正式发布。