华为云用户手册

绑定服务控制策略（SCP） 现在您已搭建好了组织结构，并已邀请帐号加入，在本节将介绍如何使用服务控制策略（Service control policies，以下简称SCP）管理组织中帐号的权限。例如只有研发部下属的帐号可以修改和删除资源合规规则，其余帐号如财务部帐号不能。目前支持SCP策略的服务请参见支持SCP的华为云服务。 确定所需策略。 查看SCP系统策略列表，查找到需要设置的权限（若无匹配策略，可选择自定义策略）。此处使用自定义策略进行权限管控，策略语法请参考策略语法。 策略内容如下： { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:policyAssignments:update", "rms:policyAssignments:delete" ], "Resource": [ "*" ] } ]} 以管理帐号Company A的身份登录华为云，进入Organizations控制台。 在组织管理列表中，选中要绑定策略的OU，当前场景为禁止财务部修改和删除合规规则，所以SCP策略的绑定对象为“财务部”。 在“财务部”的组织单元信息页，选择“策略”页签。 单击服务控制策略前端的，单击“绑定”按钮。 图10 绑定策略 在弹框中选择步骤1中确定的策略，单击“绑定”，完成策略绑定。此时您能在“财务部”OU的服务控制策略列表中查看到已绑定的策略。

邀请帐号加入组织 您已拥有一个组织，并搭建好了组织结构，现在您可以开始向其中填充帐号。 邀请其他成员帐号加入组织，要求成员帐号需要完成企业实名认证。 以管理帐号Company A的身份登录华为云，进入Organization控制台。 单击“添加”旁的，单击“添加帐号”。 图7 添加帐号 在弹窗中输入帐号ID，此处为开发团队帐号Account y的帐号ID。如何获取帐号ID请参见：获取帐号ID。单击“确定”，向帐号发出邀请。 图8 邀请帐号 登录Account y，进入Organizations控制台，单击接收邀请，开发团队帐号Account y成功加入组织。 登录Company A，进入Organizations控制台，在左侧导航栏选择组织管理，在组织结构中找到新加入的帐号，单击选中新加入的帐号。 单击管理，选择移动帐号。 图9 移动帐号 在弹窗中单击选择要加入的OU，此处选择“开发团队”。单击“确定”，完成帐号移动。 按照步骤2、3、4、5方法邀请财务部帐号Account x和运维团队Account z。

创建组织单元 用户可以按各种维度（例如业务范围、帐号所有者或帐号使用环境）对帐号进行分组，相同分组的帐号可以使用组织单元（Organizational Units，以下简称OU）进行归类和结构化管理。 例如按照公司A 4个帐号的业务范围进行分类，Account y是开发团队的帐号，归属于开发团队OU，Account z是运维团队的帐号，归属于运维团队OU。开发团队和运维团队同属于公司研发部，因此可建立研发部OU，包含开发团队OU和运维团队OU。以此类推，Account x是财务部帐号归属于财务部OU，Company A帐号是整个公司的管理帐号位于根组织单元中。最终组织结构如图3所示。 图3 组织单元结构 依照图3，可按照如下步骤创建组织单元： 以管理帐号Company A的身份登录华为云，进入Organization控制台。 在组织管理页签下，选中要创建OU的父节点，此处选择根OU。单击“添加”旁的，单击“添加组织单元”。 图4 创建组织单元 在弹窗中填写OU名称，此处填写“研发部”，单击“确定”完成OU创建。以同样的方法，创建“财务部OU”。 图5 添加组织单元 选中研发部组织单元，按照2和3的方法，创建“开发团队”和“运维团队”组织单元。最终组织结构图6所示。 图6 组织结构

操作步骤 将4个VPC分别接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 在企业路由器中创建2个路由表。 创建路由表，具体方法请参见创建路由表。 在两个路由表中分别创建“虚拟私有云（VPC）”连接的关联和传播。 创建关联，具体方法请参见创建关联。 创建传播，具体方法请参见创建传播。 路由表1资源规划详情，请参见表7。 路由表2资源规划详情，请参见表8。 在VPC路由表中配置ER的路由信息。 配置路由信息，具体方法请参见在VPC路由表中配置路由。

操作步骤 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云服务器的远程登录窗口，执行以下命令，验证网络情况。 执行以下命令，验证VPC网络隔离情况。 ping 弹性云服务器IP地址 以登录ecs-isolation-01，验证vpc-isolation-01与vpc-isolation-02、vpc-isolation-03的网络隔离情况为例： ping 10.2.0.215 ping 10.3.0.14 回显如下信息，没有流量信息，表示网络隔离配置成功。 执行以下命令，验证VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ecs-isolation-01，验证vpc-isolation-01与vpc-share的网络互通情况为例： ping 192.168.0.130 回显如下信息，表示网络互通。 重复执行1~2，验证其他VPC之间的网络隔离和互通情况。

规划组网 同区域VPC隔离组网规划如图1所示，将4个VPC接入ER中，组网规划说明如表2所示。 图1 同区域VPC隔离组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC1→VPC4 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 VPC1关联的是ER路由表1，在ER路由表1中，通过下一跳为VPC4连接的路由将流量送达VPC4。 响应路径：VPC4→VPC1 在VPC4路由表中，通过下一跳为ER的路由将流量转送到ER。 VPC4关联的是ER路由表2，在ER路由表2中，通过下一跳为VPC1连接的路由将流量送达VPC1。 表2 同区域VPC隔离组网规划说明 资源 说明 VPC VPC1、VPC2、VPC3隔离，这3个VPC和VPC4互通。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，路由信息如表3所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加4个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接、VPC2连接、VPC3连接，并在路由表1中创建VPC4连接的传播，路由自动学习VPC网段，路由信息如表4所示。 路由表2：关联VPC4连接，并在路由表2中创建VPC1连接、VPC2连接、VPC3连接的传播，路由自动学习VPC网段，路由信息如表5所示。 E CS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 表3 VPC路由表 目的地址 下一跳 路由类型 10.0.0.0/8 企业路由器 静态路由：自定义 172.16.0.0/12 企业路由器 静态路由：自定义 192.168.0.0/16 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 表4 ER路由表1 目的地址 下一跳 路由类型 VPC4网段：192.168.0.0/16 VPC4连接：er-attach-share 传播路由 表5 ER路由表2 目的地址 下一跳 路由类型 VPC1网段：10.1.0.0/16 VPC1连接：er-attach-isolation-01 传播路由 VPC2网段：10.2.0.0/16 VPC2连接：er-attach-isolation-02 传播路由 VPC3网段：10.3.0.0/16 VPC3连接：er-attach-isolation-03 传播路由

规划资源 企业路由器ER、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 企业路由器ER：1个，资源规划详情如表6所示。 表6 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 路由表 连接 er-test-01 64512 关闭 关闭 2个路由表： er-rtb-isolation er-rtb-share er-attach-isolation-01 er-attach-isolation-02 er-attach-isolation-03 er-attach-share 表7 ER路由表1资源规划详情 路由表名称 关联连接 传播 er-rtb-isolation er-attach-isolation-01 er-attach-share er-attach-isolation-02 er-attach-isolation-03 表8 ER路由表2资源规划详情 路由表名称 关联连接 传播 er-rtb-share er-attach-share er-attach-isolation-01 er-attach-isolation-02 er-attach-isolation-03 虚拟私有云VPC：4个，VPC的网段不能重复，资源规划详情如表9所示。 表9 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-isolation-01 10.1.0.0/16 subnet-isolation-01 10.1.0.0/24 默认路由表 vpc-isolation-02 10.2.0.0/16 subnet-isolation-02 10.2.0.0/24 默认路由表 vpc-isolation-03 10.3.0.0/16 subnet-isolation-03 10.3.0.0/24 默认路由表 vpc-share 192.168.0.0/16 subnet-share 192.168.0.0/24 默认路由表 弹性云服务器ECS：4个，分别接入4个不同的VPC，资源规划详情如表10所示。 表10 ECS资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-isolation-01 公共镜像： CentOS 7.5 64bit vpc-isolation-01 subnet-isolation-01 sg-demo： 通用Web服务器 10.1.0.134 ecs-isolation-02 vpc-isolation-02 subnet-isolation-02 10.2.0.215 ecs-isolation-03 vpc-isolation-03 subnet-isolation-03 10.3.0.14 ecs-share vpc-share subnet-share 192.168.0.130

操作流程 本文档介绍如何通过企业路由器构建跨区域VPC互通组网，流程如图2所示。 图2 构建跨区域VPC组网流程图 表1 构建跨区域VPC组网流程说明 序号 步骤 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 创建企业路由器：在不同区域内，分别创建1个企业路由器。 创建VPC和ECS：在不同区域内，分别创建2个虚拟私有云VPC和2个弹性云服务器ECS。 创建云连接：创建1个云连接实例。 3 配置网络 在企业路由器中配置VPC连接，两个区域内分别执行以下操作： 在企业路由器中添加“虚拟私有云（VPC）”连接：将2个VPC分别接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 在云连接CC中配置企业路由器： 在云连接CC中加载ER实例：在云连接中加载不同区域的企业路由器，企业路由器中会自动添加对应的“对等连接（Peering）”连接。* 购买全域互联带宽：购买1个全域互联带宽，本示例带宽类型选择“大区带宽”。 配置域间带宽：为互通区域分配带宽大小。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

操作步骤 创建虚拟网关，即在企业路由器中添加“虚拟网关（VGW）”连接。 在云专线管理控制台，创建虚拟网关。 具体方法请参见步骤2：创建虚拟网关。 在企业路由器控制台，查看“虚拟网关（VGW）”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关（VGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟网关（VGW）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行2创建虚拟接口后，才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC，具体方法请参见步骤3：创建虚拟接口。 本示例中的虚拟接口的资源规划详情请参见表6。 配置IDC侧路由到华为云的路由。 以华为网络设备为例，配置BGP路由： bgp 64510 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple 12345678 network 10.1.123.0 255.255.255.0 表1 BGP路由 命令 命令说明 bgp 64510 启动BGP，其中： 64510：IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP)，其中： 10.0.0.1：华为云侧网关。 64512：华为云侧AS号，固定为64512。 peer 10.0.0.1 password simple 12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证，其中： 12345678：BGP MD5认证密码。 network 10.1.123.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中，其中： 10.1.123.0：IDC侧子网。 255.255.255.0：IDC侧子网掩码。

操作步骤 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下步骤，关闭系统对数据包源地址的校验。 执行以下命令，打开“/etc/sysctl.conf”文件。 vim /etc/sysctl.conf 按i进入编辑模式。 在文件末尾添加以下配置。 net.ipv4.conf.default.rp_filter = 0net.ipv4.conf.all.rp_filter = 0 按ESC退出，并输入:wq!保存配置。 执行以下命令，刷新使配置立即生效。 sysctl -p 执行以下命令，查看是否关闭系统对数据包源地址的校验。 sysctl -a | grep rp_filter 回显类似如下信息，“net.ipv4.conf.all.rp_filter”和“net.ipv4.conf.default.rp_filter”取值为0，表示关闭成功。 执行以下步骤，打开系统的转发功能。 执行以下命令，打开“/etc/sysctl.conf”文件。 vim /etc/sysctl.conf 按i进入编辑模式。 在文件末尾添加以下配置。 net.ipv4.ip_forward = 1 按ESC退出，并输入:wq!保存配置。 执行以下命令，刷新使配置立即生效。 sysctl -p 执行以下命令，查看是否打开系统的转发功能。 sysctl -a | grep ip_forward 回显类似如下信息，“net.ipv4.ip_forward”取值为1，表示打开成功。 执行以下步骤，配置路由。 该路由表示去往VPC1和VPC2的流量清洗后，会通过eth1发出去。 本文档为您提供CentOS 8.0和CentOS 7.4路由配置方法供您参考，具体如下： CentOS 8.0： 执行以下命令，打开网卡配置文件。 vi /etc/sysconfig/network-scripts/route-eth1 按i进入编辑模式。 在文件末尾添加以下配置。 10.1.0.0/16 via 192.168.1.110.2.0.0/16 via 192.168.1.1 其中，10.1.0.0/16为VPC1的网段，10.2.0.0/16为VPC2的网段，192.168.1.1为eth1的网关地址。 按ESC退出，并输入:wq!保存配置。 重启ECS3，使路由生效。 重启完成后，执行以下命令，检查路由是否添加成功。 route -n 回显类似如下信息，可以在路由表中看到添加的两条路由。 CentOS 7.4： 执行以下命令，打开网卡配置文件。 vi /etc/sysconfig/static-routes 按i进入编辑模式。 在文件末尾添加以下配置。 any net 10.1.0.0/16 gw 192.168.1.1any net 10.2.0.0/16 gw 192.168.1.1 其中，10.1.0.0/16为VPC1的网段，10.2.0.0/16为VPC2的网段，192.168.1.1为eth1的网关地址。 按ESC退出，并输入:wq!保存配置。 执行以下命令，重启网络服务使配置生效。 service network restart 重启完成后，执行以下命令，检查路由是否添加成功。 route -n 回显类似如下信息，可以在路由表中看到添加的两条路由。

操作步骤 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云服务器的远程登录窗口，执行以下步骤，验证网络情况。 登录ecs-demo-01，验证vpc-demo-01与vpc-demo-02的网络互通情况为例： ping 弹性云服务器IP地址 命令示例： ping 10.2.0.175 回显类似如下信息，表示网络互通配置成功。 不要中断2.a，登录ecs-inspection，验证vpc-demo-01到vpc-demo-02的流量是否通过ecs-inspection。 检查eth0网卡的接收流量，至少连续执行两次命令，检查RX packets是否增加。 ifconfig eth0 检查eth1网卡的发送流量，至少连续执行两次命令，检查TX packets是否增加。 ifconfig eth1 回显类似如下信息，表示流量通过ecs-inspection。 重复执行1~2，登录ecs-demo-02，验证反向路径。

操作步骤 将3个VPC分别接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 在企业路由器中创建2个路由表。 创建路由表，具体方法请参见创建路由表。 在ER路由表1中创建“虚拟私有云（VPC）”连接的关联和静态路由。 路由表1资源规划详情，请参见表8。 将VPC1连接和VPC2连接关联至路由表1。 创建关联，具体方法请参见创建关联。 在路由表1中创建下一跳为VPC3连接的静态路由，网段为0.0.0.0/0。 创建静态路由，具体方法请参见创建静态路由。 在ER路由表2中创建“虚拟私有云（VPC）”连接的关联和传播。 路由表2资源规划详情，请参见表8。 将VPC3连接关联至路由表2。 创建关联，具体方法请参见创建关联。 在路由表2中，创建VPC1连接和VPC2连接的传播。 创建传播，具体方法请参见创建传播。 在VPC路由表中配置路由信息。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 配置VPC到ER路由。 路由规划详情，请参见表3。 在VPC3默认路由表中，配置VPC到ECS路由。 路由规划详情，请参见表4。

通过企业路由器和中转VPC构建组网流程 本章节介绍通过企业路由器和中转VPC构建组网总体流程，流程说明如表1所示。 表1 通过企业路由器和中转VPC构建组网流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建VPC和子网，本示例中创建2个业务VPC和1个中转VPC。 在VPC内，创建ECS，本示例中创建2个ECS。 步骤二：创建对等连接并配置路由 创建业务VPC-A和中转VPC-Transit之间的对等连接，并添加路由。 创建业务VPC-B和中转VPC-Transit之间的对等连接，并添加路由。 验证业务VPC-A和业务VPC-B之间的通信情况。 步骤三：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：将1个中转VPC接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中添加指向企业路由器的路由信息，目的地址为IDC侧网段。 在ER路由表中配置路由：在ER路由表中添加指向VPC连接的路由信息，目的地址分别为业务VPC网段。 步骤四：在企业路由器中添加并配置VGW连接 创建物理连接，物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建虚拟网关：创建1个关联企业路由器的虚拟网关，企业路由器中会自动添加“虚拟网关（VGW）”连接。 在ER路由表中创建传播：在ER路由表中创建“虚拟网关（VGW）”连接的传播，会自动学习IDC侧的路由信息，不用再手动添加路由。 创建虚拟接口：创建关联虚拟网关的虚拟接口，连接虚拟网关和物理连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤五：验证VPC和IDC的通信情况 登录ECS，执行ping命令，验证网络互通情况。 父主题： 通过企业路由器和中转VPC构建组网

操作步骤 将4个VPC分别接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟私有云（VPC）”连接后，以下均为系统自动配置： 在默认路由表中创建关联 在默认路由表中创建传播，并自动学习VPC网段路由信息。 在ER路由表中创建下一跳为VPC4连接的静态路由，网段为0.0.0.0/0，表示将访问公网的流量路由至VPC4。 创建静态路由，具体方法请参见创建静态路由。 创建VPC4的静态路由后，可以删除VPC4的传播路由，具体方法请参见删除传播。 在VPC路由表中配置ER的路由信息。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 VPC1/VPC2/VPC3的路由配置相同，具体请参见表3。 VPC4的路由配置，具体请参见表4。

规划资源 企业路由器ER、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 企业路由器ER：1个，资源规划详情如表7所示。 表7 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 路由表 连接 er-test-01 64512 关闭 关闭 2个路由表： er-rtb-01 er-rtb-02 er-attach-01 er-attach-02 er-attach-inspection 表8 ER路由表1资源规划详情 路由表名称 关联连接 静态路由 er-rtb-01 er-attach-01 er-attach-inspection er-attach-02 表9 ER路由表2资源规划详情 路由表名称 关联连接 传播 er-rtb-02 er-attach-inspection er-attach-01 er-attach-02 虚拟私有云VPC：3个，VPC的网段不能重复，资源规划详情如表10所示。 表10 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-demo-01 10.1.0.0/16 subnet-demo-01 10.1.0.0/24 默认路由表 vpc-demo-02 10.2.0.0/16 subnet-demo-02 10.2.0.0/24 默认路由表 vpc-inspection 192.168.0.0/16 subnet-inspection-01 192.168.0.0/24 默认路由表 subnet-inspection-02 192.168.1.0/24 自定义路由表 弹性云服务器ECS：3个，分别接入3个不同的VPC，资源规划详情如表11和表12所示。 表11 ECS1和ECS2资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-demo-01 公共镜像： CentOS 8.0 64bit vpc-demo-01 subnet-demo-01 sg-demo： 通用Web服务器 10.1.0.113 ecs-demo-02 vpc-demo-02 subnet-demo-02 10.2.0.175 表12 ECS3资源规划详情 ECS名称 镜像 网卡 VPC名称 子网名称 安全组 私有IP地址 ecs-inspection 公共镜像： CentOS 8.0 64bit eth0 vpc-inspection subnet-inspection-01 sg-demo： 通用Web服务器 192.168.0.21 eth1 subnet-inspection-02 192.168.1.22

规划组网 同区域VPC流量清洗组网规划如图1所示，将3个VPC接入ER中，组网规划说明如表2所示。 图1 同区域VPC流量清洗组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC1→VPC2 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 VPC1关联的是ER路由表1，在ER路由表1中，通过下一跳为VPC3连接的静态路由将流量转送到VPC3。 VPC3有两个子网，分别关联了ECS3的两个网卡： 子网1的eth0网卡接收流量。在VPC3默认路由表中，通过下一跳为ECS3的路由，以及ECS内核配置，将流量从eth0网卡转送到eth1网卡。 子网2的eth1网卡通过防火墙清洗并送出流量。在VPC3自定义路由表中，通过下一跳为ER的路由，将清洗后的流量转送到ER。 VPC3关联的是ER路由表2，在ER路由表2中，通过下一跳为VPC2连接的传播路由将流量送达VPC2。 响应路径：VPC2→VPC1 在VPC2路由表中，通过下一跳为ER的路由将流量转送到ER。 VPC2关联的是ER路由表1，在ER路由表1中，通过下一跳为VPC3连接的静态路由将流量转送到VPC3。 VPC3有两个子网，分别关联了ECS3的两个网卡： 子网1的eth0网卡接收流量。在VPC3默认路由表中，通过下一跳为ECS3的路由，以及ECS内核配置，将流量从eth0网卡转送到eth1网卡。 子网2的eth1网卡通过防火墙清洗并送出流量。在VPC3自定义路由表中，通过下一跳为ER的路由，将清洗后的流量转送到ER。 VPC3关联的是ER路由表2，在ER路由表2中，通过下一跳为VPC1连接的传播路由将流量送达VPC1。 表2 同区域VPC流量清洗组网规划说明 资源 说明 VPC VPC1和VPC2的互访流量需要通过VPC3部署的防火墙清洗。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC1和VPC2各有一个默认路由表。 VPC3有两个子网，子网1关联默认路由表，子网2关联自定义路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，自定义路由，建议网段为0.0.0.0/0，路由信息如表3所示。 ECS3：表示将VPC子网流量路由至ECS3，自定义路由，路由表信息如表4所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加3个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接和VPC2连接，并在路由表1中创建VPC3连接的静态路由，路由信息如表5所示。 路由表2：关联VPC3连接，并在路由表2中创建VPC1连接和VPC2连接的传播，路由自动学习VPC网段，路由信息如表6所示。 ECS 3个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 ECS3部署了第三方防火墙，共有两个网卡，分别关联VPC3的不同子网。 表3 VPC1和VPC2路由表、VPC3自定义路由表 目的地址 下一跳 路由类型 10.0.0.0/8 企业路由器 静态路由：自定义 172.16.0.0/12 企业路由器 静态路由：自定义 192.168.0.0/16 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 对于VPC3的连接，不建议你开启“配置连接侧路由”选项，VPC3默认路由表中不能添加指向ER的路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 表4 VPC3默认路由表 目的地址 下一跳 路由类型 10.1.0.0/16 服务器实例 静态路由：自定义 10.2.0.0/16 服务器实例 静态路由：自定义 表5 ER路由表1 目的地址 下一跳 路由类型 0.0.0.0/0 VPC3连接：er-attach-inspection 静态路由 表6 ER路由表2 目的地址 下一跳 路由类型 VPC1网段：10.1.0.0/16 VPC1连接：er-attach-01 传播路由 VPC2网段：10.2.0.0/16 VPC2连接：er-attach-02 传播路由

创建桶 对象存储服务 （Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。对象（Object）是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息（元数据）的集合体。桶（Bucket）是OBS中存储对象的容器。 用户使用数据快递服务传输的数据，最终都以对象的形式保存在OBS的桶中。因此使用DES将数据存储到OBS，需先创建供数据存放的桶。创建桶具体操作请参见OBS创建桶。 父主题： Teleport方式详细指导

操作步骤 登录DES管理控制台。 在操作列单击“下载签名文件”，将签名文件下载到本地。 将下载到本地的签名文件导入“teleportshare”根目录。 签名文件是服务单与Teleport设备一一对应的唯一标识，一个服务单生成一个签名文件。管理员收到Teleport设备后，将Teleport设备挂载到服务器上，系统根据签名文件自动匹配服务单，避免人为干预带来的误操作。签名文件信息如表1。 表1 签名文件 参数 说明 version 服务版本号。 OrderURN 包括服务名称、服务区域、标识码和服务单号。

设备上电 连线完成后，Teleport设备需要上电检查运行状态。上电时只需按一下电源按钮。当控制框电源指示灯绿色闪烁，表示Teleport设备开始正常上电。系统正常上电后指示灯状态如图1和表1。 存储系统上电前，请确保所有线缆已经全部正确连接。上电后再调整线缆连接方式可能导致存储系统异常。 对于配置两个控制器的存储系统，初次上电或清除系统配置后重新上电存储系统前，请确保控制器A连线正常并位于控制框中，否则会导致存储系统上电失败。 上电过程中，请不要插拔光纤、网线、保险箱盘或接口模块，以免丢失系统数据。 请勿长按电源按钮，长按超过5秒钟将导致存储系统下电。 存储系统上电需要15~30分钟。 图1 Teleport设备指示灯（前视图） 表1 指示灯状态说明 编号 说明 1 硬盘模块运行指示灯（绿色常亮） 2 硬盘模块定位/告警指示灯（熄灭） 3 控制框定位指示灯（蓝色闪烁） 4 控制框告警指示灯（熄灭） 5 控制框电源指示灯/电源按钮（绿色常亮） 父主题： 接收设备并连线配置

Teleport是什么？ Teleport设备是一种用于海量数据传输的定制高性能存储设备，是Teleport方式数据快递服务的迁移介质。由华为数据中心寄送Teleport设备给用户，用户将数据拷贝至Teleport存储系统中邮寄给华为，实现数据迁移至对象存储服务（Object Storage Service，OBS）。通过Teleport设备，可实现4天内完成60TB数据上传到华为云，Teleport设备具有强大性能特征： 支持防尘防水、抗震抗压、安全锁； 支持NFS/CIFS/FTP数据源导入OBS； 支持小文件自动合并，提升读写效率； 军工级机箱，适应全天候物流场景，保障安全传输； 支持60TB/120TB可用容量； 支持2*10GE高速接口。 表1 Teleport设备规格参数 设备尺寸 重量 电源功耗 机架空间 95.5cm（H）55.9cm（W）24.4cm（D） 40kg 220V/366W 无需 父主题： 服务概念类

如何使用Teleport？ 您在收到华为数据中心邮寄Teleport设备箱后，请务必先验证设备箱完好无损，且标识清晰。Teleport使用主要包括以下五步： 表1 使用Teleport 主要操作 操作说明 设备开箱 打开签收后的Teleport设备箱。 连线配置 配置业务网络连线和管理网络连线，连接本地服务器与Teleoport设备。 设备上电 上电运行Teleport设备，准备拷贝数据至Teleport根目录。 拷贝数据 Teleport存储系统使用共享文件方式来拷贝数据，通过挂载共享路径，将数据拷贝至共享路径，即数据拷贝至Teleport存储系统中。CIFS共享文件系统使用的客户端是Windows操作系统，NFS共享文件系统使用的客户端是Linux或Unix操作系统。 设备下电和封装 确保待传输数据和签名文件全部上传到Teleport后，下电封装Teleport设备到设备箱，回邮Teleport设备箱。 父主题： 服务操作类

数据通过Teleport传输，如何保证安全性？ Teleport设备防尘防水、抗震抗压、安全锁，确保数据在寄送途中的万无一失。 华为数据中心管理员在接收到Teleport并挂载后，通过用户自己输入的访问密钥（AK/SK）触发数据自动上传，华为人员全程不接触用户数据，确保数据的安全。 通过DES传输的数据最终存放在对象存储服务OBS中，OBS服务支持SSL加密、ACL权限控制、桶策略等安全保障机制，且数据分片随机存储在不同硬盘上，保障数据的存储、访问安全。 父主题： 服务安全类

“源数据”参数与“teleportshare”的区别？ “源数据”参数是可选参数，解决用户有不同数据目录源，导入到不同的目的桶或不同的目录的需求问题。为待传输数据设置指定目录。“源数据”参数未关联到Teleport设备，仅用于指导华为数据中心后台将用户对数据的不同预设需求，导入到创建目的桶中。 “teleportshare”是共享文件系统的路径名称，在Teleport出厂时由华为数据中心创建，用户无需自己创建，可直接拷贝待传输数据到共享文件系统。可理解为用户拷贝待传输数据到“teleportshare”路径下，而待传输数据的文件或文件夹的名称为“源数据”。 父主题： 服务概念类

从创建DES服务单到数据导入华为云需要多长时间？ 整个过程受数据量、文件类型、拷贝介质速度、网络带宽、物流地点及时长等诸多因素的影响，暂无标准的周期限制。 下面以某天津客户使用DES将数据导入至华北-北京四区域为例，提供整个过程各阶段时长作为参考。 受过程中的诸多因素影响，以下数据仅供参考，不代表华为云的最终承诺。 表1 数据导入周期参考值 导入方式 邮寄Teleport到客户数据中心（天） 拷贝数据到Teleport/磁盘（天） 邮寄Teleport/磁盘到华为数据中心（天） 上传数据到华为云(天) 回寄磁盘(天) 总预计耗时(天) Teleport方式 （60TB） 5 6 5 6 N/A 22 Teleport方式 （120TB） 5 12 5 12 N/A 34 磁盘方式 （1TB） N/A 3 4 3 4 14 父主题： 服务概念类

修订记录 发布日期 修订记录 2021-08-12 第十一次正式发布。 本次更新说明如下： 新增“DES数据导入需要多长时间”问题及答案。 2020-01-10 第十次正式发布。 本次更新说明如下： 新增“Teleport邮寄需要多长时间”问题及答案。 2019-06-19 第九次正式发布。 本次更新说明如下： 新增“哪些状态下能修改已创建的服务单？”问题及答案。 2019-05-17 第八次正式发布。 本次更新说明如下： 新增“用户寄送设备到华为数据中心”服务单状态释义； 优化和精简问答对，删除冗余问题。 2019-02-28 第七次正式发布。 本次更新说明如下： 新增“DES能提供导出数据服务吗？”问题及答案； 新增“DES邮寄的设备损坏了怎么办？”问题及答案； 新增“使用DES磁盘方式如何邮寄磁盘？”问题及答案； 优化“Teleport存储容量有多大？”答案； 优化“DES传输的数据最终存放在哪里？”答案。 2019-01-18 第六次正式发布。 本次更新说明如下： 新增““源数据”参数与“teleportshare”的区别”问题及答案； 新增“使用DES把数据上传到OBS后，数据目录结构会变化吗？”问题及答案。 2018-11-30 第五次正式发布。 本次更新说明如下： 新增“一个服务单支持多块磁盘”的答案。 更新“磁盘方式支持文件系统类型”的答案。 2018-09-08 第四次正式发布。 本次更新说明如下： 优化Teleport方式服务问题和答案； 优化磁盘方式服务问题和答案。 2018-06-15 第三次正式发布。 本次更新说明如下： 新增服务单状态问题和答案； 新增费用管理问题及答案。 2018-03-30 第二次正式发布。 本次更新说明如下： DES新增Teleport数据迁移方式。 2016-09-30 第一次正式发布。

使用DES磁盘方式如何邮寄磁盘？ 用户将签名文件和待传输数据拷贝到磁盘后，需自己封装待邮寄磁盘，确保在邮寄途中磁盘完好，并联系附近的物流点，将设备邮寄到华为数据中心。邮寄地址请登录DES管理控制台，查看服务单详情获取数据中心地址、联系人和联系电话。DES不提供邮寄磁盘途中的封装服务，“邮寄磁盘”途中因包装损坏导致的磁盘问题，由用户承担责任。DES只提供回寄磁盘的封装，并确保磁盘完好回寄给用户。 此外，因华为数据中心管理要求，用户不能自行配送磁盘到华为数据中心，DES仅支持用户通过邮寄方式运输磁盘实现数据传输。 父主题： 服务操作类

DES与普通网络数据传输相比有哪些优势？ 和普通的网络传输相比，DES有很多优势： 更高效快速的传输 用户将数据通过Teleport或磁盘这些存储设备邮寄到数据中心，数据中心管理人员对存储设备进行连线配置，然后通过内部网络进行高速数据传输，传输速度可达Internet传输速度的10倍，大大提高了数据传输速率，节省时间。 大容量：Teleport单机支持60TB/120TB可用容量，专为大量数据上云设计。 高带宽：Teleport支持2*10GE高速接口。 数据更安全 Teleport设备具有防尘防水，抗震抗压、安全锁功能。 华为数据中心管理员将存储介质挂载到物理服务器后，由用户上传访问密钥（AK/SK）触发数据传输。华为人员全程不接触客户密钥及客户数据，确保数据在传输过程中的安全。 数据最终存储在对象存储服务（OBS）中，OBS服务具有强大的安全保障机制，支持SSL加密、ACL、桶策略、数据分片存储等。 成本低、经济实惠 按量收费，数据传输成本可低至使用高速Internet费用的五分之一。 零维护成本，无需专人维护。 父主题： 服务概念类

Teleport邮寄需要多长时间？ 创建Teleport服务单成功后，我们会立即将Teleport设备从华为云数据中心邮寄至您服务单中填写的收货地址。 邮寄时间主要受物流运输距离影响。不同距离所需的邮寄时间可参考表1，受外部因素影响可能存在浮动。 表1 不同物流运输距离的参考邮寄时间 距离（km） 参考邮寄时间（天） 0~400 1 401~800 2 801~1200 3 1201~1600 4 1601~2200 5 2201~2800 6 2801~4200 7 4201~5000 8 华为云数据中心分布在不同区域，实际发货的数据中心为您创建服务单时所选区域的数据中心，详细地址可在DES管理控制台的服务单详情中获取。 父主题： 服务概念类

DES邮寄的设备损坏了怎么办？ 使用DES邮寄设备可能会遇到设备故障问题，在不同邮寄场景分别由华为数据中心和用户负责。 用户“邮寄磁盘”途中导致的磁盘损坏问题，由用户承担全部责任。 用户接收Teleport设备前，导致的Teleport设备损坏问题，由华为数据中心承担责任，并提供完好Teleport设备。 华为数据中心接口人安排的回寄物流启动后，导致的Teleport设备损坏问题，二次传输时产生的费用全免，并配合用户保障数据完整传入OBS。 华为数据中心接收邮寄的磁盘后，导致的磁盘损坏问题，二次传输时产生的全部费用全免，且赔偿用户新的磁盘，并配合用户保障数据完整传入OBS。 父主题： 服务操作类

什么是DES？ 数据快递服务（Data Express Service，DES）是面向TB到数百TB级数据上云的传输服务，它使用物理存储介质（Teleport设备、外置USB硬盘驱动器、SATA硬盘驱动器、SAS硬盘驱动器等）向华为云传输大量数据。使用DES可解决海量数据传输的难题（包括高昂网络成本、较长传输时间等），DES传输数据的速度可达到1000Mbps，相当于高速Internet传输速度的10倍，但是成本却低至高速Internet费用的五分之一。使用DES不占用用户公网带宽，不与主营业务争抢带宽资源。 DES目前支持Teleport和磁盘两种数据传输方式。磁盘方式适用于30TB以下的数据量迁移，Teleport方式适用于30TB~500TB的数据量迁移，500TB以上的数据量建议通过专线迁移。另外Teleport方式由华为数据中心邮寄Teleport设备给用户使用，而磁盘方式用户需自己准备磁盘。请参考表1选择合理方式。 表1 数据传输方式适用场景 传输方式 适用场景 迁移介质 迁移介质获取方式 Teleport方式 30TB~500TB的数据量迁移，500TB以上建议通过专线迁移 用户无法提供大容量的存储介质 用户需要快速迁移数据，对传输速率，传输时间要求比较紧急 Teleport单设备支持60TB和120TB两种规格。 华为数据中心邮寄Teleport设备给用户 磁盘方式 30TB以下的数据量迁移 外置USB硬盘、SATA接口硬盘、SAS接口硬盘。 各类磁盘支持的详细规格、接口及文件系统请参见使用DES磁盘方式对磁盘有什么要求？。 用户需自己准备磁盘 借助DES，用户无需编写任何代码或购买任何硬件即可传输数据。只需在DES管理控制台中创建服务单，通过Teleport设备或者磁盘两种物理存储介质，实现用户数据安全、快速、高效传输至华为云。 父主题： 服务概念类