华为云用户手册

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的E CS 配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。 云审计 服务（Cloud Trace Service，以下简称 CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用 Web应用防火墙 （Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 CodeArts Inspector启用检查 漏洞管理服务（ CodeArts Inspector）是针对网站进行 漏洞扫描 的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用CodeArts Inspector服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机 启用检查 云 堡垒机 （Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的账号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全 服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

安全上云合规检查—身份与访问管理 表2 身份与访问管理风险项检查项目 检查项目 检查内容 IAM 用户启用检查 启用 统一身份认证 （Identity and Access Management，IAM）服务后，系统默认用户组admin中的IAM用户，可以使用华为云所有服务。 检查所有IAM用户列表，是否已启用至少两个IAM用户，以及IAM用户所属的用户组是否都为admin用户组。 IAM用户开启登录保护检查 在IAM的安全设置中启用登录保护后，登录时还需要通过虚拟MFA或短信或邮件验证，再次确认登录者身份，进一步提高账号安全性，有效避免钓鱼式攻击或者用户密码意外泄漏，保护您安全使用云产品。 检查在IAM的安全设置中是否开启登录保护。 IAM用户开启操作保护检查 在IAM的安全设置中开启操作保护后，主账户及子用户在控制台进行敏感操作（如：删除弹性云服务器、解绑弹性IP等）时，将通过虚拟MFA、手机短信或邮件再次确认操作者身份，进一步提高账号安全性，有效保护您安全使用云产品。 检查IAM用户是否开启操作保护。 管理员账号AK/SK启用检查 访问密钥（AK/SK，Access Key ID/Secret Access Key）是账号的长期身份凭证。 由于管理员具有IAM用户管理权限，且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患，建议管理员账号不启用AK/SK身份凭证。 检查管理员账户是否启用访问密钥。 IAM用户密码配置检查 IAM用户的密码策略建议设置强密码策略。建议满足以下要求：包含以下字符中的3种：大写字母、小写字母、数字和特殊字符；密码最小长度为8；新密码不能与最近的历史密码相同（重复次数设置为3） 检查IAM用户的密码策略是否符合要求。 IAM登录验证策略（账号锁定策略）检查 拥有安全管理员权限（Security Administrator权限）的用户可以设置登录验证策略来提高用户信息和系统的安全性。 IAM允许用户设置账号锁定策略，即如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。 建议设置为在60分钟内登录失败5次，用户被锁定。 检查账号锁定策略是否设置为在60分钟内登录失败5次，用户被锁定。 IAM登录验证策略（账号锁定时限）检查 拥有安全管理员权限（Security Administrator权限）的用户可以设置登录验证策略来提高用户信息和系统的安全性。 用户可设置账号锁定策略，即如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。 IAM应允许用户设置账号锁定时间，且在此期间用户将无法输入密码。账号锁定时限建议设置为15分钟。 检查账号锁定时限是否设置为15分钟。 IAM密码策略（防止密码重复使用）检查 IAM允许用户设置密码策略。 启用防止密码重复使用规则后，新密码不能与最近使用的密码相同。 检查IAM密码策略是否启用密码重复使用规则，且重复次数小于五次。 会话超时策略检查 IAM允许用户设置会话到期时间。如果用户超过设置的时长未操作界面，会话将会失效，需要重新登录。 检查会话时限是否设置为15分钟。 账号停用策略检查 IAM用户可以通过使用用户名和密码登录华为云控制台。如果用户在90天或更长时间内未登录控制台，建议禁用该用户的控制台访问权限。 检查账号停用策略是否启用，且有效期设置为90天。 IAM用户密码强度检查 IAM用户的登录密码建议设置为安全程度强的密码。 IAM用户设置的登录密码分为弱、中、强三个级别。安全性高的密码可以使账号更安全，建议您定期更换密码以保护账号安全。 检查IAM用户的密码强度是否为最高级别。 CBH实例登录开启多因子认证检查 通过Web浏览器或SSH客户端登录CBH实例时应开启用户的多因子认证，进一步提高堡垒机账号安全性。多因子认证方式有：手机短信、手机令牌、USBKey、动态令牌。 检查CBH实例是否已开启多因子认证。

约束与限制 SA基础版暂不支持使用基线检查功能。标准版暂不支持云服务基线查看详情功能。为及时了解云服务配置状态，以及确保云服务的配置的合理性，建议您购买专业版。 操作账号权限检查。使用基线检查功能时，除了需要“SA FullAccess”、“SA ReadOnlyAccess”策略权限，还需要“Tenant Administrator”权限和IAM相关权限，请提前授予操作账号对应权限。 “Tenant Administrator”权限和IAM相关权限配置详细操作请参见配置基线检查功能所需的权限。 基线检查功能为Region级别功能，具体上线region请以SA控制台显示为准。

背景信息 态势感知 提供基础版、标准版、专业版供您选择。 用户可 免费体验 基础版。 基础版仅提供检测部分威胁风险，呈现一定云上资产安全态势。 为及时和深入了解资产安全状况，确保云上资产安全，建议您升级为标准版或专业版。 标准版提供一定种类的 威胁检测 和分析服务，包括威胁分析、告警设置、主机漏洞、安全日志管理等功能。若需要使用标准版，你需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 专业版提供更多种类的威胁检测和分析服务，包含威胁分析、告警设置、主机漏洞、网站漏洞、基线检查、安全日志管理及综合大屏等功能。若需使用专业版服务，您需根据全局资产数购买配额，一个资产配额支持全方位防护一台资产。 更多基础版、标准版、专业版功能差异，请参见服务版本差异。 综合大屏提供“综合态势感知大屏”和“主机安全态势大屏”两种大屏模式，集中展示云上综合安全态势和主机安全状况。综合大屏功能为专业版额外选购付费项目，您可以在购买资产配额后，参考开通综合大屏再购买。 基础版不支持退订。 标准版不支持直接升级到专业版，且专业版也不支持直接变更到标准版。如需使用对应版本，需退订当前版本后再进行购买。 标准版仅支持通过包周期计费模式进行购买。 不支持部分配额购买标准版，部分配额购买专业版。 综合大屏为专业版额外选购付费项目，如需使用综合大屏，请先购买专业版。

续费相关的功能 包年/包月态势感知续费相关的功能如表1所示。 表1 续费相关的功能 功能 说明 手动续费 包年/包月态势感知从购买到被自动删除之前，您可以随时在SA控制台续费，以延长态势感知的使用时间。 自动续费 开通自动续费后，态势感知会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。 在包年/包月态势感知生命周期的不同阶段，您可以根据需要选择一种方式进行续费，具体如图1所示。 图1 态势感知生命周期 态势感知从购买到到期前，处于正常运行阶段，功能均可用。 到期未续费时，态势感知首先会进入宽限期，宽限期到期后仍未续费，资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期，如果保留期内仍未续费，资源将被自动删除。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 在态势感知到期前均可开通自动续费，到期前7日凌晨3:00首次尝试自动续费，如果扣款失败，每天凌晨3:00尝试一次，直至态势感知到期或者续费成功。到期前7日自动续费扣款是系统默认配置，您也可以根据需要修改此扣款日。

适用计费项 以下计费项支持按需计费： 表1 适用计费项 计费项 说明 服务版本+ECS主机配额 购买的服务版本+ECS主机配额，仅专业版支持按需购买。 安全大屏 随按需计费态势感知版本的基础上额外购买的安全大屏功能，其计费模式也为按需计费。 假设您计划购买1个主机配额的专业版态势感知，并同时购买了安全大屏，且选择按需计费。在购买态势感知页面底部，您将看到所需费用的明细，如下图所示： 图1 配置费用示例 配置费用将包括以下部分： 专业版：根据所选版本和设置主机配额计算的费用。 安全大屏：购买安全大屏的费用。

计费示例 假设您在2023/06/08 9:59:30购买了一个主机配额按需计费的专业版态势感知（版本：专业版，主机配额：1），同时购买了安全大屏，然后在2023/06/08 10:45:46将其删除。服务版本+主机配额和安全大屏的计费周期如下： 第一个计费周期为9:00:00 ~ 10:00:00，在9:59:30 ~ 10:00:00间产生费用，该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00，在10:00:00 ~ 10:45:46间产生费用，该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费，各项资源单独计费，计费公式如表2所示。产品价格详情中标出了资源的每小时价格，您需要将每小时价格除以3600，得到每秒价格。 表2 计费公式 资源类型 计费公式 服务版本+ECS主机配额 服务版本+ECS主机配额单价 * 计费时长 安全大屏 安全大屏单价 * 计费时长 图2给出了上述示例配置的费用计算过程。 图中价格仅供参考，请以最终订单的价格为准，具体可参见态势感知价格详情。 图2 按需计费态势感知费用计算示例

变更配置后对计费的影响 如果您在购买按需计费实例后变更了主机配额，会产生一个新订单并开始按新配置的价格计费，旧订单自动失效。 如果您在一个小时内变更了主机配额，将会产生多条计费信息。每条计费信息的开始时间和结束时间对应不同配置在该小时内的生效时间。 例如，您在9:00:00购买了1个主机配额的专业版态势感知，并在9:30:00增加为2个主机配额，那么在9:00:00 ~ 10:00:00间会产生两条计费信息。 第一条对应9:00:00 ~ 9:30:00，按照1个主机配额的专业版计费。 第二条对应9:30:00 ~ 10:00:00，按照2个主机配额的专业版计费。

计费周期 按需计费SA资源按秒计费，每一个小时整点结算一次费用（以UTC+8时间为准），结算完毕后进入新的计费周期。计费的起点以SA购买成功的时间点为准，终点以实例取消按需计费成功的时间点为准。 例如，您在8:45:30购买了1个主机配额的专业版态势感知（未购买安全大屏），然后在8:55:00将其取消，则计费周期为8:00:00 ~ 9:00:00，在8:45:30 ~ 8:55:30间产生费用，该计费周期内的计费时长为600秒。

计费周期 包年/包月态势感知的计费周期是根据您购买的时长来确定的（以UTC+8时间为准）。一个计费周期的起点是您开通或续费资源的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/06/30 15:50:04购买了1个主机配额的专业版时长为一个月的态势感知（未购买安全大屏），那么其计费周期为：2023/06/30 15:50:04 ~ 2023/07/30 23:59:59。

到期后影响 图3描述了包年/包月态势感知资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图3 包年/包月态势感知生命周期 到期预警 包年/包月态势感知资源在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月态势感知资源到期未续费，首先会进入宽限期，宽限期内您可以正常使用态势感知服务。 如果您在宽限期内仍未续费包年/包月态势感知资源，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期的时长由客户等级来定，详细信息请参见保留期。 保留期到期后，若包年/包月态势感知资源仍未续费，那么态势感知资源将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

适用计费项 以下计费项支持包年/包月： 表1 适用计费项 计费项 说明 服务版本+ECS主机配额 购买的服务版本+ECS主机配额。 安全大屏 在包年/包月态势感知专业版本的基础上额外购买的安全大屏功能，其计费模式也为包年/包月。 假设您计划购买1个主机配额的专业版态势感知，并同时购买了安全大屏，且选择包年/包月计费（购买时长为1个月）。在购买态势感知页面底部，您将看到所需费用的明细，如下图所示： 图1 配置费用示例 配置费用将包括以下部分： 专业版：根据所选版本和设置主机配额数计算的费用。 安全大屏：购买安全大屏的费用。

变更配置后对计费的影响 当前包年/包月态势感知的规格不满足您的业务需要时，您可以在态势感知控制台发起变更版本和安全大屏操作，变更时系统将按照如下规则为您计算变更费用： 版本升级或增加安全大屏：新配置价格高于老配置价格，此时您需要支付新老配置的差价。 态势感知暂不支持降级。升级后如需使用低版本态势感知，请先进行退订再进行购买。 这里以升级服务版本且无任何优惠的场景为例，假设您在2023/06/08购买了一个主机配额包年/包月标准版态势感知（版本：标准版，主机配额：1），购买时长为1个月，计划在2023/06/18变更版本为专业版。旧配置价格为10 元/月，新配置价格为150 元/月。计算公式如下： 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。本示例中，剩余周期=12（6月份剩余天数）/ 30（6月份最大天数）+ 8（7月份剩余天数）/ 31（7月份最大天数）=0.6581，代入公式可得升配费用=150*0.6581-10*0.6581=92.13（元） 更多信息请参见变更资源规格费用说明。

计费示例 假设您在2023/06/30 15:50:04购买了1个主机配额包年/包月专业版态势感知（版本：专业版，主机配额：1），还购买了安全大屏，计费资源包括专业版、主机配额、安全大屏。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/06/30 15:50:04 ~ 2023/07/30 23:59:59 第二个计费周期为：2023/07/30 23:59:59 ~ 2023/08/30 23:59:59 您需要为每个计费周期预先付费，计费公式如表2所示。 表2 计费公式 资源类型 计费公式 服务版本+ECS主机配额 (服务版本+ECS主机配额) * 购买时长 安全大屏 安全大屏价格 * 购买时长 图2给出了上述示例配置的费用计算过程。 图中价格仅供参考，请以最终订单的价格为准，具体可参见态势感知价格详情。 图2 包年/包月态势感知费用计算示例

方案架构 通过分析，可以使用独享型负载均衡的跨VPC后端功能（配置混合负载均衡）来实现将云上、云下多台后端服务器添加至ELB。 如图2所示： 无论是否开启跨VPC后端功能，均可添加弹性负载均衡所在VPC内的后端服务器至ELB后端服务器组。 独享型负载均衡器开启跨VPC后端功能后： 通过云专线或VPN，支持将云下用户数据中心的服务器添加至ELB后端服务器组。 通过在云上VPC之间建立对等连接，支持将其他VPC内的服务器添加至ELB后端服务器组。 通过跨VPC后端功能添加ELB同VPC中的服务器至ELB后端服务器组。 图2 添加服务器至ELB

方案优势 独享型负载均衡实例支持混合负载均衡的能力，后端服务器组不仅支持添加云上同VPC内的服务器，还支持跨VPC添加云上其他VPC和云下数据中心的服务器。帮助用户根据业务诉求灵活配置，将流量请求转发到云上、云下的服务器上。 独享型负载均衡支持在后端服务器组中添加云上同VPC内的服务器。 跨VPC添加云上其他VPC中的服务器，需要先在ELB所在的VPC和云上其他VPC之间建立对等连接，然后通过跨VPC功能添加 通过跨VPC功能添加云下数据中心的服务器，需要先通过云专线或VPN连通云上ELB所在的VPC和云下数据中心。

定位异常服务器 筛选异常日志如下： 1554944564.344 - [2019-04-11T09:02:44+08:00] elb 10.133.251.171:51527 500 "GET http://10.154.73.58/lrange/guestbook HTTP/1.1" 411 3726 3545 19.028 "500" "0.009" "19.028" "19.028" "172.17.0.82:3000" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36" "http://10.154.73.58:5971/" "-" loadbalancer_ed0f790b-e194-4657-9f97-53426227099e listener_b21dd0a9-690a-4945-950e-b134095c6bd9 6b6aaf84d72b40fcb2d2b9b28f6a0b83 分析日志： 在 [2019-04-11T09:02:44+08:00 时，ELB接收到客户端地址和端口 （10.133.251.171:51527） 发起的 “GET / HTTP/1.1” 请求，ELB将请求转发给后端服务器（172.17.0.82:3000）处理，后端服务器响应状态码500。ELB最终向客户端响应状态码500。 具体字段分析可参照访问日志。 分析结果： 后端服务器（172.17.0.82:3000）异常，不能正常响应请求。 “172.17.0.82:3000”是后端服务器的私网IP。

步骤六：将ECS添加至ELB后端服务器组 单击上述创建的独享型负载均衡ELB-Test名称。 切换到“监听器”页签，单击上述所创建的HTTP监听器。 切换至右边的“后端服务器组”页签，单击“跨VPC后端”。 图11 跨VPC后端 单击“添加跨VPC后端”，设置相关参数，完成后单击“确定”。详见《弹性负载均衡用户指南》。 跨VPC后端IP：172.17.0.145（ECS-Test的私网IP） 后端端口：填写业务端口 权重：根据需要设置 图12 添加跨VPC后端

步骤三：添加对等连接路由 在虚拟私有云控制台单击左侧“路由表”。 单击右上角的“创建路由表”。 根据表1创建路由表Route-VPC-Test-01，完成后单击“确定”。详见《虚拟私有云用户指南》。 路由表名称：Route-VPC-Test-01 所属VPC：VPC-Test-01 目的地址：172.17.0.0/24 下一跳类型：对等连接 下一跳：Peering-Test 图6 创建路由表Route-VPC-Test-01 重复3~4，参考表1规划，创建Route-VPC-Test-02。 路由表名称：Route-VPC-Test-02 所属VPC：VPC-Test-02 目的地址：172.18.0.0/24 下一跳类型：对等连接 下一跳：Peering-Test

步骤七：验证跨VPC添加后端服务器是否成功 单击上述创建的独享型负载均衡ELB-Test操作列的“更多”。 选择“绑定IPv4公网IP”，给ELB-Test绑定一个弹性公网IP（EIP-Test：119.3.233.52）。 图13 ELB绑定EIP 使用浏览器访问“http://119.3.233.52/”，显示如下页面，说明本次访问请求被ELB实例转发到后端服务器“ECS-Test”上，“ECS-Test”正常处理请求并返回请求的页面。 图14 验证跨VPC添加后端服务器是否成功

资源和成本规划 资源的实际费用以华为云管理控制台显示为准。 表1 资源规划 资源 资源名称 资源说明 数量 每月费用（元） VPC VPC-Test-01 创建独享型负载均衡（ELB-Test）所在VPC： 172.18.0.0/24 1 00.00 VPC-Test-02 服务器（ECS-Test）所在的VPC： 172.17.0.0/24 1 00.00 对等连接 Peering-Test 在ELB所在的VPC和云上其他VPC之间建立对等连接 本端VPC网段：172.18.0.0/24 对端VPC网段：172.17.0.0/24 1 00.00 路由表 Route-VPC-Test-01 创建对等连接路由，所属VPC：VPC-Test-01 目的地址：172.17.0.0/24 1 00.00 Route-VPC-Test-02 创建对等连接路由，所属VPC：VPC-Test-02 目的地址：172.18.0.0/24 1 00.00 ELB ELB-Test 独享型负载均衡 1 400 本例使用的是华东-上海一， 应用型(HTTP/HTTPS) | 小型 I 网络型(TCP/UDP) | 小型 I EIP EIP-Test 用于给ELB-Test绑定的弹性公网IP 119.3.233.52 1 115 本例使用的是华东-上海一，带宽5M。 ECS ECS-Test ECS所属VPC：VPC-Test-02 私网IP：172.17.0.145 1 267.78 本例使用的是华东-上海一，c7.large.2，CentOS7.6操作系统的云服务器。包含系统盘价格。

基于HTTP请求头实现新旧版本应用平滑过渡 公司的应用分为中文和英文两个语言，通过配置转发规则为“HTTP请求头”的高级转发策略，实现将来自客户端的英文请求转发至旧版本应用上，将来自客户端的中文请求转发至新版本应用上。以此种方式运行一段时间后，确认新版本应用无问题后，再将所有请求全部切换至新版本应用。 图8 基于HTTP请求头实现新旧版本应用平滑过渡 单击上述创建的独享型负载均衡ELB-Test名称。 切换至“监听器”页签，单击上述创建的HTTP监听器名称。 切换至右边的“转发策略”页面，单击“添加转发策略”。 转发至旧版本应用：在下拉列表中选择“HTTP请求头”，键是“Accept-Language”，值是“en-us”，动作选择“转发至后端服务器组”，后端服务器组选择“Server_Group-Test01”。 图9 基于HTTP请求头将部分请求转发至旧版本应用上 单击“保存”。 参考步骤3和步骤4再添加一个转发策略，实现将请求转发至新版本应用上。 转发至新版本应用：在下拉列表中选择“HTTP请求头”，键是“Accept-Language”，值是“zh-cn”，动作选择“转发至后端服务器组”，后端服务器组选择“Server_Group-Test02”。 图10 基于HTTP请求头将部分请求转发至新版本应用上

基于查询字符串实现新旧版本应用平滑过渡 公司的应用部署在区域1和区域2，通过配置转发规则为“查询字符串”的高级转发策略，实现将客户端对区域1业务的请求转发至旧版本应用上，将客户端对区域2业务的请求转发至新版本应用上。以此种方式运行一段时间后，确认新版本应用无问题后，再将所有请求全部切换至新版本应用。 图11 基于查询字符串实现新旧版本应用平滑过渡 独享型负载均衡支持跨区域、跨VPC添加后端服务器。 该方案需要先使用云连接服务连通区域1和区域2，然后再使用独享型ELB的跨VPC后端功能将区域1和区域2中的服务器分别添加至ELB的后端服务器组01和后端服务器02中。 单击上述创建的独享型负载均衡ELB-Test名称。 在“监听器”页签，单击上述创建的HTTP监听器名称。 切换至右边的“转发策略”页面，单击“添加转发策略”。 转发至旧版本应用：在下拉列表中选择“查询字符串”，键是“region”，值是“region01”，动作选择“转发至后端服务器组”，后端服务器组选择“Server_Group-Test01”。 图12 基于查询字符串将部分请求转发至旧版本应用上 单击“保存”。 参考步骤3和步骤4再添加一个转发策略，实现将请求转发至新版本应用上。 转发至新版本应用：在下拉列表中选择“查询字符串”，键是“region”，值是“region02”，动作选择“转发至后端服务器组”，后端服务器组选择“Server_Group-Test02”。 图13 基于查询字符串将部分请求转发至新版本应用上

操作流程 图1 操作流程图 表1 资源规划 资源名称 资源类型 说明 ELB-Test 独享型ELB 独享型ELB支持高级转发策略，因此需创建独享型ELB实例。 Server_Group-Test01 后端服务器组 用于管理部署了旧版本业务的ECS。 Server_Group-Test02 后端服务器组 用于管理部署了新版本业务的ECS。 ECS01 弹性云服务器 上面部署了旧版本业务，添加至Server_Group-Test01。 ECS02 弹性云服务器 上面部署了旧版本业务，添加至Server_Group-Test01。 ECS03 弹性云服务器 上面部署了旧版本业务，添加至Server_Group-Test01。 ECS04 弹性云服务器 上面部署了新版本业务，添加至Server_Group-Test02。 ECS05 弹性云服务器 上面部署了新版本业务，添加至Server_Group-Test02。 ECS06 弹性云服务器 上面部署了新版本业务，添加至Server_Group-Test02。 本最佳实践中，独享型ELB和ECS均在同一VPC中。在实际应用中，如果您的ECS和ELB不在同一VPC中，可以跨VPC添加ECS至ELB的后端服务器组中，详细请参考跨VPC添加服务器至负载均衡器。

创建后端服务器组并添加后端服务器 单击上述创建的独享型负载均衡ELB-Test名称。 在监听器页签，单击右上角的“创建后端服务器组”。 名称：Server_Group-Test01 后端协议：HTTP 其他参数根据需要设置。 参考步骤2再添加后端服务器组Server_Group-Test02。 图4 添加后端服务器组 单击后端服务器组Server_Group-Test01名称，添加ECS01、ECS02、ECS03至Server_Group-Test01。 单击后端服务器组Server_Group-Test02名称，添加ECS04、ECS05、ECS06至Server_Group-Test02。

基于HTTP请求方法实现新旧版本应用平滑过渡 通过配置转发规则为“HTTP请求方法”的高级转发策略，实现将来自客户端的GET和DELETE请求转发至旧版本应用上，将来自客户端的POST和PUT请求转发至新版本应用上。以此种方式运行一段时间后，确认新版本应用无问题后，再将所有请求全部切换至新版本应用。 图5 基于HTTP请求方法实现新旧版本应用平滑过渡 单击上述创建的独享型负载均衡ELB-Test名称。 在“监听器”页签，单击上述创建的HTTP监听器名称。 切换至右边的“转发策略”页面，单击“添加转发策略”。 转发至旧版本应用：在下拉列表中选择“HTTP请求方法”，选择“GET”和“DELETE”，动作选择“转发至后端服务器组”，后端服务器组选择“Server_Group-Test01”。 图6 基于HTTP请求方法将部分请求转发至旧版本应用上 单击“保存”。 参考步骤3和步骤4再添加一个转发策略，实现将请求转发至新版本应用上。 转发至新版本应用：在下拉列表中选择“HTTP请求方法”，选择“PUT”和“POST”，动作选择“转发至后端服务器组”，后端服务器组选择“Server_Group-Test02”。 图7 基于HTTP请求方法将部分请求转发至新版本应用上

步骤七：验证通过跨VPC后端功能添加同VPC后端服务器组是否成功 单击上述创建的独享型负载均衡ELB-Test操作列的“更多”。 选择“绑定IPv4公网IP”，给ELB-Test绑定一个弹性公网IP（EIP-Test：120.46.131.153）。 图10 ELB绑定EIP 使用浏览器访问“http://120.46.131.153/”，显示如下页面，说明本次访问请求被ELB实例转发到后端服务器“ECS-Test”上，“ECS-Test”正常处理请求并返回请求的页面。 图11 验证通过跨VPC后端功能添加同VPC后端服务器是否成功

资源和成本规划 资源的实际费用以华为云管理控制台显示为准。 表1 资源规划 资源 资源名称 资源说明 数量 每月费用（元） VPC vpc-peering 创建独享型负载均衡（ELB-Test）和ECS-Test所在VPC： 规划网段：10.1.0.0/16 1 00.00 对等连接 Peering-Test 在ELB所在的VPC和云上其他VPC之间建立对等连接 本端VPC网段：10.1.0.0/16 对端VPC网段：任选 1 00.00 路由表 Route-VPC-Test-01 创建对等连接路由，所属VPC：VPC-Test-01 目的地址：10.1.0.0/16 1 00.00 ELB ELB-Test 独享型负载均衡（ELB-Test） 私网IP：10.1.0.9 1 400 本例使用的是华东-上海一， 应用型(HTTP/HTTPS) | 小型 I 网络型(TCP/UDP) | 小型 I EIP EIP-Test 用于给ELB-Test绑定的弹性公网IP 120.46.131.153 1 115 本例使用的是华东-上海一，带宽5M。 ECS ECS-Test ECS所属VPC：vpc-peering 私网IP：10.1.0.56 1 267.78 本例使用的是华东-上海一，c7.large.2，CentOS7.6操作系统的云服务器。包含系统盘价格。

步骤三：添加对等连接路由 在虚拟私有云控制台单击左侧“路由表”。 单击右上角的“创建路由表”。 根据表1创建路由表Route-VPC-Test-01，完成后单击“确定”。详见《虚拟私有云用户指南》。 路由表名称：Route-VPC-Test-01 所属VPC：vpc-peering 目的地址：10.1.0.0/16 下一跳类型：对等连接 下一跳：Peering-Test 图5 创建路由表Route-VPC-Test-01