华为云用户手册

创建 IAM 用户使用云应用 创建用户组并授权 在IAM控制台创建用户组，并授予该用户组如表1中所示的“Workspace Administrator”、“IMS Administrator”和“E CS FullAccess”权限，并选择授权范围。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证云应用的管理员权限。 进入云应用的管理控制台。 选择“同意授权”，进入云应用服务主界面。 云应用提供了弹性扩容特性，需要获取用户授权，用于创建委托账号，便于用户在启用弹性扩容特性后，系统能自动进行扩缩容。 开通服务后，单击“服务器组”，进入服务器组列表页面，单击右上角“创建服务器组”，若没有提示权限不足，表示赋予的权限已生效。

操作步骤 使用管理员账号登录云应用的管理控制台。 在左侧导航栏中单击“应用组”，进入“应用组”列表页面。 单击待重发通知的用户所在应用组名称，进入“应用列表”页面。 单击“授权用户”，进入用户列表页面。 在待重发通知的用户（组）操作列下单击“重发通知”，弹出“重发通知”窗口。 根据提示选择发送方式，单击“确认”。 单击“通知失败记录”，可以查看“失败记录”和“成功记录”。 在“失败记录”页面可以选择“重发通知”或“批量重发”。

操作步骤 以Google Chrome浏览器为示例： 应用模式下 使用管理员账号登录云应用的管理控制台。 在左侧导航栏中单击“应用组”，进入应用组列表页面。 单击Google Chrome应用所在的应用组名称，进入应用列表页面。 在Google Chrome应用所在行，单击“修改”，在“命令行参数”填写“--no-sandbox --force-wave-audio”，单击“确定”。 终端用户客户端刷新后，重新接入。 共享桌面模式下 终端用户登录至共享桌面中，右键单击Google Chrome的快捷方式，选择属性打开Google Chrome属性页面。 在“目标（T）”值中追加“ --no-sandbox --force-wave-audio”。 终端用户重启Google Chrome。

操作步骤 使用管理员账号登录云应用的管理控制台。 在左侧导航栏中单击“服务器组”，进入“服务器组”列表页面。 单击“创建服务器组”，进入服务器组配置页面。 参考表1配置参数。 表1 服务器组参数说明 参数 说明 取值样例 服务器组名称 自定义服务器组名称。 命名规则： 名称长度范围为1~64个字符。 由中文、英文大小写、数字、中划线（-）、下划线（_）组成。 Server_Gp-Win2016 描述 根据所需输入描述内容。 - 区域 根据规划选择应用待部署区域。 不同区域的应用之间内网互不相通，且需分区域管理应用，推荐将应用创建在同一区域。 华南-广州 项目 根据规划选择应用待部署项目。 cn-south-1 会话模式 单会话模式 多会话模式 说明： 不对接AD场景仅支持单会话模式。 对接AD场景支持单会话模式和多会话模式。 - 应用组类型 应用：应用是单个应用程序，用户可以访问应用程序而无需安装。 桌面：桌面应用组是一种完整的虚拟桌面，用户访问的是远程桌面。 应用 关联应用组 根据需求选择是否勾选自动创建应用组。 说明： 勾选“自动创建应用组”后，输入应用组名称，由中文、英文大小写、数字、中划线（-）、下划线（_）组成，名称长度范围为1~64个字符。 勾选自动创建应用组 计费方式 根据服务器使用场景选择“包年/包月”或者“按需计费”。 按需计费 可用分区 可用区是在同一区域下，电力、网络隔离的物理区域。可用区之间内网互通，不同可用区之间物理隔离，一个可用区发生故障后不会影响同一区域下的其他可用区。 随机分配 操作系统 选择待创建服务器的操作系统类型，目前仅支持Windows操作系统。 Windows CPU架构 目前仅支持X86计算。 X86计算 套餐类型 根据应用类型选择办公类型及规格。 通用办公型为普通规格，适用于通用的办公应用。 图形优化型为GPU规格，适用于高效图形制作类应用。 通用办公型 - 镜像 选择待创建的服务器使用的镜像类型及具体的镜像版本。 云市场镜像是云应用提供的标准操作系统镜像，所有用户可见，包括操作系统及预装的应用。云市场镜像具有高度稳定性，皆为正版授权。支持Windows Server 2016/2019数据中心版中英文镜像。 私有镜像是基于标准操作系统镜像文件创建的个人镜像，可自定义预装应用，仅用户自己可见。请选择镜像制作中已生成的镜像。 私有镜像 - 磁盘类型 根据所需选择磁盘类型 - 系统盘 选择磁盘类型并设置磁盘大小。 磁盘类型性能说明可参考云硬盘产品介绍。 高IO磁盘：是指由SAS存储提供资源的磁盘类型。 超高IO磁盘：是指由SSD存储提供资源的磁盘类型。 磁盘大小范围：10GB~1020GB，输入值需为10的整数倍。 高IO磁盘 1020GB 网络 选择虚拟网络。如果需要在多个业务子网中可用应用，可选择多个子网，或者在网络配置下方单击“单击此处创建子网”，创建子网。 虚拟私有云（VPC）为云应用构建隔离的、用户自主配置和管理的虚拟网络环境，方便管理、配置内部网络。您的云应用将被创建在所选择的虚拟私有云子网内，以便访问企业内网的资源和应用。 - 增购会话数 单台服务器增购会话数，范围根据服务器套餐大小选择。 说明： 服务器组创建完成后，会话数不支持变更。 如需测算云应用并发会话数，参考如何测算云应用的并发会话数？。 - 会话调度策略 会话连接数：服务器会话连接数量，范围根据服务器套餐大小选择。 CPU使用率：服务器CPU的使用率，范围为1~100。 内存使用率：服务器内存使用率，范围为1~100。 说明： 若服务器任意一个指标超出阈值，将不会再接受会话，策略会调度服务器组其他可用的服务器建立会话。 - OU名称 在Windows AD服务器上创建了OU时，可选择对应使用的OU。 说明： 仅对接AD场景需要配置。 - 协议组件 HDP协议服务端接入组件：安装在云应用服务器实例中，与云办公客户端进行通信接入的代理组件 说明： 勾选后，如果您镜像里的组件版本过低，我们会在发放过程进行同步升级组件，预计会增加整体机器的发放时长。 勾选 扩缩容策略 ：关闭扩缩容策略开关。 ：启用扩缩容策略开关。 启用扩缩容策略开关，配置扩容策略。 扩容策略：会话使用率超过x%时，自动创建按需付费的弹性资源。 说明： 会话使用率 = 使用中的实例会话数之和/（实例最大会话数*可用实例数） 可用实例数：状态为非维护且就绪的服务器数量。 最大会话数：选择套餐的默认会话数量加上增购会话数。 每次创建x台（取值范围：1~10），最多创建x台（取值范围：1~100） 缩容策略：无会话连接的弹性资源最多保留x分钟。（取值范围：5~120分钟） 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 - 配置购买数量与时长。 计费方式为“包年/包月”时，可根据实际需要配置购买时长。 单击“下一步：确认配置”，进入配置确认页面。 计费方式为“包年/包月”时，可以选择是否自动续费。 确认配置无误，单击“立即购买”。 计费方式为“按需计费”，资源创建成功后，可在“服务器组”列表页面查看已购买的服务器组及其服务器。 计费方式为“包年/包月”，则进入订单支付页面，完成支付后，可在“服务器组”列表页面查看已购买的服务器组及其服务器。

操作步骤 使用管理员账号登录云应用的管理控制台。 参考创建服务器组创建服务器组。 创建服务器组时，总会话数建议设置2~5个，套餐类型和规格ID请根据实际需要测算的规格进行选择。 参考创建应用组创建应用组，并关联2创建的服务器组。 单击3创建的应用组名称，进入应用组详情页面，参考添加应用，添加需要测算的应用（如Google Chrome）以及任务管理器应用。 单击“授权用户”页签，参考授权用户（组），选择需要授权的用户（建议2~5个）进行添加。 在服务器组列表页面，单击服务器组名称，进入服务器组基本信息页面。 在服务器列表页面“监控”列下单击“”，弹出服务器的监控信息，记录空载时CPU、内存、GPU等使用情况。 使用5中添加的用户（用户A）登录华为云客户端，单击打开需要测算的应用（如Google Chrome）以及任务管理器应用。并使用需要测算的应用（如Google Chrome）进行正常的业务操作，同时在任务管理器的用户面板上观察记录用户的资源（如CPU、内存、GPU等）使用情况。 重复8陆续登录2~5个用户，只打开需要测算的应用（如Google Chrome）进行业务操作，无需再打开任务管理器应用，用户（用户A）观察记录每路会话资源使用情况。 瓶颈指标：9记录的每路会话指标使用率最高的指标，如每路会话CPU使用率为10%，内存使用率为5%，GPU使用率为4%，则瓶颈指标为CPU。 建议最大会话数=(85%-空载时瓶颈指标使用率)/(每路会话瓶颈指标使用率)。 测算完成后确定资源后续不再使用，请及时删除/退订2购买的服务器、服务器组和应用组，否则会产生一定费用。

计费项 按需购买的实例支持关机不计费，但增购的会话数正常计费，关机后的计费规则： 实例本身（vCPU，内存，镜像）不计费，其它所挂载的资源如云硬盘，公网IP或带宽则正常计费。 按需计费云应用服务器支持关机不计费，即关机期间，在保留云应用服务器的前提下，系统将自动回收计算资源（vCPU、内存）。此时，将不再收取计算资源相关费用，仅收取存储资源（系统盘）费用，可以降低您的使用成本，再次启动时会重新申请vCPU和内存，在资源不足时会有启动失败的风险，您可以通过稍后启动的方式来恢复。 根据您 购买云服务器 增购的会话数正常计费。 公网/ 私网NAT网关 根据您选择的公网NAT网关规格和使用时长计费。详细的价格说明请参考NAT网关价格计算器。 Windows操作系统为市场镜像，该服务由第三方提供。为方便用户选择，在公共镜像中提供入口。具体收费以镜像供应商提供的信息为准。 私有镜像会收取一定的存储费用，删除创建的镜像后将不再计费。详细计费标准可参考 镜像服务 计费标准。 NAS存储根据您选择的SFS3.0容量型文件系统进行计费，详情参考弹性文件服务SFS的计费说明。 应用仓库中文件使用OBS存储时进行计费，详情参考 对象存储服务 OBS的计费说明。

前提条件 已获得需要访问互联网的云应用所在区域、项目、使用的VPC和子网信息。 管理员已具有NAT服务和EIP服务的操作权限。 自主注册的华为云账号默认拥有华为云所有服务的操作权限，如果您使用的是此类账号，无需再进行确认。 华为云账号下新建的IAM账号，需要加入“admin”内置用户组，或者拥有NAT服务和EIP服务操作权限的用户组，才可使用NAT服务和EIP服务。可进入“ 统一身份认证 服务”中查看是否属于“admin”内置用户组。若非“admin”内置用户组，请参见NAT服务授权、EIP服务授权赋予IAM账号使用NAT服务和EIP服务的权限。

操作场景 管理员发布应用后，云应用默认在VPC子网内，此时云应用无法访问互联网。管理员需要配置NAT网关共享弹性公网IP，使用户通过互联网接入地址接入云应用后，可正常使用应用程序。云应用存在多个业务子网时，需要为每个业务子网开通互联网功能。 云应用与 云桌面 的网络共用。如果同项目下的同一子网内已有云桌面，且管理员已为云桌面开通互联网访问，则终端用户可直接访问应用程序。如果当前项目子网只存在云应用，则管理员需参考本章节进入NAT、EIP页面购买对应服务开通互联网。

操作场景 该任务指导管理员在AD域服务器上通过设置组策略方式完成RDS授权和安全策略的配置。 将虚拟机添加到应用组后，APS服务器已部署就绪，此时还需在AD域服务器上配置APS服务器的RDS服务授权功能，以确保用户访问APS服务器发布的应用时已获得RD Licensing服务器的RDS服务授权许可。否则，在120天的试用期结束后，客户端将无法使用远程应用。 在通过APS服务器发布应用之前，还需通过配置APS服务器的安全策略方式进行安全加固，以确保授权用户可以安全的访问或使用系统提供的应用，避免对其他用户带来影响。

数据 执行该任务前需准备的数据如表1所示。 表1 准备的数据 参数 说明 取值样例 名称 用于标识云应用场景下创建的APS服务器OU的名称。 SBCOU 组策略名称 用于唯一标识云应用场景下APS服务器的组策略，由数字、字母、下划线组成，长度范围为1～30个字符。 SBCGRP 要使用的许可证服务器IP 向APS服务器提供RDS服务授权功能的服务器，即RD Licensing服务器。 192.168.1.60

操作步骤 使用管理员账号登录云应用的管理控制台。 在左侧导航栏中单击“应用上网管理”，进入应用上网管理页面。 单击“开通互联网”，进入互联网配置页面，如图1所示。 图1 互联网启用配置页面 参考表1配置网络参数，未涉及的参数保持默认即可。 表1 互联网参数配置 参数名称 说明 样例 网络 选择需要开通可访问互联网功能的应用所在虚拟子网。 - 计费类型 可购买的互联网资源为按需计费模式。 按需计费 NAT网关名称 公网NAT网关名称。 当前云应用存在多个业务子网时： 需要为每个业务子网配置NAT。同一个VPC下，不同子网共用一个NAT；不同VPC下，子网需要使用不同的NAT。 请根据实际需要选择已有NAT或者立即创建新的NAT。 创建NAT需要自定义NAT网关名称，只能由中文、英文大小写字母、数字、下划线、中横行组成，长度范围0-64个字符。 当前云应用只有一个业务子网时： 当前虚拟子网已配置公网NAT网关，则无需配置。 当前虚拟子网未配置公网NAT网关，则需自定义NAT网关名称，只能由中文、英文大小写字母、数字、下划线、中横行组成，长度范围0-64个字符。 NATNetname-workspace_subnet01 NAT网关规格 公网NAT网关的规格。 使用已有的NAT网关，则无需配置。 创建新的NAT网关，则需配置NAT网关规格。NAT网关共有小型、中型、大型和超大型四种规格类型，可通过页面上的“了解更多”查看各规格详情。 小 EIP名称 自定义弹性公网IP的名称。 只能由中文、英文字母、数字、_（下划线）、-（中划线）组成。 EIP-workspace_subnet01 公网带宽 按业务场景选择带宽计费类型。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。适用于流量较大或较稳定场景使用。 按流量计费：指定带宽上限，按实际使用的出公网流量计费，与使用时间无关。适用于流量小或流量波动较大的场景。 按流量计费 带宽大小（Mbit/s） 选择带宽大小。 选择“按带宽计费”宽带大小范围默认为1~200Mbit/s，用户可根据界面提示的范围自定义。 选择“按流量计费”宽带大小范围默认为5~200Mbit/s，用户可根据界面提示的范围自定义。 99 根据业务诉求下拉选择所需企业项目。 单击“确定”。 配置成功后，可在应用上网管理列表中查看对应业务子网所配置的互联网网络信息。 如果当前租户VPC下存在多个业务子网，且需要各业务子网中的云应用都能访问互联网，则需参考3~6，为各业务子网开通互联网功能。

安全参考框架 基于上述安全设计原则，华为云推荐采用“一个中心 + 七层防线”的安全参考框架和华为云提供的云原生安全服务来构筑企业的云上安全防护体系，如下图所示。该安全框架完全遵守了纵深防御原则，将各种安全防护措施有机组合起来，针对保护对象（企业的关键业务系统和核心数据），因地制宜的部署合适的安全措施，形成多层安全防线，各层安全防线能够相互支持和补救，避免攻击者突破单层防线后畅通无阻，层层阻击，为防御方检测响应赢得时间。 图1 一个中心和七层防线 物理安全防线 华为云建设和运营的数据中心都严格实施了五层安全防护，包括机房容灾、人员管理、运维审计、数据销毁和物理隔离、CCTV和门禁等防护措施，华为云的租户无需关注数据中心的物理安全。但对于部署在企业自建机房的专属云，企业需要自己做好物理安全防护。 身份认证防线 需要基于零信任理念做好身份认证和权限管理，授权要遵从最小授权的原则，用户认证默认要启用多因素认证，管理好特权账号，对用户在云平台上的任何操作进行记录和审计。 建议参考官网提供的IAM最佳实践。 网络防线 核心是要做好网络边界防护和内网东西向的访问控制。 网络边界防护：网络边界主要指的是企业内部网络与外部网络的边界，典型的场景如互联网接入、VPN、专线接入。客户可以基于华为云提供的 云防火墙 （Cloud Firewall，CFW）、VPC的安全组和ACL实施网络边界访问控制。CFW内置了网络入侵检测、入侵防御的功能。网络边界的策略应该严格按照白名单开通，应该禁止对外开放高危端口和协议。 东西向网络防护：应该对不同的业务按密级实施分层分级管理，如将不同密级的业务部署在不同的VPC中，通过VPC实施大的网络安全域隔离，通过CFW实施东西向VPC网络之间访问控制，并通过VPC的安全组和ACL在VPC内进一步实施网络微分段隔离。 应用防线 面向互联网发布的应用应该默认部署WAF防护。应用的安全是设计出来的，要重视在软件安全工程上的投入，提高应用的内生安全能力。从安全风险的角度，应优先关注面向外部网络暴露的应用，同时要识别内部核心关键应用，对这些应用优先实施针对性的安全加固。 主机防线 在主机层面进行入侵检测往往是最有效的，主机上要全面覆盖主机安全产品，主机安全产品可以帮助做好主机的漏洞管理，安全配置管理等基础性工作。 数据防线 要做好数据资产的主动发现和分类分级，围绕数据全生命周期开展数据安全治理工作，对重要数据使用过程中考虑脱敏、加密、审计等措施，对重要数据做好备份。基于身份控制策略、网络控制策略和资源控制策略构筑坚固的数据安全边界，保障敏感数据不泄露。 运维防线 要限制只能从安全的网络环境发起运维活动，并为运维人员建立专门的运维访问通道，如让运维人员使用专门的运维服务、 堡垒机 接入运维，尽量减少黑屏运维操作，降低运维活动过程中的不确定性，确保运维的活动可审计可追溯。 一个中心 安全防护三分在于技术，七分在于运营，只有各层防线的安全产品得到正确的配置和良好的维护，才能有效的发挥出安全防护的效果。通过一个统一的安全运营平台，将各种安全产品能力有机的整合起来，将安全防护的效果最大化。 纵深防御体系的建设往往需要经历一个漫长的过程，很难一蹴而就，在建设的过程中需要考虑安全、效率、成本和体验方面的平衡。企业应该例行开展安全风险评估，针对TOP安全风险实施针对性的安全加固，持续提升安全防护的能力，并通过红蓝对抗等机制来检验安全防护体系的有效性。 父主题： 安全架构设计

大数据参考架构 下图是典型的大数据架构，从数据集成、存储、计算、调度、查询和应用，构成了一个完整的数据流。 图1 大数据参考架构 大数据架构通常包括以下几个核心组件和流程，企业可以根据实际需要选择云服务或自建大数据组件： 业务数据源： 业务数据源是大数据平台的数据输入来源，可以是传感器、网站日志、移动应用、社交媒体等各种数据源。通过数据采集和提取，将原始数据收集到大数据平台进行后续处理和分析。 数据集成： 数据集成是将来自不同数据源的数据进行整合和转换的过程。这包括数据清洗、数据预处理、数据格式转换、数据合并等操作，以确保数据的一致性和准确性。 数据存储： 大数据平台需要具备高效的数据存储能力，以承载海量的数据。常见的数据存储技术包括分布式文件系统（如HDFS）、列式数据库（如HBase）等。这些存储系统提供高可靠性、可扩展性和容错性，以支持大规模数据的存储和访问需求。 大数据计算： 大数据计算是对海量数据进行分布式、并行和实时处理的关键环节。主要的计算框架包括Hadoop、Spark、Flink等，它们支持分布式计算模型和任务调度。通过这些计算框架，可以进行数据处理、特征提取、机器学习、数据挖掘等复杂的计算和分析任务。 数据查询和分析： 对于大量的存储在大数据平台中的数据，需要提供灵活且高性能的查询和分析能力。这可以通过使用SQL查询引擎（如Hive）或 分布式数据库 （如Elasticsearch）等实现。这些工具和系统支持在海量数据集上进行查询、聚合和可视化，以提供数据洞见和决策支持。 任务调度： 大数据平台通常需要处理复杂的数据作业。任务调度系统（如Azkaban等）用于管理和调度各种数据处理作业，可以设置作业的依赖关系、调度频率、重试策略等，以确保作业的顺利执行和任务的准时完成。 数据应用： 大数据平台的最终目的是为业务提供有价值的数据应用。数据应用可以是基于大数据分析的实时报表、可视化仪表盘、智能推荐系统、欺诈检测系统等。通过将大数据的分析结果与业务流程集成，可以实现数据驱动的业务决策和创新。 父主题： 大数据架构设计

任务调研 任务调研主要包括如下方面： 表1 任务调研方法表 调研内容 描述 任务调度 如Azkaban、DolphinScheduler，Hera、Crontab等。 任务类型 基于编程语言分类： Jar类：常用于 MRS 、Flink、Spark等 SQL类： 常用于Hive、Spark、UDF等 Python类：常用于Spark、算法场景等 其他类：如Shell、Scala等，多用于脚本调用 任务数量 调研各类任务的总数量，用于评估任务迁移周期及改造工作量。如：Azkaban任务调度平台下，Jar任务820个。 任务更新周期 识别出不同调度平台，不同任务类型的任务更新周期。如：Azkaban调度平台Jar类任务月度更新；XXL-Job平台Shell类型任务每日22:00点更新。 任务详细信息 识别出所有任务的详细信息，包括任务ID、名称、责任部门、责任人、执行时间、更新周期等。用于后续任务改造和迁移时，和关键人员及时沟通。 任务依赖关系 识别关键任务，识别任务间依赖关系。 调研的方法主要是通过当前大数据平台获取，并辅助一些调研访谈进行补充和确认。 父主题： 大数据调研

统一安全管理 以安全运营账号为中心，在这里集中部署 安全云脑 （SecMaster）、 数据安全中心 （Data Security Center，DSC）、数据库安全服务（Database Security Service，DBSS）、 数据加密 服务（Data Encryption Workshop, DEW）、 云证书管理服务 （Cloud Certificate Manager，CCM）等，针对其他子账号进行统一的安全管理，如下图所示。 安全运营账号中的SecMaster服务可以与部署在其他账号下的安全云脑和HSS服务进行协同，无需登录到其他账号，在安全运营账号中就可以对其他账号进行统一的安全运营，包括统一云上资产管理、统一的安全态势管理、统一安全信息和事件管理、统一的安全编排与响应等活动。安全运营账号的DSC服务可以对所有成员账号进行统一的数据安全防护，包括针对所有成员账号的统一数据安全风险识别和统一数据保护（数据水印、数据脱敏）。安全运营账号的DBSS服务可以基于Agent采集模式，在网络可达的前提下，实现跨账号的数据库审计和统一信息展现。安全运营账号的CCM服务可以集中申请SSL证书，然后通过 RAM 服务共享给其他账号使用。安全运营账号的DEW服务可以集中创建KMS秘钥，然后通过RAM服务共享给其他账号使用。 图1 多账号的统一安全管理 网络安全防护相关的服务，如WAF、Anti-DDoS和网络防火墙等服务，按照就近部署原则集中部署在网络运营账号，以保护网络运营账号中的NAT网关和弹性公网IP等网络连接资源。

统一合规审计 审计人员以日志账号为中心对所有成员账号进行统一的操作审计，而无需逐个登录到成员账号，如下图所示。统一的操作审计包括对所有成员账号统一配置追踪器和关键操作通知。 在日志账号的 CTS 中统一创建组织追踪器，汇聚各个成员账号中CTS收集的审计日志，配置将组织追踪器的审计记录转储到日志账号的LTS中。 在上述LTS中可以集中查看所有成员账号的审计记录。 在LTS中还可以针对关键操作（如创建、删除资源）配置告警通知。 图2 多账号的统一操作审计 审计人员还可以基于Config服务提供的组织合规规则和组织合规规则包对成员账号进行统一的资源配置审计，统一呈现所有成员账号中不合规的资源配置。

统一财务管理 我们建议您在企业中心创建子账号时，选择财务托管模式。建立财务托管关系之后，财务管理员可以在主账号中统一管理子账号的资金、账单及发票，子账号的云资源消费统一由主账号支付。华为云统一开票给主账号，华为云的交易主体是主账号。如下图所示。 图4 多账号的统一财务管理 财务托管模式下，主账号可以针对子账号执行以下统一财务管理。 共享商务：主子账号间商务实现默认共享，避免客户重复申请子账号商务，大大降低客户成本。 统一支付：子账号无须通过主账号手工划拨现金、信用和代金券的方式进行消费，子账号消费统一由主账号支付，大幅降低财务操作负担。 一站式账单管理：主账号可以查询所有子账号的账单，也可以将多个子账号的账单合并至一个账单。 统一发票：主账号可针对单个子账号的消费开票，也可以将所有子账号的费用合并开票。 统一成本管理：主账号统一管理所有子账号的成本，包括统一预算管理、统一成本预测、统一成本分析、统一成本监控和统一成本优化等，大幅提升集团企业客户的成本管理效率。

统一运维管理 以运维监控账号为中心，在这里集中部署云运维中心（Cloud Operation Center，COC）和 应用运维管理 服务（Application Operations Management， AOM ），针对其他子账号进行统一的监控和运维管理，如下图所示。 运维监控账号中的AOM服务与其他账号下的AOM服务进行协同，可以统一接入其他账号下的各个云服务的监控指标数据，并在运维监控账号中统一查看这些指标数据，在此基础上进一步统一配置告警规则。 具体实施步骤请参考通过多账号聚合Prometheus实例实现指标数据统一监控。 运维监控账号中的COC服务当前可以统一纳管其他账号下的云资源进行统一的资源管理，也可以将运维指令下发给其他账号执行。 图3 多账号的统一运维管理

大数据调研简介 大数据迁移是指将大数据集群、大数据任务调度平台和大数据应用从一个运行环境迁移到另一个运行环境的过程。 图1 大数据调研的对象 大数据迁移需要调研以下信息： 大数据平台调研，包括大数据集群、任务调度平台、数据流向。 数据调研，包括待迁移的数据类型、数据量、元数据、数据权限、数据更新频率等。 任务调研，包括待迁移的任务类型、任务数量、更新周期等。 本节重点介绍大数据平台、数据和任务的调研。

平台调研 大数据平台调研主要调研大数据集群、大数据任务调度平台和数据流向。 调研大数据集群 需要调研大数据集群的数量和功能划分，各个集群或组件负责的业务和处理的数据类型，处理实时/离线数据的组件及详细版本信息，数据格式类型和压缩算法，数据安全性和权限控制，高可用性和容错机制，扩展性和弹性等。 调研大数据集群数量和功能划分：例如Hadoop集群、Spark集群、Hive集群等，并根据业务需求划分它们的功能，如存储集群、计算集群、查询集群等。 调研各个集群或组件负责的业务范围，以及它们处理的数据类型和数据流转的方式。 调研用于处理实时数据和离线数据的组件，例如实时数据可能使用Apache Kafka、Apache Flink等，离线数据可能使用Hadoop、Spark等。 调研数据格式类型和压缩算法： 调研平台对数据的安全性和权限控制机制，例如数据加密、用户访问权限管理等。 了解大数据集群的高可用性和容错机制，包括故障恢复、备份策略、容灾方案等。 调研大数据任务调度平台 需要调研大数据任务调度平台的类型、版本、支持的大数据框架和技术，调度任务类型，可视化和管理界面，扩展性和集成性，容错和故障恢复，安全性和权限控制以及社区支持和文档资料等方面的信息。用于后续大数据调度平台的选型和方案设计。 调研现有的大数据任务调度平台的类型，例如Azkaban等，了解它们的特点和适用场景。 调研现有大数据任务调度平台的版本，并了解最新版本的功能更新和改进。 确认任务调度平台是否支持当前使用的大数据框架和技术，例如Hadoop、Spark、Hive、Pig、Flink等。 调研任务调度平台支持的任务类型，包括Jar类任务、SQL类任务、脚本类任务（Python、Shell）等。 调研任务调度平台是否提供可视化和管理界面，以方便任务调度的配置、监控和管理。 了解任务调度平台的容错机制，包括任务失败后的重试机制、故障恢复策略等。

正式切换 正式切换的组织、准备和角色分工同切换演练基本一致，这里不再重复介绍。切换实施时，按照正式切换Runbook执行。不同业务系统的切换方案不同，对应的切换Runbook步骤也会不同，下面Runbook切换步骤仅供参考： 切换前准备和检查 正式切换前，先要按照Runbook Check List做切换前准备和检查，不同业务系统的切换Runbook准备和检查步骤会有所不同，下面步骤仅供参考： 表1 切换前准备和检查项 大类 前置工作项 责任部门 活动 是否涉及 是否完成 组织和保障准备 确定停机切换窗口 企业项目经理 确定停机切换窗口为：X月X日X时X分开始 是 是 确认停机公告图片和话术 企业项目经理 确认停机公告图片和话术已更新为最新版本 是 是 通知相关人员发布官网公告 企业项目经理 邮件发送通知相关人员进行官网公告发布 是 是 预约会议作战室 企业项目经理 会议室布置安排 是 是 切换相关人员通知和核对 企业项目经理 确认切换参与人员是否可以出席 是 否 企业项目经理 第三方配合切换当晚参与人员和联系方式确定 是 是 企业项目经理 停服切换期间，运营中心值班人员就位 是 是 企业内部发送内部通知 企业项目经理 切换通知群名：XX项目切换群 是 是 云厂家建立后端保障团队 云厂家项目经理 云厂家建立和客户的联合切换保障团队 云厂家单独拉通后端运维和研发组建保障群 是 是 第三方/业态影响沟通和提醒 第三方/业态提前通知项 企业项目经理 分别与业态沟通停机影响和应对方案 是 否 运维团队 对于第三方调用固定IP地址的情况，确认配置修改详细步骤 是 否 环境清单核对 确定发版暂停的截至日期 研发团队 确定发版暂停的截至日期 是 否 应用清单检查并刷新启停脚本 研发团队 研发人员Check上云应用清单 是 否 JOB清单检查并刷新脚本 研发团队 Check最新的job清单 是 否 研发团队 检查脚本中的清单是否是最新的 是 否 环境（源端、目的端、迁移任务、执行脚本）检查 云服务基础检查项 运维团队 确认运维提供的测试wifi是否已准备就绪 是 否 运维团队 检查华为云专线同步带宽使用是否有超带宽的告警 是 否 运维团队 云厂家后端保障人员进行日常状态检查 是 否 运维团队 云服务高可性检查，确认目标端云资源是否存在单AZ或单点故障问题 是 否 数据库检查项 数据库相关 检查华为云数据库端口是否和生产保持一致 是 否 数据库相关 检查NTP时钟设置是否一致 是 否 数据库相关 检查中间件Redis数据迁移任务状态正常，无异常报错或告警（包含回退任务） 是 否 数据库相关 检查DRS-mysql数据迁移任务状态‘增量迁移中’，无异常报错或告警（包含回退任务），数据动态比对任务配置完成 是 否 数据库相关 检查DRS-mongodb数据迁移任务状态‘增量迁移中’，无异常报错或告警（包含回退任务） 是 否 数据库相关 检查MySQL数据库源和目的端字符集是否一致 是 是 数据库相关 数据库确认源端和目的端库用户一致 是 是 周边系统配合检查项 大数据相关 修改大数据抽数的数据库地址为IDC备库地址 是 否 执行脚本检查 运维团队 应用服务启动脚本放在执行机 是 否 运维团队 应用心跳检查脚本放在执行机 是 否 日志系统检查 运维团队 检查ELK日志平台，是否能承受大量应用启动时产生的大量日志 是 否 告警监控系统检查 运维团队 监控系统是否正常 是 是 磁盘无用信息清理 运维团队 生产环境检查磁盘使用情况，提前执行脚本批量清理磁盘 是 是 操作指导书、工具、终端和登陆平台准备 通知全员更新到最新的Runbook 项目经理 同步最新生产Runbook地址给切换全员（包含业态人员） 是 否 相关人员准备 项目经理 人员最后一次熟悉整体切换流程以及各自操作指导 是 否 相关人员操作权限检查 ALL 人员登录操作环境检查操作权限（登录系统，OS，操作界面等） 是 否 测试团队 ITSM是否可以正常登录？是否可以正常记录上云项目的问题？ 是 否 ALL 登录批处理任务平台后检查当天操作人员是否有操作执行器的权限 是 否 操作终端检查 ALL 具体到人，割接、演练前一晚必须确保笔记本，环境等无异常（DBA单独一根网线，提前准备好大交换机） 是 否 测试客户端检查 测试团队 测试人员清理客户端以及浏览器缓存 是 否 Runbook切换操作 完成切换前准备和检查后，企业就可以按照Runbook中的计划和步骤进行正式切换了，每个任务都要严格按照Runbook中的操作命令进行操作，不同业务系统对应的切换Runbook步骤会有不同，下面步骤仅供参考，注意步骤顺序标号一致的表示是并行执行。 如果批处理任务较多，切换时间窗有限，可根据优先级分批次进行启动。 表2 切换操作步骤样例 任务 步骤顺序 子任务 源端业务流量转发至维护公告页面 1.1 变更CMDB业务状态为维护中 1.2 外部访问流量转发至维护公告页面 停止源端定时任务 2.1 停止源端的定时任务 2.1 停止源端的数据库定时任务 停止源端应用服务及配置中心 3.1 停止源端应用服务（xxx个） 3.1 停止源端配置中心 消息队列数据迁移 4.1 消息队列MQ数据迁移 4.2 等待&确认kafka消费完成 确认源端的数据层数据静止 5.1 确认源端的redis数据静止 5.1 确认源端的MySQL数据静止 5.1 确认源端的MongoDB数据静止 数据一致性对比 6.1 redis数据一致性对比、停止同步任务 6.1 MongoDB数据一致性对比、停止同步任务 6.1 MySQL 数据一致性对比、停止同步任务 修改数据层的DNS内网 域名 解析 7.1 修改应用间访问的内部域名-》华为云上应用实例 7.1 修改目的端redis的内网域名-》华为云实例IP 7.1 修改目的端的MySQL的内网域名-》华为云实例IP 7.1 修改目的端MongoDB的内网域名-》华为云实例IP 7.1 修改目的端消息队列MQ的内网域名-》华为云实例IP 7.1 修改目的端Kafka的内网域名-》华为云实例IP 启动配置中心、定时任务调度服务、JOB注册、开启kafka消费开关 8.1 启动配置中心 8.2 启动定时任务调度服务 8.3 批量发布配置中心配置（执行JOB注册） 8.3 批量发布配置中心配置（开启kafka的消费开关） 8.4 检查阿配置中心和定时任务调度服务的开关是否正确 内网停机公告撤销&启动目的端应用&检查 9.1 启动目标端消息队列MQ 9.2 启动目的端应用服务（xxx个服务） 9.3 心跳检查 9.4 基础业务检查 9.5 内网维护公告页面下线 启动目的端的数据库定时任务和优先级最高的定时任务） 10.1 启动数据库定时任务 10.1 启动目的端第一批批处理任务 主流程测试（P0用例） 11.1 主流程测试（P0用例） 进行验证测试，确保应用程序在目标云环境中正常运行。 验证核心功能和关键业务流程，确保与迁移前一致。 监测日志和指标，确保系统运行情况正常。 外网停机公告撤销 12.1 外网维护公告页面下线 启动目的端第二批批处理任务 13.1 启动目的端第二批批处理任务 13.2 P1业务验证 （启动JOB后，P1用例验证） 14.1 验证目的端业务功能 启动目的端第三批批处理任务 15.1 启动目的端第三批批处理任务 启动目的端第二批批处理任务 13.1 启动目的端第二批批处理任务 父主题： 切换

大数据平台部署 大数据平台的部署可以参考如下方法： 大数据集群部署 基于架构设计的原则，云上大数据集群一般采用云服务。华为云MRS是一个在华为云上部署和管理Hadoop系统的服务，一键即可部署Hadoop集群。MRS提供租户完全可控的企业级大数据集群云服务，轻松运行Hadoop、Spark、HBase、Kafka等大数据组件。 具体部署方法可参考MRS官网文档。 大数据任务调度平台部署 如果目标架构是采用华为云的任务调度平台 DataArts Studio ，可以参考如下官网文档进行部署和配置。 如果目标架构是采用自建的大数据任务调度平台，有2种方法部署，可以基于华为云ECS重新部署大数据任务调度软件，或者是使用华为云 SMS 工具将源端调度平台迁移到华为云ECS。 大数据应用部署 大数据应用的部署有2种方法，可以基于华为云ECS重新部署大数据应用，或者是使用华为云SMS工具将大数据应用迁移到华为云ECS。

平台权限配置 平台权限配置 在部署好目标大数据平台后，为了确保正确的权限设置，可以参考源端平台的权限设置，并按照以下步骤进行设置： 审查源端权限设置 仔细审查源端平台的权限设置，包括用户、角色、组织结构和权限级别等信息。了解每个用户的权限范围和访问权限，以便在目标平台上进行对应的设置。 创建用户和角色 根据源端平台的权限设置，创建相应的用户和角色。确保在目标平台上设置与源端平台一致的用户身份和角色分配。 调整权限级别和范围 在目标平台上，根据源端平台的权限设置，调整权限级别和范围。确保目标平台上的权限设置与源端平台一致，并确保用户只能访问其应有的资源。 权限分配和继承 在目标平台上，根据源端平台的权限设置，对用户进行权限分配和继承。确保用户在目标平台上具有与源端平台相同的权限，并能够继承相应的角色和权限设置。 审查和调整访问控制 审查目标平台上的访问控制机制，并根据源端平台的权限设置进行调整。确保访问控制能够限制用户的访问范围，并遵循源端平台的权限规则。 安全审计和监测 设置安全审计和监测机制，确保目标平台上的权限设置得到有效的审计和监测。这可以帮助发现和防止未经授权的访问，并及时采取相应的措施。

功能验证 功能测试内容 功能测试确保应用系统在上线前能够正常运行，以下是功能测试的内容： 表1 功能测试内容列表 测试内容分类 说明 本应用功能测试 测试的内容强依赖应用系统的功能，比如某电商系统，核心的功能测试用例至少包括线上线下的浏览、购物、下单支付（各种支付途径支付、用劵支付）、打印账单、开发票、活动促销、库存同步、新会员注册，老会员退会、订单退款、订单返劵等核心功能。 周边系统集成功能测试 测试的内容强依赖应用系统的集成功能，比如某大型零售电商平台，和某团购平台、某外卖平台、某到家平台、某小视频平台等都有业务合作，集成的用例至少包括在这些集成平台的下单、用劵、通知发货，评论等各种功能的验证。 功能测试目的 验证应用系统迁移到目标端华为云后，更换了技术组件后的应用功能是否正常 验证应用更换到目标端后，应用和周边的系统的集成是否正常，识别需要周边系统配合修改的内容都已修改正常。 功能测试方法 冒烟测试：冒烟测试是一种简单的功能测试，通过执行少量的核心测试用例来验证系统是否可用。在目标端部署完成后，可以首先执行冒烟测试来确认系统的基本功能是否正常。 全业务功能测试：全面的业务功能测试可以验证系统的所有功能是否正常，通过执行针对各种业务流程的测试用例，确保所有功能模块正常。 日志分析 ：在目的端业务部署完成后，需要对系统的日志进行分析，检查是否存在异常情况的错误信息。通过日志分析可以发现一些潜在的问题和隐患，及时进行修复和优化。 DNS劫持测试：因云上部署的业务一般按照生产环境的域名进行配置，在使用手机App或浏览器测试业务功能时，需要配合使用DNS劫持的方式进行测试，可以使用内网WIFI及运维改造的APISIX，配合WiFi上的DNS解析，劫持流量指向测试环境，进行的内网测试。 功能测试流程 图1 功能测试流程 确定测试目标和重点关注点：明确需要测试的应用功能和场景，以及测试的重点和关注点。 系统功能：如促销活动，用劵支付、退货反劵等 批处理JOB功能：若本次搬迁的应用同时涉及多个批处理JOB，在功能测试时，需要重点关注批处理JOB的执行情况，比如库存推数。 第三方业务集成功能：如某团购平台、某外卖平台、某到家平台、某小视频平台的集成功能验证，以及门店POS支付等功能验证。 确认测试环境：确认使用哪个环境用作测试，不要对生产业务造成影响。注意，如果有请求第三方接口的业务，需要注意外网隔离，防止测试污染生产数据，可以通过内网搭建特殊WIFI，让内部测试人员登录模拟进行三方功能的测试。 表2 测试环境的对比分析 场景 测试环境选择建议 优点 缺点 目标端华为云生产环境是否已上线部分应用 方案1：在目标端华为云生产环境用作测试 1.测试后直接转生产上线，节省工作量 2.各项参数在测试期间已调为最优 需做好网络隔离，有对现网影响的风险。 方案2：在目标端华为云新建一套测试环境用作测试 对现网无影响 1.新搭建一套环境有一定的成本费用 2.在测试环境调测好的配置参数需要1：1配置到生产环境，有一定工作量 目标端华为云生产环境是全新环境 目标端华为云生产环境用作测试 1.测试后直接转生产上线，节省工作量 2.各项参数在测试期间已调为最优 无 设计测试用例：根据测试目标，设计和准备测试用例。切换之前的测试用例要尽可能的全覆盖，切换期间，由于测试时间有限，建议将测试用例划分P0、P1、P2三个优先级。 P0定义：最核心的功能用例，此用例通过，可以决策不再考虑回退。 P1定义：重要功能用例，此用例通过表示基本功能全部可用，此用例通过后，即可宣布当晚切换成功，可取消外部维护公告。 P2定义：其他补充用例，如切换时间窗足够，可切换当晚测试，如果切换时间窗不够，可第二天测试。 表3 测试用例执行说明 阶段 测试用例 覆盖率 切换前测试 所有 包括所有的应用功能和第三方集成功能测试。特殊无法测试场景需单独讨论模拟测试方案。 切换期间测试 分P0、P1、P2三个级别。 在切换时间窗内至少完成P0和P1级用例测试。 根据切换时间窗口，时间窗口充足，完成所有的用例，时间窗口不足，至少完成P0和P1级用例。 对于测试环境的测试用例选择，企业需要根据应用场景分析是否具备测试条件，比如第三方库存同步的用例，第三方只有生产环境对接本企业生产环境，无法对接测试环境情况下，此用例就无法测试。所以需识别无法测试的用例，评估测试用例的覆盖率，对于无法覆盖的用例单独讨论模拟测试方法，参考如下： 场景 是否具备测试条件 特殊场景应对措施 第三系统下单 第三方系统由于和测试环境无法打通，所以在测试环境无法测试 针对无法测试的场景，讨论应对方案如直接调用库存同步接口模拟测试 库存同步 第三方库存由于和测试环境的库存系统无法打通，所以在测试环境无法进行测试 针对无法测试的场景，讨论应对方案如直接调用库存同步接口模拟测试 支付 线上支付具备测试条件 线下POS支付由于和测试环境无法打通网络，不具备测试条件 针对无法测试的场景，讨论应对方案如：直接调用接口模拟测试等 … … … 预置测试数据：为了确保测试的真实性和有效性，需提前预置测试数据。可以使用源端测试环境数据，也可以使用脱敏后的生产数据。 执行测试用例：部分企业测试自动化起步较晚，大量用例仍需要人工执行，手工执行用例，在测试过程中需执行人详细记录测试时间、测试人员、用例执行结果等相关信息。部分企业已有自动化测试能力，上云过程中只需要将新增的用例增加到自动化平台自动执行。 输出测试报告：全部测试用例测试完成后，输出测试报告。 总的来说，功能测试需要确保测试环境和生产环境尽可能的一致，测试用例覆盖率100%，以保证应用上云后的功能正常。

性能验证 性能验证 应用系统迁移到云上后，底层技术组件更换了，云上的技术组件默认参数可能与源端默认参数不同，或者源端和目的端的技术组件实现机制不同，可能会导致上云发生性能问题，需要进行性能测试，性能测试内容包括如下三类。 表4 性能测试内容 测试内容 说明 云服务性能测试 针对某个云服务进行性能测试，比如数据库，Hbase、存储的IOPS等。 应用接口性能测试 接口性能是系统性能评估的一个方面，针对某几个接口进行针对性接口压测。 应用整体性能测试 根据应用的使用场景，比如大促期间，上千人同时浏览一个产品并抢购的场景下，整体的性能测试。 这三类性能测试的目的如下表所示。 表5 性能测试目的说明 测试内容 目的 云服务性能测试 评估云服务的规格是否满足应用高并发下的性能，参数是否是最优配置。 应用接口性能测试 针对某几个接口评估接口的极限负载能力 应用整体性能测试 确定云上业务系统的极限负载能力：通过高并发、高负载的测试，确定云上业务系统可以承载的最大负载，以及达到极限负载时系统的表现和响应时间。在压力逐步上升的过程中，观察云上业务系统在承载和源端压力相当时的性能表现，并对比收集到的指标，确定是否存在问题。 验证系统的稳定性和可靠性：通过长时间、高负载的测试，验证云上业务系统在各种情况下的稳定性和可靠性，包括系统资源的管理、数据传输、异常处理等。 评估系统的可扩展性：在系统压力逐步增大的过程中，测试云上业务系统的可扩展性，可以确定系统是否可以扩展到更大的规模，并支持更多的用户和业务需求 识别系统的性能瓶颈：通过对云上业务系统的压力测试，可以识别系统的瓶颈，确定迁移过程中业务环境的改变带来的系统性能问题，从而优化系统性能。

云治理团队 云治理团队的职责是识别企业云化转型过程中的各种风险，并制定和实施有效的治理框架、策略和流程，目的是将企业云化转型的风险最小化，并最大化业务收益。云治理团队通常包含云治理专家、审计师和云培训师，职责和技能要求如下表所示。 表1 云治理团队的角色和职责 角色 职责 技能要求 来源 云治理专家 识别和评估云化转型的各种风险，并制定相应的缓解措施。 制定和维护云治理框架，包括策略、标准、流程和指南，推动云治理最佳实践的落地和执行。 确保云治理策略与业务目标对齐。 持续优化云治理框架，以适应不断变化的业务需求和技术发展趋势。 监控云环境的合规性和安全性。 深入理解云架构、 云安全 、云成本优化等方面的知识。 熟悉主流云平台的云服务和最佳实践。 具备丰富的风险管理、合规性管理和IT治理经验。 优秀的跨部门沟通、协作和问题解决能力。 IT部门 公共服务管理员 识别各个业务单元所需要的公共IT服务和资源，比如NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器镜像库等，也可以是CodeArts等PaaS服务。 负责集中部署和维护这些公共IT服务，并将其共享给公司内所有业务单元使用。 保障公共IT服务的安全稳定运行。 熟悉主流云平台的IaaS和PaaS服务，并能熟练部署这些服务。 熟悉云平台之上实现资源共享的技术方案，如基于网络的共享、基于资源权限策略的共享和华为云资源共享服务RAM。 具备良好的跨部门沟通、协作和问题解决能力。 IT部门 审计师 对云环境进行定期审计，评估其是否符合相关的法规、标准和最佳实践。 识别云环境中的安全漏洞和合规性风险。 撰写审计报告，并提出改进建议。 与云治理专家和相关团队合作，解决已识别的风险。 跟踪和监控改进措施的实施情况。 熟悉云安全、合规性审计和风险评估方法。 熟悉相关的法规和标准，例如等保2.0、ISO 27001等。 具备数据分析和报告撰写能力。 拥有良好的沟通和人际交往能力。 具备一定的云技术知识。 IT部门 云培训师 开发和交付云计算相关的培训课程，涵盖云基础设施、云架构设计、云运维、云安全等方面。 推广用云和管云的最佳实践，通过最佳实践减少云化风险。 扎实的云技术知识和实践经验。 优秀的教学能力和沟通技巧，能够将复杂的云技术概念清晰地传达给他人。 熟悉不同的培训方法和工具。 外包给云服务商 父主题： 云卓越中心

运维管理 标签是云运维实践的重要组成部分，它不仅提高了工作效率，帮助云运维团队更好地掌控复杂的IT环境。标签对于云运维具有多方面的重要意义，主要体现在以下几个方面： 简化资源管理：标签允许运维人员以更灵活的方式管理和组织云资源。例如，可以按项目、环境（如开发、测试、生产）、所有者或成本中心等维度对资源进行分类，从而提高资源的可见性和可管理性。 管理生命周期：标记资源的生命周期信息，以便于规划资源的启动和删除，辅助运维人员进行资源管理。 合规性和安全性：安全运营人员可以根据应用数据的敏感度对资源配置标签，确保应用和数据遵循相应的安全和隐私法规，或内部/外部的审计需求。 协助故障排除：运维人员可以利用标签快速定位受影响的资源，加速问题的诊断和解决过程。 协助自动化运维：运维人员可以根据标准化的标签来编写脚本或配置规则，实现自动化任务。比如，自动启动或停止带有特定标签的实例，或者定期释放带“删除”标签的资源，这大大减少了人工干预的需求，降低了人为错误的风险。 协助性能优化：运维人员可以将记录的关键指标（如CPU利用率内存利用率等）标注在标签内，以提示相关人员采取行动，进行性能优化。 协助安全加固：运维人员可以基于标签，进行安全策略实施权限分配，确保只有特定授权用户能够访问或操作某些敏感资源。 协助灾备恢复：为灾备时需要快速恢复的应用建立标签，以确保灾难发生后这些应用能够第一时间被重启。

成本管理 通过为每个云资源设置标签，可以实现精细化的成本追踪和管理，有效控制云成本，提高企业财务管理的有效性和便捷性。标签也是财务部门实施精细化管理的重要工具。可以让财务人员以更好地理解、管理和优化公司的IT投资。这包括且不限于以下几个方面： 更精确的成本控制：合理且标准的标签，可以使财务人员更准确地追踪每一个资源的实际使用成本。这有助于识别和优化高成本的资源使用，从而实现成本节约。 更有效的预算管理：财务人员将云支出分配到具体的预算类别中，使得制定和调整预算更加科学合理。同时，也可以更容易地监控实际支出 更透明的费用分配：对于多部门或多项目的公司，标签使得将成本直接关联到相应的部门或项目，确保了费用分配的公正性和透明度。这不仅有助于内部成本核算，也有利于向客户或其他利益相关者报告时提供清晰的成本构成。 更简化的账单管理和分析：使用标签可以大大简化账单解析工作，让财务人员能够快速理解和审核账单内容。此外，还可以利用标签进行详细的费用分析，找出节省成本的机会点。 更准确的决策：准确的标签信息为管理层提供了基于事实的数据基础，帮助他们做出更明智的投资决策。 CCoE团队在通过标签进行成本管理和财务管理时，可以配备一位具有财务相关知识的人员，共同制定资源标签的相关策略。

使用标签进行成本管理的主要流程 制定标签规则 CCoE团队联合企业财务人员，共同制定标准化标签命名规范。例如以子公司、运行环境、部门、业务单元、应用系统为维度，基于标签设计原则制定用于成本管理的标签的键和值。 设置资源标签 按照上面设计的标签命名规范，为每个云资源创建相应的标签。为避免云资源的实际操作人员乱打标签，您可以通过华为云提供的标签策略强制执行标签命名规范。 激活成本标签 使用标签按各种维度（例如用途、环境、部门等）对云资源进行成本分类之前，需要先进行成本标签激活。 具体步骤请参考激活成本标签。 成本分析和优化 激活成本标签之后，进入“成本分析”页面，通过成本标签进行成本数据汇总和过滤。CCoE团队可以查看哪些标签下的资源被闲置，哪些标签下的资源负载过高，从而进行成本优化。

FinOps参考架构 华为云结合FinOps基金会的FinOps框架和华为自身的FinOps实践总结提炼的一套FinOps参考架构，如下图所示，总体上包含成本计划、成本控制、成本分析和成本优化四个阶段。 图1 华为云FinOps参考框架 华为云还提供的丰富的成本管理工具，提升成本管理的效率，帮助企业在华为云上开展FinOps实践，持续提升云的成本效益。 表1 华为云的云成本管理工具列表 分类 工具 适用场景 成本规划与计划 价格计算器 自主搭配产品估算新业务上云支出 成本与使用量预测 预测存量业务的未来支出 企业多账号 大型企业、集团公司，通过账号隔离资源和成本 企业项目 中小型企业及单账号下的组织映射 成本标签 更多维度、更细粒度、更灵活的组织映射 预算管理（含预算报告） 计划跟踪所需粒度的云支出，及时获取超预算提醒，或定期周知最新进展 管理账单与控制成本 资金管理 监控可用额度，跟踪支出异常 资源包管理 监控资源包是否即将用尽 账单管理 了解各帐期的实际消费与支出，多维对账 成本监控 监控云支出的异常增长，减少异常账单 成本分配与可视化 成本分析（含分析报告） 了解成本趋势与分布，洞察成本变化的驱动因素 成本单元 将成本按照业务语义分配到有意义的分组，拆分公共成本 成本明细 获取成本分配明细（下载和OBS订阅） 账单数据存储 订阅详细的账单明细到OBS桶 云智能看板（CXO看板） 面向CXO、高管以及组织管理者提供的仪表盘集合。 成本节省与优化 按需转包年包月优化评估 获取按需转包年包月商品的成本优化机会 资源包使用率/覆盖率分析 了解已购买资源包的使用效率 资源包建议 获取资源包购买建议以节省成本 资源优化建议 识别空闲资源以节省成本 优化顾问 识别使用率低或闲置的云资源以节省成本 父主题： FinOps