本手册基于华为云官方实验文档系统梳理网络、存储、运维三大领域核心服务涵盖VPC、安全组、ACL、对等连接、VPN、ELB、EIP、EVS、OBS、SFS、CBR、CTS、CES、LTS等20云服务实操助你从零构建企业级云上架构。第一篇网络服务篇 · 构建云上互联基石1.1 虚拟私有云VPC与子网核心概念VPC逻辑隔离的虚拟网络支持自定义IP地址段如192.168.0.0/16、10.0.0.0/8、172.16.0.0/12。子网VPC内的IP地址分区同一VPC下不同子网默认互通通过内部路由。实操要点创建VPC时指定区域如华东-上海一不同区域间内网不互通。子网创建后无法修改CIDR规划时需预留足够IP。同一VPC内通信验证同一子网内ECS互ping通不同子网间也互通VPC内部路由自动生效。# 同一VPC同一子网测试ping192.168.1.160# 通# 同一VPC不同子网测试ping192.168.2.177# 通1.2 安全组Security Group核心功能实例级别防火墙控制进出流量。默认规则入方向禁止所有出方向放通所有。安全组内实例默认互通即使没有显式入方向规则。实验验证创建安全组sg-test初始无入方向规则。将两台ECS加入该安全组 → 无法通过SSH22端口访问。添加规则放通TCP 22源IP0.0.0.0/0→ SSH成功。测试同一安全组内ping默认ICMP放行实际需要手动放通ICMP才可ping通。将一台ECS移到默认安全组 → 跨安全组ping不通除非互相放通。 经验安全组遵循“最小开放”原则仅放行业务必需端口。1.3 网络ACLNetwork ACL与安全组区别特性安全组网络ACL层级实例级别子网级别规则仅允许白名单允许拒绝有序列表状态有状态返回自动放行无状态需配置双向规则实验控制子网间访问目标让subnet-1中的 ECS-1 可以 ping 通subnet-2中的 ECS-2但反向不通。配置在关联subnet-2的ACL中入方向添加入方向规则源subnet-1网段ICMP允许出方向不额外配置。结果ECS-1 → ECS-2 通ECS-2 → ECS-1 不通需要ACL出方向也放行返回流量。1.4 对等连接Peering适用场景同一区域不同VPC之间通过私有IP互通。支持跨账户需对方账号授权。配置步骤以VPC-SH01与VPC-SH02为例创建对等连接选择本端VPC和对端VPC。添加路由VPC-SH01路由表目的地址10.0.0.0/16对端CIDR下一跳peering-xxxVPC-SH02路由表目的地址192.168.0.0/16下一跳peering-xxx验证从ecs-sh-01pingecs-sh-03原不通配置后通。[rootecs-sh-01 ~]# ping 10.0.0.38 # 成功收到回复⚠️ 注意对等连接仅支持同区域且VPC网段不能重叠。1.5 虚拟专用网络VPN作用连接不同区域的VPC如北京四 ↔ 上海一或连接本地数据中心。配置要点企业版VPN创建VPN网关每个区域一个指定VPC、子网、购买EIP主备。创建对端网关填写对方VPN网关的公网IP。创建VPN连接设置预共享密钥两端一致、本端子网、对端子网。添加路由VPC路由表指向VPN网关。验证北京四的ECS ping 上海一的ECS私网IP。# 北京四 ecs-bj-01 ping 上海一 ecs-sh-01 (192.168.0.169)64bytes from192.168.0.169:icmp_seq3ttl63time29.2ms结果跨区域VPC通信成功延迟约30ms。1.6 弹性公网IPEIP绑定与解绑创建EIP后可以绑定到ECS、NAT网关、ELB等。未绑定的EIP会收取少量保有费。实验ECS绑定EIP后访问公网初始ECS无EIPping baidu.com失败。购买EIP并绑定 → ping成功同时可从本地SSH连接需安全组放行22。[rootecs-sh-02 ~]# ping baidu.com # 绑定后通64bytes from39.156.66.10:icmp_seq1ttl45time30.2ms1.7 弹性负载均衡ELB架构组件负载均衡器接收流量入口支持公网/私网。监听器指定协议/端口如HTTP 8881。后端服务器组关联ECS实例配置健康检查。实验流程基于HTTP服务在两台ECSecs-sh-01, ecs-sh-02上启动简单HTTP服务端口8889nohuppython-mSimpleHTTPServer8889/dev/null21touchSERVER1# 在01上创建标识文件touchSERVER2# 在02上创建创建共享型ELB公网VPC-SH01。添加监听器前端端口8881后端端口8889加权轮询。添加后端服务器两台ECS权重均为1。健康检查配置需要安全组放通ELB健康检查源IP100.125.0.0/16和端口8889。验证浏览器访问http://ELB-EIP:8881刷新可见返回内容在SERVER1和SERVER2之间轮换。 健康检查常见异常原因安全组未放通、后端服务未启动、端口错误。第二篇存储服务篇 · 持久化与共享数据2.1 云硬盘EVS生命周期操作购买指定可用区必须与ECS相同、容量、类型SSD/通用。挂载支持挂载到同一可用区的任意ECS。初始化Windows磁盘管理 → 初始化MBR/GPT→ 新建卷 → 格式化。Linuxfdisk分区 →mkfs.ext4→mount。实验跨ECS迁移数据盘在ecs-win1挂载20GB数据盘创建文件test.txt。卸载数据盘先脱机再控制台卸载。挂载到另一台ecs-win2→ 文件内容完整保留。快照功能数据恢复为数据盘创建快照。删除盘中文件模拟误删。基于快照创建新磁盘 → 挂载后恢复被删文件。# Linux 示例rmevs# 删除文件# 基于快照新建磁盘并挂载mount/dev/vdc1 /snapshot-datacat/snapshot-data/evs# 文件内容仍在开机自动挂载Linux编辑/etc/fstab添加/dev/vdb1 /data ext4 defaults 0 0验证umount /dev/vdb1→mount -a→df -h挂载成功。2.2 对象存储服务OBS核心概念桶Bucket存储对象的容器名称全局唯一。对象文件、文件夹等支持多版本控制。实操Web管理创建桶多AZ、标准存储、私有。上传文件拖拽或选择。分享文件生成临时URL1分钟~18小时有效可发给他人下载。多版本控制启用后同名文件保留历史版本可随时回退。OBS Browser 工具下载客户端使用AK/SK登录在“我的凭证”中创建访问密钥。支持批量上传/下载、跨区域复制等高级功能。2.3 弹性文件服务SFS适用场景多个ECS共享同一文件系统如Web服务器的公共附件目录。实验Linux Windows 同时挂载NFS创建SFS Turbo协议NFS容量500GB。Linux端安装nfs-utilsyum install -y nfs-utils创建挂载点/mnt/sfs_turbo执行挂载命令从SFS控制台复制写入测试文件touch huawei_cloud配置/etc/fstab实现开机自动挂载Windows端安装NFS客户端添加角色和功能 → NFS客户端修改客户端属性传输协议TCP使用硬装载执行mount -o nolock -o casesensitiveyes IP:/ E:访问E盘可看到Linux端创建的文件。 注意SFS的IP地址为域名形式需确保DNS解析正常。2.4 云备份CBR核心价值整机备份系统盘数据盘或磁盘备份。支持即时恢复和创建新云服务器。实验误删虚拟机后恢复创建ECSLinux写入文件qingqingcaoyuan.txt。创建云备份 → 选择该ECS → 执行备份全量/增量。删除该ECS彻底删除。在CBR控制台选择备份 → “创建镜像”或“创建云服务器”。新创建的ECS还原了原文件。 最佳实践为关键业务配置自动备份策略每日/每周保留30天。第三篇运维服务篇 · 可观测性与自动化3.1 云审计服务CTS功能记录租户所有API操作创建、删除、修改等默认保存7天。可配置关键操作通知触发时发送短信/邮件。实验配置开通CTS自动创建追踪器。创建消息通知主题SMN并订阅手机短信。创建关键操作通知选择操作如ECS: DeleteServer,RebootServer。在ECS控制台重启一台云服务器。手机收到短信【华为云】您的资源ecs-xxx在ECS服务发生操作。在CTS事件列表中可查看详细记录时间、用户、请求参数。3.2 云监控服务CES核心能力主机监控CPU、内存、磁盘、网络等指标。告警规则阈值触发如CPU 90%持续2次。告警通知可结合SMN。实验CPU飙升告警进入CES → 主机监控 → 查看ECS指标。创建告警规则指标CPU使用率原始值条件连续2次 ≥ 70%通知关闭仅控制台测试登录ECS执行压力命令echoscale800000;4*a(1)|bc-l-q观察CPU飙升至100%告警规则状态变为“告警中”。使用top定位高CPU进程bc命令kill后恢复。 生产环境建议为关键指标CPU、内存、磁盘配置告警。3.3 云日志服务LTS流程创建日志组和日志流如lts-group/lts-stream。安装ICAgent在ECS上执行安装脚本需提供AK/SK。配置日志采集选择主机组指定日志路径如/var/log/messages。查看日志在LTS控制台实时或搜索日志支持关键词过滤。验证# 在ECS上生成一条日志echotest log from LTS/var/log/messages在LTS控制台实时日志中可看到该条记录。第四篇自主学习作业与排错思路作业1网络在同一VPC下部署3台弹性云服务器其中一台作为客户端另外两台作为负载均衡器的后端服务器组中的成员测试通过内网进行负载均衡访问。提示创建私网ELB后端服务器使用内网IP客户端使用内网访问ELB的私网地址。尝试直接删除负载均衡若无法直接删除可能原因答案ELB存在关联的监听器、后端服务器组或健康检查任务需先删除依赖资源。对等连接验证向本端VPC添加子网使该子网与目标网段一致观察结果。现象若新子网网段与对等连接目的网段重叠可能导致路由冲突通信异常。作业2存储申请Windows ECS 云硬盘创建测试文件使用快照回滚数据。要点先卸载磁盘再回滚或者基于快照创建新磁盘挂载。Linux ECS挂载SFS并配置fstab后创建私有镜像通过镜像创建新ECS验证自动挂载和文件共享。预期新ECS启动后会自动挂载SFS且能看到原ECS写入的文件因为SFS是共享存储。作业3运维创建ECS配置云审计变更ECS规格通过云审计查看相关事件。步骤开启CTS追踪器 → 执行“变更规格”操作 → 在CTS事件列表搜索resizeServer即可。第五篇资源清理总则避免扣费服务删除顺序ELB先删除监听器 → 删除后端服务器组 → 删除负载均衡器AS先删除伸缩策略 → 伸缩组勾选释放ECS→ 伸缩配置ECS勾选“释放EIP”和“删除云硬盘”EVS先卸载 → 再删除磁盘快照需一并删除OBS清空桶内所有对象 → 删除桶SFS卸载所有挂载点 → 删除文件系统CBR删除备份 → 删除存储库VPC先删子网 → 删对等连接 → 删VPCIAM删用户 → 删用户组⚠️ 按需计费资源即使关机会继续收取存储费实验完毕务必删除。