华为云用户手册

弹性公网IP 关于弹性公网IP的使用，您需要注意以下几点： 一个弹性公网IP只能绑定一个云资源使用，且弹性公网IP和云资源必须在同一个区域，不支持跨区域使用弹性公网IP。 通用可用区的EIP不支持绑定至边缘可用区的实例，边缘可用区的EIP也不支持绑定至通用可用区的实例。 关于边缘可用区和普通可用区的区别请参考《智能边缘小站用户指南》。 弹性公网IP与云资源属于不同的资源，与计费模式无关，不同计费方式，不影响绑定。 不同区域用户，可申请的EIP配额不同，可参考怎样查看和申请扩大我的配额？来查看您的EIP配额以及申请扩大您的EIP配额。 只有未绑定状态的EIP才能进行绑定操作。 按带宽计费的带宽上限为2000Mbit/s（“中国-香港”区域按带宽计费上限为500Mbit/s），如果您需要更大的带宽，请提交工单申请或联系您的客户经理。 按流量计费的带宽上限为300Mbit/s。 资源欠费被冻结的EIP，或绑定的服务器对外有攻击行为等安全原因被冻结的EIP，无法进行绑定、解绑等操作。 当带宽严重超限或受到攻击时（一般是受到了DDoS攻击），EIP会被封堵，但不影响对EIP资源的绑定、解绑等操作。 申请提升配额，要求该帐户下存在有效订单和持续使用的云服务资源，如您的帐户之前存在多次订购资源后即时释放的情况，拒绝提升配额。 未绑定的弹性公网IP地址才可释放，已绑定的弹性公网IP地址需要先解绑定后才能释放。 弹性公网IP释放后，如果被其他用户使用，则无法找回。 按需计费的弹性公网IP费用包括IP保有费和带宽费用，当与实例解绑且未释放时，仍需支付弹性公网IP的保有费和带宽费用；若绑定实例，则免除保有费。 对于长期闲置的EIP资源配额，华为云将降低配额至默认值，如需提升配额，您可通过工单提交申请。 如您违反适用法律法规的要求使用华为云EIP资源，华为云有权收回EIP资源，并暂停向您提供服务。 弹性公网IP不支持跨帐号转移。

共享流量包 共享流量包费用为一次性支付，即刻生效，不支持指定生效日期。 共享流量包一旦购买不支持退订，到期后也不支持续订。 共享流量包支持包月和包年，到期后剩余的流量将无法再使用。 共享流量包只能针对按需按流量计费的带宽生效，且需要区分动态BGP和静态BGP类型。动态BGP共享流量包适用于动态BGP按需按流量计费的带宽，静态BGP共享流量包适用于静态BGP按需按流量计费带宽。 共享流量包不支持对指定的某一个EIP带宽生效。 共享流量包不支持对共享带宽生效。 共享流量包不支持用于优选BGP类型的EIP。 在购买共享流量包时，如果您有订单在支付期限内未支付，则无法购买共享流量包。请取消未支付订单或支付订单后再购买共享流量包。

安全组的限制 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个云服务器或扩展网卡选择安全组的数量不多于5个。 云服务器或扩展网卡绑定多个安全组时，安全组规则先根据绑定安全组的顺序生效，再根据组内规则的优先级生效。 安全组添加实例时，一次最多可添加20个实例。 一个安全组关联的实例数量不应超过6000个，否则会引起安全组性能下降。 当您配置安全组规则时，请留意部分安全组规则对安全组关联的云服务器规格类型有要求。安全组规则及其不支持的云服务规格清单请参见表2。 表2 安全组规则限制 安全组规则 云服务器类型 添加安全组规则时，“源地址”和“目的地址”可选择“IP地址组” 不支持的X86云服务器规格如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） 磁盘增强型（ D1型） GPU加速型（G1型、G2型） 超大内存型（E1型、E2型、ET2型） 添加安全组规则时，“协议端口”可配置为不连续端口号 不支持的X86云服务器规格如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） 磁盘增强型（ D1型） GPU加速型（G1型、G2型） 超大内存型（E1型、E2型、ET2型） 所有鲲鹏云服务器规格不支持配置不连续端口。 如果您在鲲鹏云服务器中添加安全组规则时，使用了不连续端口号，那么除了该条规则不会生效，该规则后的其他规则也不会生效。比如： 您先配置了安全组规则A（不连续端口号22,24），再配置了下一条安全规则B（独立端口号9096），则安全组规则A和B均不会生效。 X86云服务器规格详情，请参见规格清单（X86）。 鲲鹏云服务器规格详情，请参见规格清单（鲲鹏）。

虚拟IP 不推荐在弹性云服务器配置多个同子网网卡的场景下，使用虚拟IP功能。若在该场景下使用虚拟IP功能，弹性云服务器内部会存在路由冲突，导致虚拟IP通信异常。 虚拟IP仅能绑定到同一个子网下的云服务器。 备弹性云服务器需要关闭IP转发功能。请参见关闭备云主机弹性云服务器IP转发功能。 一个ECS绑定的虚拟IP数量建议不超过8个。 一个虚拟IP绑定的ECS数量最多10个。 将虚拟IP绑定至ECS时，会将虚拟IP同时关联至ECS的安全组。一个虚拟IP最多可同时关联至10个安全组。 IPv6的虚拟IP仅支持绑定一个网卡（双栈网卡），如需进行服务器的主备切换，请通过调用API方式。具体请参考配置云服务器高可用的IPv6虚拟IP功能。

带宽 共享带宽只能加入按需计费的EIP。 共享带宽支持按带宽计费、增强型95计费。按带宽计费5Mbit/s起售，增强型95计费300Mbit/s起售。 共享带宽可支持加入20个EIP，如果您需要加入更多EIP，请提交工单申请。 通用可用区的共享带宽不支持添加边缘可用区的EIP，边缘可用区的共享带宽也不支持添加通用可用区的EIP。 关于边缘可用区和普通可用区的区别请参考《智能边缘小站用户指南》。 每个用户最多申请5个共享带宽，如果您需要更多共享带宽，请提交工单申请。 对包年包月EIP使用的独享带宽，在当前带宽周期内只能提升带宽上限不能降低带宽上限，如果需要降低带宽规格，请在当前带宽周期到期后，重新续费时降低带宽规格。 对按需按流量计费的EIP使用的独享带宽，仅收取出云方向带宽费用，不收取入云方向带宽费用。 独享带宽支持对单个弹性公网IP进行限速。 共享带宽支持对单个弹性公网IP进行限速，请参见企业级QoS功能。 共享带宽和独享带宽均不支持跨帐号使用。 为了保证云上资源管控通道的稳定，弹性公网IP对22、500、3389、4500等端口设定了特殊的限速保护规则。 入云方向是指Internet流入华为云内方向，出云方向是指华为云内流出到Internet方向。 2020年7月31日 00:00（北京时间）之后，华北-北京四、华东-上海一、华南-广州、西南-贵阳一、华北-乌兰察布一等所有中国大陆区域针对公网带宽进行限速规则调整。 2021年12月10日 00:00（北京时间）之后，中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥等区域针对公网带宽进行限速规则调整。 调整后的规则如下： 若您购买/修改后的带宽大小小于或等于10Mbit/s，则入云方向带宽为10Mbit/s，出云方向带宽大小为购买/修改后的带宽大小。 若您购买/修改后的带宽大小大于10Mbit/s，则出云方向和入云方向带宽相同，都等于购买/修改后的带宽大小。 增强型95计费取入云方向和出云方向中较大的带宽平均值作为采样点的带宽值进行收费。

弹性网卡 云服务器实例与扩展弹性网卡必须在同一VPC，可以分属于不同安全组。 此限制仅针对管理控制台，通过API创建弹性网卡可以指定与云服务器实例不同的VPC。 主弹性网卡不能解绑服务器。 云服务器可附加的扩展弹性网卡数量由云服务器实例规格决定。具体请参见规格清单。 弹性网卡不支持直接访问华为云内公共云服务，如内网DNS等，推荐使用VPCEP访问华为云公共云服务，具体参见购买连接“接口”型终端节点服务的终端节点。

对等连接 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 若要实现不同区域VPC之间互通，您可以使用云连接，详细内容请参见跨区域VPC互通。 若您仅需要不同区域的几台ECS之间需要互通，您可以为ECS申请和绑定弹性公网IP，通过EIP实现ECS外网互通。此场景适用于ECS数量较少的情况。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 针对该情况，以下不同情况下的组网配置示例，请您参考对等连接使用示例。 您可以通过对等连接连通位于华为云中国站和国际站相同区域的VPC，比如VPC-A位于中国站的“中国-香港”区域，VPC-B位于国际站的“中国-香港”区域，可以通过对等连接连通VPC-A和VPC-B。 位于两个边缘小站的不同VPC，无法通过对等连接实现通信。 VPC-A和VPC-B之间创建对等连接，默认情况下，VPC-B不能通过VPC-A的EIP访问公网。您可以通过使用NAT网关服务或配置SNAT服务器，使得VPC-B下的弹性云服务器可以通过VPC-A下绑定了EIP的弹性云服务器访问Internet。具体实现方式请参见无公网IP的弹性云服务器访问Internet。

角色授权系统权限 VPC服务支持基于角色授权的授权模型。默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 如表1所示，包括了VPC的所有系统权限。基于角色授权场景的系统策略与基于策略授权场景的并不互通。 表3 VPC系统权限 系统角色/策略名称 描述 类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 无 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 表4列出了VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表4 常用操作与系统权限的关系 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC x √ √ 修改VPC x √ √ 删除VPC x √ √ 查看VPC √ √ √ 创建子网 x √ √ 查看子网 √ √ √ 修改子网 x √ √ 删除子网 x √ √ 创建安全组 x x √ 查看安全组 √ x √ 修改安全组 x x √ 删除安全组 x x √ 添加安全组规则 x x √ 查看安全组规则 √ x √ 修改安全组规则 x x √ 删除安全组规则 x x √ 创建网络ACL x √ √ 查看网络ACL √ √ √ 修改网络ACL x √ √ 删除网络ACL x √ √ 添加网络ACL规则 x √ √ 修改网络ACL规则 x √ √ 删除网络ACL规则 x √ √ 创建对等连接 x √ √ 修改对等连接 x √ √ 删除对等连接 x √ √ 查询对等连接 √ √ √ 接受对等连接 x √ √ 拒绝对等连接 x √ √ 创建路由表 x √ √ 删除路由表 x √ √ 修改路由表 x √ √ 将路由表关联至子网 x √ √ 添加路由 x √ √ 修改路由 x √ √ 删除路由 x √ √ 创建VPC流日志 x √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 x √ √ 删除VPC流日志 x √ √

身份认证 统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助用户安全地控制云服务和资源的访问权限。 虚拟私有云支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予VPC所需的权限，组内用户自动继承用户组的所有权限。 IAM的详细介绍，请参见IAM功能介绍。 VPC所需的权限，请参见权限管理。

监控安全风险 云监控服务，为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使用户全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 用户开通云监控后，CES可以查看带宽、弹性公网IP的使用情况，也可以创建和设置告警规则，自定义监控目标与通知策略，及时了解虚拟私有云的状况，从而起到预警作用。 CES的详细介绍，请参见CES功能介绍。 VPC支持的监控指标，请参见支持的监控指标。 查看监控指标步骤，请参见查看监控指标。 父主题： 安全

访问控制 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 华为云提供了管理安全组和安全组规则的功能：创建安全组、删除安全组、添加安全组规则、快速添加多条安全组规则、复制安全组规则、修改区安全组规则、删除安全组规则、导入/导出安全组规则、查看弹性云服务器的安全组、变更弹性云服务器的安全组、云资源加入/移出安全组等。 用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 详情请参见安全组。 网络ACL 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。 华为云提供了管理网络ACL和网络ACL规则的功能：创建网络ACL、查看网络ACL、修改网络ACL、删除网络ACL、开启/关闭网络ACL、关联/解除子网和网络ACL、添加网络ACL规则、修改网络ACL规则、修改网络ACL规则生效顺序、开启/关闭网络ACL规则、删除网络ACL规则等。 用户可以通过与子网关联的出方向/入方向规则控制出入子网的数据流。 详情请参见网络ACL。

检查是否有删除桶的权限 默认情况下，只有桶拥有者具备删除桶的权限。桶拥有者也可以给其他人授予删除桶（DeleteBucket）的权限。 确认自己是否是桶拥有者。 在OBS控制台桶列表单击待操作的桶，进入“概览”页面。 在“基本信息”区域查看“帐号ID”。该帐号ID为桶拥有者。 图5 查看桶拥有者 鼠标指向控制台右上角自己的用户名，在下拉菜单中单击“我的凭证”，查看自己的“帐号ID”。 图6 查看自己的帐号ID 如果两个帐号ID相同，且自己属于帐号而非IAM用户，则说明自己是桶拥有者。此时仍无法删除桶，请单击下方提交工单链接寻求更多帮助。 如果两个帐号ID相同但自己属于IAM用户，或帐号ID不同，则说明自己不是桶拥有者。此时请继续下一步。 联系桶拥有者，确认是否已授予删除桶的权限。 如果未授予删除桶的权限，请联系桶拥有者授权。 如果已授予删除桶的权限，仍然无法删除桶，请单击下方提交工单链接寻求更多帮助。

哪些事件可以触发事件通知？ OBS支持对以下事件类型进行事件通知： ObjectCreated：表示所有创建对象的操作，包含Put、Post、Copy对象以及合并段。 Put：使用Put方法创建或覆盖对象。 Post：使用Post（表单上传）方法创建或覆盖对象。 Copy：使用copy（拷贝）方法创建或覆盖对象。 CompleteMultipartUpload：表示合并分段任务。 ObjectRemoved：表示删除对象。 Delete：指定对象版本号删除对象。 DeleteMarkerCreated：不指定对象版本号删除对象。 事件通知详细的配置请参见配置事件通知。 父主题： 事件通知

OBS是否支持流量监控？ OBS支持流量监控功能： 通过OBS控制台的用量统计，能监控统计周期内的流量指标。查看方法，请参见查看用量统计。 通过云监控CES，能监控OBS包括流量指标在内的如下指标： 表1 OBS支持的监控指标（请求类） 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） get_request_count GET类请求次数 该指标用于统计所有桶及桶中对象的GET请求次数。 单位：次 ≥ 0 counts 桶 1分钟 put_request_count PUT类请求次数 该指标用于统计所有桶及桶中对象的PUT请求次数。 单位：次 ≥ 0 counts 桶 1分钟 first_byte_latency GET类请求首字节平均时延 该指标用于统计GET操作，在一个统计周期内从系统收到完整请求到开始返回响应的耗时平均值。 单位：毫秒 ≥ 0 ms 桶 1分钟 request_count_4xx 4xx状态码个数 该指标用于统计服务端响应状态码为4xx的请求数。 单位：次 ≥ 0 counts 用户 桶 接口 1分钟 request_count_5xx 5xx状态码个数 该指标用于统计服务端响应状态码为5xx的请求数。 单位：次 ≥ 0 counts 用户 桶 接口 1分钟 total_request_latency 总请求平均时延 该指标用于统计所有桶的所有操作，在一个统计周期内从系统收到完整请求到结束返回响应的耗时平均值。 单位：毫秒 ≥ 0 ms 用户 桶 接口 1分钟 request_count_per_second 总TPS 当前统计周期内平均每秒请求数。 单位：次 ≥ 0 counts 用户 桶 域名 1分钟 request_count_get_per_second GET类请求TPS 当前统计周期内所有GET类平均每秒请求数。 单位：次 ≥ 0 counts 用户 桶 域名 1分钟 request_count_put_per_second PUT类请求TPS 当前统计周期内所有PUT类平均每秒请求数。 单位：次 ≥ 0 counts 用户 桶 域名 1分钟 request_count_delete_per_second DELETE类请求TPS 当前统计周期内所有DELETE类平均每秒请求数。 单位：次 ≥ 0 counts 用户 桶 域名 1分钟 request_success_rate 请求成功率 该指标用于衡量存储服务的系统的可用性。非服务端错误请求（返回状态码为5xx）占总请求的百分比，计算方式： (1-5XX数量/总请求数量)*100% 单位：% ≥ 0，≤100 用户 桶 接口 域名 1分钟 effective_request_rate 有效请求率 该指标用于衡量客户端请求的有效性。有效请求占总请求数的百分比，计算方式： (客户端返回2XX、3XX数量/总请求数量)*100% 单位：% ≥ 0，≤100 用户 桶 接口 1分钟 request_break_rate 请求中断率 该指标用于衡量因客户端中断请求的而导致的失败占比，计算方式： (客户端中断请求数量/总请求数量)*100% 单位：% ≥ 0，≤100 用户 桶 接口 1分钟 request_code_count HTTP状态码次数 该指标用于统计服务端响应状态码的请求数。服务端响应状态码见HTTP状态码。 单位：次 ≥ 0 counts 桶 接口 HTTP状态码 1分钟 api_request_count_per_second 接口请求TPS 该指标用于统计当前租户所有桶及桶中对象的特定接口的请求，在一个统计周期内每秒请求数的平均值。支持的接口类型见请求接口。 ≥ 0 counts 桶 接口 1分钟 request_count_monitor_2XX 2xx状态码个数 该指标用于统计服务端响应状态码为2xx的请求数。 单位：次 ≥ 0 counts 用户 桶 域名 1分钟 request_count_monitor_3XX 3xx状态码个数 该指标用于统计服务端响应状态码为3xx的请求数。 单位：次 ≥ 0 counts 用户 桶 域名 1分钟 download_bytes 总下载带宽 该指标用于统计周期内平均每秒下载对象大小总和。 单位：字节/s ≥ 0 byte/s 用户 桶 域名 1分钟 download_bytes_extranet 外网下载带宽 该指标用于统计周期内平均每秒外网下载对象大小总和。 单位：字节/s ≥ 0 byte/s 用户 桶 域名 1分钟 download_bytes_intranet 内网下载带宽 该指标用于统计周期内平均每秒内网下载对象大小总和。 单位：字节/s ≥ 0 byte/s 用户 桶 域名 1分钟 upload_bytes 总上传带宽 该指标用于统计周期内平均每秒上传对象大小总和。 单位：字节/s ≥ 0 byte/s 用户 桶 域名 1分钟 upload_bytes_extranet 外网上传带宽 该指标用于统计周期内平均每秒外网上传对象大小总和。 单位：字节/s ≥ 0 byte/s 用户 桶 域名 1分钟 upload_bytes_intranet 内网上传带宽 该指标用于统计周期内平均每秒内网上传对象大小总和。 单位：字节/s ≥ 0 byte/s 用户 桶 域名 1分钟 cdn_bytes cdn回源带宽 该指标用于统计周期内cdn回源请求对象大小的每秒平均值，当前只统计公网流出。 单位：字节/s ≥ 0 byte/s 用户 桶 1分钟 download_traffic 总下载流量 该指标用于统计周期内下载对象大小总和。 单位：字节 ≥ 0 byte/s 用户 桶 域名 1分钟 download_traffic_extranet 外网下载流量 该指标用于统计周期内外网下载对象大小总和。 单位：字节 ≥ 0 bytes 用户 桶 域名 1分钟 download_traffic_intranet 内网下载流量 该指标用于统计周期内内网下载对象大小总和。 单位：字节 ≥ 0 bytes 用户 桶 域名 1分钟 upload_traffic 总上传流量 该指标用于统计周期内上传对象大小总和。 单位：字节 ≥ 0 bytes 用户 桶 域名 1分钟 upload_traffic_extranet 外网上传流量 该指标用于统计周期内外网上传对象大小总和。 单位：字节 ≥ 0 bytes 用户 桶 域名 1分钟 upload_traffic_intranet 内网上传流量 该指标用于统计周期内内网上传对象大小总和。 单位：字节 ≥ 0 bytes 用户 桶 域名 1分钟 cdn_traffic cdn回源流量 该指标用于统计周期内cdn回源请求的流量的总和，当前只统计公网流出。 单位：字节 ≥ 0 bytes 用户 桶 1分钟 表2 OBS支持的监控指标（存储类） 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） capacity_total 存储总用量 该指标用于统计所有数据所占用的存储空间容量。 单位：字节 ≥ 0 bytes 用户 桶 30分钟 capacity_standard 标准存储用量 该指标用于统计标准存储数据所占用的存储空间容量。 单位：字节 ≥ 0 bytes 用户 桶 30分钟 capacity_infrequent_access 低频存储用量 该指标用于统计低频访问存储数据所占用的存储空间容量。 单位：字节 ≥ 0 bytes 用户 桶 30分钟 capacity_archive 归档存储用量 该指标用于统计归档存储数据所占用的存储空间容量。 单位：字节 ≥ 0 bytes 用户 桶 30分钟 capacity_deep_archive 深度归档存储用量 该指标用于统计深度归档存储数据所占用的存储空间容量。 单位：字节 ≥ 0 bytes 用户 桶 30分钟 object_num_all 存储对象总数 该指标用于统计所有类型存储的对象数总量，对象数量是桶内文件夹、当前版本文件和历史版本文件的总和。 单位：个 ≥ 0个 用户 桶 30分钟 object_num_standard_total 标准存储对象总数 该指标用于统计标准存储所存储的对象数总量，对象数量是桶内文件夹、当前版本文件和历史版本文件的总和。 单位：个 ≥ 0个 用户 桶 30分钟 object_num_infrequent_access_total 低频存储对象总数 该指标用于统计低频访问存储所存储的对象数总量，对象数量是桶内文件夹、当前版本文件和历史版本文件的总和。 单位：个 ≥ 0个 用户 桶 30分钟 object_num_archive_total 归档存储对象总数 该指标用于统计归档存储所存储的对象数总量，对象数量是桶内文件夹、当前版本文件和历史版本文件的总和。 单位：个 ≥ 0个 用户 桶 30分钟 object_num_deep_archive_total 深度归档存储对象数 该指标用于统计深度归档存储所存储的对象数总量，对象数量是桶内文件夹、当前版本文件和历史版本文件的总和。 单位：个 ≥ 0个 用户 桶 30分钟 父主题： 产品咨询

配置说明 CPU配额： 表1 CPU配额说明 参数 说明 CPU申请 容器使用的最小CPU需求，作为容器调度时资源分配的判断依赖。只有当节点上可分配CPU总量 ≥ 容器CPU申请数时，才允许将容器调度到该节点。 CPU限制 容器能使用的CPU最大值。 建议配置方法： 节点的实际可用分配CPU量 ≥ 当前实例所有容器CPU限制值之和 ≥ 当前实例所有容器CPU申请值之和，节点的实际可用分配CPU量请在“集群管理”中对应集群的“节点管理”页面下查看。 内存配额： 表2 内存配额说明 参数 说明 内存申请 容器使用的最小内存需求，作为容器调度时资源分配的判断依赖。只有当节点上可分配内存总量 ≥ 容器内存申请数时，才允许将容器调度到该节点。 内存限制 容器能使用的内存最大值。当内存使用率超出设置的内存限制值时，该实例可能会被重启进而影响工作负载的正常使用。 建议配置方法： 节点的实际可用分配内存量 ≥ 当前节点所有容器内存限制值之和 ≥ 当前节点所有容器内存申请值之和，节点的实际可用分配内存量请在“集群管理”中对应集群的“节点管理”页面下查看。 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU = CPU总量 - 所有实例的CPU请求值 - 其他资源CPU预留值 可分配内存 = 内存总量 - 所有实例的内存请求值 - 其他资源内存预留值

使用示例 以集群包含一个资源为4Core 8GB的节点为例，已经部署一个包含两个实例的工作负载到该集群上，并设置两个实例（实例1，实例2）的资源为{CPU申请，CPU限制，内存申请，内存限制}={1Core，2Core，2GB，2GB}。 那么节点上CPU和内存的资源使用情况如下： 节点CPU可分配量=4Core-（实例1申请的1Core+实例2申请的1Core）=2Core 节点内存可分配量=8GB-（实例1申请的2GB+实例2申请的2GB）=4GB 因此节点还剩余2Core 4GB的资源可供下一个新增的实例使用。

启动命令 在默认情况下，镜像启动时会运行默认命令，如果想运行特定命令或重写镜像默认值，需要进行相应设置。 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为ENTRYPOINT和 CMD。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令ENTRYPOINT、CMD，规则如下： 表1 容器如何执行命令和参数 镜像 ENTRYPOINT 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 登录UCS控制台，进入集群联邦页面，在创建工作负载时，配置容器信息，选择“生命周期”。 在“启动命令”页签，输入运行命令和运行参数。 表2 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。 若运行命令有多个，多个命令之间用空格进行分隔。若命令本身带空格，则需要加引号（""）。 说明： 多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如--port=8080。 若参数有多个，可添加运行参数。

启动后处理 登录UCS控制台，进入集群联邦页面，在创建工作负载时，配置容器信息，选择“生命周期”。 在“启动后处理”页签，设置启动后处理的参数。 表3 启动后处理-参数说明 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: - /install.sh - install_agent 请在执行脚本中填写: /install install_agent。这条命令表示容器创建成功后将执行install.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认为实例IP。

YAML样例 本节以nginx为例，说明kubectl命令设置容器生命周期的方法。 在以下配置文件中，您可以看到postStart命令在容器目录/bin/bash下写了个install.sh命令。preStop执行uninstall.sh命令。 apiVersion: apps/v1kind: Deploymentmetadata: name: nginxspec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - image: nginx command: - sleep 3600 #启动命令 imagePullPolicy: Always lifecycle: postStart: exec: command: - /bin/bash - install.sh #启动后命令 preStop: exec: command: - /bin/bash - uninstall.sh #停止前命令 name: nginx imagePullSecrets: - name: default-secret

停止前处理 登录UCS控制台，进入集群联邦页面，在创建工作负载时，配置容器信息，选择“生命周期”。 在“停止前处理”页签，设置停止前处理的命令。 表4 停止前处理 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: - /uninstall.sh - uninstall_agent 请在执行脚本中填写: /uninstall uninstall_agent。这条命令表示容器结束前将执行uninstall.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认为实例IP。

相关操作 通过UCS控制台，您还可以执行表2中的操作。 表2 相关操作 操作 说明 YAML创建 单击右上角“YAML创建”，可使用已有的YAML创建密钥。 查看详情 单击配置项名称即可查看密钥数据详情。 编辑YAML 单击密钥名称后的“YAML”，可查看到当前密钥的YAML文件。 更新 单击密钥名称后的“更新”。 根据表1更改信息。 单击“确认”提交已修改的信息。 删除 单击密钥名称后的“删除”，并单击“是”进行确认。 批量删除 勾选需要删除的密钥。 单击左上角的“批量删除”。 单击“是”进行确认。

创建密钥 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队，单击名称进入详情页。 在左侧导航栏中选择“配置项与密钥”，切换至“密钥”页签。 选择需要创建密钥的命名空间，并单击右上角“创建密钥”。 参照表1设置基本信息。 表1 基本信息说明 参数 参数说明 名称 新建的密钥的名称，同一个命名空间内命名必须唯一。 命名空间 新建密钥所在的命名空间，默认为当前查看的命名空间。 描述 新建密钥的描述。 密钥类型 新建的密钥类型。 Opaque：一般密钥类型。在高敏感场景下，建议先通过数据加密服务加密敏感数据后，再存入Secret中。 kubernetes.io/dockerconfigjson：存放拉取私有仓库镜像所需的认证信息。如选择此类型的密钥，需要额外输入镜像仓库地址。 IngressTLS：存放7层负载均衡服务所需的证书。如选择此类型的密钥，需要上传证书文件及私钥文件。 其他：若需要创建其他类型的密钥，请手动输入密钥类型。 密钥数据 工作负载密钥的数据可以在容器中使用。 当密钥为Opaque类型时：输入键、值。其中“值”必须使用Base64编码，勾选“自动Base64编码”即可自动将输入的值转换为Base64编码。手动进行Base64编码的方法请参见如何进行Base64编码。 当密钥为dockerconfigjson类型时：输入私有镜像仓库的用户名和密码。 标签 标签以Key/value键值对的形式附加到各种对象上（如工作负载、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 单击“添加” 。 输入键、值。 配置完成后，单击“确认”。 密钥列表中会出现新创建的密钥。

GitOps概述 GitOps是使用Git仓库来管理应用的部署模板，将Git仓库作为Kubernetes集群中部署应用的唯一来源，实现应用的持续部署，实现多集群的GitOps持续交付，满足应用的高可用部署、系统组件多集群分发等需求。GitOps假设每一个基础设施都被表示为一个具有版本控制功能的存储系统中的文件，并且有一个自动化的过程可以无缝地将更改的应用同步到应用程序运行环境。 而结合Kubernetes生态中的声明式API、Controller Loop可以更好得实现这一思想，该系统从一开始就遵循声明性规范以及最终一致性和收敛性的原则。

GitOps优势 简单易学：Git易于被开发者接受，易于集成，无需额外学习成本。 安全性高：开发者使用GitOps无需任何Kubernetes集群权限，仅需要Git仓库权限，保证集群安全可靠。 可靠性强：提供原生K8s资源、Helm Chart资源、Kustomize等资源交付清单的版本管理，方便用户进行部署应用、增量变化和应用配置的回滚。 应用持续部署：Kubernetes集群和Git仓库中的应用状态自动同步，保持一致，实现应用持续部署。

GitOps实现方式 开发运维人员基于Git工作流，可将现有流程，从应用开发扩展到到部署、应用生命周期管理和基础架构配置，开箱即用，客户无须运维Gitops工具。 Gitops插件通过内置Kustomize结合Base/overlay制品组织方式和HelmRelease结合valuesFrom/valuesFiles等方式的能力，满足客户差异化的配置管理诉求。 将Git仓库中最新合入的制品配置信息同步部署至多个集群中，同时对应用发布行为进行版本化管理和权限控制，提供发布回滚和版本迭代控制，并进行审计跟踪。 所需的基础架构状态会自动应用于基础架构，而无需任何手动干预，持续监控并确保基础架构始终遵循Git存储库中的配置，确保基础设施处于理想状态。 图1 GitOps实现方式

背景 Podinfo是一个微模型的Web应用程序，它展示了在Kubernetes中运行微服务的最佳实践，其主要用作于测试和研讨。本章将用podinfo源代码来做创建配置集合的示例。 为了可以更快的、更稳定的持续地交付软件、减少后续维护工作，所以将podinfo的源代码放入GitHub仓库，并通过创建配置集合的方式部署到集群中，通过GitOps能力实现软件自助化部署，具体请参考操作步骤。 创建podinfo源代码仓时，请先注册一个属于自己的GitHub账号，然后将podinfo所有代码fork到自己的GitHub仓库中。 图1 Podinfo界面

操作步骤 登录华为云控制台。 在左侧导航栏中选择“分布式云原生”，选择“配置管理”。 在右上角“添加集群”，选择需要启用配置管理功能的目标集群，单击确定。 在集群概览页，选择目标集群，单击“Gitops能力”，查看Gitops插件（名称：集群名称-FluxPlugin）是否安装成功；进入配置管理界面，当插件部署状态显示运行中，表示插件已部署成功。 选择“配置集合”页签，单击创建配置集合。 选择仓库源，如果已有仓库源请参考使用已有仓库源配置，如果需要创建新仓库源，请参考创建新仓库源。

创建新仓库源 单击“创建新仓库源”输入仓库源名称、仓库源URL地址。 输入需要与其同步的代码库分支。 选择数据源验证，以及输入密钥。 选择公有类型的仓库无需进行身份验证，即可提供只读权限。 选择私有类型的仓库，则数据源验证可选择“选择集群secret”和“提供认证信息(SSH)”，两种方式都需要配置的秘钥进行身份验证。 仓库秘钥创建请参考秘钥。 仓库源创建完成后，在“自动同步策略”内输入“配置集合路径”，单击“下一步：信息确认”。 确认配置信息无误后，单击“创建配置集合”；如有问题，单击上一步进行修改。

升级插件 登录UCS内的集群控制台，在左侧导航栏里选择“插件管理”。 在“已安装插件”内，如果版本标签旁边显示“存在新版请升级”提示，那就可用点击metrics-server下的升级按钮对插件进行升级。 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级“metrics-server”插件时，会替换原先节点上的旧版本的“metrics-server”插件，安装最新版本的“metrics-server”插件以实现功能的快速升级。 参考安装插件内的参数说明配置参数后，单击“升级”即可升级metrics-server插件。

安装插件 进入UCS内的集群控制台。 如果是未加入舰队集群，直接点击集群名即可进入集群控制台。 如果是已加入容器舰队的集群，先进入对应容器舰队控制台，选择左侧 “集群管理”内的“容器集群”，再进入对应集群控制台。 左侧导航栏内选择“插件管理”，在“可安装插件”中点击metrics-server的安装按钮。 在“安装插件”页面进行规格配置，该插件可配置“单实例”、“高可用”和“自定义”等三种规格，选择后单击“安装”。 在本地集群中，metrics-server插件的最大实例数依赖manage节点数量，如果想要使用“自定义”规格创建更多的metrics-server实例，请先对manage节点进行扩容。 manage节点在本地集群内使用tag和taint进行管理，因此对manage节点进行扩容只需要为集群内非manage节点打上标签和污点即可，具体步骤如下： 进入UCS集群控制台，单击左侧导航栏内的“节点管理”。 选中待转的非manage节点并单击“标签与污点管理”。 单击新增批量操作，新增一条更新内容：“添加/更新”-“K8S标签”-“cop.manage”-“manage”。 单击新增批量操作，新增一条更新内容：“添加/更新”-“污点（Taints）”-“role”-“manage”-“NoSchedule”。 完成上述两条后，单击确定即可完成manage节点的扩容。 插件安装完成后，在已安装插件内点击metrics-server插件，可以看到具体的插件实例在集群内的部署情况。