华为云计算 & 网络类云服务实验完整笔记

一、实验整体概述

1. 实验涵盖服务

1. 计算类：ECS 弹性云服务器、IMS 镜像服务、AS 弹性伸缩
2. 网络类：VPC 虚拟私有云、子网、安全组、网络 ACL、EIP 弹性公网 IP、VPC 对等连接、ELB 弹性负载均衡、VPN 虚拟专用网络

2. 实验区域

统一使用华东 - 上海一，不同区域内网默认不通，就近部署降低时延。

3. 核心网段规划

• VPC-SH01：192.168.0.0/16
  • subnet-1：192.168.1.0/24
  • subnet-2：192.168.2.0/24
• VPC-SH02：172.16.0.0/12
  • subnet-3：172.16.3.0/24

---

二、计算类云服务实验笔记

1. ECS 弹性云服务器

1.1 ECS 创建

• 支持快速购买 / 自定义购买，可保存为启动模板重复使用
• 镜像类型：公共镜像、私有镜像、共享镜像；主流系统openEuler/CentOS/Windows Server
• 规格：1vCPU+1GB 入门配置，按需计费，约 0.0889 元 / 小时
• 网络配置：绑定指定 VPC / 子网、安全组，可选择暂不购买 EIP
• 登录凭证：密码登录、密钥对登录（Windows 推荐密钥对，Linux 支持密钥 / 密码）

1.2 ECS 登录方式

1. CloudShell：免公网、免配置，直接内网登录
2. VNC 登录：故障急救、无法 SSH 时使用
3. MobaXterm/Xshell：SSH 密钥 / 密码登录 Linux
4. MSTSC 远程桌面：Windows 公网 IP + 密钥解密密码登录

1.3 ECS 日常操作

• 重置密码、开关机、强制重启
• 重装系统：仅清空系统盘，不影响数据盘
• 切换操作系统：Linux↔Windows 可互换
• 变更规格：需先关机，调整 CPU / 内存配置
• 误删系统文件（rm -rf /*）：无法开机，通过重装系统恢复

1.4 密钥对作用

• 替代密码登录，安全性更高
• Windows 需用私钥文件解密管理员密码
• 本地保存.pem私钥，丢失无法登录服务器

2. IMS 镜像服务

2.1 镜像分类

• 公共镜像：华为云官方自带
• 私有镜像：自己部署业务后制作
• 共享镜像：他人共享可直接使用

2.2 私有镜像制作流程

1. 部署 ECS 环境（安装 httpd、配置业务、关闭多余服务）
2. 检查配置：Linux 安装cloud-init/密码重置插件；Windows 配置 DHCP、远程桌面放行
3. 控制台创建系统盘镜像，等待 5~10 分钟制作完成
4. 用私有镜像新建 ECS，自动继承所有配置，无需重复部署

2.3 镜像管理

• 修改镜像规格、内存适配
• 本区域 / 跨区域复制镜像
• 镜像共享：输入对方账号项目 ID，授权使用

3. AS 弹性伸缩

3.1 核心组件

• 伸缩配置：定义 ECS 规格、镜像、网络、登录方式（模板）
• 伸缩组：设置最大 / 最小 / 期望实例数、VPC 子网、健康检查
• 伸缩策略：定时策略、周期策略、告警策略

3.2 实验配置

1. 创建伸缩配置：以现有 ECS 为模板
2. 创建伸缩组：期望实例 6 台、最小 1 台、最大 5 台
3. 周期策略：每日固定时间增加 / 减少实例
4. 带宽伸缩：自动调整 EIP 公网带宽大小

3.3 特性

• 自动扩容缩容，节省闲置资源费用
• 支持多可用区均衡部署
• 可自动释放 / 保留 EIP、数据盘

---

三、网络类云服务实验笔记

1. VPC & 子网

1.1 核心概念

• VPC：用户专属隔离虚拟网络，自定义网段
• 子网：VPC 内划分网段，每个子网独立内网段
• 网段规范：推荐10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，禁止网段冲突

1.2 同 VPC 通信规则

• 同一 VPC同一子网ECS：默认互通
• 同一 VPC不同子网ECS：默认互通
• 不同 VPC默认完全不通，需配置对等连接 / VPN

2 VPC 对等连接

2.1 作用

实现同区域、不同 VPC内网 ECS 互通，无需公网转发

2.2 配置步骤

1. 创建对等连接：选择本端 VPC、对端 VPC
2. 两端路由表分别添加路由：
   • VPC-SH01 路由：目的172.16.0.0/12，下一跳对等连接
   • VPC-SH02 路由：目的192.168.0.0/16，下一跳对等连接
3. 配置完成后，跨 VPC 子网 ECS 可正常 ping 通

2.3 限制

• 仅同区域支持对等连接
• 两端 VPC 网段不能重叠

3. 安全组

3.1 核心特性

• 四层逻辑防火墙，基于端口 / 协议控制访问
• 默认入方向仅同安全组互通，出方向全部放行
• 规则优先级：匹配即生效，支持 ICMP、TCP、UDP

3.2 实验现象

1. 同安全组 ECS：默认可 ping 通、SSH 连通
2. 不同安全组 ECS：默认无法通信
3. 手动放行规则：
   • 放行 TCP 22：允许 SSH 登录
   • 放行 IC：允许 ping 探测
   • 放行 TCP 80/443：允许网页访问

3.3 配置要点

• 源地址尽量指定具体 IP 段，不建议0.0.0.0/0全网开放
• 安全组规则实时生效，无需重启服务器

4. 网络 ACL

4.1 与安全组区别

维度	安全组	网络 ACL
层级	实例级	子网级
规则顺序	无顺序	按编号从小到大匹配
默认策略	入受限、出全放	默认全拒绝，需手动放行
生效范围	绑定 ECS	绑定整个子网

4.2 实验结论

• 子网绑定 ACL 未放行规则：同 VPC 不同子网完全 ping 不通
• 手动添加 ICMP 放行规则后，子网间恢复互通
• 思考：若要 ecs-2 主动 ping 通 ecs-1，需双向放行 ACL 入站规则

5. EIP 弹性公网 IP

5.1 作用

• 为 ECS 提供独立固定公网 IP
• 支持随时绑定 / 解绑 ECS、ELB 等资源
• 解绑后可保留 IP，不随服务器删除而释放

5.2 实验流程

1. ECS 未绑定 EIP：无法访问外网，外网也无法访问 ECS
2. 购买 EIP（全动态 BGP、按带宽 / 流量计费）
3. 绑定 ECS 主网卡
4. 测试：可 ping 外网域名、外网能远程 SSH / 访问网站

6. ELB 弹性负载均衡

6.1 架构组成

负载均衡器 + 监听器 + 后端服务器组 + 健康检查

6.2 配置流程

1. 创建 ELB 实例：选择 VPC、子网、公网类型
2. 添加监听器：HTTP/80 端口
3. 后端服务器组：添加多台 ECS，配置权重、轮询策略
4. 开启健康检查：检测后端服务可用性
5. 安全组放行业务端口，保证健康检查正常

6.3 实验效果

• 采用加权轮询，多次访问 ELB 公网 IP，轮流调度到后端不同 ECS
• 实现业务流量分发、消除单点故障、扩容服务能力

7. VPN 虚拟专用网络

7.1 作用

实现不同区域VPC 内网互通（对等连接仅同区域）

7.2 配置流程

1. 两地分别创建 VPN 网关、绑定本端 VPC 子网
2. 创建对端网关，录入对端 VPN 公网 IP
3. 配置 VPN 连接：预共享密钥、静态路由
4. 路由放行两端内网网段
5. 跨区域 ECS 内网 ping 通

---

四、通用实验操作规范

1. 所有实验完成后必须清空资源：删除 ECS→ELB→对等连接→VPN→子网→VPC，避免计费
2. 网络规划先定网段，杜绝 VPC / 子网网段冲突
3. 安全组 / ACL 遵循最小开放原则，只放业务必要端口
4. 密钥对私钥本地妥善保存，勿泄露
5. 弹性伸缩可结合业务高峰，设置定时扩容、低谷缩容节约成本

五、实验核心结论总结

1. 同 VPC 内无论同 / 不同子网默认互通，不同 VPC 默认隔离
2. 安全组管控实例级别访问，ACL 管控子网级别访问
3. EIP 是 ECS 访问公网的必备固定 IP，可灵活绑定解绑
4. 对等连接实现同区域跨 VPC互通，VPN 实现跨区域跨 VPC互通
5. ELB 实现流量负载均衡，提升业务并发与高可用
6. 镜像服务可快速批量部署相同业务 ECS
7. 弹性伸缩自动调整 ECS 数量，适配业务负载变化