集团数据中心基础环境及混合云平台整体设计方案

语言	格式	评分
中文（简体）	.docx	3
概览
联想整体设计方案联想 HyperXCM 快照策略需要注意的是，联想 HyperXCM 快照策略是第三方快照策略，支持自动生成磁盘快照，建议用户如果设置了联想 HyperXCM 快照策略后，将云厂商的自动快照策略停用，避免重复执行创建快照操作，影响系统性能； 1、查看自动快照策略点击“快照策略”，打开自动快照策略，系统默认为每个用户创建了一个快照策略； 1168 联想整体设计方案 2、配置快照策略用户可根据实际情况，设置快照策略的名称、执行时间、重复日期及执行策略； 1169 联想整体设计方案 3、为云主机指定快照策略有两种途径为云主机指定快照策略，第一种是直接在快照策略中，将云主机添加进入，策略中的云主机在执行时间到达后，将自动批量创建快照； 1170 联想整体设计方案第二种是进入主机磁盘详情，在快照策略下拉菜单中，选中快照策略； 1171 联想整体设计方案 4、执行快照策略联想 HyperXCM 支持手动和自动执行，在用户开启“自动执行”并设置了自动执行的时间和日期后，快照策略将在指定时间自动创建快照； 1172 联想整体设计方案当用户需要立即执行快照策略时，点击“立即执行”按钮，即时创建策略下所有云主机磁盘的快照策略。使用快照回滚磁盘在联想 HyperXCM 通过快照回滚磁盘有两种方式：回滚单个磁盘和批量回滚主机中的所有磁盘。 1、通过快照详情回滚单个磁盘 1173 联想整体设计方案回滚前，请确保主机已停机。双击一个状态为“已完成”的快照，打开该快照的详情，点击“回滚”按钮，确认后即开始回滚； 2、通过时光机将回滚主机下所有磁盘点击主机的“时光机”按钮，主机下的磁盘快照将以时光机的形式展现，用户可以选择需要回滚的快照和时间点执行回滚操作（同时只能回滚同一天的快照）； 1174 联想整体设计方案 1.1.1.1.1.1 镜像管理什么是镜像镜像提供了创建云主机实例所需要的所有数据信息，可以仅有操作系统信息，也可包含所有数据盘文件，我们可通过镜像批量部署软件环境，也可作为一台服务器运行环境的备份。对于云厂商，通常会提供四种类型的镜像： 1. 公共镜像：所有用户均可使用，涵盖大部分主流操作系统； 1175 联想整体设计方案 2. 服务市场镜像：所有用户均可使用，除操作系统外还集成了某些特定应用程序，部分镜像需要收取一定的费用； 3. 自定义镜像：仅创建者和共享对象可以使用，由现有运行的实例创建或由外部导入而来； 4. 共享镜像：由其他用户共享而来的镜像，仅能用作创建实例。镜像管理需要特别说明的是，本着简化管理过程的目的，联想 HyperXCM 现阶段仅提供管理用户的自定义镜像及其他用户的共享镜像；在“磁盘快照”栏目中，选择“镜像管理”标签页，按云账户的维度查看镜像，目前可供用户查看/修改镜像基本信息、镜像组成、通过镜像创建的实例、删除镜像等功能；创建自定义镜像 1176 联想整体设计方案用户可将现有云主机上的数据创建自定义镜像，目前提供了 4 种创建方式： 1、通过不同磁盘的快照灵活组合创建：在某个系统盘快照的基础上，可搭配其它云主机所生成的任意数据盘快照灵活组合创建成一个镜像； 2、通过时光机创建：选取某台云主机的时光机的任意一天快照，创建该云主机的镜像； 1177 联想整体设计方案 3、通过系统盘快照创建：通过某台云主机系统盘的某个快照发起创建，自由组合其它主机的数据盘快照来创建镜像； 1178 联想整体设计方案 4、通过云主机创建：直接将某台云主机当前状态生成一个全新镜像。 1179 联想整体设计方案共享镜像共享镜像是指将自定义镜像共享给同一个云厂商的其他账户，接受共享镜像的账户可将该镜像用于创建实例，但需要注意的是，一旦镜像被取消共享，所创建的实例将无法再进行初始化操作。在需要共享的镜像中，点击“共享状态”，弹出当前镜像的共享信息窗口； 1180 联想整体设计方案点击“添加”，将出现账号 ID 填写文本框； 1181 联想整体设计方案输入对方的账号 ID，点击“应用”图标，如果账号 ID 填写正确，即可完成共享操作（延伸阅读：获取阿里云账号 ID 、获取腾讯云账号 ID ）； 1182 联想整体设计方案如要取消共享，在共享状态中对该账号“结束共享”即可； 1183 联想整体设计方案 1.1.1.1.1 对象存储 1.1.1.1.1.2 对象存储管理什么是对象存储 1184 联想整体设计方案对象存储是由云厂商提供海量、稳定、安全、高效、低成本的云存储服务，用户可通过调用 API 的方式，在任何应用、任何时间、任何地点上传和下载数据，实现数据的管理和处理。目前各大厂商均有此类产品，例如阿里云的 OSS、腾讯云 COS、亚马逊 S3、百度 BOS 等。对象存储服务的基本存储空间是 Bucket，它是存储对象的容器，所有的对象都必须隶属于某个 Bucket。您可以设置和修改 Bucket 属性用来控制地域、访问权限、生命周期等，这些属性设置直接作用于该 Bucket 内所有对象，因此您可以通过灵活创建不同的 Bucket 来完成不同的管理功能。导入 Bucket 和导入云主机一样，导入 Bucket 时，也需要先拥有云账户，该云账户可与云主机共用同一云账户，亦可新建另一云账户（创建过程可参考：创建云账户，当前只支持阿里云 OSS）。 1185 联想整体设计方案查看 Bucket 当月用量统计当用户在对象存储页面左侧树结构中选择某个云账户节点时，右侧将显示该云账户中所管理的 Bucket 当月用量统计，统计指标有：已用空间、公网出站流量、请求数（Put 及 Get）。 1186 联想整体设计方案 Object 管理当用户在对象存储页面左侧树结构中选择某个 Bucket 节点时，右侧是该 Bucket 的 Object 管理界面，用户可在此进行 Object 的操作。目前可支持的操作有：新建文件夹、上传、下载、删除、重命名、复制/移动（支持跨区域传输）。 1187 联想整体设计方案 Object 如何进行跨区域传输通常来说，由于跨区域传输需要消耗公网出站流量，故云厂商都不提供 Object 的跨区域传输。而联想 HyperXCM 通过在不同区域部署中转节点的方式，为用户提供了有限的跨区域传输的功能，只要用户的目标 Bucket 在某些特定的区域内，即可实现跨区域传输。但受限于中转节点的个数，目前能够支持跨区域传输的区域情况如下：云厂商区域区域简称是否支持阿里云华南 1 cn-shenzhen 支持华北 2 cn-beijing 支持更多区域敬请期待... 删除 Bucket 当用户需要删除某个 Bucket 时，只需在左侧树结构中选择该 Bucket，点击“删除”图标，即可将该 Bucket 删除。注意：此处删除 Bucket 仅表示不再通过联想 HyperXCM 管理该 Bucket，而不会从云厂商的对象存储服务中将该 Bucket 物理删除。 1188 联想整体设计方案 1.1.1.1.1.3 服务监控对象存储服务监控目前，联想 HyperXCM 的对象存储服务监控，提供了按天查看出站流量、请求次数、HttpCode（请求返回码）三个维度的监控，最长可支持 31 天的监控数据查询。每个维度下面，分别展示了对应维度的数据。同时，也提供了对应维度的预警通知设置。下面以出站流量维度为例，来介绍对象存储监控特性。点击某一个 Bucket，选择“出站流量”标签页。 1189 联想整体设计方案预警通知通过对当天总公网流出流量和单 IP 公网流出流量两个指标的运行情况进行预警，当上述指标达到所设置的阈值时，将向用户推送预警微信通知（需要用户绑定微信）。点击预警通知区域，将打开预警设置窗口，用户可根据实际情况对预警项进行预警阈值和启停设置。同时也可以查看历史预警消息记录。 1190 联想整体设计方案每日汇总出站流量的每日汇总，展示了所选日期里由公网流出流量、CDN 回源流量、跨区域复制组成的计费流量，以及免费的内网流出流量的情况，让用户通过一张流量流向图，即可了解当天的对象存储的服务情况。 1191 联想整体设计方案每小时分布及热点数据每小时分布是对所选日期按小时维度来查看出站流量明细，用户可清晰的查看每个小时时段内的公网流出流量、CDN 回源流量、跨区域复制流量和内网流出流量的详情，同时也会详细的列出每小时的具体访问热点数据，如访客 IP、Object 请求的 TOP 10 数据。通过这些数据，用户可准确的排查一些异常请求的问题。 1192 联想整体设计方案访问日志统计对象存储服务监控提供的热点数据是通过对 Bucket 访问请求进行分析，挖掘出各种有价值的数据，如：哪些 IP 请求过于频繁？哪些请求容易出现 404 错误？这些数据对于对象存储的使用者具有非常大的意义，便于排查错误。但通常来说，厂商的云监控服务不会提供如此详尽的访问日志记录，部分云厂商（如阿里云）提供了额外的访问日志，可将访问请求以日志文件的形式记录下来，联想 HyperXCM 通过对日志进行分析，形成热点数据汇总展现给用户。如果您未在阿里云中开通访问日志，可通过联想 HyperXCM 直接开通。 1、进入需要开通访问日志统计的 Bucket，切换到“出站流量”、“请求次数”、“HttpCode”任意一个标签页； 1193 联想整体设计方案 2、将网页拖动到下方“热点数据”部分，在提示内容中点击“立即开启”，打开访问日志开启窗口； 3、设置“日志存储位置”项，在下拉菜单中选择需要把访问日志文件保存在哪个 Bucket 中，建议保存在当前 Bucket； 4、设置日志文件前缀，建议设置为“access-log/log-”，所表达的意思是日志文件保存在所选 Bucket 下的 access-log 文件夹下以 log-开头的文件； 1194 联想整体设计方案 5、点击“确认开启”，操作完成；需要注意的是，阿里云访问日志文件不是实时生成的，通常会延迟 4-6 个小时，且可能存在某些记录被漏记的可能。 1.1.1.1.1.4 配置 Bucket 为什么要做 Bucket 权限配置 Object 管理是对象存储服务的基础特性，联想 HyperXCM 提供了 Object 的上传、下载、复制、移动等功能。由于联想 HyperXCM 基于 B/S 架构实现，而云厂商为了保护对象存储服务的安全性，提供了一系列的安全设置，例如：防盗链、跨域设置、访问签名，这些安全设置对于浏览器客户端会有很大影响，如果相关设置不对联想 HyperXCM 开放，将会影响到在联想 HyperXCM 进行 Object 的上传下载等功能。 1195 联想整体设计方案当联想 HyperXCM 检测到用户未进行相关的权限配置时，在 Object 管理界面将出现以下提示：因此，如果用户希望使用相关功能，就需要对 Bucket 做一些配置，这些配置对于不同云厂商来说是不一样的，下面就分别介绍阿里云和腾讯云是如何进行相关配置的。阿里云 OSS 配置针对阿里云 OSS，点击配置提醒中的“了解更多”，我们可以看到相关的配置项：将联想 HyperXCM 域名添加到防盗链白名单 Referer 列表和跨域访问规则中，以及在您的阿里云账号中创建专门的 ram 子账号和角色。如果您的云账户使用的是主账号的 AccessKey，那么您可以点击“一键自动配置”，让我们自动帮您完成以上配置； 1196 联想整体设计方案如果您打算手工在阿里云控制台中修改相关设置，请按照以下指引进行操作： 1、登录阿里云 OSS 管理控制台以主账号身份登录您的阿里云 OSS 管理控制台，选择您要配置的 Bucket 点击进入； 1197 联想整体设计方案 2、将联想 HyperXCM 域名添加到 Bucket 的防盗链白名单 Referer 列表中点击该 Bucket 的“基础设置”功能； 1198 联想整体设计方案找到“防盗链”，默认情况下这个配置是空，表示所有的域名均能访问客户的 OSS 资源，如果当前设置允许所有域名访问，请忽略本项修改。但如果启用了防盗链白名单，请点击“设置”，在防盗链配置中增加 http://.cloudbility.com 和 https://.cloudbility.com 两项内容；请注意：您在配置防盗链白名单时，请确保您自己的域名和联想 HyperXCM 的域名都在 Referer 白名单列表中； 1199 联想整体设计方案 3、将联想 HyperXCM 域名添加到 Bucket 跨域访问规则中仍然是在 Bucket 基础设置中，找到“跨域设置”，点击“设置”；在跨域访问设置页面中，点击“创建规则”，按以下内容创建两条规则：  来源：https://.cloudbility.com、http://.cloudbility.com（以换行表示两个域名，如果是私有部署版，请填写自己的域名）  允许 Methods：全部勾选  允许 Headers：*  暴露 Headers：ETag、x-oss-request-id（每行一个）  缓存时间（秒）：300 1200 联想整体设计方案 4、在阿里云账号中创建专门的 ram 子账号如果您在其它 Bucket 里已经创建过 ram 子账号，请勿重复创建，直接忽略本步骤即可。进入[阿里云访问控制台 RAM](https://ram.console.aliyun.com，选择“用户管理”，点击“创建用户”； 1201 联想整体设计方案在“创建用户”窗口，用户名填写“cloudbility-bucket-admin”，显示名填写“联想 HyperXCMBucket 管理员”，勾选“为该用户自动生成 AccessKey”，其它字段留空； 1202 联想整体设计方案子账户创建完成后，请注意保存该账户的 AccessKey 信息，在后面的步骤需要把 AccessKey 回填至联想 HyperXCM 中，其中 AccessKey Secret 信息将只会显示一次，如果您未保存，请在用户详情页面里的“用户 AccessKey”中点击“创建 AccessKey”按钮，重新创建一个。 1203 联想整体设计方案在用户管理页面中，选择刚才创建的子账号，点击其“授权”链接，打开“编辑个人授权策略”窗口； 1204 联想整体设计方案在“可选授权策略”中，找到“AliyunOSSFullAccess”和“AliyunSTSAssumeRoleAccess”两个策略，将其添加到“已选授权策略名称中”，点击“确定”按钮进行保存； 1205 联想整体设计方案 5、创建专门用于 OSS 管理的角色和 ram 子账号一样，如果您在其它 Bucket 里已经创建过角色，请勿重复创建，直接忽略本步骤即可。在阿里云访问控制台 RAM 中，选择“角色管理”，点击“新建角色”； 1206 联想整体设计方案在“创建角色”向导第一步中，选择角色类型为：用户角色； 1207 联想整体设计方案选择云账号为：当前子账号，受信云账号 ID 保持默认，点击“下一步”；角色名称为：cloudbility-bucket-role，备注为：联想 HyperXCMBucket 管理角色，点击“创建”； 1208 联想整体设计方案在创建成功界面中，点击其“授权”链接，进入该角色的“角色授权策略”页面； 1209 联想整体设计方案在一个新创建的角色中，授权策略默认为空，点击其“编辑授权策略”按钮，打开“编辑角色授权策略”窗口，为该角色进行授权；在“可选授权策略”中，找到“AliyunOSSFullAccess”策略，将其添加到“已选授权策略名称中”，点击“确定”按钮进行保存； 1210 联想整体设计方案点击进入已创建好的角色基本信息页面，找到“Arn”，保存该信息，在后面的步骤需要将其回填至联想 HyperXCM 中； 1211 联想整体设计方案 6、将 ram 子账号的 AccessKey 和角色信息填入联想 HyperXCM 中请确保您在前面的操作中，已将创建的子账号 AccessKey 信息和角色 Arn 信息保存好，点击“点击此处进行配置”，弹出配置窗口； 1212 联想整体设计方案在配置窗口中，将子账号 AccessKey 和角色 Arn 信息填入，点击“确定”，通过校验后，即保存成功； 1213 联想整体设计方案相关配置完成后，系统将不再对 Object 管理功能进行提醒，用户可正常使用 Object 的相关管理功能；腾讯云 COS 配置针对腾讯云 COS，我们需要将联想 HyperXCM 域名添加到防盗链白名单 Referer 列表和跨域访问规则中，具体操作请见以下指引： 1、登录腾讯云 COS 控制台登录您的腾讯云 COS 控制台 Bucket 列表，点击您要配置的 Bucket 名称进入； 1214 联想整体设计方案 2、将联想 HyperXCM 域名添加到 Bucket 的防盗链白名单 Referer 列表中点击该 Bucket 的“基础设置”功能；找到“防盗链设置”，默认情况下这个配置是“已关闭”，表示所有的域名均能访问客户的 COS 资源，如果当前设置是关闭或黑名单（联想 HyperXCM 域名不能在黑名单中），请忽略本项修改； 1215 联想整体设计方案但如果启用了防盗链白名单，请在防盗链配置中增加.cloudbility.com 后，点击保存按钮；请注意：您在配置防盗链白名单时，请确保您自己的域名和联想 HyperXCM 的域名都在 Referer 白名单列表中； 3、将联想 HyperXCM 域名添加到 Bucket 跨域访问规则中仍然是在 Bucket 基础设置中，找到“跨域访问 CORS 设置”，如果当前状态是“已开启”，请点击“编辑”； 1216 联想整体设计方案在编辑状态下，点击“新增规则”，按以下内容创建一个规则：  来源 Origin：.cloudbility.com（如果是私有部署版，请填写自己的域名） 1217 联想整体设计方案  操作 Methods：全部勾选  Credentials：False  Allow-Headers：*  Expose-Headers：ETag  超时 Max-Age：300 1218 联想整体设计方案 1219 联想整体设计方案 1.1.1.1.2 CDN 1.1.1.1.1.5 CDN 资源管理导入 CDN 加资源 CDN 是联想 HyperXCM 支持的一种重要云资源，首先请将菜单切换至“CDN”。加速域名是 CDN 资源的直接体现，CDN 资源的导入本质就是将加速域名导入到联想 HyperXCM 中进行管理，导入流程和云主机一样，请参考创建云账户，此处不再赘述