HCIE-LAB


HCIE-LAB P@ssw0rdHCIElab999 源地址根据实际情况确定,比如:ecs-terminal的公网IP,RDS实例的IP,ECS实例的IP地址。可以放行192.168.1.0/24类似的内网网段地址,公网IP地址写具体的某一个地址使用32位掩码
截图-按要求、全屏 (标注) 资源预先创建 AOM使用1.0,不要点弹出的我要迁移按钮,否则无法设置告警


整体流程: 1. 北京4: vpc-子网-安全组-ecs-rds-dns-部署wordpress-dcs-elb-as-同区域容灾(vpc2子网对等连接ecs2)
2. 源端:北京4 vpc子网安全组(复用) -> ecs-wp-src(镜像) 、 数据库(用户权限数据库配置)
目端:上海1 vpc子网安全组(新建) -> VPN -> ecs-migrate(空) -> rds-migrate(空)
迁移:SMS-主机迁移 在源端ecs-wp-src中安装主机迁移Agent -> 密钥、agent下载启动、设置目的端启动
DRS-数据库迁移 创建迁移任务(放行ip) -> 源库和目标库 -> 迁移(解除只读/升主)
验证:上海1 ecs -> 登录->修改wp-config->wp_options表中“siteur”和“home”的地址参数
3. vpc,子网,安全组
-> 安装docker并启动(配置镜像daemon) -> 直接启动nginx -> 修改主页 -> Dockerfile启动
上云: SWR -> 创建组织 -> 登录指令-ecs -> 打tag -> 上传
创建CCE集群 -> 创建工作节点 -> 购买ELB -> 部署负载


整体流程:vpc,子网,安全组
-> 安装docker并启动(配置镜像daemon) -> 直接启动nginx -> 修改主页 -> Dockerfile启动
上云: SWR -> 创建组织 -> 登录指令-ecs -> 打tag -> 上传
创建CCE集群 -> 创建工作节点 -> 购买ELB -> 部署负载

 

 

 


HCIE-LAB P@ssw0rdHCIElab999 域名 pass.hi.cn 【安全组】 √√√内网ip 截图-按要求、全屏 (标注) 资源预先创建 AOM使用1.0,不要点弹出的我要迁移按钮,否则无法设置告警
所有配置-私网ip 安全组、访问-公网ip 修改完配置文件启动,访问执行前放安全组
--------------------C卷-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
=== C卷(G卷) 4.1网站搭建和配置 =========================================================================================

---------VPC、子网的创建、安全组
vpc-web1 192.168.0.0/20 subnet-web 192.168.0.0/24 subnet-db 192.168.1.0/24
sg-web 22、80、ICMP - 192.168.0.0/24 sg-db 3310、ICMP - 安全组:sg-web

ECS创建 ecs-wordpress 可用区1 2vCPUs-4GiB-s6.large2 公共-CentOS 7.6 64bit 通用型SSD 40G 北京4 vpc-web1 subnet-web sg-web 按流量20m
ecs-terminal 可用区1 2vCPUS-4GiB windows 2016-64-标准-中文版 通用型SSD 40G 北京4 vpc-web1 subnet-web sg-web 按流量-20 => 119.3.227.72

RDS创建 rds-wordpress 可用区1、7 2vCPUs 4GiB-独享型 MySQL 5.7 主备 SSD云盘 100G,≤15%时,扩容800GB 北京四 vpc-web1 subnet-db sg-db *端口3310 *创建数据库wordpress

---------DNS: 反向解析 -> 公网域名 -> 管理解析 -> 添加记录集 : www 、A-将域名指向IPv4地址 、5分钟 、ecs-wordpress的eip
安全组: sg-web ICMP-119.3.227.72/32(terminal的公网ip)
在terminal本地配置域名: windows/system32/drivers/etc/hosts 119.3.227.72 pass.hi.cn
在ecs-terminal: 打开cmd窗口 ping www.linguochang.top

--------- 检查启动环境、安装wordpress软件
下载 php/nginx
cd /usr/share/ yum install -y bash-completion nginx
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
yum -y install php72w php72w-pdo php72w-mysqlnd php72w-opacache php72w-xml php72w-gd php72w-mcrypt php72w-devel php72w-intl php72w-mbstring php72w-bcmatch php72w-json php72w-iconv php72w-fpm

√1.安装wordpress软件 (下载、解压、目录、赋权)
wget https://hciecloudservice.obs.cn-north-4.myhuaweicloud.com/wordpress-5.4.5-zh_CN.zip
unzip wordpress-5.4.5-zh_CN.zip
cp -rf wordpress /usr/share/nginx/html
cd /usr/share/nginx/html/wordpress
√chmod -R 777 /usr/share/nginx/html/
√chmod -R 777 wp-content/

√2. 检查启动环境 php -v 检查nginx配置 nginx -t (/etc/nginx/nginx.conf ) nginx-t检查配置文件是否有问题,然后重启nginx和php-fpm服务
systemctl start nginx
systemctl enable nginx
systemctl start php-fpm
systemctl enable php-fpm

ecs-terminal: 113.44.210.33
安全组: sg-web 80 - 119.3.227.72/32(terminal的公网ip)
域名访问: pass.hi.cn/wordpress (http://113.44.210.33/wordpress )
页面配置: wordpress / root/P@ssw0rdHCIElab999 / 192.168.1.39:3310 (RDS内网ip √√√ ) 完成对接rds-wordpress数据库
创建用户: HCIE、admin/P@ssw0rdHCIElab999 安装 admin登录后发布文章

---------DCS(Redis)安装主备 购买、ecs安装+修改配置wp-config.php
购买DCS: dcs-wordpress 5.0 主备 副本2 可用区1、7 实例规格128M web1/subnet-db 自动分配ip地址 端口6379
后台安装插件:在ecs-wordpress的后台安装redis插件(配置文件):
安装插件:在ecs-wordpress中安装phpredis插件
wget https://tkjy-cloud.obs.cn-north-4.myhuaweicloud.com/phpredis-5.0.2.tar.gz
tar -zxvf phpredis-5.0.2.tar.gz
cd phpredis-5.0.2
/usr/bin/phpize
./configure -with-php-config=/usr/bin/php-config
make && make install
cd /etc/php.d
echo extension=redis.so > redis.ini
php -m | grep redis
√ 配置文件 vim /usr/share/nginx/html/wordpress/wp-config.php (将以下配置加入到文件尾部 注意标点符号中英文)
define("FS_METHOD","direct");
define("FS_CHMOD_DIR",0777);
define("FS_CHMOD_FILE",0777);
define("WP_REDIS_CLIENT","pecl");
define("WP_REDIS_SCHEME","tcp");
define("WP_REDIS_HOST","192.168.1.198"); DCS地址 √
define("WP_REDIS_PORT","6379");
define("WP_REDIS_DATABASE","0");
define("WP_REDIS_PASSWORD","P@ssw0rdHCIElab999"); √
web界面安装插件:
安装插件:安装插件-搜redis-现在安装-启用-启用对象缓存(生成object-cache.php文件)
√ 修改object-cache.php配置文件,完成与DCS的对接配置。
cd /usr/share/nginx/html/wordpress
cd wp-content/
vi object-cache.php ?build_parameters n下翻
protected function build_parameters() {
$parameters = [
'scheme' => 'tcp',
'host' => '192.168.1.198', DCS地址 √
'port' => 6379,
'password' => 'P@ssw0rdHCIElab999', 新增一行密码 P@ssw0rdHCIElab999 √ 注意标点逗号
'database' => 0,
'timeout' => 1,
'read_timeout' => 1,
'retry_interval' => null,
'persistent' => false,
]
-------------------负载均衡 ELB
解绑ecs-wordpress的弹性公网IP
购买ELB: elb-wordpress *独享型* 按需计费 应用型(HTTP/HTTPS2000) 可用区1、2 小型1-2000HTTP/200HTTPS vpc-web1/subnet-web *弹性公网ip-使用已有(上面解绑的ecs-wordpress的弹性公网IP)
-> 添加监听器:listener-wordpress http 80-> 配置后端分配策略: server_group-wordpress 加权轮询 -> 添加后端服务器 ecs-wordpress 80 参数设置:健康检查TCP
-------------------弹性伸缩 AS
创建镜像: 将ecs-wordpress,转换为ims镜像ims-wordpres (确保ecs-wordpress内的nginx、php-fpm服务是开机自启的)
购买弹性伸缩AS:
伸缩配置: as-config-wordpress 新模板2vCPUs4GiB 通用计算S6 私有镜像ims-wordpress 通用SSD 40G sg-web *EIP不使用*
弹性伸缩组: as-group-wordpress 实例数 521 可用区1、2、3、4 伸缩配置as-config-wordpress vpc-web1 subnet-web 使用弹性负载均衡:独享elb-wordpress server-group-wordpress 80 较早-释放-删除
伸缩配置: 查看伸缩策略:添加基于CPU的伸缩策略:45-70 添加基于内存的伸缩策略:30-85 5分钟5次
-ecs-terminal:使用域名访问网站 pass.hi.cn/wordpress (EIP(elb-wordpress)对应的域名)


----------------------配置同区域容灾
vpc-web2 192.168.16.0/20 subnet-web 192.168.16.0/24 (配置对等连接,实现vpc-web1和vpc-web2实现跨vpc网络互通)

创建对等连接:配置对等连接使vpc-web1和vpc-web2实现跨vpc网络互通
peering-1to2 本: vpc-web1 192.168.0.0/20 <=> 对:cn-north-4 vpc-web2 192.168.16.0/20
添加路由: vpc-web1 目的地址 192.168.16.0/20(vpc2) <=> vpc-web2 目的地址 192.168.0.0/20(vpc1)

创建ecs-wordpress2: 在vpc-web2中(使用新创建的私有镜像)
ecs-wordpress2 2vCPUs | 4GiB | s6.large.2 ims-wordpress vpc-web2 subnet-web sg-web 按流量-20M

-ecs-terminal:使用(wordpress2的EIP)访问网站 http://EIP/wordpress


P@ssw0rdHCIElab999
===C卷(E卷) 4.2 业务高可用及容灾 =================================================================================================================================================================
---------源端网站搭建 北京4
--- vpc,子网,安全组 (可选 复用 实验一的相关资源)
vpc-web(vpc-web1) 192.168.0.0/20 subnet-web 192.168.0.0/24 subnet-db 192.168.1.0/24
sg-web 22、80、ICMP - 192.168.0.0/24 sg-db 3310、ICMP - 安全组:sg-web
--- 创建 ecs-wp-src 使用共享镜像ims-wordpress
ecs-wp-src: 2vCPUs | 4GiB 40GiB CentOS 7.6 64bit 通用型SSD-满足20000 北京四 vpc-web subnet-web sg-web

--- √ 创建wordpressuser用户和赋权 和 安装数据库“wordpress”完成相关配置 (-直接在ECS服务器中安装数据库,---也可以在有RDS的情况下,通过浏览器访问地址EIP/wordpress进行安装 或者 在页面配置)
切换目录: cd /usr/share/nginx/html
登录: mysql -uroot -pHuawei@123! (密码按照给定)
创建用户/密码: create user 'wordpressuser'@'localhost' identified by 'P@ssw0rdHCIElab999';
赋权: grant all privileges on *.* to 'wordpressuser'@'%' identified by 'P@ssw0rdHCIElab999' with grant option;
创建数据库: create database wordpress;
查看创建的用户和数据库: show databases; select user,host from mysql.user; => wordpressuser % exit;

√ 复制wordpress的配置文件,覆盖修改连接创建的数据库
cd /usr/share/nginx/html/wordpress
cp wp-config-sample.php wp-config.php y覆盖后修改
vim wp-config.php
define( 'DB_NAME', 'wordpress' );
define( 'DB_USER', 'wordpressuser' );
define( 'DB_PASSWORD', 'P@ssw0rdHCIElab999' );
define( 'DB_HOST', '192.168.0.34' ); √√√ √√√ 内网IP,默认端口3306 ecs-wp-src 内网IP 192.168.0.34 公网ip 1.92.106.177

√ systemctl enable nginx php-fpm 启动
systemctl restart nginx php-fpm 设置开机自启

--- ecs-terminal: (复制、粘贴、windows里的中英文切换)
-安全组: 北京sg-web 80(wordpress服务端口) = 113.44.136.166/32(ecs-terminal的公网ip) 已放开
登录: *1.92.106.177/wordpress* (ecs-wp-src的EIP)
页面配置: HCIE admin/P@ssw0rdHCIElab999 邮箱 ---[可在页面配置,省略上面编辑wp-config.php: 安全组:sg-web 3306(自建数据库的端口) = 113.44.166.229/32(ecs-wp-src的公网ip) wordpressuser、P@ssw0rdHCIElab999、113.44.136.166:3306、创建用户 admin/P@ssw0rdHCIElab999 ]
admin登录-> new page

---------目的环境准备 上海1
--- vpc,子网,安全组
vpc-web-sh1 192.168.32.0/20 subnet-web 192.168.32.0/24 subnet-db 192.168.33.0/24
sg-web 22\80\ICMP -- 192.168.32.0/24 sg-db 3310、ICMP - 安全组:sg-web
--- VPN网关

上海: vpngw-web-sh1 vpc-web-sh1(选对) 本端子网:两个 主备双活 按流量 100
cgw-bj4 122.9.47.74(北京主EIP) 复用
vpn-web-sh1 对端子网 192.168.0.0/24,192.168.1.0/24

北京: vpngw-bj4 本端子网: subnet-db(192.168.1.0/24) subnet-web(192.168.0.0/24) 主备双活 按流量 100
cgw-discuz-sh1 113.44.57.48(上海主EIP)
vpn-bj4 对端子网 192.168.16.0/24

---目的端ECS的创建 将区域切换到“上海一”
ecs-migrate: 2vCPUs|4GiB 40GiB CentOS 7.6 64bit 上海一 vpc-web-sh1 subnet-web sg-web

---目的端RDS的创建 将区域切换为“上海一”
rds-migrate: mysql 5.7 单机 独享 2vCPUs | 4GiB SSD云盘 40GiB vpc-web-sh1 subnet-db 3310 sg-db


---------业务迁移
---SMS 主机迁移 北京4===>上海1
在源端ECS(ecs-wp-src)中安装 主机迁移Agent
获取AK/SK: 我的凭证-访问密钥”—>“新增访问密钥” 考试时,AK/SK已经放置在考试文件夹中,无需额外创建。如无提供则手动创建。
SMS->迁移Agent 安装Agent
√ 登录ecs-wp-src: yum install -y rsync (等几分钟) √√√
下载SMS-AGENT: wget -t 3 -T 15 https://sms-resource-cn-cn-north-4.obs.cn-north-4.myhuaweicloud.com/SMS-Agent.tar.gz (步骤二中的“链接获取”)
√ 解压并启动: tar -zxvf SMS-Agent.tar.gz && cd SMS-Agent && ./startup.sh 命令执行后,需要输入y后:
AK: O8PO9OHCPFBY0QKVHQVK SK: WbFTaLGpyIWA58jfZh0xko465ICyCds4q3NdO3Re SMS域名: sms.cn-north-4.myhuaweicloud.com (SMS域名在步骤二获取)
查看迁移服务器: 能查看到迁移服务器,说明迁移Agent安装成功
【安全组:上海sg-web: 22、8900 = 192.168.0.95/32 (北京ecs-wp-src的私网ip)】 √√√
迁移服务器 -> 设置目的端开始迁移
模板SystemProject *私网 目的端: 上海一,已有服务器ecs-migrate 源端服务器 ecs-wp-src -> 开始


---DRS 数据库迁移 上海1===>北京4
1.创建迁移任务
DRS -> 实时迁移管理 -> 创建迁移任务
华东-上海一 DRS-4158 入云 mysql mysql vpn、专线网络 目标:rds-migrate (192.168.33.100) subnet-db(192.168.33.0/24) 全量+增量(安全型,内网)、读写(业务不中断) | 只读
【安全组:待迁移实例创建完成后-> 北京4 sg-web 3306 = 192.168.33.149/32 (上海1 迁移DRS内网IP )】 √√√
2.填写源库和目标库信息
=》 源库:192.168.0.124 (北京4 ecs-wp-src 私网ip) 端口 3306 wordpressuser/P@ssw0rdHCIElab999
=》 目库:192.168.33.100 (上海1 rds-migrate) root/Pass_1234(RDS的账号密码)
3.不限速 迁移增量:是 迁移用户:是 确认所有备注 root/wordpressuser 忽略 点击确认详情 -> 一键修改 -> 立即启动 -> 启动任务 -> 完成后 * 增量迁移后 解除只读/升主


--- 迁移验证 上海1
VNC方式登录到ecs-migrate,修改目的端wordpress的后台配置文件,完成RDS数据库对接
编辑wordpress的配置文件wp-config.php,修改数据库的对接信息
cd /usr/share/nginx/html/wordpress;
vi wp-config.php
wordpress (数据库)
root (rds用户)
P@ssw0rdHCIElab999 (rds密码)
192.168.33.100:3310 √√√ √√√ (rds-migrate内网ip:3310)
√ ***systemctl restart nginx php-fpm*** (重启nginx、php-fpm)

登录RDS数据库,修改wp_options表中“siteur”和“home”的地址参数,使用管理员账号可以通过目的端EIP地址登录wordpress网站
上海一 -》登陆云数据库RDS -> root/P@ssw0rdHCIElab999 -> wordpress数据库-“库管理”
wp_options -》 打开表 “siteur”和“home”的公网IP地址修改为 <ecs-migrate的公网IP> 地址 (单机-解除只读 主备-升主) 修改: siteurl http:// 124.70.136.185/wordpress home http:// 124.70.136.185/wordpress -》登录


ecs-terminal: 复制、粘贴、windows里的中英文切换
安全组: 上海sg-web 80(wordpress服务端口) = 113.44.136.166/32(ecs-terminal的公网ip)
登录: *113.44.166.229/wordpress* (ecs-migrate的公网ip/wordpress) [若报连接redis失败,删除redis的object.cache文件]
创建用户: 新增用户“test”, test 信息不要和root相同(邮箱) -> 登录到RDS数据库,查看网站用户列表信息: “wp-user”数据表





P@ssw0rdHCIElab999
===C卷(F卷) 4.3 本地容器业务上云======================================================================================================================================================

---------基础环境配置
--- vpc,子网,安全组 vpc-docker 192.168.32.0/20 subnet-docker 192.168.32.0/24 sg-docker 22、80、ICMP -192.168.32.0/24

--- 弹性云服务器ECS ecs-docker 2vCPUs | 4GiB 40GiB CentOS 7.6 64bit 北京四 vpc-docker subnet-docker sg-docker => subnet-docker 192.168.32.51 124.70.30.95

0. 安装docker并启动: 下载、启动、配置、重启
提供: (*多次执行,不管提示,出现complete! 确保docker环境安装成功)
yum -y install yum-utils
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum install docker-ce docker-ce-cli containerd.io -y
√ 启动docker守护进程并查看版本
systemctl start docker
systemctl enable docker
docker --version
修改配置文件daemon.json,配置镜像加速器: 登录SWR -> 镜像资源 -> 镜像中心 -> 镜像加速器 -> 复制镜像加速器地址
√ vim /etc/docker/daemon.json (名字不要写错)
{
"registry-mirrors": [ "https://d3cde52ae45848b6ad24bfd486777ba4.mirror.swr.myhuaweicloud.com" ]
}
√ systemctl restart docker 重启 (重启失败,则检查操作系统其他位置(如:/etc/sysconfig/docker、/etc/default/docker)是否配置了registry-mirrors参数,删除此参数并重启容器引擎即可。)
√ docker info 当Registry Mirrors 为加速器的地址,说明配置成功

√ 1.拉取nginx镜像,运行容器,要求主机80端口映射到容器的80端口,通过ECS 的EIP登录nginx
docker pull nginx
docker images
docker run -d -p 80:80 nginx
【安全组: sg-docker 80-terminal的eip】
ecs-terminal: http://124.70.30.95/ (http://ecs-docker的eip/)

√ 2.修改容器中的nginx主页,显示内容为“HCIE-Cloud Service+考试日期”
echo “HCIE-Cloud Service 0328” > index.html
docker ps -a =》 容器ID前两位
docker cp index.html 容器ID:/usr/share/nginx/html
ecs-terminal: http://124.70.30.95/ (http://ecs-docker的eip/)

√ 3.根据当前的环境信息,编写Dockerfile的方式构建镜像,要求镜像中nginx主页显示“HCIE-LAB+考试日期”,截图,通过该镜像运行的吞器可以直接通过主机 80 端口访问,页面显示内容与题目要求一致。
/root目录下 mkdir nginx -> cd nginx -> vi Dockerfile->
FROM nginx
RUN echo “HCIE-LAB+0328” > /usr/share/nginx/html/index.html √
EXPOSE 80
-> docker build -t nginx:v1 . (-t 指定名称)
-> docker images -> docker ps -a -> docker stop 容器ID
-> docker run -d -p 80:80 nginx:v1 -> http://124.70.30.95/
ecs-terminal: http://124.70.30.95/ (http://ecs-docker的eip/)

---------本地容器业务上云
1. 使用弹性云服务器ecs-docker登录SWR仓库
SWR -> 创建组织 -> bada_20241220
总览 -> 登录指令 -> 复制登录指令
ecs-docker -> 执行登录指令
√ 将镜像上传至对应区域的SWR组织中,组织名称为“考试账号 xxx”: (命令可查)
给nginx:v1镜像打上tag标记:
docker tag [{镜像名称}:{版本名称}] swr.cn-north-4.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称}
docker tag nginx:v1 swr.cn-north-4.myhuaweicloud.com/bada_20241220/nginx:v1 √
docker images 查看
上传镜像到SWR的组织中:
docker push swr.cn-north-4.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称}
docker push swr.cn-north-4.myhuaweicloud.com/bada_20241220/nginx:v1

2. 完成 CCE 集群及工作节点创建
创建CCE集群: cluster-nginx standard 按需 V1.27 50节点 单实例 vpc-docker subnet-docker 安全组、网段 :自动
创建节点池(工作节点): *扩缩容* 进入集群 -> 节点管理 -> 节点池 -> 创建节点池:
弹性-虚拟机 节点规格:4vCPUs | 8GiB 高可用:否 规格:50GiB(系统、极速)+100GiB(数据、极速) Containerd 镜像:EulerOS 2.9 子网:subnet-docker EIP:暂无
提前购买ELB elb-cce-docker 20M/s 116.205.124.141/
利用上传的镜像部署无状态工作负载 nginx (
点击到“命名空间”创建命名空间 nginx-1220
“工作负载”—>“无状态负载”—>“创建负载”: nginx nginx-1220 实例数1
容器配置: nginx nginx v1 cpu0.5-1 内存512-1024
服务配置:nginx 负载均衡 集群级别 独享性 已有 elb-cce-docker 已阅 全局 √√√
TCP 80 80
ecs-terminal: http://116.205.124.141/ 通过 elb-nginx公网ip 访问nginx的工作负载



===C卷(E卷) 4.4 运维管理 1.0步骤 步骤 ===================================================================================================

---应用运维管理 AOM (AOM使用1.0,不要点弹出的 我要迁移 按钮,否则无法设置告警) 命令安装agent --- 2.0 接入 -> ECS -> 创建Prometheus for ECS类型实例(任意) -> 选择主机 一键安装

【ECS接入AOM】
1、将弹性云服务器ECS(实验一中的 ecs-wordpress)接入AOM。
ECS安装ICAgent:
AOM -> 配置管理—> Agent管理 -> 点击“安装Agent” -> 复制安装ICAgent命令
ECS -> 执行 安装ICAgent命令 *安装ICAgent AK/SK 去掉{} AK: O8PO9OHCPFBY0QKVHQVK SK: WbFTaLGpyIWA58jfZh0xko465ICyCds4q3NdO3Re SMS域名: sms.cn-north-4.myhuaweicloud.com (SMS域名在步骤二获取)
Agent管理 -> 选择 其他-用户自定义接入主机 可看到接入的ECS服务器 ICagent是运行状态 --- 配置管理 - 应用发现 - ECS服务器 (比较耗时 5-6分钟)

2、为弹性云服务配置告警监控。通过告警模板,完成云主机的CPU/内存使用率的告警规则设置,要求资源使用的平均值在连续2个周期阈值超过80%,则产生紧急告警,统计周期为1分钟。
告警监控:(AOM1.0如果没有可区AOM2.0去做)
AOM -> 告警规则 -> 创建告警规则 cpu80 -> 指标/阈值 资源 主机/主机 cpu使用率 aom_node_cpu_usage / 1分钟 平>80 2次 | 触发条件 在2个监控周期内,如果平均值 ≥80 达到连续 2次 时,产生紧急告警 直接告警 /行动规则关闭
mem80 -> 指标/阈值 资源 主机/主机 内存使用率 aom_node_memory_usage / 1分钟 平>80 2次 | 触发条件 在2个监控周期内,如果平均值 ≥80 达到连续 2次 时,产生紧急告警 直接告警 /行动规则关闭

3、将/var/log/boot.log和/var/log/messages配置为云主机ecs-wgrdpress日志采集路径。
配置日志采集路径:(比较耗时 5-6分钟)
日志 -> 日志路径 -> ecs-wordpress 配置 -> 添加 /var/log/boot.log和/var/log/messages

4、为弹性云主机ECS配置日志桶ecs-syslogs,将新增的日志采集路径配置到该日志桶中并为其创建统计规则ecs-logrules,统计关键词为error。
配置日志桶:
日志 -> 日志桶 -> 桶列表 -> 添加日志桶 ecs-syslogs 日志文件:*主机* - 192.168.0.73下 messages、boot.log
添加统计规则:
日志 -> 日志桶 -> 桶列表 -> ecs-syslogs - 添加统计规则: 名称ecs-logrules 关键词error 日志桶ecs-syslogs

7、为日志桶中的数据配置日志转储,要求每 30 分钟,将日志桶中的数据存储到刚才创建的“实验账号-xxxx(当前日期)”对象存储中
OBS -> 创建桶 hcie-1220 多AZ 标准 私有
AOM控制台,进入“日志”—>“日志转储”—>“周期性转储”,点击“添加日志转储”: 日志桶-周期性转储-30分钟- 日志桶ecs-syslogs - 目标OBS桶HCIE-1220

【CCE接入AOM】
5、通过AOM服务,检査容器引擎CCÉ集群组件的状态(实验三中的CCE环境)。
监控 —> 组件监控 查看CCE工作负载组件的状态 可以正常看到vote、result、worker、redis、postgres

6、为CCE集群配置日志桶cce-syslogs,为容器工作负载组件日志配置日志桶。
配置日志桶:
日志 -> 日志桶 -> 桶列表 -> 添加日志桶 cce-syslogs 日志文件:*组件* - 命名空间下 vote、result、worker、redis、postgres 的日志
添加统计规则:
日志 -> 日志桶 -> 桶列表 -> cce-syslogs - 添加统计规则: 类型:关键词统计 名称:cce-logrules 关键词:error 日志桶:cce-syslogs

7、为日志桶中的数据配置日志转储,要求每 30 分钟,将日志桶中的数据存储到刚才创建的“实验账号-xxxx (当前日期)”对象存储中。
---OBS -> 创建桶 hcie-1220 多AZ 标准 私有
AOM控制台,进入“日志”—>“日志转储”—>“周期性转储”,点击“添加日志转储”: 日志桶-周期性转储-30分钟- 日志桶cce-syslogs - 目标OBS桶HCIE-1220



P@ssw0rdHCIElab999

整体流程:vpc,子网,安全组
-> 安装docker并启动(配置镜像daemon) -> 直接启动nginx -> 修改主页 -> Dockerfile启动
上云: SWR -> 创建组织 -> 登录指令-ecs -> 打tag -> 上传
创建CCE集群 -> 创建工作节点 -> 购买ELB -> 部署负载


================================= D 卷 ======================================================================================================================================
------------------4.1基础环境搭建------------------------
---网络 子网 安全组 ECS RDS
VPC: vpc-halo 192.168.0.0/20
子网: subnet-web 192.168.0.0/24 subnet-db 192.168.1.0/24
安全组: sg-web 22、8090、ICMP 先放开24段 sg-db 3310、ICMP 安全组:sg-web(ECS的子网192.168.0.0/24)

---ECS: ecs-halo 2vCPUs|4GiB CentOS 7.6 64bit 区域:北京四 vpc-halo subnet-halo sg-web 超高IO(或极速SSD)-40G 按流量-30M/S root/P@ssw0rdHCIElab999
ecs-terminal 2vCPUs-4GiB windows 2016 64 标准 中文 区域:北京四 vpc-halo subnet-halo sg-web 按流量20m

---RDS: rds-halo MySQL 5.7 独享2vCPUs 4GiB 3310 区域:北京四 vpc-halo subnet-db sg-db 主备 极速型SSD云盘 100G 15% 800 只读实例(大量读请求) root/P@ssw0rdHCIElab999 创建数据库 halodb

---部署Halo业务 (考试时留意该端口,可能为8091)
安装java环境
yum install -y java-11-openjdk -y
√ 创建隐藏文件夹并下载配置文件重命名(~代表root)
mkdir ~/.halo && cd ~/.halo wget https://tkjy-cloud.obs.cn-north-4.myhuaweicloud.com/application-template.yaml -O application.yaml
vi application.yaml 服务端口8090、注释掉H2的两部分、取消注释mysql: RDS内网IP、3310、用户名、密码
√ mkdir ~/app && cd ~/app wget https://tkjy-cloud.obs.cn-north-4.myhuaweicloud.com/halo-1.6.1.jar mv halo-1.6.1.jar halo.jar(改名字)
java -jar halo.jar

---访问ecs-terminal: 113.44.136.166 (复制、粘贴、windows里的中英文切换、冒号的中英文)
安全组: sg-web 8090 - 113.44.210.33/32(ecs-terminal的ip)
登录: http://eip:8090 (url输入全部,稍等几分钟,很慢-》 √ 安装其他浏览器)
页面配置: admin / admin / 邮箱 / P@ssw0rdHCIElab999 / 站点 HCIE
创建用户: admin/P@ssw0rdHCIElab999 登录并发布文章

---配置服务开机自启动
√ Ctrl + C 结束进程 (新开页面restart)
wget https://tkjy-cloud.obs.cn-north-4.myhuaweicloud.com/halo.service
cp halo.service /etc/systemd/system/
vim /etc/systemd/system/halo.service
√ 注释掉 User=USER ExecStart=/usr/bin/java ... -jar /root/app/halo.jar √
√ systemctl daemon-reload
√ systemctl start halo (systemctl restart halo) 启动
√ systemctl enable halo 开机自启
访问ecs-halo的EIP:8090

---数据库配置备份策略,要求每天凌晨4:00—5:00自动备份,备份时间不低于30天。
RDS -> 备份恢复 -> 同区域备份策略: 30天 4:00-5:00 周一到周日

---------------------配置AS和ELB -----------------------------------------

-------------------负载均衡 ELB
解绑ecs-halo的弹性公网IP
购买ELB: elb-halo *独享型 按需计费 应用型(HTTP/HTTPS2000) 可用区1、2 小型1-2000HTTP/200HTTPS vpc-web/subnet-web *弹性公网ip-使用已有(上面解绑的ecs-wordpress的弹性公网IP)
-> 添加监听器:listener-halo http 8090-> 配置后端分配策略: server_group-halo 加权轮询 -> 添加后端服务器 ecs-halo 8090 参数设置:健康检查TCP
-------------------弹性伸缩 AS
创建镜像: 将ecs-halo, 转换为ims镜像ims-halo
购买弹性伸缩AS:
伸缩配置: as-config-halo 新模板2vCPUs4GiB 通用计算S6 私有镜像ims-halo 通用SSD 40G sg-web *EIP不使用
弹性伸缩组: as-group-halo 实例数 521 可用区1、2、3、4 伸缩配置as-config-halo vpc-web subnet-web 使用弹性负载均衡:独享elb-halo server-group-halo 8090 较早-释放-删除
伸缩配置: 查看伸缩策略:添加基于CPU的伸缩策略:45-70 添加基于内存的伸缩策略:30-85
-ecs-terminal: ecs-halo的EIP:8090

 



---------------D卷 4.2业务高可用及容灾----------------------------------------------------------------------------------------------------------------------------------------

----------上海1 容灾端资源配置 用跨域复制的镜像-申请服务器ECS --------
--- VPC、子网、安全组:
vpc-halo-dr 192.168.16.0/20 subnet-halo-dr 192.168.16.0/24 subnet-db-dr 192.168.17.0/24
sg-web 22、8090、ICMP 先放开24段 sg-db 3310、ICMP /sg-web

--- 生产端镜像跨区域复制容灾端来创建ecs-halo-dr: (或者通过云备份CBR创建备份副本来创建ECS服务器 或者主机迁移)
镜像跨区域: 北京四 -> 镜像服务IMS(或ECS) -> 私有镜像 -> 选择ims-halo镜像 -> 跨区域复制: 查看委托 -> 新增一个委托( 云服务-镜像服务IMS - IMS FullAccess - 所有资源)
返回“复制镜像”页面: 华东-上海一 、 cn-east-3 选择新建的委托 -> 确认 -> 上海1查看
上海一 -> 镜像服务IMS(或ECS) -> 查看是否复制过来

--- ECS: ecs-halo-dr 用跨域复制的镜像-申请服务器 (2vCPUs | 4GiB CentOS 7.6 64bit 区域:上海一 vpc-halo-dr subnet-halo-dr sg-web 40G root/P@ssw0rdHCIElab999

--- RDS: rds-halo-dr MySQL 5.7 独享2vCPUs 4GiB 3310 区域:上海一 vpc-halo subnet-db sg-db 主备 极速型SSD云盘 100G 15% 800 root/P@ssw0rdHCIElab999
创建数据库 halodb


----------上海1 容灾端业务配置 用实时灾备的数据-复制到已经创建好的RDS中 ----------
--- VPN网关
上海: vpngw-web-sh1 vpc-web-sh1(选对) 本端子网:两个 主备双活 按流量 100
cgw-bj4 122.9.47.74(北京主EIP) 复用
vpn-web-sh1 对端子网 192.168.0.0/24,192.168.1.0/24

北京: vpngw-bj4 本端子网: subnet-db(192.168.1.0/24) subnet-web(192.168.0.0/24) 主备双活 按流量 100
cgw-discuz-sh1 113.44.57.48(上海主EIP)
vpn-bj4 对端子网 192.168.16.0/24

---数据复制服务-DRS实时灾备(rds-halo):
1.创建迁移任务
DRS -> 实时灾备管理 -> 创建灾备任务
华东-上海一 DRS-4158 本云为备 mysql mysql vpn、专线网络
2.填写源库和目标库信息
=》 源库:192.168.0.124 (北京4 rds的私网ip) root/P@ssw0rdHCIElab999 【迁移时ECS自建库ecs-wp-src私网ip 端口号3306】
=》 目库:192.168.33.100 (上海1 rds-migrate) root/P@ssw0rdHCIElab999(RDS的账号密码)
安全组:待灾备实例创建完成后: 北京4 sg-web 3310 = 192.168.33.149/32 (上海1 迁移DRS内网IP )
3.点击DRS-halo进入 -> 灾备对比 —> 数据级对比 -> 创建对比任务 立即启动 完成后-查看灾备监控

---上海ecs-halo-dr,修改配置文件中的数据库的ip地址信息,并重启服务
√ cd /root/.halo/
vim application.yaml(修改数据库的IP地址为上海一rds-halo-dr的内网IP地址)
systemctl restart halo

---访问ecs-terminal: 可用区1 2vCPUs-4GiB windows 北京四 vpc-web1 subnet-web sg-web 按流量20m => 113.44.136.166 (复制、粘贴、windows里的中英文切换)
安全组: 上海sg-web 8090(wordpress服务端口) = 113.44.136.166/32(ecs-terminal的公网ip)
登录: *113.44.166.229:8090* (ecs-halo-dr的公网ip)

---负载均衡 ELB
解绑ecs-wordpress的弹性公网IP
购买ELB: elb-wordpress 独享型 按需计费 应用型(HTTP/HTTPS2000) vpc-web1/subnet-web 使用已有(解绑)- 124.70.30.95
添加监听器: listener-wordpress http 80-> 配置后端分配策略: server_group-wordpress 加权轮询
-> 添加后端服务器ecs-wordpress 80 参数设置:健康检查TCP

---弹性伸缩 AS
创建镜像: 将ecs-wordpress,转换为ims镜像ims-wordpres
购买弹性伸缩AS:
伸缩配置: as-config-wordpress 新模板2vCPUs4GiB 通用计算S6 私有镜像ims-wordpress 通用SSD 40G sg-web EIP不使用
弹性伸缩组: as-group-wordpress 实例数 521 伸缩配置as-config-wordpress vpc-web1 subnet-web 使用弹性负载均衡:elb-wordpress server-group-wordpress 80 较早-释放-删除
伸缩配置: 添加基于CPU的伸缩策略:45-70 添加基于内存的伸缩策略:30-85
elb-wordpress eip 124.70.30.95/wordpress

 

 

----------------D卷 4.3 应用容器化部署及发布 ---------------------------------------------
---------基础环境配置
--- vpc,子网,安全组
vpc-docker 192.168.32.0/20 subnet-docker 192.168.32.0/24 sg-docker 8092-24段 3310-ecs、cce的ip √√√√√√√√√√√√

--- ECS ecs-docker 2vCPUs|4GiB 40GiB CentOS 7.6 64bit 北京四 vpc-docker subnet-docker sg-docker => subnet-docker 192.168.32.51 124.70.30.95

--- RDS rds-ccehalo 2vCPUs|4GiB MySQL 5.7 3310 SSD云盘 vpc-docker subnet-docker sg-docker 创建数据库halodb

0. 安装docker并启动:下载、启动、配置、重启
提供:
yum -y install yum-utils
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum install docker-ce docker-ce-cli containerd.io -y (多次执行)
√ 启动docker守护进程并查看版本
systemctl start docker
systemctl enable docker
docker --version
修改配置文件daemon.json,配置镜像加速器: 登录SWR -> 镜像资源 -> 镜像中心 -> 镜像加速器 -> 复制镜像加速器地址
√ vi /etc/docker/daemon.json (名字不要写错)
{
"registry-mirrors": [ "https://d3cde52ae45848b6ad24bfd486777ba4.mirror.swr.myhuaweicloud.com" ]
}
√ systemctl restart docker 重启 (重启失败,则检查操作系统其他位置(如:/etc/sysconfig/docker、/etc/default/docker)是否配置了registry-mirrors参数,删除此参数并重启容器引擎即可。)
√ docker info 当Registry Mirrors 为加速器的地址,说明配置成功

√ 1.获取halo镜像包并将其载入镜像
wget https://tkjy-cloud.obs.cn-north-4.myhuaweicloud.com/halo-1.6.1.tar #下载镜像包
docker load -i halo-1.6.1.tar #将归档文件载入镜像 √√√√√√√√√√√√
-----------------------------
docker images #查看镜像
√ 2.创建隐藏文件夹halo,下载并halo的配置文件
mkdir ~/.halo && cd ~/.halo
wget https://tkjy-cloud.obs.cn-north-4.myhuaweicloud.com/application-template.yaml -O application.yaml
编辑application.yaml文件,完成数据库等信息的修改
vi application.yaml 服务端口号8092、注释掉H2的两部分、取消注释mysql: RDS内网IP、3310、用户名、密码
3. 运行halo容器
docker run -d -p 8092:8092 -v /root/.halo:/root/.halo halohub/halo:1.6.1 √√√√√√√√√√√√
-------------------------- ----------
docker ps #查看容器
docker logs 容器id #查看容器是否正常运行

---访问ecs-terminal:可用区1 2vCPUs-4GiB windows 北京四 vpc-halo subnet-halo sg-web 按流量20m => 113.44.136.166 (复制、粘贴、windows里的中英文切换、冒号的中英文)
安全组: sg-web 8092 - 113.44.210.33/32(ecs-terminal的ip)
登录: http://eip:8092
页面配置: admin / admin / 邮箱 / P@ssw0rdHCIElab999 / 站点 HCIE (密码不能ctrl+v √√√)
创建用户: admin/P@ssw0rdHCIElab999 登录并发布文章

---√ Dockerfile方式
通过编写Dockerfile的方式构建镜像
cd /root/.halo
vim Dockerfile
FROM halohub/halo:1.6.1 #镜像名称:tag
Copy application.yaml /root/.halo/application.yaml √√√
EXPOSE 80
根据Dockerfile构建镜像:ccehalo:v1.0
docker build -t halo:v1 . (注意命令最末尾有个点) √√√
docker images
停用之前运行的halo容器
docker images
docker stop 容器ID #容器ID可以使用容器ID前两位
使用新镜像运行新的容器
docker run -d -p 8092:8092 halo:v1



---------本地容器业务上云

1. 使用弹性云服务器ecs-docker登录SWR仓库
SWR -> 创建组织 -> bada_20241220
总览 -> 登录指令 -> 复制登录指令
ecs-docker -> 执行登录指令
√ 将镜像上传至对应区域的SWR组织中,组织名称为“考试账号 xxx”:
给halo:v1镜像打上tag标记:
docker tag [{镜像名称}:{版本名称}] swr.cn-north-4.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称}
√ docker tag halo:v1 swr.cn-north-4.myhuaweicloud.com/bada_20241220/halo:v1
docker images 查看
上传镜像到SWR的组织中:
docker push swr.cn-north-4.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称}
docker push swr.cn-north-4.myhuaweicloud.com/bada_20241220/halo:v1

2. 完成 CCE 集群及工作节点创建
创建CCE集群: standard EulerOS 2.9 按需 V1.23 50节点单实例 vpc-docker subnet-docker 安全组、网段 :自动
创建工作节点: 进入集群 -> 节点管理 -> 节点 -> 创建节点
弹性-虚拟机 节点规格:4vCPUs | 8GiB 高可用:否 规格:50GiB(系统、极速)+100GiB(数据、极速)
Containerd 镜像:EulerOS 2.9 子网:subnet-docker EIP:暂无
提前购买ELB elb-cce-docker 20M/s 116.205.124.141/
利用上传的镜像部署无状态工作负载 cce-halo,命令空间为cce-halo
点击到“命名空间”创建命名空间 cce-halo
“工作负载”—>“无状态负载”—>“创建负载”: halo cce-halo 实例数3
容器配置: halo halo v1 cpu0.5限制1 内存512限制1024
服务配置:halo 负载均衡 集群级别 共享性 已有 elb-cce-docker 已阅 全局 √√√
TCP 8092 8092
通过elb-nginx公网访问halo的工作负载 http://116.205.124.141:8092

访问ecs-terminal:可用区1 2vCPUs-4GiB windows 北京四 vpc-halo subnet-halo sg-web 按流量20m => 113.44.136.166 (复制、粘贴、windows里的中英文切换、冒号的中英文)
安全组: 未就绪: 在RDS的安全组sg-docker中放行 3310-容器网段(cce总览-容器网段),然后重新部署
sg-web 8092 - 113.44.210.33/32(ecs-terminal的ip)
登录: http://eip:8092


----------------D卷 4.4 运维管理 ---------------------------------------------------------------------------------------------------
halo.jar 改名字

---应用性能监控 APM-------------------------
1、参照 APM 接入应用的相关规范,在 ecs-halo 主机中完成应用接入配置
1.下载并安装JavaAgent:
APM -> 应用列表 -> 接入应用 -> 增强、java、虚机接入 :
cd /root *安装在root/目录下
curl -k https://apm2-javaagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/apm_agent_install2.sh -o apm_agent_install.sh && bash apm_agent_install.sh
-ak {APM_AK} -sk {APM_SK}: -ak 2tL46sEY5SFgVcMq -sk rTQcNNhl4SXoDdYxiXZG7B65T6RBlVzx... (直接点击提示 或者 APM-系统管理-访问密钥)
2.添加启动命令并重启应用:
在启动文件“halo.service”文件的 ExecStart行 -jar 前加入如下参数:其中“appName=应用名称”的应用名称为“halo”,配置完成后保存并重启服务
√ vim /etc/systemd/system/halo.service :
启动命令示例:
ExecStart=/usr/bin/java -server -Xms256m -Xmx256m -jar /root/app/halo.jar
=> ExecStart=/usr/bin/java -server -Xms256m -Xmx256m -javaagent:/root/apm-javaagent/apm-javaagent.jar=appName=halo -jar /root/app/halo.jar
-------------------------------------------------------------
* 目录 *名字
-> *** 重启 systemctl restart docker ***
systemctl daemon-reload
systemctl start halo (systemctl restart halo)
systemctl enable halo

返回控制台,查看 apm-应用监控-应用列表-halo应用-点击进入

解绑elb的eip绑定到halo服务上,多次访问网站,才能出现拓补、调用等信息 (比较耗时间 5-6分钟) √√√

2、对 halo 应用进行访问登录等操作,并在应用性能监控服务中,查看业务区域所有业务运行情况。
对 halo 应用进行访问登录等操作,并在应用性能监控服务中,查看业务区域所有业务运行情况
查看1天内,包含业务应用调用链信息的组件拓扑,并查看数据库调用信息 : 指标 -> default -> 拓补 截图
查看近3小时内,接口维度应用接口调用次数: 指标 -> default -> 接口调用 截图
查看近6小时内,数据库维度汇总信息: 指标 -> default -> 数据库 -> 数据库维度汇总 截图

3、在调用链列表中跟踪一次成功访问请求,并查看其调用关系及调用参数
调用链 -> 点击调用成功的接口 (查看到其调用关系及调用参数) 截图


---应用运维管理 AOM--------------------------

1、将弹性云服务器ECS(实验一中的 ecs-wordpress)接入AOM
ECS安装ICAgent:
AOM -> 配置管理—> Agent管理 -> 点击“安装Agent” -> 复制安装ICAgent命令
ECS -> 执行 安装ICAgent命令 *安装ICAgent AK/SK 去掉{} AK: O8PO9OHCPFBY0QKVHQVK SK: WbFTaLGpyIWA58jfZh0xko465ICyCds4q3NdO3Re SMS域名: sms.cn-north-4.myhuaweicloud.com (SMS域名在步骤二获取)
AOM -> 配置管理—> Agent管理 -> 选择 其他-用户自定义接入主机 可看到接入的ECS服务器 ICagent是运行状态 --- 配置管理 - 应用发现 - ECS服务器 (比较耗时 5-6分钟,日志-日志路径下可以看到服务器就可以进行下面操作)

2、新建自定义应用发现规则halo-rule,仅检査云主机 ecs-halo 中命令行参数中包含“halo”的进程,并将应用名和组件名命名为 halo。
应用发现 - 添加自定义应用发现规则: 规则名称 halo ecs-halo -> 命令行包含参数 halo 、环境变量取消掉 点击开始探测...
-> 应用名称设置-固定文字-halo 、 应用类型 java 、 组件名称-固定文字-halo - 点击预览
-> 配置探测范围: 选择主机 ecs-halo -> 点击 添加 (5-6分钟)
3、在应用监控中查看新增的自定义应用 halo (5-6分钟)
监控 - 应用监控 : 查看新增的自定义应用 halo -> 点击进入,查看概览

4、创建仪表盘 halo,用于显示应用组件 halo 的应用状态
仪表盘 - 创建仪表盘:halo - > 健康状态 -> 选择 组件状态 -> 添加指标图标 选择 自定义集群下的halo - 保存 截图

5、配置业务主机 ecs-halo 的日志采集路径为:/root/.halo/logs/spring.log 和/root/apm/instances/halo-default/loges/apm.log。
日志 - 日志路径 - 选择ecs-halo主机 - 点击配置 - 选择路径2个 - 确定 放大截图
日志搜索 - 主机 关键字faild 截图

 

 



整体流程: 1. 北京4: vpc-子网-安全组-ecs-rds-dns-部署wordpress-dcs-elb-as-同区域容灾(vpc2子网 vpn ecs-windows)
2. 源端:北京4 vpc子网安全组(复用) -> ecs-wp-src(镜像) 、 数据库(用户权限数据库配置)
目端:上海1 vpc子网安全组(新建) -> VPN -> ecs-migrate(空) -> rds-migrate(空)
迁移:SMS-主机迁移 在源端ecs-wp-src中安装主机迁移Agent -> 密钥、agent下载启动、设置目的端启动
DRS-数据库迁移 创建迁移任务(放行ip) -> 源库和目标库 -> 迁移(解除只读/升主)
验证:上海1 ecs -> 登录->修改wp-config->wp_options表中“siteur”和“home”的地址参数
3. vpc,子网,安全组
-> 安装docker并启动(配置镜像daemon) -> 直接启动nginx -> 修改主页 -> Dockerfile启动
上云: SWR -> 创建组织 -> 登录指令-ecs -> 打tag -> 上传
创建CCE集群 -> 创建工作节点 -> 购买ELB -> 部署负载




HCIE-LAB P@ssw0rdHCIElab999
================================= E 卷 ======================================================================================================================================


===E卷 4.1 网站搭建和配置 ===================================================================================================

---VPC、子网、安全组 的创建---
北京四: vpc-web 192.168.0.0/20 subnet-web 192.168.0.0/24 subnet-db 192.168.1.0/24
sg-web: ICMP-0.0.0.0 sg-db: ICMP-0.0.0.0 3310-192.168.0.0/24
---弹性云服务器ECS---
ecs-discuz : 2vCPUs4GiB X86 CentOS 7.6 通用计算 S6.xlarge 通用型SSD 40GiB 北京四 vpc-web subnet-web sg-web 流量30M
ecs-terminal: 可用区1 2vCPUs-4GiB windows-2016 64 中文版 北京四 vpc-web subnet-web sg-web 按流量100m => 113.44.210.33 (复制、粘贴、windows里的中英文切换)

---关系型数据库RDS---
rds-discuz 独享2vCPUs4GiB MySQL 5.7 端口3310(*重要*) 北京四 vpc-web subnet-db sg-db 高可用:主备 100G 15%->800G *写少读多:只读- 高可用只读、SSD云盘、独享2vCPUs4GiB *创建数据库 ultrax

---ECS中部署Discuz---
登录到ecs-discuz安装httpd、php,解压后将discúz程序的文件内容复制到httpd的工作目录下(/var/www/html ),并修改httpd工作目录的权限
yum install -y httpd php php-fpm php-mysql
wget https://tkjy-cloud.obs.cn-north-4.myhuaweicloud.com/Discuz_X3.4_SC_UTF8.zip
unzip Discuz_X3.4_SC_UTF8.zip
cp -R upload/* /var/www/html/
chmod -R 777 /var/www/html
√ 将httpd、php-fpm服务启动并设置为开机自启
systemctl start httpd php-fpm 启动
systemctl enable httpd php-fpm 设置开机自启

ecs-terminal: 113.44.210.33 (复制、粘贴、windows里的中英文切换)
安全组: sg-web 80(discuz服务端口) = 113.44.136.166/32(ecs-terminal的公网ip)
登录: *113.44.166.229:80*
页面配置: 安全组: sg-db 3310(RDS的端口) = 192.168.0.0/24(ecs的网段)
192.168.1.27:3310 (注意:为英文)
ultrax
root/P@ssw0rdHCIElab999
创建用户 admin/P@ssw0rdHCIElab999 安装页面-截图
admin登录-> 默认模板 -> HCIE-discuz-xxx -> 填写验证码 -> 发布 截图

数据库配置备份策略,每天凌晨4:00—5:00自动备份、不低于30天。
RDS -> 备份恢复 -> 同区域备份策略 -> 4:00—5:00、30天 截图


---配置AS和ELB---

负载均衡ELB:
解绑ecs-discuz的弹性公网IP
ELB-购买弹性负载均衡:共享型、按需计费、vpc-web、subnet-web 弹性公网IP:使用已有(解绑)
监听器:listener-discuz TCP 80 —> 后端分配策略:server_group-discuz TCP 加权最少 -> 后端服务器:ecs-discuz 80 TCP
安全组: 共享型 sg-web:80-0.0.0.0./0 或 100.125.0.0/16 √ || 独享型 sg-web:80-192.168.0.0/24

弹性伸缩AS:
将ecs-discuz,转换为ims镜像
AS-购买弹性伸缩: 伸缩配置: as-config-discuz 2C4G S6 私有 ims-diccuz 通用SSD 40G(与ecs一致) sg-web --- 高级配置 - 现在配置-新建云服务器组-反亲和性
弹性伸缩组: as-group-discuz 5 2 1 伸缩配置as-config-discuz vpc-web subnet-web 使用负载均衡 80
伸缩策略: CPU使用率 40%-80% 5分钟5次
基于时间的伸缩策略:as-policy-timeadd 周期策略 按周 周五、周六 17:55(18点前) 不少于1个月 增加1个实例
as-policy-timeminus 周期策略 按周 周五、周六 17:55(23点后) 不少于1个月 减少1个实例
AS - 伸缩带宽: as-policy-add 1.94.223.180(ELB的ip) 告警策略 出网带宽 平均值>=25 5分钟5次 设置为50
as-policy-minus 1.94.223.180(ELB的ip) 告警策略 出网带宽 平均值<=20 5分钟5次 设置为25


---跨区域互通---
上海1:
VPC、子网: vpc-discuz-sh1 192.168.16.0/20 subnet-windows-sh1 192.168.16.0/24 安全组 sg-windows-sh1: ICMP-192.168.16.0/24
ECS: ecs-windows 2vCPUs4GiB windows server 2016 40GiB vpc-discuz-sh1 subnet-windows-sh1 sg-windows-sh1

VPN 上海-北京:
上海: vpngw-discuz-sh1 本端子网:subnet-windows-sh1(192.168.16.0/24) 主备双活 按流量 100
cgw-bj4 122.9.47.74(北京主EIP)
vpn-discuz-sh1 对端子网 192.168.0.0/24,192.168.1.0/24

北京: vpngw-bj4 本端子网: subnet-db(192.168.1.0/24) subnet-web(192.168.0.0/24) 主备双活 按流量 100
cgw-discuz-sh1 113.44.57.48(上海主EIP)
vpn-bj4 对端子网 192.168.16.0/24

获取北京四ELB的内网IP地址: 上海vnc登录ecs-windows桌面 -> ping 北京4ELB的内网ip(证明互通,等待2分钟)
-> 北京四ELB的 公网IP地址 (ELB不需要放安全组,默认允许所有ip访问) 登录网站


整体流程 2. 源端:北京4 vpc子网安全组(复用) -> ecs-wp-src(镜像) 、 数据库(用户权限数据库配置)
目端:上海1 vpc子网安全组(新建) -> VPN -> ecs-migrate(空) -> rds-migrate(空)
迁移:SMS-主机迁移 在源端ecs-wp-src中安装主机迁移Agent -> 密钥、agent下载启动、设置目的端启动
DRS-数据库迁移 创建迁移任务(放行ip) -> 源库和目标库 -> 迁移(解除只读/升主)
验证:上海1 ecs -> 登录->修改wp-config->wp_options表中“siteur”和“home”的地址参数

P@ssw0rdHCIElab999
===E卷 4.2 业务高可用及容灾 同C卷题2===================================================================================================

---------源端网站搭建 北京4

--- vpc,子网,安全组 (可选 复用 实验一的相关资源)
vpc-web 192.168.0.0/20 subnet-web 192.168.0.0/24 subnet-db 192.168.1.0/24 sg-web 22、80、ICMP 192.168.1.0/24

--- 创建ecs-wp-src 使用共享镜像(mysql安装在ECS服务器上)
ims-wordpress 2vCPUs | 4GiB 40GiB CentOS 7.6 64bit 通用型SSD-满足20000 北京四 vpc-web subnet-web sg-web

--- √ 创建wordpressuser用户和赋权 和 安装数据库“wordpress”完成相关配置 软件路径:/usr/share/nginx/html) (有RDS通过浏览器访问地址EIP/wordpress进行安装。)
登录: mysql -uroot -pHuawei@123!
创建用户/密码: create user 'wordpressuser'@'localhost' identified by 'P@ssw0rdHCIElab999';
赋权: grant all privileges on *.* to 'wordpressuser'@'%' identified by 'P@ssw0rdHCIElab999' with grant option;
创建数据库: create database wordpress;
查看创建的用户和数据库: show databases; select user,host from mysql.user; wordpressuser % exit;

√ 复制和创建wordpress的配置文件
cd /usr/share/nginx/html/wordpress
cp wp-config-sample.php wp-config.php y覆盖后修改
vim wp-config.php
define( 'DB_NAME', 'wordpress' );
define( 'DB_USER', 'wordpressuser' );
define( 'DB_PASSWORD', 'P@ssw0rdHCIElab999' );
define( 'DB_HOST', '192.168.0.68' ); √√√ √√√ 内网IP ecs-wp-src 内网IP 192.168.0.68 公网ip 113.44.166.229

√ systemctl enable nginx php-fpm 启动
systemctl restart nginx php-fpm 设置开机自启

--- ecs-terminal: 可用区1 2vCPUs-4GiB windows 北京四 vpc-web1 subnet-web sg-web 按流量20m => 113.44.136.166 (复制、粘贴、windows里的中英文切换、冒号的中英文)
安全组: 北京sg-web 80(wordpress服务端口) = 113.44.136.166/32(ecs-terminal的公网ip)
登录: *113.44.166.229/wordpress*
页面配置: HCIE admin/P@ssw0rdHCIElab999 邮箱 admin登录-> new page
---[可在页面配置,省略上面编辑wp-config.php: 安全组: sg-web 3306(自建数据库的端口) = 113.44.166.229/32(ecs-wp-src的公网ip) wordpressuser、P@ssw0rdHCIElab999、113.44.136.166:3306、创建用户 admin/P@ssw0rdHCIElab999 ]

---------目的环境准备 上海1
--- vpc,子网,安全组
vpc-web-sh1 192.168.32.0/20 subnet-web 192.168.32.0/24 subnet-db 192.168.33.0/24
安全组 sg-web ICMP-0.0.0.0/0 sg-db ICMP-0.0.0.0/0 3310-192.168.32.0/24
--- VPN网关
上海: vpngw-web-sh1 vpc-web-sh1(选对) 本端子网:两个 主备双活 按流量 100
cgw-bj4 122.9.47.74(北京主EIP) 复用
vpn-web-sh1 对端子网 192.168.0.0/24,192.168.1.0/24

北京: vpngw-bj4 本端子网: subnet-db(192.168.1.0/24) subnet-web(192.168.0.0/24) 主备双活 按流量 100
cgw-discuz-sh1 113.44.57.48(上海主EIP)
vpn-bj4 对端子网 192.168.16.0/24

---目的端ECS的创建 将区域切换到“上海一”
ecs-migrate 2vCPUs|4GiB 40GiB CentOS 7.6 64bit 上海一 vpc-web-sh1 subnet-web sg-web

---目的端RDS的创建 将区域切换为“上海一”
rds-migrate mysql 5.7 单机 独享 2vCPUs | 4GiB SSD云盘 40GiB vpc-web-sh1 subnet-db 3310 sg-db


---------业务迁移
---SMS 主机迁移 北京4 -> 上海1
在源端ECS(ecs-wp-src)中安装 主机迁移Agent
获取AK/SK: 我的凭证-访问密钥”—>“新增访问密钥”
User Name Access Key Id Secret Access Key
lpj199100 O8PO9OHCPFBY0QKVHQVK WbFTaLGpyIWA58jfZh0xko465ICyCds4q3NdO3Re

SMS->迁移Agent 安装Agent
√ VNC登录ecs-wp-src: yum install -y rsync (等几分钟) √√√
下载SMS-AGENT: wget -t 3 -T 15 https://sms-resource-cn-cn-north-4.obs.cn-north-4.myhuaweicloud.com/SMS-Agent.tar.gz
√解压并启动: tar -zxvf SMS-Agent.tar.gz && cd SMS-Agent && ./startup.sh 命令执行后,需要输入y后:
AK: O8PO9OHCPFBY0QKVHQVK SK: WbFTaLGpyIWA58jfZh0xko465ICyCds4q3NdO3Re SMS域名: sms.cn-north-4.myhuaweicloud.com (SMS域名在步骤二获取)
查看迁移服务器: 能查看到迁移服务器,说明迁移Agent安装成功
安全组:上海sg-web: 22、8900 = 192.168.0.95/32 (北京ecs-wp-src的私网ip)
迁移服务器 ->设置目的端开始迁移
模板SystemProject *私网 目的端: 上海一,已有服务器ecs-migrate 源端服务器 ecs-wp-src -> 开始


---DRS 数据库迁移 上海1 -> 北京4
1.创建迁移任务
DRS -> 实时迁移管理 -> 创建迁移任务
华东-上海一 DRS-4158 入云 mysql mysql vpn、专线网络 目标:rds-migrate (192.168.33.100) subnet-db(192.168.33.0/24)
全量+增量(安全型,内网) 读写(业务不中断)
安全组:待迁移实例创建完成后: 北京4 sg-web 3306 = 192.168.33.149/32 (上海1 迁移DRS内网IP )
2.填写源库和目标库信息
=》 源库:192.168.0.124 (北京4 ecs-wp-src 私网ip) 端口 3306 wordpressuser/Pass_1234
=》 目库:192.168.33.100 (上海1 rds-migrate) root/Pass_1234(RDS的账号密码)
3.不限速 迁移增量:是 迁移用户:是 确认所有备注 root/wordpressuser 忽略 点击确认详情 -> 一键修改 -> 立即启动 -> 启动任务 -> 完成后 * 增量迁移后 解除只读/升主


--- 迁移验证上海1
修改目的端wordpress的后台配置文件,完成RDS数据库对接
1.将区域切换为“上海一”,使用VNC方式登录到ecs-migrate
2.编辑wordpress的配置文件wp-config.php,修改数据库的对接信息
cd /usr/share/nginx/html/wordpress;
vi wp-config.php
wordpress (数据库)
root (rds用户)
Pass_1234 (rds密码)
192.168.33.100:3310 √ (rds-migrate内网ip:3310)
√ systemctl restart nginx php-fpm (重启nginx、php-fpm)

登录RDS数据库,修改wp_options表中“siteur”和“home”的地址参数,使用管理员账号可以通过目的端EIP地址登录wordpress网站
上海一 -》登陆云数据库RDS -> root/P@ssw0rdHCIElab999 -> wordpress数据库-“库管理”
wp_options -》 打开表 “siteur”和“home”的公网IP地址修改为 ecs-migrate的公网IP地址 (单机-解除只读 主备-升主)
修改: siteurl http://124.70.136.185/wordpress home http://124.70.136.185/wordpress -》登录

ecs-terminal: 可用区1 2vCPUs-4GiB windows 北京四 vpc-web1 subnet-web sg-web 按流量20m => 113.44.136.166 (复制、粘贴、windows里的中英文切换)
安全组: 上海sg-web 80(wordpress服务端口) = 113.44.136.166/32(ecs-terminal的公网ip)
登录: *http://124.70.136.185/wordpress* (ecs-migrate的公网ip/wordpress)
创建用户: 新增用户“test”, test 信息不要和root相同(邮箱) -> 登录到RDS数据库,查看网站用户列表信息: “wp-user”数据表


P@ssw0rdHCIElab999
===E卷 4.3 应用容器化部署及发布 ===================================================================================================
---基础资源配置
VPC、子网的创建
vpc-shopdemo 192.168.48.0/20 subnet-shopdemo 192.168.48.0/24

云容器引擎CCE
集群:cce-shopdemo *V1.2.7 50节点 3实例 EulerOS 2.9 北京四 vpc-shopdemo subnet-shopdemo *安全组-自动生成* vpc网络 自动设置网段

集群弹性伸缩配置:点击集群名称进入 -> 配置中心: 集群弹性伸缩配置 -> CCE集群弹性伸缩 安装:小规格 2个 节点数量-6个 CPU核数-50核 内存-150G

(插件中心 - CCE集群弹性引擎 - 安装 : 实例数2,其他默认)

创建节点池 : 虚拟机、3个、EulerOS 2.9、containerd、 s6.2xlarge.2|8 vCPUs|16 GiB vpc-shopdemo、极速型SSD50GiB+极速型SSD100GiB vpc-shopdemo 单个子网 subnet-shopdemo
弹性伸缩: 节点池 -> 弹性伸缩: 添加规则 - 指标触发 CPU分配率>75% 增加1个 指标触发 内存分配率>85 增加1个 弹性伸缩

集群弹性伸缩配置:点击集群名称进入 -> 配置中心 —> 集群弹性伸缩配置 -> 开启弹性缩容: 低于40%且持续20分钟 再次启动缩容评估的冷却时间-15分钟

节点池 - 节点 - 扩缩容 - 扩节点 3个

云容器集群配置
命名空间“shopdemo+当前日期: shopdemo1220
创建无状态工作负载“vote”: vote shopdemo1220 3个 容器配置:基本信息 vote 1.0 0.5-0.5 512-1024 服务配置:vote 节点访问 80 5000 指定 31000
创建无状态工作负载“result” result shopdemo1220 3个 容器配置:基本信息 result 1.0 0.5-0.5 512-1024 服务配置:result 节点访问 80 80 指定 32000
创建无状态工作负载“worker” worker shopdemo1220 3个 容器配置:基本信息 worker 1.0 0.5-0.5 512-1024 服务配置:worker 集群内访问 5000-5000 5858-5858
创建无状态工作负载“redis” redis shopdemo1220 3个 容器配置:基本信息 redis alpian 0.5-0.5 512-1024 服务配置:redis 集群内访问 6379 6379
---预览所有无状态工作负载状态
创建有状态工作负载“postgres” postgres shopdemo1220 3个 容器配置:基本信息 postgres 1.0 0.5-0.5 512-1024
环境变量 新增变量 POSTGRES_HOST_AUTH_METHOD trust
实例间发现服务配置:postgres port 5432 5432

通过浏览器使用弹性公网IP+端口号访问vote网页
购买EIP: 按流量 20 eip-shopdemo √√√
绑定EIP到CCE节点: eip-绑定 任意CCE节点ECS(cce-shopdemo-nodepool-XXX) 记下该节点私有IP(192.168.48.39) -> 确定
返回CCE: 节点管理 -> 节点 -> 任意CCE节点ECS 记下该节点私有IP(192.168.48.39) -> 更多 -> 同步云服务器 (刷新后可以看到该节点多了绑定的eip,等1分钟)
安全组: ECS -> 进入绑定节点 -> 安全组 -> 添加 31000 = ecs-terminal的公网ip
访问vote网页: eip:31000 * http://113.44.166.229:31000/ * url全拼,必须输入http
安全组: ECS -> 进入绑定节点 -> 安全组 -> 添加 32000 = ecs-terminal的公网ip
访问result网页: eip:32000 * http://113.44.166.229:32000/ * url全拼,必须输入http


postgres数据转储:购买、声明、挂载
SFS : SFS TURBO -> 文件系统列表 -> 创建文件系统 -> 按需 上一代-标准 550G vpc-shaopdemo subnet-shopdemo (安全组-> cce-shopdemo-cce-node-x6n7y(绑定节点的安全组) 名称 sfs-turbo-postgres)
返回CCE: 进入cce集群 -> 存储 -> 创建存储卷声明PVC: 极速文件存储 postgres 新建存储卷PV-选择刚创建的sfs-turbo-postgres 名称postgres
升级postgres: 工作负载 -> 有状态负载 -> postgres 升级 -> 数据存储(和环境变量同级) 选择-已有存储卷声明 (PVC) 挂载路径 /data/sql
查看挂载的存储资源:ECS-CCE节点(绑定节点) -> 登录(ECS服务远程登录)
√ crictl ps -a | grep postgres
√ crictl exec -it【postgres容器ID前两位】 /bin/bash <没有冒号:>
√ df -h
-> 结果包含 192.168.48.20:/ 550G 0 550G 0% /data/sql

配置灰度发布
ASM(基础版) -> 创建网格: 网格名称shopdemo *1.1.5 集群cce-shopdemo lstio控制节点全选
网格配置-sidecar管理-注入-命名空间注入配置注入-shopdemo1220 重启已有服务 √ 注入sidecar会重启关联的Pod,将会暂时中断您的业务 提交
灰度发布: 进入创建好的网格shopdemo -> 服务管理 -> 切换命名空间shopdemo1220 处理”修复异常服务 将协议修改为“tcp”,然后点击“一键修复”(反应慢) 截图
灰度发布 -> 金丝雀发布 ->立即发布 : shopdemo shopdemo1220 vote vote cce-shopdemo 版本号-2.0√√√ 实例3 镜像版本v2.0
配置流量策略 50% 使用弹性公网IP+端口31000访问vote网页,浏览器多刷新几次,显示凤凰汽车V2.0时 截图- 3.4.3 vote网页灰度发布
测试正常后,完成最终的新版本发布,使用户只能访问新版网页: 全流量接管 -> 结束 。 灰度发布-已结束灰度任务 截图

===E卷(C卷) 4.4 运维管理===================================================================================================

---应用运维管理 AOM (AOM使用1.0,不要点弹出的 我要迁移 按钮,否则无法设置告警) 命令安装agent --- 2.0 接入 -> ECS -> 创建Prometheus for ECS类型实例(任意) -> 选择主机 一键安装

【ECS接入AOM】
1、将弹性云服务器ECS(实验一中的 ecs-wordpress)接入AOM。
ECS安装ICAgent:
AOM -> 配置管理—> Agent管理 -> 点击“安装Agent” -> 复制安装ICAgent命令
ECS -> 执行 安装ICAgent命令 *安装ICAgent AK/SK 去掉{} AK: O8PO9OHCPFBY0QKVHQVK SK: WbFTaLGpyIWA58jfZh0xko465ICyCds4q3NdO3Re SMS域名: sms.cn-north-4.myhuaweicloud.com (SMS域名在步骤二获取)
Agent管理 -> 选择 其他-用户自定义接入主机 可看到接入的ECS服务器 ICagent是运行状态 --- 配置管理 - 应用发现 - ECS服务器 (比较耗时 5-6分钟)

2、为弹性云服务配置告警监控。通过告警模板,完成云主机的CPU/内存使用率的告警规则设置,要求资源使用的平均值在连续2个周期阈值超过80%,则产生紧急告警,统计周期为1分钟。
告警监控:(AOM1.0如果没有可区AOM2.0去做)
AOM -> 告警规则 -> 创建告警规则 cpu80 -> 指标/阈值 资源 主机/主机 cpu使用率 aom_node_cpu_usage / 1分钟 平>80 2次 | 触发条件 在2个监控周期内,如果平均值 ≥80 达到连续 2次 时,产生紧急告警 直接告警 /行动规则关闭
mem80 -> 指标/阈值 资源 主机/主机 内存使用率 aom_node_memory_usage / 1分钟 平>80 2次 | 触发条件 在2个监控周期内,如果平均值 ≥80 达到连续 2次 时,产生紧急告警 直接告警 /行动规则关闭

3、将/var/log/boot.log和/var/log/messages配置为云主机ecs-wgrdpress日志采集路径。
配置日志采集路径:(比较耗时 5-6分钟)
日志 -> 日志路径 -> ecs-wordpress 配置 -> 添加 /var/log/boot.log和/var/log/messages

4、为弹性云主机ECS配置日志桶ecs-syslogs,将新增的日志采集路径配置到该日志桶中并为其创建统计规则ecs-logrules,统计关键词为error。
配置日志桶:
日志 -> 日志桶 -> 桶列表 -> 添加日志桶 ecs-syslogs 日志文件:*主机* - 192.168.0.73下 messages、boot.log
添加统计规则:
日志 -> 日志桶 -> 桶列表 -> ecs-syslogs - 添加统计规则: 名称ecs-logrules 关键词error 日志桶ecs-syslogs

7、为日志桶中的数据配置日志转储,要求每 30 分钟,将日志桶中的数据存储到刚才创建的“实验账号-xxxx(当前日期)”对象存储中
OBS -> 创建桶 hcie-1220 多AZ 标准 私有
AOM控制台,进入“日志”—>“日志转储”—>“周期性转储”,点击“添加日志转储”: 日志桶-周期性转储-30分钟- 日志桶ecs-syslogs - 目标OBS桶HCIE-1220

【CCE接入AOM】
5、通过AOM服务,检査容器引擎CCÉ集群组件的状态(实验三中的CCE环境)。
监控 —> 组件监控 查看CCE工作负载组件的状态 可以正常看到vote、result、worker、redis、postgres

6、为CCE集群配置日志桶cce-syslogs,为容器工作负载组件日志配置日志桶。
配置日志桶:
日志 -> 日志桶 -> 桶列表 -> 添加日志桶 cce-syslogs 日志文件:*组件* - 命名空间下 vote、result、worker、redis、postgres 的日志
添加统计规则:
日志 -> 日志桶 -> 桶列表 -> cce-syslogs - 添加统计规则: 类型:关键词统计 名称:cce-logrules 关键词:error 日志桶:cce-syslogs

7、为日志桶中的数据配置日志转储,要求每 30 分钟,将日志桶中的数据存储到刚才创建的“实验账号-xxxx (当前日期)”对象存储中。
---OBS -> 创建桶 hcie-1220 多AZ 标准 私有
AOM控制台,进入“日志”—>“日志转储”—>“周期性转储”,点击“添加日志转储”: 日志桶-周期性转储-30分钟- 日志桶cce-syslogs - 目标OBS桶HCIE-1220


================================= F 卷 ======================================================================================================================================

=== F卷 4.1 网站搭建和配置===================================================================================================

---VPC、子网、安全组 的创建 选择可用区一,避免后面出现问题 ---
北京四 : vpc-web 192.168.0.0/20 subnet-web 192.168.0.0/24 subnet-db 192.168.1.0/24
sg-web 22、8090、ICMP sg-db :3310、ICMP - 安全组:sg-web
---弹性云服务器ECS---
ecs-security *可用区1* 2vCPUs4GiB X86 CentOS 7.6 通用计算 S6.xlarge 40GiB 北京四 vpc-web subnet-web sg-web 流量10M
ecs-access(无EIP) 配置与ecs-security一致,内网访问,暂不购买EIP
ecs-terminal 可用区1 2vCPUs-4GiB windows 北京四 vpc-web1 subnet-web sg-web 按流量20m
---关系型数据库RDS---
rds-security 独享2vCPUs4GiB MySQL 8.0 端口3310(*重要*) 北京四 vpc-web subnet-db sg-db 高可用:主备 *可用区1、可用区2*
100G 15%->800G 写少读多:只读- 高可用只读、SSD云盘、独享2vCPUs4GiB *创建数据库 wordpress*
---云解析服务DNS
反向解析 -> 公网域名 -> 管理解析 -> 添加记录集 : www 、A-将域名指向IPv4地址 、5分钟 、ecs-wordpress的eip
【安全组: sg-web ICMP-119.3.227.72/32(terminal的公网ip)】
在ecs-terminal: 打开cmd窗口: ping www.linguochang.top 【访问不通,在terminal本地配置域名: windows/system32/drivers/etc/hosts 119.3.227.72 pass.hi.cn】

---安装wordpress软件
yum install -y httpd
yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm -y
yum install --enablerepo=remi --enablerepo=remi-php72 php php-opcache php-devel php-mysqlnd php-gd php-redis -y
√ 1.检查php环境 php -v
√ 2.下载 wordpress
wget https://tkjy-cloud.obs.cn-north-4.myhuaweicloud.com/wordpress-5.4.5-zh_CN.zip
unzip wordpress-5.4.5-zh_CN.zip
cp -rf wordpress /var/www/html/
cd /var/www/html/wordpress
chmod -R 777 wp-content/
chmod -R 777 /var/www/html/
cp wp-config-sample.php wp-config.php
vim wp-config.php: wordpress、root、P@ssw0rdHCIElab999、rds内网ip:3310
√ 3. 将httpd服务启动并设为开机自启
systemctl start httpd
systemctl enable httpd
ecs-terminal:
安全组: sg-db: 3310-192.168.0.0/24(ecs网段) sg-web: 80-113.44.210.33/32(termianl的eip)
登录: http://域名(ECS-EIP)/wordpress (http://113.44.210.33/wordpress )
页面配置: wordpress / admin/P@ssw0rdHCIElab999 / 邮箱
创建用户: admin/P@ssw0rdHCIElab999 admin登录后发布文章后 截图

---数据库配置备份策略,要求每天凌晨4:00—5:00自动备份,备份时间不低于30天。
RDS -> 点击进入rds-security -> 备份恢复 -> 同区域备份策略: 30天 4:00—5:00 周一到周日 (策略备份)截图
创建备份 -> backup-1220 (手动备份)截图
恢复、删除: 备份管理:backup-1220->恢复->新实例 -> 重新购买RDS配置与之前一致 rds-security-recovery ip用之前删除的实例ip 截图
RDS -> rds-security -> 删除实例(*备份完成后*)
登录ecs-security,修改wp-config.php(恢复RDS的ip改变),重新登录查看之前文章,再发布recovory 截图

---主机安全防护HSS
HSS主机防护:
开启企业级主机安全防护:
资产管理->主机管理->ecs-security->切换版本-> 按需-企业版 截图

漏洞检测并对高危漏洞修复:
点击ecs-security-> Linux漏洞 -> 手动扫描 扫描完截图
-> 高危漏洞,点击修复 修复完截图

模拟暴力破解:
解绑ecs-security的弹性公网IP
暴力破解 登录ecs-access以ssh访问ecs-security内网IP地址- ssh root@192.168.0.165 多次错误密码直到ecs-security访问拒绝 ...by peer 截图
解除ssh访问拒绝: HSS-入侵检测-主机安全告警-处置-加入告警白名单 (解除对ecs-access的IP地址拦截-自动)
解除对ecs-access的IP地址拦截 ssh root@192.168.0.165 登录成功 截图 (无法访问,可先关闭防护或者重启)

DEW数据加密:
安全组: sg-web 22端口入方向 开放100.125.0.0/16网段

创建密钥对,绑定云服务器ecs-security并关闭密码登录:
DEW -> 密钥对管理: -> 私有密钥对: -> 创建密钥对 KeyPair-security -> 导出私钥 到本地
-> 云服务器列表: -> 绑定云服务器ecs-security-绑定 -> KeyPair-security 密码 22端口 关闭密码登录 截图
-> 登录ecs-access中 ssh root@192.168.0.165 无权限

上传密钥对,ecs-access密钥对登录ecs-security:
√ 登录ecs-access -> √ 编辑 vim KeyPair-security.pem 按i键 (将下载的私钥内容复制粘贴到这个文件里)
-> √√√ 赋权 chmod 400 -R KeyPair-security.pem (修改秘钥文件权限为400,否则无法登录)
-> √ 登录 ssh -i KeyPair-security.pem root@ecs-decurity内网IP (使用秘钥进行登录:ssh -i 密钥文件 root@ecs-decurity 内网IP) 截图

WAF安全防护: ELB(eip) -> WAF(wordpress)
1.购买WAF实例: waf-security 独享模式、按需、WAF实例数量2、 WI-100、2vCPUS4GiB、vpc-web subnet-web sg-web (5分钟)

2.购买ELB实例: elb-security 独享模式、按需、应用型HTTP(HTTPS)、使用已有【前面解绑ecs-security的公网ip】
-> 添加监听器 listener-security: http 80
-> 新创建 后端服务器名称 server-group-security http 加权轮询 暂不添加后端服务器 *健康检查tcp*否则加入到后端服务器组会异常

3.WAF添加防护网站开启拦截: WAF -> 网站设置 -> 添加防护网站: 独享 wordpress 域名 vpc-web 【ecs-security内网ip】 无代理
-> 已开启9项拦截: 点击已开启防护策略 -> 将'仅记录'修改为'拦截' : 常规检测、webshell检测 两项开启

4.WAF添加到ELB: waf-security-asFm(2个独享引擎)-更多-添加到ELB: elb-security 、listener-security、server-group-security -> 添加后端服务器(waf-security--asFm) 端口80 <重复上述操作,将第二个独享引擎添加至ELB 等待3~5分钟进行健康检查

通过域名访问wordpress网站
安全组:sg-web 80-192.168.0.0/24
通过域名(后端需经过弹性负载均衡器)访问wordpress网站

删除WAF独享引擎,其他相关资源不用删除
发布新的文章 -> 输入 文章内容:<script>alert("xss");</script> <img src="0" onerror="alert(11)" /> 发布失败 截图
进入到WAF控制台,查看拦截情况,XSS攻击已经被拦截-> waf-防护事件 截图
删除waf独享引擎 -> 考试 删除WAF独享引擎,其他相关资源不用删除 截图


=== F卷 4.2 业务高可用及容灾 (G卷)===================================================================================================

---基础环境搭建
北京4 资源复用: 重命名 ECS(可用区一) ecs-security => ecs-wp-production
RDS(可用区一) rds-security-recovery => rds-wp-production
ELB解绑EIP -> 将解绑后的EIP绑定至ecs-wp-production -> EIP:wordpress

---跨可用区容灾(本地灾备):ecs-wp-production 可用区1 生产 <=> ecs-wp-production 可用区2 本地容灾站点 (本地容灾站点服务器配置的购买配置和生产一致)
rds-wp-production 可用区1 生产 <=> rds-wp-production 可用区2 本地容灾站点 (RDS创建主备时为可用区1、可用区2)

完成保护组创建,将ecs-wp-production创建为保护实例,并开启保护组,进行容灾切换
SDRS存储容灾服务 -> 创建保护组: 区域:北京四 容灾方向:1-2 部署模式:vpc内迁移 名称:Protection-Group-wp 立即申请
进入保护组: 保护实例 - 创建: 主机 ecs-wp-production 云服务器 云硬盘 保护实例名称: protected-instance-production - 申请 - 提交 完成: 100% - 开启保护 截图

1步.创建站点复制对: 跨可用区、Site-replication-bj4-1to2 华北-北京四 生产站点-可用区1- vpc-web 容灾站点-可用区2- vpc-web
2步.部署云容灾网关: 新建网关服务器:ecs-wordpress-gateway(生产站点单独部署云容灾网关、云容灾网关服务器所在的区域、可用区、VPC 需要和生产站点服务器保持一致)
执行命令 curl -k -O https://sdrs-agent-cn-north-4.obs.cn-north-4.myhuaweicloud.com:443/sdrs-agent/sdrs_linux_24.9.0.20240930204210_x86_64.tar.gz
解压 tar -zxvf sdrs_linux_24.9.0.20240930204210_x86_64.tar.gz
进入 cd sdrs_linux_24.9.0.20240930204210_x86_64
安装 sh install.sh --drm-ip=192.168.0.157 --dra-ip=192.168.0.157 --role=gateway (ip为ecs-wordpress-gateway的 私有IP* * 全部用私网ip ) 其中,“drm_ip”和“dra_ip”均为当前容灾网关服务器IP地址
ps -ef | grep java | grep drm 查看是否启动
进入 cd /opt/cloud/sdrs
执行注册 sh register_gateway.sh
Please select DR Scene:
1 -- Cross Availability Zone
0 -- Public Cloud (default)
source platform type: hws
Please input source project id
c49ef9e492af4f78a3350c2d72227afa
Please input source ecs endpoint:
ecs.cn-north-4.myhuaweicloud.com
Please input source evs endpoint:
evs.cn-north-4.myhuaweicloud.com
Please input source iam ak
Please input source iam sk
User Name Access Key Id Secret Access Key
lpj199100 O8PO9OHCPFBY0QKVHQVK WbFTaLGpyIWA58jfZh0xko465ICyCds4q3NdO3Re
Please input target sdrs endpoint:
sdrs.cn-north-4.myhuaweicloud.com
3步.在 ecs-wordpress-gateway中 进入/opt/cloud目录,粘贴并执行命令获取软件包:
选则对应版本 linux/centos-7.6 * -> 复制下载命令: curl -k -O https://sdrs-agent-cn-north-4.obs.cn-north-4.myhuaweicloud.com:443/sdrs-agent/sdrs_linux_24.9.0.20240930204210_x86_64.tar.gz
打包生成新的Linux安装包和sha256文件: sh /opt/cloud/sdrs/create_certs.sh -l -> ...with_certs.tar.gz
复制生成的with_certs到production: ecs-production解绑密钥 + scp sdrs_xxxx_24.9.0.xxxx_with_certs.tar.gz root@ecs-wp-production私网ip:/root
4.进入生产服务器ecs-wp-productioncd /root:
tar -zxvf sdrs_xxxx_24.9.0.xxxx_with_certs.tar.gz
cd sdrs_xxxx_24.9.0.xxxx
sh install.sh --hostagent-ip=hostagent_ip --drm-ip=drm _ip --role=all (全部私网ip) 其中,“hostagent_ip”为代理客户端的IP地址,需要设置为安装代理客户端服务器的主网卡IP地址

容灾切换,将业务从生产站点切换至容灾站点,并开启容灾主机:
点击“保护实例” -> 右上角的“切换”按钮 -> 点击配置 -> (配置和生产一致) 2cpu4Gi s6 ecs-wp-production1 subnet-web -> 保存配置 -> 提交 -> 等待保护实例创建完成,开启保护 -> 等几分钟生产停机 灾备开机 ,可以看到ecs-wp-production1为绿色
-- -> ecs-wp-production关机 -> 关机完成,点击切换(3分钟) -> 保护实例下,点击开机 -> elb解绑的ip绑定到可用区2的实例上
ecs-terminal访问: 发布文章 截图
保护实例 -> 切换回可用区1的服务器 手动开机

===跨区域容灾(异地灾备): ecs-wp-production 可用区1 生产 <=> ecs-wp-production 可用区2 本地容灾站点 (通过SDRS的容灾站点服务器购买) 北京4 《=》 上海1 ecs-wp-disaster (通过CBR云备份创建)
rds-wp-production 可用区1 生产 <=> rds-wp-production 可用区2 本地容灾站点 (RDS创建主备时为可用区1、可用区2) 北京4 《=》 上海1 rds-wp-disaster (需要单独购买资源 √)

---云主机跨区域容灾(异地灾备) CBR
1.创建备份库、备份策略、绑定主机、手动备份
bj4 云服务器备份->购买云服务器备份存储库: vault-wp 按需 bj4 *保护类型-备份* 单AZ 选择主机ecs-wp-production 备份资源、策略-暂不 100G 自动扩容
存储库-> vault-wp-更多 -> 绑定备份策略 *创建备份策略*: policy_bk 按天 9:00-18:00 RP0=3即每隔3小时:0点、3点... 启用全量备份 每执行99次增量一次全量 按时间 1个月后删早
=》返回上一个页签 -> 绑定备份策略 -> 选择刚创建的启用
存储库-> vault-up-详情 -> 绑定服务器 -> 绑定 -> ecs-production
存储库-> vault-up-详情 -> 绑定服务器 -> ecs-production -> 执行备份 -> 返回 云服务器备份 -> 点击到“备份副本”可查看备份状态,等待备份完成: ecs-production-1741 (手动执行不需等待)

2.创建备份库、复制策略、备份传输
sh1 云服务器备份->购买云服务器备份存储库:vault-wp-disaster 按需 sh1 *保护类型-复制* 单AZ 备份资源、策略-暂不 100G 自动扩容
bj4 存储库-> vault-wp-详情 -> 绑定复制策略 *创建复制策略*: policy_cp 按天 09:00-18:00 RP0=3即每隔3小时:0点、3点... 启用全量备份 每执行99次增量一次全量 按时间 1个月后删早
=》返回上一个页签 -> 绑定复制策略 -> 选择刚创建的启用 、 目标存储库: vault-wp-disaster
bj4 备份副本-> ecs-production-1741 更多-创建复制: 目标区域:华东-上海一 目标存储库:vault-wp-disaster 任务 -> 查看任务状态: 备份副本 ecs-production-1741(后续用来创建镜像-申请ECS服务器) 10分钟

---数据库跨区域容灾(异地灾备) DRS
异地灾备站点(上海一)的VPC、子网、安全组:vpc-web-sh1 192.168.16.0/20 subnet-web-sh1 192.168.16.0/24 subnet-db-sh1 192.168.17.0/24 sg-web-sh1 22、80、ICMP sg-db-sh1 3310、ICMP
异地灾备站点 rds-wp-disaster创建: 和生产rds保持一致 独享2vCPUs4GiB MySQL 8.0 端口3310(*重要*) 上海1 高可用:主备 3310 不需要-创建数据库 wordpress

数据复制服务DRS:
上海一到北京四的VPN创建: 此处省略

上海一 DRS -> 实时灾备管理
1.创建灾备任务: DRS-wp(类似实时迁移任务) 本云为备(bj为主) mysql VPN、专线网络 灾备库实例:rds-wp-disaster 灾备所在子网subnet-db-sh1 只读 规格:小(3000/s)
安全组: 待灾备实例创建完成后: 北京4 sg-db 3310 = 192.168.33.149/32 (上海1 灾备DRS内网IP )

2.填写源库和目标库信息
=》 源库:192.168.0.124 (北京4 rds-wp-production的ip) 端口 3310 root/P@ssw0rdHCIElab999
=》 目库:192.168.33.100 (上海1 rds-wp-disaster) root/P@ssw0rdHCIElab999

3.不限速 所有definer迁移到该用户下: 是 确认所有备注 立即启动 -> 启动任务
点击DRS-wp进入 -> 灾备进度 初始化完成100% 截图
点击DRS-wp进入 -> 灾备对比 —> 数据级对比 -> 创建对比任务 立即启动 对象选择wordpress -> 对比报告 -> 详情 截图
查看 灾备监控 截图

---业务跨区域容灾(异地灾备) CBR的备份副本创建ECS

将生产区域的弹性云服务器进行关机,在异地灾备站点基于最小的云服务备份,创建弹性云服务器ecs-wp-disaster并启动
北京四 -> ecs-wp-production 2个 关机

上海一 -> 备份副本创建镜像: CBR -> 云服务器 -> 备份副本 ecs-production-1741 => 创建镜像: 私有 整机 -> ims-wp-production-sh1

使用镜像申请服务器: ECS -> 创建ecs-wp-disaster(上海1) -> 使用备份创建的镜像申请ecs服务器 √√ vim /var/www/html/wordpress/wp-config.php : 修改RDS的地址:为上海RDS的内网ip

修改RDS链接: RDS -> 登录到rds-wp-disaster,修改wp-option表中的home和siteurl信息为ecs-wp-disaster的EIP地址。 (DRS -> DRS-wp任务 -> 灾备监控 -> 本云数据库升主 登录后将灾备任务结束
前往DRS将灾备数据库升为主

ecs-terminal: 可用区1 2vCPUs-4GiB windows 北京四 vpc-web1 subnet-web sg-web 按流量20m => 113.44.136.166 (复制、粘贴、windows里的中英文切换)
安全组: 上海sg-web-sh1 80(wordpress服务端口) = 113.44.136.166/32(ecs-terminal的公网ip)
登录: *113.44.166.229/wordpress* (ecs-migrate的公网ip/wordpress)

=== F卷(C卷) 4.3 本地容器业务上云===================================================================================================
---------基础环境配置
--- vpc,子网,安全组 vpc-docker 192.168.32.0/20 subnet-docker 192.168.32.0/24 sg-docker 22、80、ICMP -192.168.32.0/24

--- 弹性云服务器ECS ecs-docker 2vCPUs | 4GiB 40GiB CentOS 7.6 64bit 北京四 vpc-docker subnet-docker sg-docker => subnet-docker 192.168.32.51 124.70.30.95

0. 安装docker并启动:
提供: (*多次执行,不管提示,出现complete! 确保docker环境安装成功)
yum -y install yum-utils
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
yum install docker-ce docker-ce-cli containerd.io -y
√ 启动docker守护进程并查看版本
systemctl start docker
systemctl enable docker
docker --version
修改配置文件daemon.json,配置镜像加速器: 登录SWR -> 镜像资源 -> 镜像中心 -> 镜像加速器 -> 复制镜像加速器地址
√ vim /etc/docker/daemon.json (名字不要写错)
{
"registry-mirrors": [ "https://d3cde52ae45848b6ad24bfd486777ba4.mirror.swr.myhuaweicloud.com" ]
}
√ systemctl restart docker 重启 (重启失败,则检查操作系统其他位置(如:/etc/sysconfig/docker、/etc/default/docker)是否配置了registry-mirrors参数,删除此参数并重启容器引擎即可。)
√ docker info 当Registry Mirrors 为加速器的地址,说明配置成功

√ 1.拉取nginx镜像,运行容器,要求主机80端口映射到容器的80端口,通过ECS 的EIP登录nginx
docker pull nginx
docker images
docker run -d -p 80:80 nginx
【安全组: sg-docker 80-terminal的eip】
ecs-terminal: http://124.70.30.95/ (http://ecs-docker的eip/)

√ 2.修改容器中的nginx主页,显示内容为“HCIE-Cloud Service+考试日期”
echo “HCIE-Cloud Service 0328” > index.html
docker ps -a =》 容器ID前两位
docker cp index.html 容器ID:/usr/share/nginx/html
ecs-terminal: http://124.70.30.95/ (http://ecs-docker的eip/)

√ 3.根据当前的环境信息,编写Dockerfile的方式构建镜像,要求镜像中nginx主页显示“HCIE-LAB+考试日期”,截图,通过该镜像运行的吞器可以直接通过主机 80 端口访问,页面显示内容与题目要求一致。
/root目录下 mkdir nginx -> cd nginx -> vi Dockerfile->
FROM nginx
RUN echo “HCIE-LAB+0328” > /usr/share/nginx/html/index.html √
EXPOSE 80
-> docker build -t nginx:v1 . -> docker images -> docker ps -a -> docker stop 容器ID
-> docker run -d -p 80:80 nginx:v1 -> http://124.70.30.95/
ecs-terminal: http://124.70.30.95/ (http://ecs-docker的eip/)

---------本地容器业务上云
1. 使用弹性云服务器ecs-docker登录SWR仓库
SWR -> 创建组织 -> bada_20241220
总览 -> 登录指令 -> 复制登录指令
ecs-docker -> 执行登录指令
√ 将镜像上传至对应区域的SWR组织中,组织名称为“考试账号 xxx”:
给nginx:v1镜像打上tag标记:
docker tag [{镜像名称}:{版本名称}] swr.cn-north-4.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称}
docker tag nginx:v1 swr.cn-north-4.myhuaweicloud.com/bada_20241220/nginx:v1 √
docker images 查看
上传镜像到SWR的组织中:
docker push swr.cn-north-4.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称}
docker push swr.cn-north-4.myhuaweicloud.com/bada_20241220/nginx:v1

2. 完成 CCE 集群及工作节点创建
创建CCE集群: cluster-nginx standard 按需 V1.27 50节点 单实例 vpc-docker subnet-docker 安全组、网段 :自动
创建节点池(工作节点): *扩缩容* 进入集群 -> 节点管理 -> 节点池 -> 创建节点池:
弹性-虚拟机 节点规格:4vCPUs | 8GiB 高可用:否 规格:50GiB(系统、极速)+100GiB(数据、极速) Containerd 镜像:EulerOS 2.9 子网:subnet-docker EIP:暂无
提前购买ELB elb-cce-docker 20M/s 116.205.124.141/
利用上传的镜像部署无状态工作负载 nginx (
点击到“命名空间”创建命名空间 nginx-1220
“工作负载”—>“无状态负载”—>“创建负载”: nginx nginx-1220 实例数1
容器配置: nginx nginx v1 cpu0.5-1 内存512-1024
服务配置:nginx 负载均衡 集群级别 共享性 已有 elb-cce-docker 已阅 全局
TCP 80 80
ecs-terminal: http://116.205.124.141/ 通过 elb-nginx公网ip 访问nginx的工作负载



=== F卷 4.4 运维管理 云日志服务LTS ===================================================================================================

1、在云日志服务LTS中创建日志组logs-group-xxxx(日期)和日志流logs-topic-ecs、logs-topic-cce、logs-topic-vpc,分别用于存储资源类服务和网络类服务日志。
创建日志组、日志流:
创建日志组: LTS -> 日志管理 -> 创建日志组: lts-group-1220 、 30天 、应用到日志流
创建日志流: 展开日志组 -> 创建日志流 logs-topic-ecs、logs-topic-cce、logs-topic-vpc

2、将弹性云服务器的日志接入日志流logs-topic-ecs中,将/var/logs/*/a.log、/var/logs/service/a*.log、/var/log/messages加入采集路径中。
日志接入:将弹性云服务器的日志接入日志流,并配置采集路径
获取AK/SK:鼠标放到账户名称上,点击“我的凭证” AK:O8PO9OHCPFBY0QKVHQVK SK: WbFTaLGpyIWA58jfZh0xko465ICyCds4q3NdO3Re...

主机管理 -> 主机组 -> 新建主机组: ecs-wp-wordpress linux主机 安装ICAgent: 复制命令替换AK/SK set +o history;curl https://icagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/ICAgent_linux...
登录ECS服务器ecs-wp-wordpress 可用区1 :执行 -> 返回到日志组创建页面,刷新 -> 选择主机 ecs-wp-wordpress -> 确定 (通AOM的ICAgent)

日志接入ECS:接入 -> 接入管理 -> 接入日志 -> 选择 <云主机ECS> 方块 :
-> 所属日志组: lts-group-1220 所属日志流:logs-topic-ecs
-> 选择主机组ecs-wp-wordpress
-> 采集配置: 名称 log-ecs 采集路径 /var/logs/*/a.log、/var/logs/service/a*.log、/var/log/messages
-> 索引配置: 全文索引、包括中文 跳过并提交
=> 日志管理 -> 列表中进入logs-topic-ecs 查看日志(服务器操作几下,等几分钟) 截图

3、将CCE集群接入日志流logs-topic-cce中,要求:采集到不同日志流后可以配置结构化解析;并将/var/logs/*/a.log、/var/log/messages加入采集路径中。
日志接入CCE: 接入 -> 接入管理 -> 接入日志: 选择 <CCE> 方块 采集到自定义日志流 CCE集群:cce-nginx-cluster 所属日志组:lts-group-1220 所属日志流:logs-topic-cce 检查依赖项-自动修复
-> 选择主机组:k8s-log-e90...
-> 采集配置: 名称 log-cce 容器文件路径 /var/logs/*/a.log、/var/log/messages
-> 索引配置: 全文索引、包括中文 跳过并提交
=> 日志管理 -> 列表中进入logs-topic-vpc : 日志分析 - 结构化模板 -> NGINX

4、将虚拟机私有云“vpc-web”的全部流量接入logs-topic-vpc日志流中。
日志接入VPC: 接入 -> 接入管理 -> 接入日志: 选择 <虚拟私有云VPC> 方块 :
-> 所属日志组: lts-group-1220 所属日志流:logs-topic-vpc
-> 点击前往vpc: 网络监控-流日志-创建流日志: 名称-flowlog-vpc、选择 虚拟私有云 、vpc-web 、日志组lts-group-1220 日志流logs-topic-vpc 立即创建
-> 点击前往vpc旁的日志流配置 -> 提交
-> ping几下ip, 等待几分钟 截图

5、配置日志转储,将日志组logs-group-xxxx(日期)所有数据转储到对象存储ltslogs-日期-时间(例如:Itslogs-1230-1230)桶中,以Json格式每3小时转储一次。
配置日志转储:
OBS -> 创建桶 itslog12202004 多AZ 标准 私有
LTS -> 日志转储 -> 配置转储: 周期性转储 日志组、日志流全选、桶 Json格式 3小时 截图

6、在日志流logs-topic-écs中进行关键词“error”搜索;并配置告警规则,当1个周期内(1小时)超过10次,1个统计周期内出现1次即可触发重要告警,近3次统计期内不满足触发条件,发送一条恢复告警通知。
搜索error:
日志管理 -> 日志组 -> 进入 日志流logs-topic-écs -> error搜索 1小时 截图
配置告警规则:
LTS -> 日志告警 —> 告警规则 —> 创建:ecs-error 日志组、日志流 查询条件:1小时 关键词 error 检测规则: 10条 1周期 1次 高级设置: 固定间隔、 1、小时、3次 关闭 告警恢复时 截图

7、为云审计服务的管理事件追踪器配置OBS转储,转储到新建的日志桶中,直接以Json的格式进行转储,并同时转储到 LTS。
CTS -> 追踪器 -> 开通云审计服务 -> 追踪器system - 配置: 转储到OBS(打开): 当前用户、选择已有OBS、不压缩
转储到LTS(打开): 日志组名称、CTS 截图
追踪器system - 点击 TS/system-trace 进入 日志流 截图





================================= G 卷 ======================================================================================================================================

=== 4.1网站搭建和配置 同C卷题1=========================================================================================

=== 4.2网站安全防护 同C卷题2=========================================================================================

=== 4.3应用容器化部署及发布 同F卷题3=========================================================================================

=== 4.4 运维管理=========================================================================================
SMN 添加订阅组,绑定指定邮箱,通过SMN发送告警信息,通知所有人:
主题管理 —>“主题”,点击“创建主题”: sms-wordpress
主题管理”—>“订阅”,点击“添加订阅” : sms-wordpress 邮箱-173...@163.com(按要求) 截图

CES 对全部ECS进行监控告警,并监控指定指标:
“告警”—>“告警规则”,点击“创建告警规则”: alrm-cpuall 指标 弹性云服务器-云服务器 全部资源
自定义创建:CPU使用率 原始值 连续3次 >= 80% 紧急 主题订阅 通知sms-wordpress 0.-23.59

对全部RDS进行监控告警,并监控指定指标。TPS、QPS分别大于600、2000的时候产生告警:
“告警”—>“告警规则”,点击“创建告警规则”: alarm-rdsall 指标 关系型数据库-MySQL实例 全部资源
自定义规则: QPS 连续3次 原始值 >= 2,000 次/秒 紧急
TPS 连续3次 原始值 >= 600 次/秒 紧急 主题订阅 通知sms-wordpress 0.-23.59
针对指定的ECS,CPU、内存使用率达到多少之后告警:
“告警”—>“告警规则”,点击“创建告警规则”: alrm-ecs 指标 弹性云服务器-云服务器 指定资源-ecs-wordpress
自定义创建:CPU使用率 原始值 连续3次 >= 80% 紧急 主题订阅 通知sms-wordpress 0.-23.59

针对指定的 RDS,对IOPS、TPS、QPS 进行告警: alarm-rds 指标 关系型数据库-MySQL实例 指定资源 rds-wordpress
自定义规则: QPS 连续3次 原始值 >= 2,000 次/秒 紧急
TPS 连续3次 原始值 >= 600 次/秒 紧急
IOPS 连续3次 原始值 >= 500 次/秒 紧急 主题订阅 通知sms-wordpress 0.-23.59

创建一个通知组(CES 的通知组),邮件通知:
告警 —> 告警通知 —> 通知对象 -> 创建通知对象: 协议-邮件 名称-ces 终端-1.qq.com
告警 —> 告警通知 —> 通知组 -> 创建通知组: 组名称-ces 通知对象-上述对象

针对ECS创建告警,要求对指定的云主机,对删除虚拟机、重启虚拟机、关闭虚拟机、删除网卡、开机失败等操作进行监控,并通知到指定的运维组。
告警 —> 告警规则 -> 创建告警规则: alrm-ecs1 事件 系统事件 弹性云服务器 指定资源-ecs-wordpress
自定义创建: 若 删除虚拟机 触发告警1次 重要
若 重启虚拟机 触发告警1次 重要
若 关闭虚拟机 触发告警1次 重要
若 删除网卡 触发告警1次 重要
若 开机失败 触发告警1次 重要 发送通知 通知组-ecs 0.-23.59 触发-出现告警
针对第一题的wordpress网站,进行站点监控,要求检测丢包率:
站点监控 -> 创建站点监控 北京4 配置站点监控: 名称-随机 协议-PING 站点地址-1.94.223.180(ecs-wordpress的EIP,需要在该安全组中放行ICMP协议) 5分钟 分布式探测点-站点地址根据考试要求,填写EIP或者域名
查看监控图表 - 丢包率 (几分钟)

针对站点监控,要求当丢包率达到一定值的时候告警: (如果要求丢包率,可以删除安全组中的ICMP协议的规则)
站点监控 -> 创建告警规则:名称-alarm-zd 维度-规则ID 协议-ping 指定资源 ...
告警策略:可用探测站点百分比 连续3次 >=80% 重要 通知组-ces 0.-23.59

创建一个dashboard,要求在一个dashboard里面,对ECS、RDS 和EIP的指标进行展示
CES -> 监控看板 -> 我的看板 —> 创建看板: 名称-dashboard
-> 添加监控室图 -> 曲线图 -> 近1小时,多个指标1个维度 -> 点击 选择资源和指标:弹性云服务器 ecs-wordpress -> 保存 -> 监控大屏


 

 

 

 

 




---华为中级机试题
资源配置(未规定部分最小化配置)
北京4 vpc-asp-0316: 192.168.0.0/20 subnet-asp-0316: 192.168.0.0/24
eip-0316 按流量 5M ->1.94.255.193
elb-0316 共享 按需 vpc-asp-0316 subnet-asp-0316 暂不购买eip -> 绑定eip 1.94.255.193
cce-0316 标准 按需 50节点 单实例 vpc-asp-0316 subnet-asp-0316
cce-node-0316 v1.25(1.28) 8c16g *docker Huawei Cloud EulerOS 2.0 Pass_1234
环境管理: 在SERVICESTAGE中创建工作负载
servicestage-0316 k8s 高可用-否 vpc-asp-0316 纳管资源
云容器引擎cce 绑定k8s集群 cce-0316 default(或cce-命名空间)
应用管理 创建应用 app-0316
新增组件 wx0316 0.0.1 app-0316 servicestage-0316 default
无状态 wx0316- servicestage 技术栈docker版本名称docker 镜像包 swr仓库上传 选择java应用(nginx)
cpu配额 内存配额 实例数2 -> 创建云部署(cce检查组件是否启动)
弹性负载均衡elb 纳管资源 elb-0316 (负载均衡:同vpc、子网、绑定eip、纳管)
应用概览 - 访问方式 - 服务名称 - 添加服务:service-0316 公网访问 负载均衡
集群级别 TCP 80(12560) 10001
http://eip:port/check/工号
1.94.255.193:10001/check/0316
截图: 组件概览、组件概览-访问方式、浏览器 vpc-asp-0316 subnet-asp-0316 入公网访问-打开
* ecs -> vnc登录cce:
从swr复制登录命令-总览-登录指令 把镜像push上去
docker tag nginx:v1 swr.cn-north-4.myhuaweicloud.com/bada_20241220/nginx:v1
docker push swr.cn-north-4.myhuaweicloud.com/bada_20241220/nginx:v1
Roma
ROMA Connect实例 可用区1 X86计算 roma-0316 2个服务集成 1个数据集成
创建集成应用 app-0316
服务集成APIC - api分组- 直接创建: APIGroup_6mul 集成应用 app-0316
api列表- 创建api 前端: GET HTTP / (考生工号-apic) 公开 无认证
后端:HTTPS 不适用 GET HTTP 192.168.3.75:10001 (elb的内网ip)
浏览器:域名访问(配置host)
cce - 进入工作负载
性能管理配置 - 编辑:APM2.0探针 版本2.4.11-jdk11-x86_64 重启自动升级 default (apm新增密钥复制到cce)
实例列表 - 批量删除
apm - 应用监控 - 应用列表 - 接入应用 (访问应用)




HCIE 机试

基础资源准备:CCE集群或ECS(弹性云服务器)主机、CSE(微服务引擎)、ELB(弹性负载均衡)
进入servicestage环境管理 > 创建环境并将基础资源纳管至环境 > 创建app应用 > 点击新增组件 > 选择服务类型、运行环境、框架
> 设置服务名称 > 选择创建服务所需的软件包 > 点击创建并部署 > 选择已创建好的环境 > 选择部署方式“容器部署”“虚机部署”二选一 > 设置实例数量,在组件配置选项里可配置服务的环境变量 > 下一步规格确认并开始部署

 

 


李杰-讯方:
云服务IA上课笔记链接:
https://www.wolai.com/9tuQwxyzMK8zjU8jGi8YwW
云服务IP上课笔记链接:
https://www.wolai.com/iSMFrsuBktr7UqtQeXu8un
云服务IE上课笔记链接:
https://www.wolai.com/hiKxk6nSyU7Kv3KRZyHDUb

李杰-讯方:
这个是视频地址 小鹅通链接:https://appu8tyoges2353.h5.xiaoeknow.com

 

 


华为面评(主要针对各个服务的概念和使用流程)
1. 自我介绍 (有没有准备答辩材料,结合最近做的项目介绍一下)
2. 四授权七禁令
3. ECS、CCE怎么接入的AOM、APM (AOM概念、产品架构(三层),接入的具体步骤)
4. 网络四层七层 应表会传网数物 结合的k8s的流量走向 (service的nodeport 或者 ingress)
5. servicestage 和 cse 能分开使用吗
6. ROMA Connect的APIC、MQS 4种认证方式
7. ROMA Connect 服务是什么,包含哪些组件
8. 高阶服务涉及的网络平面 DMZ_Service、DMZ_Service_Advance、External OM 相关概念

 


本人于2024年10月24日加入深圳讯方的PAAS云计算产品的大家庭,3个月以来。在学习及工作实践中不断成长。
自加入公司以来,我始终以保障公司信息系统稳定、高效运行为核心职责,在工作中不断积累经验、提升能力,努力为公司的发展贡献力量。
在学习方面:在这几个月里在领导和同事的帮助下、我对工作流程了解了很多、后来又参加了培训、包括:入职培训、安全生产、项目交付、企业文化及各项规章制度、ROMA2.0混合云培训等、从中我也是受益匪浅、感触良多。
在工作方面:本人在2024年11月29日参与协助辽宁部标的云项目,协助处理升级中遇到的问题并记录,进行PAAS接口的测试并完成人员的培训和文档的使用培训;在12月中旬参与中铁磐石和中石化财务云项目,协助处理PAAS平台遇到的相关问题并记录,独立完成验收文档的测试
优势:
1)认真负责,严格遵守和执行公司的各项规章制度和上级分派的任务;
2)热情真诚,能够在较短时间内融入新的工作团队。
不足:
1)性子有时略显急躁,遇到问题需要更加从容、谈定;
2)未能合理统筹时间并抓住重点工作,琐碎事务占用过多时间与精力。
改进计划:
1)加强对基础工作的学习与了解进一步熟悉业务。
2)加强与项目其他相关工作人员的合作,更好做好自己的本职工作。

 

 

 


安装java: ECS服务器-更多-CD驱动器与ISO-挂载ISO: 设备文件-添加 cloudmiddleware-jre-1.8.0_382-1.el7.x86_64
VNC登录: mount/dev/sr0 /home/pass-test
cp paas-test/cloudmiddleware-jre-1.8.0_382-1.el7.x86_64.rpm /home/
unmount /home/paas-test/
chmod 777 cloudmiddleware-jre-1.8.0_382-1.el7.x86_64.rpm
rpm -ivh cloudmiddleware-jre-1.8.0_382-1.el7.x86_64.rpm

 

 

 



posted @ 2025-02-26 10:59  LPJのBLOG  Views(224)  Comments(0)    收藏  举报